Verwenden von Amazon Kinesis Data Streams für Schnittstellen-VPC-Endpunkten - Amazon-Kinesis-Data-Streams
Verwenden von Schnittstellen-VPC-Endpunkten für Kinesis Data StreamsSteuern des Zugriffs auf VPC-Endpunkte für Kinesis Data StreamsVerfügbarkeit von VPC-Endpunktrichtlinien für Kinesis Data Streams

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von Amazon Kinesis Data Streams für Schnittstellen-VPC-Endpunkten

Sie können einen Schnittstellen-VPC-Endpunkt verwenden, um zu verhindern, dass Datenverkehr zwischen Ihrer Amazon VPC und Kinesis Data Streams das Amazon-Netzwerk verlässt. Schnittstellen-VPC-Endpunkte benötigen kein Internet-Gateway, kein NAT-Gerät, keine VPN-Verbindung oder AWS Direct Connect Verbindung. Interface VPC-Endpoints basieren auf einer AWS Technologie AWS PrivateLink, die private Kommunikation zwischen AWS Services über eine elastic network interface mit privaten IPs in Ihrer Amazon VPC ermöglicht. Weitere Informationen finden Sie unter Amazon Virtual Private Cloud und Interface VPC Endpoints ()AWS PrivateLink.

Verwenden von Schnittstellen-VPC-Endpunkten für Kinesis Data Streams

Für den Einstieg müssen Sie die Einstellungen für Ihre Streams, Produzenten oder Verbraucher nicht ändern. Erstellen Sie einfach einen Schnittstellen-VPC-Endpunkt, um Ihren Datenverkehr für Kinesis Data Streams von und zu Ihren Amazon-VPC-Ressourcen über den Schnittstellen-VPC-Endpunkt fließen zu lassen. Weitere Informationen finden Sie unter Erstellen eines Schnittstellenendpunkts.

Die Kinesis Producer Library (KPL) und die Kinesis Consumer Library (KCL) rufen AWS Dienste wie Amazon CloudWatch und Amazon DynamoDB entweder über öffentliche Endpunkte oder VPC-Endpunkte mit privaten Schnittstellen auf, je nachdem, welche verwendet werden. Beispiel: Wenn Ihre KCL-Anwendung in einer VPC mit aktivierten DynamoDB-Schnittstellen-VPC-Endpunkten ausgeführt wird, fließen Aufrufe zwischen DynamoDB und Ihrer KCL-Anwendung über den Schnittstellen-VPC-Endpunkt.

Steuern des Zugriffs auf VPC-Endpunkte für Kinesis Data Streams

VPC-Endpunktrichtlinien ermöglichen Ihnen, den Zugriff zu steuern, indem Sie entweder eine Richtlinie an einen VPC-Endpunkt anfügen oder zusätzliche Felder in einer Richtlinie verwenden, die einem IAM-Benutzer, einer IAM-Gruppe oder einer IAM-Rolle zugeordnet sind, um den Zugriff darauf zu beschränken, dass er nur über den angegebenen VPC-Endpunkt erfolgt. Diese Richtlinien können verwendet werden, um den Zugriff auf bestimmte Streams auf einen bestimmten VPC-Endpunkt zu beschränken, wenn sie in Verbindung mit den IAM-Richtlinien verwendet werden, um nur den Zugriff auf Kinesis-Datenstromaktionen über den angegebenen VPC-Endpunkt zu gewähren.

Es folgen Beispiele für Endpunktrichtlinien für den Zugriff auf Kinesis-Daten-Streams.

  • Beispiel für eine VPC-Richtlinie: schreibgeschützter Zugriff – diese Beispielrichtlinie kann einem VPC-Endpunkt zugeordnet werden. Weitere Informationen finden Sie unter Steuern des Zugriffs auf Amazon VPC-Ressourcen. Sie beschränkt Aktionen auf das Auflisten und Beschreiben eines Kinesis-Daten-Streams über den VPC-Endpunkt, dem er zugeordnet ist.

    
{
  "Statement": [
    {
      "Sid": "ReadOnly",
      "Principal": "*",
      "Action": [
        "kinesis:List*",
        "kinesis:Describe*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

  • Beispiel für eine VPC-Richtlinie: Beschränken des Zugriffs auf einen bestimmten Kinesis-Daten-Stream – diese Beispielrichtlinie kann einem VPC-Endpunkt zugeordnet werden. Sie schränkt den Zugriff auf einen bestimmten Daten-Stream über den VPC-Endpunkt ein, dem er zugeordnet ist.

    
{
  "Statement": [
    {
      "Sid": "AccessToSpecificDataStream",
      "Principal": "*",
      "Action": "kinesis:*",
      "Effect": "Allow",
      "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream"
    }
  ]
}

  • Beispiel für eine IAM-Richtlinie: Beschränken des Zugriffs auf einen bestimmten Stream von einem bestimmten VPC-Endpunkt aus – diese Beispielrichtlinie kann einem IAM-Benutzer, einer IAM-Rolle oder einer IAM-Gruppe zugeordnet werden. Sie beschränkt den Zugriff auf einen bestimmten Kinesis-Daten-Stream auf einen bestimmten VPC-Endpunkt.

    
{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "AccessFromSpecificEndpoint",
         "Action": "kinesis:*",
         "Effect": "Deny",
         "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream",
         "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-11aa22bb" } }
      }
   ]
}

Verfügbarkeit von VPC-Endpunktrichtlinien für Kinesis Data Streams

VPC-Endpunkte der Schnittstelle Kinesis Data Streams mit Richtlinien werden in den folgenden Regionen unterstützt:

  • Europa (Paris)

  • Europa (Irland)

  • USA Ost (Nord-Virginia)

  • Europa (Stockholm)

  • USA Ost (Ohio)

  • Europa (Frankfurt)

  • Südamerika (São Paulo)

  • Europa (London)

  • Asien-Pazifik (Tokio)

  • USA West (Nordkalifornien)

  • Asien-Pazifik (Singapur)

  • Asien-Pazifik (Sydney)

  • China (Peking)

  • China (Ningxia)

  • Asia Pacific (Hong Kong)

  • Naher Osten (Bahrain)

  • Naher Osten (VAE)

  • Europa (Milan)

  • Afrika (Kapstadt)

  • Asien-Pazifik (Mumbai)

  • Asien-Pazifik (Seoul)

  • Kanada (Zentral)

  • USA West (Oregon) außer usw2-az4

  • AWS GovCloud (USA, Osten)

  • AWS GovCloud (US-West)

  • Asien-Pazifik (Osaka)

  • Europa (Zürich)

  • Asien-Pazifik (Hyderabad)