Überlegungen zu Timestream für InfluxDB-Endpunkte VPC Einen VPC Endpunkt für Timestream for InfluxDB erstellen Verbindung zu einem Endpunkt herstellen VPC Den Zugriff auf einen VPC Endpunkt kontrollieren Verwenden eines VPC Endpunkts in einer Richtlinienerklärung Protokollieren Sie Ihren VPC Endpunkt

Über einen Endpunkt eine Verbindung zu Timestream for InfluxDB herstellen VPC

Sie können über einen privaten Schnittstellenendpunkt in Ihrer virtuellen privaten Cloud () eine direkte Verbindung zu Timestream for InfluxDB herstellen. VPC Wenn Sie einen VPC Schnittstellenendpunkt verwenden, erfolgt die Kommunikation zwischen Ihnen VPC und Timestream for InfluxDB ausschließlich innerhalb des Netzwerks. AWS

Timestream for InfluxDB unterstützt Amazon Virtual Private Cloud (AmazonVPC) -Endpunkte, die von bereitgestellt werden. AWS PrivateLink Jeder VPC Endpunkt wird durch eine oder mehrere Elastic Network Interfaces (ENIs) mit privaten IP-Adressen in Ihren Subnetzen repräsentiert. VPC

Der VPC Schnittstellen-Endpunkt verbindet Sie VPC direkt mit Timestream for InfluxDB ohne Internet-Gateway, NAT Gerät, VPN Verbindung oder Verbindung. AWS Direct Connect Die Instanzen in Ihrem System benötigen VPC keine öffentlichen IP-Adressen, um mit Timestream for InfluxDB zu kommunizieren.

Regionen

Timestream for InfluxDB unterstützt VPC Endpunkte und VPC Endpunktrichtlinien, in denen Timestream for InfluxDB unterstützt AWS-Regionen wird.

Themen

Überlegungen zu Timestream für InfluxDB-Endpunkte VPC
Einen VPC Endpunkt für Timestream for InfluxDB erstellen
Verbindung zu einem Timestream for InfluxDB-Endpunkt herstellen VPC
Den Zugriff auf einen VPC Endpunkt kontrollieren
Verwenden eines VPC Endpunkts in einer Richtlinienerklärung
Protokollieren Sie Ihren VPC Endpunkt

Überlegungen zu Timestream für InfluxDB-Endpunkte VPC

Bevor Sie einen VPC Schnittstellenendpunkt für Timestream for InfluxDB einrichten, lesen Sie das Thema Eigenschaften und Einschränkungen der Schnittstellenendpunkte im Handbuch.AWS PrivateLink

Die Unterstützung von Timestream for InfluxDB für einen Endpunkt umfasst Folgendes. VPC

Sie können Ihren VPC Endpunkt verwenden, um alle Timestream for API InfluxDB-Operationen von Ihrem aus aufzurufen. VPC
Sie können AWS CloudTrail Protokolle verwenden, um Ihre Nutzung von Timestream für InfluxDB-Ressourcen über den Endpunkt zu überprüfen. VPC Details hierzu finden Sie unter Protokollieren Sie Ihren VPC Endpunkt.

Einen VPC Endpunkt für Timestream for InfluxDB erstellen

Sie können einen VPC Endpunkt für Timestream for InfluxDB erstellen, indem Sie die VPC Amazon-Konsole oder Amazon verwenden. VPC API Weitere Informationen finden Sie unter Erstellen eines Schnittstellenendpunkts im AWS PrivateLink -Leitfaden.

Verwenden Sie den folgenden Dienstnamen, um einen VPC Endpunkt für Timestream for InfluxDB zu erstellen:
```
com.amazonaws.region.timestream-influxdb
```
In der Region USA West (Oregon) (us-west-2) würde der Servicename wie folgt lauten:
```
com.amazonaws.us-west-2.timestream-influxdb
```

Um die Verwendung des VPC Endpunkts zu vereinfachen, können Sie einen privaten DNS Namen für Ihren Endpunkt aktivieren. VPC Wenn Sie die Option Enable DNS Name auswählen, wird der Standard-Timestream für DNS InfluxDB-Hostname zu Ihrem Endpunkt aufgelöst. VPC https://timestream-influxdb---us-west-2.amazonaws.com.rproxy.goskope.comWürde beispielsweise zu einem VPC Endpunkt aufgelöst, der mit dem Dienstnamen verbunden ist. com.amazonaws.us-west-2.timestream-influxdb

Diese Option erleichtert die Verwendung des VPC Endpunkts. Der AWS SDKs und AWS CLI verwendet standardmäßig den Standard-Timestream for DNS InfluxDB-Hostnamen, sodass Sie den VPC Endpunkt nicht URL in Anwendungen und Befehlen angeben müssen.

Weitere Informationen finden Sie unter Zugriff auf einen Service über einen Schnittstellenendpunkt im AWS PrivateLink -Leitfaden.

Verbindung zu einem Timestream for InfluxDB-Endpunkt herstellen VPC

Sie können über den VPC Endpunkt eine Verbindung zu Timestream for InfluxDB herstellen, indem Sie ein AWS SDK, das oder verwenden. AWS CLI AWS Tools for PowerShell Um den VPC Endpunkt anzugeben, verwenden Sie seinen Namen. DNS

Wenn Sie bei der Erstellung Ihres VPC Endpunkts private Hostnamen aktiviert haben, müssen Sie den VPC Endpunkt nicht URL in Ihren CLI Befehlen oder der Anwendungskonfiguration angeben. Der Standard-Timestream für DNS InfluxDB-Hostname wird zu Ihrem Endpunkt aufgelöst. VPC Der AWS CLI und SDKs verwendet standardmäßig diesen Hostnamen, sodass Sie damit beginnen können, den Endpunkt zu verwenden, um eine Verbindung zu einem regionalen Timestream for VPC InfluxDB-Endpunkt herzustellen, ohne etwas an Ihren Skripten und Anwendungen zu ändern.

Um private Hostnamen zu verwenden, müssen die enableDnsSupport Attribute enableDnsHostnames und von Ihnen VPC auf gesetzt sein. true Verwenden Sie die ModifyVpcAttributeOperation, um diese Attribute festzulegen. Einzelheiten finden Sie unter DNSAttribute für Sie anzeigen und aktualisieren VPC im VPCAmazon-Benutzerhandbuch.

Den Zugriff auf einen VPC Endpunkt kontrollieren

Um den Zugriff auf Ihren VPC Endpunkt für Timestream for InfluxDB zu kontrollieren, fügen Sie Ihrem VPCEndpunkt eine Endpunktrichtlinie hinzu. VPC Die Endpunktrichtlinie bestimmt, ob Prinzipale den VPC Endpunkt verwenden können, um Timestream für InfluxDB-Operationen auf Timestream for InfluxDB-Ressourcen aufzurufen.

Sie können eine VPC Endpunktrichtlinie erstellen, wenn Sie Ihren Endpunkt erstellen, und Sie können die Endpunktrichtlinie jederzeit ändern. VPC Verwenden Sie die VPC Verwaltungskonsole oder die ModifyVpcEndpointOperationen CreateVpcEndpointoder. Sie können eine VPC Endpunktrichtlinie auch mithilfe einer AWS CloudFormation Vorlage erstellen und ändern. Hilfe zur Verwendung der VPC Managementkonsole finden Sie unter Erstellen eines Schnittstellenendpunkts und Ändern eines Schnittstellenendpunkts im AWS PrivateLink Handbuch.

Anmerkung

Timestream for InfluxDB unterstützt VPC Endpunktrichtlinien ab Juli 2020. VPCEndpunkte für Timestream for InfluxDB, die vor diesem Datum erstellt wurden, haben die VPCStandard-Endpunktrichtlinie, die Sie jedoch jederzeit ändern können.

Über Endpunktrichtlinien VPC

Damit eine Timestream for InfluxDB-Anfrage, die einen VPC Endpunkt verwendet, erfolgreich ist, benötigt der Principal Berechtigungen aus zwei Quellen:

Eine IAMRichtlinie muss dem Principal die Erlaubnis erteilen, den Vorgang auf der Ressource aufzurufen.
Eine VPC Endpunktrichtlinie muss dem Prinzipal die Erlaubnis erteilen, den Endpunkt für die Anforderung zu verwenden.

VPCStandard-Endpunktrichtlinie

Jeder VPC Endpunkt hat eine VPC Endpunktrichtlinie, aber Sie müssen die Richtlinie nicht angeben. Wenn Sie keine Richtlinie angeben, erlaubt die standardmäßige Endpunktrichtlinie alle Operationen aller Prinzipale auf allen Ressourcen über den Endpunkt.

Für Timestream for InfluxDB-Ressourcen muss der Principal jedoch auch die Berechtigung haben, den Vorgang über eine IAMRichtlinie aufzurufen. In der Praxis besagt die Standardrichtlinie daher, dass ein Principal, wenn er berechtigt ist, einen Vorgang für eine Ressource aufzurufen, ihn auch mithilfe des Endpunkts aufrufen kann.


{
  "Statement": [
    {
      "Action": "*", 
      "Effect": "Allow", 
      "Principal": "*", 
      "Resource": "*"
    }
  ]
}

Um es Prinzipalen zu ermöglichen, den VPC Endpunkt nur für eine Teilmenge ihrer erlaubten Operationen zu verwenden, erstellen oder aktualisieren Sie die Endpunktrichtlinie. VPC

Eine Endpunktrichtlinie VPC erstellen

Eine VPC Endpunktrichtlinie bestimmt, ob ein Principal berechtigt ist, den VPC Endpunkt zur Ausführung von Vorgängen auf einer Ressource zu verwenden. Für Timestream for InfluxDB-Ressourcen muss der Principal auch die Erlaubnis haben, die Operationen anhand einer Richtlinie auszuführen. IAM

Jede VPC Endpunkt-Richtlinienerklärung erfordert die folgenden Elemente:

Der Prinzipal, der die Aktionen ausführen kann
Aktionen, die ausgeführt werden können
Ressourcen, für die Aktionen ausgeführt werden können

In der Richtlinienerklärung wird der VPC Endpunkt nicht angegeben. Stattdessen gilt sie für jeden VPC Endpunkt, an den die Richtlinie angehängt ist. Weitere Informationen finden Sie unter Steuern des Zugriffs auf Dienste mit VPC Endpunkten im VPCAmazon-Benutzerhandbuch.

AWS CloudTrail protokolliert alle Operationen, die den VPC Endpunkt verwenden.

Eine VPC Endpunktrichtlinie anzeigen

Um die VPC Endpunktrichtlinie für einen Endpunkt anzuzeigen, verwenden Sie die VPCVerwaltungskonsole oder den DescribeVpcEndpointsVorgang.

Mit dem folgenden AWS CLI Befehl wird die Richtlinie für den Endpunkt mit der angegebenen VPC Endpunkt-ID abgerufen.

Bevor Sie diesen Befehl ausführen, ersetzen Sie die Beispiel-Endpunkt-ID durch eine gültige aus Ihrem Konto.


$ aws ec2 describe-vpc-endpoints \

--query 'VpcEndpoints[?VpcEndpointId==`vpc-endpoint-id`].[PolicyDocument]'

--output text

Verwenden eines VPC Endpunkts in einer Richtlinienerklärung

Sie können den Zugriff auf Timestream für InfluxDB-Ressourcen und -Operationen steuern, wenn die Anfrage von einem Endpunkt kommt VPC oder diesen verwendet. VPC Verwenden Sie dazu einen der folgenden globalen Bedingungsschlüssel in einer Richtlinie. IAM

Verwenden Sie den aws:sourceVpce Bedingungsschlüssel, um den Zugriff je nach VPC Endpunkt zu gewähren oder einzuschränken.
Verwenden Sie den aws:sourceVpc Bedingungsschlüssel, um den Zugriff auf der Grundlage des Hostings des VPC privaten Endpunkts zu gewähren oder einzuschränken.

Anmerkung

Seien Sie vorsichtig, wenn Sie wichtige Richtlinien und IAM Richtlinien auf der Grundlage Ihres VPC Endpunkts erstellen. Wenn eine Richtlinienerklärung vorschreibt, dass Anfragen von einem bestimmten VPC Endpunkt VPC oder einem bestimmten Endpunkt kommen, schlagen Anfragen von integrierten AWS Diensten, die in Ihrem Namen eine Timestream for InfluxDB-Ressource verwenden, möglicherweise fehl.

Außerdem ist der aws:sourceIP Bedingungsschlüssel nicht wirksam, wenn die Anfrage von einem VPCAmazon-Endpunkt kommt. Um Anfragen auf einen VPC Endpunkt zu beschränken, verwenden Sie die aws:sourceVpc Bedingungsschlüssel aws:sourceVpce oder. Weitere Informationen finden Sie im AWS PrivateLink Handbuch unter Identitäts- und Zugriffsmanagement für VPC VPC Endgeräte und Endpunktdienste.

Sie können diese globalen Bedingungsschlüssel verwenden, um den Zugriff auf solche Operationen zu kontrollieren CreateDbInstance, die nicht von einer bestimmten Ressource abhängen.

Protokollieren Sie Ihren VPC Endpunkt

AWS CloudTrail protokolliert alle Operationen, die den VPC Endpunkt verwenden. Wenn eine Anfrage an Timestream for InfluxDB einen VPC Endpunkt verwendet, erscheint die VPC Endpunkt-ID im AWS CloudTrail Protokolleintrag, der die Anfrage aufzeichnet. Sie können die Endpunkt-ID verwenden, um die Verwendung Ihres Timestream for InfluxDB-Endpunkts zu überprüfen. VPC

Ihre CloudTrail Protokolle enthalten jedoch keine Operationen, die von Principals in anderen Konten angefordert wurden, oder Anfragen nach Timestream für InfluxDB-Operationen auf Timestream für InfluxDB-Ressourcen und Aliase in anderen Konten. Zu Ihrem Schutz werden AnfragenVPC, die durch eine VPCEndpunktrichtlinie abgelehnt wurden, aber andernfalls zugelassen worden wären, nicht aufgezeichnet. AWS CloudTrail

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

AWS verwaltete Richtlinien

Protokollierung und Überwachung