Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Control del acceso con Amazon Data Firehose
En las siguientes secciones, se explica cómo controlar el acceso con los recursos de Amazon Data Firehose como origen y destino. Estas secciones incluyen información sobre cómo conceder acceso a su aplicación para que pueda enviar datos a su flujo de Firehose. También describen cómo puede conceder a Amazon Data Firehose acceso a su bucket de Amazon Simple Storage Service (Amazon S3), clúster de Amazon Redshift o clúster de Amazon OpenSearch Service, así como los permisos de acceso que necesita si utiliza Datadog, Dynatrace, LogicMonitor MongoDB, New Relic, Splunk o Sumo Logic como destino. Por último, en este tema encontrará instrucciones de configuración de Amazon Data Firehose para que pueda entregar datos en un destino que pertenezca a otra cuenta de AWS . La tecnología para administrar todas estas formas de acceso es (). AWS Identity and Access Management IAM Para obtener más información acerca de IAM, consulte ¿Qué es IAM?
Contenido
- Concesión de acceso a los recursos de Firehose
- Concede a Firehose acceso a tu clúster privado de Amazon MSK
- Permita que Firehose asuma un rol IAM
- Conceda a Firehose acceso a AWS Glue para la conversión de formatos de datos
- Concesión de acceso a Firehose a un destino de Amazon S3
- Conceda a Firehose acceso a Amazon S3 Tables
- Concesión a Firehose de acceso a un destino de tablas de Apache Iceberg
- Concesión a Firehose de acceso a un destino de Amazon Redshift
- Conceda a Firehose acceso a un destino de servicio público OpenSearch
- Otorgue a Firehose acceso a un destino de OpenSearch servicio en un VPC
- Conceda a Firehose acceso a un destino público sin servidor OpenSearch
- Conceda a Firehose acceso a un destino OpenSearch sin servidor en un VPC
- Concesión a Firehose de acceso a un destino de Splunk
- Acceder a Splunk en VPC
- Ingiera los registros VPC de flujo en Splunk mediante Amazon Data Firehose
- Acceder a Snowflake o Endpoint HTTP
- Concesión a Firehose de acceso a un destino de Snowflake
- Acceder a Snowflake en VPC
- Otorgue a Firehose acceso a un HTTP destino de punto final
- Envío multicuenta desde Amazon MSK
- Entrega entre cuentas en un destino de Amazon S3
- Entrega multicuenta a un OpenSearch destino del servicio
- Uso de etiquetas para controlar el acceso
Concesión de acceso a los recursos de Firehose
Para concederle a su aplicación acceso a su flujo de Firehose, utilice una política similar a este ejemplo. Puede ajustar las API operaciones individuales a las que concede acceso modificando la Action sección o concediendo el acceso a todas las operaciones con ella"firehose:*".
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "firehose:DeleteDeliveryStream", "firehose:PutRecord", "firehose:PutRecordBatch", "firehose:UpdateDestination" ], "Resource": [ "arn:aws:firehose:region:account-id:deliverystream/delivery-stream-name" ] } ] }
Concede a Firehose acceso a tu clúster privado de Amazon MSK
Si la fuente de tu transmisión de Firehose es un MSK clúster privado de Amazon, utiliza una política similar a la de este ejemplo.
{ "Version": "2012-10-17", "Statement": [ { "Principal": { "Service": [ "firehose.amazonaws.com" ] }, "Effect": "Allow", "Action": [ "kafka:CreateVpcConnection" ], "Resource": "cluster-arn" } ] }
Debes añadir una política como esta a la política basada en recursos del clúster para conceder al director de servicio de Firehose el permiso para invocar la operación de Amazon. MSK CreateVpcConnection API
Permita que Firehose asuma un rol IAM
En esta sección, se describen los permisos y las políticas que conceden a Amazon Data Firehose acceso para ingerir, procesar y entregar los datos del origen al destino.
nota
Si utilizas la consola para crear una transmisión de Firehose y eliges la opción de crear una nueva función, AWS adjunta la política de confianza necesaria a la función. Si desea que Amazon Data Firehose utilice una IAM función existente o si crea una función por su cuenta, adjunte las siguientes políticas de confianza a esa función para que Amazon Data Firehose pueda asumirla. Edite las políticas para sustituirlas por su account-id ID de AWS cuenta. Para obtener información acerca de cómo modificar la relación de confianza de un rol, consulte Modificación de un rol.
Amazon Data Firehose utiliza un IAM rol para todos los permisos que la transmisión de Firehose necesita para procesar y entregar datos. Asegúrese de que las siguientes políticas de confianza se hayan adjuntado a ese rol para que Amazon Data Firehose pueda asumirlo.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "", "Effect": "Allow", "Principal": { "Service": "firehose.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "account-id" } } }] }
Esta política utiliza la clave contextual de sts:ExternalId condición para garantizar que solo la actividad de Amazon Data Firehose que se origina en tu AWS cuenta pueda asumir esta IAM función. Para obtener más información sobre cómo evitar el uso no autorizado de IAM funciones, consulte El confuso problema del diputado en la Guía del IAM usuario.
Si eliges Amazon MSK como fuente para tu transmisión de Firehose, debes especificar otro IAM rol que conceda permisos a Amazon Data Firehose para ingerir datos de origen del clúster de Amazon especificado. MSK Asegúrese de que las siguientes políticas de confianza se hayan adjuntado a ese rol para que Amazon Data Firehose pueda asumirlo.
{ "Version": "2012-10-17", "Statement": [ { "Principal": { "Service": [ "firehose.amazonaws.com" ] }, "Effect": "Allow", "Action": "sts:AssumeRole" } ] }
Asegúrese de que este rol que concede a Amazon Data Firehose permisos para ingerir datos de origen del MSK clúster de Amazon especificado conceda los siguientes permisos:
{ "Version": "2012-10-17", "Statement": [{ "Effect":"Allow", "Action": [ "kafka:GetBootstrapBrokers", "kafka:DescribeCluster", "kafka:DescribeClusterV2", "kafka-cluster:Connect" ], "Resource": "CLUSTER-ARN" }, { "Effect":"Allow", "Action": [ "kafka-cluster:DescribeTopic", "kafka-cluster:DescribeTopicDynamicConfiguration", "kafka-cluster:ReadData" ], "Resource": "TOPIC-ARN" }] }
Conceda a Firehose acceso a AWS Glue para la conversión de formatos de datos
Si el flujo de Firehose lleva a cabo la conversión de formatos de datos, Amazon Data Firehose hace referencia a las definiciones de tabla almacenadas en AWS Glue. Para conceder a Amazon Data Firehose el acceso necesario AWS Glue, añade la siguiente declaración a tu política. Para obtener información sobre cómo encontrar lo ARN de la tabla, consulte Especificación del recurso AWS Glue ARNs.
[{ "Effect": "Allow", "Action": [ "glue:GetTable", "glue:GetTableVersion", "glue:GetTableVersions" ], "Resource": "table-arn" }, { "Sid": "GetSchemaVersion", "Effect": "Allow", "Action": [ "glue:GetSchemaVersion" ], "Resource": ["*"] }]
La política recomendada para obtener esquemas del registro de esquemas no tiene restricciones de recursos. Para obtener más información, consulte los IAMejemplos de deserializadores en la AWS Glue Guía para desarrolladores.
Concesión de acceso a Firehose a un destino de Amazon S3
Cuando utiliza un destino de Amazon S3, Amazon Data Firehose entrega los datos a su bucket de S3 y, si lo desea, puede utilizar una AWS KMS clave de su propiedad para el cifrado de datos. Si el registro de errores está activado, Amazon Data Firehose también envía los errores de entrega de datos al grupo de CloudWatch registros y a las transmisiones. Debes tener un IAM rol al crear una transmisión de Firehose. Amazon Data Firehose asume esa IAM función y obtiene acceso al bucket, la clave y el grupo de CloudWatch registros y las transmisiones especificados.
Utilice la siguiente política de acceso para permitir a Amazon Data Firehose acceder al bucket de S3 y a la clave de AWS KMS
. Si no es el propietario del bucket de S3, agregue s3:PutObjectAcl a la lista de acciones de Amazon S3. De esta forma, se concede al propietario del bucket acceso completo a los objetos que entrega Amazon Data Firehose.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:AbortMultipartUpload", "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ] }, { "Effect": "Allow", "Action": [ "kinesis:DescribeStream", "kinesis:GetShardIterator", "kinesis:GetRecords", "kinesis:ListShards" ], "Resource": "arn:aws:kinesis:region:account-id:stream/stream-name" }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ], "Condition": { "StringEquals": { "kms:ViaService": "s3.region.amazonaws.com" }, "StringLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket/prefix*" } } }, { "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:region:account-id:log-group:log-group-name:log-stream:log-stream-name" ] }, { "Effect": "Allow", "Action": [ "lambda:InvokeFunction", "lambda:GetFunctionConfiguration" ], "Resource": [ "arn:aws:lambda:region:account-id:function:function-name:function-version" ] } ] }
La política anterior también incluye una declaración que permite el acceso a Amazon Kinesis Data Streams. Si no utiliza Kinesis Data Streams como origen de datos, puede eliminar dicha declaración. Si utilizas Amazon MSK como fuente, puedes sustituir esa afirmación por la siguiente:
{ "Sid":"", "Effect":"Allow", "Action":[ "kafka:GetBootstrapBrokers", "kafka:DescribeCluster", "kafka:DescribeClusterV2", "kafka-cluster:Connect" ], "Resource":"arn:aws:kafka:{{mskClusterRegion}}:{{mskClusterAccount}}:cluster/{{mskClusterName}}/{{clusterUUID}}" }, { "Sid":"", "Effect":"Allow", "Action":[ "kafka-cluster:DescribeTopic", "kafka-cluster:DescribeTopicDynamicConfiguration", "kafka-cluster:ReadData" ], "Resource":"arn:aws:kafka:{{mskClusterRegion}}:{{mskClusterAccount}}:topic/{{mskClusterName}}/{{clusterUUID}}/{{mskTopicName}}" }, { "Sid":"", "Effect":"Allow", "Action":[ "kafka-cluster:DescribeGroup" ], "Resource":"arn:aws:kafka:{{mskClusterRegion}}:{{mskClusterAccount}}:group/{{mskClusterName}}/{{clusterUUID}}/*" }
Para obtener más información sobre cómo permitir que otros AWS servicios accedan a sus AWS recursos, consulte Creación de un rol para delegar permisos a un AWS servicio en la Guía del IAM usuario.
Para obtener información sobre cómo conceder a Amazon Data Firehose acceso a un destino de Amazon S3 de otra cuenta, consulte Entrega entre cuentas en un destino de Amazon S3.
Conceda a Firehose acceso a Amazon S3 Tables
Debes tener un IAM rol antes de crear una transmisión de Firehose. Siga los pasos siguientes para crear una política y un IAM rol. Firehose asume esta IAM función y realiza las acciones requeridas.
Inicie sesión en AWS Management Console y abra la IAM consola en https://console.aws.amazon.com/iam/
Cree una política y selecciónela JSONen el editor de políticas. Añada la siguiente política en línea que conceda permisos a Amazon S3, como permisos de lectura/escritura, permisos para actualizar la tabla en el catálogo de datos y otros.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3TableAccessViaGlueFederation", "Effect": "Allow", "Action": [ "glue:GetTable", "glue:GetDatabase", "glue:UpdateTable" ], "Resource": [ "arn:aws:glue:<region>:<account-id>:catalog/s3tablescatalog/*", "arn:aws:glue:<region>:<account-id>:catalog/s3tablescatalog", "arn:aws:glue:<region>:<account-id>:catalog", "arn:aws:glue:<region>:<account-id>:database/*", "arn:aws:glue:<region>:<account-id>:table/*/*" ] }, { "Sid": "S3DeliveryErrorBucketPermission", "Effect": "Allow", "Action": [ "s3:AbortMultipartUpload", "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::<error delivery bucket>", "arn:aws:s3:::<error delivery bucket>/*" ] }, { "Sid": "RequiredWhenUsingKinesisDataStreamsAsSource", "Effect": "Allow", "Action": [ "kinesis:DescribeStream", "kinesis:GetShardIterator", "kinesis:GetRecords", "kinesis:ListShards" ], "Resource": "arn:aws:kinesis:<region>:<account-id>:stream/<stream-name>" }, { "Sid": "RequiredWhenDoingMetadataReadsANDDataAndMetadataWriteViaLakeformation", "Effect": "Allow", "Action": [ "lakeformation:GetDataAccess" ], "Resource": "*" }, { "Sid": "RequiredWhenUsingKMSEncryptionForS3ErrorBucketDelivery", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "arn:aws:kms:<region>:<account-id>:key/<KMS-key-id>" ], "Condition": { "StringEquals": { "kms:ViaService": "s3.<region>.amazonaws.com" }, "StringLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::<error delivery bucket>/prefix*" } } }, { "Sid": "LoggingInCloudWatch", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:<region>:<account-id>:log-group:<log-group-name>:log-stream:<log-stream-name>" ] }, { "Sid": "RequiredWhenAttachingLambdaToFirehose", "Effect": "Allow", "Action": [ "lambda:InvokeFunction", "lambda:GetFunctionConfiguration" ], "Resource": [ "arn:aws:lambda:<region>:<account-id>:function:<function-name>:<function-version>" ] } ] }
La política contiene declaraciones que permiten el acceso a Amazon Kinesis Data Streams, la invocación de funciones de Lambda y el acceso a las claves. AWS KMS Si no utiliza ninguno de estos recursos, puede eliminar las declaraciones correspondientes. Si el registro de errores está activado, Amazon Data Firehose también envía los errores de entrega de datos al grupo de CloudWatch registros y a las transmisiones. Debe configurar los nombres de los grupos de registros y de las secuencias de registros para usar esta opción. Para ver los nombres de los grupos de registros y las secuencias de registros, consulte (Supervisar Amazon Data Firehose Using CloudWatch Logs). (necesita un enlace).
En las políticas integradas, <error delivery bucket> sustitúyalo por el nombre del bucket de Amazon S3 aws-account-id y la región por un Cuenta de AWS número y una región válidos del recurso.
Tras crear la política, abra la IAM consola en https://console.aws.amazon.com/iam/
En Servicio o caso de uso, elija Kinesis. En Caso de uso, elija Kinesis Firehose.
En la página siguiente, elija la política creada en el paso anterior para asociarla a este rol. En la página de revisión, encontrarás una política de confianza ya adjunta a esta función que otorga permisos al servicio Firehose para que asuma esta función. Al crear la función, Amazon Data Firehose puede asumir que realizará las operaciones necesarias en AWS Glue los buckets de S3. Agregue el principal del servicio Firehose a la política de confianza del rol que se crea. Para obtener más información, consulte Permitir que Firehose asuma un IAM rol.
Concesión a Firehose de acceso a un destino de tablas de Apache Iceberg
Debe tener un IAM rol antes de crear una transmisión de Firehose y Apache Iceberg Tables utilizando. AWS Glue Siga los siguientes pasos para crear una política y un IAM rol. Firehose asume esta IAM función y realiza las acciones requeridas.
-
Inicie sesión en AWS Management Console y abra la IAM consola en https://console.aws.amazon.com/iam/
. -
Cree una política y JSONselecciónela en el editor de políticas.
-
Agregue la siguiente política en línea que conceda a Amazon S3 permisos de lectura/escritura, permisos para actualizar la tabla en el catálogo de datos, entre otros.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:GetTable", "glue:GetDatabase", "glue:UpdateTable" ], "Resource": [ "arn:aws:glue:<region>:<aws-account-id>:catalog", "arn:aws:glue:<region>:<aws-account-id>:database/*", "arn:aws:glue:<region>:<aws-account-id>:table/*/*" ] }, { "Effect": "Allow", "Action": [ "s3:AbortMultipartUpload", "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:PutObject", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ] }, { "Effect": "Allow", "Action": [ "kinesis:DescribeStream", "kinesis:GetShardIterator", "kinesis:GetRecords", "kinesis:ListShards" ], "Resource": "arn:aws:kinesis:<region>:<aws-account-id>:stream/<stream-name>" }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "arn:aws:kms:<region>:<aws-account-id>:key/<key-id>" ], "Condition": { "StringEquals": { "kms:ViaService": "s3.region.amazonaws.com" }, "StringLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket/prefix*" } } }, { "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:<region>:<aws-account-id>:log-group:<log-group-name>:log-stream:<log-stream-name>" ] }, { "Effect": "Allow", "Action": [ "lambda:InvokeFunction", "lambda:GetFunctionConfiguration" ], "Resource": [ "arn:aws:lambda:<region>:<aws-account-id>:function:<function-name>:<function-version>" ] } ] }Esta política incluye una declaración que permite el acceso a Amazon Kinesis Data Streams, la invocación de funciones de Lambda y el acceso a las claves. KMS Si no utiliza ninguno de estos recursos, puede eliminar las declaraciones correspondientes.
Si el registro de errores está activado, Firehose también envía los errores de entrega de datos al grupo de CloudWatch registros y a las transmisiones. Para ello, debe configurar los nombres de los grupos de registro y los flujos de registro. Para obtener información sobre nombres de grupos de registros y flujos de registros, consulte Supervisión de Amazon Data Firehose mediante Registros de CloudWatch.
-
En las políticas integradas,
amzn-s3-demo-bucketsustitúyalo por el nombre de tu bucket de Amazon S3 aws-account-id y la región por un Cuenta de AWS número y una región válidos de los recursos.nota
Este rol otorga permisos a todas las bases de datos y tablas de su catálogo de datos. Si lo desea, puede conceder permisos solo a tablas y bases de datos específicas.
-
Tras crear la política, abra la IAMconsola
y cree un IAM rol con el tipo Servicio de AWSde entidad de confianza. -
En Servicio o caso de uso, elija Kinesis. Elija Kinesis Firehose como su caso de uso.
-
En la página siguiente, elija la política creada en el paso anterior para asociarla a este rol. En la página de revisión, encontrará una política de confianza ya adjunta a este rol que otorga permisos al servicio de Firehose para que lo asuma. Al crear el rol, Amazon Data Firehose puede asumirlo para realizar las operaciones necesarias en AWS Glue y los buckets de S3.
Concesión a Firehose de acceso a un destino de Amazon Redshift
Consulte la siguiente información al conceder acceso a Amazon Data Firehose mientras utiliza un destino de Amazon Redshift.
Temas
IAMpolítica de rol y acceso
Cuando se utiliza un destino de Amazon Redshift, Amazon Data Firehose entrega los datos en el bucket de S3 como una ubicación intermedia. Opcionalmente, puede utilizar una AWS KMS clave de su propiedad para el cifrado de datos. A continuación, Amazon Data Firehose carga los datos del bucket de S3 en el clúster aprovisionado de Amazon Redshift o el grupo de trabajo de Amazon Redshift sin servidor. Si el registro de errores está activado, Amazon Data Firehose también envía los errores de entrega de datos al grupo de CloudWatch registros y a las transmisiones. Amazon Data Firehose utiliza el nombre de usuario y la contraseña de Amazon Redshift especificados para acceder al clúster aprovisionado o al grupo de trabajo Amazon Redshift Serverless, y utiliza IAM un rol para acceder al bucket, la clave, el grupo de registros y las transmisiones especificados. CloudWatch Debes tener un IAM rol al crear una transmisión de Firehose.
Utilice la siguiente política de acceso para permitir a Amazon Data Firehose acceder al bucket de S3 y a la clave de AWS KMS
. Si el bucket de S3 no es de su propiedad, agregue s3:PutObjectAcl a la lista de acciones de Amazon S3, ya que le concede al propietario del bucket acceso completo a los objetos entregados por Amazon Data Firehose. Esta política también incluye una declaración que permite el acceso a Amazon Kinesis Data Streams. Si no utiliza Kinesis Data Streams como origen de datos, puede eliminar dicha declaración.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:AbortMultipartUpload", "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ], "Condition": { "StringEquals": { "kms:ViaService": "s3.region.amazonaws.com" }, "StringLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket/prefix*" } } }, { "Effect": "Allow", "Action": [ "kinesis:DescribeStream", "kinesis:GetShardIterator", "kinesis:GetRecords", "kinesis:ListShards" ], "Resource": "arn:aws:kinesis:region:account-id:stream/stream-name" }, { "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:region:account-id:log-group:log-group-name:log-stream:log-stream-name" ] }, { "Effect": "Allow", "Action": [ "lambda:InvokeFunction", "lambda:GetFunctionConfiguration" ], "Resource": [ "arn:aws:lambda:region:account-id:function:function-name:function-version" ] } ] }
Para obtener más información sobre cómo permitir que otros AWS servicios accedan a sus AWS recursos, consulte Creación de un rol para delegar permisos a un AWS servicio en la Guía del IAM usuario.
VPCacceso a un clúster aprovisionado de Amazon Redshift o a un grupo de trabajo Amazon Redshift Serverless
Si el clúster aprovisionado de Amazon Redshift o el grupo de trabajo Amazon Redshift Serverless se encuentra en una nube privada virtual (VPC), debe ser de acceso público con una dirección IP pública. Además, conceda a Amazon Data Firehose acceso a su clúster aprovisionado de Amazon Redshift o grupo de trabajo Amazon Redshift sin servidor; para ello, desbloquee las direcciones IP de Amazon Data Firehose. Amazon Data Firehose utiliza actualmente un CIDR bloque por cada región disponible.
| Región | CIDRbloques |
|---|---|
| US East (Ohio) |
|
| Este de EE. UU. (Norte de Virginia) | 52.70.63.192/27 |
| Oeste de EE. UU. (Norte de California) | 13.57.135.192/27 |
| Oeste de EE. UU. (Oregón) | 52.89.255.224/27 |
| AWS GovCloud (Este de EE. UU.) | 18.253.138.96/27 |
| AWS GovCloud (Estados Unidos-Oeste) | 52.61.204.160/27 |
| Canadá (centro) | 35.183.92.128/27 |
| Oeste de Canadá (Calgary | 40.176.98.192/27 |
| Asia-Pacífico (Hong Kong) | 18.162.221.32/27 |
| Asia-Pacífico (Mumbai) | 13.232.67.32/27 |
| Asia-Pacífico (Hyderabad) | 18.60.192.128/27 |
| Asia-Pacífico (Seúl) | 13.209.1.64/27 |
| Asia-Pacífico (Singapur) | 13.228.64.192/27 |
| Asia-Pacífico (Sídney) | 13.210.67.224/27 |
| Asia-Pacífico (Yakarta) | 108.136.221.64/27 |
| Asia-Pacífico (Tokio) | 13.113.196.224/27 |
| Asia-Pacífico (Osaka) | 13.208.177.192/27 |
| China (Pekín) | 52.81.151.32/27 |
| China (Ningxia) | 161.189.23.64/27 |
| Europa (Zúrich) | 16.62.183.32/27 |
| Europa (Fráncfort) | 35.158.127.160/27 |
| Europa (Irlanda) | 52.19.239.192/27 |
| Europa (Londres) | 18.130.1.96/27 |
| Europa (París) | 35.180.1.96/27 |
| Europa (Estocolmo) | 13.53.63.224/27 |
| Medio Oriente (Baréin) | 15.185.91.0/27 |
| América del Sur (São Paulo) | 18.228.1.128/27 |
| Europa (Milán) | 15.161.135.128/27 |
| África (Ciudad del Cabo) | 13.244.121.224/27 |
| Oriente Medio () UAE | 3.28.159.32/27 |
| Israel (Tel Aviv) | 51.16.102.0/27 |
| Asia-Pacífico (Melbourne) | 16.50.161.128/27 |
| Asia-Pacífico (Malasia) | 43.216.58.0/27 |
Para obtener más información acerca de cómo desbloquear direcciones IP, consulte el paso Autorización de acceso al clúster en la Guía de introducción a Amazon Redshift.
Conceda a Firehose acceso a un destino de servicio público OpenSearch
Cuando utiliza un destino de OpenSearch servicio, Amazon Data Firehose envía los datos a su clúster de OpenSearch servicios y, al mismo tiempo, realiza copias de seguridad de todos los documentos fallidos o de todos los documentos en su bucket de S3. Si el registro de errores está activado, Amazon Data Firehose también envía los errores de entrega de datos al grupo de CloudWatch registros y a las transmisiones. Amazon Data Firehose utiliza un IAM rol para acceder al dominio de OpenSearch servicio, al bucket de S3, a la AWS KMS clave y al grupo de CloudWatch registros y a las transmisiones especificados. Debes tener un IAM rol al crear una transmisión de Firehose.
Utilice la siguiente política de acceso para permitir que Amazon Data Firehose acceda a su bucket, dominio de OpenSearch servicio y AWS KMS clave de S3. Si el bucket de S3 no es de su propiedad, agregue s3:PutObjectAcl a la lista de acciones de Amazon S3, ya que le concede al propietario del bucket acceso completo a los objetos entregados por Amazon Data Firehose. Esta política también incluye una declaración que permite el acceso a Amazon Kinesis Data Streams. Si no utiliza Kinesis Data Streams como origen de datos, puede eliminar dicha declaración.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:AbortMultipartUpload", "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ], "Condition": { "StringEquals": { "kms:ViaService": "s3.region.amazonaws.com" }, "StringLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket/prefix*" } } }, { "Effect": "Allow", "Action": [ "es:DescribeDomain", "es:DescribeDomains", "es:DescribeDomainConfig", "es:ESHttpPost", "es:ESHttpPut" ], "Resource": [ "arn:aws:es:region:account-id:domain/domain-name", "arn:aws:es:region:account-id:domain/domain-name/*" ] }, { "Effect": "Allow", "Action": [ "es:ESHttpGet" ], "Resource": [ "arn:aws:es:region:account-id:domain/domain-name/_all/_settings", "arn:aws:es:region:account-id:domain/domain-name/_cluster/stats", "arn:aws:es:region:account-id:domain/domain-name/index-name*/_mapping/type-name", "arn:aws:es:region:account-id:domain/domain-name/_nodes", "arn:aws:es:region:account-id:domain/domain-name/_nodes/stats", "arn:aws:es:region:account-id:domain/domain-name/_nodes/*/stats", "arn:aws:es:region:account-id:domain/domain-name/_stats", "arn:aws:es:region:account-id:domain/domain-name/index-name*/_stats", "arn:aws:es:region:account-id:domain/domain-name/" ] }, { "Effect": "Allow", "Action": [ "kinesis:DescribeStream", "kinesis:GetShardIterator", "kinesis:GetRecords", "kinesis:ListShards" ], "Resource": "arn:aws:kinesis:region:account-id:stream/stream-name" }, { "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:region:account-id:log-group:log-group-name:log-stream:log-stream-name" ] }, { "Effect": "Allow", "Action": [ "lambda:InvokeFunction", "lambda:GetFunctionConfiguration" ], "Resource": [ "arn:aws:lambda:region:account-id:function:function-name:function-version" ] } ] }
Para obtener más información sobre cómo permitir que otros AWS servicios accedan a sus AWS recursos, consulte Creación de un rol para delegar permisos a un AWS servicio en la Guía del IAM usuario.
Para obtener información sobre cómo conceder a Amazon Data Firehose acceso a un clúster de OpenSearch servicios de otra cuenta, consulte. Entrega multicuenta a un OpenSearch destino del servicio
Otorgue a Firehose acceso a un destino de OpenSearch servicio en un VPC
Si su dominio de OpenSearch servicio está en unVPC, asegúrese de conceder a Amazon Data Firehose los permisos que se describen en la sección anterior. Además, debe conceder a Amazon Data Firehose los siguientes permisos para que pueda acceder a los dominios de su OpenSearch servicio. VPC
-
ec2:DescribeVpcs -
ec2:DescribeVpcAttribute -
ec2:DescribeSubnets -
ec2:DescribeSecurityGroups -
ec2:DescribeNetworkInterfaces -
ec2:CreateNetworkInterface -
ec2:CreateNetworkInterfacePermission -
ec2:DeleteNetworkInterface
importante
No revoque estos permisos después de crear el flujo de Firehose. Si revocas estos permisos, tu transmisión de Firehose se degradará o dejará de entregar datos a OpenSearch tu dominio de servicio cada vez que el servicio intente realizar consultas o actualizarlos. ENIs
importante
Cuando especifiques subredes para entregar datos al destino en un entorno privadoVPC, asegúrate de tener un número suficiente de direcciones IP libres en las subredes elegidas. Si no hay una dirección IP gratuita disponible en una subred específica, Firehose no podrá crear ni ENIs añadir para la entrega de datos en la red VPC privada, y la entrega se degradará o fallará.
Cuando creas o actualizas tu transmisión de Firehose, especificas un grupo de seguridad para que Firehose lo utilice cuando envíe datos a tu dominio de servicio. OpenSearch Puedes usar el mismo grupo de seguridad que usa el dominio del OpenSearch servicio o uno diferente. Si especifica un grupo de seguridad diferente, asegúrese de que permita el HTTPS tráfico saliente al grupo de seguridad del dominio del OpenSearch servicio. Asegúrese también de que el grupo de seguridad del dominio de OpenSearch servicio permita el HTTPS tráfico del grupo de seguridad que especificó al configurar la transmisión de Firehose. Si utilizas el mismo grupo de seguridad tanto para la transmisión de Firehose como para el dominio de OpenSearch servicio, asegúrate de que la regla de entrada del grupo de seguridad permita el tráfico. HTTPS Para obtener más información sobre las reglas de grupos de seguridad, consulta Reglas de grupos de seguridad en la VPC documentación de Amazon.
Conceda a Firehose acceso a un destino público sin servidor OpenSearch
Cuando utiliza un destino OpenSearch sin servidor, Amazon Data Firehose envía los datos a OpenSearch su colección sin servidor y, al mismo tiempo, realiza copias de seguridad de todos los documentos fallidos o de todos los documentos en su bucket de S3. Si el registro de errores está activado, Amazon Data Firehose también envía los errores de entrega de datos al grupo de CloudWatch registros y a las transmisiones. Amazon Data Firehose usa un IAM rol para acceder a la colección OpenSearch Serverless, al bucket de S3, a la AWS KMS clave y al grupo de CloudWatch registros y a las transmisiones especificados. Debes tener un IAM rol al crear una transmisión de Firehose.
Utilice la siguiente política de acceso para permitir que Amazon Data Firehose acceda al bucket de S3, al dominio OpenSearch sin servidor y a la clave. AWS KMS Si el bucket de S3 no es de su propiedad, agregue s3:PutObjectAcl a la lista de acciones de Amazon S3, ya que le concede al propietario del bucket acceso completo a los objetos entregados por Amazon Data Firehose. Esta política también incluye una declaración que permite el acceso a Amazon Kinesis Data Streams. Si no utiliza Kinesis Data Streams como origen de datos, puede eliminar dicha declaración.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:AbortMultipartUpload", "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ], "Condition": { "StringEquals": { "kms:ViaService": "s3.region.amazonaws.com" }, "StringLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket/prefix*" } } }, { "Effect": "Allow", "Action": [ "kinesis:DescribeStream", "kinesis:GetShardIterator", "kinesis:GetRecords", "kinesis:ListShards" ], "Resource": "arn:aws:kinesis:region:account-id:stream/stream-name" }, { "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:region:account-id:log-group:log-group-name:log-stream:log-stream-name" ] }, { "Effect": "Allow", "Action": [ "lambda:InvokeFunction", "lambda:GetFunctionConfiguration" ], "Resource": [ "arn:aws:lambda:region:account-id:function:function-name:function-version" ] }, { "Effect": "Allow", "Action": "aoss:APIAccessAll", "Resource": "arn:aws:aoss:region:account-id:collection/collection-id" } ] }
Además de la política anterior, también debe configurar Amazon Data Firehose para que se asignen los siguientes permisos mínimos en una política de acceso a los datos:
[ { "Rules":[ { "ResourceType":"index", "Resource":[ "index/target-collection/target-index" ], "Permission":[ "aoss:WriteDocument", "aoss:UpdateIndex", "aoss:CreateIndex" ] } ], "Principal":[ "arn:aws:sts::account-id:assumed-role/firehose-delivery-role-name/*" ] } ]
Para obtener más información sobre cómo permitir que otros AWS servicios accedan a sus AWS recursos, consulte Creación de un rol para delegar permisos a un AWS servicio en la Guía del IAMusuario.
Conceda a Firehose acceso a un destino OpenSearch sin servidor en un VPC
Si su colección OpenSearch Serverless está en unVPC, asegúrese de conceder a Amazon Data Firehose los permisos que se describen en la sección anterior. Además, debe conceder a Amazon Data Firehose los siguientes permisos para que pueda acceder a su colección OpenSearch Serverless. VPC
-
ec2:DescribeVpcs -
ec2:DescribeVpcAttribute -
ec2:DescribeSubnets -
ec2:DescribeSecurityGroups -
ec2:DescribeNetworkInterfaces -
ec2:CreateNetworkInterface -
ec2:CreateNetworkInterfacePermission -
ec2:DeleteNetworkInterface
importante
No revoque estos permisos después de crear el flujo de Firehose. Si revocas estos permisos, tu transmisión de Firehose se degradará o dejará de entregar datos a OpenSearch tu dominio de servicio cada vez que el servicio intente realizar consultas o actualizarlos. ENIs
importante
Cuando especifiques subredes para entregar datos al destino en un entorno privadoVPC, asegúrate de tener un número suficiente de direcciones IP libres en las subredes elegidas. Si no hay una dirección IP gratuita disponible en una subred específica, Firehose no podrá crear ni ENIs añadir para la entrega de datos en la red VPC privada, y la entrega se degradará o fallará.
Cuando creas o actualizas tu transmisión de Firehose, especificas un grupo de seguridad para que Firehose lo use cuando envíe datos a tu colección Serverless. OpenSearch Puedes usar el mismo grupo de seguridad que usa la colección OpenSearch Serverless o uno diferente. Si especifica un grupo de seguridad diferente, asegúrese de que permita el HTTPS tráfico saliente al grupo de seguridad de la colección OpenSearch Serverless. Asegúrese también de que el grupo de seguridad de la colección OpenSearch Serverless permita el HTTPS tráfico desde el grupo de seguridad que especificó al configurar la transmisión Firehose. Si utilizas el mismo grupo de seguridad tanto para la transmisión de Firehose como para la colección OpenSearch Serverless, asegúrate de que la regla de entrada del grupo de seguridad permita el tráfico. HTTPS Para obtener más información sobre las reglas de grupos de seguridad, consulta Reglas de grupos de seguridad en la VPC documentación de Amazon.
Concesión a Firehose de acceso a un destino de Splunk
Cuando utiliza un destino de Splunk, Amazon Data Firehose envía los datos a su punto final de HTTP Splunk Event Collector HEC (). También hace una copia de seguridad de esos datos en el depósito de Amazon S3 que especifique y, si lo desea, puede utilizar una AWS KMS clave de su propiedad para el cifrado del lado del servidor de Amazon S3. Si el registro de errores está activado, Firehose envía los errores de entrega de datos a sus flujos de CloudWatch registro. También se puede utilizar AWS Lambda para la transformación de datos.
Si utilizas un balanceador de AWS cargas, asegúrate de que sea un Classic Load Balancer o un Application Load Balancer. Además, habilite las sesiones persistentes basadas en la duración con la caducidad de las cookies deshabilitada para el equilibrador de carga clásico y la caducidad establecida en el máximo (7 días) para el equilibrador de carga de aplicación. Para obtener información sobre cómo hacerlo, consulte Persistencia de la sesión basada en la duración para el equilibrador de carga clásico o el equilibrador de carga de aplicación.
Debes tener un IAM rol al crear una transmisión de Firehose. Firehose asume esa IAM función y obtiene acceso al bucket, la clave y el grupo de CloudWatch registros y las transmisiones especificados.
Utilice la siguiente política de acceso para permitir a Amazon Data Firehose acceder al bucket de S3. Si el bucket de S3 no es de su propiedad, agregue s3:PutObjectAcl a la lista de acciones de Amazon S3, ya que le concede al propietario del bucket acceso completo a los objetos entregados por Amazon Data Firehose. Esta política también otorga a Amazon Data Firehose acceso para el registro de errores y CloudWatch AWS Lambda para la transformación de datos. La política también incluye una declaración que permite el acceso a Amazon Kinesis Data Streams. Si no utiliza Kinesis Data Streams como origen de datos, puede eliminar dicha declaración. Amazon Data Firehose no se utiliza IAM para acceder a Splunk. Para acceder a Splunk, utiliza tu token. HEC
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:AbortMultipartUpload", "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ], "Condition": { "StringEquals": { "kms:ViaService": "s3.region.amazonaws.com" }, "StringLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket/prefix*" } } }, { "Effect": "Allow", "Action": [ "kinesis:DescribeStream", "kinesis:GetShardIterator", "kinesis:GetRecords", "kinesis:ListShards" ], "Resource": "arn:aws:kinesis:region:account-id:stream/stream-name" }, { "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:region:account-id:log-group:log-group-name:log-stream:*" ] }, { "Effect": "Allow", "Action": [ "lambda:InvokeFunction", "lambda:GetFunctionConfiguration" ], "Resource": [ "arn:aws:lambda:region:account-id:function:function-name:function-version" ] } ] }
Para obtener más información sobre cómo permitir que otros AWS servicios accedan a sus AWS recursos, consulte Crear un rol para delegar permisos a un AWS servicio en la Guía del IAM usuario.
Acceder a Splunk en VPC
Si su plataforma Splunk está en unVPC, debe ser de acceso público con una dirección IP pública. Además, conceda a Amazon Data Firehose acceso a la plataforma Splunk; para ello, desbloquee las direcciones IP de Amazon Data Firehose. Amazon Data Firehose utiliza actualmente los siguientes CIDR bloques.
| Región | CIDRbloques |
|---|---|
| US East (Ohio) |
|
| Este de EE. UU. (Norte de Virginia) | 34.238.188.128/26, 34.238.188.192/26,
34.238.195.0/26 |
| Oeste de EE. UU. (Norte de California) | 13.57.180.0/26 |
| Oeste de EE. UU. (Oregón) | 34.216.24.32/27, 34.216.24.192/27,
34.216.24.224/27 |
| AWS GovCloud (Este de EE. UU.) | 18.253.138.192/26 |
| AWS GovCloud (Estados Unidos-Oeste) | 52.61.204.192/26 |
| Asia-Pacífico (Hong Kong) | 18.162.221.64/26 |
| Asia-Pacífico (Bombay) | 13.232.67.64/26 |
| Asia-Pacífico (Seúl) | 13.209.71.0/26 |
| Asia-Pacífico (Singapur) | 13.229.187.128/26 |
| Asia-Pacífico (Sídney) | 13.211.12.0/26 |
| Asia-Pacífico (Tokio) | 13.230.21.0/27, 13.230.21.32/27 |
| Canadá (centro) | 35.183.92.64/26 |
| Oeste de Canadá (Calgary | 40.176.98.128/26 |
| Europa (Fráncfort) | 18.194.95.192/27, 18.194.95.224/27,
18.195.48.0/27 |
| Europa (Irlanda) | 34.241.197.32/27, 34.241.197.64/27,
34.241.197.96/27 |
| Europa (Londres) | 18.130.91.0/26 |
| Europa (París) | 35.180.112.0/26 |
| Europa (España) | 18.100.194.0/26 |
| Europa (Estocolmo) | 13.53.191.0/26 |
| Medio Oriente (Baréin) | 15.185.91.64/26 |
| América del Sur (São Paulo) | 18.228.1.192/26 |
| Europa (Milán) | 15.161.135.192/26 |
| África (Ciudad del Cabo) | 13.244.165.128/26 |
| Asia-Pacífico (Osaka) | 13.208.217.0/26 |
| China (Pekín) | 52.81.151.64/26 |
| China (Ningxia) | 161.189.23.128/26 |
| Asia-Pacífico (Yakarta) | 108.136.221.128/26 |
| Oriente Medio () UAE | 3.28.159.64/26 |
| Israel (Tel Aviv) | 51.16.102.64/26 |
| Europa (Zúrich) | 16.62.183.64/26 |
| Asia-Pacífico (Hyderabad) | 18.60.192.192/26 |
| Asia-Pacífico (Melbourne) | 16.50.161.192/26 |
| Asia-Pacífico (Malasia) | 43.216.44.192/26 |
Ingiera los registros VPC de flujo en Splunk mediante Amazon Data Firehose
Para obtener más información sobre cómo crear una suscripción a registros de VPC flujo, publicar en Firehose y enviar los registros de VPC flujo a un destino compatible, consulte Ingerir registros de VPC flujo en Splunk con Amazon
Acceder a Snowflake o Endpoint HTTP
No hay ningún subconjunto de rangos de direcciones AWS IP específico para Amazon Data Firehose cuando el destino HTTP es un punto final o clústeres públicos de Snowflake.
Para añadir Firehose a una lista de permitidos para clústeres públicos de Snowflake o a sus HTTPS puntos de conexión públicos HTTP o de punto final, añada todos los rangos de direcciones AWS IP actuales a sus reglas de entrada.
nota
Las notificaciones no siempre provienen de direcciones IP de la misma AWS región que el tema asociado. Debes incluir el rango de direcciones AWS IP de todas las regiones.
Concesión a Firehose de acceso a un destino de Snowflake
Cuando utilizas Snowflake como destino, Firehose envía los datos a una cuenta de Snowflake mediante tu cuenta de Snowflake. URL También hace copias de seguridad de los datos de error en el depósito de Amazon Simple Storage Service que especifique y, si lo desea, puede utilizar una AWS Key Management Service clave de su propiedad para el cifrado del lado del servidor de Amazon S3. Si el registro de errores está activado, Firehose envía los errores de entrega de datos a tus flujos de CloudWatch Logs.
Debes tener un IAM rol antes de crear una transmisión de Firehose. Firehose asume esa IAM función y obtiene acceso al bucket, la clave y el grupo de CloudWatch registros y las transmisiones especificados. Utilice la siguiente política de acceso para permitir a Firehose obtener acceso al bucket de S3. Si el bucket de S3 no es de su propiedad, agregue s3:PutObjectAcl a la lista de acciones de Amazon Simple Storage Service, ya que le concede al propietario del bucket acceso completo a los objetos entregados por Firehose. Esta política también otorga a Firehose acceso CloudWatch para el registro de errores. La política también incluye una declaración que permite el acceso a Amazon Kinesis Data Streams. Si no utiliza Kinesis Data Streams como origen de datos, puede eliminar dicha declaración. Firehose no se usa IAM para acceder a Snowflake. Para acceder a Snowflake, utiliza la URL de su cuenta de Snowflake y el ID de PrivateLink Vpce en el caso de un clúster privado.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:AbortMultipartUpload", "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ], "Condition": { "StringEquals": { "kms:ViaService": "s3.region.amazonaws.com" }, "StringLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket/prefix*" } } }, { "Effect": "Allow", "Action": [ "kinesis:DescribeStream", "kinesis:GetShardIterator", "kinesis:GetRecords", "kinesis:ListShards" ], "Resource": "arn:aws:kinesis:region:account-id:stream/stream-name" }, { "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:region:account-id:log-group:log-group-name:log-stream:*" ] } ] }
Para obtener más información sobre cómo permitir que otros AWS servicios accedan a sus AWS recursos, consulte Creación de un rol para delegar permisos a un AWS servicio en la Guía del usuario. IAM
Acceder a Snowflake en VPC
Si su clúster de Snowflake tiene habilitados los enlaces privados, Firehose utilizará uno de los siguientes VPC puntos de conexión al momento de crear el enlace privado para entregar los datos a su clúster privado sin pasar por Internet público. Para ello, cree reglas de red de Snowflake que permitan la entrada desde los siguientes AwsVpceIds puntos para el clúster en el que se encuentra. Región de AWS Para obtener más información, consulte Creating network rule
| Región de AWS | VPCE IDs |
|---|---|
| Este de EE. UU. (Ohio) |
vpce-0d96cafcd96a50aeb vpce-0cec34343d48f537b |
| Este de EE. UU. (Norte de Virginia) |
vpce-0b4d7e8478e141ba8 vpce-0b75cd681fb507352 vpce-01c03e63820ec00d8 vpce-0c2cfc51dc2882422 vpce-06ca862f019e4e056 vpce-020cda0cfa63f8d1c vpce-0b80504a1a783cd70 vpce-0289b9ff0b5259a96 vpce-0d7add8628bd69a12 vpce-02bfb5966cc59b2af vpce-09e707674af878bf2 vpce-049b52e96cc1a2165 vpce-0bb6c7b7a8a86cdbb vpce-03b22d599f51e80f3 vpce-01d60dc60fc106fe1 vpce-0186d20a4b24ecbef vpce-0533906401a36e416 vpce-05111fb13d396710e vpce-0694613f4fbd6f514 vpce-09b21cb25fe4cc4f4 vpce-06029c3550e4d2399 vpce-00961862a21b033da vpce-01620b9ae33273587 vpce-078cf4ec226880ac9 vpce-0d711bf076ce56381 vpce-066b7e13cbfca6f6e vpce-0674541252d9ccc26 vpce-03540b88dedb4b000 vpce-0b1828e79ad394b95 vpce-0dc0e6f001fb1a60d vpce-0d8f82e71a244098a vpce-00e374d9e3f1af5ce vpce-0c1e3d6631ddb442f |
| Oeste de EE. UU. (Oregón) |
vpce-0f60f72da4cd1e4e7 vpce-0c60d21eb8b1669fd vpce-01c4e3e29afdafbef vpce-0cc6bf2a88da139de vpce-0797e08e169e50662 vpce-033cbe480381b5c0e vpce-00debbdd8f9eb10a5 vpce-08ec2f386c809e889 vpce-0856d14310857b545 |
| Europa (Fráncfort) |
vpce-068dbb7d71c9460fb vpce-0a7a7f095942d4ec9 |
| Europa (Irlanda) |
vpce-06857e59c005a6276 vpce-04390f4f8778b75f2 vpce-011fd2b1f0aa172fd |
| Asia-Pacífico (Tokio) |
vpce-06369e5258144e68a vpce-0f2363cdb8926fbe8 |
| Asia-Pacífico (Singapur) |
vpce-049cd46cce7a12d52 vpce-0e8965a1a4bdb8941 |
| Asia-Pacífico (Seúl) |
vpce-0aa444d9001e1faa1 vpce-04a49d4dcfd02b884 |
| Asia-Pacífico (Sídney) |
vpce-048a60a182c52be63 vpce-03c19949787fd1859 |
| Asia-Pacífico (Mumbai) |
vpce-0d68cb822f6f0db68 vpce-0517d32692ffcbde2 |
| Europa (Londres) |
vpce-0fd1874a0ba3b9374 vpce-08091b1a85e206029 |
| América del Sur (São Paulo) |
vpce-065169b8144e4f12e vpce-0493699f0e5762d63 |
| Canadá (centro) |
vpce-07e6ed81689d5271f vpce-0f53239730541394c |
| Europa (París) |
vpce-09419680077e6488a vpce-0ea81ba2c08140c14 |
| Asia-Pacífico (Osaka) |
vpce-0a9f003e6a7e38c05 vpce-02886510b897b1c5a |
| Europa (Estocolmo) |
vpce-0d96410833219025a vpce-060a32f9a75ba969f |
| Asia-Pacífico (Yakarta) |
vpce-00add4b9a25e5c649 vpce-004ae2de34338a856 |
Otorgue a Firehose acceso a un HTTP destino de punto final
Puede usar Amazon Data Firehose para entregar datos a cualquier destino de HTTP punto final. Amazon Data Firehose también crea copias de seguridad de dichos datos en el bucket de Amazon S3 que especifique y le ofrece la posibilidad de utilizar una clave de AWS KMS de su propiedad para el cifrado del servidor de Amazon S3. Si el registro de errores está activado, Amazon Data Firehose envía los errores de entrega de datos a sus flujos de CloudWatch registro. También se puede utilizar AWS Lambda para la transformación de datos.
Debes tener un IAM rol al crear una transmisión de Firehose. Amazon Data Firehose asume esa IAM función y obtiene acceso al bucket, la clave y el grupo de CloudWatch registros y las transmisiones especificados.
Utilice la siguiente política de acceso para permitir a Amazon Data Firehose acceder al bucket de S3 que haya especificado para la copia de seguridad de los datos. Si el bucket de S3 no es de su propiedad, agregue s3:PutObjectAcl a la lista de acciones de Amazon S3, ya que le concede al propietario del bucket acceso completo a los objetos entregados por Amazon Data Firehose. Esta política también otorga a Amazon Data Firehose acceso para el registro de errores y CloudWatch AWS Lambda para la transformación de datos. La política también incluye una declaración que permite el acceso a Amazon Kinesis Data Streams. Si no utiliza Kinesis Data Streams como origen de datos, puede eliminar dicha declaración.
importante
Amazon Data Firehose no se utiliza IAM para acceder a destinos de HTTP punto final propiedad de proveedores de servicios externos compatibles, como Datadog, Dynatrace, MongoDB, New Relic LogicMonitor, Splunk o Sumo Logic. Para acceder a un destino de HTTP punto final específico propiedad de un proveedor de servicios externo compatible, póngase en contacto con ese proveedor de servicios para obtener la API clave o la clave de acceso necesaria para permitir la entrega de datos a ese servicio desde Amazon Data Firehose.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:AbortMultipartUpload", "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ], "Condition": { "StringEquals": { "kms:ViaService": "s3.region.amazonaws.com" }, "StringLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket/prefix*" } } }, { "Effect": "Allow", "Action": [ "kinesis:DescribeStream", "kinesis:GetShardIterator", "kinesis:GetRecords", "kinesis:ListShards" ], "Resource": "arn:aws:kinesis:region:account-id:stream/stream-name" }, { "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:region:account-id:log-group:log-group-name:log-stream:*" ] }, { "Effect": "Allow", "Action": [ "lambda:InvokeFunction", "lambda:GetFunctionConfiguration" ], "Resource": [ "arn:aws:lambda:region:account-id:function:function-name:function-version" ] } ] }
Para obtener más información sobre cómo permitir que otros AWS servicios accedan a sus AWS recursos, consulte Creación de un rol para delegar permisos a un AWS servicio en la Guía del IAM usuario.
importante
Actualmente, Amazon Data Firehose NOT admite la entrega de datos a los HTTP puntos finales de un. VPC
Envío multicuenta desde Amazon MSK
Cuando creas una transmisión de Firehose desde tu cuenta de Firehose (por ejemplo, la cuenta B) y tu fuente es un MSK clúster de otra AWS cuenta (cuenta A), debes tener implementadas las siguientes configuraciones.
Cuenta A:
En la MSK consola de Amazon, selecciona el clúster aprovisionado y, a continuación, selecciona Propiedades.
En Configuración de red, selecciona Editar y activa la VPCconectividad múltiple.
En Configuración de seguridad, seleccione Editar política del clúster.
Si el clúster aún no tiene ninguna política configurada, marque Incluir entidad principal de servicio de Firehose y Habilitar entrega de S3 entre cuentas de Firehose. AWS Management Console Generará automáticamente una política con los permisos adecuados.
-
Si el clúster ya tiene una política configurada, agregue los siguientes permisos a la política existente:
{ "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::arn:role/mskaasTestDeliveryRole" }, "Action": [ "kafka:GetBootstrapBrokers", "kafka:DescribeCluster", "kafka:DescribeClusterV2", "kafka-cluster:Connect" ], "Resource": "arn:aws:kafka:us-east-1:arn:cluster/DO-NOT-TOUCH-mskaas-provisioned-privateLink/xxxxxxxxx-2f3a-462a-ba09-xxxxxxxxxx-20" // ARN of the cluster }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::arn:role/mskaasTestDeliveryRole" }, "Action": [ "kafka-cluster:DescribeTopic", "kafka-cluster:DescribeTopicDynamicConfiguration", "kafka-cluster:ReadData" ], "Resource": "arn:aws:kafka:us-east-1:arn:topic/DO-NOT-TOUCH-mskaas-provisioned-privateLink/xxxxxxxxx-2f3a-462a-ba09-xxxxxxxxxx-20/*"//topic of the cluster }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::233450236687:role/mskaasTestDeliveryRole" }, "Action": "kafka-cluster:DescribeGroup", "Resource": "arn:aws:kafka:us-east-1:arn:group/DO-NOT-TOUCH-mskaas-provisioned-privateLink/xxxxxxxxx-2f3a-462a-ba09-xxxxxxxxxx-20/*" //topic of the cluster }, }
En Entidad principal de AWS , ingrese el ID de la entidad principal de la cuenta B.
En Tema, especifique el tema de Apache Kafka del que desea que su flujo de Firehose ingiera datos. Una vez creado el flujo de Firehose, no podrá actualizar este tema.
Elija Guardar cambios.
Cuenta B:
En la consola de Firehose, elija Crear flujo de Firehose con la cuenta B.
En Origen, elija Amazon Managed Streaming para Apache Kafka.
En Configuración de código fuente, para el clúster Amazon Managed Streaming for Apache Kafka, introduzca el clúster ARN de Amazon en la MSK cuenta A.
En Tema, especifique el tema de Apache Kafka del que desea que su flujo de Firehose ingiera datos. Una vez creado el flujo de Firehose, no podrá actualizar este tema.
-
En Nombre del flujo de entrega, indique el nombre para el flujo de Firehose.
En la cuenta B, al crear tu transmisión de Firehose, debes tener un IAM rol (que se crea de forma predeterminada al usar la AWS Management Console) que conceda a la transmisión de Firehose acceso de «lectura» al MSK clúster multicuenta de Amazon para el tema configurado.
A continuación se indica lo que configura la AWS Management Console:
{ "Sid": "", "Effect": "Allow", "Action": [ "kafka:GetBootstrapBrokers", "kafka:DescribeCluster", "kafka:DescribeClusterV2", "kafka-cluster:Connect" ], "Resource": "arn:aws:kafka:us-east-1:arn:cluster/DO-NOT-TOUCH-mskaas-provisioned-privateLink/xxxxxxxxx-2f3a-462a-ba09-xxxxxxxxxx-20/*" //topic of the cluster }, { "Sid": "", "Effect": "Allow", "Action": [ "kafka-cluster:DescribeTopic", "kafka-cluster:DescribeTopicDynamicConfiguration", "kafka-cluster:ReadData" ], "Resource": "arn:aws:kafka:us-east-1:arn:topic/DO-NOT-TOUCH-mskaas-provisioned-privateLink/xxxxxxxxx-2f3a-462a-ba09-xxxxxxxxxx-20/mskaas_test_topic" //topic of the cluster }, { "Sid": "", "Effect": "Allow", "Action": [ "kafka-cluster:DescribeGroup" ], "Resource": "arn:aws:kafka:us-east-1:arn:group/DO-NOT-TOUCH-mskaas-provisioned-privateLink/xxxxxxxxx-2f3a-462a-ba09-xxxxxxxxxx-20/*" //topic of the cluster }, }
Luego, puede completar el paso opcional de configurar la transformación de registros y la conversión del formato de registros. Para obtener más información, consulte (Opcional) Configuración de la transformación de registros y de la conversión de formato.
Entrega entre cuentas en un destino de Amazon S3
Puede usar Amazon Data Firehose AWS CLI o Amazon APIs para crear una transmisión de Firehose en una AWS cuenta con un destino de Amazon S3 en otra cuenta. En el siguiente procedimiento, se muestra un ejemplo de cómo configurar un flujo de Firehose propiedad de la cuenta A para entregar datos en un bucket de Amazon S3 propiedad de la cuenta B.
-
Cree un IAM rol en la cuenta A siguiendo los pasos descritos en Conceder a Firehose acceso a un destino de Amazon S3.
nota
En este caso, el bucket de Amazon S3 especificado en la política de acceso es propiedad de la cuenta B. Asegúrese de agregar
s3:PutObjectAcla la lista de acciones de Amazon S3 en la política de acceso, ya que concede a la cuenta B acceso completo a los objetos entregados por Amazon Data Firehose. Este permiso es necesario para la entrega entre cuentas. Amazon Data Firehose establece el encabezado "x-amz-acl" de la solicitud en "»bucket-owner-full-control. -
Para permitir el acceso desde el rol de IAM creado anteriormente, cree una política de bucket de S3 en la cuenta B. El código siguiente es un ejemplo de la política del bucket. Para obtener más información, consulte Uso de políticas de bucket y usuario.
{ "Version": "2012-10-17", "Id": "PolicyID", "Statement": [ { "Sid": "StmtID", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::accountA-id:role/iam-role-name" }, "Action": [ "s3:AbortMultipartUpload", "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ] } ] } -
Crea una transmisión de Firehose en la cuenta A con el IAM rol que creaste en el paso 1.
Entrega multicuenta a un OpenSearch destino del servicio
Puedes usar la Firehose AWS CLI o la Amazon Data Firehose APIs para crear una transmisión de Firehose en una AWS cuenta con un destino de OpenSearch servicio en otra cuenta. El siguiente procedimiento muestra un ejemplo de cómo se puede crear una transmisión Firehose en la cuenta A y configurarla para que entregue datos a un destino de OpenSearch servicio propiedad de la cuenta B.
-
Cree un rol de IAM en la cuenta A siguiendo los pasos que se describen en Conceda a Firehose acceso a un destino de servicio público OpenSearch .
-
Para permitir el acceso desde el IAM rol que creó en el paso anterior, cree una política de OpenSearch servicio en la cuenta B. A continuación JSON se muestra un ejemplo.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::Account-A-ID:role/firehose_delivery_role " }, "Action": "es:ESHttpGet", "Resource": [ "arn:aws:es:us-east-1:Account-B-ID:domain/cross-account-cluster/_all/_settings", "arn:aws:es:us-east-1:Account-B-ID:domain/cross-account-cluster/_cluster/stats", "arn:aws:es:us-east-1:Account-B-ID:domain/cross-account-cluster/roletest*/_mapping/roletest", "arn:aws:es:us-east-1:Account-B-ID:domain/cross-account-cluster/_nodes", "arn:aws:es:us-east-1:Account-B-ID:domain/cross-account-cluster/_nodes/stats", "arn:aws:es:us-east-1:Account-B-ID:domain/cross-account-cluster/_nodes/*/stats", "arn:aws:es:us-east-1:Account-B-ID:domain/cross-account-cluster/_stats", "arn:aws:es:us-east-1:Account-B-ID:domain/cross-account-cluster/roletest*/_stats", "arn:aws:es:us-east-1:Account-B-ID:domain/cross-account-cluster/" ] } ] } -
Crea una transmisión de Firehose en la cuenta A con el IAM rol que creaste en el paso 1. Cuando cree la transmisión Firehose, utilice Amazon Data Firehose AWS CLI o Amazon APIs y especifique el
ClusterEndpointcampo en lugar de Servicio.DomainARNOpenSearch
nota
Para crear una transmisión de Firehose en una AWS cuenta con un destino de OpenSearch servicio en otra cuenta, debes usar Amazon AWS CLI Data Firehose. APIs No puedes usar el AWS Management Console para crear este tipo de configuración multicuenta.
Uso de etiquetas para controlar el acceso
Puede utilizar el Condition elemento (o Condition bloque) opcional de una IAM política para ajustar el acceso a las operaciones de Amazon Data Firehose en función de las claves y los valores de las etiquetas. En las siguientes subsecciones, se describe cómo hacerlo para las distintas operaciones de Amazon Data Firehose. Para obtener más información sobre el uso del Condition elemento y los operadores que puede utilizar en él, consulte Elementos de la IAM JSON política: condición.
CreateDeliveryStream
Para la operación CreateDeliveryStream, utilice la clave de condición aws:RequestTag. En el ejemplo siguiente, MyKey y MyValue representan la clave y el valor correspondiente de una etiqueta. Para obtener más información, consulte Comprensión de los conceptos básicos sobre etiquetas
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "firehose:CreateDeliveryStream", "firehose:TagDeliveryStream" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/MyKey": "MyValue" } } }] }
TagDeliveryStream
Para la operación TagDeliveryStream, utilice la clave de condición aws:TagKeys. En el ejemplo siguiente, MyKey es un ejemplo de clave de etiqueta.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "firehose:TagDeliveryStream", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "MyKey" } } } ] }
UntagDeliveryStream
Para la operación UntagDeliveryStream, utilice la clave de condición aws:TagKeys. En el ejemplo siguiente, MyKey es un ejemplo de clave de etiqueta.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "firehose:UntagDeliveryStream", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "MyKey" } } } ] }
ListDeliveryStreams
No se puede utilizar el control de acceso basado en etiquetas con ListDeliveryStreams.
Otras operaciones
Para las operaciones de Firehose distintas de CreateDeliveryStream, TagDeliveryStream, UntagDeliveryStream y ListDeliveryStreams, utilice la clave de condición aws:RequestTag. En el ejemplo siguiente, MyKey y MyValue representan la clave y el valor correspondiente de una etiqueta.
ListDeliveryStreams, utilice la clave de condición firehose:ResourceTag para controlar el acceso en función de las etiquetas de ese flujo de Firehose.
En el ejemplo siguiente, MyKey y MyValue representan la clave y el valor correspondiente de una etiqueta. La política solo se aplica a los flujos de Data Firehose que tengan una etiqueta denominada MyKey con un valor de MyValue. Para obtener más información sobre cómo controlar el acceso en función de las etiquetas de los recursos, consulte Controlar el acceso a AWS los recursos mediante etiquetas en la Guía del IAM usuario.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "firehose:DescribeDeliveryStream", "Resource": "*", "Condition": { "StringEquals": { "firehose:ResourceTag/MyKey": "MyValue" } } } ] }
