Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Puede utilizar un VPC punto de enlace de interfaz (AWS PrivateLink) para acceder a Amazon Data Firehose desde su dispositivo VPC sin necesidad de una pasarela de Internet o NAT una puerta de enlace. VPCLos puntos finales de la interfaz no requieren una pasarela de Internet, un NAT dispositivo, una VPN conexión o AWS Direct Connect una conexión. Los VPC puntos de enlace de la interfaz funcionan con una AWS tecnología que permite la comunicación privada entre AWS servicios mediante una interfaz de red elástica con privacidad IPs en AmazonVPC. AWS PrivateLink Para obtener más información, consulte Amazon Virtual Private Cloud.
Uso de VPC puntos finales de interfaz (AWS
PrivateLink) para Firehose
Para empezar, cree un VPC punto de enlace de interfaz para que el tráfico de Amazon Data Firehose procedente de sus VPC recursos de Amazon comience a fluir a través del punto de enlace de la interfazVPC. Cuando se crea un punto de conexión, puede adjuntar una política de punto de conexión que controle el acceso a Amazon Data Firehose. Para obtener más información sobre el uso de políticas para controlar el acceso desde un VPC punto final a Amazon Data Firehose, consulte Control del acceso a los servicios con VPC puntos de enlace.
El siguiente ejemplo muestra cómo configurar una AWS Lambda función en un punto final VPC y crear un VPC punto final para permitir que la función se comunique de forma segura con el servicio Amazon Data Firehose. En este ejemplo, utiliza una política que permite a la función de Lambda generar una lista de los flujos de Firehose de la región actual, pero no describir ningún flujo de Firehose.
Creación de un punto de enlace de VPC
Inicia sesión en la VPC consola de Amazon AWS Management Console y ábrela en https://console.aws.amazon.com/vpc/
. -
En el VPC panel de control, selecciona Endpoints.
-
Seleccione Crear punto de conexión.
-
En la lista de nombres de servicio, elija
com.amazonaws.
.your_region
.kinesis-firehose -
Elija una o más subredes en las que desee crear el punto final. VPC
-
Elija uno o varios grupos de seguridad para asociar con el punto de enlace.
-
En Policy (Política), elija Custom (Personalizada) y pegue la siguiente política:
{ "Statement": [ { "Sid": "Allow-only-specific-PrivateAPIs", "Principal": "*", "Action": [ "firehose:ListDeliveryStreams" ], "Effect": "Allow", "Resource": [ "*" ] }, { "Sid": "Allow-only-specific-PrivateAPIs", "Principal": "*", "Action": [ "firehose:DescribeDeliveryStream" ], "Effect": "Deny", "Resource": [ "*" ] } ] }
-
Elija Crear punto de conexión.
Crear un IAM rol para usarlo con la función Lambda
Abra la consola de IAM en https://console.aws.amazon.com/iam/
. -
En el panel de la izquierda, elija Roles y, a continuación, seleccione Crear rol.
-
En Seleccionar tipo de entidad de confianza, deje la selección predeterminada Servicio de AWS .
-
En Choose the service that will use this role (Elegir el servicio que usará este rol), elija Lambda.
-
Elija Next: Permissions (Siguiente: permisos).
-
En la lista de políticas, busque y añada las dos políticas denominadas
AWS LambdaVPCAccessExecutionRole
yAmazonDataFirehoseReadOnlyAccess
.importante
A continuación se muestra un ejemplo: Es posible que necesite políticas más estrictas para su entorno de producción.
-
Elija Siguiente: etiquetas. Para este ejercicio, no es necesario que añada ninguna etiqueta. Elija Siguiente: Revisar.
-
Ingrese un nombre para el rol y, a continuación, seleccione Crear rol.
Cree una función Lambda dentro del VPC
Abra la AWS Lambda consola en. https://console.aws.amazon.com/lambda/
-
Elija Create function (Crear función).
-
Elija Crear desde cero.
-
Introduzca un nombre para la función y establezca Runtime (Tiempo de ejecución) en
Python 3.9
o versiones posteriores. -
En Permissions (Permisos), expanda Choose or create an execution role (Seleccionar o crear un rol de ejecución).
-
En la lista Execution role (Rol de ejecución), elija Use an existing role (Usar un rol existente).
-
En la lista Existing role (Rol existente), elija el rol que creó antes.
-
Seleccione Crear función.
-
En Function code (Código de la función), pegue el siguiente código.
import json import boto3 import os from botocore.exceptions import ClientError def lambda_handler(event, context): REGION = os.environ['AWS_REGION'] client = boto3.client( 'firehose', REGION ) print("Calling list_delivery_streams with ListDeliveryStreams allowed policy.") delivery_stream_request = client.list_delivery_streams() print("Successfully returned list_delivery_streams request %s." % ( delivery_stream_request )) describe_access_denied = False try: print("Calling describe_delivery_stream with DescribeDeliveryStream denied policy.") delivery_stream_info = client.describe_delivery_stream(DeliveryStreamName='test-describe-denied') except ClientError as e: error_code = e.response['Error']['Code'] print ("Caught %s." % (error_code)) if error_code == 'AccessDeniedException': describe_access_denied = True if not describe_access_denied: raise else: print("Access denied test succeeded.")
-
En Basic settings (Configuración básica), establezca el tiempo de espera en 1 minuto.
-
En Red, elija el VPC lugar donde creó el punto final anteriormente y, a continuación, elija las subredes y el grupo de seguridad que asoció al punto final cuando lo creó.
-
Cerca de la parte superior de la página, elija Guardar.
-
Seleccione Probar.
-
Ingrese un nombre de evento y, a continuación, elija Crear.
-
Elija Test (Probar) de nuevo. Esto hace que la función se ejecute. Cuando aparezca el resultado de la ejecución, expanda Details (Detalles) y compare la salida de registro con el código de la función. Si la ejecución se realiza correctamente, los resultados muestran una lista de flujos de Firehose de la región, así como la siguiente salida:
Calling describe_delivery_stream.
AccessDeniedException
Access denied test succeeded.
Soportado Regiones de AWS
Los VPC puntos finales de interfaz se admiten actualmente en las siguientes regiones.
-
US East (Ohio)
-
Este de EE. UU. (Norte de Virginia)
-
Oeste de EE. UU. (Norte de California)
-
Oeste de EE. UU. (Oregón)
-
Asia-Pacífico (Bombay)
-
Asia-Pacífico (Seúl)
-
Asia-Pacífico (Singapur)
-
Asia-Pacífico (Sídney)
-
Asia-Pacífico (Tokio)
-
Asia-Pacífico (Hong Kong)
-
Canadá (centro)
-
Oeste de Canadá (Calgary
-
China (Pekín)
-
China (Ningxia)
-
Europa (Fráncfort)
-
Europa (Irlanda)
-
Europa (Londres)
-
Europa (París)
-
América del Sur (São Paulo)
-
AWS GovCloud (Este de EE. UU.)
-
AWS GovCloud (Estados Unidos-Oeste)
-
Europa (España)
-
Oriente Medio () UAE
-
Asia-Pacífico (Yakarta)
-
Asia-Pacífico (Osaka)
-
Israel (Tel Aviv)
-
Asia-Pacífico (Malasia)