Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Acceso a Amazon QLDB mediante un punto de conexión de interfaz (AWS PrivateLink)
Puede utilizarla AWS PrivateLink para crear una conexión privada entre su VPC y Amazon QLDB. Puede acceder a la QLDB como si estuviera en su VPC, sin utilizar una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión. AWS Direct Connect Las instancias de la VPC no necesitan direcciones IP públicas para acceder a QLDB.
Esta conexión privada se establece mediante la creación de un punto de conexión de interfaz alimentado por AWS PrivateLink. Creamos una interfaz de red de punto de conexión en cada subred habilitada para el punto de conexión de interfaz. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado a QLDB.
Para obtener más información, consulte Acceso a los Servicios de AWS a través de AWS PrivateLink en la Guía de AWS PrivateLink .
Temas
Consideraciones sobre QLDB
Antes de configurar un punto de conexión de interfaz para QLDB, consulte Consideraciones en la Guía de AWS PrivateLink .
nota
QLDB solo admite realizar llamadas a la API de datos transaccionales de la sesión de QLDB a través del punto de conexión de la interfaz. Esta API incluye solo la operación. SendCommand En el modo de permisos STANDARD de un libro mayor, puede controlar los permisos para acciones PartiQL específicas en esta API.
Creación de un punto de conexión de interfaz para QLDB
Puede crear un punto final de interfaz para la QLDB mediante la consola Amazon VPC o el (). AWS Command Line Interface AWS CLI Para obtener más información, consulte Creación de un punto de conexión de interfaz en la Guía de AWS PrivateLink .
Cree un punto de conexión de interfaz para QLDB con el siguiente nombre de servicio:
com.amazonaws.region.qldb.session
Si habilita DNS privado para el punto de conexión de interfaz, puede realizar solicitudes API a QLDB usando su nombre de DNS predeterminado para la región. Por ejemplo, session.qldb.us-east-1.amazonaws.com.
Creación de una política de puntos de conexión para el punto de conexión de interfaz
Una política de punto de conexión es un recurso de IAM que puede adjuntar al punto de conexión de su interfaz. La política de puntos de conexión predeterminada permite acceso completo a QLDB a través del punto de conexión de interfaz. Para controlar el acceso permitido a QLDB desde la VPC, adjunte una política de puntos de conexión personalizada al punto de conexión de interfaz.
Una política de punto de conexión especifica la siguiente información:
-
Las entidades principales que pueden llevar a cabo acciones (Cuentas de AWS, usuarios y roles).
-
Las acciones que se pueden realizar.
-
El recurso en el que se pueden realizar las acciones.
Para obtener más información, consulte Control del acceso a los servicios con políticas de punto de conexión en la Guía del usuario de AWS PrivateLink .
También puede usar el campo Condition en una política asociada a un usuario, grupo o rol para permitir el acceso solo desde un punto de conexión de interfaz específico. Si se usan juntas, las políticas de punto de conexión y las políticas de IAM pueden restringir el acceso a acciones específicas de QLDB en libros mayores específicos a un punto de conexión de interfaz específico.
Ejemplo de política de punto de conexión: restringir el acceso a un libro mayor de QLDB específico
A continuación, se muestra un ejemplo de una política de un punto de conexión personalizado para QLDB. Cuando se adjunta esta política a un punto de conexión de interfaz, se concede acceso a las acciones de SendCommand y a las acciones de solo lectura de PartiQL para todas las entidades principales en el recurso de libro mayor específico. En este ejemplo, el libro mayor debe estar en el modo de permisos STANDARD.
Para usar esta política, sustituya us-east-1, 123456789012 myExampleLedgery, en el ejemplo, por su propia información.
{ "Statement": [ { "Sid": "QLDBSendCommandPermission", "Principal": "*", "Effect": "Allow", "Action": "qldb:SendCommand", "Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger" }, { "Sid": "QLDBPartiQLReadOnlyPermissions", "Principal": "*", "Effect": "Allow", "Action": [ "qldb:PartiQLSelect", "qldb:PartiQLHistoryFunction" ], "Resource": [ "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/table/*", "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/information_schema/user_tables" ] } ] }
Ejemplo de política de IAM: restringir el acceso a un libro mayor de QLDB únicamente desde un punto de conexión de interfaz específico
A continuación se muestra un ejemplo de una política de IAM basada en identidades para QLDB. Al asociar esta política a un usuario, rol o grupo, se permite a SendCommand el acceso a un recurso del libro mayor solo desde el punto de conexión de interfaz especificado.
Para usar esta política, sustituya us-east-1, 123456789012 y vpce-1a2b3c4d en el myExampleLedgerejemplo por su propia información.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessFromSpecificInterfaceEndpoint", "Effect": "Deny", "Action": "qldb:SendCommand", "Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger", "Condition": { "StringNotEquals": { "aws:sourceVpce": "vpce-1a2b3c4d" } } } ] }
Disponibilidad de puntos de conexión de interfaz para QLDB
Amazon QLDB admite puntos de conexión de interfaz con políticas en todas las Regiones de AWS donde esté disponible QLDB. Para ver una lista completa de las regiones disponibles, consulte Puntos de conexión y cuotas de Amazon QLDB en Referencia general de AWS.
