Uso de Amazon Kinesis Data Streams con puntos de conexión de VPC de interfaz - Amazon Kinesis Data Streams
Uso de puntos de conexión de VPC de interfaz para Kinesis Data StreamsControl del acceso a puntos de conexión de VPCE para Kinesis Data StreamsDisponibilidad de las políticas de punto de conexión de VPC para Kinesis Data Streams

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de Amazon Kinesis Data Streams con puntos de conexión de VPC de interfaz

Puede utilizar un punto de conexión de VPC de interfaz para evitar que el tráfico entre Amazon VPC y Kinesis Data Streams abandone la red de Amazon. Los puntos finales de la interfaz VPC no requieren una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión. AWS Direct Connect Los puntos de enlace de la interfaz VPC funcionan con una AWS tecnología que permite la comunicación privada entre AWS servicios mediante una interfaz de red elástica con direcciones IP privadas en su Amazon VPC. AWS PrivateLink Para obtener más información, consulte Amazon Virtual Private Cloud e Interface VPC Endpoints ().AWS PrivateLink

Uso de puntos de conexión de VPC de interfaz para Kinesis Data Streams

Para empezar, no es necesario cambiar la configuración de las transmisiones, los productores ni los consumidores. Solo tiene que crear un punto de conexión de VPC de interfaz para que el tráfico de Kinesis Data Streams con origen y destino en los recursos de Amazon VPC comience a circular por el punto de conexión de VPC de interfaz. Para obtener más información, consulte Creación de un punto de conexión de interfaz.

La biblioteca de productores de Kinesis (KPL) y la biblioteca de consumidores de Kinesis (KCL) llaman a servicios como AWS Amazon y Amazon CloudWatch DynamoDB mediante puntos de enlace públicos o puntos de enlace de VPC de interfaz privada, según se utilicen. Por ejemplo, si su aplicación de KCL se ejecuta en una VPC con interfaz de DynamoDB con puntos de conexión de VPC habilitados, las llamadas entre DynamoDB y su aplicación de KCL fluyen a través del punto de conexión de VPC de interfaz.

Control del acceso a puntos de conexión de VPCE para Kinesis Data Streams

Las políticas de punto de enlace de la VPC le permiten controlar el acceso asociando una política a un punto de enlace de la VPC o utilizando campos adicionales en una política asociada a un usuario, grupo o rol de IAM para restringir el acceso para que solo se produzca a través del punto de enlace especificado de la VPC. Estas políticas se pueden utilizar para restringir el acceso a transmisiones específicas a un punto de enlace de la VPC especificado cuando se utilizan junto con las políticas de IAM para conceder acceso únicamente a las acciones de transmisión de datos de Kinesis a través del punto de enlace especificado de la VPC.

A continuación, se muestran ejemplos de políticas de punto de enlace para obtener acceder a las transmisiones de datos de Kinesis.

  • Ejemplo de política de VPC: acceso de solo lectura: esta política de ejemplo se puede asociar a un punto de enlace de la VPC. (Para obtener más información, consulte Control de acceso a recursos de Amazon VPC). Limita las acciones a solo enumerar y describir una transmisión de datos de Kinesis a través del punto de enlace de la VPC al que está asociada.

    
{
  "Statement": [
    {
      "Sid": "ReadOnly",
      "Principal": "*",
      "Action": [
        "kinesis:List*",
        "kinesis:Describe*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

  • Ejemplo de política de VPC: restringe el acceso a una transmisión de datos de Kinesis específica ; esta política de ejemplo se puede asociar a un punto de enlace de la VPC. Limita el acceso a una secuencia de datos específica a través del punto de enlace de la VPC al que está asociada.

    
{
  "Statement": [
    {
      "Sid": "AccessToSpecificDataStream",
      "Principal": "*",
      "Action": "kinesis:*",
      "Effect": "Allow",
      "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream"
    }
  ]
}

  • Ejemplo de política de IAM: restringe el acceso a una transmisión específica solo desde un punto de enlace específico de la VPC ; esta política de ejemplo se puede asociar a un usuario, rol o grupo de IAM. Restringe el acceso a una transmisión de datos de Kinesis especificada para que solo se produzca desde un punto de enlace especificado de la VPC.

    
{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "AccessFromSpecificEndpoint",
         "Action": "kinesis:*",
         "Effect": "Deny",
         "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream",
         "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-11aa22bb" } }
      }
   ]
}

Disponibilidad de las políticas de punto de conexión de VPC para Kinesis Data Streams

Los puntos de conexión de VPC de interfaz de Kinesis Data Streams con políticas se admiten en las siguientes regiones:

  • Europa (París)

  • Europa (Irlanda)

  • Este de EE. UU. (Norte de Virginia)

  • Europa (Estocolmo)

  • Este de EE. UU. (Ohio)

  • Europa (Fráncfort)

  • América del Sur (São Paulo)

  • Europa (Londres)

  • Asia-Pacífico (Tokio)

  • Oeste de EE. UU. (Norte de California)

  • Asia-Pacífico (Singapur)

  • Asia-Pacífico (Sídney)

  • China (Pekín)

  • China (Ningxia)

  • Asia-Pacífico (Hong Kong)

  • Medio Oriente (Baréin)

  • Medio Oriente (EAU)

  • Europa (Milán)

  • África (Ciudad del Cabo)

  • Asia-Pacífico (Bombay)

  • Asia-Pacífico (Seúl)

  • Canadá (Centro)

  • Oeste de EE. UU. (Oregón) excepto usw2-az4

  • AWS GovCloud (Este de EE. UU.)

  • AWS GovCloud (Estados Unidos-Oeste)

  • Asia-Pacífico (Osaka)

  • Europa (Zúrich)

  • Asia-Pacífico (Hyderabad)