Connectez-vous à Amazon Athena à l'aide d'un point de terminaison d'interface VPC - Amazon Athena
Création d'une politique de VPC point de terminaison pour AthenaÀ propos des VPC points de terminaison dans les sous-réseaux partagés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Connectez-vous à Amazon Athena à l'aide d'un point de terminaison d'interface VPC

Vous pouvez améliorer le niveau de sécurité de votre appareil VPC en utilisant un point de VPC terminaison d'interface (AWS PrivateLink) et un AWS Glue VPCpoint de terminaison dans votre cloud privé virtuel (VPC). Un point de VPC terminaison d'interface améliore la sécurité en vous permettant de contrôler les destinations accessibles depuis l'intérieur de votre ordinateurVPC. Chaque VPC point de terminaison est représenté par une ou plusieurs interfaces réseau élastiques (ENIs) avec des adresses IP privées dans vos VPC sous-réseaux.

Le point de VPC terminaison de l'interface vous connecte VPC directement à Athena sans passerelle Internet, NAT appareil, VPN connexion ou AWS Direct Connect connexion. Les instances que vous utilisez VPC n'ont pas besoin d'adresses IP publiques pour communiquer avec l'AthenaAPI.

Pour utiliser Athena via votreVPC, vous devez vous connecter à partir d'une instance située dans le VPC ou connecter votre réseau privé à votre réseau privé en VPC utilisant un réseau privé virtuel Amazon () VPN ou AWS Direct Connect. Pour plus d'informations sur AmazonVPN, consultez VPNles connexions dans le guide de l'utilisateur d'Amazon Virtual Private Cloud. Pour plus d'informations sur AWS Direct Connect, voir Création d'une connexion dans AWS Direct Connect Guide de l'utilisateur.

Athena prend en charge les VPC terminaux dans tous les domaines Régions AWS où Amazon VPC et Athena sont disponibles.

Vous pouvez créer un point de VPC terminaison d'interface pour vous connecter à Athena à l'aide du AWS Management Console or AWS Command Line Interface (AWS CLI) commandes. Pour plus d'informations, consultez Création d'un point de terminaison d'interface.

Après avoir créé un point de VPC terminaison d'interface, si vous activez les DNS noms d'hôte privés pour le point de terminaison, il s'agit du point de terminaison Athena par défaut (https://athena).Region.amazonaws.com) se résout sur votre point de terminaison. VPC

Si vous n'activez pas les DNS noms d'hôte privés, Amazon VPC fournit un nom de point de DNS terminaison que vous pouvez utiliser au format suivant :

VPC_Endpoint_ID.athena.Region.vpce.amazonaws.com

Pour plus d'informations, consultez la section VPC Points de terminaison de l'interface (AWS PrivateLink) dans le guide de VPC l'utilisateur Amazon.

Athena vous permet de faire appel à toutes ses APIactions en votre sein. VPC

Vous pouvez créer une politique pour les VPC points de terminaison Amazon pour Athena afin de spécifier des restrictions telles que les suivantes :

  • Principal : le principal qui peut exécuter des actions.

  • Actions : les actions qui peuvent être effectuées.

  • Ressources : les ressources sur lesquelles les actions peuvent être exécutées.

  • Identités fiables uniquement : utilisez aws:PrincipalOrgId cette condition pour restreindre l'accès aux seules informations d'identification qui font partie de votre AWS organisation. Cela peut permettre d'empêcher l'accès par des principaux involontaires.

  • Ressources approuvées uniquement : utilisez la condition aws:ResourceOrgId pour empêcher l'accès à des ressources involontaires.

  • Identités et ressources fiables uniquement : créez une politique combinée pour un VPC point de terminaison qui empêche l'accès à des principes et à des ressources non intentionnels.

Pour plus d'informations, consultez la section Contrôle de l'accès aux services avec des VPC points de terminaison dans le guide de VPC l'utilisateur Amazon et l'annexe 2 — exemples de politiques relatives aux VPC terminaux dans le AWS Livre blanc Création d'un périmètre de données sur AWS.

Exemple — politique relative aux VPC terminaux

L'exemple suivant autorise les demandes par identité d'organisation aux ressources de l'organisation et autorise les demandes par AWS principes de service.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "my-org-id",
                    "aws:ResourceOrgID": "my-org-id"
                }
            }
        },
        {
            "Sid": "AllowRequestsByAWSServicePrincipals",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "aws:PrincipalIsAWSService": "true"
                }
            }
        }
    ]
}

Chaque fois que vous utilisez des IAM politiques, assurez-vous de suivre les IAM meilleures pratiques. Pour plus d'informations, consultez la section Bonnes pratiques en matière de sécurité IAM dans le guide de IAM l'utilisateur.

À propos des VPC points de terminaison dans les sous-réseaux partagés

Vous ne pouvez pas créer, décrire, modifier ou supprimer des VPC points de terminaison dans des sous-réseaux partagés avec vous. Toutefois, vous pouvez utiliser les VPC points de terminaison dans les sous-réseaux partagés avec vous. Pour plus d'informations sur VPC le partage, consultez la section Partager votre compte VPC avec d'autres comptes dans le guide de VPC l'utilisateur Amazon.