Connexion à Amazon Athena à l'aide d'un point de terminaison de VPC d'interface - Amazon Athena
Création d'une politique de point de terminaison de VPC pour AthenaSous-réseaux partagés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Connexion à Amazon Athena à l'aide d'un point de terminaison de VPC d'interface

Vous pouvez renforcer la sécurité de votre VPC en utilisant un point de terminaison d'un VPC d'interface (AWS PrivateLink) et un point de terminaison d'un VPC AWS Glue dans votre cloud privé virtuel (VPC). Un point de terminaison d'un VPC d'interface améliore la sécurité en vous permettant de contrôler les destinations accessibles depuis l'intérieur de votre VPC. Chaque point de terminaison d'un VPC est représenté par une ou plusieurs interfaces réseau Elastic (ENI) avec des adresses IP privées dans vos sous-réseaux VPC.

Le point de terminaison VPC de l'interface connecte votre VPC directement à Athena sans passerelle Internet, périphérique NAT, connexion VPN ou connexion. AWS Direct Connect Les instances de votre VPC ne nécessitent pas d'adresses IP publiques pour communiquer avec l'API Athena.

Pour utiliser Athena via votre VPC, vous devez vous connecter à partir d'une instance située dans le VPC ou connecter votre réseau privé à votre VPC à l'aide d'un réseau privé virtuel (VPN) Amazon ou du AWS Direct Connect. Pour obtenir des informations sur Amazon VPN, consultez la rubrique Connexions VPN du Guide de l'utilisateur Amazon Virtual Private Cloud. Pour plus d'informations AWS Direct Connect, voir Création d'une connexion dans le Guide de AWS Direct Connect l'utilisateur.

Athena prend en charge les points de terminaison VPC partout où Régions AWS Amazon VPC et Athena sont disponibles.

Vous pouvez créer un point de terminaison VPC d'interface pour vous connecter à Athena à l'aide des commandes AWS Management Console or AWS Command Line Interface ().AWS CLI Pour plus d'informations, consultez Création d'un point de terminaison d'interface.

Une fois que vous avez créé un point de terminaison de VPC d'interface, si vous activez les noms d'hôte DNS privés pour le point de terminaison, le point de terminaison Athena par défaut (https://athena.Region.amazonaws.com) est résolu par votre point de terminaison de VPC.

Si vous n'activez pas les noms d'hôte DNS privés, Amazon VPC fournit un nom de point de terminaison DNS que vous pouvez utiliser au format suivant :

VPC_Endpoint_ID.athena.Region.vpce.amazonaws.com

Pour plus d'informations, consultez la section Interface VPC endpoints (AWS PrivateLink) dans le guide de l'utilisateur Amazon VPC.

Athena prend en charge l'exécution d'appels en direction de toutes ses actions d'API à l'intérieur de votre VPC.

Vous pouvez créer une politique pour les points de terminaison de VPC Amazon pour Athena dans laquelle vous pouvez spécifier des restrictions telles que :

  • Principal : le principal qui peut exécuter des actions.

  • Actions : les actions qui peuvent être effectuées.

  • Ressources : les ressources sur lesquelles les actions peuvent être exécutées.

  • Identités fiables uniquement : utilisez aws:PrincipalOrgId cette condition pour restreindre l'accès aux seules informations d'identification appartenant à votre AWS organisation. Cela peut permettre d'empêcher l'accès par des principaux involontaires.

  • Ressources approuvées uniquement : utilisez la condition aws:ResourceOrgId pour empêcher l'accès à des ressources involontaires.

  • Identités et ressources approuvées uniquement : créez une politique combinée pour un point de terminaison de VPC afin d'empêcher l'accès à des principaux et à des ressources involontaires.

Pour plus d'informations, consultez la section Contrôle de l'accès aux services avec des points de terminaison VPC dans le guide de l'utilisateur Amazon VPC et l'annexe 2 — Exemples de politiques relatives aux points de terminaison VPC dans le livre blanc sur la AWS création d'un périmètre de données sur. AWS

Exemple – politique de point de terminaison de VPC

L'exemple suivant autorise les demandes par identité d'organisation aux ressources de l'organisation et autorise les demandes par les responsables AWS de service.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "my-org-id",
                    "aws:ResourceOrgID": "my-org-id"
                }
            }
        },
        {
            "Sid": "AllowRequestsByAWSServicePrincipals",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "aws:PrincipalIsAWSService": "true"
                }
            }
        }
    ]
}

Chaque fois que vous utilisez des politiques IAM, veillez à respecter les bonnes pratiques IAM. Pour plus d'informations, consultez la rubrique Bonnes pratiques IAM du Guide de l'utilisateur IAM.

Sous-réseaux partagés

Vous ne pouvez pas créer, décrire, modifier ou supprimer des points de terminaison d'un VPC dans des sous-réseaux qui sont partagés avec vous. Toutefois, vous pouvez utiliser les points de terminaison d'un VPC dans les sous-réseaux qui sont partagés avec vous. Pour plus d'informations sur le partage de VPC, consultez Partager votre VPC avec d'autres comptes dans le Guide de l'utilisateur Amazon VPC.