Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Accédez à Amazon QLDB à l'aide d'un point de terminaison d'interface ()AWS PrivateLink
Vous pouvez l'utiliser AWS PrivateLink pour créer une connexion privée entre votre VPC et Amazon QLDB. Vous pouvez accéder à QLDB comme s'il se trouvait dans votre VPC, sans utiliser de passerelle Internet, de périphérique NAT, de connexion VPN ou de connexion. AWS Direct Connect Les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour accéder à QLDB.
Vous établissez cette connexion privée en créant un point de terminaison d’interface optimisé par AWS PrivateLink. Nous créons une interface réseau de point de terminaison dans chaque sous-réseau que vous activez pour le point de terminaison d’interface. Il s'agit d'interfaces réseau gérées par les demandeurs qui servent de point d'entrée pour le trafic destiné à QLDB.
Pour plus d’informations, consultez Accès aux Services AWS via AWS PrivateLink dans le Guide AWS PrivateLink .
Rubriques
Considérations relatives à QLDB
Avant de configurer un point de terminaison d'interface pour QLDB, consultez les considérations du guide.AWS PrivateLink
Note
QLDB prend uniquement en charge les appels vers l'API de données transactionnelles de la session QLDB via le point de terminaison de l'interface. Cette API inclut uniquement l'SendCommandopération. Dans le mode STANDARD autorisations d'un registre, vous pouvez contrôler les autorisations relatives à des actions partiQL spécifiques dans cette API.
Création d'un point de terminaison d'interface pour QLDB
Vous pouvez créer un point de terminaison d'interface pour QLDB à l'aide de la console Amazon VPC ou du (). AWS Command Line Interface AWS CLI Pour plus d’informations, consultez Création d’un point de terminaison d’interface dans le Guide AWS PrivateLink .
Créez un point de terminaison d'interface pour QLDB en utilisant le nom de service suivant :
com.amazonaws.region.qldb.session
Si vous activez le DNS privé pour le point de terminaison de l'interface, vous pouvez envoyer des demandes d'API à QLDB en utilisant son nom DNS régional par défaut. Par exemple, session.qldb.us-east-1.amazonaws.com.
Création d’une politique de point de terminaison pour votre point de terminaison d’interface
Une politique de point de terminaison est une ressource IAM que vous pouvez attacher à votre point de terminaison d’interface. La politique de point de terminaison par défaut autorise un accès complet à QLDB via le point de terminaison de l'interface. Pour contrôler l'accès autorisé à QLDB depuis votre VPC, associez une politique de point de terminaison personnalisée au point de terminaison de l'interface.
Une politique de point de terminaison spécifie les informations suivantes :
-
Les principaux qui peuvent effectuer des actions (Comptes AWS utilisateurs et rôles).
-
Les actions qui peuvent être effectuées.
-
La ressource sur laquelle les actions peuvent être effectuées.
Pour plus d’informations, consultez Contrôle de l’accès aux services à l’aide de politiques de point de terminaison dans le Guide AWS PrivateLink .
Vous pouvez également utiliser le Condition champ dans une politique attachée à un utilisateur, un groupe ou un rôle pour autoriser l'accès uniquement à partir d'un point de terminaison d'interface spécifié. Lorsqu'elles sont utilisées conjointement, les politiques de point de terminaison et les politiques IAM peuvent restreindre l'accès à des actions QLDB spécifiques sur des registres spécifiques à un point de terminaison d'interface spécifié.
Exemple de politique de point de terminaison : restreindre l'accès à un registre QLDB spécifique
Voici un exemple de politique de point de terminaison personnalisée pour QLDB. Lorsque vous attachez cette politique au point de terminaison de votre interface, elle accorde l'accès à l'SendCommandaction et aux actions partiQL en lecture seule à tous les principaux de la ressource de registre spécifiée. Dans cet exemple, le registre doit être en mode STANDARD autorisations.
Pour utiliser cette politique, remplacez us-east-1, 123456789012, et dans l'exemple par vos propres informations. myExampleLedger
{ "Statement": [ { "Sid": "QLDBSendCommandPermission", "Principal": "*", "Effect": "Allow", "Action": "qldb:SendCommand", "Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger" }, { "Sid": "QLDBPartiQLReadOnlyPermissions", "Principal": "*", "Effect": "Allow", "Action": [ "qldb:PartiQLSelect", "qldb:PartiQLHistoryFunction" ], "Resource": [ "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/table/*", "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/information_schema/user_tables" ] } ] }
Exemple de politique IAM : restreindre l'accès à un registre QLDB uniquement à partir d'un point de terminaison d'interface spécifique
Voici un exemple de stratégie basée sur l'identité IAM pour QLDB. Lorsque vous associez cette politique à un utilisateur, à un rôle ou à un groupe, elle autorise l'SendCommandaccès à une ressource de registre uniquement à partir du point de terminaison d'interface spécifié.
Pour utiliser cette politique, remplacez us-east-1, 123456789012 et vpce-1a2b3c4d dans l'exemple par vos propres informations.myExampleLedger
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessFromSpecificInterfaceEndpoint", "Effect": "Deny", "Action": "qldb:SendCommand", "Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger", "Condition": { "StringNotEquals": { "aws:sourceVpce": "vpce-1a2b3c4d" } } } ] }
Disponibilité des points de terminaison d'interface pour QLDB
Amazon QLDB prend en charge les points de terminaison d'interface avec des politiques partout Régions AWS où QLDB est disponible. Pour obtenir la liste complète des régions disponibles, consultez la section Points de terminaison et quotas Amazon QLDB dans le. Références générales AWS
