Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Vous pouvez utiliser un point de terminaison VPC d'interface pour empêcher le trafic entre votre Amazon VPC et Kinesis Data Streams de quitter le réseau Amazon. Les points de terminaison VPC d'interface ne nécessitent pas de passerelle Internet, de périphérique NAT, de connexion VPN ou de connexion. AWS Direct Connect Les points de terminaison VPC d'interface sont alimentés par AWS PrivateLink une AWS technologie qui permet une communication privée entre les AWS services à l'aide d'une interface Elastic Network avec private dans IPs votre Amazon VPC. Pour plus d'informations, consultez Amazon Virtual Private Cloud and Interface VPC Endpoints ().AWS PrivateLink
Rubriques
Utiliser les points de terminaison VPC de l'interface pour Kinesis Data Streams
Pour commencer, il n'est pas nécessaire de modifier les paramètres de vos streams, de vos producteurs ou de vos consommateurs. Créez un point de terminaison VPC d'interface pour votre Kinesis Data Streams afin de démarrer le trafic en provenance et à destination de vos ressources Amazon VPC via le point de terminaison VPC d'interface. Les points de terminaison VPC d'interface compatibles FIPS sont disponibles pour les régions des États-Unis. Pour plus d'informations, consultez Création d'un point de terminaison d'interface.
La Kinesis Producer Library (KPL) et la Kinesis Consumer Library (KCL) appellent des services tels qu' AWS Amazon et Amazon CloudWatch DynamoDB en utilisant des points de terminaison publics ou des points de terminaison VPC à interface privée, selon le type utilisé. Par exemple, si votre application KCL s'exécute dans un VPC doté d'une interface DynamoDB avec points de terminaison VPC activés, les appels entre DynamoDB et votre application KCL passent par le point de terminaison VPC de l'interface.
Contrôlez l'accès aux points de terminaison VPC pour Kinesis Data Streams
Les politiques de point de terminaison VPC vous permettent de contrôler l'accès en attachant une politique à un point de terminaison VPC ou en utilisant des champs supplémentaires dans une politique attachée à un utilisateur, un groupe ou un rôle IAM afin de limiter l'accès uniquement via le point de terminaison VPC spécifié. Utilisez ces politiques pour restreindre l'accès à des flux spécifiques à un point de terminaison VPC spécifique lorsque vous les utilisez conjointement avec les politiques IAM pour accorder uniquement l'accès aux actions du flux de données Kinesis via le point de terminaison VPC spécifié.
Voici des exemples de politiques de point de terminaison pour accéder aux flux de données Kinesis.
-
Exemple de politique VPC : accès en lecture seule : cet exemple de politique peut être attaché à un point de terminaison d'un VPC. (Pour de plus amples informations, veuillez consulter Contrôle de l'accès aux ressources VPC Amazon). Cette politique limite les actions. Il est uniquement possible de répertorier et de décrire un flux de données Kinesis via le point de terminaison d'un VPC auquel elle est attachée.
{ "Statement": [ { "Sid": "ReadOnly", "Principal": "*", "Action": [ "kinesis:List*", "kinesis:Describe*" ], "Effect": "Allow", "Resource": "*" } ] } -
Exemple de stratégie VPC : limiter l'accès à un flux de données Kinesis spécifique : cet exemple de stratégie peut être attaché à un point de terminaison d'un VPC. Cette stratégie restreint l'accès à un flux de données spécifique via le point de terminaison d'un VPC auquel elle est attachée.
{ "Statement": [ { "Sid": "AccessToSpecificDataStream", "Principal": "*", "Action": "kinesis:*", "Effect": "Allow", "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream" } ] } -
Exemple de politique IAM : limitez l'accès à un flux spécifique à partir d'un point de terminaison VPC spécifique uniquement. Cet exemple de politique peut être associé à un utilisateur, un rôle ou un groupe IAM. Elle restreint l'accès à un flux de données Kinesis spécifié pour qu'il se produise uniquement à partir d'un point de terminaison d'un VPC spécifié.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessFromSpecificEndpoint", "Action": "kinesis:*", "Effect": "Deny", "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream", "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-11aa22bb" } } } ] }
Disponibilité des politiques relatives aux terminaux VPC pour Kinesis Data Streams
Les points de terminaison VPC de l'interface Kinesis Data Streams dotés de politiques sont pris en charge dans les régions suivantes :
-
Europe (Paris)
-
Europe (Irlande)
-
USA Est (Virginie du Nord)
-
Europe (Stockholm)
-
USA Est (Ohio)
-
Europe (Francfort)
-
Amérique du Sud (São Paulo)
-
Europe (Londres)
-
Asie-Pacifique (Tokyo)
-
USA Ouest (Californie du Nord)
-
Asie-Pacifique (Singapour)
-
Asie-Pacifique (Sydney)
-
Chine (Beijing)
-
Chine (Ningxia)
-
Asie-Pacifique (Hong Kong)
-
Moyen-Orient (Bahreïn)
-
Moyen-Orient (EAU)
-
Europe (Milan)
-
Afrique (Le Cap)
-
Asie-Pacifique (Mumbai)
-
Asie-Pacifique (Séoul)
-
Canada (Centre)
-
USA Ouest (Oregon) sauf usw2-az4
-
AWS GovCloud (USA Est)
-
AWS GovCloud (US-Ouest)
-
Asie-Pacifique (Osaka)
-
Europe (Zurich)
-
Asie-Pacifique (Hyderabad)
