Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Connexion à Timestream pour InfluxDB via un point de terminaison VPC
Vous pouvez vous connecter directement à Timestream pour InfluxDB via un point de terminaison d'interface privé dans votre cloud privé virtuel (). VPC Lorsque vous utilisez un point de VPC terminaison d'interface, la communication entre vous VPC et Timestream pour InfluxDB s'effectue entièrement au sein du réseau. AWS
Timestream for InfluxDB prend en charge les points de terminaison Amazon Virtual Private Cloud (AmazonVPC) alimentés par. AWS PrivateLink Chaque VPC point de terminaison est représenté par une ou plusieurs interfaces réseau élastiques (ENIs) avec des adresses IP privées dans vos VPC sous-réseaux.
Le point de VPC terminaison de l'interface vous connecte VPC directement à Timestream pour InfluxDB sans passerelle Internet, NAT appareil, VPN connexion ou connexion. AWS Direct Connect Les instances de votre navigateur n'ont VPC pas besoin d'adresses IP publiques pour communiquer avec Timestream for InfluxDB.
Régions
Timestream for InfluxDB prend en charge les VPC points de VPC terminaison et les politiques de point de terminaison dans tous les cas où Timestream for InfluxDB est pris Régions AWS en charge.
Rubriques
- Considérations relatives à Timestream pour les points de terminaison InfluxDB VPC
- Création d'un VPC point de terminaison pour Timestream pour InfluxDB
- Connexion à un Timestream pour le point de terminaison InfluxDB VPC
- Contrôle de l'accès à un VPC point de terminaison
- Utilisation d'un VPC point de terminaison dans une déclaration de politique
- Enregistrement de votre VPC terminal
Considérations relatives à Timestream pour les points de terminaison InfluxDB VPC
Avant de configurer un point de VPC terminaison d'interface pour Timestream for InfluxDB, consultez la rubrique Propriétés et limites du point de terminaison d'interface dans le Guide.AWS PrivateLink
Le support Timestream pour InfluxDB pour un VPC point de terminaison inclut les éléments suivants.
-
Vous pouvez utiliser votre VPC point de terminaison pour appeler toutes les opérations Timestream for InfluxDB depuis API votre. VPC
-
Vous pouvez utiliser AWS CloudTrail les journaux pour auditer votre utilisation de Timestream pour les ressources InfluxDB via le point de terminaison. VPC Pour plus de détails, consultez Enregistrement de votre VPC terminal.
Création d'un VPC point de terminaison pour Timestream pour InfluxDB
Vous pouvez créer un VPC point de terminaison pour Timestream for InfluxDB à l'aide de la console Amazon VPC ou d'Amazon. VPC API Pour plus d’informations, consultez Création d’un point de terminaison d’interface dans le Guide AWS PrivateLink .
-
Pour créer un VPC point de terminaison pour Timestream for InfluxDB, utilisez le nom de service suivant :
com.amazonaws.region.timestream-influxdbPar exemple, dans la région USA Ouest (Oregon) (
us-west-2), le nom du service serait :com.amazonaws.us-west-2.timestream-influxdb
Pour faciliter l'utilisation du VPC point de terminaison, vous pouvez activer un DNSnom privé pour votre VPC point de terminaison. Si vous sélectionnez l'option Activer le DNS nom, le flux temporel standard pour le nom d'DNShôte InfluxDB est résolu vers votre point de terminaison. VPC Par exemple, https://timestream-influxdb.us-west-2.amazonaws.com serait résolu en un point de VPC terminaison connecté au nom du servicecom.amazonaws.us-west-2.timestream-influxdb.
Cette option facilite l'utilisation du VPC point de terminaison. Le AWS SDKs et AWS CLI utilisez le Timestream standard pour le DNS nom d'hôte InfluxDB par défaut, vous n'avez donc pas besoin de spécifier le point de VPC terminaison URL dans les applications et les commandes.
Pour de plus amples informations, veuillez consulter Accès à un service via un point de terminaison d'interface dans le Guide AWS PrivateLink .
Connexion à un Timestream pour le point de terminaison InfluxDB VPC
Vous pouvez vous connecter à Timestream pour InfluxDB via le VPC point de terminaison en utilisant un AWS SDK, le ou. AWS CLI AWS Tools for PowerShell Pour spécifier le VPC point de terminaison, utilisez son DNS nom.
Si vous avez activé les noms d'hôte privés lors de la création de votre VPC point de terminaison, vous n'avez pas besoin de spécifier le VPC point de terminaison URL dans vos CLI commandes ou dans la configuration de l'application. Le Timestream standard pour le nom d'DNShôte InfluxDB est résolu vers votre point de terminaison. VPC Le AWS CLI et SDKs utilisez ce nom d'hôte par défaut, afin que vous puissiez commencer à utiliser le VPC point de terminaison pour vous connecter à un point de terminaison régional Timestream for InfluxDB sans rien modifier dans vos scripts et applications.
Pour utiliser des noms d'hôte privés, les enableDnsSupport attributs enableDnsHostnames et de votre nom VPC doivent être définis sur. true Pour définir ces attributs, utilisez l'ModifyVpcAttributeopération. Pour plus de détails, consultez la section Afficher et mettre à jour vos DNS attributs VPC dans le guide de VPC l'utilisateur Amazon.
Contrôle de l'accès à un VPC point de terminaison
Pour contrôler l'accès à votre VPC point de terminaison pour Timestream for InfluxDB, associez une politique de point de terminaison à votre point de VPC terminaison. VPC La politique de point de terminaison détermine si les principaux peuvent utiliser le VPC point de terminaison pour appeler Timestream pour les opérations InfluxDB sur Timestream pour les ressources InfluxDB.
Vous pouvez créer une politique de point de VPC terminaison lorsque vous créez votre point de terminaison, et vous pouvez modifier la politique de VPC point de terminaison à tout moment. Utilisez la console VPC de gestion ou les ModifyVpcEndpointopérations CreateVpcEndpointor. Vous pouvez également créer et modifier une politique de point de VPC terminaison à l'aide d'un AWS CloudFormation modèle. Pour obtenir de l'aide sur l'utilisation de la console de VPC gestion, consultez les sections Création d'un point de terminaison d'interface et Modification d'un point de terminaison d'interface dans le AWS PrivateLink Guide.
Note
Timestream for InfluxDB prend en charge les politiques relatives aux VPC terminaux à compter de juillet 2020. VPCles points de terminaison Timestream for InfluxDB créés avant cette date ont la politique de point de VPC terminaison par défaut, mais vous pouvez la modifier à tout moment.
Rubriques
À propos des politiques relatives aux VPC terminaux
Pour qu'une demande Timestream for InfluxDB qui utilise un VPC point de terminaison soit réussie, le principal a besoin d'autorisations provenant de deux sources :
-
Une IAMpolitique doit autoriser le principal à appeler l'opération sur la ressource.
-
Une politique de VPC point de terminaison doit donner au principal l'autorisation d'utiliser le point de terminaison pour effectuer la demande.
Politique relative aux VPC terminaux par défaut
Chaque VPC point de VPC terminaison possède une politique de point de terminaison, mais vous n'êtes pas obligé de la spécifier. Si vous ne spécifiez pas de politique, la politique de point de terminaison par défaut autorise toutes les opérations effectuées par tous les principaux sur toutes les ressources du point de terminaison.
Cependant, pour les ressources Timestream for InfluxDB, le principal doit également être autorisé à appeler l'opération à partir d'une IAMpolitique. Par conséquent, dans la pratique, la politique par défaut indique que si un principal est autorisé à appeler une opération sur une ressource, il peut également l'appeler en utilisant le point de terminaison.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Principal": "*", "Resource": "*" } ] }
Pour permettre aux principaux d'utiliser le VPC point de terminaison uniquement pour un sous-ensemble de leurs opérations autorisées, créez ou mettez à jour la politique du VPC point de terminaison.
Création d'une politique de point de VPC terminaison
Une politique de VPC point de terminaison détermine si un principal est autorisé à utiliser le VPC point de terminaison pour effectuer des opérations sur une ressource. Pour les ressources Timestream for InfluxDB, le principal doit également être autorisé à effectuer les opérations à partir d'une politique, IAM
Chaque déclaration de politique relative aux VPC terminaux nécessite les éléments suivants :
-
Le principal qui peut exécuter des actions.
-
Les actions qui peuvent être effectuées.
-
Les ressources sur lesquelles les actions peuvent être exécutées.
La déclaration de politique ne précise pas le VPC point de terminaison. Elle s'applique plutôt à tout VPC point de terminaison auquel la politique est attachée. Pour plus d'informations, consultez la section Contrôle de l'accès aux services avec des VPC points de terminaison dans le guide de VPC l'utilisateur Amazon.
AWS CloudTrail enregistre toutes les opérations qui utilisent le VPC point de terminaison.
Afficher une politique de point de VPC terminaison
Pour consulter la politique de VPC point de terminaison d'un point de terminaison, utilisez la console de VPC gestion
La AWS CLI commande suivante obtient la politique du point de terminaison avec l'ID de point de VPC terminaison spécifié.
Avant d'utiliser cette commande, remplacez l'exemple d'ID de point de terminaison d'exemple par un ID valide provenant de votre compte.
$aws ec2 describe-vpc-endpoints \ --query 'VpcEndpoints[?VpcEndpointId==`vpc-endpoint-id`].[PolicyDocument]' --output text
Utilisation d'un VPC point de terminaison dans une déclaration de politique
Vous pouvez contrôler l'accès à Timestream pour les ressources et les opérations d'InfluxDB lorsque la demande provient VPC ou utilise un point de terminaison. VPC Pour ce faire, utilisez l'une des clés de condition globales suivantes dans une IAMpolitique.
-
Utilisez la clé de
aws:sourceVpcecondition pour accorder ou restreindre l'accès en fonction du VPC point de terminaison. -
Utilisez la clé de
aws:sourceVpccondition pour accorder ou restreindre l'accès en fonction de VPC celle qui héberge le point de terminaison privé.
Note
Soyez prudent lorsque vous créez des politiques clés et IAM des politiques basées sur votre VPC terminal. Si une déclaration de politique exige que les demandes proviennent d'un point de VPC terminaison VPC ou d'un point de terminaison en particulier, les demandes provenant de AWS services intégrés qui utilisent une ressource Timestream for InfluxDB en votre nom peuvent échouer.
De plus, la clé de aws:sourceIP condition n'est pas efficace lorsque la demande provient d'un point de VPCterminaison Amazon. Pour limiter les demandes à un VPC point de terminaison, utilisez les clés de aws:sourceVpc condition aws:sourceVpce ou. Pour plus d'informations, consultez la section Gestion des identités et des accès pour les VPC terminaux et les services de point de VPC terminaison dans le AWS PrivateLink Guide.
Vous pouvez utiliser ces clés de condition globales pour contrôler l'accès à des opérations telles CreateDbInstanceque celles qui ne dépendent d'aucune ressource en particulier.
Enregistrement de votre VPC terminal
AWS CloudTrail enregistre toutes les opérations qui utilisent le VPC point de terminaison. Lorsqu'une demande adressée à Timestream pour InfluxDB utilise un VPC point de terminaison, l'ID du point de VPC terminaison apparaît dans l'entrée du AWS CloudTrail journal qui enregistre la demande. Vous pouvez utiliser l'identifiant du point de terminaison pour auditer l'utilisation de votre point de terminaison Timestream pour VPC InfluxDB.
Cependant, vos CloudTrail journaux n'incluent pas les opérations demandées par les principaux sur d'autres comptes ni les demandes de Timestream pour les opérations InfluxDB sur Timestream pour les ressources InfluxDB et les alias sur d'autres comptes. De plus, pour vous protégerVPC, les demandes refusées par une politique de point de VPC terminaison, mais qui auraient autrement été autorisées, ne sont pas enregistrées dans AWS CloudTrail.
