Connect ke Amazon Athena menggunakan antarmuka VPC endpoint - Amazon Athena
Membuat kebijakan titik akhir VPC untuk AthenaSubnet bersama

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Connect ke Amazon Athena menggunakan antarmuka VPC endpoint

Anda dapat meningkatkan postur keamanan VPC Anda dengan menggunakan antarmuka VPC endpoint ()AWS PrivateLink dan titik akhir VPC di Virtual Private Cloud (AWS Glue VPC) Anda. Endpoint VPC antarmuka meningkatkan keamanan dengan memberi Anda kontrol atas tujuan apa yang dapat dicapai dari dalam VPC Anda. Masing-masing VPC endpoint diwakili oleh satu Antarmuka jaringan elastis (ENI) dengan alamat IP privat di subnet VPC Anda.

Titik akhir VPC antarmuka menghubungkan VPC Anda langsung ke Athena tanpa gateway internet, perangkat NAT, koneksi VPN, atau koneksi. AWS Direct Connect Instans dalam VPC Anda tidak memerlukan alamat IP publik untuk berkomunikasi dengan API Athena.

Untuk menggunakan Athena melalui VPC Anda, Anda harus terhubung dari sebuah instans yang ada di dalam VPC atau menghubungkan jaringan privat Anda ke VPC Anda dengan menggunakan Amazon Virtual Private Network (VPN) atau AWS Direct Connect. Untuk informasi tentang Amazon VPN, lihat Koneksi VPN di Panduan Pengguna Amazon Virtual Private Cloud. Untuk selengkapnya AWS Direct Connect, lihat Membuat sambungan di Panduan AWS Direct Connect Pengguna.

Athena mendukung titik akhir VPC di semua tempat Wilayah AWS Amazon VPC dan Athena tersedia.

Anda dapat membuat titik akhir VPC antarmuka untuk terhubung ke Athena menggunakan perintah or (). AWS Management Console AWS Command Line Interface AWS CLI Untuk informasi selengkapnya, lihat Membuat titik akhir antarmuka.

Setelah Anda membuat VPC endpoint antarmuka, jika Anda mengaktifkan nama host DNS privat untuk titik akhir, titik akhir Athena default (https://athena.Region.amazonaws.com) diselesaikan ke VPB endpoint Anda.

Jika Anda tidak mengaktifkan nama host DNS privat, Amazon VPC menyediakan nama titik akhir DNS yang dapat Anda gunakan dalam format berikut:

VPC_Endpoint_ID.athena.Region.vpce.amazonaws.com

Untuk informasi selengkapnya, lihat Titik akhir VPC Antarmuka (AWS PrivateLink) di Panduan Pengguna Amazon VPC.

Athena mendukung panggilan ke semua tindakan API-nya di dalam VPC Anda.

Anda dapat membuat kebijakan untuk titik akhir VPC Amazon untuk Athena untuk menentukan batasan seperti berikut:

  • Prinsipal — Kepala sekolah yang dapat melakukan tindakan.

  • Tindakan — Tindakan yang dapat dilakukan.

  • Sumber daya — Sumber daya di mana tindakan dapat dilakukan.

  • Hanya identitas tepercaya — Gunakan aws:PrincipalOrgId kondisi untuk membatasi akses hanya ke kredenal yang merupakan bagian dari organisasi Anda. AWS Ini dapat membantu mencegah akses oleh kepala sekolah yang tidak diinginkan.

  • Hanya sumber daya tepercaya — Gunakan aws:ResourceOrgId kondisi untuk mencegah akses ke sumber daya yang tidak diinginkan.

  • Hanya identitas dan sumber daya tepercaya — Buat kebijakan gabungan untuk titik akhir VPC yang membantu mencegah akses ke prinsip dan sumber daya yang tidak diinginkan.

Untuk informasi selengkapnya, lihat Mengontrol akses ke layanan dengan titik akhir VPC di Panduan Pengguna Amazon VPC dan Lampiran 2 — Contoh kebijakan titik akhir VPC di Whitepaper Membangun perimeter data. AWS AWS

contoh — Kebijakan titik akhir VPC

Contoh berikut memungkinkan permintaan oleh identitas organisasi ke sumber daya organisasi dan memungkinkan permintaan oleh kepala AWS layanan.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "my-org-id",
                    "aws:ResourceOrgID": "my-org-id"
                }
            }
        },
        {
            "Sid": "AllowRequestsByAWSServicePrincipals",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "aws:PrincipalIsAWSService": "true"
                }
            }
        }
    ]
}

Setiap kali Anda menggunakan kebijakan IAM, pastikan bahwa Anda mengikuti praktik terbaik IAM. Untuk informasi selengkapnya tentang administrator, lihat Praktik terbaik keamanan di IAM dalam Panduan Pengguna IAM.

Subnet bersama

Anda tidak dapat membuat, mendeskripsikan, memodifikasi, atau menghapus titik akhir VPC di subnet yang dibagikan dengan Anda. Namun, Anda dapat menggunakan titik akhir VPC di subnet yang dibagikan dengan Anda. Untuk informasi tentang berbagi VPC, lihat Membagikan VPC Anda dengan akun lain di Panduan Pengguna Amazon VPC.