Connect ke Amazon Athena menggunakan endpoint antarmuka VPC - Amazon Athena
Buat kebijakan VPC endpoint untuk AthenaTentang VPC titik akhir di subnet bersama

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Connect ke Amazon Athena menggunakan endpoint antarmuka VPC

Anda dapat meningkatkan postur keamanan Anda VPC dengan menggunakan VPC titik akhir antarmuka (AWS PrivateLink) dan sebuah AWS Glue VPCtitik akhir di Virtual Private Cloud (VPC) Anda. VPCEndpoint antarmuka meningkatkan keamanan dengan memberi Anda kontrol atas tujuan apa yang dapat dicapai dari dalam AndaVPC. Setiap VPC titik akhir diwakili oleh satu atau lebih antarmuka jaringan Elastic (ENIs) dengan alamat IP pribadi di subnet AndaVPC.

VPCTitik akhir antarmuka menghubungkan Anda VPC langsung ke Athena tanpa gateway internetNAT, perangkat, koneksiVPN, atau AWS Direct Connect koneksi. Contoh di Anda VPC tidak memerlukan alamat IP publik untuk berkomunikasi dengan AthenaAPI.

Untuk menggunakan Athena melalui AndaVPC, Anda harus terhubung dari instans yang ada di dalam VPC atau menghubungkan jaringan pribadi Anda ke jaringan pribadi Anda VPC dengan menggunakan Amazon Virtual Private Network () VPN atau AWS Direct Connect. Untuk informasi tentang AmazonVPN, lihat VPNkoneksi di Panduan Pengguna Amazon Virtual Private Cloud. Untuk informasi tentang AWS Direct Connect, lihat Membuat koneksi di AWS Direct Connect Panduan Pengguna.

Athena mendukung titik VPC akhir di semua Wilayah AWS di mana Amazon VPC dan Athena tersedia.

Anda dapat membuat VPC titik akhir antarmuka untuk terhubung ke Athena menggunakan AWS Management Console atau AWS Command Line Interface (AWS CLI) perintah. Untuk informasi selengkapnya, lihat Membuat titik akhir antarmuka.

Setelah Anda membuat VPC titik akhir antarmuka, jika Anda mengaktifkan DNS nama host pribadi untuk titik akhir, titik akhir Athena default (https://athena.Region.amazonaws.com) menyelesaikan ke titik akhir Anda. VPC

Jika Anda tidak mengaktifkan DNS nama host pribadi, Amazon VPC menyediakan nama DNS titik akhir yang dapat Anda gunakan dalam format berikut:

VPC_Endpoint_ID.athena.Region.vpce.amazonaws.com

Untuk informasi selengkapnya, lihat VPC Titik akhir antarmuka (AWS PrivateLink) di Panduan VPC Pengguna Amazon.

Athena mendukung panggilan ke semua APItindakannya di dalam Anda. VPC

Anda dapat membuat kebijakan untuk VPC titik akhir Amazon untuk Athena untuk menentukan batasan seperti berikut:

  • Prinsipal — Kepala sekolah yang dapat melakukan tindakan.

  • Tindakan — Tindakan yang dapat dilakukan.

  • Sumber daya — Sumber daya di mana tindakan dapat dilakukan.

  • Hanya identitas tepercaya - Gunakan aws:PrincipalOrgId kondisi untuk membatasi akses hanya ke kredenal yang merupakan bagian dari Anda AWS organisasi. Ini dapat membantu mencegah akses oleh kepala sekolah yang tidak diinginkan.

  • Hanya sumber daya tepercaya — Gunakan aws:ResourceOrgId kondisi untuk mencegah akses ke sumber daya yang tidak diinginkan.

  • Hanya identitas dan sumber daya tepercaya — Buat kebijakan gabungan untuk VPC titik akhir yang membantu mencegah akses ke prinsip dan sumber daya yang tidak diinginkan.

Untuk informasi selengkapnya, lihat Mengontrol akses ke layanan dengan VPC titik akhir di Panduan VPC Pengguna Amazon dan Lampiran 2 — contoh kebijakan VPC titik akhir di AWS Whitepaper Membangun perimeter data pada AWS.

contoh — VPC kebijakan titik akhir

Contoh berikut memungkinkan permintaan berdasarkan identitas organisasi ke sumber daya organisasi dan memungkinkan permintaan oleh AWS kepala layanan.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "my-org-id",
                    "aws:ResourceOrgID": "my-org-id"
                }
            }
        },
        {
            "Sid": "AllowRequestsByAWSServicePrincipals",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "aws:PrincipalIsAWSService": "true"
                }
            }
        }
    ]
}

Setiap kali Anda menggunakan IAM kebijakan, pastikan Anda mengikuti praktik IAM terbaik. Untuk informasi selengkapnya, lihat Praktik terbaik keamanan IAM di Panduan IAM Pengguna.

Tentang VPC titik akhir di subnet bersama

Anda tidak dapat membuat, mendeskripsikan, memodifikasi, atau menghapus VPC titik akhir di subnet yang dibagikan dengan Anda. Namun, Anda dapat menggunakan VPC titik akhir dalam subnet yang dibagikan dengan Anda. Untuk informasi tentang VPC berbagi, lihat Berbagi VPC dengan akun lain di Panduan VPC Pengguna Amazon.