Akses Amazon QLDB menggunakan titik akhir antarmuka ()AWS PrivateLink - Amazon Quantum Ledger Database (Amazon QLDB)
PertimbanganMembuat sebuah titik akhir antarmukaMembuat kebijakan titik akhirKetersediaan titik akhir antarmuka

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Akses Amazon QLDB menggunakan titik akhir antarmuka ()AWS PrivateLink

Anda dapat menggunakan AWS PrivateLink untuk membuat koneksi pribadi antara VPC Anda dan Amazon QLDB. Anda dapat mengakses QLDB seolah-olah berada di VPC Anda, tanpa menggunakan gateway internet, perangkat NAT, koneksi VPN, atau koneksi. AWS Direct Connect Instans di VPC Anda tidak memerlukan alamat IP publik untuk mengakses QLDB.

Anda membuat koneksi pribadi ini dengan membuat titik akhir antarmuka, yang didukung oleh AWS PrivateLink. Kami membuat antarmuka jaringan endpoint di setiap subnet yang Anda aktifkan untuk titik akhir antarmuka. Ini adalah antarmuka jaringan yang dikelola pemohon yang berfungsi sebagai titik masuk untuk lalu lintas yang ditujukan untuk QLDB.

Untuk informasi selengkapnya, lihat Mengakses Layanan AWS melalui AWS PrivateLink di Panduan AWS PrivateLink .

Pertimbangan untuk QLDB

Sebelum Anda menyiapkan titik akhir antarmuka untuk QLDB, tinjau Pertimbangan dalam Panduan.AWS PrivateLink

catatan

QLDB hanya mendukung panggilan ke API data transaksional Sesi QLDB melalui titik akhir antarmuka. API ini hanya mencakup SendCommandoperasi. Dalam mode STANDARD izin buku besar, Anda dapat mengontrol izin untuk tindakan PartiQL tertentu di API ini.

Buat titik akhir antarmuka untuk QLDB

Anda dapat membuat titik akhir antarmuka untuk QLDB menggunakan konsol VPC Amazon atau (). AWS Command Line Interface AWS CLI Untuk informasi selengkapnya, lihat Membuat titik akhir antarmuka di AWS PrivateLink Panduan.

Buat endpoint antarmuka untuk QLDB menggunakan nama layanan berikut:

com.amazonaws.region.qldb.session

Jika Anda mengaktifkan DNS pribadi untuk titik akhir antarmuka, Anda dapat membuat permintaan API ke QLDB menggunakan nama DNS Regional default. Misalnya, session.qldb.us-east-1.amazonaws.com.

Buat kebijakan titik akhir untuk titik akhir antarmuka Anda

Kebijakan endpoint adalah sumber daya IAM yang dapat Anda lampirkan ke titik akhir antarmuka. Kebijakan endpoint default memungkinkan akses penuh ke QLDB melalui titik akhir antarmuka. Untuk mengontrol akses yang diizinkan ke QLDB dari VPC Anda, lampirkan kebijakan titik akhir kustom ke titik akhir antarmuka.

kebijakan titik akhir mencantumkan informasi berikut:

  • Prinsipal yang dapat melakukan tindakan (Akun AWS, pengguna, dan peran).

  • Tindakan yang dapat dilakukan.

  • Sumber daya untuk melakukan tindakan.

Untuk informasi selengkapnya, lihat Mengontrol akses ke layanan menggunakan kebijakan titik akhir di Panduan AWS PrivateLink .

Anda juga dapat menggunakan Condition bidang dalam kebijakan yang dilampirkan ke pengguna, grup, atau peran untuk mengizinkan akses hanya dari titik akhir antarmuka tertentu. Ketika digunakan bersama-sama, kebijakan endpoint dan kebijakan IAM dapat membatasi akses ke tindakan QLDB tertentu pada buku besar tertentu ke titik akhir antarmuka tertentu.

Contoh kebijakan titik akhir: Batasi akses ke buku besar QLDB tertentu

Berikut ini adalah contoh kebijakan endpoint kustom untuk QLDB. Saat Anda melampirkan kebijakan ini ke titik akhir antarmuka Anda, kebijakan ini memberikan akses ke SendCommand tindakan dan tindakan hanya-baca PartiQL untuk semua prinsipal pada sumber daya buku besar yang ditentukan. Dalam contoh ini, buku besar harus dalam mode STANDARD izin.

Untuk menggunakan kebijakan ini, ganti us-east-1, 123456789012, dan dalam contoh dengan informasi Anda sendiri. myExampleLedger

{
   "Statement": [
      {
         "Sid": "QLDBSendCommandPermission",
         "Principal": "*",
         "Effect": "Allow",
         "Action": "qldb:SendCommand",
         "Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger"
      },
      {
         "Sid": "QLDBPartiQLReadOnlyPermissions",
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "qldb:PartiQLSelect",
            "qldb:PartiQLHistoryFunction"
         ],
         "Resource": [
            "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/table/*",
            "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/information_schema/user_tables"
         ]
      }
   ]
}
Contoh kebijakan IAM: Batasi akses ke buku besar QLDB dari titik akhir antarmuka tertentu saja

Berikut ini adalah contoh kebijakan berbasis identitas IAM untuk QLDB. Jika Anda melampirkan kebijakan ini ke pengguna, peran, atau grup, kebijakan ini memungkinkan SendCommand akses ke sumber daya buku besar hanya dari titik akhir antarmuka yang ditentukan.

Untuk menggunakan kebijakan ini, ganti us-east-1, 123456789012 myExampleLedger,, dan vpce-1a2b3c4d dalam contoh dengan informasi Anda sendiri.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "AccessFromSpecificInterfaceEndpoint",
         "Effect": "Deny",
         "Action": "qldb:SendCommand",
         "Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger",
         "Condition": {
            "StringNotEquals": {
               "aws:sourceVpce": "vpce-1a2b3c4d"
            }
         }
      }
   ]
}

Ketersediaan titik akhir antarmuka untuk QLDB

Amazon QLDB mendukung titik akhir antarmuka dengan kebijakan di semua Wilayah AWS tempat QLDB tersedia. Untuk daftar lengkap Wilayah yang tersedia, lihat titik akhir dan kuota Amazon QLDB di bagian. Referensi Umum AWS