Connect ad Amazon Athena utilizzando un endpoint di interfaccia VPC - Amazon Athena
Crea una policy sugli VPC endpoint per AthenaInformazioni sugli VPC endpoint nelle sottoreti condivise

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connect ad Amazon Athena utilizzando un endpoint di interfaccia VPC

Puoi migliorare il livello di sicurezza del tuo dispositivo VPC utilizzando un endpoint di interfaccia (VPC AWS PrivateLink) e un AWS Glue VPCendpoint nel tuo Virtual Private Cloud (VPC). Un VPC endpoint di interfaccia migliora la sicurezza dandoti il controllo su quali destinazioni possono essere raggiunte dall'interno del tuo. VPC Ogni VPC endpoint è rappresentato da una o più interfacce di rete elastiche (ENIs) con indirizzi IP privati nelle sottoreti. VPC

L'VPCendpoint di interfaccia ti connette VPC direttamente ad Athena senza un gateway Internet, un dispositivo NATVPN, una connessione o AWS Direct Connect connessione. Le tue istanze VPC non necessitano di indirizzi IP pubblici per comunicare con AthenaAPI.

Per utilizzare Athena tramite il tuoVPC, devi connetterti da un'istanza che si trova all'interno di VPC o connettere la tua rete privata alla tua VPC utilizzando una Amazon Virtual Private Network () VPN o AWS Direct Connect. Per informazioni su AmazonVPN, consulta VPNle connessioni nella Amazon Virtual Private Cloud User Guide. Per informazioni su AWS Direct Connect, vedere Creazione di una connessione in AWS Direct Connect Guida per l'utente.

Athena supporta tutti gli VPC endpoint Regioni AWS dove sono disponibili VPC sia Amazon che Athena.

È possibile creare un VPC endpoint di interfaccia per connettersi ad Athena utilizzando AWS Management Console oppure AWS Command Line Interface (AWS CLI) comandi. Per ulteriori informazioni, consulta Creazione di un endpoint di interfaccia.

Dopo aver creato un VPC endpoint di interfaccia, se abiliti i DNS nomi host privati per l'endpoint, l'endpoint Athena predefinito (https://athena).Region.amazonaws.com) si risolve sul tuo endpoint. VPC

Se non abiliti DNS i nomi host privati, Amazon VPC fornisce un nome di DNS endpoint che puoi utilizzare nel seguente formato:

VPC_Endpoint_ID.athena.Region.vpce.amazonaws.com

Per ulteriori informazioni, consulta Interface VPC endpoints (AWS PrivateLink) nella Amazon VPC User Guide.

Athena supporta le chiamate a tutte le sue APIazioni all'interno del tuo. VPC

Puoi creare una policy per Amazon VPC endpoints for Athena per specificare restrizioni come le seguenti:

  • Principale: il principale che può eseguire operazioni.

  • Operazioni: le operazioni che possono essere eseguite.

  • Risorse: le risorse sui cui si possono eseguire operazioni.

  • Solo identità attendibili: utilizza aws:PrincipalOrgId questa condizione per limitare l'accesso solo alle credenziali che fanno parte del tuo AWS organizzazione. Questo può aiutare a impedire l'accesso da parte di principali non desiderati.

  • Solo risorse affidabili: utilizza la condizione aws:ResourceOrgId per impedire l'accesso a risorse non desiderate.

  • Solo identità e risorse affidabili: crea una policy combinata per un VPC endpoint che aiuti a prevenire l'accesso a principali e risorse non intenzionali.

Per ulteriori informazioni, consulta Controllare l'accesso ai servizi con gli VPC endpoint nella Amazon VPC User Guide e Appendice 2 — esempi di policy sugli VPC endpoint nel AWS Whitepaper Costruire un perimetro di dati su AWS.

Esempio — politica VPC degli endpoint

L'esempio seguente consente le richieste in base alle identità dell'organizzazione alle risorse dell'organizzazione e consente le richieste di AWS presidi del servizio.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "my-org-id",
                    "aws:ResourceOrgID": "my-org-id"
                }
            }
        },
        {
            "Sid": "AllowRequestsByAWSServicePrincipals",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "aws:PrincipalIsAWSService": "true"
                }
            }
        }
    ]
}

Ogni volta che utilizzi IAM le politiche, assicurati di seguire le IAM migliori pratiche. Per ulteriori informazioni, consulta le migliori pratiche di sicurezza IAM nella Guida IAM per l'utente.

Informazioni sugli VPC endpoint nelle sottoreti condivise

Non puoi creare, descrivere, modificare o eliminare gli VPC endpoint nelle sottoreti condivise con te. Tuttavia, puoi utilizzare gli VPC endpoint nelle sottoreti condivise con te. Per informazioni sulla VPC condivisione, consulta Condividi il tuo account VPC con altri account nella Amazon VPC User Guide.