インターフェイス VPC エンドポイントと Amazon Kinesis Data Streams の使用 - Amazon Kinesis Data Streams
Kinesis Data Streams のインターフェイス VPC エンドポイントの使用Kinesis Data Streams の VPCE エンドポイントへのアクセス制御Kinesis Data Streams の VPC エンドポイントポリシーの可用性

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

インターフェイス VPC エンドポイントと Amazon Kinesis Data Streams の使用

インターフェイス VPC エンドポイントを使用して、Amazon VPC と Kinesis Data Streams 間のトラフィックが Amazon ネットワークから離れないように維持できます。インターフェイス VPC エンドポイントには、インターネットゲートウェイ、NAT デバイス、VPN 接続、または AWS Direct Connect 接続は必要ありません。インターフェイス VPC エンドポイントは PrivateLink、Amazon VPC 内のプライベート IP を備えた Elastic Network Interface を使用して AWS のサービス間のプライベート通信を可能にする AWS テクノロジーである を利用 AWS しています。 IPs 詳細については、Amazon Virtual Private Cloud and Interface VPC Endpoints (AWS PrivateLink)」を参照してください。

Kinesis Data Streams のインターフェイス VPC エンドポイントの使用

使用を開始するために、ストリーム、プロデューサー、またはコンシューマーの設定を変更する必要はありません。Kinesis Data Streams トラフィックが Amazon VPC リソースとの間でやり取りされるようにするには、インターフェイス VPC エンドポイントを作成するだけです。詳細については、インターフェイスエンドポイントの作成を参照してください。

Kinesis Producer Library (KPL) と Kinesis Consumer Library (KCL) は、パブリックエンドポイントまたはプライベートインターフェイス VPC エンドポイントのいずれかを使用している Amazon CloudWatch や Amazon DynamoDB などの AWS サービスを呼び出します。例えば、KCL アプリケーションが実行されている VPC で DynamoDB インターフェイス VPC エンドポイントが有効になっている場合、DynamoDB と KCL アプリケーション間の呼び出しは、そのインターフェイス VPC エンドポイントを経由して流れます。

Kinesis Data Streams の VPCE エンドポイントへのアクセス制御

VPC エンドポイントポリシーは、VPC エンドポイントにポリシーをアタッチするか、IAM ユーザー、グループ、またはロールにアタッチされたポリシーの追加フィールドを使用して、アクセスが指定された VPC エンドポイント経由のみで行われるように制限することで、アクセスを制御することを可能にします。これらのポリシーは、指定された VPC エンドポイント経由での Kinesis データストリームアクションへのアクセスのみを付与する IAM ポリシーと組み合わせて使用するときに、特定のストリームへのアクセスを指定された VPC エンドポイントに制限するために使用できます。

以下は、Kinesis データストリームにアクセスするためのエンドポイントポリシーの例です。

  • VPC ポリシーの例: 読み取り専用アクセス – このサンプルポリシーは、VPC エンドポイントにアタッチできます。詳細については、Amazon VPC のリソースに対するアクセスの制御を参照してください。このポリシーは、アタッチされている VPC エンドポイント経由の Kinesis データストリームの一覧表示と説明のみにアクションを制限します。

    
{
  "Statement": [
    {
      "Sid": "ReadOnly",
      "Principal": "*",
      "Action": [
        "kinesis:List*",
        "kinesis:Describe*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

  • VPC ポリシーの例: アクセスを特定の Kinesis データストリームに制限 - このサンプルポリシーは、VPC エンドポイントにアタッチできます。このポリシーは、ポリシーがアタッチされている VPC エンドポイント経由の特定のデータストリームにアクセスを制限します。

    
{
  "Statement": [
    {
      "Sid": "AccessToSpecificDataStream",
      "Principal": "*",
      "Action": "kinesis:*",
      "Effect": "Allow",
      "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream"
    }
  ]
}

  • IAM ポリシーの例: 特定のストリームへのアクセスを特定の VPC エンドポイントからのみに制限 - このサンプルポリシーは、IAM ユーザー、ロール、またはグループにアタッチできます。このポリシーは、指定された Kensis データストリームへのアクセスが、指定された VPC エンドポイント以外からは行われないように制限します。

    
{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "AccessFromSpecificEndpoint",
         "Action": "kinesis:*",
         "Effect": "Deny",
         "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream",
         "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-11aa22bb" } }
      }
   ]
}

Kinesis Data Streams の VPC エンドポイントポリシーの可用性

ポリシーを使用した Kinesis Data Streams インターフェイス VPC エンドポイントは、次のリージョンでサポートされています。

  • 欧州 (パリ)

  • 欧州 (アイルランド)

  • 米国東部 (バージニア北部)

  • 欧州 (ストックホルム)

  • 米国東部(オハイオ)

  • 欧州 (フランクフルト)

  • 南米(サンパウロ)

  • 欧州 (ロンドン)

  • アジアパシフィック (東京)

  • 米国西部(北カリフォルニア)

  • アジアパシフィック (シンガポール)

  • アジアパシフィック (シドニー)

  • 中国 (北京)

  • 中国 (寧夏)

  • アジアパシフィック (香港)

  • 中東 (バーレーン)

  • 中東 (アラブ首長国連邦)

  • 欧州 (ミラノ)

  • アフリカ (ケープタウン)

  • アジアパシフィック(ムンバイ)

  • アジアパシフィック (ソウル)

  • カナダ (中部)

  • usw2-az4 を除く米国西部 (オレゴン)

  • AWS GovCloud (米国東部)

  • AWS GovCloud (米国西部)

  • アジアパシフィック (大阪)

  • 欧州 (チューリッヒ)

  • アジアパシフィック (ハイデラバード)