インターフェイス VPC エンドポイントと Amazon Kinesis Data Streams を使用する

フォーカスモード

インターフェイス VPC エンドポイントと Amazon Kinesis Data Streams を使用する - Amazon Kinesis Data Streams

Kinesis Data Streams のインターフェイス VPC エンドポイントを使用する Kinesis Data Streams の VPCE エンドポイントへのアクセスを制御する Kinesis Data Streams の VPC エンドポイントポリシーの可用性

インターフェイス VPC エンドポイントを使用して、Amazon VPC と Kinesis Data Streams 間のトラフィックが Amazon ネットワークから離れることを防止できます。インターフェイス VPC エンドポイントには、インターネットゲートウェイ、NAT デバイス、VPN 接続、または AWS Direct Connect 接続は必要ありません。インターフェイス VPC エンドポイントは PrivateLink を利用 AWS しています。これは、Amazon VPC 内のプライベート IPs を備えた Elastic Network Interface を使用して、 AWS サービス間のプライベート通信を可能にする AWS テクノロジーです。 PrivateLink 詳細については、Amazon Virtual Private Cloud and Interface VPC Endpoints (AWS PrivateLink)」を参照してください。

トピック

Kinesis Data Streams のインターフェイス VPC エンドポイントを使用する
Kinesis Data Streams の VPCE エンドポイントへのアクセスを制御する
Kinesis Data Streams の VPC エンドポイントポリシーの可用性

Kinesis Data Streams のインターフェイス VPC エンドポイントを使用する

使用を開始するために、ストリーム、プロデューサー、またはコンシューマーの設定を変更する必要はありません。Kinesis Data Streams 用にインターフェイス VPC エンドポイントを作成し、インターフェイス VPC エンドポイントを通じて Amazon VPC リソースから、または Amazon VPC リソースへ流れるトラフィックを開始します。FIPS 対応のインターフェイス VPC エンドポイントは、米国リージョンで使用できます。詳細については、インターフェイスエンドポイントの作成を参照してください。

Kinesis プロデューサーライブラリ (KPL) と Kinesis コンシューマーライブラリ (KCL) は、パブリックエンドポイントまたはプライベートインターフェイス VPC エンドポイントのうち使用中のいずれかを使用して、Amazon CloudWatch や Amazon DynamoDB などの AWS サービスを呼び出します。例えば、KCL アプリケーションが実行されている VPC で DynamoDB インターフェイス VPC エンドポイントが有効になっている場合、DynamoDB と KCL アプリケーション間の呼び出しは、そのインターフェイス VPC エンドポイントを経由して流れます。

Kinesis Data Streams の VPCE エンドポイントへのアクセスを制御する

VPC エンドポイントポリシーは、VPC エンドポイントにポリシーをアタッチするか、IAM ユーザー、グループ、またはロールにアタッチされたポリシーの追加フィールドを使用して、アクセスが指定された VPC エンドポイント経由のみで行われるように制限することで、アクセスを制御することを可能にします。これらのポリシーは、指定された VPC エンドポイントを介した Kinesis データストリームのアクションへのアクセスのみを許可する IAM ポリシーと組み合わせて使用するときに、指定された VPC エンドポイントへの特定のストリームへのアクセスを制限するために使用します。

以下は、Kinesis データストリームにアクセスするためのエンドポイントポリシーの例です。

VPC ポリシーの例: 読み取り専用アクセス – このサンプルポリシーは、VPC エンドポイントにアタッチできます。詳細については、Amazon VPC のリソースに対するアクセスの制御を参照してください。このポリシーは、アタッチされている VPC エンドポイント経由の Kinesis データストリームの一覧表示と説明のみにアクションを制限します。
```
{
  "Statement": [
    {
      "Sid": "ReadOnly",
      "Principal": "*",
      "Action": [
        "kinesis:List*",
        "kinesis:Describe*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}                
```
VPC ポリシーの例: アクセスを特定の Kinesis データストリームに制限 - このサンプルポリシーは、VPC エンドポイントにアタッチできます。このポリシーは、ポリシーがアタッチされている VPC エンドポイント経由の特定のデータストリームにアクセスを制限します。
```
{
  "Statement": [
    {
      "Sid": "AccessToSpecificDataStream",
      "Principal": "*",
      "Action": "kinesis:*",
      "Effect": "Allow",
      "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream"
    }
  ]
}
                
```

IAM ポリシーの例: 特定のストリームへのアクセスを特定の VPC エンドポイントからのみに制限 - このサンプルポリシーは、IAM ユーザー、ロール、またはグループにアタッチできます。このポリシーは、指定された Kensis データストリームへのアクセスが、指定された VPC エンドポイント以外からは行われないように制限します。



{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "AccessFromSpecificEndpoint",
         "Action": "kinesis:*",
         "Effect": "Deny",
         "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream",
         "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-11aa22bb" } }
      }
   ]
}