インターフェイスVPCエンドポイントで Amazon Kinesis Data Streams を使用する - Amazon Kinesis Data Streams
Kinesis Data Streams にインターフェイスVPCエンドポイントを使用するKinesis Data Streams のVPCエンドポイントへのアクセスを制御するKinesis Data Streams のVPCエンドポイントポリシーの可用性

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

インターフェイスVPCエンドポイントで Amazon Kinesis Data Streams を使用する

インターフェイスVPCエンドポイントを使用して、Amazon VPCと Kinesis Data Streams 間のトラフィックが Amazon ネットワークから出るのを防ぐことができます。インターフェイスVPCエンドポイントには、インターネットゲートウェイ、NATデバイス、VPN接続、または AWS Direct Connect 接続は必要ありません。インターフェイスVPCエンドポイントは PrivateLink、Amazon IPsの で プライベートとの Elastic Network Interface を使用して AWS 、サービス間のプライベート通信を可能にする AWS テクノロジーである を使用しています AWS VPC。詳細については、Amazon Virtual Private Cloud and Interface VPC Endpoints (AWS PrivateLink)」を参照してください。

Kinesis Data Streams にインターフェイスVPCエンドポイントを使用する

使用を開始するために、ストリーム、プロデューサー、またはコンシューマーの設定を変更する必要はありません。Kinesis Data Streams のインターフェイスVPCエンドポイントを作成して、インターフェイスVPCエンドポイントを介して Amazon VPCリソースとの間でトラフィックフローを開始します。FIPSが有効なインターフェイスVPCエンドポイントは、米国リージョンで使用できます。詳細については、インターフェイスエンドポイントの作成を参照してください。

Kinesis プロデューサーライブラリ (KPL) と Kinesis コンシューマーライブラリ (KCL) は、パブリックエンドポイントまたはプライベートインターフェイスVPCエンドポイントのいずれかを使用して Amazon CloudWatch や Amazon DynamoDB などの AWS サービスを呼び出します。例えば、KCLアプリケーションがVPCエンドポイントを有効にした DynamoDB インターフェイスVPCで実行されている場合、DynamoDB とKCLアプリケーション間の呼び出しはインターフェイスVPCエンドポイントを経由します。

Kinesis Data Streams のVPCエンドポイントへのアクセスを制御する

VPC エンドポイントポリシーを使用すると、ポリシーをVPCエンドポイントにアタッチするか、IAMユーザー、グループ、またはロールにアタッチされたポリシー内の追加のフィールドを使用して、指定されたVPCエンドポイントを介してのみアクセスを制限することで、アクセスを制御できます。これらのポリシーを使用して、指定されたVPCエンドポイントを介して Kinesis データストリームアクションへのアクセスのみを許可するIAMポリシーとともに使用するときに、特定のストリームへのアクセスを指定されたVPCエンドポイントに制限します。

以下は、Kinesis データストリームにアクセスするためのエンドポイントポリシーの例です。

  • VPC ポリシーの例: 読み取り専用アクセス - このサンプルポリシーはVPCエンドポイントにアタッチできます。(詳細については、「Amazon VPCリソースへのアクセスの制御」を参照してください。) これにより、アクションは、アタッチ先のVPCエンドポイントを通じて Kinesis データストリームを一覧表示および記述するのみに制限されます。

    
{
  "Statement": [
    {
      "Sid": "ReadOnly",
      "Principal": "*",
      "Action": [
        "kinesis:List*",
        "kinesis:Describe*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

  • VPC ポリシーの例: 特定の Kinesis データストリームへのアクセスを制限する - このサンプルポリシーはVPCエンドポイントにアタッチできます。これにより、アタッチ先のVPCエンドポイントを通じて特定のデータストリームへのアクセスが制限されます。

    
{
  "Statement": [
    {
      "Sid": "AccessToSpecificDataStream",
      "Principal": "*",
      "Action": "kinesis:*",
      "Effect": "Allow",
      "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream"
    }
  ]
}

  • IAM ポリシーの例: 特定のVPCエンドポイントからの特定のストリームへのアクセスを制限する - このサンプルポリシーは、IAMユーザー、ロール、またはグループにアタッチできます。これにより、指定された Kinesis データストリームへのアクセスが、指定されたVPCエンドポイントからのみ行われるように制限されます。

    
{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "AccessFromSpecificEndpoint",
         "Action": "kinesis:*",
         "Effect": "Deny",
         "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream",
         "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-11aa22bb" } }
      }
   ]
}

Kinesis Data Streams のVPCエンドポイントポリシーの可用性

ポリシーを使用する Kinesis Data Streams インターフェイスVPCエンドポイントは、次のリージョンでサポートされています。

  • 欧州 (パリ)

  • 欧州 (アイルランド)

  • 米国東部 (バージニア北部)

  • 欧州 (ストックホルム)

  • 米国東部 (オハイオ)

  • 欧州 (フランクフルト)

  • 南米 (サンパウロ)

  • 欧州 (ロンドン)

  • アジアパシフィック (東京)

  • 米国西部 (北カリフォルニア)

  • アジアパシフィック (シンガポール)

  • アジアパシフィック (シドニー)

  • 中国 (北京)

  • 中国 (寧夏)

  • アジアパシフィック (香港)

  • 中東 (バーレーン)

  • 中東 (UAE)

  • 欧州 (ミラノ)

  • アフリカ (ケープタウン)

  • アジアパシフィック (ムンバイ)

  • アジアパシフィック (ソウル)

  • カナダ (中部)

  • usw2-az4 を除く米国西部 (オレゴン)

  • AWS GovCloud (米国東部)

  • AWS GovCloud (米国西部)

  • アジアパシフィック (大阪)

  • 欧州 (チューリッヒ)

  • アジアパシフィック (ハイデラバード)