Conectar-se ao Amazon Athena usando um endpoint da VPC de interface - Amazon Athena

Conectar-se ao Amazon Athena usando um endpoint da VPC de interface

Você pode melhorar a postura de segurança da sua VPC usando um endpoint da VPC de interface (AWS PrivateLink) e um endpoint da VPC do AWS Glue em sua nuvem privada virtual (VPC). Um endpoint da VPC de interface melhora a segurança ao oferecer controle sobre quais destinos podem ser alcançados de dentro da sua VPC. Cada endpoint da VPC é representado por uma ou mais interfaces de rede elástica (ENIs) com endereços IP privados nas sub-redes da VPC.

O endpoint da VPC de interface conecta sua VPC diretamente ao Athena sem um gateway da Internet, um dispositivo NAT, uma conexão VPN ou uma conexão AWS Direct Connect. Não é necessário que as instâncias na sua VPC tenham endereços IP públicos para se comunicarem com a API do Athena.

Para usar o Athena por meio da VPC, você deve se conectar de uma instância que esteja dentro da VPC ou conectar sua rede privada à VPC usando o Amazon Virtual Private Network (VPN) ou uma AWS Direct Connect. Para obter informações sobre o Amazon VPN, consulte Conexões VPN no Guia do usuário do Amazon Virtual Private Cloud. Para obter informações sobre o AWS Direct Connect, consulte Creating a connection (Criação de uma conexão) no Guia do usuário do AWS Direct Connect.

O Athena aceita endpoints da VPC em todas as Regiões da AWS onde o Amazon VPC e o Athena estão disponíveis.

É possível criar um endpoint da VPC de interface para se conectar ao Athena usando os comandos do AWS Management Console ou da AWS Command Line Interface (AWS CLI). Para obter mais informações, consulte Creating an interface endpoint (Criação de um endpoint de interface).

Depois de criar um endpoint da VPC de interface, se você habilitar nomes de host DNS privados para o endpoint, o endpoint padrão do Athena (https://athena.Region.amazonaws.com) será resolvido para seu endpoint da VPC.

Se você não habilitar nomes de host DNS privados, o Amazon VPC fornecerá um nome de endpoint DNS que poderá ser usado no seguinte formato:

VPC_Endpoint_ID.athena.Region.vpce.amazonaws.com

Para mais informações, consulte VPC endpoints de interface (AWS PrivateLink) no Guia do usuário da Amazon VPC.

O Athena permite fazer chamadas para todas as ações de API na sua VPC.

Você pode criar uma política de endpoints da Amazon VPC para o Athena para especificar restrições como:

  • Entidade principal: a entidade principal que pode executar ações.

  • Ações: as ações que podem ser executadas.

  • Recursos: os recursos sobre os quais as ações podem ser realizadas.

  • Somente identidades confiáveis: use a condição aws:PrincipalOrgId para restringir o acesso somente às credenciais que fazem parte de sua organização da AWS. Isso pode ajudar a impedir o acesso de entidades principais não intencionais.

  • Somente recursos confiáveis: use a condição aws:ResourceOrgId para impedir o acesso a recursos não intencionais.

  • Somente identidades e recursos confiáveis: crie uma política combinada para um endpoint da VPC que ajude a impedir o acesso a recursos e entidades principais não intencionais.

Para obter mais informações, consulte Controlar acesso a serviços com endpoints da VPC no Guia do usuário da Amazon VPC e no Apêndice 2: exemplos de políticas de endpoints da VPC no whitepaper da AWS Criar um perímetro de dados na AWS.

exemplo Política de endpoint da VPC

O exemplo a seguir permite solicitações de identidades de organizações para recursos de organizações, e permite solicitações de entidades principais de serviços da AWS.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "my-org-id", "aws:ResourceOrgID": "my-org-id" } } }, { "Sid": "AllowRequestsByAWSServicePrincipals", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "*", "Resource": "*", "Condition": { "Bool": { "aws:PrincipalIsAWSService": "true" } } } ] }

Sempre que você usar as políticas do IAM, siga as práticas recomendadas do IAM. Para obter mais informações, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.

Sobre os endpoints da VPC em sub-redes compartilhadas

Você não pode criar, descrever, modificar ou excluir endpoints da VPC em sub-redes que são compartilhadas com você. No entanto, você pode usar os endpoints da VPC em sub-redes que são compartilhadas com você. Para obter informações sobre o compartilhamento da VPC, consulte Compartilhar sua VPC com outras contas no Guia do usuário da Amazon VPC.