Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Usando o Amazon Data Firehose com AWS PrivateLink

PDF
RSS
Modo de foco
Usando o Amazon Data Firehose com AWS PrivateLink - Amazon Data Firehose
Usando a interface VPC endpoints ()AWS PrivateLink para FirehoseSuportado Regiões da AWS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Você pode usar uma interface VPC endpoint (AWS PrivateLink) para acessar o Amazon Data Firehose de sua VPC sem precisar de um Internet Gateway ou NAT Gateway. Os endpoints VPC de interface não exigem um gateway de internet, dispositivo NAT, conexão VPN ou conexão. AWS Direct Connect Os endpoints de VPC de interface são alimentados por AWS PrivateLink uma AWS tecnologia que permite a comunicação privada entre AWS serviços usando uma interface de rede elástica com privacidade em IPs sua Amazon VPC. Para obter mais informações, consulte o Amazon Virtual Private Cloud.

Usando a interface VPC endpoints ()AWS PrivateLink para Firehose

Para iniciar, crie um endpoint da VPC de interface para que o tráfego do Amazon Data Firehose vindo dos recursos da Amazon VPC comece a fluir através do endpoint da VPC de interface. Quando você cria um endpoint, pode anexar a ele uma política de endpoint que controla o acesso ao Amazon Data Firehose. Para saber mais sobre o uso de políticas para controlar o acesso de um endpoint da VPC ao Amazon Data Firehose, consulte Controle de acesso aos serviços com endpoints da VPC.

O exemplo a seguir mostra como você pode configurar uma AWS Lambda função em uma VPC e criar um VPC endpoint para permitir que a função se comunique com segurança com o serviço Amazon Data Firehose. Neste exemplo, você usa uma política que permite que a função do Lambda liste os fluxos do Firehose na região atual, mas não os descreva.

Criar um VPC endpoint

  1. Faça login no AWS Management Console e abra o console da Amazon VPC em. https://console.aws.amazon.com/vpc/

  2. No painel da VPC, selecione Endpoints.

  3. Escolha Criar endpoint.

  4. Na lista de nomes de serviço, escolha com.amazonaws.your_region.kinesis-firehose.

  5. Escolha a VPC e uma ou mais sub-redes nas quais criar o endpoint.

  6. Escolha um ou mais grupos de segurança para associar ao endpoint.

  7. Para Policy (Política), selecione Custom (Personalizar) e cole a seguinte política:

    {
    "Statement": [
        {
            "Sid": "Allow-only-specific-PrivateAPIs",
            "Principal": "*",
            "Action": [
                "firehose:ListDeliveryStreams"
            ],
            "Effect": "Allow",
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "Allow-only-specific-PrivateAPIs",
            "Principal": "*",
            "Action": [
                "firehose:DescribeDeliveryStream"
            ],
            "Effect": "Deny",
            "Resource": [
                "*"
            ]
        }
    ]
}

  8. Escolha Criar endpoint.

Criar um perfil do IAM para ser usado com a função do Lambda

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação à esquerda, escolha Perfis e Criar perfil.

  3. Em Selecionar o tipo de entidade confiável, deixe a seleção padrão Serviço da AWS .

  4. Em Escolha o serviço que usará esse perfil, escolha Lambda.

  5. Escolha Next: Permissions (Próximo: Permissões).

  6. Na lista de políticas, procure e adicione as duas políticas chamadas AWS LambdaVPCAccessExecutionRole e AmazonDataFirehoseReadOnlyAccess.

    Importante

    Este é um exemplo. É possível precisar de políticas mais rigorosas para o ambiente de produção.

  7. Escolha Próximo: tags. Para a finalidade deste exercício, não é necessário adicionar tags. Escolha Próximo: revisar.

  8. Insira um nome para o perfil e escolha Criar perfil.

Criar uma função do Lambda dentro da VPC

  1. Abra o AWS Lambda console em https://console.aws.amazon.com/lambda/.

  2. Escolha Create function (Criar função).

  3. Escolha Author from scratch (Criar do zero).

  4. Insira um nome para a função e defina Runtime como Python 3.9 ou posterior.

  5. Em Permissions (Permissões), expanda Choose or create an execution role (Escolher ou criar uma função de execução).

  6. Na lista Execution role (Função de execução), selecione Use an existing role (Usar uma função existente).

  7. Na lista Existing role (Função existente), selecione a função criada acima.

  8. Escolha a opção Criar função.

  9. Em Function code (Código da função), cole o código a seguir.

        import json
    import boto3
    import os
    from botocore.exceptions import ClientError
     
    def lambda_handler(event, context):
        REGION = os.environ['AWS_REGION']
        client = boto3.client(
            'firehose',
            REGION
            
        )
        print("Calling list_delivery_streams with ListDeliveryStreams allowed policy.")
        delivery_stream_request = client.list_delivery_streams()
        print("Successfully returned list_delivery_streams request %s." % (
            delivery_stream_request
        ))
        describe_access_denied = False
        try:
            print("Calling describe_delivery_stream with DescribeDeliveryStream denied policy.")
            delivery_stream_info = client.describe_delivery_stream(DeliveryStreamName='test-describe-denied')
        except ClientError as e:
            error_code = e.response['Error']['Code']
            print ("Caught %s." % (error_code))
            if error_code == 'AccessDeniedException':
                describe_access_denied = True
        
        if not describe_access_denied:
            raise
        else:
            print("Access denied test succeeded.")

  10. Em Basic settings (Configurações básicas), defina o tempo limite como 1 minuto.

  11. Em Network (Rede), selecione a VPC onde você criou o endpoint acima e selecione as sub-redes e o grupo de segurança que foram associados ao endpoint quando ele foi criado.

  12. Próximo ao alto da página, selecione Salvar.

  13. Escolha Testar.

  14. Insira o nome de um evento e escolha Criar.

  15. Escolha Test (Testar) novamente. Isso faz com que a função seja executada. Depois que o resultado da execução for exibido, expanda Details (Detalhes) e compare a saída do log com o código da função. Resultados com êxito mostram uma lista de fluxos do Firehose na região, bem como a saída a seguir:

    Calling describe_delivery_stream.

    AccessDeniedException

    Access denied test succeeded.

Suportado Regiões da AWS

No momento, há suporte para os endpoints da VPC nas regiões a seguir.

  • Leste dos EUA (Ohio)

  • Leste dos EUA (Norte da Virgínia)

  • Oeste dos EUA (Norte da Califórnia)

  • Oeste dos EUA (Oregon)

  • Ásia-Pacífico (Mumbai)

  • Ásia-Pacífico (Seul)

  • Ásia-Pacífico (Singapura)

  • Ásia-Pacífico (Sydney)

  • Ásia-Pacífico (Tailândia)

  • Ásia-Pacífico (Tóquio)

  • Ásia-Pacífico (Hong Kong)

  • Canadá (Central)

  • Oeste do Canadá (Calgary)

  • China (Pequim)

  • China (Ningxia)

  • Europa (Frankfurt)

  • Europa (Irlanda)

  • Europa (Londres)

  • Europa (Paris)

  • México (Central)

  • América do Sul (São Paulo)

  • AWS GovCloud (Leste dos EUA)

  • AWS GovCloud (Oeste dos EUA)

  • Europa (Espanha)

  • Oriente Médio (Emirados Árabes Unidos)

  • Ásia-Pacífico (Jacarta)

  • Ásia-Pacífico (Osaka)

  • Israel (Tel Aviv)

  • Ásia-Pacífico (Malásia)

Nesta página

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.