As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
É possível usar um endpoint da VPC de interface para impedir que o tráfego entre sua Amazon VPC e o Kinesis Data Streams saia da rede da Amazon. Os endpoints VPC de interface não exigem um gateway de internet, dispositivo NAT, conexão VPN ou conexão. AWS Direct Connect Os endpoints de VPC de interface são alimentados por AWS PrivateLink uma AWS tecnologia que permite a comunicação privada entre AWS serviços usando uma interface de rede elástica com privacidade em IPs sua Amazon VPC. Para obter mais informações, consulte Amazon Virtual Private Cloud e Interface VPC Endpoints ().AWS PrivateLink
Tópicos
Use endpoints VPC de interface para Kinesis Data Streams
Para começar, você não precisa alterar as configurações de seus streams, produtores ou consumidores. Crie uma interface VPC endpoint para seu Kinesis Data Streams para iniciar o fluxo de tráfego de e para seus recursos da Amazon VPC por meio da interface VPC endpoint. Os endpoints VPC com interface habilitada para FIPS estão disponíveis para as regiões dos EUA. Para obter mais informações, consulte Criação de um endpoint de interface.
A Amazon Kinesis Producer Library (KPL) e a Kinesis Consumer Library (KCL) chamam serviços como AWS Amazon e Amazon CloudWatch DynamoDB usando endpoints públicos ou endpoints VPC de interface privada, os que estiverem em uso. Por exemplo, se seu aplicativo KCL estiver sendo executado em uma VPC com interface DynamoDB com VPC endpoints habilitados, as chamadas entre o DynamoDB e seu aplicativo KCL fluem pela interface VPC endpoint.
Controle o acesso aos VPC endpoints para Kinesis Data Streams
As políticas de VPC endpoint permitem controlar o acesso anexando uma política a um VPC endpoint ou usando campos adicionais em uma política anexada a um usuário, grupo ou função do IAM para restringir o acesso a ocorrer somente por meio do VPC endpoint especificado. Use essas políticas para restringir o acesso a streams específicos em um VPC endpoint específico ao usá-las junto com as políticas do IAM para conceder acesso somente às ações de stream de dados do Kinesis por meio do VPC endpoint especificado.
Veja a seguir exemplos de políticas de endpoint para acessar fluxos de dados do Kinesis.
-
Exemplo de política de VPC: acesso somente leitura — esse exemplo de política pode ser anexado a um VPC endpoint. (Para obter mais informações, consulte Como controlar o acesso aos recursos da Amazon VPC). Ele restringe as ações a somente listar e descrever um fluxo de dados do Kinesis por meio do VPC endpoint ao qual está anexado.
{ "Statement": [ { "Sid": "ReadOnly", "Principal": "*", "Action": [ "kinesis:List*", "kinesis:Describe*" ], "Effect": "Allow", "Resource": "*" } ] } -
Exemplo de política de VPC: restringir o acesso a um fluxo de dados específico do Kinesis — esse exemplo de política pode ser anexado a um VPC endpoint. Ele restringe o acesso a um fluxo de dados específico por meio do VPC endpoint ao qual está anexado.
{ "Statement": [ { "Sid": "AccessToSpecificDataStream", "Principal": "*", "Action": "kinesis:*", "Effect": "Allow", "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream" } ] } -
Exemplo de política do IAM: restrinja o acesso a um stream específico somente de um VPC endpoint específico. Esse exemplo de política pode ser anexado a um usuário, função ou grupo do IAM. Ele restringe o acesso a um fluxo de dados especificado do Kinesis para ocorrer somente em determinado VPC endpoint.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessFromSpecificEndpoint", "Action": "kinesis:*", "Effect": "Deny", "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream", "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-11aa22bb" } } } ] }
Disponibilidade de políticas de VPC endpoint para Kinesis Data Streams
Os endpoints VPC da interface do Kinesis Data Streams com políticas são compatíveis com as seguintes regiões:
-
Europa (Paris)
-
Europa (Irlanda)
-
Leste dos EUA (Norte da Virgínia)
-
Europa (Estocolmo)
-
Leste dos EUA (Ohio)
-
Europa (Frankfurt)
-
América do Sul (São Paulo)
-
Europa (Londres)
-
Ásia-Pacífico (Tóquio)
-
Oeste dos EUA (Norte da Califórnia)
-
Ásia-Pacífico (Singapura)
-
Ásia-Pacífico (Sydney)
-
China (Pequim)
-
China (Ningxia)
-
Ásia-Pacífico (Hong Kong)
-
Oriente Médio (Bahrein)
-
Oriente Médio (Emirados Árabes Unidos)
-
Europa (Milão)
-
África (Cidade do Cabo)
-
Ásia-Pacífico (Mumbai)
-
Ásia-Pacífico (Seul)
-
Canadá (Central)
-
Oeste dos EUA (Oregon), exceto usw2-az4
-
AWS GovCloud (Leste dos EUA)
-
AWS GovCloud (Oeste dos EUA)
-
Ásia-Pacífico (Osaka)
-
Europa (Zurique)
-
Ásia-Pacífico (Hyderabad)
