使用界面VPC端點 Connect 到 Amazon Athena - Amazon Athena
建立 Athena 的VPC端點原則關於共用子網路中的VPC端點

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用界面VPC端點 Connect 到 Amazon Athena

您可以使用介面VPC端點VPC來改善您的安全狀態 (AWS PrivateLink) AWS Glue VPC虛擬私有雲端 (VPC) 中的端點。介面VPC端點可讓您控制可從內部到達的目的地,藉此改善安全性VPC。每個VPC端點都由一或多個彈性網路介面 (ENIs) 表示,在VPC子網路中具有私有 IP 位址。

介面VPC端點無需網際網路閘道、NAT裝置、連線或即可VPC直接VPN連線至 Athena AWS Direct Connect 連接。您中的執行個體VPC不需要公有 IP 位址即可與 Athena 通訊API。

若要透過您的 Athena 使用VPC,您必須從位於內部的執行個體進行連線,VPC或使用 Amazon 虛擬私人網路將您VPC的私人網路連線到您的網路 (VPN),或 AWS Direct Connect。 如需 Amazon 的相關資訊VPN,請參閱 Amazon Virtual Private Cloud 使用者指南中的VPN連線。如需相關資訊 AWS Direct Connect,請參閱在中建立連線 AWS Direct Connect 使用者指南

Athena 支援所有VPC端點 AWS 區域 Amazon VPCAthena 都可用的地方。

您可以建立介面VPC端點,以連線至 Athena AWS Management Console 或 AWS Command Line Interface (AWS CLI) 指令。如需詳細資訊,請參閱建立介面端點

建立介面VPC端點之後,如果您為端點啟用私人DNS主機名稱,則為預設的 Athena 端點 (https://athena.Region. 亞馬遜) 解析為您的端點。VPC

如果您未啟用私人DNS主機名稱,Amazon 會VPC提供您可以使用下列格式的DNS端點名稱:

VPC_Endpoint_ID.athena.Region.vpce.amazonaws.com

如需詳細資訊,請參閱介面VPC端點 (AWS PrivateLink)Amazon 用VPC戶指南中。

Athena 支援呼叫您內部的所有API動作VPC。

您可以為 Athena 的 Amazon VPC 端點建立政策,以指定如下所示的限制:

  • 主體 – 可執行動作的主體。

  • 動作 – 可執行的動作。

  • 資源 – 可供執行動作的資源。

  • 僅受信任的身分 — 使用此aws:PrincipalOrgId條件可限制只存取屬於您身分的認證 AWS 組織。這有助於防止非預期的主體存取。

  • 僅可信資源 – 使用 aws:ResourceOrgId 條件,以防止存取非預期的資源。

  • 僅受信任的身分識別和資源 — 為VPC端點建立組合的策略,以協助防止存取非預期的主體和資源。

如需詳細資訊,請參閱 Amazon VPC 使用者指南中的使用VPC端點控制服務的存取和附錄 2 — VPC 端點政策範例 AWS 白皮書建立資料周邊 AWS.

範例 — VPC 端點策略

下列範例允許依組織識別對組織資源的要求,並允許請求 AWS 服務主體。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "my-org-id",
                    "aws:ResourceOrgID": "my-org-id"
                }
            }
        },
        {
            "Sid": "AllowRequestsByAWSServicePrincipals",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "aws:PrincipalIsAWSService": "true"
                }
            }
        }
    ]
}

每當您使用IAM原則時,請務必遵循IAM最佳做法。如需詳細資訊,請參閱《IAM使用指南》IAM中的「安全性最佳作法」。

關於共用子網路中的VPC端點

您無法在與您共用的子網路中建立、描述、修改或刪除VPC端點。不過,您可以在與您共用的子網路中使用VPC端點。如需VPC共用的相關資訊,請參閱 Amazon VPC 使用者指南中的「VPC與其他帳戶共用您的帳戶」。