使用界面 VPC 端點連接至 Amazon Athena - Amazon Athena
為 Athena 建立 VPC 端點政策共用子網路

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用界面 VPC 端點連接至 Amazon Athena

在虛擬私有雲端 (VPC) 中使用介面 VPC 端點 (AWS PrivateLink)AWS Glue VPC 端點,改善 VPC 的安全狀態。介面 VPC 端點可讓您控制從 VPC 內部到達哪些目的地,從而提高安全性。每個 VPC 端點皆會由一個或多個具私有 IP 地址彈性網路介面 (ENI) 來表示,而該介面位於 VPC 子網路中。

介面虛擬私人雲端端點可將您的 VPC 直接連接至 Athena,而無需網際網路閘道、NAT 裝置、VPN 連線或 AWS Direct Connect 連線。VPC 中的執行個體不需要公有 IP 地址,就能與 Athena API 進行通訊。

若要透過 VPC 來使用 Athena,您必須從 VPC 中的執行個體來連接,或使用 Amazon Virtual Private Network (VPN) 或 AWS Direct Connect將私有網路連接至 VPC。如需有關 Amazon VPN 的資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的 VPN 連接。若要取得有關資訊 AWS Direct Connect,請參閱《使用指南》中的AWS Direct Connect 〈建立連接

在所有 Amazon VPC 和 Athena 均可使用的情 AWS 區域 況下,Athena 都支援 VPC 端點。

您可以建立介面 VPC 端點,以使用 AWS Management Console 或 AWS Command Line Interface (AWS CLI) 命令連線至 Athena。如需詳細資訊,請參閱建立介面端點

在建立界面 VPC 端點之後,如果您啟用端點的私有 DNS 主機名稱,則預設 Athena 端點 (https://athena.Region.amazonaws.com) 會解析為您的 VPC 端點。

如果您尚未啟用私有 DNS 主機名稱,Amazon VPC 會透過以下格式提供一個 DNS 端點名稱,供您使用:

VPC_Endpoint_ID.athena.Region.vpce.amazonaws.com

如需詳細資訊,請參閱 Amazon VPC 使用者指南中的介面虛擬私人雲端端點 (AWS PrivateLink)

Athena 會支援在您的 VPC 內呼叫其所有 API 動作

您可以為 Athena 的 Amazon VPC 端點建立政策,以指定下列限制:

  • 主體 – 可執行動作的主體。

  • 動作 – 可執行的動作。

  • 資源 – 可供執行動作的資源。

  • 僅受信任的身分 — 使用此aws:PrincipalOrgId條件可限制只存取屬於您 AWS 組織中的認證。這有助於防止非預期的主體存取。

  • 僅可信資源 – 使用 aws:ResourceOrgId 條件,以防止存取非預期的資源。

  • 僅可信身分和資源 – 為 VPC 端點建立組合政策,以協助防止存取非預期的主體和資源。

有關詳情,請參閱 Amazon VPC 使用者指南中的使用 VPC 端點控制服務的存取和 AWS 白皮書中的附錄 2 — VPC 端點政策範例中的建立資料周邊。 AWS

範例 – VPC 端點政策

下列範例允許依組織識別對組織資源的要求,並允許 AWS 服務主體的要求。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "my-org-id",
                    "aws:ResourceOrgID": "my-org-id"
                }
            }
        },
        {
            "Sid": "AllowRequestsByAWSServicePrincipals",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "aws:PrincipalIsAWSService": "true"
                }
            }
        }
    ]
}

每當您使用 IAM 政策時,請務必遵循 IAM 最佳實務。如需詳細資訊,請參閱《IAM 使用者指南》中的 IAM 中的安全性最佳實務

共用子網路

無法在與您共用的子網路中建立、描述、修改或刪除 VPC 端點。不過,可以在與您共用的子網路中使用 VPC 端點。如需有關 VPC 子網路共用的資訊,請參閱《Amazon VPC 使用者指南》中的與其他帳戶共用 VPC