Stellen Sie über einen VPC Schnittstellenendpunkt eine Connect zu Amazon Athena her - Amazon Athena

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Stellen Sie über einen VPC Schnittstellenendpunkt eine Connect zu Amazon Athena her

Sie können Ihren Sicherheitsstatus verbessern, VPC indem Sie einen VPC Schnittstellenendpunkt verwenden (AWS PrivateLink) und ein AWS Glue VPCEndpunkt in Ihrer Virtual Private Cloud (VPC). Ein VPC Schnittstellenendpunkt verbessert die Sicherheit, indem er Ihnen die Kontrolle darüber gibt, welche Ziele von Ihrem Computer aus erreicht werden könnenVPC. Jeder VPC Endpunkt wird durch eine oder mehrere Elastic Network-Schnittstellen (ENIs) mit privaten IP-Adressen in Ihren VPC Subnetzen repräsentiert.

Der VPC Schnittstellenendpunkt verbindet Sie VPC direkt mit Athena ohne Internet-Gateway, NAT Gerät, VPN Verbindung oder AWS Direct Connect Verbindung. Die Instances in Ihrem benötigen VPC keine öffentlichen IP-Adressen, um mit der Athena API zu kommunizieren.

Um Athena über Ihren nutzen zu könnenVPC, müssen Sie eine Verbindung von einer Instance herstellen, die sich innerhalb des Netzwerks befindet, VPC oder Ihr privates Netzwerk mit Ihrem verbinden, VPC indem Sie ein Amazon Virtual Private Network verwenden (VPN) oder AWS Direct Connect. Informationen zu Amazon VPN finden Sie unter VPNVerbindungen im Amazon Virtual Private Cloud Cloud-Benutzerhandbuch. Für Informationen über AWS Direct Connect, siehe Eine Verbindung herstellen in der AWS Direct Connect Benutzerleitfaden.

Athena unterstützt VPC Endpunkte in allen AWS-Regionen wo sowohl Amazon als VPC auch Athena verfügbar sind.

Sie können einen VPC Schnittstellenendpunkt erstellen, um eine Verbindung zu Athena herzustellen, indem Sie AWS Management Console or AWS Command Line Interface (AWS CLI) Befehle. Weitere Informationen finden Sie unter Erstellen eines Schnittstellenendpunkts.

Wenn Sie nach dem Erstellen eines VPC Schnittstellenendpunkts private DNS Hostnamen für den Endpunkt aktivieren, ist dies der standardmäßige Athena-Endpunkt (https://athena.Region.amazonaws.com) wird zu Ihrem Endpunkt aufgelöst. VPC

Wenn Sie private DNS Hostnamen nicht aktivieren, VPC stellt Amazon einen DNS Endpunktnamen bereit, den Sie im folgenden Format verwenden können:

VPC_Endpoint_ID.athena.Region.vpce.amazonaws.com

Weitere Informationen finden Sie unter VPC Schnittstellenendpunkte (AWS PrivateLink) im VPCAmazon-Benutzerhandbuch.

Athena unterstützt das Aufrufen all seiner APIAktionen in IhremVPC.

Sie können eine Richtlinie für VPC Amazon-Endpunkte für Athena erstellen, um Einschränkungen wie die folgenden festzulegen:

  • Prinzipal – Prinzipal, der die Aktionen ausführen kann.

  • Aktionen – Aktionen, die ausgeführt werden können

  • Ressourcen – Die Ressourcen, für die Aktionen ausgeführt werden können.

  • Nur vertrauenswürdige Identitäten — Verwenden Sie die aws:PrincipalOrgId Bedingung, um den Zugriff nur auf Anmeldeinformationen zu beschränken, die Teil Ihrer AWS Organisation. Dies kann dazu beitragen, den Zugriff durch unbeabsichtigte Prinzipale zu verhindern.

  • Nur vertrauenswürdige Ressourcen – Verwenden Sie diese aws:ResourceOrgId-Bedingung, um den Zugriff auf unbeabsichtigte Ressourcen zu verhindern.

  • Nur vertrauenswürdige Identitäten und Ressourcen — Erstellen Sie eine kombinierte Richtlinie für einen VPC Endpunkt, die den Zugriff auf unbeabsichtigte Prinzipale und Ressourcen verhindert.

Weitere Informationen finden Sie unter Steuern des Zugriffs auf Dienste mit VPC Endpunkten im VPCAmazon-Benutzerhandbuch und Anhang 2 — Beispiele für VPC Endpunktrichtlinien in der AWS Whitepaper Aufbau eines Datenperimeters auf AWS.

Beispiel — Endpunktrichtlinie VPC

Das folgende Beispiel erlaubt Anfragen von Organisationsidentitäten an Organisationsressourcen und erlaubt Anfragen von AWS Dienstprinzipale.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "my-org-id", "aws:ResourceOrgID": "my-org-id" } } }, { "Sid": "AllowRequestsByAWSServicePrincipals", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "*", "Resource": "*", "Condition": { "Bool": { "aws:PrincipalIsAWSService": "true" } } } ] }

Wenn Sie IAM Richtlinien verwenden, stellen Sie sicher, dass Sie sich an IAM bewährte Methoden halten. Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch.

Informationen zu VPC Endpunkten in gemeinsam genutzten Subnetzen

In Subnetzen, die mit Ihnen gemeinsam genutzt werden, können Sie keine VPC Endpunkte erstellen, beschreiben, ändern oder löschen. Sie können die VPC Endpunkte jedoch in Subnetzen verwenden, die mit Ihnen gemeinsam genutzt werden. Informationen zum VPC Teilen finden Sie unter Teilen Ihres VPC Kontos mit anderen Konten im VPCAmazon-Benutzerhandbuch.