Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Stellen Sie über einen VPC Schnittstellenendpunkt eine Connect zu Amazon Athena her
Sie können Ihren Sicherheitsstatus verbessern, VPC indem Sie einen VPCSchnittstellenendpunkt (AWS PrivateLink) und einen AWS Glue VPCEndpunkt in Ihrer Virtual Private Cloud (VPC) verwenden. Ein VPC Schnittstellenendpunkt verbessert die Sicherheit, indem er Ihnen die Kontrolle darüber gibt, welche Ziele von Ihrem Computer aus erreicht werden könnenVPC. Jeder VPC Endpunkt wird durch eine oder mehrere Elastic Network-Schnittstellen (ENIs) mit privaten IP-Adressen in Ihren VPC Subnetzen repräsentiert.
Der VPC Schnittstellenendpunkt verbindet Sie VPC direkt mit Athena ohne Internet-Gateway, NAT Gerät, VPN Verbindung oder AWS Direct Connect Verbindung. Die Instances in Ihrem benötigen VPC keine öffentlichen IP-Adressen, um mit der Athena API zu kommunizieren.
Um Athena über Ihren nutzen zu könnenVPC, müssen Sie eine Verbindung von einer Instance herstellen, die sich innerhalb des Netzwerks befindet, VPC oder über ein Amazon Virtual Private Network (VPN) oder AWS Direct Connect Ihr VPC privates Netzwerk mit Ihrem verbinden. Informationen zu Amazon VPN finden Sie unter VPNVerbindungen im Amazon Virtual Private Cloud Cloud-Benutzerhandbuch. Weitere Informationen AWS Direct Connect dazu finden Sie unter Verbindung erstellen im AWS Direct Connect Benutzerhandbuch.
Athena unterstützt VPC Endgeräte überall dort, AWS-Regionen wo VPC sowohl Amazon als auch Athena verfügbar sind.
Sie können einen VPC Schnittstellenendpunkt erstellen, um mit den Befehlen AWS Management Console oder AWS Command Line Interface (AWS CLI) eine Verbindung zu Athena herzustellen. Weitere Informationen finden Sie unter Erstellen eines Schnittstellenendpunkts.
Wenn Sie nach dem Erstellen eines VPC Schnittstellenendpunkts private DNS Hostnamen für den Endpunkt aktivieren, ist dies der standardmäßige Athena-Endpunkt (https://athena.Region
.amazonaws.com) wird zu Ihrem Endpunkt aufgelöst. VPC
Wenn Sie private DNS Hostnamen nicht aktivieren, VPC stellt Amazon einen DNS Endpunktnamen bereit, den Sie im folgenden Format verwenden können:
VPC_Endpoint_ID
.athena.Region
.vpce.amazonaws.com
Weitere Informationen finden Sie unter Interface VPC Endpoints (AWS PrivateLink) im VPCAmazon-Benutzerhandbuch.
Athena unterstützt das Aufrufen all seiner APIAktionen in IhremVPC.
Erstellen Sie eine VPC Endpunktrichtlinie für Athena
Sie können eine Richtlinie für VPC Amazon-Endpunkte für Athena erstellen, um Einschränkungen wie die folgenden festzulegen:
-
Prinzipal – Prinzipal, der die Aktionen ausführen kann.
-
Aktionen – Aktionen, die ausgeführt werden können
-
Ressourcen – Die Ressourcen, für die Aktionen ausgeführt werden können.
-
Nur vertrauenswürdige Identitäten — Verwenden Sie die
aws:PrincipalOrgId
Bedingung, um den Zugriff nur auf Anmeldeinformationen zu beschränken, die Teil Ihrer Organisation sind. AWS Dies kann dazu beitragen, den Zugriff durch unbeabsichtigte Prinzipale zu verhindern. -
Nur vertrauenswürdige Ressourcen – Verwenden Sie diese
aws:ResourceOrgId
-Bedingung, um den Zugriff auf unbeabsichtigte Ressourcen zu verhindern. -
Nur vertrauenswürdige Identitäten und Ressourcen — Erstellen Sie eine kombinierte Richtlinie für einen VPC Endpunkt, die den Zugriff auf unbeabsichtigte Prinzipale und Ressourcen verhindert.
Weitere Informationen finden Sie unter Steuern des Zugriffs auf Dienste mit VPC Endpunkten im VPCAmazon-Benutzerhandbuch und Anhang 2 — Beispiele für VPC Endpunktrichtlinien im AWS Whitepaper Building a data perimeter on. AWS
Beispiel — Endpunktrichtlinie VPC
Das folgende Beispiel erlaubt Anfragen von Organisationsidentitäten an Organisationsressourcen und Anfragen von AWS Dienstprinzipalen.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "
my-org-id
", "aws:ResourceOrgID": "my-org-id
" } } }, { "Sid": "AllowRequestsByAWSServicePrincipals", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "*", "Resource": "*", "Condition": { "Bool": { "aws:PrincipalIsAWSService": "true" } } } ] }
Wenn Sie IAM Richtlinien verwenden, stellen Sie sicher, dass Sie sich an IAM bewährte Methoden halten. Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch.
Gemeinsam genutzte Subnetze
In Subnetzen, die mit Ihnen gemeinsam genutzt werden, können Sie keine VPC Endpoints erstellen, beschreiben, ändern oder löschen. Sie können die VPC Endpunkte jedoch in Subnetzen verwenden, die mit Ihnen gemeinsam genutzt werden. Informationen zum VPC Teilen finden Sie unter Teilen Ihres VPC Kontos mit anderen Konten im VPCAmazon-Benutzerhandbuch.