Conexión a Amazon Athena mediante un punto de conexión de VPC de tipo interfaz - Amazon Athena
Crear una política de punto de conexión de VPC para AthenaSubredes compartidas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Conexión a Amazon Athena mediante un punto de conexión de VPC de tipo interfaz

Puede mejorar la posición de seguridad de su VPC mediante el uso de un punto de conexión de VPC de interfaz (AWS PrivateLink) y un punto de conexión de VPC de AWS Glue en su nube privada virtual (VPC). Un punto de conexión de VPC de interfaz mejora la seguridad, ya que le permite controlar a qué destinos se puede llegar desde dentro de su VPC. Cada punto de conexión de VPC está representado por una o varias Interfaces de red elásticas (ENI) con direcciones IP privadas en las subredes de la VPC.

El punto de enlace de la VPC de tipo interfaz conecta directamente la VPC con Athena sin necesidad de gateway de Internet, dispositivos NAT, conexiones de VPN ni conexiones de AWS Direct Connect. Las instancias de la VPC no necesitan direcciones IP públicas para comunicarse con la API de Athena.

Para utilizar Athena a través de la VPC, debe conectarse desde una instancia que está dentro de la VPC o conectar su red privada a la VPC a través de una red privada virtual (VPN) de Amazon o AWS Direct Connect. Para obtener más información sobre Amazon VPN, consulte Conexiones VPN en la Guía del usuario de Amazon Virtual Private Cloud. Para obtener información sobre AWS Direct Connect, consulte Creación de una conexión en la Guía del usuario de AWS Direct Connect.

Athena admite puntos de conexión de VPC en todas las Regiones de AWS en las que estén disponibles Amazon VPC y Athena.

Puede crear un punto de enlace de la VPC de tipo interfaz para conectarse a Athena mediante AWS Management Console o comandos de AWS Command Line Interface (AWS CLI). Para obtener más información, consulte Creación de un punto de conexión de interfaz.

Después de crear un punto de enlace de la VPC de tipo interfaz, si habilita nombres de host de DNS privados para el punto de enlace, el punto de enlace predeterminado de Athena (https://athena.Región.amazonaws.com) se resuelve en el punto de enlace de la VPC.

Si no habilita nombres de host de DNS privados, Amazon VPC proporciona un nombre de punto de enlace de DNS que puede utilizar en el siguiente formato:

VPC_Endpoint_ID.athena.Region.vpce.amazonaws.com

Para obtener más información, consulte Puntos de enlace de la VPC de tipo interfaz (AWS PrivateLink) en la Guía del usuario de Amazon VPC.

Athena admite la realización de llamadas a todas sus acciones de API dentro de su VPC.

Puede crear una política para los puntos de conexión de VPC de Amazon para Athena a fin de especificar restricciones como las siguientes:

  • Entidad principal: la entidad principal que puede realizar acciones.

  • Acciones: las acciones que se pueden realizar.

  • Recursos: los recursos en los que se pueden llevar a cabo las acciones.

  • Solo identidades de confianza: utilice la condición aws:PrincipalOrgId para restringir el acceso solo a las credenciales que forman parte de su organización de AWS. Esto puede ayudar a evitar el acceso no previsto por parte de entidades principales no deseadas.

  • Solo recursos de confianza: utilice la condición aws:ResourceOrgId para evitar el acceso a recursos no deseados.

  • Solo identidades y recursos de confianza: cree una política combinada para un punto de conexión de VPC que ayude a evitar el acceso a entidades principales y recursos no deseados.

Para obtener más información, consulte Control del acceso a los servicios con puntos de conexión de VPC en la Guía del usuario de Amazon VPC y el Apéndice 2: ejemplos de políticas de puntos de conexión de VPC en el documento técnico de AWS Creación de un perímetro de datos en AWS.

ejemplo Política de punto de conexión de VPC

En el siguiente ejemplo se permiten las solicitudes por identidades de la organización a los recursos de la organización y se permiten las solicitudes por parte de las entidades principales del servicio de AWS.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "my-org-id",
                    "aws:ResourceOrgID": "my-org-id"
                }
            }
        },
        {
            "Sid": "AllowRequestsByAWSServicePrincipals",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "aws:PrincipalIsAWSService": "true"
                }
            }
        }
    ]
}

Siempre que utilice políticas de IAM, asegúrese de seguir las prácticas recomendadas de IAM. Para obtener más información, consulte la sección Prácticas recomendadas de seguridad de IAM en la Guía del usuario de IAM.

Subredes compartidas

No puede crear, describir, modificar ni eliminar puntos de conexión de VPC en subredes que se compartan con usted. No obstante, puede usar los puntos de conexión de VPC en las subredes que se compartan con usted. Para obtener información sobre el uso compartido de VPC, consulte Compartir su VPC con otras cuentas en la Guía del usuario de Amazon VPC.