Acceda a Amazon QLDB mediante un endpoint de interfaz (AWS PrivateLink) - Amazon Quantum Ledger Database (Amazon QLDB)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acceda a Amazon QLDB mediante un endpoint de interfaz (AWS PrivateLink)

Puede utilizarlaAWS PrivateLink para crear una conexión privada entre su VPC y Amazon QLDB. Puede acceder a QLDB como si estuviera en su VPC, sin el uso de una puerta de enlace de Internet, un dispositivo NAT, una conexión VPN ni unaAWS Direct Connect conexión de. Las instancias de la VPC no necesitan direcciones IP públicas para acceder a QLDB.

Esta conexión privada se establece mediante la creación de un punto final de interfaz, alimentado porAWS PrivateLink. Creamos una interfaz de red de punto de conexión en cada subred habilitada para el punto de conexión de interfaz. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado a QLDB.

Para obtener más información, consulte Access Servicios de AWS through AWS PrivateLink (Acceso a a través de ) en la Guía de AWS PrivateLink.

Consideraciones sobre QLDB

Antes de configurar un punto final de interfaz para QLDB, revise las consideraciones de la AWS PrivateLinkguía.

nota

QLDB solo admite realizar llamadas a la API de datos transaccionales de sesiones de QLDB a través del punto final de la interfaz. Esta API incluye solo la SendCommandoperación.

Crear un punto de enlace de interfaz para QLDB

Puede crear un punto de enlace de interfaz para QLDB mediante la consola de Amazon VPC o laAWS Command Line Interface (AWS CLI). Para obtener más información, consulte Creación de un punto de conexión de interfaz en la Guía de AWS PrivateLink.

Cree un punto de conexión para QLDB con el siguiente nombre de servicio:

com.amazonaws.region.qldb.session

Si habilita DNS privado para el punto de enlace de interfaz, puede realizar solicitudes a la API para QLDB usando su nombre de DNS regional predeterminado. Por ejemplo, session.qldb.us-east-1.amazonaws.com.

Cree una política de punto de enlace para el punto de enlace

Una política de puntos de conexión es un recurso de IAM que se puede adjuntar a un punto de conexión. La política de puntos de conexión predeterminada permite acceso completo a QLDB a través del punto de conexión de interfaz. Para controlar el acceso permitido a QLDB desde la VPC, adjunte una política de puntos de conexión personalizada al punto de conexión de interfaz.

Una política de puntos de conexión especifica la siguiente información:

  • Los principales que pueden realizar acciones (Cuentas de AWSusuarios de IAM y roles de IAM).

  • Las acciones que se pueden realizar.

  • El recurso en el que se pueden realizar las acciones.

Para obtener más información, consulte Control del acceso a los servicios con puntos de conexión de la VPC en la Guía del usuario de AWS PrivateLink.

También puede usar elCondition campo de una política adjunta a un usuario, grupo o rol de IAM para permitir el acceso solo desde un punto de enlace de interfaz especificado. Cuando se usan juntas, las políticas de punto final y las políticas de IAM pueden restringir el acceso a acciones específicas de QLDB en libros de contabilidad específicos a un punto final de interfaz específico.

Ejemplo de política de terminales: Restringir el acceso a un registro de QLDB específico

A continuación, se muestra un ejemplo de una política de puntos de enlace personalizada para QLDB. Al adjuntar esta política al punto final de la interfaz, otorga acceso a laSendCommand acción a todos los principales del recurso contable especificado.

{ "Statement": [ { "Sid": "AccessToSpecificQLDBLedger", "Principal": "*", "Effect": "Allow", "Action": "qldb:SendCommand", "Resource": "arn:aws:qldb:us-east-1:111122223333:ledger/myExampleLedger" } ] }

Política de IAM de ejemplo Restrinja el acceso a un libro mayor de QLDB únicamente desde un punto final de interfaz específico

El siguiente es un ejemplo de una política de IAM basada en la identidad de QLDB. Al adjuntar esta política a un usuario, rol o grupo de IAM, solo permite el acceso a un recurso de contabilidad desde el punto final de la interfaz especificado.

importante

Este ejemplo de política especifica solo laSendCommand acción porque es la única acción de QLDB que actualmente admite los puntos finales de la interfaz.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessFromSpecificInterfaceEndpoint", "Effect": "Deny", "Action": "qldb:SendCommand", "Resource": "arn:aws:qldb:us-east-1:111122223333:ledger/myExampleLedger", "Condition": { "StringNotEquals": { "aws:sourceVpce": "vpce-1a2b3c4d" } } } ] }

Disponibilidad de puntos finales de interfaz para QLDB

Amazon QLDB admite puntos de conexión de interfaz con políticas en todos losRegiones de AWS lugares en los que QLDB esté disponible. Para obtener una lista completa de las regiones disponibles, consulte los puntos de enlace y las cuotas de Amazon QLDB en la ReferenciaAWS general.