Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Acceda a Amazon QLDB mediante un punto final de interfaz (AWS PrivateLink)
importante
Aviso de fin de soporte: los clientes actuales podrán usar Amazon QLDB hasta que finalice el soporte, el 31 de julio de 2025. Para obtener más información, consulte Migración de un Amazon QLDB Ledger a Amazon Aurora SQL Postgre
Puede usar… AWS PrivateLink para crear una conexión privada entre Amazon VPC y túQLDB. Puedes acceder QLDB como si estuviera en tu casaVPC, sin el uso de una pasarela de Internet, NAT dispositivo, VPN conexión o AWS Direct Connect conexión. Las instancias VPC suyas no necesitan direcciones IP públicas para accederQLDB.
Esta conexión privada se establece mediante la creación de un punto final de interfaz, impulsado por AWS PrivateLink. Creamos una interfaz de red de punto final en cada subred que usted habilita para el punto final de la interfaz. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado. QLDB
Para obtener más información, consulte Acceso Servicios de AWS por AWS PrivateLink en la AWS PrivateLink Guía.
Temas
Consideraciones sobre QLDB
Antes de configurar un punto final de interfaz paraQLDB, consulte las consideraciones en la AWS PrivateLink Guía.
nota
QLDBsolo admite realizar llamadas a los datos transaccionales de la QLDBsesión API a través del punto final de la interfaz. Esto API incluye solo la SendCommandoperación. En el modo de STANDARD
permisos de un libro mayor, puedes controlar los permisos para acciones PartiQL específicas en este. API
Creación de un punto de conexión de interfaz para QLDB
Puede crear un punto final de interfaz para QLDB utilizar la VPC consola de Amazon o la AWS Command Line Interface (AWS CLI). Para obtener más información, consulte Crear un punto final de interfaz en AWS PrivateLink Guía.
Cree un punto final de interfaz para QLDB utilizar el siguiente nombre de servicio:
com.amazonaws.
region
.qldb.session
Si habilita la opción privada DNS para el punto final de la interfaz, puede realizar API solicitudes QLDB utilizando su DNS nombre regional predeterminado. Por ejemplo, session.qldb.us-east-1.amazonaws.com
.
Creación de una política de puntos de conexión para el punto de conexión de interfaz
Una política de punto final es un IAM recurso que se puede adjuntar a un punto final de interfaz. La política de puntos finales predeterminada permite el acceso total a QLDB través del punto final de la interfaz. Para controlar el acceso permitido QLDB desde su punto de conexiónVPC, adjunte una política de punto final personalizada al punto final de la interfaz.
Una política de punto de conexión especifica la siguiente información:
-
Los principales que pueden realizar acciones (Cuentas de AWS, usuarios y roles).
-
Las acciones que se pueden realizar.
-
El recurso en el que se pueden realizar las acciones.
Para obtener más información, consulte Controlar el acceso a los servicios mediante políticas de puntos finales en la AWS PrivateLink Guía.
También puede usar el campo Condition
en una política asociada a un usuario, grupo o rol para permitir el acceso solo desde un punto de conexión de interfaz específico. Cuando se usan juntas, las políticas y IAM políticas de puntos finales pueden restringir el acceso a QLDB acciones específicas en libros de contabilidad específicos a un punto final de interfaz específico.
Ejemplo de política de puntos finales: restringir el acceso a un libro mayor específico QLDB
El siguiente es un ejemplo de una política de puntos finales personalizada paraQLDB. Cuando se adjunta esta política a un punto de conexión de interfaz, se concede acceso a las acciones de SendCommand
y a las acciones de solo lectura de PartiQL para todas las entidades principales en el recurso de libro mayor específico. En este ejemplo, el libro mayor debe estar en el modo de permisos STANDARD
.
Para usar esta política, sustituya us-east-1
,
123456789012
, y myExampleLedger
en el ejemplo, con su propia información.
{ "Statement": [ { "Sid": "QLDBSendCommandPermission", "Principal": "*", "Effect": "Allow", "Action": "qldb:SendCommand", "Resource": "arn:aws:qldb:
us-east-1
:123456789012
:ledger/myExampleLedger
" }, { "Sid": "QLDBPartiQLReadOnlyPermissions", "Principal": "*", "Effect": "Allow", "Action": [ "qldb:PartiQLSelect", "qldb:PartiQLHistoryFunction" ], "Resource": [ "arn:aws:qldb:us-east-1
:123456789012
:ledger/myExampleLedger
/table/*", "arn:aws:qldb:us-east-1
:123456789012
:ledger/myExampleLedger
/information_schema/user_tables" ] } ] }
IAMejemplo de política: restrinja el acceso a un QLDB libro mayor únicamente desde un punto final de interfaz específico
El siguiente es un ejemplo de una política IAM basada en la identidad para. QLDB Al asociar esta política a un usuario, rol o grupo, se permite a SendCommand
el acceso a un recurso del libro mayor solo desde el punto de conexión de interfaz especificado.
Para usar esta política, sustituya us-east-1
,
123456789012
,
myExampleLedger
, y vpce-1a2b3c4d
en el ejemplo, con su propia información.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessFromSpecificInterfaceEndpoint", "Effect": "Deny", "Action": "qldb:SendCommand", "Resource": "arn:aws:qldb:
us-east-1
:123456789012
:ledger/myExampleLedger
", "Condition": { "StringNotEquals": { "aws:sourceVpce": "vpce-1a2b3c4d
" } } } ] }
Disponibilidad de puntos finales de interfaz para QLDB
Amazon QLDB admite puntos de enlace de interfaz con políticas en todos los Regiones de AWS donde QLDB esté disponible. Para obtener una lista completa de las regiones disponibles, consulta los QLDBpuntos de conexión y las cuotas de Amazon en la Referencia general de AWS.