Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Accédez à Amazon à QLDB l'aide d'un point de terminaison d'interface (AWS PrivateLink)
Important
Avis de fin de support : les clients existants pourront utiliser Amazon QLDB jusqu'à la fin du support le 31 juillet 2025. Pour plus de détails, consultez Migrer un Amazon QLDB Ledger vers Amazon Aurora SQL Postgre
Vous pouvez utiliser … AWS PrivateLink pour créer une connexion privée entre vous VPC et AmazonQLDB. Vous pouvez y accéder QLDB comme s'il se trouvait dans votre ordinateurVPC, sans utiliser de passerelle Internet, d'NATappareil, de VPN connexion ou AWS Direct Connect connexion. Les instances de votre VPC ordinateur n'ont pas besoin d'adresses IP publiques pour y accéderQLDB.
Vous établissez cette connexion privée en créant un point de terminaison d'interface, alimenté par AWS PrivateLink. Nous créons une interface réseau de point de terminaison dans chaque sous-réseau que vous activez pour le point de terminaison de l'interface. Il s'agit d'interfaces réseau gérées par les demandeurs qui servent de point d'entrée pour le trafic à destination de. QLDB
Pour plus d'informations, consultez Access Services AWS à travers AWS PrivateLink dans le .AWS PrivateLink Guidez.
Rubriques
Considérations relatives à QLDB
Avant de configurer un point de terminaison d'interface pourQLDB, consultez les points à prendre en compte dans le AWS PrivateLink Guidez.
Note
QLDBprend uniquement en charge les appels aux données transactionnelles de la QLDBsession API via le point de terminaison de l'interface. Cela API inclut uniquement l'SendCommandopération. Dans le mode STANDARD autorisations d'un registre, vous pouvez contrôler les autorisations relatives à des actions partiQL spécifiques. API
Création d'un point de terminaison d'interface pour QLDB
Vous pouvez créer un point de terminaison d'interface pour QLDB utiliser la VPC console Amazon ou le AWS Command Line Interface (AWS CLI). Pour plus d'informations, voir Création d'un point de terminaison d'interface dans AWS PrivateLink Guidez.
Créez un point de terminaison d'interface pour QLDB utiliser le nom de service suivant :
com.amazonaws.region.qldb.session
Si vous activez le mode privé DNS pour le point de terminaison de l'interface, vous pouvez API envoyer des demandes QLDB en utilisant son DNS nom régional par défaut. Par exemple, session.qldb.us-east-1.amazonaws.com.
Création d’une politique de point de terminaison pour votre point de terminaison d’interface
Une politique de point de terminaison est une IAM ressource que vous pouvez associer à un point de terminaison d'interface. La politique de point de terminaison par défaut autorise un accès complet QLDB via le point de terminaison de l'interface. Pour contrôler l'accès autorisé à QLDB partir de votreVPC, associez une politique de point de terminaison personnalisée au point de terminaison de l'interface.
Une politique de point de terminaison spécifie les informations suivantes :
-
Les principes qui peuvent effectuer des actions (Comptes AWS, utilisateurs et rôles).
-
Les actions qui peuvent être effectuées.
-
La ressource sur laquelle les actions peuvent être effectuées.
Pour plus d'informations, consultez la section Contrôler l'accès aux services à l'aide des politiques relatives aux terminaux dans le AWS PrivateLink Guidez.
Vous pouvez également utiliser le Condition champ dans une politique attachée à un utilisateur, un groupe ou un rôle pour autoriser l'accès uniquement à partir d'un point de terminaison d'interface spécifié. Lorsqu'elles sont utilisées conjointement, les politiques de point de terminaison et IAM les politiques peuvent restreindre l'accès à des QLDB actions spécifiques sur des registres spécifiques à un point de terminaison d'interface spécifié.
Exemple de politique de point de terminaison : restreindre l'accès à un QLDB registre spécifique
Voici un exemple de politique de point de terminaison personnalisée pourQLDB. Lorsque vous attachez cette politique au point de terminaison de votre interface, elle accorde l'accès à l'SendCommandaction et aux actions partiQL en lecture seule à tous les principaux de la ressource de registre spécifiée. Dans cet exemple, le registre doit être en mode STANDARD autorisations.
Pour utiliser cette politique, remplacez us-east-1,
123456789012, et myExampleLedger dans l'exemple avec vos propres informations.
{ "Statement": [ { "Sid": "QLDBSendCommandPermission", "Principal": "*", "Effect": "Allow", "Action": "qldb:SendCommand", "Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger" }, { "Sid": "QLDBPartiQLReadOnlyPermissions", "Principal": "*", "Effect": "Allow", "Action": [ "qldb:PartiQLSelect", "qldb:PartiQLHistoryFunction" ], "Resource": [ "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/table/*", "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/information_schema/user_tables" ] } ] }
IAMexemple de politique : Restreindre l'accès à un QLDB registre à partir d'un point de terminaison d'interface spécifique uniquement
Voici un exemple de stratégie IAM basée sur l'identité pour. QLDB Lorsque vous associez cette politique à un utilisateur, à un rôle ou à un groupe, elle autorise l'SendCommandaccès à une ressource de registre uniquement à partir du point de terminaison d'interface spécifié.
Pour utiliser cette politique, remplacez us-east-1,
123456789012,
myExampleLedger, et vpce-1a2b3c4d dans l'exemple avec vos propres informations.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessFromSpecificInterfaceEndpoint", "Effect": "Deny", "Action": "qldb:SendCommand", "Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger", "Condition": { "StringNotEquals": { "aws:sourceVpce": "vpce-1a2b3c4d" } } } ] }
Disponibilité des points de terminaison d'interface pour QLDB
Amazon QLDB prend en charge les points de terminaison d'interface avec des politiques dans tous les Régions AWS où QLDB est disponible. Pour obtenir la liste complète des régions disponibles, consultez la section QLDBPoints de terminaison et quotas Amazon dans le Références générales AWS.
