Utilisation d'Amazon Kinesis Data Streams avec les points de terminaison d'un VPC d'interface - Amazon Kinesis Data Streams

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation d'Amazon Kinesis Data Streams avec les points de terminaison d'un VPC d'interface

Vous pouvez utiliser un point de terminaison d'un VPC d'interface pour empêcher le trafic entre votre Amazon VPC et Kinesis Data Streams de quitter le réseau Amazon. Les points de terminaison VPC d'interface ne nécessitent pas de passerelle Internet, de périphérique NAT, de connexion VPN ou de connexion. AWS Direct Connect Les points de terminaison VPC d'interface sont alimentés par AWS PrivateLink une AWS technologie qui permet une communication privée entre les AWS services à l'aide d'une interface réseau élastique avec des adresses IP privées dans votre Amazon VPC. Pour plus d'informations, consultez Amazon Virtual Private Cloud and Interface VPC Endpoints ().AWS PrivateLink

Utiliser l'interface des points de terminaison d'un VPC pour les Kinesis Data Streams

Pour démarrer, vous n'avez pas besoin de modifier les paramètres de vos flux, producteurs ou consommateurs. Il vous suffit de créer un point de terminaison d'un VPC d'interface pour que votre trafic Kinesis Data Streams depuis et vers vos ressources Amazon VPC commence à circuler via le point de terminaison de VPC d'interface. Pour plus d'informations, consultez Création d'un point de terminaison d'interface.

La Kinesis Producer Library (KPL) et la Kinesis Consumer Library (KCL) appellent des services tels qu' AWS Amazon et Amazon CloudWatch DynamoDB en utilisant des points de terminaison publics ou des points de terminaison VPC à interface privée, selon le type utilisé. Par exemple, si votre application KCL s'exécute dans un VPC avec des points de terminaison d'un VPC d'interface DynamoDB activés, les appels entre DynamoDB et votre application KCL transitent via le point de terminaison d'un VPC d'interface.

Contrôle de l'accès aux points de terminaison VPCE pour les Kinesis Data Streams

Les politiques de point de terminaison d'un VPC vous permettent de contrôler l'accès en attachant une politique à un point de terminaison d'un VPC ou en utilisant des champs supplémentaires dans une politique attachée à un utilisateur, un groupe ou un rôle IAM, afin de limiter l'accès uniquement via le point de terminaison d'un VPC spécifié. Ces politiques peuvent être utilisées pour limiter l'accès à des flux spécifiques à un point de terminaison d'un VPC spécifié lorsqu'elles sont utilisées conjointement avec les politiques IAM visant à accorder uniquement l'accès aux actions de flux de données Kinesis via le point de terminaison d'un VPC spécifié.

Voici des exemples de politiques de point de terminaison pour accéder aux flux de données Kinesis.

  • Exemple de politique VPC : accès en lecture seule : cet exemple de politique peut être attaché à un point de terminaison d'un VPC. (Pour de plus amples informations, veuillez consulter Contrôle de l'accès aux ressources VPC Amazon). Cette politique limite les actions. Il est uniquement possible de répertorier et de décrire un flux de données Kinesis via le point de terminaison d'un VPC auquel elle est attachée.

    { "Statement": [ { "Sid": "ReadOnly", "Principal": "*", "Action": [ "kinesis:List*", "kinesis:Describe*" ], "Effect": "Allow", "Resource": "*" } ] }
  • Exemple de stratégie VPC : limiter l'accès à un flux de données Kinesis spécifique : cet exemple de stratégie peut être attaché à un point de terminaison d'un VPC. Cette stratégie restreint l'accès à un flux de données spécifique via le point de terminaison d'un VPC auquel elle est attachée.

    { "Statement": [ { "Sid": "AccessToSpecificDataStream", "Principal": "*", "Action": "kinesis:*", "Effect": "Allow", "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream" } ] }
  • Exemple de stratégie IAM : limiter l'accès à un flux spécifique à partir d'un point de terminaison d'un VPC spécifique uniquement : cet exemple de stratégie peut être attaché à un utilisateur, à un rôle ou à un groupe IAM. Elle restreint l'accès à un flux de données Kinesis spécifié pour qu'il se produise uniquement à partir d'un point de terminaison d'un VPC spécifié.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AccessFromSpecificEndpoint", "Action": "kinesis:*", "Effect": "Deny", "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream", "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-11aa22bb" } } } ] }

Disponibilité des politiques de point de terminaison d'un VPC pour Kinesis Data Streams

Les points de terminaison d'un VPC d'interface Kinesis Data Streams avec des politiques sont pris en charge dans les régions suivantes :

  • Europe (Paris)

  • Europe (Irlande)

  • USA Est (Virginie du Nord)

  • Europe (Stockholm)

  • USA Est (Ohio)

  • Europe (Francfort)

  • Amérique du Sud (São Paulo)

  • Europe (Londres)

  • Asie-Pacifique (Tokyo)

  • USA Ouest (Californie du Nord)

  • Asie-Pacifique (Singapour)

  • Asie-Pacifique (Sydney)

  • Chine (Beijing)

  • Chine (Ningxia)

  • Asie-Pacifique (Hong Kong)

  • Moyen-Orient (Bahreïn)

  • Moyen-Orient (EAU)

  • Europe (Milan)

  • Afrique (Le Cap)

  • Asie-Pacifique (Mumbai)

  • Asie-Pacifique (Séoul)

  • Canada (Centre)

  • USA Ouest (Oregon) sauf usw2-az4

  • AWS GovCloud (USA Est)

  • AWS GovCloud (US-Ouest)

  • Asie-Pacifique (Osaka)

  • Europe (Zurich)

  • Asie-Pacifique (Hyderabad)