Connessione ad Amazon Athena utilizzando un endpoint VPC di interfaccia - Amazon Athena
Creazione di una policy di endpoint VPC per AthenaSottoreti condivise

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connessione ad Amazon Athena utilizzando un endpoint VPC di interfaccia

Puoi migliorare la posizione di sicurezza del VPC utilizzando un endpoint VPC di interfaccia (AWS PrivateLink) e un endpoint VPC di AWS Glue nel cloud privato virtuale (VPC). Un endpoint VPC di interfaccia migliora il livello di sicurezza offrendoti la possibilità di verificare quali destinazioni possono essere raggiunte dall'interno del VPC. Ogni endpoint VPC è rappresentato da una o più interfacce di rete elastiche (ENI) con indirizzi IP privati nelle sottoreti del VPC.

L'interfaccia VPC endpoint collega il tuo VPC direttamente ad Athena senza un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. AWS Direct Connect Le istanze presenti nel tuo VPC non richiedono indirizzi IP pubblici per comunicare con l'API Athena.

Per usare Athena tramite il VPC, devi connetterti da un'istanza che si trova all'interno del VPC o connettere la rete privata al VPC usando Amazon Virtual Private Network (VPN) o AWS Direct Connect. Per informazioni su Amazon VPN, consulta Connessioni VPN nella Guida per l'utente di Amazon Virtual Private Cloud. Per informazioni su AWS Direct Connect, consulta Creazione di una connessione nella Guida per l'utente.AWS Direct Connect

Athena supporta gli endpoint VPC ovunque siano disponibili sia Regioni AWS Amazon VPC che Athena.

È possibile creare un endpoint VPC di interfaccia per connettersi ad Athena utilizzando i AWS Management Console comandi or (). AWS Command Line Interface AWS CLI Per ulteriori informazioni, consulta Creazione di un endpoint di interfaccia.

Se dopo aver creato un endpoint VPC di interfaccia abiliti nomi host DNS privati per l'endpoint, l'endpoint di default di Athena (https://athena.Region.amazonaws.com) restituisce il tuo endpoint VPC.

Se non abiliti nomi host DNS privati, Amazon VPC fornisce un nome di endpoint DNS che puoi utilizzare nel formato seguente:

VPC_Endpoint_ID.athena.Region.vpce.amazonaws.com

Per ulteriori informazioni, consulta Interface VPC endpoints (AWS PrivateLink) nella Amazon VPC User Guide.

Athena supporta l'esecuzione di chiamate a tutte le sue operazioni API all'interno del VPC.

Puoi creare una policy per gli endpoint VPC di Amazon per Athena per specificare delle restrizioni come quelle seguenti:

  • Principale: il principale che può eseguire operazioni.

  • Operazioni: le operazioni che possono essere eseguite.

  • Risorse: le risorse sui cui si possono eseguire operazioni.

  • Solo identità affidabili: utilizza la aws:PrincipalOrgId condizione per limitare l'accesso solo alle credenziali che fanno parte della tua organizzazione. AWS Questo può aiutare a impedire l'accesso da parte di principali non desiderati.

  • Solo risorse affidabili: utilizza la condizione aws:ResourceOrgId per impedire l'accesso a risorse non desiderate.

  • Solo identità e risorse affidabili: crea una policy combinata per un endpoint VPC che aiuti a impedire l'accesso a principali e risorse non desiderate.

Per ulteriori informazioni, consulta Controllare l'accesso ai servizi con endpoint VPC nella Amazon VPC User Guide e Appendice 2 — Esempi di policy per gli endpoint VPC nel white paper Building a data perimeter on. AWS AWS

Esempio – Policy degli endpoint VPC

L'esempio seguente consente le richieste in base alle identità dell'organizzazione alle risorse dell'organizzazione e consente le richieste dei responsabili del servizio. AWS 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "my-org-id",
                    "aws:ResourceOrgID": "my-org-id"
                }
            }
        },
        {
            "Sid": "AllowRequestsByAWSServicePrincipals",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "aws:PrincipalIsAWSService": "true"
                }
            }
        }
    ]
}

Ogni volta che si utilizzano le policy IAM, assicurati di seguire le best practice IAM. Per ulteriori informazioni, consulta Best Practice di sicurezza in IAM nella Guida per l'utente di IAM.

Sottoreti condivise

Non puoi creare, descrivere, modificare o eliminare gli endpoint VPC nelle sottoreti condivise con te. Tuttavia, puoi utilizzare gli endpoint VPC in sottoreti condivise con te. Per informazioni sulla condivisione VPC, consulta la pagina Condivisione del VPC con altri account nella Guida per l'utente di Amazon VPC.