Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Accedi ad Amazon QLDB utilizzando un endpoint di interfaccia (AWS PrivateLink)
Importante
Avviso di fine del supporto: i clienti esistenti potranno utilizzare Amazon QLDB fino alla fine del supporto il 31/07/2025. Per ulteriori dettagli, consulta Migrare un Amazon QLDB Ledger ad Amazon Aurora Postgre
È possibile utilizzare… AWS PrivateLink per creare una connessione privata tra te VPC e AmazonQLDB. Puoi accedere QLDB come se fossi a casa tuaVPC, senza l'uso di un gateway Internet, un NAT dispositivo, una VPN connessione o AWS Direct Connect connessione. Le istanze del tuo VPC non hanno bisogno di indirizzi IP pubblici per accedereQLDB.
Questa connessione privata viene stabilita creando un endpoint di interfaccia, alimentato da AWS PrivateLink. Creiamo un'interfaccia di rete endpoint in ogni sottorete abilitata per l'endpoint dell'interfaccia. Si tratta di interfacce di rete gestite dai richiedenti che fungono da punto di ingresso per il traffico destinato a. QLDB
Per ulteriori informazioni, vedere Access Servizi AWS attraverso AWS PrivateLink nella AWS PrivateLink guida.
Argomenti
Considerazioni per QLDB
Prima di configurare un endpoint di interfaccia perQLDB, consulta le Considerazioni nella AWS PrivateLink Guida.
Nota
QLDBsupporta solo le chiamate ai dati transazionali della QLDBsessione API tramite l'endpoint dell'interfaccia. Ciò API include solo l'operazione. SendCommand Nella modalità STANDARD autorizzazioni di un registro, puoi controllare le autorizzazioni per azioni PartiQL specifiche in questo. API
Crea un endpoint dell'interfaccia per QLDB
Puoi creare un endpoint di interfaccia per QLDB utilizzare la VPC console Amazon o il AWS Command Line Interface (AWS CLI). Per ulteriori informazioni, consulta Creare un endpoint di interfaccia nel AWS PrivateLink Guida.
Crea un endpoint di interfaccia per QLDB utilizzare il seguente nome di servizio:
com.amazonaws.region.qldb.session
Se abiliti private DNS per l'endpoint dell'interfaccia, puoi effettuare API richieste QLDB utilizzando il nome regionale DNS predefinito. Ad esempio session.qldb.us-east-1.amazonaws.com.
Creazione di una policy dell' endpoint per l'endpoint dell'interfaccia
Una policy per gli endpoint è una IAM risorsa che è possibile collegare a un endpoint di interfaccia. La policy predefinita per gli endpoint consente l'accesso completo QLDB tramite l'endpoint dell'interfaccia. Per controllare l'accesso consentito QLDB dal tuo dispositivoVPC, allega una policy personalizzata per l'endpoint all'endpoint di interfaccia.
Una policy di endpoint specifica le informazioni riportate di seguito:
-
I principi che possono eseguire azioni (Account AWS, utenti e ruoli).
-
Le azioni che possono essere eseguite.
-
Le risorse in cui è possibile eseguire le operazioni.
Per ulteriori informazioni, consulta Controllare l'accesso ai servizi utilizzando le policy degli endpoint nel AWS PrivateLink Guida.
È inoltre possibile utilizzare il Condition campo in una policy associata a un utente, gruppo o ruolo per consentire l'accesso solo da un endpoint di interfaccia specificato. Se utilizzate insieme, le policy e IAM le policy degli endpoint possono limitare l'accesso ad QLDB azioni specifiche su registri specifici a un endpoint di interfaccia specifico.
Esempio di policy per gli endpoint: limitare l'accesso a un registro specifico QLDB
Di seguito è riportato un esempio di policy endpoint personalizzata per. QLDB Quando colleghi questa policy all'endpoint dell'interfaccia, concede l'accesso all'SendCommandazione e alle azioni di sola lettura PartiQL per tutti i principali sulla risorsa di registro specificata. In questo esempio, il registro deve essere in modalità autorizzazioni. STANDARD
Per utilizzare questo criterio, sostituisci us-east-1,
123456789012e myExampleLedger nell'esempio con le tue informazioni.
{ "Statement": [ { "Sid": "QLDBSendCommandPermission", "Principal": "*", "Effect": "Allow", "Action": "qldb:SendCommand", "Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger" }, { "Sid": "QLDBPartiQLReadOnlyPermissions", "Principal": "*", "Effect": "Allow", "Action": [ "qldb:PartiQLSelect", "qldb:PartiQLHistoryFunction" ], "Resource": [ "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/table/*", "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/information_schema/user_tables" ] } ] }
IAMesempio di policy: limita l'accesso a un QLDB registro solo da un endpoint di interfaccia specifico
Di seguito è riportato un esempio di policy basata sull'IAMidentità per. QLDB Quando si associa questa politica a un utente, ruolo o gruppo, consente SendCommand l'accesso a una risorsa di registro solo dall'endpoint di interfaccia specificato.
Per utilizzare questa politica, sostituisci us-east-1,
123456789012,
myExampleLedgere vpce-1a2b3c4d nell'esempio con le tue informazioni.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessFromSpecificInterfaceEndpoint", "Effect": "Deny", "Action": "qldb:SendCommand", "Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger", "Condition": { "StringNotEquals": { "aws:sourceVpce": "vpce-1a2b3c4d" } } } ] }
Disponibilità di endpoint di interfaccia per QLDB
Amazon QLDB supporta gli endpoint di interfaccia con politiche in tutti i Regioni AWS dove QLDB è disponibile. Per un elenco completo delle regioni disponibili, consulta gli QLDBendpoint e le quote di Amazon nel Riferimenti generali di AWS.
