インターフェイスVPCエンドポイントで Amazon Kinesis Data Streams を使用する - Amazon Kinesis Data Streams
Kinesis Data Streams のインターフェイスVPCエンドポイントを使用するKinesis Data Streams のVPCエンドポイントへのアクセスを制御するKinesis Data Streams のVPCエンドポイントポリシーの可用性

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

インターフェイスVPCエンドポイントで Amazon Kinesis Data Streams を使用する

インターフェイスVPCエンドポイントを使用して、Amazon VPCと Kinesis Data Streams 間のトラフィックが Amazon ネットワークから出るのを防ぐことができます。インターフェイスVPCエンドポイントには、インターネットゲートウェイ、NATデバイス、 VPN 接続、 AWS Direct Connect 接続は必要ありません。インターフェイスVPCエンドポイントは PrivateLink、Amazon IPsで Elastic Network Interface with Private を使用して AWS のサービス間のプライベート通信を可能にする AWS テクノロジーである を利用 AWS していますVPC。詳細については、Amazon Virtual Private CloudインターフェイスVPCエンドポイント (AWS PrivateLink)」を参照してください。

Kinesis Data Streams のインターフェイスVPCエンドポイントを使用する

使用を開始するために、ストリーム、プロデューサー、またはコンシューマーの設定を変更する必要はありません。Amazon VPCリソースとの間で Kinesis Data Streams トラフィックがインターフェイスVPCエンドポイントを流れるように、インターフェイスVPCエンドポイントを作成するだけです。詳細については、インターフェイスエンドポイントの作成を参照してください。

Kinesis プロデューサーライブラリ (KPL) と Kinesis コンシューマーライブラリ (KCL) は、パブリックエンドポイントまたはプライベートインターフェイスVPCエンドポイントのいずれかを使用している Amazon CloudWatch や Amazon DynamoDB などの AWS サービスを呼び出します。例えば、VPCエンドポイントを有効にVPCした DynamoDB インターフェイスでKCLアプリケーションが実行されている場合、DynamoDB とKCLアプリケーション間の呼び出しはインターフェイスVPCエンドポイントを経由します。

Kinesis Data Streams のVPCエンドポイントへのアクセスを制御する

VPC エンドポイントポリシーを使用すると、ポリシーをVPCエンドポイントにアタッチするか、IAMユーザー、グループ、またはロールにアタッチされたポリシー内の追加のフィールドを使用して、指定されたVPCエンドポイントを介してのみアクセスを制限することで、アクセスを制御できます。これらのポリシーは、指定されたVPCエンドポイント経由でのみ Kinesis データストリームアクションへのアクセスを許可するIAMポリシーと組み合わせて使用する場合、特定のストリームへのアクセスを指定されたVPCエンドポイントに制限するために使用できます。

以下は、Kinesis データストリームにアクセスするためのエンドポイントポリシーの例です。

  • VPC ポリシーの例: 読み取り専用アクセス - このサンプルポリシーはVPCエンドポイントにアタッチできます。(詳細については、「Amazon VPCリソースへのアクセスの制御」を参照してください)。これにより、アクションは、アタッチ先のVPCエンドポイントを介して Kinesis データストリームを一覧表示および記述することのみに制限されます。

    
{
  "Statement": [
    {
      "Sid": "ReadOnly",
      "Principal": "*",
      "Action": [
        "kinesis:List*",
        "kinesis:Describe*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

  • VPC ポリシーの例: 特定の Kinesis データストリームへのアクセスを制限する - このサンプルポリシーはVPCエンドポイントにアタッチできます。これにより、アタッチ先のVPCエンドポイントを介した特定のデータストリームへのアクセスが制限されます。

    
{
  "Statement": [
    {
      "Sid": "AccessToSpecificDataStream",
      "Principal": "*",
      "Action": "kinesis:*",
      "Effect": "Allow",
      "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream"
    }
  ]
}

  • IAM ポリシーの例: 特定のVPCエンドポイントからの特定のストリームへのアクセスを制限する - このサンプルポリシーは、IAMユーザー、ロール、またはグループにアタッチできます。指定された Kinesis データストリームへのアクセスは、指定されたVPCエンドポイントからのみに制限されます。

    
{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "AccessFromSpecificEndpoint",
         "Action": "kinesis:*",
         "Effect": "Deny",
         "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream",
         "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-11aa22bb" } }
      }
   ]
}

Kinesis Data Streams のVPCエンドポイントポリシーの可用性

ポリシーを使用する Kinesis Data Streams インターフェイスVPCエンドポイントは、次のリージョンでサポートされています。

  • 欧州 (パリ)

  • 欧州 (アイルランド)

  • 米国東部 (バージニア北部)

  • 欧州 (ストックホルム)

  • 米国東部(オハイオ)

  • 欧州 (フランクフルト)

  • 南米 (サンパウロ)

  • 欧州 (ロンドン)

  • アジアパシフィック (東京)

  • 米国西部 (北カリフォルニア)

  • アジアパシフィック (シンガポール)

  • アジアパシフィック (シドニー)

  • 中国 (北京)

  • 中国 (寧夏)

  • アジアパシフィック (香港)

  • 中東 (バーレーン)

  • 中東 (UAE)

  • 欧州 (ミラノ)

  • アフリカ (ケープタウン)

  • アジアパシフィック (ムンバイ)

  • アジアパシフィック (ソウル)

  • カナダ (中部)

  • usw2-az4 を除く米国西部 (オレゴン)

  • AWS GovCloud (米国東部)

  • AWS GovCloud (米国西部)

  • アジアパシフィック (大阪)

  • 欧州 (チューリッヒ)

  • アジアパシフィック (ハイデラバード)