インターフェイス VPC エンドポイントと Amazon Kinesis Data Streams の使用 - Amazon Kinesis Data Streams
Kinesis Data Streams のインターフェイス VPC エンドポイントの使用Kinesis Data Streams の VPCE エンドポイントへのアクセス制御Kinesis Data Streams の VPC エンドポイントポリシーの可用性

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

インターフェイス VPC エンドポイントと Amazon Kinesis Data Streams の使用

インターフェイス VPC エンドポイントを使用して、Amazon VPC と Kinesis Data Streams 間のトラフィックが Amazon ネットワークから離れないように維持できます。インターフェイス VPC エンドポイントは、インターネットゲートウェイ、NAT デバイス、VPN 接続、または AWS Direct Connect 接続を必要としません。インターフェイス VPC エンドポイントは PrivateLink、Amazon VPC 内のプライベート IPs と Elastic Network Interface を使用して AWS サービス間のプライベート通信を可能にする AWS テクノロジーである を利用 AWS しています。詳細については、「Amazon Virtual Private Cloudインターフェイス VPC エンドポイント (AWS PrivateLink)」を参照してください。

Kinesis Data Streams のインターフェイス VPC エンドポイントの使用

使用を開始するために、ストリーム、プロデューサー、またはコンシューマーの設定を変更する必要はありません。Kinesis Data Streams トラフィックが Amazon VPC リソースとの間でやり取りされるようにするには、インターフェイス VPC エンドポイントを作成するだけです。詳細については、インターフェイスエンドポイントの作成を参照してください。

Kinesis Producer Library (KPL) と Kinesis Consumer Library (KCL) は、パブリックエンドポイントまたはプライベートインターフェイス VPC エンドポイントのうち使用中のいずれかを使用して、Amazon CloudWatch や Amazon DynamoDB などの AWS サービスを呼び出します。例えば、KCL アプリケーションが実行されている VPC で DynamoDB インターフェイス VPC エンドポイントが有効になっている場合、DynamoDB と KCL アプリケーション間の呼び出しは、そのインターフェイス VPC エンドポイントを経由して流れます。

Kinesis Data Streams の VPCE エンドポイントへのアクセス制御

VPC エンドポイントポリシーは、VPC エンドポイントにポリシーをアタッチするか、IAM ユーザー、グループ、またはロールにアタッチされたポリシーの追加フィールドを使用して、アクセスが指定された VPC エンドポイント経由のみで行われるように制限することで、アクセスを制御することを可能にします。これらのポリシーは、指定された VPC エンドポイント経由での Kinesis データストリームアクションへのアクセスのみを付与する IAM ポリシーと組み合わせて使用するときに、特定のストリームへのアクセスを指定された VPC エンドポイントに制限するために使用できます。

以下は、Kinesis データストリームにアクセスするためのエンドポイントポリシーの例です。

  • VPC ポリシーの例: 読み取り専用アクセス – このサンプルポリシーは、VPC エンドポイントにアタッチできます。詳細については、Amazon VPC のリソースに対するアクセスの制御を参照してください。このポリシーは、アタッチされている VPC エンドポイント経由の Kinesis データストリームの一覧表示と説明のみにアクションを制限します。

    
{
  "Statement": [
    {
      "Sid": "ReadOnly",
      "Principal": "*",
      "Action": [
        "kinesis:List*",
        "kinesis:Describe*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

  • VPC ポリシーの例: アクセスを特定の Kinesis データストリームに制限 - このサンプルポリシーは、VPC エンドポイントにアタッチできます。このポリシーは、ポリシーがアタッチされている VPC エンドポイント経由の特定のデータストリームにアクセスを制限します。

    
{
  "Statement": [
    {
      "Sid": "AccessToSpecificDataStream",
      "Principal": "*",
      "Action": "kinesis:*",
      "Effect": "Allow",
      "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream"
    }
  ]
}

  • IAM ポリシーの例: 特定のストリームへのアクセスを特定の VPC エンドポイントからのみに制限 - このサンプルポリシーは、IAM ユーザー、ロール、またはグループにアタッチできます。このポリシーは、指定された Kensis データストリームへのアクセスが、指定された VPC エンドポイント以外からは行われないように制限します。

    
{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "AccessFromSpecificEndpoint",
         "Action": "kinesis:*",
         "Effect": "Deny",
         "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream",
         "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-11aa22bb" } }
      }
   ]
}

Kinesis Data Streams の VPC エンドポイントポリシーの可用性

ポリシーを使用した Kinesis Data Streams インターフェイス VPC エンドポイントは、次のリージョンでサポートされています。

  • 欧州 (パリ)

  • 欧州 (アイルランド)

  • 米国東部(バージニア北部)

  • 欧州 (ストックホルム)

  • 米国東部(オハイオ)

  • 欧州 (フランクフルト)

  • 南米(サンパウロ)

  • 欧州 (ロンドン)

  • アジアパシフィック(東京)

  • 米国西部(北カリフォルニア)

  • アジアパシフィック (シンガポール)

  • アジアパシフィック (シドニー)

  • 中国 (北京)

  • 中国 (寧夏)

  • アジアパシフィック (香港)

  • 中東 (バーレーン)

  • 中東 (アラブ首長国連邦)

  • 欧州 (ミラノ)

  • アフリカ (ケープタウン)

  • アジアパシフィック(ムンバイ)

  • アジアパシフィック(ソウル)

  • カナダ(中部)

  • usw2-az4 を除く米国西部 (オレゴン)

  • AWS GovCloud (米国東部)

  • AWS GovCloud (米国西部)

  • アジアパシフィック (大阪)

  • 欧州 (チューリッヒ)

  • アジアパシフィック (ハイデラバード)