Uso do Amazon Kinesis Data Streams com endpoints da VPC de interface - Amazon Kinesis Data Streams

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Uso do Amazon Kinesis Data Streams com endpoints da VPC de interface

Você pode usar um endpoint da VPC de interface para evitar que o tráfego entre sua Amazon VPC e o Kinesis Data Streams saia da rede da Amazon. VPC endpoints de interface não exigem um gateway de Internet, dispositivo NAT, conexão VPN ou conexão do AWS Direct Connect. Os VPC endpoints de interface são desenvolvidos peloAWS PrivateLink, umaAWS tecnologia da permite a comunicação privada entre osAWS serviços da usando uma elastic network interface com IPs privados no seu Amazon VPC. Para obter mais informações, consulte Amazon Virtual Private Cloud e Interface VPC Endpoints (AWS PrivateLink).

Usando endpoints da VPC de interface para o Kinesis Data Streams

Para começar, você não precisa alterar as configurações para os fluxos, produtores ou consumidores. Basta criar um endpoint VPC de interface para que o tráfego do Kinesis Data Streams de e para seus recursos do Amazon VPC comece a fluir pelo endpoint da interface VPC. Para obter mais informações, consulte Criação de um endpoint de interface.

A Kinesis Producer Library (KPL Amazon CloudWatch DynamoDB privados da VPC de interface, o que estiver em uso.AWS Por exemplo, se seu aplicativo KCL estiver sendo executado em uma VPC com interface DynamoDB com endpoints VPC habilitados, as chamadas entre o DynamoDB e seu aplicativo KCL estarão fluindo pelo terminal VPC da interface.

Controlar o acesso aos endpoints do VPCE para o Kinesis Data Streams

As políticas de VPC endpoint permitem que você controle o acesso anexando uma política a um VPC endpoint ou usando campos adicionais em uma política anexada a um usuário, um grupo ou uma função do IAM para restringir o acesso a ocorrer apenas por meio do VPC endpoint especificado. Essas políticas podem ser usadas para restringir o acesso a fluxos específicos a um VPC endpoint especificado quando usadas em conjunto com as políticas do IAM para conceder acesso somente a ações de fluxo de dados do Kinesis por meio do VPC endpoint especificado.

Veja a seguir exemplos de políticas de endpoint para acessar fluxos de dados do Kinesis.

  • Exemplo de política de VPC: acesso somente leitura — esse exemplo de política pode ser anexado a um VPC endpoint. (Para obter mais informações, consulte Como controlar o acesso aos recursos da Amazon VPC). Ele restringe as ações a somente listar e descrever um fluxo de dados do Kinesis por meio do VPC endpoint ao qual está anexado.

    { "Statement": [ { "Sid": "ReadOnly", "Principal": "*", "Action": [ "kinesis:List*", "kinesis:Describe*" ], "Effect": "Allow", "Resource": "*" } ] }
  • Exemplo de política de VPC: restringir o acesso a um fluxo de dados específico do Kinesis — esse exemplo de política pode ser anexado a um VPC endpoint. Ele restringe o acesso a um fluxo de dados específico por meio do VPC endpoint ao qual está anexado.

    { "Statement": [ { "Sid": "AccessToSpecificDataStream", "Principal": "*", "Action": "kinesis:*", "Effect": "Allow", "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream" } ] }
  • Exemplo de política do IAM: restringir o acesso a um fluxo específico apenas de determinado VPC endpoint — esse exemplo de política pode ser anexado a um usuário, uma função ou um grupo do IAM. Ele restringe o acesso a um fluxo de dados especificado do Kinesis para ocorrer somente em determinado VPC endpoint.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AccessFromSpecificEndpoint", "Action": "kinesis:*", "Effect": "Deny", "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream", "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-11aa22bb" } } } ] }

Disponibilidade das políticas de endpoint do VPC para o Kinesis Data Streams

Os endpoints VPC da interface do Kinesis Data Streams com políticas são suportados nas seguintes regiões:

  • Europa (Paris)

  • Europa (Irlanda)

  • Leste dos EUA (N. da Virgínia)

  • Europa (Estocolmo)

  • Leste dos EUA (Ohio)

  • Europa (Frankfurt)

  • América do Sul (São Paulo)

  • Europa (Londres)

  • Ásia-Pacífico (Tóquio)

  • Oeste dos EUA (N. da Califórnia)

  • Ásia-Pacífico (Singapura)

  • Ásia-Pacífico (Sydney)

  • China (Pequim)

  • China (Ningxia)

  • Ásia-Pacífico (Hong Kong)

  • Oriente Médio (Bahrein)

  • Oriente Médio (Emirados Árabes Unidos)

  • Europa (Milão)

  • África (Cidade do Cabo)

  • Ásia-Pacífico (Mumbai)

  • Ásia-Pacífico (Seul)

  • Canadá (Central)

  • Oeste dos EUA (Oregon), exceto usw2-az4

  • AWS GovCloud (Leste dos EUA)

  • AWS GovCloud (Oeste dos EUA)

  • Asia Pacific (Osaka)

  • Europa (Zurique)

  • Ásia-Pacífico (Haiderabade)