Herstellen einer Verbindung mit Amazon Athena über einen Schnittstellen-VPC-Endpunkt - Amazon Athena
Erstellen einer VPC-Endpunktrichtlinie für AthenaÜber VPC-Endpunkte in gemeinsam genutzten Subnetzen

Herstellen einer Verbindung mit Amazon Athena über einen Schnittstellen-VPC-Endpunkt

Sie können die Sicherheit Ihrer VPC verbessern, indem Sie einen Schnittstellen-VPC-Endpunkt (AWS PrivateLink) und einen AWS Glue-VPC-Endpunkt in Ihrer Virtual Private Cloud (VPC) verwenden. Ein VPC-Schnittstellen-Endpunkt verbessert die Sicherheit, indem er Ihnen die Kontrolle darüber gibt, welche Ziele innerhalb Ihrer VPC erreicht werden können. Jeder VPC-Endpunkt wird durch eine oder mehrere Elastic-Network-Schnittstellen (ENIs) mit privaten IP-Adressen in Ihren VPC-Subnetzen repräsentiert.

Der Schnittstellen-VPC-Endpunkt verbindet Ihre VPC direkt mit Athena, ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder eine Direct Connect-Verbindung. Die Instances in Ihrer VPC benötigen für die Kommunikation mit der Athena-API keine öffentlichen IP-Adressen.

Um Athena über Ihre VPC zu verwenden, müssen Sie für die Verbindung eine Instance innerhalb Ihrer VPC verwenden oder Ihr privates Netzwerk mit Ihrer VPC verbinden. Dies erreichen Sie mithilfe eines Amazon Virtual Private Network (VPN) oder mit Direct Connect. Informationen zu Amazon VPN finden Sie unter VPN-Verbindungen im Benutzerhandbuch für Amazon Virtual Private Cloud. Informationen zu AWS Direct Connect finden Sie unter Erstellen einer Verbindung im Direct Connect-Benutzerhandbuch.

Athena unterstützt VPC-Endpunkte in allen AWS-Regionen, in denen Amazon VPC und Athena verfügbar sind.

Sie können über die AWS-Managementkonsole oder AWS Command Line Interface (AWS CLI)-Befehle einen Schnittstellen-VPC-Endpunkt erstellen, um eine Verbindung zu Athena herzustellen. Weitere Informationen finden Sie unter Erstellen eines Schnittstellenendpunkts.

Wenn Sie nach dem Erstellen eines Schnittstellen-VPC-Endpunkts private DNS-Hostnamen für den Endpunkt aktivieren, wird der Athena-Standardendpunkt (https://athena.Region.amazonaws.com) in Ihren VPC-Endpunkt aufgelöst.

Wenn Sie keine privaten DNS-Hostnamen aktiviert haben, stellt Amazon VPC einen DNS-Endpunktnamen bereit, den Sie im folgenden Format verwenden können:

VPC_Endpoint_ID.athena.Region.vpce.amazonaws.com

Weitere Informationen finden Sie unter Schnittstellen-VPC-Endpunkte (AWS-PrivateLink) im Amazon-VPC-Benutzerhandbuch.

Athena unterstützt Aufrufe aller API-Aktionen innerhalb Ihrer VPC.

Sie können eine Richtlinie für Amazon-VPC-Endpunkte für Athena erstellen, in der Sie Restriktionen wie die folgenden angeben:

  • Prinzipal – Prinzipal, der die Aktionen ausführen kann.

  • Aktionen – Aktionen, die ausgeführt werden können

  • Ressourcen – Die Ressourcen, für die Aktionen ausgeführt werden können.

  • Nur vertrauenswürdige Identitäten – Verwenden Sie die aws:PrincipalOrgId-Bedingung, um den Zugriff nur auf Anmeldeinformationen zu beschränken, die Teil Ihrer AWS-Organisation sind. Dies kann dazu beitragen, den Zugriff durch unbeabsichtigte Prinzipale zu verhindern.

  • Nur vertrauenswürdige Ressourcen – Verwenden Sie diese aws:ResourceOrgId-Bedingung, um den Zugriff auf unbeabsichtigte Ressourcen zu verhindern.

  • Nur vertrauenswürdige Identitäten und Ressourcen – Erstellen Sie eine kombinierte Richtlinie für einen VPC-Endpunkt, die den Zugriff auf unbeabsichtigte Prinzipale und Ressourcen verhindert.

Weitere Informationen finden Sie unter Steuern des Zugriffs auf Services mit VPC-Endpunkten im Amazon-VPC-Benutzerhandbuch und Anhang 2 – Beispiele für VPC-Endpunktrichtlinien im AWS-Whitepaper Aufbau eines Datenperimeters in AWS.

Beispiel – VPC-Endpunktrichtlinie

Das folgende Beispiel erlaubt Anfragen von Organisationsidentitäten an Unternehmensressourcen und Anfragen von AWS-Service-Prinzipalen.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "my-org-id",
                    "aws:ResourceOrgID": "my-org-id"
                }
            }
        },
        {
            "Sid": "AllowRequestsByAWSServicePrincipals",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "aws:PrincipalIsAWSService": "true"
                }
            }
        }
    ]
}

Wenn Sie IAM-Richtlinien verwenden, stellen Sie sicher, dass Sie die bewährten IAM-Methoden befolgen. Weitere Informationen finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.

Über VPC-Endpunkte in gemeinsam genutzten Subnetzen

Sie können VPC-Endpunkte in Subnetzen, die mit Ihnen geteilt werden, nicht erstellen, beschreiben, ändern oder löschen. Sie können die VPC-Endpunkte jedoch in Subnetzen verwenden, die mit Ihnen geteilt werden. Weitere Informationen zur Freigabe von VPCs finden Sie unter Freigeben Ihrer VPC für andere Konten im Amazon-VPC-Benutzerhandbuch.