Para obtener capacidades similares a las de Amazon Timestream, considere Amazon Timestream LiveAnalytics para InfluxDB. Ofrece una ingesta de datos simplificada y tiempos de respuesta a las consultas en milisegundos de un solo dígito para realizar análisis en tiempo real. Obtenga más información aquí.
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Conexión con Timestream para InfluxDB mediante un punto de conexión de VPC
Puede conectarse directamente a Timestream para InfluxDB mediante un punto de conexión de interfaz privada de su nube privada virtual (VPC). Cuando utiliza un punto final de VPC de interfaz, la comunicación entre su VPC y Timestream for InfluxDB se lleva a cabo completamente dentro de la red. AWS
Timestream para InfluxDB es compatible con puntos de conexión de Amazon Virtual Private Cloud (Amazon VPC) con tecnología de AWS PrivateLink. Cada punto final de la VPC está representado por una o más interfaces de red elásticas (ENIs) con direcciones IP privadas en las subredes de la VPC.
El punto final de la interfaz VPC conecta su VPC directamente a Timestream for InfluxDB sin una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión. AWS Direct Connect Las instancias de la VPC no necesitan direcciones IP públicas para comunicarse con Timestream para InfluxDB.
Regions
Timestream for InfluxDB admite puntos de enlace de VPC y políticas de puntos de enlace de VPC en Regiones de AWS todos los que se admite Timestream for InfluxDB.
Temas
Consideraciones sobre los puntos de conexión de VPC de Timestream para InfluxDB
Antes de configurar un punto de conexión de VPC de tipo interfaz para Timestream para InfluxDB, revise el tema Propiedades y limitaciones de los puntos de conexión de tipo interfaz en la Guía de AWS PrivateLink .
El soporte de Timestream para InfluxDB para un punto de conexión de VPC incluye lo siguiente.
-
Puede utilizar el punto de conexión de VPC para llamar a todas las operaciones de la API de Timestream para InfluxDB desde su VPC.
-
Puede usar AWS CloudTrail los registros para auditar el uso de Timestream para los recursos de InfluxDB a través del punto final de la VPC. Para obtener más información, consulte Registro de su punto de conexión de VPC.
Creación de un punto de conexión de VPC para Timestream para InfluxDB
Puede crear un punto de conexión de VPC para Timestream para InfluxDB mediante la consola o la API de Amazon VPC. Para obtener más información, consulte Creación de un punto de conexión de interfaz en la Guía de AWS PrivateLink .
-
Para crear un punto de conexión de VPC para Timestream para InfluxDB, utilice el siguiente nombre de servicio:
com.amazonaws.region.timestream-influxdbPor ejemplo, en la Región EE. UU. Oeste (Oregón) (
us-west-2), el nombre del servicio sería:com.amazonaws.us-west-2.timestream-influxdb
Para facilitar el uso del punto de conexión de VPC, puede habilitar un nombre de DNS privado para el punto de conexión de VPC. Si selecciona la opción Habilitar nombre DNS, el nombre del host de DNS de Timestream para InfluxDB estándar se resuelve en el punto de conexión de VPC. Por ejemplo, https://timestream-influxdb.us-west-2.amazonaws.com se resolvería en un punto de conexión de VPC conectado al nombre del servicio com.amazonaws.us-west-2.timestream-influxdb.
Esta opción facilita el uso del punto de conexión de VPC. AWS SDKs Y AWS CLI utilizan el nombre de host DNS estándar de Timestream para InfluxDB de forma predeterminada, por lo que no es necesario especificar la URL del punto final de la VPC en las aplicaciones y los comandos.
Para obtener más información, consulte Acceso a un servicio a través de un punto de conexión de interfaz en la Guía de AWS PrivateLink .
Conexión a un punto de conexión de VPC para Timestream para InfluxDB
Puede conectarse a Timestream for InfluxDB a través del punto final de la VPC mediante un SDK, el o. AWS AWS CLI AWS Tools for PowerShell Para especificar el punto de conexión de VPC, utilice su nombre de DNS.
Si ha habilitado los nombres de host privados al crear el punto de conexión de VPC, no es necesario que especifique la URL de este en los comandos de la CLI ni en la configuración de la aplicación. El nombre del host de DNS de Timestream para InfluxDB estándar se resuelve en el punto de conexión de VPC. AWS CLI Y SDKs usa este nombre de host de forma predeterminada, para que puedas empezar a usar el punto final de la VPC para conectarte a un punto final regional de Timestream for InfluxDB sin cambiar nada en tus scripts y aplicaciones.
Para utilizar nombres de host privados, se deben establecer los atributos enableDnsHostnames y enableDnsSupport de la VPC en true. Para configurar estos atributos, utilice la operación. ModifyVpcAttribute Para obtener más información, consulte Ver y actualizar los atributos de DNS de su VPC en la Guía del usuario de Amazon VPC.
Control del acceso a un punto de conexión de VPC
Para controlar el acceso a su punto de conexión de VPC para Timestream para InfluxDB, adjunte una política de punto de conexión de VPC a su punto de conexión de VPC. La política de punto de conexión determina si las entidades principales pueden utilizar el punto de conexión de VPC para llamar a operaciones de Timestream para InfluxDB en recursos de Timestream para InfluxDB.
Puede crear una política de punto de conexión de VPC cuando cree el punto de conexión y puede cambiar la política de punto de conexión de VPC en cualquier momento. Utilice la consola de administración de VPC o las operaciones CreateVpcEndpointo ModifyVpcEndpoint. También puede crear y cambiar una política de puntos finales de VPC mediante una AWS CloudFormation plantilla. Para obtener ayuda sobre el uso de la consola de administración de la VPC, consulte Creación de un punto de conexión de interfaz y Modificación de un punto de conexión de interfaz en la Guía de AWS PrivateLink .
nota
Timestream para InfluxDB admite políticas de puntos de conexión de VPC a partir de julio de 2020. Los puntos de conexión de VPC para Timestream para InfluxDB que se crearon antes de esa fecha tienen la política de puntos de conexión de VPC predeterminada, pero puede cambiarla en cualquier momento.
Temas
Uso de políticas de punto de conexión de VPC
Para una solicitud de Timestream para InfluxDB que utiliza un punto de conexión de VPC para tener éxito, la entidad principal requiere permisos de dos orígenes:
-
Una política de IAM debe dar permiso a la entidad principal para llamar a la operación en el recurso.
-
Una política de extremo de VPC debe conceder a la entidad principal permiso para utilizar el punto de conexión para realizar la solicitud.
Política de puntos de conexión de VPC predeterminada
Cada punto de conexión de VPC tiene una política de punto de conexión de VPC, pero no es necesario que especifique la política. Si no especifica una política, la política de punto de conexión predeterminada permite todas las operaciones de todas las entidades principales en todos los recursos del punto de conexión.
Sin embargo, para los recursos de Timestream para InfluxDB, la entidad principal también debe tener permiso para llamar a la operación desde una política de IAM. Por lo tanto, en la práctica, la política predeterminada establece que, si una entidad principal tiene permiso para llamar a una operación en un recurso, también puede llamarla mediante el punto de conexión.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Principal": "*", "Resource": "*" } ] }
Para permitir que las entidades principales utilicen el punto de conexión de VPC solo para un subconjunto de sus operaciones permitidas, cree o modifique la política de puntos de conexión de VPC.
Creación de una política de punto de conexión de VPC
Una política de punto de conexión de VPC determina si una entidad principal tiene permiso para utilizar el punto de conexión de VPC para realizar operaciones en un recurso. Para recursos de Timestream para InfluxDB, la entidad principal también debe tener permiso para realizar las operaciones desde una política de IAM.
Cada declaración de política de puntos de conexión de VPC requiere los siguientes elementos:
-
La entidad principal que puede realizar acciones
-
Las acciones que se pueden realizar
-
Los recursos en los que se pueden llevar a cabo las acciones
La declaración de política no especifica el punto de conexión de VPC. En cambio, se aplica a cualquier punto de conexión de VPC al que esté asociada dicha política. Para obtener más información, consulte Control del acceso a los servicios con puntos de conexión de VPC en la guía del usuario de Amazon VPC.
AWS CloudTrail registra todas las operaciones que utilizan el punto final de la VPC.
Visualización de una política de punto de conexión de VPC
Para ver la política de puntos de conexión de la VPC de un punto final, utilice la consola de administración de la VPC
El siguiente AWS CLI comando obtiene la política del punto final con el ID de punto final de VPC especificado.
Antes de ejecutar este comando, reemplace el ID de punto de conexión de ejemplo por uno válido de su cuenta.
$aws ec2 describe-vpc-endpoints \ --query 'VpcEndpoints[?VpcEndpointId==`vpc-endpoint-id`].[PolicyDocument]' --output text
Utilizar un punto de conexión de VPC en una declaración de política
Puede controlar el acceso a los recursos y las operaciones de Timestream para InfluxDB cuando la solicitud proviene de la VPC o utiliza un punto de conexión de VPC. Para ello, utilice una de las siguientes claves de condición globales en una política de IAM.
-
Utilice la clave de condición
aws:sourceVpcepara conceder o restringir el acceso en función del punto de conexión de VPC. -
Utilice la clave de condición
aws:sourceVpcpara conceder o restringir el acceso en función de la VPC que aloja el punto de conexión privado.
nota
Actúe con precaución al crear políticas de IAM y de claves basadas en el punto de conexión de VPC. Si una declaración de política exige que las solicitudes provengan de una VPC o punto final de VPC en particular, las solicitudes de los AWS servicios integrados que utilizan un recurso de Timestream for InfluxDB en su nombre podrían fallar.
Además, la clave de condición aws:sourceIP no es efectiva si la solicitud procede de un punto de conexión de Amazon VPC. Para restringir las solicitudes a un punto de conexión de VPC, utilice las claves de condición aws:sourceVpce o aws:sourceVpc. Para obtener más información, consulte Administración de identidades y accesos para puntos de conexión de VPC y servicios de puntos de conexión de VPC en la Guía de AWS PrivateLink .
Puede usar estas claves de condición globales para controlar el acceso a operaciones como las CreateDbInstanceque no dependen de ningún recurso en particular.
Registro de su punto de conexión de VPC
AWS CloudTrail registra todas las operaciones que utilizan el punto final de la VPC. Cuando una solicitud a Timestream para InfluxDB utiliza un punto de conexión de VPC, el ID de este aparece en la entrada de registro de AWS CloudTrail que registra la solicitud. Puede utilizar el ID del punto de conexión para auditar el uso del punto de conexión de VPC de Timestream para InfluxDB.
Sin embargo, tus CloudTrail registros no incluyen las operaciones solicitadas por los directores de otras cuentas ni las solicitudes de Timestream para las operaciones de Timestream para los recursos de InfluxDB y los alias de otras cuentas. Además, para proteger su VPC, las solicitudes que son denegadas por una política de puntos de conexión de la VPC, pero de lo contrario se habría permitido, no se registran en AWS CloudTrail.
