インターフェイス VPC エンドポイントと Amazon Kinesis Data Streams を使用する - Amazon Kinesis Data Streams
Kinesis Data Streams のインターフェイス VPC エンドポイントを使用するKinesis Data Streams の VPCE エンドポイントへのアクセスを制御するKinesis Data Streams の VPC エンドポイントポリシーの可用性

インターフェイス VPC エンドポイントと Amazon Kinesis Data Streams を使用する

インターフェイス VPC エンドポイントを使用して、Amazon VPC と Kinesis Data Streams 間のトラフィックが Amazon ネットワークから離れることを防止できます。インターフェイス VPC エンドポイントは、インターネットゲートウェイ、NAT デバイス、VPN 接続、または Direct Connect 接続を必要としません。インターフェイス VPC エンドポイントは AWS PrivateLink を使用しています。これは、Amazon VPC で Elastic Network Interface とプライベート IP を使用して AWS のサービス間のプライベート通信を可能にする AWS のテクノロジーです。詳細については、Amazon Virtual Private Cloudインターフェイス VPC エンドポイント (AWS PrivateLink) を参照してください。

Kinesis Data Streams のインターフェイス VPC エンドポイントを使用する

使用を開始するために、ストリーム、プロデューサー、またはコンシューマーの設定を変更する必要はありません。Kinesis Data Streams 用にインターフェイス VPC エンドポイントを作成し、インターフェイス VPC エンドポイントを通じて Amazon VPC リソースから、または Amazon VPC リソースへ流れるトラフィックを開始します。FIPS 対応のインターフェイス VPC エンドポイントは、米国リージョンで使用できます。詳細については、インターフェイスエンドポイントの作成を参照してください。

Amazon Kinesis Producer Library (KPL) および Kinesis Consumer Library (KCL) は、パブリックエンドポイントまたはプライベートインターフェイス VPC エンドポイントのどちらか (使用中のもの) を使って、Amazon CloudWatch や Amazon DynamoDB などの AWS のサービスを呼び出します。例えば、KCL アプリケーションが実行されている VPC で DynamoDB インターフェイス VPC エンドポイントが有効になっている場合、DynamoDB と KCL アプリケーション間の呼び出しは、そのインターフェイス VPC エンドポイントを経由して流れます。

Kinesis Data Streams の VPCE エンドポイントへのアクセスを制御する

VPC エンドポイントポリシーは、VPC エンドポイントにポリシーをアタッチするか、IAM ユーザー、グループ、またはロールにアタッチされたポリシーの追加フィールドを使用して、アクセスが指定された VPC エンドポイント経由のみで行われるように制限することで、アクセスを制御することを可能にします。これらのポリシーは、指定された VPC エンドポイントを介した Kinesis データストリームのアクションへのアクセスのみを許可する IAM ポリシーと組み合わせて使用するときに、指定された VPC エンドポイントへの特定のストリームへのアクセスを制限するために使用します。

以下は、Kinesis データストリームにアクセスするためのエンドポイントポリシーの例です。

  • VPC ポリシーの例: 読み取り専用アクセス – このサンプルポリシーは、VPC エンドポイントにアタッチできます。詳細については、Amazon VPC のリソースに対するアクセスの制御を参照してください。このポリシーは、アタッチされている VPC エンドポイント経由の Kinesis データストリームの一覧表示と説明のみにアクションを制限します。

    
{
  "Statement": [
    {
      "Sid": "ReadOnly",
      "Principal": "*",
      "Action": [
        "kinesis:List*",
        "kinesis:Describe*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

  • VPC ポリシーの例: アクセスを特定の Kinesis データストリームに制限 - このサンプルポリシーは、VPC エンドポイントにアタッチできます。このポリシーは、ポリシーがアタッチされている VPC エンドポイント経由の特定のデータストリームにアクセスを制限します。

    
{
  "Statement": [
    {
      "Sid": "AccessToSpecificDataStream",
      "Principal": "*",
      "Action": "kinesis:*",
      "Effect": "Allow",
      "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream"
    }
  ]
}

  • IAM ポリシーの例: 特定のストリームへのアクセスを特定の VPC エンドポイントからのみに制限 - このサンプルポリシーは、IAM ユーザー、ロール、またはグループにアタッチできます。このポリシーは、指定された Kensis データストリームへのアクセスが、指定された VPC エンドポイント以外からは行われないように制限します。

    JSON
    
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Sid": "AccessFromSpecificEndpoint",
         "Action": "kinesis:*",
         "Effect": "Deny",
         "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/MyStream",
         "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-11aa22bb" } }
      }
   ]
}

Kinesis Data Streams の VPC エンドポイントポリシーの可用性

ポリシーを使用した Kinesis Data Streams インターフェイス VPC エンドポイントは、次のリージョンでサポートされています。

  • 欧州 (パリ)

  • 欧州 (アイルランド)

  • 米国東部 (バージニア北部)

  • 欧州 (ストックホルム)

  • 米国東部 (オハイオ)

  • 欧州 (フランクフルト)

  • 南米 (サンパウロ)

  • 欧州 (ロンドン)

  • アジアパシフィック (東京)

  • 米国西部 (北カリフォルニア)

  • アジアパシフィック (シンガポール)

  • アジアパシフィック (シドニー)

  • 中国 (北京)

  • 中国 (寧夏)

  • アジアパシフィック (香港)

  • 中東 (バーレーン)

  • 中東 (アラブ首長国連邦)

  • 欧州 (ミラノ)

  • アフリカ (ケープタウン)

  • アジアパシフィック (ムンバイ)

  • アジアパシフィック (ソウル)

  • カナダ (中部)

  • usw2-az4 を除く米国西部 (オレゴン)

  • AWS GovCloud (米国東部)

  • AWS GovCloud (米国西部)

  • アジアパシフィック (大阪)

  • 欧州 (チューリッヒ)

  • アジアパシフィック (ハイデラバード)