# Segurança da infraestrutura no Athena
<a name="security-infrastructure"></a>

Por ser um serviço gerenciado, é protegido pela segurança da rede global da AWS. Para saber mais sobre serviços de segurança da AWS e como a AWS protege a infraestrutura, consulte [Segurança na Nuvem AWS](https://aws.amazon.com/security/). Para projetar seu ambiente da AWS usando as práticas recomendadas de segurança da infraestrutura, consulte [Proteção de Infraestrutura](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) em *Pilar de Segurança: AWS Well‐Architected Framework*.

Você usa chamadas de API publicadas pela AWS para acessar por meio da rede. Os clientes devem oferecer compatibilidade com:
+ Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.

Use as políticas do IAM para restringir o acesso às operações do Athena. Sempre que você usar as políticas do IAM, siga as práticas recomendadas do IAM. Para obter mais informações, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Manual do usuário do IAM*.

As [políticas gerenciadas](security-iam-awsmanpol.md) do Athena são fáceis de usar e atualizadas automaticamente com as ações necessárias de acordo com o desenvolvimento do serviço. As políticas em linha e gerenciadas pelo cliente podem ser ajustadas especificando nelas ações mais granulares do Athena. Conceda o acesso adequado ao local dos dados do Amazon S3. Para obter informações detalhadas e conhecer cenários para a concessão de acesso ao Amazon S3, consulte [Demonstrações de exemplo: gerenciar o acesso](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access.html) no *Guia do desenvolvedor do Amazon Simple Storage Service*. Para obter mais informações e um exemplo das ações do Amazon S3 que devem ser permitidas, consulte o exemplo de política de bucket em [Acesso entre contas](cross-account-permissions.md). 

**Topics**
+ [Conectar-se ao Amazon Athena usando um endpoint da VPC de interface](interface-vpc-endpoint.md)

# Conectar-se ao Amazon Athena usando um endpoint da VPC de interface
<a name="interface-vpc-endpoint"></a>

Você pode melhorar a postura de segurança da sua VPC usando um [endpoint da VPC de interface (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) e um [endpoint da VPC do AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/vpc-endpoint.html) em sua nuvem privada virtual (VPC). Um endpoint da VPC de interface melhora a segurança ao oferecer controle sobre quais destinos podem ser alcançados de dentro da sua VPC. Cada endpoint da VPC é representado por uma ou mais [interfaces de rede elástica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) (ENIs) com endereços IP privados nas sub-redes da VPC.

O endpoint da VPC de interface conecta sua VPC diretamente ao Athena sem um gateway da Internet, um dispositivo NAT, uma conexão VPN ou uma conexão Direct Connect. Não é necessário que as instâncias na sua VPC tenham endereços IP públicos para se comunicarem com a API do Athena.

Para usar o Athena por meio da VPC, você deve se conectar de uma instância que esteja dentro da VPC ou conectar sua rede privada à VPC usando o Amazon Virtual Private Network (VPN) ou uma Direct Connect. Para obter informações sobre o Amazon VPN, consulte [Conexões VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) no *Guia do usuário do Amazon Virtual Private Cloud*. Para obter informações sobre o AWS Direct Connect, consulte [Creating a connection](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html) (Criação de uma conexão) no *Guia do usuário do Direct Connect*.

O Athena aceita endpoints da VPC em todas as Regiões da AWS onde o [Amazon VPC](https://docs.aws.amazon.com/general/latest/gr/rande.html#vpc_region) e o [Athena](https://docs.aws.amazon.com/general/latest/gr/rande.html#athena) estão disponíveis.

É possível criar um endpoint da VPC de interface para se conectar ao Athena usando os comandos do Console de gerenciamento da AWS ou da AWS Command Line Interface (AWS CLI). Para obter mais informações, consulte [Creating an interface endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) (Criação de um endpoint de interface).

Depois de criar um endpoint da VPC de interface, se você habilitar nomes de host [DNS privados](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns) para o endpoint, o endpoint padrão do Athena (https://athena.*Region*.amazonaws.com) será resolvido para seu endpoint da VPC.

Se você não habilitar nomes de host DNS privados, o Amazon VPC fornecerá um nome de endpoint DNS que poderá ser usado no seguinte formato:

```
VPC_Endpoint_ID.athena.Region.vpce.amazonaws.com
```

Para mais informações, consulte [VPC endpoints de interface (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) no *Guia do usuário da Amazon VPC*.

O Athena permite fazer chamadas para todas as [ações de API](https://docs.aws.amazon.com/athena/latest/APIReference/API_Operations.html) na sua VPC.

## Criar uma política de endpoint da VPC para o Athena
<a name="api-private-link-policy"></a>

Você pode criar uma política de endpoints da Amazon VPC para o Athena para especificar restrições como:
+ **Entidade principal**: a entidade principal que pode executar ações.
+ **Ações**: as ações que podem ser executadas.
+ **Recursos**: os recursos sobre os quais as ações podem ser realizadas.
+ **Somente identidades confiáveis**: use a condição `aws:PrincipalOrgId` para restringir o acesso somente às credenciais que fazem parte de sua organização da AWS. Isso pode ajudar a impedir o acesso de entidades principais não intencionais. 
+ **Somente recursos confiáveis**: use a condição `aws:ResourceOrgId` para impedir o acesso a recursos não intencionais. 
+ **Somente identidades e recursos confiáveis**: crie uma política combinada para um endpoint da VPC que ajude a impedir o acesso a recursos e entidades principais não intencionais. 

Para obter mais informações, consulte [Controlar acesso a serviços com endpoints da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) no *Guia do usuário da Amazon VPC* e no [Apêndice 2: exemplos de políticas de endpoints da VPC](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/appendix-2-vpc-endpoint-policy-examples.html) no whitepaper da AWS *Criar um perímetro de dados na AWS*.

**Example Política de endpoint da VPC**  
O exemplo a seguir permite solicitações de identidades de organizações para recursos de organizações, e permite solicitações de entidades principais de serviços da AWS.    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "my-org-id",
                    "aws:ResourceOrgID": "my-org-id"
                }
            }
        },
        {
            "Sid": "AllowRequestsByAWSServicePrincipals",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "aws:PrincipalIsAWSService": "true"
                }
            }
        }
    ]
}
```

Sempre que você usar as políticas do IAM, siga as práticas recomendadas do IAM. Para obter mais informações, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.

## Sobre os endpoints da VPC em sub-redes compartilhadas
<a name="interface-vpc-endpoint-shared-subnets"></a>

Você não pode criar, descrever, modificar ou excluir endpoints da VPC em sub-redes que são compartilhadas com você. No entanto, é possível usar os endpoints da VPC em sub-redes que são compartilhadas com você. Para obter informações sobre o compartilhamento da VPC, consulte [Compartilhar sua VPC com outras contas](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) no *Guia do usuário da Amazon VPC*.