Para recursos semelhantes aos do Amazon Timestream para, considere o Amazon Timestream LiveAnalytics para InfluxDB. Ele oferece ingestão de dados simplificada e tempos de resposta de consulta de um dígito em milissegundos para análises em tempo real. Saiba mais aqui.
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Conectar ao Timestream para InfluxDB por meio de um endpoint da VPC
Você pode se conectar diretamente ao Timestream para InfluxDB por meio de um endpoint privado de interface em sua nuvem privada virtual (VPC). Quando você usa uma interface VPC endpoint, a comunicação entre sua VPC e o Timestream for InfluxDB é conduzida inteiramente dentro da rede. AWS
O Timestream para InfluxDB suporta endpoints da Amazon Virtual Private Cloud (Amazon VPC) desenvolvidos pelo AWS PrivateLink. Cada VPC endpoint é representado por uma ou mais interfaces de rede elástica (ENIs) com endereços IP privados em suas sub-redes VPC.
A interface VPC endpoint conecta sua VPC diretamente ao Timestream for InfluxDB sem um gateway de internet, dispositivo NAT, conexão VPN ou conexão. AWS Direct Connect As instâncias na sua VPC não necessitam que endereços IP públicos se comuniquem com o Timestream para InfluxDB.
Regiões
O Timestream for InfluxDB oferece suporte a endpoints de VPC e políticas de endpoints de VPC em todos os quais o Timestream for InfluxDB é suportado. Regiões da AWS
Considerações sobre os endpoints da VPC do Timestream para InfluxDB
Antes de configurar um endpoint da VPC de interface para o Timestream para InfluxDB, consulte o tópico Propriedades e limitações do endpoint de interface no Guia AWS PrivateLink .
O suporte do Timestream para InfluxDB para um endpoint da VPC inclui o seguinte.
-
Você pode usar o endpoint da VPC para chamar todas as operações de API do Timestream para InfluxDB em sua VPC.
-
Você pode usar AWS CloudTrail registros para auditar o uso dos recursos do Timestream for InfluxDB por meio do VPC endpoint. Para obter detalhes, consulte Registrar o endpoint da VPC em log.
Criar um endpoint da VPC para o Timestream para InfluxDB
Você pode criar um endpoint da VPC para o Timestream para InfluxDB usando o console da Amazon VPC ou a API da Amazon VPC. Para obter mais informações, consulte Criar um endpoint de interface no Guia do usuário do AWS PrivateLink .
-
Para criar um endpoint da VPC para o Timestream para InfluxDB, use o seguinte nome de serviço:
com.amazonaws.region.timestream-influxdbPor exemplo, na Região Oeste dos EUA (Oregon) (
us-west-2), o nome do serviço seria:com.amazonaws.us-west-2.timestream-influxdb
Para facilitar o uso do endpoint da VPC, é possível habilitar um nome de DNS privado para seu endpoint da VPC. Se você selecionar a opção Habilitar nome DNS, o nome de host DNS padrão do Timestream para InfluxDB será resolvido para seu endpoint da VPC. Por exemplo, https://timestream-influxdb.us-west-2.amazonaws.com resolveria para um endpoint da VPC conectado ao nome de serviço com.amazonaws.us-west-2.timestream-influxdb.
Essa opção facilita usar o endpoint da VPC. O AWS SDKs e AWS CLI usa o Timestream padrão para o nome de host DNS do InfluxDB por padrão, então você não precisa especificar a URL do VPC endpoint em aplicativos e comandos.
Para mais informações, consulte Acessar um serviço por meio de um endpoint de interface no Guia do AWS PrivateLink .
Conectar a um endpoint da VPC do Timestream para InfluxDB
Você pode se conectar ao Timestream for InfluxDB por meio do VPC endpoint usando um SDK, o ou. AWS AWS CLI AWS Tools for PowerShell Para especificar o endpoint da VPC, use seu nome de DNS.
Se os nomes de host privados tiverem sido ativados ao criar o endpoint da VPC, você não precisa especificar o URL do endpoint da VPC nos comandos de CLI ou na configuração da aplicação. O nome de host DNS padrão do Timestream para InfluxDB será resolvido para o endpoint da VPC. O AWS CLI and SDKs usa esse nome de host por padrão, para que você possa começar a usar o VPC endpoint para se conectar a um endpoint regional Timestream for InfluxDB sem alterar nada em seus scripts e aplicativos.
Para usar nomes de host privados, os atributosenableDnsHostnames e enableDnsSupport da sua VPC devem ser definidos como true. Para definir esses atributos, use a ModifyVpcAttributeoperação. Para mais detalhes, consulte Exibir e atualizar atributos DNS para sua VPC no Guia do usuário do Amazon VPC.
Controlar o acesso a um endpoint da VPC
Para controlar o acesso ao endpoint da VPC para o Timestream para InfluxDB, associe uma política de endpoint da VPC ao endpoint da VPC. A política de endpoint determina se as entidades principais podem usar o endpoint da VPC para chamar operações do Timestream para InfluxDB em recursos do Timestream para InfluxDB.
É possível criar uma política de endpoint da VPC ao criar seu endpoint e alterar a política de endpoint da VPC a qualquer momento. Use o console de gerenciamento da VPC CreateVpcEndpointou ModifyVpcEndpointas operações. Você também pode criar e alterar uma política de VPC endpoint usando um modelo. AWS CloudFormation Para obter ajuda sobre o uso do console de gerenciamento da VPC, consulte Criar um endpoint de interface e Modificar um endpoint de interface no Guia do AWS PrivateLink .
nota
O Timestream para InfluxDB é compatível com políticas de endpoint da VPC a partir de julho de 2020. Os endpoint da VPCs para Timestream para InfluxDB que foram criados antes dessa data têm a política de endpoint da VPC padrão, mas você pode alterá-la a qualquer momento.
Tópicos
Sobre políticas de endpoint da VPC
Para que uma solicitação do Timestream para InfluxDB que usa um endpoint da VPC seja bem-sucedida, a entidade principal requer permissões de duas origens:
-
Uma política do AIM deve conceder à entidade principal permissão para chamar a operação no recurso.
-
Uma política de endpoint da VPC deve dar permissão à entidade principal para usar o endpoint para fazer a solicitação.
Política de endpoint da VPC padrão
Cada endpoint da VPC tem uma política de endpoint da VPC, mas não é necessário especificar a política. Se você não especificar uma política, a política de endpoint padrão permitirá todas as operações por todas as entidades principais em todos os recursos sobre o endpoint.
Porém, para recursos do Timestream para InfluxDB, a entidade principal também deve ter permissão para chamar a operação a partir de uma política do IAM. Portanto, na prática, a política padrão diz que se uma entidade principal tem permissão para chamar uma operação em um recurso, ela também pode chamá-la usando o endpoint.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Principal": "*", "Resource": "*" } ] }
Para permitir que entidades principais usem o endpoint da VPC apenas para um subconjunto de suas operações permitidas, crie ou atualize a política de endpoint da VPC.
Criar uma política de endpoint da VPC
Uma política de endpoint da VPC determina se uma entidade principal tem permissão para usar o endpoint da VPC para executar operações em um recurso. Para recursos do Timestream para InfluxDB, a entidade principal também deve ter permissão para realizar as operações a partir de uma política do IAM,
Cada declaração de política de endpoint da VPC requer os seguintes elementos:
-
A entidade principal que pode executar ações
-
As ações que podem ser executadas
-
Os recursos nos quais as ações podem ser executadas
A declaração de política não especifica o endpoint da VPC. Em vez disso, ele se aplica a qualquer endpoint da VPC ao qual a política está associada. Para obter mais informações, consulte Controlar o acesso a serviços com endpoint da VPCs no Guia do usuário da Amazon VPC.
AWS CloudTrail registra todas as operações que usam o VPC endpoint.
Visualizar uma política de endpoint da VPC
Para visualizar a política de VPC endpoint para um endpoint, use o console de gerenciamento da VPC
O AWS CLI comando a seguir obtém a política para o endpoint com o ID do endpoint VPC especificado.
Antes de executar esse comando, substitua o ID de endpoint demonstrativo por um válido da sua conta.
$aws ec2 describe-vpc-endpoints \ --query 'VpcEndpoints[?VpcEndpointId==`vpc-endpoint-id`].[PolicyDocument]' --output text
Usar um endpoint da VPC em uma declaração de política
É possível controlar o acesso a recursos e operações do Timestream para InfluxDB quando a solicitação vem da VPC ou usa um endpoint da VPC. Para fazer isso, use uma das chaves de condição global a seguir em uma política do IAM.
-
Use a chave de condição
aws:sourceVpcepara conceder ou restringir o acesso com base no endpoint da VPC. -
Use a chave de condição
aws:sourceVpcpara conceder ou restringir o acesso a uma VPC que hospedar o endpoint privado.
nota
Tome cuidado ao criar políticas de chaves e políticas do IAM com base no seu endpoint da VPC. Se uma declaração de política exigir que as solicitações venham de um determinado VPC ou VPC endpoint, as solicitações de AWS serviços integrados que usam um recurso Timestream for InfluxDB em seu nome podem falhar.
Além disso, a chave de condição aws:sourceIP não será efetiva se a solicitação vier de um endpoint da Amazon VPC. Para restringir solicitações a um endpoint da VPC, use as chaves de condições aws:sourceVpce ou aws:sourceVpc. Para obter mais informações, consulte Gerenciamento de identidade e acesso para VPC endpoints e serviços de VPC endpoint no Guia do AWS PrivateLink .
Você pode usar essas chaves de condição globais para controlar o acesso a operações como essas CreateDbInstanceque não dependem de nenhum recurso específico.
Registrar o endpoint da VPC em log
AWS CloudTrail registra todas as operações que usam o VPC endpoint. Quando uma solicitação para o Timestream para InfluxDB usa um endpoint da VPC, o ID do endpoint da VPC aparece na entrada de log AWS CloudTrail que registra a solicitação. Você pode usar o ID de endpoint para auditar o uso do seu endpoint da VPC do Timestream para InfluxDB.
No entanto, seus CloudTrail registros não incluem operações solicitadas por diretores em outras contas ou solicitações de Timestream para operações do InfluxDB no Timestream para recursos e aliases do InfluxDB em outras contas. Além disso, para proteger sua VPC, as solicitações que são negadas por uma política de endpoint da VPC, mas teriam sido permitidas de outra forma, não são registradas na AWS CloudTrail.
