Connexion à Amazon Athena à l'aide d'un point de terminaison de VPC d'interface - Amazon Athena
Création d'une politique de point de terminaison de VPC pour AthenaÀ propos des points de terminaison d’un VPC dans les sous-réseaux partagés

Connexion à Amazon Athena à l'aide d'un point de terminaison de VPC d'interface

Vous pouvez renforcer la sécurité de votre VPC en utilisant un point de terminaison d'un VPC d'interface (AWS PrivateLink) et un point de terminaison d'un VPCAWS Glue dans votre cloud privé virtuel (VPC). Un point de terminaison d'un VPC d'interface améliore la sécurité en vous permettant de contrôler les destinations accessibles depuis l'intérieur de votre VPC. Chaque point de terminaison d'un VPC est représenté par une ou plusieurs interfaces réseau Elastic (ENI) avec des adresses IP privées dans vos sous-réseaux VPC.

Le point de terminaison de VPC d'interface connecte votre VPC directement à Athena sans passerelle Internet, périphérique NAT, connexion VPN ni connexion Direct Connect. Les instances de votre VPC ne nécessitent pas d'adresses IP publiques pour communiquer avec l'API Athena.

Pour utiliser Athena via votre VPC, vous devez vous connecter à partir d'une instance située dans le VPC ou connecter votre réseau privé à votre VPC à l'aide d'un réseau privé virtuel (VPN) Amazon ou du Direct Connect. Pour obtenir des informations sur Amazon VPN, consultez la rubrique Connexions VPN du Guide de l'utilisateur Amazon Virtual Private Cloud. Pour obtenir des informations sur AWS Direct Connect, consultez la rubrique Création d'une connexion du Guide de l'utilisateur Direct Connect.

Athena prend en charge les points de terminaison de VPC dans toutes les Régions AWS où Amazon VPC et Athena sont disponibles.

Vous pouvez créer un point de terminaison de VPC d'interface pour vous connecter à Athena à l'aide de AWS Management Console ou des commandes AWS Command Line Interface (AWS CLI). Pour plus d'informations, consultez Création d'un point de terminaison d'interface.

Une fois que vous avez créé un point de terminaison de VPC d'interface, si vous activez les noms d'hôte DNS privés pour le point de terminaison, le point de terminaison Athena par défaut (https://athena.Region.amazonaws.com) est résolu par votre point de terminaison de VPC.

Si vous n'activez pas les noms d'hôte DNS privés, Amazon VPC fournit un nom de point de terminaison DNS que vous pouvez utiliser au format suivant :

VPC_Endpoint_ID.athena.Region.vpce.amazonaws.com

Pour de plus amples informations, veuillez consulter Points de terminaison d'un VPC d'interface (AWS PrivateLink) dans le Guide de l'utilisateur Amazon VPC.

Athena prend en charge l'exécution d'appels en direction de toutes ses actions d'API à l'intérieur de votre VPC.

Vous pouvez créer une politique pour les points de terminaison de VPC Amazon pour Athena dans laquelle vous pouvez spécifier des restrictions telles que :

  • Principal : le principal qui peut exécuter des actions.

  • Actions : les actions qui peuvent être effectuées.

  • Ressources : les ressources sur lesquelles les actions peuvent être exécutées.

  • Identités approuvées uniquement : utilisez la condition aws:PrincipalOrgId pour restreindre l'accès aux seules informations d'identification appartenant à votre organisation AWS. Cela peut permettre d'empêcher l'accès par des principaux involontaires.

  • Ressources approuvées uniquement : utilisez la condition aws:ResourceOrgId pour empêcher l'accès à des ressources involontaires.

  • Identités et ressources approuvées uniquement : créez une politique combinée pour un point de terminaison de VPC afin d'empêcher l'accès à des principaux et à des ressources involontaires.

Pour plus d'informations, consultez Contrôle de l'accès aux services avec des points de terminaison de VPC dans le Guide de l'utilisateur Amazon VPC et l'annexe 2 – Exemples de politiques relatives aux points de terminaison de VPC dans le livre blanc AWS Création d'un périmètre de données sur AWS.

Exemple – politique de point de terminaison de VPC

L'exemple suivant autorise les demandes par des identités de l'organisation aux ressources de l'organisation et autorise les demandes par les principaux de service AWS.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "my-org-id",
                    "aws:ResourceOrgID": "my-org-id"
                }
            }
        },
        {
            "Sid": "AllowRequestsByAWSServicePrincipals",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "aws:PrincipalIsAWSService": "true"
                }
            }
        }
    ]
}

Chaque fois que vous utilisez des politiques IAM, veillez à respecter les bonnes pratiques IAM. Pour plus d'informations, consultez la rubrique Bonnes pratiques IAM du Guide de l'utilisateur IAM.

À propos des points de terminaison d’un VPC dans les sous-réseaux partagés

Vous ne pouvez pas créer, décrire, modifier ou supprimer des points de terminaison d'un VPC dans des sous-réseaux qui sont partagés avec vous. Toutefois, vous pouvez utiliser les points de terminaison d'un VPC dans les sous-réseaux qui sont partagés avec vous. Pour plus d'informations sur le partage de VPC, consultez Partager votre VPC avec d'autres comptes dans le Guide de l'utilisateur Amazon VPC.