使用接口 VPC 终端节点连接到 Amazon Athena - Amazon Athena
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

使用接口 VPC 终端节点连接到 Amazon Athena

您可以通过 Virtual Private Cloud (VPC) 中的接口 VPC 终端节点 (Amazon PrivateLink)Amazon Glue VPC 终端节点直接连接到 Athena,而不是通过互联网进行连接。当您使用接口 VPC 终端节点时,您的 VPC 和 Athena 之间的通信完全在 Amazon 网络内进行。每个 VPC 终端节点都由您的 VPC 子网中一个或多个使用私有 IP 地址的弹性网络接口(ENI)代表。

接口 VPC 终端节点将您的 VPC 直接连接到 Athena,而无需互联网网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接。VPC 中的实例不需要公有 IP 地址便可与 Athena API 进行通信。

要通过您的 VPC 使用 Athena,您必须从位于 VPC 中的实例进行连接,或者使用 Amazon 虚拟专用网络 (VPN) 或 Amazon Direct Connect 将您的专用网络连接到 VPC。有关 Amazon VPN 的信息,请参阅《Amazon Virtual Private Cloud 用户指南》中的 VPN 连接。有关 Amazon Direct Connect 连接的更多信息,请参阅在《Amazon Direct Connect 用户指南》中的创建连接

Amazon VPCAthena 均可用的所有 Amazon Web Services 区域 中,Athena 支持 VPC 终端节点。

您可以创建接口 VPC 终端节点以使用 Amazon Web Services Management Console 控制台或 Amazon Command Line Interface (Amazon CLI) 命令连接到 Athena。有关更多信息,请参阅创建接口终端节点

在创建接口 VPC 终端节点后,如果您为终端节点启用私有 DNS 主机名,则默认 Athena 端点 (https://athena.Region.amazonaws.com) 将解析为您的 VPC 终端节点。

如果您尚未启用私有 DNS 主机名,则 Amazon VPC 将提供一个您可以使用的 DNS 端点名称,格式如下:

VPC_Endpoint_ID.athena.Region.vpce.amazonaws.com

有关更多信息,请参阅《Amazon VPC 用户指南》 中的接口 VPC 终端节点(Amazon PrivateLink)

Athena 支持调用您的 VPC 中的所有 API 操作

您可以为 Athena 的 Amazon VPC 终端节点创建一个策略,在该策略中指定以下内容:

  • 可执行操作的委托人。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅 Amazon VPC 用户指南中的使用 VPC 终端节点控制对服务的访问

每当您使用 IAM 策略时,请确保遵循 IAM 最佳实践。有关更多信息,请参阅《IAM 用户指南》中的 IAM 安全最佳实践

例 – Athena 操作的 VPC 终端节点策略

此策略所附加到的终端节点允许 workgroupA 中的所有委托人访问所列的 athena 操作。

{ "Statement": [{ "Principal": "*", "Effect": "Allow", "Action": [ "athena:StartQueryExecution", "athena:RunQuery", "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StopQueryExecution", "athena:ListWorkGroups", "athena:GetWorkGroup", "athena:TagResource" ], "Resource": [ "arn:aws:athena:us-west-1:AWSAccountId:workgroup/workgroupA" ] }] }