Sicherung von DynamoDB-Verbindungen mithilfe von VPC Endpunkten und Richtlinien“ IAM - Amazon-DynamoDB
Erforderliche Richtlinie für EndpunkteDatenverkehr zwischen Service und On-Premises-Clients und -AnwendungenDatenverkehr zwischen AWS -Ressourcen in derselben Region

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sicherung von DynamoDB-Verbindungen mithilfe von VPC Endpunkten und Richtlinien“ IAM

Verbindungen sind sowohl zwischen Amazon DynamoDB und lokalen Anwendungen als auch zwischen DynamoDB und anderen AWS Ressourcen innerhalb derselben Region geschützt. AWS

Erforderliche Richtlinie für Endpunkte

Amazon DynamoDB bietet eine DescribeEndpointsAPI, mit der Sie regionale Endpunktinformationen auflisten können. Bei Anfragen an die öffentlichen DynamoDB-Endpunkte API reagiert der unabhängig von der konfigurierten IAM DynamoDB-Richtlinie, auch wenn in der oder der Endpunktrichtlinie eine explizite oder implizite Ablehnung enthalten ist. IAM VPC Dies liegt daran, dass DynamoDB die Autorisierung für die absichtlich überspringt. DescribeEndpoints API

Bei Anfragen von einem VPC Endpunkt müssen IAM sowohl die Endpunktrichtlinien als auch die Virtual Private Cloud (VPC) -Endpunktrichtlinien den DescribeEndpoints API Aufruf für die anfordernden Identity and Access Management (IAM) -Prinzipale (n) autorisieren, die die IAM dynamodb:DescribeEndpoints Aktion verwenden. Andernfalls DescribeEndpoints API wird der Zugriff auf die verweigert.

Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "(Include IAM Principals)",
            "Action": "dynamodb:DescribeEndpoints",
            "Resource": "*"
        }
    ]
}

Datenverkehr zwischen Service und On-Premises-Clients und -Anwendungen

Sie haben zwei Verbindungsoptionen zwischen Ihrem privaten Netzwerk und AWS:

  • Eine AWS Site-to-Site VPN Verbindung. Weitere Informationen finden Sie unter Was ist AWS Site-to-Site VPN? im AWS Site-to-Site VPN -Benutzerhandbuch.

  • Eine AWS Direct Connect Verbindung. Weitere Informationen finden Sie unter Was ist AWS Direct Connect? im AWS Direct Connect -Benutzerhandbuch.

Der Zugriff auf DynamoDB über das Netzwerk erfolgt über AWS Published. APIs Clients müssen Transport Layer Security (TLS) 1.2 unterstützen. Wir empfehlen TLS 1.3. Kunden müssen auch Cipher Suites mit Perfect Forward Secrecy (PFS) unterstützen, wie Ephemeral Diffie-Hellman () oder Elliptic Curve Diffie-Hellman Ephemeral (DHE). ECDHE Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi. Außerdem müssen Sie die Anfragen mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel signieren, die einem IAM-Prinzipal zugeordnet sind. Sie können auch AWS Security Token Service (STS) verwenden um temporäre Sicherheitsanmeldeinformationen zu generieren.

Datenverkehr zwischen AWS -Ressourcen in derselben Region

Ein Amazon Virtual Private Cloud (AmazonVPC) -Endpunkt für DynamoDB ist eine logische Einheit innerhalb einerVPC, die nur Konnektivität zu DynamoDB ermöglicht. Amazon VPC leitet Anfragen an DynamoDB weiter und leitet Antworten zurück an die. VPC Weitere Informationen finden Sie unter VPCEndpoints im VPCAmazon-Benutzerhandbuch. Richtlinien, mit denen Sie den Zugriff von VPC Endpunkten aus steuern können, finden Sie beispielsweise unter Verwenden von IAM Richtlinien zur Steuerung des Zugriffs auf DynamoDB.

Anmerkung

VPCAmazon-Endpunkte sind nicht über AWS Site-to-Site VPN oder AWS Direct Connect zugänglich.