Infrastruktursicherheit in Amazon DynamoDB - Amazon-DynamoDB
Verwenden eines VPC-Endpunkts

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Infrastruktursicherheit in Amazon DynamoDB

Als verwalteter Service ist Amazon DynamoDB durch die AWS globalen Netzwerksicherheitsverfahren geschützt, die unter Infrastrukturschutz im AWS Well-Architected Framework beschrieben sind.

Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf DynamoDB zuzugreifen. Clients können TLS (Transport Layer Security) Version 1.2 oder 1.3 verwenden. Clients müssen außerdem Cipher Suites mit PFS (Perfect Forward Secrecy) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman) unterstützen. Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi. Außerdem müssen Anforderungen mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel signiert sein, der einem IAM-Prinzipal zugeordnet ist. Alternativ können Sie mit AWS Security Token Service (AWS STS) temporäre Sicherheitsanmeldeinformationen erstellen, um die Anforderungen zu signieren.

Sie können auch einen Virtual Private Cloud (VPC) -Endpunkt für DynamoDB verwenden, um EC2 Amazon-Instances in Ihrer VPC zu ermöglichen, ihre privaten IP-Adressen für den Zugriff auf DynamoDB ohne Zugang zum öffentlichen Internet zu verwenden. Weitere Informationen finden Sie unter Verwenden von Amazon-VPC-Endpunkten für den Zugriff auf DynamoDB.

Verwenden von Amazon-VPC-Endpunkten für den Zugriff auf DynamoDB

Aus Sicherheitsgründen führen viele AWS Kunden ihre Anwendungen in einer Amazon Virtual Private Cloud Cloud-Umgebung (Amazon VPC) aus. Mit Amazon VPC können Sie EC2 Amazon-Instances in einer virtuellen privaten Cloud starten, die logisch von anderen Netzwerken — einschließlich dem öffentlichen Internet — isoliert ist. Mit einer Amazon VPC können Sie den zugehörigen IP-Adressbereich, die Subnetze, Routing-Tabellen, Netzwerk-Gateways und Sicherheitseinstellungen steuern.

Anmerkung

Wenn Sie Ihre AWS-Konto nach dem 4. Dezember 2013 erstellt haben, haben Sie in jeder AWS-Region bereits eine Standard-VPC. Eine Standard-VPC ist sofort einsatzbereit - Sie können Ihre Standard-VPC umgehend einsetzen, ohne weitere Konfigurationsschritte ausführen zu müssen.

Weitere Informationen finden Sie unter Standard-VPC und Standard-Subnetze im Amazon-VPC-Benutzerhandbuch.

Um auf das öffentliche Internet zuzugreifen, muss Ihre VPC über ein Internet-Gateway verfügen, einen virtuellen Router, der Ihr VPC mit dem Internet verbindet. Dadurch können Anwendungen, die auf Amazon EC2 in Ihrer VPC ausgeführt werden, auf Internetressourcen wie Amazon DynamoDB zugreifen.

Standardmäßig verwenden Mitteilungen an und von DynamoDB das HTTPS-Protokoll, das den Netzwerkverkehr mittels SSL-/TLS-Verschlüsselung schützt. Das folgende Diagramm zeigt eine EC2 Amazon-Instance in einer VPC, die auf DynamoDB zugreift, indem DynamoDB ein Internet-Gateway anstelle von VPC-Endpunkten verwendet.

Workflow-Diagramm, das eine EC2 Amazon-Instance zeigt, die über einen Router, ein Internet-Gateway und das Internet auf DynamoDB zugreift.

Viele Kunden haben legitime Bedenken hinsichtlich Datenschutz und Sicherheit, was das Senden und Empfangen von Daten über das öffentliche Internet angeht. Kunden können dieses Problem durch die Verwendung eines Virtual Private Network (VPN) lösen, um sämtlichen DynamoDB-Netzwerkdatenverkehr über die eigene Unternehmensnetzwerkinfrastruktur zu leiten. Dieser Ansatz kann jedoch zu Herausforderungen hinsichtlich Bandbreite und Verfügbarkeit führen.

VPC-Endpunkte für DynamoDB können diese Herausforderungen bewältigen helfen. Ein VPC-Endpunkt für DynamoDB ermöglicht es EC2 Amazon-Instances in Ihrer VPC, ihre privaten IP-Adressen für den Zugriff auf DynamoDB zu verwenden, ohne dass sie dem öffentlichen Internet ausgesetzt sind. Ihre EC2 Instances benötigen keine öffentlichen IP-Adressen, und Sie benötigen kein Internet-Gateway, kein NAT-Gerät oder ein virtuelles privates Gateway in Ihrer VPC. Sie steuern den Zugriff auf DynamoDB mittels Endpunktrichtlinien. Der Verkehr zwischen Ihrer VPC und dem AWS Service verlässt das Amazon-Netzwerk nicht.

Anmerkung

Selbst wenn Sie öffentliche IP-Adressen verwenden, wird die gesamte VPC-Kommunikation zwischen Instances und Diensten, in denen gehostet AWS wird, innerhalb des AWS Netzwerks privat gehalten. Pakete, die aus dem AWS Netzwerk mit einem Ziel im AWS Netzwerk stammen, verbleiben im AWS globalen Netzwerk, mit Ausnahme des Datenverkehrs in oder aus AWS China Regionen.

Wenn Sie einen VPC-Endpunkt für DynamoDB erstellen, werden alle Anfragen für einen DynamoDB-Endpunkt in der Region (z. B. dynamodb.us-west-2.amazonaws.com) an einen privaten DynamoDB-Endpunkt innerhalb des Amazon-Netzwerks geleitet. Sie müssen Ihre Anwendungen, die auf EC2 Instances in Ihrer VPC ausgeführt werden, nicht ändern. Der Endpunktname bleibt gleich, aber die Route zu DynamoDB bleibt vollständig im Amazon-Netzwerk und greift nicht auf das öffentliche Internet zu.

Das folgende Diagramm zeigt, wie eine EC2 Instanz in einer VPC einen VPC-Endpunkt für den Zugriff auf DynamoDB verwenden kann.

Workflow-Diagramm, das eine EC2 Instanz zeigt, die nur über einen Router und VPC-Endpunkt auf DynamoDB zugreift.

Weitere Informationen finden Sie unter Tutorial: Verwendung eines VPC-Endpunkts für DynamoDB.

Freigabe von Amazon-VPC-Endpunkten und DynamoDB

Um Zugriff auf DynamoDB über den Gateway-Endpunkt eines VPC-Subnetzes ermöglichen zu können, müssen Sie über Eigentümerkontoberechtigungen für dieses VPC-Subnetz verfügen.

Sobald dem Gateway-Endpunkt des VPC-Subnetzes Zugriff auf DynamoDB gewährt wurde, kann jedes AWS -Konto, das über Zugriff auf dieses Subnetz verfügt, DynamoDB verwenden. Dies bedeutet, dass alle Kontonutzer innerhalb des VPC-Subnetzes alle DynamoDB-Tabellen verwenden können, auf die sie Zugriff haben. Dies umfasst DynamoDB-Tabellen, die einem anderen Konto als dem VPC-Subnetz zugeordnet sind. Der Eigentümer des VPC-Subnetzes kann bestimmte Benutzer innerhalb des Subnetzes weiterhin nach eigenem Ermessen daran hindern, DynamoDB über den Gateway-Endpunkt zu nutzen.

Tutorial: Verwendung eines VPC-Endpunkts für DynamoDB

In diesem Abschnitt werden Sie schrittweise durch die Einrichtung und Verwendung eines VPC-Endpunkts für DynamoDB geführt.

Schritt 1: Starten Sie eine EC2 Amazon-Instance

In diesem Schritt starten Sie eine EC2 Amazon-Instance in Ihrer Standard-Amazon-VPC. Anschließend können Sie einen VPC Endpunkt für DynamoDB erstellen und verwenden.

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie Launch Instance aus und gehen Sie folgendermaßen vor:

    Schritt 1: Auswählen eines Amazon Machine Images (AMI)

    • Gehen Sie oben in der Liste von AMIs zu Amazon Linux AMI und wählen Sie Select aus.

    Schritt 2: Auswählen eines Instance-Typs

    • Wählen Sie oben in der Liste der Instance-Typen t2.micro aus.

    • Wählen Sie Next: Configure Instance Details aus.

    Schritt 3: Konfigurieren der Instance-Details

    • Navigieren Sie zu Network und wählen Sie Ihre Standard-VPC aus.

      Wählen Sie Next: Add Storage aus.

    Schritt 4: Hinzufügen von Speicher

    • Überspringen Sie diesen Schritt, indem Sie Next: Tag Instance auswählen.

    Schritt 5: Kennzeichnen der Instance

    • Überspringen Sie diesen Schritt, indem Sie Next: Configure Security Group auswählen.

    Schritt 6: Konfigurieren einer Sicherheitsgruppe

    • Wählen Sie Bestehende Sicherheitsgruppe auswählen aus.

    • Wählen Sie in der Liste der Sicherheitsgruppen default aus. Dies ist die Standard-Sicherheitsgruppe für Ihre VPC.

    • Wählen Sie Next: Review and Launch aus.

    Schritt 7: Prüfen eines Starts einer Instance

    • Wählen Sie Launch (Starten) aus.

  3. Führen Sie im Fenster Select an existing key pair or create a new key pair einen der folgenden Schritte aus:

    • Wenn Sie kein EC2 Amazon-Schlüsselpaar haben, wählen Sie Neues key pair erstellen und folgen Sie den Anweisungen. Sie werden aufgefordert, eine private Schlüsseldatei (.pem-Datei) herunterzuladen. Sie benötigen diese Datei später, wenn Sie sich bei Ihrer EC2 Amazon-Instance anmelden.

    • Wenn Sie bereits über ein vorhandenes EC2 Amazon-Schlüsselpaar verfügen, gehen Sie zu key pair auswählen und wählen Sie Ihr key pair aus der Liste aus. Sie müssen die private Schlüsseldatei (.pem-Datei) bereits verfügbar haben, um sich bei Ihrer EC2 Amazon-Instance anmelden zu können.

  4. Wenn Sie Ihr Schlüsselpaar konfiguriert haben, wählen Sie Launch Instances (Instances starten) aus.

  5. Kehren Sie zur Startseite der EC2 Amazon-Konsole zurück und wählen Sie die Instance aus, die Sie gestartet haben. Suchen Sie im unteren Bereich der Registerkarte Beschreiben die Public DNS für Ihre Instance. Beispiel: ec2-00-00-00-00.us-east-1.compute.amazonaws.com.

    Notieren Sie sich diesen öffentlichen DNS-Namen, da Sie ihn für den nächsten Schritt in diesem Tutorial benötigen (Schritt 2: Konfigurieren Sie Ihre EC2 Amazon-Instance).

Anmerkung

Es dauert einige Minuten, bis Ihre EC2 Amazon-Instance verfügbar ist. Überprüfen Sie, ob Instance-Zustand running wird und alle Status-Kontrollen bestanden hat, bevor Sie mit dem nächsten Schritt fortfahren.

Schritt 2: Konfigurieren Sie Ihre EC2 Amazon-Instance

Wenn Ihre EC2 Amazon-Instance verfügbar ist, können Sie sich bei ihr anmelden und sie für die erste Verwendung vorbereiten.

Anmerkung

Bei den folgenden Schritten wird davon ausgegangen, dass Sie von einem Computer aus, auf dem Linux ausgeführt wird, eine Verbindung zu Ihrer EC2 Amazon-Instance herstellen. Weitere Verbindungsmöglichkeiten finden Sie unter Connect to Your Linux Instance im EC2 Amazon-Benutzerhandbuch.

  1. Sie müssen eingehenden SSH-Verkehr zu Ihrer Amazon-Instance autorisieren. EC2 Dazu erstellen Sie eine neue EC2 Sicherheitsgruppe und weisen die Sicherheitsgruppe dann Ihrer Instance zu. EC2

    1. Wählen Sie im Navigationsbereich Sicherheitsgruppen aus.

    2. Wählen Sie Sicherheitsgruppen erstellen aus. Führen Sie im Fenster Sicherheitsgruppen erstellen Folgendes aus:

      • Sicherheitsgruppenname – Geben Sie einen Namen für die Sicherheitsgruppe ein. Zum Beispiel: my-ssh-access

      • Description – Geben Sie eine kurze Beschreibung für die Sicherheitsgruppe ein.

      • VPC – Wählen Sie Ihre Standard-VPC aus.

      • Wählen Sie im Abschnitt Sicherheitsgruppen-Regeln die Option Regel hinzufügen aus und führen Sie Folgendes aus:

        • Type – Wählen Sie „SSH“ aus.

        • Source – Wählen Sie „My IP“ aus.

      Wenn Sie die gewünschten Einstellungen vorgenommen haben, wählen Sie Erstellen.

    3. Wählen Sie im Navigationsbereich Instances aus.

    4. Wählen Sie die EC2 Amazon-Instance aus, in der Sie gestartet habenSchritt 1: Starten Sie eine EC2 Amazon-Instance.

    5. Wählen Sie Aktionen --> Netzwerk --> Sicherheitsgruppen ändern aus.

    6. Wählen Sie in Sicherheitsgruppen ändern die Sicherheitsgruppe aus, die Sie früher in diesem Verfahren erstellt haben (z. B. my-ssh-access). Die vorhandene default-Sicherheitsgruppe sollte ebenfalls ausgewählt werden. Wenn Sie die gewünschten Einstellungen vorgenommen haben, wählen Sie Zuweisen von Sicherheitsgruppen aus.

  2. Verwenden Sie den ssh Befehl, um sich wie im folgenden EC2 Beispiel bei Ihrer Amazon-Instance anzumelden.

    ssh -i my-keypair.pem ec2-user@public-dns-name

    Sie werden Ihre private Schlüsseldatei (.pem-Datei) und den öffentlichen DNS-Namen Ihrer Instance angeben müssen. (Siehe Schritt 1: Starten Sie eine EC2 Amazon-Instance).

    Die Anmelde-ID lautet ec2-user. Es ist kein Passwort erforderlich.

  3. Konfigurieren Sie Ihre AWS Anmeldeinformationen wie im folgenden Beispiel gezeigt. Geben Sie bei Aufforderung Ihre AWS -Zugriffsschlüssel-ID, den geheimen Schlüssel und den Namen der Standardregion ein.

    aws configure
    AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-east-1
Default output format [None]:

Sie können nun einen VPC-Endpunkt für DynamoDB erstellen.

Schritt 3: Erstellen eines VPC-Endpunkts für DynamoDB

In diesem Schritt erstellen Sie einen VPC-Endpunkt für DynamoDB und testen diesen, um sicherzustellen, dass er funktioniert.

  1. Überprüfen Sie, ob Sie unter Verwendung des folgenden öffentlichen Endpunkts mit DynamoDB kommunizieren können, bevor Sie beginnen.

    aws dynamodb list-tables

    Die Ausgabe zeigt eine Liste der DynamoDB-Tabellen, die Sie zurzeit besitzen. (Wenn Sie keine Tabellen besitzen, ist die Liste leer.)

  2. Stellen Sie sicher, dass DynamoDB ein verfügbarer Dienst für die Erstellung von VPC-Endpoints in der aktuellen Region ist. AWS (Der Befehl wird in Fettschrift angezeigt, gefolgt von einer Beispielausgabe.)

    aws ec2 describe-vpc-endpoint-services
    {
    "ServiceNames": [
        "com.amazonaws.us-east-1.s3",
        "com.amazonaws.us-east-1.dynamodb"
    ]
}

    In der Beispielausgabe ist DynamoDB als Service verfügbar. Sie können daher einen VPC-Endpunkt für diesen Service erstellen.

  3. Ermitteln Sie den VPC-Bezeichner.

    aws ec2 describe-vpcs
    {
    "Vpcs": [
        {
            "VpcId": "vpc-0bbc736e", 
            "InstanceTenancy": "default", 
            "State": "available", 
            "DhcpOptionsId": "dopt-8454b7e1", 
            "CidrBlock": "172.31.0.0/16", 
            "IsDefault": true
        }
    ]
}

    In der Beispielausgabe ist die VPC-ID vpc-0bbc736e.

  4. Erstellen des VPC-Endpunkts Geben Sie für den Parameter --vpc-id die VPC-ID aus dem vorherigen Schritt an. Verwenden Sie den --route-table-ids-Parameter, um den Endpunkt mit den Routentabellen zu verknüpfen.

    aws ec2 create-vpc-endpoint --vpc-id vpc-0bbc736e --service-name com.amazonaws.us-east-1.dynamodb --route-table-ids rtb-11aa22bb
    {
    "VpcEndpoint": {
        "PolicyDocument": "{\"Version\":\"2008-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":\"*\",\"Action\":\"*\",\"Resource\":\"*\"}]}", 
        "VpcId": "vpc-0bbc736e", 
        "State": "available", 
        "ServiceName": "com.amazonaws.us-east-1.dynamodb", 
        "RouteTableIds": [
            "rtb-11aa22bb"
        ],
        "VpcEndpointId": "vpce-9b15e2f2", 
        "CreationTimestamp": "2017-07-26T22:00:14Z"
    }
}

  5. Überprüfen Sie, ob Sie über den VPC-Endpunkt auf DynamoDB zugreifen können:

    aws dynamodb list-tables

    Wenn Sie möchten, können Sie einige andere AWS CLI Befehle für DynamoDB ausprobieren. Weitere Informationen finden Sie in der AWS CLI -Befehlsreferenz.

Schritt 4: (Optional): Bereinigen

Wenn Sie die Ressourcen löschen möchten, die Sie in diesem Tutorial erstellt haben, führen Sie die folgenden Schritte aus:

So entfernen Sie Ihren VPC-Endpunkt für DynamoDB

  1. Melden Sie sich bei Ihrer EC2 Amazon-Instance an.

  2. Ermitteln Sie die VPC-Endpunkt-ID.

    aws ec2 describe-vpc-endpoints
    {
    "VpcEndpoint": {
        "PolicyDocument": "{\"Version\":\"2008-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":\"*\",\"Action\":\"*\",\"Resource\":\"*\"}]}", 
        "VpcId": "vpc-0bbc736e", 
        "State": "available", 
        "ServiceName": "com.amazonaws.us-east-1.dynamodb", 
        "RouteTableIds": [], 
        "VpcEndpointId": "vpce-9b15e2f2", 
        "CreationTimestamp": "2017-07-26T22:00:14Z"
    }
}

    In der Beispielausgabe ist die ID des VPC-Endpunkts vpce-9b15e2f2.

  3. Löschen Sie den VPC-Endpunkt.

    aws ec2 delete-vpc-endpoints --vpc-endpoint-ids vpce-9b15e2f2
    {
    "Unsuccessful": []
}

    Das leere Array [] zeigt den Erfolg an (keine fehlgeschlagenen Anforderungen).

Um Ihre EC2 Amazon-Instance zu beenden

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich Instances aus.

  3. Wählen Sie Ihre EC2 Amazon-Instance aus.

  4. Wählen Sie Actions, Instance State und Terminate aus.

  5. Wählen Sie im Bestätigungsfenster Yes, Terminate aus.