AWS PrivateLink für DynamoDB - Amazon-DynamoDB
Arten von VPC Amazon-EndpunktenÜberlegungen bei der Verwendung AWS PrivateLink für Amazon DynamoDBEinen VPC Amazon-Endpunkt erstellenZugreifen auf Endpunkte der Amazon DynamoDB DynamoDB-SchnittstelleZugriff auf DynamoDB-Tabellen und Steuerung von API Vorgängen über DynamoDB-SchnittstellenendpunkteAktualisierung einer lokalen Konfiguration DNSErstellen einer VPC Amazon-Endpunktrichtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS PrivateLink für DynamoDB

Mit AWS PrivateLink for DynamoDB können Sie VPCAmazon-Schnittstellenendpunkte (Schnittstellenendpunkte) in Ihrer Virtual Private Cloud (Amazon) bereitstellen. VPC Auf diese Endpunkte kann direkt von Anwendungen aus zugegriffen werden, die sich vor Ort über VPN und AWS Direct Connect oder in einem anderen AWS-Region über Amazon VPC Peering befinden. Mithilfe von Endpunkten AWS PrivateLink und Schnittstellen können Sie die private Netzwerkkonnektivität zwischen Ihren Anwendungen und DynamoDB vereinfachen.

Anwendungen in Ihrem System benötigen VPC keine öffentlichen IP-Adressen, um mit VPC DynamoDB-Schnittstellenendpunkten für DynamoDB-Operationen zu kommunizieren. Schnittstellenendpunkte werden durch eine oder mehrere elastische Netzwerkschnittstellen (ENIs) repräsentiert, denen private IP-Adressen aus Subnetzen in Ihrem Amazon zugewiesen wurden. VPC Anfragen an DynamoDB über Schnittstellenendpunkte verbleiben im Amazon-Netzwerk. Sie können auch VPC von lokalen Anwendungen aus über AWS Direct Connect oder AWS Virtual Private Network ()AWS VPN auf Schnittstellenendpunkte in Ihrem Amazon zugreifen. Weitere Informationen darüber, wie Sie Ihr Amazon VPC mit Ihrem lokalen Netzwerk verbinden, finden Sie im AWS Direct Connect Benutzerhandbuch und im AWS Site-to-Site VPN Benutzerhandbuch.

Allgemeine Informationen zu Schnittstellenendpunkten finden Sie unter Interface Amazon VPC Endpoints (AWS PrivateLink) im AWS PrivateLink Handbuch.

Arten von VPC Amazon-Endpunkten für Amazon DynamoDB

Sie können zwei Arten von VPC Amazon-Endpunkten für den Zugriff auf Amazon DynamoDB verwenden: Gateway-Endpunkte und Schnittstellenendpunkte (durch Verwenden). AWS PrivateLink Ein Gateway-Endpunkt ist ein Gateway, das Sie in Ihrer Routing-Tabelle angeben, um von Ihrem Amazon aus VPC über das AWS Netzwerk auf DynamoDB zuzugreifen. Schnittstellenendpunkte erweitern die Funktionalität von Gateway-Endpunkten, indem sie private IP-Adressen verwenden, um Anfragen von Ihrem AmazonVPC, vor Ort oder von einem Amazon VPC in einem anderen mithilfe AWS-Region von Amazon Peering oder an DynamoDB weiterzuleiten. VPC AWS Transit Gateway Weitere Informationen finden Sie unter Was ist Amazon VPC Peering? und Transit Gateway im Vergleich zu Amazon VPC Peering.

Schnittstellenendpunkte sind mit Gateway-Endpunkten kompatibel. Wenn Sie bereits einen Gateway-Endpunkt in Amazon habenVPC, können Sie beide Arten von Endpunkten im selben Amazon VPC verwenden.

Gateway-Endpunkte für DynamoDB

Schnittstellenendpunkte für DynamoDB

In beiden Fällen verbleibt Ihr Netzwerkverkehr im Netzwerk. AWS

Öffentliche IP-Adressen von Amazon DynamoDB verwenden

Verwenden Sie private IP-Adressen von Ihrem Amazon für VPC den Zugriff auf Amazon DynamoDB

Erlauben keinen On-Premises-Zugriff

Erlaubt On-Premises-Zugriff

Erlauben Sie keinen Zugriff von einem anderen AWS-Region

Erlauben Sie den Zugriff von einem VPC Amazon-Endpunkt auf einen anderen mithilfe AWS-Region von Amazon VPC Peering oder AWS Transit Gateway

Nicht berechnet

Berechnet

Weitere Informationen zu Gateway-Endpunkten finden Sie im Leitfaden unter VPCGateway-Amazon-Endpunkte.AWS PrivateLink

VPCÜberlegungen zu Amazon gelten auch AWS PrivateLink für Amazon DynamoDB. Weitere Informationen finden Sie unter Überlegungen zu Schnittstellenendpunkten und AWS PrivateLink -Kontingente im Handbuch zu AWS PrivateLink . Darüber hinaus gelten die folgenden Einschränkungen.

AWS PrivateLink für Amazon DynamoDB unterstützt Folgendes nicht:

  • Transport Layer Security () 1.1 TLS

  • Private und hybride Domain Name System (DNS) -Dienste

AWS PrivateLink wird derzeit nicht für Amazon DynamoDB Streams Endgeräte unterstützt.

Sie können für jeden von Ihnen aktivierten AWS PrivateLink Endpunkt bis zu 50.000 Anfragen pro Sekunde einreichen.

Anmerkung

Timeouts der Netzwerkkonnektivität zu AWS PrivateLink Endpunkten fallen nicht in den Geltungsbereich der DynamoDB-Fehlerantworten und müssen von Ihren Anwendungen, die eine Verbindung zu den Endpunkten herstellen, angemessen behandelt werden. PrivateLink

Einen VPC Amazon-Endpunkt erstellen

Informationen zum Erstellen eines VPC Amazon-Schnittstellenendpunkts finden Sie unter Erstellen eines VPC Amazon-Endpunkts im AWS PrivateLink Handbuch.

Zugreifen auf Endpunkte der Amazon DynamoDB DynamoDB-Schnittstelle

Wenn Sie einen Schnittstellenendpunkt erstellen, generiert DynamoDB zwei Typen von endpunktspezifischen DNS DynamoDB-Namen: Regional und Zonal.

  • Ein regionaler DNS Name beinhaltet eine eindeutige VPC Amazon-Endpunkt-ID, eine Service-ID AWS-Region, das und vpce.amazonaws.com in seinem Namen. Für die VPC Amazon-Endpunkt-ID vpce-1a2b3c4d könnte der generierte DNS Name beispielsweise ähnlich sein wievpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com.

  • Ein zonaler DNS Name beinhaltet die Availability Zone — zum Beispiel. vpce-1a2b3c4d-5e6f-us-east-1a.dynamodb.us-east-1.vpce.amazonaws.com Sie können diese Option verwenden, wenn Ihre Architektur Availability Zones isoliert. Sie könnten sie beispielsweise zur Fehlereingrenzung oder zur Senkung der regionalen Datenübertragungskosten verwenden.

Endpunktspezifische DNS DynamoDB-Namen können über die öffentliche Domäne von DynamoDB aufgelöst werden. DNS

Zugriff auf DynamoDB-Tabellen und Steuerung von API Vorgängen über DynamoDB-Schnittstellenendpunkte

Sie können das AWS CLI oder verwenden AWS SDKs, um auf DynamoDB-Tabellen zuzugreifen und API Operationen über DynamoDB-Schnittstellenendpunkte zu steuern.

Verwenden Sie die Parameter und, um über DynamoDB-Schnittstellenendpunkte in AWS CLI Befehlen auf DynamoDB-Tabellen oder API DynamoDB-Steueroperationen zuzugreifen. --region --endpoint-url

Beispiel: VPC Erstellen Sie einen Endpunkt

aws ec2 create-vpc-endpoint \
--region us-east-1 \
--service-name dynamodb-service-name \
--vpc-id client-vpc-id \
--subnet-ids client-subnet-id \
--vpc-endpoint-type Interface \
--security-group-ids client-sg-id

Beispiel: Ändern Sie einen VPC Endpunkt

aws ec2 modify-vpc-endpoint \
--region us-east-1 \
--vpc-endpoint-id client-vpc-endpoint-id \
--policy-document policy-document \ #example optional parameter
--add-security-group-ids security-group-ids \ #example optional parameter 
# any additional parameters needed, see Privatelink documentation for more details

Beispiel: Listet Tabellen auf, die einen Endpunkt verwenden URL

Ersetzen Sie im folgenden Beispiel die Region us-east-1 und den DNS Namen der VPC Endpunkt-ID vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com durch Ihre eigenen Informationen.

aws dynamodb --region us-east-1 —endpoint https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com list-tables

Um auf DynamoDB-Tabellen oder API DynamoDB-Steueroperationen über DynamoDB-Schnittstellenendpunkte zuzugreifen, wenn Sie die verwenden AWS SDKs, aktualisieren Sie Ihre Version auf die neueste Version. SDKs Konfigurieren Sie dann Ihre Clients so, dass sie einen Endpunkt URL für den Zugriff auf eine Tabelle oder einen API DynamoDB-Steuervorgang über DynamoDB-Schnittstellenendpunkte verwenden.

SDK for Python (Boto3)
Beispiel: Verwenden Sie einen EndpunktURL, um auf eine DynamoDB-Tabelle zuzugreifen

Ersetzen Sie im folgenden Beispiel die Region us-east-1 und die VPC Endpunkt-ID https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com durch Ihre eigenen Informationen.

ddb_client = session.client(
service_name='dynamodb',
region_name='us-east-1',
endpoint_url='https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com'
)
SDK for Java 1.x
Beispiel: Verwenden Sie einen EndpunktURL, um auf eine DynamoDB-Tabelle zuzugreifen

Ersetzen Sie im folgenden Beispiel die Region us-east-1 und die VPC Endpunkt-ID https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com durch Ihre eigenen Informationen.

//client build with endpoint config  
final AmazonDynamoDB dynamodb = AmazonDynamoDBClientBuilder.standard().withEndpointConfiguration(
        new AwsClientBuilder.EndpointConfiguration(
                "https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com",
                Regions.DEFAULT_REGION.getName()
        )
).build();
SDK for Java 2.x
Beispiel: Verwenden Sie einen EndpunktURL, um auf die DynamoDB-Tabelle zuzugreifen

Ersetzen Sie im folgenden Beispiel die Region us-east-1 und die VPC Endpunkt-ID https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com durch Ihre eigenen Informationen.

Region region = Region.US_EAST_1;
dynamoDbClient = DynamoDbClient.builder().region(region)
.endpointOverride(URI.create("https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com"))
.build()

Aktualisierung einer lokalen Konfiguration DNS

Wenn Sie endpunktspezifische DNS Namen für den Zugriff auf die Schnittstellenendpunkte für DynamoDB verwenden, müssen Sie Ihren lokalen Resolver nicht aktualisieren. DNS Sie können den endpunktspezifischen DNS Namen mit der privaten IP-Adresse des Schnittstellenendpunkts aus der öffentlichen DNS DynamoDB-Domäne auflösen.

Verwenden von Schnittstellenendpunkten für den Zugriff auf DynamoDB ohne Gateway-Endpunkt oder Internet-Gateway im Amazon VPC

Schnittstellenendpunkte in Ihrem Amazon VPC können sowohl interne als auch lokale VPC Anwendungen über das Amazon-Netzwerk an DynamoDB weiterleiten, wie in der folgenden Abbildung dargestellt.

Datenflussdiagramm, das den Zugriff von lokalen und VPC Amazon-Apps auf DynamoDB zeigt; mithilfe eines Schnittstellenendpunkts und. AWS PrivateLink

Das Diagramm veranschaulicht folgende Vorgänge:

  • Ihr lokales Netzwerk verwendet AWS Direct Connect oder, AWS VPN um eine Verbindung zu Amazon VPC A herzustellen.

  • Ihre Anwendungen vor Ort und in Amazon VPC A verwenden endpunktspezifische DNS Namen, um über den DynamoDB-Schnittstellenendpunkt auf DynamoDB zuzugreifen.

  • Lokale Anwendungen senden Daten VPC über AWS Direct Connect (oder AWS VPN) an den Schnittstellenendpunkt in Amazon. AWS PrivateLink verschiebt die Daten vom Schnittstellenendpunkt über das Netzwerk zu DynamoDB. AWS

  • VPCIn-Amazon-Anwendungen senden auch Datenverkehr an den Schnittstellenendpunkt. AWS PrivateLink verschiebt die Daten vom Schnittstellenendpunkt über das Netzwerk zu DynamoDB. AWS

Gemeinsame Verwendung von Gateway-Endpunkten und Schnittstellen-Endpunkten in demselben Amazon für den Zugriff VPC auf DynamoDB

Sie können Schnittstellenendpunkte erstellen und den vorhandenen Gateway-Endpunkt im selben Amazon beibehaltenVPC, wie das folgende Diagramm zeigt. Mit diesem Ansatz ermöglichen Sie VPC In-Amazon-Anwendungen, weiterhin über den Gateway-Endpunkt auf DynamoDB zuzugreifen, was nicht in Rechnung gestellt wird. Dann würden nur Ihre lokalen Anwendungen Schnittstellenendpunkte für den Zugriff auf DynamoDB verwenden. Um auf diese Weise auf DynamoDB zugreifen zu können, müssen Sie Ihre lokalen Anwendungen so aktualisieren, dass sie DNS endpunktspezifische Namen für DynamoDB verwenden.

Datenflussdiagramm, das den Zugriff auf DynamoDB durch die gemeinsame Verwendung von Gateway-Endpunkten und Schnittstellenendpunkten zeigt.

Das Diagramm veranschaulicht folgende Vorgänge:

  • Lokale Anwendungen verwenden endpunktspezifische DNS Namen, um Daten VPC über AWS Direct Connect (oder) an den Schnittstellenendpunkt innerhalb von Amazon zu senden. AWS VPN AWS PrivateLink verschiebt die Daten vom Schnittstellenendpunkt über das Netzwerk zu DynamoDB. AWS

  • Unter Verwendung der standardmäßigen regionalen DynamoDB-Namen senden VPC In-Amazon-Anwendungen Daten an den Gateway-Endpunkt, der über das Netzwerk eine Verbindung zu DynamoDB herstellt. AWS

Weitere Informationen zu Gateway-Endpunkten finden Sie unter Gateway Amazon VPC Endpoints im VPCAmazon-Benutzerhandbuch.

Erstellen einer VPC Amazon-Endpunktrichtlinie für DynamoDB

Sie können Ihrem VPC Amazon-Endpunkt eine Endpunktrichtlinie hinzufügen, die den Zugriff auf DynamoDB steuert. Die Richtlinie gibt die folgenden Informationen an:

  • Der AWS Identity and Access Management (IAM) Principal, der Aktionen ausführen kann

  • Aktionen, die ausgeführt werden können

  • Ressourcen, für die Aktionen ausgeführt werden können

Sie können eine Endpunktrichtlinie erstellen, die den Zugriff nur auf bestimmte DynamoDB-Tabellen beschränkt. Diese Art von Richtlinie ist nützlich, wenn Sie andere AWS-Services in Ihrem Amazon habenVPC, die Tabellen verwenden. Die folgende Tabellenrichtlinie beschränkt den Zugriff nur auf dieDOC-EXAMPLE-TABLE. Um diese Endpunktrichtlinie zu verwenden, DOC-EXAMPLE-TABLE ersetzen Sie sie durch den Namen Ihrer Tabelle.

{
"Version": "2012-10-17",
  "Id": "Policy1216114807515",
  "Statement": [
    { "Sid": "Access-to-specific-table-only",
      "Principal": "*",
      "Action": [
        "dynamodb:GetItem",
        "dynamodb:PutItem"
      ],
      "Effect": "Allow",
      "Resource": ["arn:aws:dynamodb:::DOC-EXAMPLE-TABLE",
                   "arn:aws:dynamodb:::DOC-EXAMPLE-TABLE/*"]
    }
  ]
}