Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AWS PrivateLink für DynamoDB
Mit AWS PrivateLink for DynamoDB können Sie *Amazon VPC-Schnittstellenendpunkte (Schnittstellenendpunkte) in Ihrer Virtual Private Cloud (Amazon VPC*) bereitstellen. Auf diese Endpunkte kann direkt von Anwendungen aus zugegriffen werden, die sich vor Ort befinden Direct Connect, über VPN und/oder auf andere Weise AWS-Region über [Amazon VPC-Peering](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html). Mit AWS PrivateLink und Schnittstellenendpunkten können Sie die private Netzwerkkonnektivität zwischen Ihren Anwendungen und DynamoDB vereinfachen.
Anwendungen in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um mit DynamoDB über VPC-Schnittstellenendpunkte für DynamoDB-Operationen zu kommunizieren. Schnittstellenendpunkte werden durch eine oder mehrere elastische Netzwerkschnittstellen (ENIs) repräsentiert, denen private IP-Adressen aus Subnetzen in Ihrer Amazon VPC zugewiesen wurden. Anforderungen an DynamoDB über Schnittstellenendpunkte bleiben im Amazon-Netzwerk. Sie können auch von lokalen Anwendungen aus über AWS Direct Connect oder AWS Virtual Private Network () auf Schnittstellenendpunkte in Ihrer Amazon VPC zugreifen.Site-to-Site VPN Weitere Informationen darüber, wie Sie Ihre Amazon VPC mit Ihrem On-Premises-Netzwerk verbinden, finden Sie im [Direct Connect -Benutzerhandbuch](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) und im [AWS Site-to-Site VPN -Benutzerhandbuch](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html).
*Allgemeine Informationen zu Schnittstellenendpunkten finden Sie unter [Interface Amazon VPC endpoints (AWS PrivateLink) im Handbuch](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html).AWS PrivateLink * AWS PrivateLink wird auch für Amazon DynamoDB Streams-Endpunkte unterstützt. Weitere Informationen finden Sie unter [AWS PrivateLink für DynamoDB Streams](privatelink-streams.md).
**Topics**
+ [Arten von Amazon-VPC-Endpunkten für Amazon DynamoDB](#types-of-vpc-endpoints-for-ddb)
+ [Überlegungen bei der Verwendung AWS PrivateLink für Amazon DynamoDB](#privatelink-considerations)
+ [Erstellen eines Amazon VPC-Endpunkts](#ddb-creating-vpc)
+ [Zugreifen auf Schnittstellenendpunkte in Amazon DynamoDB](#accessing-ddb-interface-endpoints)
+ [Zugreifen auf DynamoDB-Tabellen und -Control-API-Operationen über DynamoDB-Schnittstellenendpunkte](#accessing-tables-apis-from-interface-endpoints)
+ [Aktualisieren einer lokalen DNS-Konfiguration](#updating-on-premises-dns-config)
+ [Erstellen einer Amazon-VPC-Endpunktrichtlinie für DynamoDB](#creating-vpc-endpoint-policy)
+ [Verwenden von DynamoDB-Endpunkten mit privatem Zugriff AWS-Managementkonsole](#ddb-endpoints-private-access)
+ [AWS PrivateLink für DynamoDB Streams](privatelink-streams.md)
+ [AWS PrivateLink Für DynamoDB Accelerator (DAX) verwenden](dax-private-link.md)
## Arten von Amazon-VPC-Endpunkten für Amazon DynamoDB
Sie können zwei Arten von Amazon VPC-Endpunkten für den Zugriff auf Amazon DynamoDB verwenden: *Gateway-Endpunkte und *Schnittstellenendpunkte** (durch Verwenden). AWS PrivateLink Ein *Gateway-Endpunkt* ist ein Gateway, das Sie in Ihrer Routing-Tabelle angeben, um von Ihrer Amazon VPC aus über das Netzwerk auf DynamoDB zuzugreifen. AWS *Schnittstellenendpunkte* erweitern die Funktionalität von Gateway-Endpunkten, indem sie private IP-Adressen verwenden, um Anfragen von Ihrer Amazon VPC, vor Ort oder von einer Amazon VPC in einer anderen AWS-Region mithilfe von Amazon VPC Peering an DynamoDB weiterzuleiten oder. AWS Transit Gateway Weitere Informationen finden Sie unter [Was ist Amazon-VPC Peering?](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) und [Vergleich zwischen Transit-Gateway und Amazon-VPC-Peering](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/transit-gateway-vs-vpc-peering.html).
Schnittstellenendpunkte sind mit Gateway-Endpunkten kompatibel. Wenn Sie einen vorhandenen Gateway-Endpunkt in der Amazon VPC haben, können Sie beide Arten von Endpunkten in derselben Amazon VPC verwenden.
| Gateway-Endpunkte für DynamoDB | Schnittstellenendpunkte für DynamoDB |
| --- | --- |
| In beiden Fällen verbleibt Ihr Netzwerkverkehr im Netzwerk. AWS |
| Verwenden von öffentlichen IP-Adressen in Amazon DynamoDB | Verwenden von privaten IP-Adressen aus Ihrer Amazon VPC für den Zugriff auf Amazon DynamoDB |
| Erlauben keinen On-Premises-Zugriff | Erlaubt On-Premises-Zugriff |
| Erlauben Sie keinen Zugriff von einem anderen AWS-Region | Erlauben Sie den Zugriff von einem Amazon VPC-Endpunkt auf einem anderen mithilfe AWS-Region von Amazon VPC-Peering oder AWS Transit Gateway |
| Nicht berechnet | Berechnet |
Weitere Informationen zu Gateway-Endpunkten finden Sie unter [Gateway-Endpunkte in der Amazon VPC](https://docs.aws.amazon.com//vpc/latest/privatelink/vpce-gateway.html) im *AWS PrivateLink -Handbuch*.
## Überlegungen bei der Verwendung AWS PrivateLink für Amazon DynamoDB
Überlegungen zu Amazon VPC gelten AWS PrivateLink für Amazon DynamoDB. Weitere Informationen finden Sie unter [Überlegungen zu Schnittstellenendpunkten](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) und [AWS PrivateLink -Kontingente](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-limits-endpoints.html) im *Handbuch zu AWS PrivateLink *. Darüber hinaus gelten die folgenden Einschränkungen.
AWS PrivateLink für Amazon DynamoDB unterstützt Folgendes nicht:
+ Transport Layer Security (TLS) 1.1
+ Private und Hybrid Domain Name System (DNS)-Services
**Wichtig**
Erstellen Sie keine privaten gehosteten Zonen, um DynamoDB-Endpunkt-DNS-Namen (wie `dynamodb.region.amazonaws.com` oder`*.region.amazonaws.com`) zu überschreiben, um den Datenverkehr an Ihre Schnittstellenendpunkte weiterzuleiten. DynamoDB-DNS-Konfigurationen können sich im Laufe der Zeit ändern.
Benutzerdefinierte DNS-Overrides sind mit diesen Änderungen nicht kompatibel und können dazu führen, dass Anfragen unerwartet über öffentliche IP-Adressen statt über Ihre Schnittstellenendpunkte weitergeleitet werden.
Um über auf DynamoDB zuzugreifen AWS PrivateLink, konfigurieren Sie Ihre Clients so, dass sie die Amazon VPC-Endpunkt-URL direkt verwenden (z. B.). `https://vpce-1a2b3c4d-5e6f.dynamodb.region.vpce.amazonaws.com`
Sie können für jeden von Ihnen aktivierten AWS PrivateLink Endpunkt bis zu 50.000 Anfragen pro Sekunde einreichen.
**Anmerkung**
Timeouts der Netzwerkkonnektivität zu AWS PrivateLink Endpunkten fallen nicht in den Geltungsbereich der DynamoDB-Fehlerantworten und müssen von Ihren Anwendungen, die eine Verbindung zu den Endpunkten herstellen, angemessen behandelt werden. PrivateLink
## Erstellen eines Amazon VPC-Endpunkts
Informationen zum Erstellen eines Amazon-VPC-Schnittstellenendpunkts finden Sie unter [Erstellen eines Amazon-VPC-Endpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) im *AWS PrivateLink -Handbuch*.
## Zugreifen auf Schnittstellenendpunkte in Amazon DynamoDB
Wenn Sie einen Schnittstellenendpunkt erstellen, generiert Amazon DynamoDB zwei Arten von endpunktspezifischen DynamoDB-DNS-Namen: *regional* und *zonengebunden*.
+ Ein *regionaler* DNS-Name enthält eine eindeutige Amazon VPC-Endpunkt-ID, eine Service-ID AWS-Region, das und `vpce.amazonaws.com` in seinem Namen. Beispielsweise könnte der generierte DNS-Name für die Amazon-VPC-Endpunkt-ID `vpce-1a2b3c4d` mit `vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com` vergleichbar sein.
+ Ein *zonengebundener* DNS-Name enthält die Availability Zone, z. B. `vpce-1a2b3c4d-5e6f-us-east-1a.dynamodb.us-east-1.vpce.amazonaws.com`. Sie können diese Option verwenden, wenn Ihre Architektur Availability Zones isoliert. Sie könnten sie beispielsweise zur Fehlereingrenzung oder zur Senkung der regionalen Datenübertragungskosten verwenden.
**Anmerkung**
Um eine optimale Zuverlässigkeit zu erreichen, empfehlen wir, Ihren Service in mindestens drei Availability Zones bereitzustellen.
## Zugreifen auf DynamoDB-Tabellen und -Control-API-Operationen über DynamoDB-Schnittstellenendpunkte
Sie können das AWS CLI oder verwenden AWS SDKs , um auf DynamoDB-Tabellen zuzugreifen und API-Operationen über DynamoDB-Schnittstellenendpunkte zu steuern.
### AWS CLI Beispiele
Verwenden Sie die Parameter und, um über DynamoDB-Schnittstellenendpunkte in Befehlen auf DynamoDB-Tabellen oder DynamoDB-Steuerungs-API-Operationen zuzugreifen. AWS CLI `--region` `--endpoint-url`
**Beispiel: Erstellen eines VPC-Endpunkts**
```
aws ec2 create-vpc-endpoint \
--region us-east-1 \
--service-name com.amazonaws.us-east-1.dynamodb \
--vpc-id client-vpc-id \
--subnet-ids client-subnet-id \
--vpc-endpoint-type Interface \
--security-group-ids client-sg-id
```
**Beispiel: Ändern eines VPC-Endpunkts**
```
aws ec2 modify-vpc-endpoint \
--region us-east-1 \
--vpc-endpoint-id client-vpc-endpoint-id \
--policy-document policy-document \ #example optional parameter
--add-security-group-ids security-group-ids \ #example optional parameter
# any additional parameters needed, see Privatelink documentation for more details
```
**Beispiel: Auflisten von Tabellen mit einer Endpunkt-URL**
Ersetzen Sie im folgenden Beispiel die Region `us-east-1` und den DNS-Namen der VPC-Endpunkt-ID `vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com` durch Ihre eigenen Angaben.
```
aws dynamodb --region us-east-1 --endpoint https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com list-tables
```
### AWS SDK-Beispiele
Um auf DynamoDB-Tabellen oder DynamoDB-Steuerungs-API-Operationen über DynamoDB-Schnittstellenendpunkte zuzugreifen, wenn Sie die verwenden AWS SDKs, aktualisieren Sie Ihre Version auf die neueste Version. SDKs Konfigurieren Sie Ihre Clients anschließend so, dass sie eine Endpunkt-URL verwenden, um über DynamoDB-Schnittstellenendpunkte auf eine Tabelle oder Control-API-Operation in DynamoDB zuzugreifen.
------
#### [ SDK for Python (Boto3) ]
**Beispiel: Verwenden einer Endpunkt-URL für den Zugriff auf eine DynamoDB-Tabelle**
Ersetzen Sie im folgenden Beispiel die Region `us-east-1` und die VPC-Endpunkt-ID `https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com` durch Ihre eigenen Informationen.
```
ddb_client = session.client(
service_name='dynamodb',
region_name='us-east-1',
endpoint_url='https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com'
)
```
------
#### [ SDK for Java 1.x ]
**Beispiel: Verwenden einer Endpunkt-URL für den Zugriff auf eine DynamoDB-Tabelle**
Ersetzen Sie im folgenden Beispiel die Region `us-east-1` und die VPC-Endpunkt-ID `https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com` durch Ihre eigenen Informationen.
```
//client build with endpoint config
final AmazonDynamoDB dynamodb = AmazonDynamoDBClientBuilder.standard().withEndpointConfiguration(
new AwsClientBuilder.EndpointConfiguration(
"https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com",
Regions.DEFAULT_REGION.getName()
)
).build();
```
------
#### [ SDK for Java 2.x ]
**Beispiel: Verwenden einer Endpunkt-URL für den Zugriff auf eine DynamoDB-Tabelle**
Ersetzen Sie im folgenden Beispiel die Region us-east-1 und die VPC-Endpunkt-ID https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com durch Ihre eigenen Informationen.
```
Region region = Region.US_EAST_1;
dynamoDbClient = DynamoDbClient.builder().region(region)
.endpointOverride(URI.create("https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com"))
.build()
```
------
## Aktualisieren einer lokalen DNS-Konfiguration
Wenn Sie endpunktspezifische DNS-Namen für den Zugriff auf die Schnittstellenendpunkte für DynamoDB verwenden, müssen Sie Ihren lokalen DNS-Resolver nicht aktualisieren. Sie können den endpunktspezifischen DNS-Namen mit der privaten IP-Adresse des Schnittstellenendpunkts aus der öffentlichen DynamoDB-DNS-Domain auflösen.
### Verwenden von Schnittstellenendpunkten für den Zugriff auf DynamoDB ohne Gateway-Endpunkt oder Internet-Gateway in der Amazon VPC
Schnittstellenendpunkte in Ihrer Amazon VPC können sowohl Anwendungen in der Amazon VPC als auch On-Premises-Anwendungen über das Amazon-Netzwerk an DynamoDB weiterleiten, wie im folgenden Diagramm dargestellt.
![\[Das Datenflussdiagramm zeigt den Zugriff von On-Premises- und in der Amazon VPC bereitgestellten Apps auf DynamoDB über einen Schnittstellenendpunkt und AWS PrivateLink.\]](http://docs.aws.amazon.com/de_de/amazondynamodb/latest/developerguide/images/PrivateLink-interfaceEndpoints.png)
Das Diagramm veranschaulicht folgende Vorgänge:
+ Ihr lokales Netzwerk verwendet Direct Connect oder, um eine Verbindung Site-to-Site VPN zu Amazon VPC A herzustellen.
+ Ihre On-Premises-Anwendungen und die Anwendungen in Amazon VPC A verwenden endpunktspezifische DNS-Namen, um über den DynamoDB-Schnittstellenendpunkt auf DynamoDB zuzugreifen.
+ Lokale Anwendungen senden Daten über Direct Connect (oder Site-to-Site VPN) an den Schnittstellenendpunkt in der Amazon VPC. AWS PrivateLink verschiebt die Daten vom Schnittstellenendpunkt über das Netzwerk zu DynamoDB. AWS
+ VPC-Anwendungen innerhalb von Amazon senden auch Traffic an den Schnittstellenendpunkt. AWS PrivateLink verschiebt die Daten vom Schnittstellenendpunkt über das Netzwerk zu DynamoDB. AWS
### Gemeinsames Verwenden von Gateway-Endpunkten und Schnittstellenendpunkten in derselben Amazon VPC für den Zugriff auf DynamoDB
Sie können Schnittstellenendpunkte erstellen und den vorhandenen Gateway-Endpunkt in derselben Amazon VPC beibehalten, wie das folgende Diagramm zeigt. Mit diesem Ansatz erlauben Sie Anwendungen in der Amazon VPC, weiterhin über den Gateway-Endpunkt auf DynamoDB zuzugreifen, was nicht in Rechnung gestellt wird. Dann würden nur Ihre On-Premises-Anwendungen Schnittstellenendpunkte für den Zugriff auf DynamoDB verwenden. Um auf diese Weise auf DynamoDB zuzugreifen, müssen Sie Ihre On-Premises-Anwendungen aktualisieren, damit endpunktspezifische DNS-Namen für DynamoDB verwendet werden.
![\[Das Datenflussdiagramm zeigt den Zugriff auf DynamoDB über Gateway-Endpunkte und Schnittstellenendpunkte.\]](http://docs.aws.amazon.com/de_de/amazondynamodb/latest/developerguide/images/PL-Image2-InterfaceAndGatewayEP.png)
Das Diagramm veranschaulicht folgende Vorgänge:
+ Lokale Anwendungen verwenden endpunktspezifische DNS-Namen, um Daten über Direct Connect (oder) an den Schnittstellenendpunkt innerhalb der Amazon VPC zu senden. Site-to-Site VPN AWS PrivateLink verschiebt die Daten vom Schnittstellenendpunkt über das Netzwerk zu DynamoDB. AWS
+ Mithilfe von standardmäßigen regionalen DynamoDB-Namen senden VPC-Anwendungen in Amazon Daten an den Gateway-Endpunkt, der über das Netzwerk eine Verbindung zu DynamoDB herstellt. AWS
Weitere Informationen zu Gateway-Endpunkten finden Sie unter [Gateway-Endpunkte in der Amazon VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-gateway.html) im *Amazon-VPC-Benutzerhandbuch*.
## Erstellen einer Amazon-VPC-Endpunktrichtlinie für DynamoDB
Sie können eine Endpunktrichtlinie an Ihren Amazon-VPC-Endpunkt anhängen, der den Zugriff auf DynamoDB kontrolliert. Die Richtlinie gibt die folgenden Informationen an:
+ Der AWS Identity and Access Management (IAM-) Principal, der Aktionen ausführen kann
+ Aktionen, die ausgeführt werden können
+ Ressourcen, für die Aktionen ausgeführt werden können
**Topics**
+ [Beispiel: Beschränken des Zugriffs auf eine bestimmte Tabelle von einem Amazon-VPC-Endpunkt aus](#privatelink-example-restrict-access-to-bucket)
### Beispiel: Beschränken des Zugriffs auf eine bestimmte Tabelle von einem Amazon-VPC-Endpunkt aus
Sie können eine Endpunktrichtlinie erstellen, die den Zugriff auf spezifische DynamoDB-Tabellen einschränkt. Diese Art von Richtlinie ist nützlich, wenn Sie andere AWS-Services in Ihrer Amazon VPC haben, die Tabellen verwenden. Die folgende Tabellenrichtlinie schränkt den Zugriff ausschließlich auf `DOC-EXAMPLE-TABLE` ein. Um diese Endpunktrichtlinie zu verwenden, ersetzen Sie `DOC-EXAMPLE-TABLE` durch den Namen Ihrer Tabelle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Policy1216114807515",
"Statement": [
{ "Sid": "Access-to-specific-table-only",
"Principal": "*",
"Action": [
"dynamodb:GetItem",
"dynamodb:PutItem"
],
"Effect": "Allow",
"Resource": ["arn:aws:dynamodb:us-east-1:111122223333:table/DOC-EXAMPLE-TABLE",
"arn:aws:dynamodb:us-east-1:111122223333:table/DOC-EXAMPLE-TABLE/*"]
}
]
}
```
------
## Verwenden von DynamoDB-Endpunkten mit privatem Zugriff AWS-Managementkonsole
Sie müssen die DNS-Konfiguration für DynamoDB und DynamoDB Streams einrichten, wenn Sie VPC-Endpunkte mit der [DynamoDB-Konsole](https://console.aws.amazon.com/dynamodb) in [AWS-Managementkonsole Private Access](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/console-private-access.html) verwenden.
Um DynamoDB für den Zugriff in AWS-Managementkonsole Private Access zu konfigurieren, müssen Sie die folgenden zwei VPC-Endpoints erstellen:
+ `com.amazonaws..dynamodb`
+ `com.amazonaws..dynamodb-streams`
Wenn Sie die VPC-Endpunkte erstellen, navigieren Sie zur Route53-Konsole und erstellen Sie mithilfe des regionalen Endpunkts `dynamodb.us-east-1.amazonaws.com` eine privat gehostete Zone für DynamoDB.
Erstellen Sie die folgenden zwei Aliasdatensätze in der privat gehosteten Zone:
+ `dynamodb..amazonaws.com` für die Weiterleitung des Datenverkehrs an den VPC-Endpunkt `com.amazonaws..dynamodb`.
+ `streams.dynamodb..amazonaws.com` für die Weiterleitung des Datenverkehrs an den VPC-Endpunkt `com.amazonaws..dynamodb-streams`.
# AWS PrivateLink für DynamoDB Streams
Mit AWS PrivateLink for Amazon DynamoDB Streams können Sie Amazon VPC-Schnittstellenendpunkte (Schnittstellenendpunkte) in Ihrer virtuellen privaten Cloud (Amazon VPC) bereitstellen. Auf diese Endpunkte kann direkt von Anwendungen aus zugegriffen werden, die sich vor Ort befinden Direct Connect, über VPN und/oder auf andere Weise AWS-Region über Amazon VPC-Peering. Mithilfe von Endpunkten AWS PrivateLink und Schnittstellen können Sie die private Netzwerkkonnektivität von Ihren Anwendungen zu DynamoDB Streams vereinfachen.
Anwendungen in Ihrer in einer Amazon VPC benötigen keine öffentlichen IP-Adressen, um mit DynamoDB Streams über Amazon-VPC-Schnittstellenendpunkte für Operationen in DynamoDB Streams zu kommunizieren. Schnittstellenendpunkte werden durch eine oder mehrere elastische Netzwerkschnittstellen (ENIs) repräsentiert, denen private IP-Adressen aus Subnetzen in Ihrer Amazon VPC zugewiesen wurden. Anforderungen an DynamoDB Streams über Schnittstellenendpunkte bleiben im Amazon-Netzwerk. Sie können auch von lokalen Anwendungen aus über Direct Connect oder AWS Virtual Private Network (AWS VPN) auf Schnittstellenendpunkte in Ihrer Amazon VPC zugreifen. [https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
Allgemeine Informationen zu Schnittstellenendpunkten finden Sie unter [Amazon-VPC-Schnittstellenendpunkte](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) (AWS PrivateLink).
**Anmerkung**
Für DynamoDB Streams werden nur Schnittstellenendpunkte unterstützt. Gateway-Endpunkte werden nicht unterstützt.
**Topics**
+ [Überlegungen bei der Verwendung AWS PrivateLink für Amazon DynamoDB DynamoDB-Streams](#privatelink-streams-considerations)
+ [Erstellen eines Amazon VPC-Endpunkts](#privatelink-streams-vpc-endpoint)
+ [Zugreifen auf Schnittstellenendpunkte in Amazon DynamoDB Streams](#privatelink-streams-accessing-ddb-interface-endpoints)
+ [Zugreifen auf API-Operationen in DynamoDB Streams über DynamoDB-Streams-Schnittstellenendpunkte](#privatelink-streams-accessing-api-operations-from-interface-endpoints)
+ [AWS SDK-Beispiele](#privatelink-streams-aws-sdk-examples)
+ [Erstellen einer Amazon-VPC-Endpunktrichtlinie für DynamoDB Streams](#privatelink-streams-creating-vpc-endpoint-policy)
+ [Verwenden von DynamoDB-Endpunkten mit privatem Zugriff AWS-Managementkonsole](#ddb-streams-endpoints-private-access)
## Überlegungen bei der Verwendung AWS PrivateLink für Amazon DynamoDB DynamoDB-Streams
Überlegungen zu Amazon VPC gelten AWS PrivateLink für Amazon DynamoDB DynamoDB-Streams. Weitere Informationen finden Sie unter [Überlegungen zu Schnittstellenendpunkten](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) und [AWS PrivateLink -Kontingente](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-limits-endpoints.html). Beachten Sie dabei die folgenden Einschränkungen.
AWS PrivateLink für Amazon DynamoDB Streams unterstützt Folgendes nicht:
+ Transport Layer Security (TLS) 1.1
+ Private und Hybrid Domain Name System (DNS)-Services
**Wichtig**
Erstellen Sie keine privaten gehosteten Zonen, um die DNS-Namen von DynamoDB-Streams-Endpunkten zu überschreiben und den Datenverkehr an Ihre Schnittstellenendpunkte weiterzuleiten. DynamoDB-DNS-Konfigurationen können sich im Laufe der Zeit ändern, und benutzerdefinierte DNS-Overrides können dazu führen, dass Anfragen unerwartet über öffentliche IP-Adressen statt über Ihre Schnittstellenendpunkte weitergeleitet werden.
Um auf DynamoDB Streams zuzugreifen AWS PrivateLink, konfigurieren Sie Ihre Clients so, dass sie die Amazon VPC-Endpunkt-URL direkt verwenden (z. B.). `https://vpce-1a2b3c4d-5e6f.streams.dynamodb.region.vpce.amazonaws.com`
**Anmerkung**
Timeouts der Netzwerkkonnektivität zu AWS PrivateLink Endpunkten fallen nicht in den Geltungsbereich der DynamoDB Streams Streams-Fehlerantworten und müssen von Ihren Anwendungen, die eine Verbindung zu den Endpunkten herstellen, angemessen behandelt werden. AWS PrivateLink
## Erstellen eines Amazon VPC-Endpunkts
Informationen zum Erstellen eines Amazon-VPC-Schnittstellenendpunkts finden Sie unter [Erstellen eines Amazon-VPC-Endpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) im *AWS PrivateLink -Handbuch*.
## Zugreifen auf Schnittstellenendpunkte in Amazon DynamoDB Streams
Wenn Sie einen Schnittstellenendpunkt erstellen, generiert DynamoDB zwei Arten von endpunktspezifischen DNS-Namen für DynamoDB Streams: *regional* und *zonengebunden*.
+ Ein *regionaler* DNS-Name enthält eine eindeutige Amazon VPC-Endpunkt-ID, eine Service-ID AWS-Region, das und `vpce.amazonaws.com` in seinem Namen. Beispielsweise könnte der generierte DNS-Name für die Amazon-VPC-Endpunkt-ID `vpce-1a2b3c4d` mit `vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com` vergleichbar sein.
+ Ein *zonengebundener* DNS-Name enthält die Availability Zone, z. B. `vpce-1a2b3c4d-5e6f-us-east-1a.streams.dynamodb.us-east-1.vpce.amazonaws.com`. Sie können diese Option verwenden, wenn Ihre Architektur Availability Zones isoliert. Sie könnten sie beispielsweise zur Fehlereingrenzung oder zur Senkung der regionalen Datenübertragungskosten verwenden.
## Zugreifen auf API-Operationen in DynamoDB Streams über DynamoDB-Streams-Schnittstellenendpunkte
Sie können das AWS CLI oder verwenden AWS SDKs , um über Endpunkte der DynamoDB Streams Streams-Schnittstelle auf DynamoDB Streams Streams-API-Operationen zuzugreifen.
### AWS CLI Beispiele
Verwenden Sie die Parameter und, um über die Endpunkte der DynamoDB-Streams-Schnittstelle in AWS CLI Befehlen auf DynamoDB Streams oder API-Operationen zuzugreifen. `--region` `--endpoint-url`
**Beispiel: Erstellen eines VPC-Endpunkts**
```
aws ec2 create-vpc-endpoint \
--region us-east-1 \
--service-name com.amazonaws.us-east-1.dynamodb-streams \
--vpc-id client-vpc-id \
--subnet-ids client-subnet-id \
--vpc-endpoint-type Interface \
--security-group-ids client-sg-id
```
**Beispiel: Ändern eines VPC-Endpunkts**
```
aws ec2 modify-vpc-endpoint \
--region us-east-1 \
--vpc-endpoint-id client-vpc-endpoint-id \
--policy-document policy-document \ #example optional parameter
--add-security-group-ids security-group-ids \ #example optional parameter
# any additional parameters needed, see Privatelink documentation for more details
```
**Beispiel: Auflisten von Streams mit einer Endpunkt-URL**
Ersetzen Sie im folgenden Beispiel die Region `us-east-1` und den DNS-Namen der VPC-Endpunkt-ID `vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com` durch Ihre eigenen Angaben.
```
aws dynamodbstreams --region us-east-1 —endpoint https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com list-streams
```
## AWS SDK-Beispiele
Um auf Amazon DynamoDB Streams API-Operationen über die DynamoDB Streams Streams-Schnittstellenendpunkte zuzugreifen, wenn Sie die verwenden AWS SDKs, aktualisieren Sie Ihre SDKs Version auf die neueste Version. Konfigurieren Sie Ihre Clients anschließend so, dass sie eine Endpunkt-URL für die API-Operation von DynamoDB Streams über DynamoDB-Streams-Schnittstellenendpunkte verwenden.
------
#### [ SDK for Python (Boto3) ]
**Beispiel: Verwenden einer Endpunkt-URL für den Zugriff auf einen DynamoDB-Stream**
Ersetzen Sie im folgenden Beispiel die Region `us-east-1` und die VPC-Endpunkt-ID `https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com` durch Ihre eigenen Informationen.
```
ddb_streams_client = session.client(
service_name='dynamodbstreams',
region_name='us-east-1',
endpoint_url='https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com'
)
```
------
#### [ SDK for Java 1.x ]
**Beispiel: Verwenden einer Endpunkt-URL für den Zugriff auf einen DynamoDB-Stream**
Ersetzen Sie im folgenden Beispiel die Region `us-east-1` und die VPC-Endpunkt-ID `https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com` durch Ihre eigenen Informationen.
```
//client build with endpoint config
final AmazonDynamoDBStreams dynamodbstreams = AmazonDynamoDBStreamsClientBuilder.standard().withEndpointConfiguration(
new AwsClientBuilder.EndpointConfiguration(
"https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com",
Regions.DEFAULT_REGION.getName()
)
).build();
```
------
#### [ SDK for Java 2.x ]
**Beispiel: Verwenden einer Endpunkt-URL für den Zugriff auf einen DynamoDB-Stream**
Ersetzen Sie im folgenden Beispiel die Region `us-east-1` und die VPC-Endpunkt-ID `https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com` durch Ihre eigenen Informationen.
```
Region region = Region.US_EAST_1;
dynamoDbStreamsClient = DynamoDbStreamsClient.builder().region(region)
.endpointOverride(URI.create("https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com"))
.build()
```
------
## Erstellen einer Amazon-VPC-Endpunktrichtlinie für DynamoDB Streams
Sie können eine Endpunktrichtlinie an Ihren Amazon-VPC-Endpunkt anhängen, der den Zugriff auf DynamoDB Streams kontrolliert. Die Richtlinie gibt die folgenden Informationen an:
+ Der AWS Identity and Access Management (IAM-) Principal, der Aktionen ausführen kann
+ Aktionen, die ausgeführt werden können
+ Ressourcen, für die Aktionen ausgeführt werden können
**Topics**
+ [Beispiel: Beschränken des Zugriffs auf einen bestimmten Streams von einem Amazon-VPC-Endpunkt aus](#privatelink-streams-example-restrict-access-to-bucket)
### Beispiel: Beschränken des Zugriffs auf einen bestimmten Streams von einem Amazon-VPC-Endpunkt aus
Sie können eine Endpunktrichtlinie erstellen, die den Zugriff auf spezifische DynamoDB Streams einschränkt. Diese Art von Richtlinie ist nützlich, wenn Sie andere AWS-Services in Ihrer Amazon VPC haben, die DynamoDB Streams verwenden. Die folgende Stream-Richtlinie schränkt den Zugriff nur auf den Stream `2025-02-20T11:22:33.444` ein, der `DOC-EXAMPLE-TABLE` angehängt ist. Um diese Endpunktrichtlinie zu verwenden, ersetzen Sie `DOC-EXAMPLE-TABLE` durch den Namen Ihrer Tabelle und `2025-02-20T11:22:33.444` durch die Stream-Bezeichnung.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Policy1216114807515",
"Statement": [
{ "Sid": "Access-to-specific-stream-only",
"Principal": "*",
"Action": [
"dynamodb:DescribeStream",
"dynamodb:GetRecords"
],
"Effect": "Allow",
"Resource": ["arn:aws:dynamodb:us-east-1:111122223333:table/table-name/stream/2025-02-20T11:22:33.444"]
}
]
}
```
------
**Anmerkung**
Gateway-Endpunkte werden in DynamoDB Streams nicht unterstützt.
## Verwenden von DynamoDB-Endpunkten mit privatem Zugriff AWS-Managementkonsole
Sie müssen die DNS-Konfiguration für DynamoDB und DynamoDB Streams einrichten, wenn Sie VPC-Endpunkte mit der [DynamoDB-Konsole](https://console.aws.amazon.com/dynamodb) in [AWS-Managementkonsole Private Access](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/console-private-access.html) verwenden.
Um DynamoDB für den Zugriff in AWS-Managementkonsole Private Access zu konfigurieren, müssen Sie die folgenden zwei VPC-Endpoints erstellen:
+ `com.amazonaws..dynamodb`
+ `com.amazonaws..dynamodb-streams`
Wenn Sie die VPC-Endpunkte erstellen, navigieren Sie zur Route53-Konsole und erstellen Sie mithilfe des regionalen Endpunkts `dynamodb.us-east-1.amazonaws.com` eine privat gehostete Zone für DynamoDB.
Erstellen Sie die folgenden zwei Aliasdatensätze in der privat gehosteten Zone:
+ `dynamodb..amazonaws.com` für die Weiterleitung des Datenverkehrs an den VPC-Endpunkt `com.amazonaws..dynamodb`.
+ `streams.dynamodb..amazonaws.com` für die Weiterleitung des Datenverkehrs an den VPC-Endpunkt `com.amazonaws..dynamodb-streams`.
# AWS PrivateLink Für DynamoDB Accelerator (DAX) verwenden
AWS PrivateLink für DynamoDB Accelerator (DAX) können Sie sicher auf DAX-Management APIs wie `CreateCluster``DescribeClusters`, und `DeleteCluster` über private IP-Adressen innerhalb Ihrer Virtual Private Cloud (VPC) zugreifen. Mit dieser Funktion können Sie privat von Ihren Anwendungen aus auf DAX-Dienste zugreifen, ohne dass der Datenverkehr dem öffentlichen Internet ausgesetzt wird.
DAX PrivateLink unterstützt Dual-Stack-Endpunkte (`dax.{region}.api.aws`) und ermöglicht so sowohl IPv4 Konnektivität als auch Konnektivität. IPv6 Mit AWS PrivateLink for DAX können Kunden über private DNS-Namen auf den Service zugreifen. Die Unterstützung von Dual-Stack-Endpunkten gewährleistet transparente Konnektivität und gewährleistet gleichzeitig den Datenschutz im Netzwerk. Auf diese Weise können Sie sowohl über das öffentliche Internet als auch über VPC-Endpunkte auf DAX zugreifen, ohne Änderungen an Ihrer SDK-Konfiguration vornehmen zu müssen.
## Überlegungen bei der Verwendung von AWS PrivateLink DynamoDB Accelerator (DAX)
Bei der Implementierung AWS PrivateLink für DynamoDB Accelerator (DAX) müssen mehrere wichtige Überlegungen berücksichtigt werden.
Bevor Sie einen Schnittstellenendpunkt für DAX einrichten, sollten Sie Folgendes berücksichtigen:
+ Endpunkte der DAX-Schnittstelle unterstützen nur den Zugriff auf das DAX-Management APIs innerhalb derselben AWS-Region Schnittstelle. Sie können keinen Schnittstellenendpunkt verwenden, um auf das DAX-Management APIs in anderen Regionen zuzugreifen.
+ Um AWS-Managementkonsole privat auf das DAX-Management zuzugreifen, müssen Sie möglicherweise zusätzliche VPC-Endpunkte für Dienste wie `com.amazonaws.region.console` und verwandte Dienste erstellen.
+ Die Erstellung und Nutzung eines Schnittstellenendpunkts zu DAX wird Ihnen in Rechnung gestellt. Preisinformationen finden Sie unter [AWS PrivateLink Preise](https://aws.amazon.com/vpc/pricing/).
## Wie AWS PrivateLink funktioniert mit DAX
Wenn Sie einen Schnittstellenendpunkt für DAX erstellen:
1. AWS erstellt in jedem Subnetz, das Sie für den Schnittstellenendpunkt aktivieren, eine Endpunkt-Netzwerkschnittstelle.
1. Dabei handelt es sich um vom Anforderer verwaltete Netzwerkschnittstellen, die als Einstiegspunkte für den für DAX bestimmten Datenverkehr dienen.
1. Sie können dann über private IP-Adressen innerhalb Ihrer VPC auf DAX zugreifen.
1. Diese Architektur ermöglicht es Ihnen, VPC-Sicherheitsgruppen zu verwenden, um den Zugriff auf die Endpoints zu verwalten.
1. Anwendungen können über ihre jeweiligen Schnittstellenendpunkte innerhalb einer VPC sowohl auf DynamoDB als auch auf DAX zugreifen und gleichzeitig lokalen Anwendungen die Verbindung über Direct Connect oder VPN ermöglichen.
1. Dies bietet ein konsistentes Konnektivitätsmodell für beide Dienste, vereinfacht die Architektur und verbessert die Sicherheit, da der Datenverkehr im Netzwerk gehalten wird. AWS
## Schnittstellen-Endpunkte für DAX erstellen
Sie können einen Schnittstellenendpunkt erstellen, um mithilfe des AWS SDK oder der AWS-Managementkonsole AWS API eine Verbindung zu DAX herzustellen. CloudFormation
**Um mithilfe der Konsole einen Schnittstellenendpunkt für DAX zu erstellen**
1. Navigieren Sie zur Amazon VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpunkte** aus.
1. Klicken Sie auf **Endpunkt erstellen**.
1. Wählen Sie als **Servicekategorie **AWS-Services****und als **Servicename** suchen Sie nach und wählen Sie aus`com.amazonaws.region.dax`.
1. Wählen Sie für **VPC** die VPC aus, von der aus Sie auf DAX zugreifen möchten, und wählen Sie für **Subnetze die Subnetze** aus, in denen die Endpunkt-Netzwerkschnittstellen erstellt AWS werden sollen.
1. Wählen oder erstellen Sie für **Sicherheitsgruppen Sicherheitsgruppen**, die den Endpunkt-Netzwerkschnittstellen zugeordnet werden sollen.
1. Behalten Sie für **Policy** die Standardeinstellung „**Vollzugriff**“ bei oder passen Sie sie nach Bedarf an.
1. Wählen Sie **DNS-Name aktivieren** aus, um privates DNS für den Endpunkt zu aktivieren. Lassen Sie den privaten DNS-Namen aktiviert, um Änderungen an der SDK-Konfiguration zu verhindern. Wenn diese Option aktiviert ist, können Ihre Anwendungen weiterhin den Standard-DNS-Namen des Dienstes verwenden (Beispiel:`dax.region.amazonaws.com`). AWS erstellt eine private gehostete Zone in Ihrer VPC, die diesen Namen in die private IP-Adresse Ihres Endpunkts auflöst.
**Anmerkung**
Verwenden Sie bei Bedarf regionale DNS-Namen. Die Verwendung zonaler DNS-Namen wird nicht empfohlen. Wählen Sie außerdem Subnetze aus 3 oder mehr aus AZs , um eine maximale Verfügbarkeit zu gewährleisten. PrivateLink
1. Wählen Sie **Endpunkt erstellen** aus.
**Um einen Schnittstellenendpunkt für DAX mit dem zu erstellen AWS CLI**
Verwenden Sie den `create-vpc-endpoint` Befehl mit dem `vpc-endpoint-type` Parametersatz auf `Interface` und dem `service-name` Parametersatz auf`com.amazonaws.region.dax`.
```
aws ec2 create-vpc-endpoint \
--vpc-id vpc-ec43eb89 \
--vpc-endpoint-type Interface \
--service-name com.amazonaws.us-east-1.dax \
--subnet-ids subnet-abcd1234 subnet-1a2b3c4d \
--security-group-ids sg-1a2b3c4d \
--private-dns-enabled
```
## Weitere Ressourcen
Weitere Informationen zu AWS PrivateLink VPC-Endpunkten finden Sie in den folgenden Ressourcen:
+ [AWS PrivateLink für DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/privatelink-interface-endpoints.html)
+ [AWS PrivateLink für DynamoDB Streams](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/privatelink-streams.html)
+ [Connect Sie Ihre VPC mit Diensten über AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html)
+ [Vereinfachen Sie die private Konnektivität zu DynamoDB mit AWS PrivateLink](https://aws.amazon.com/blogs//database/simplify-private-connectivity-to-amazon-dynamodb-with-aws-privatelink)
+ [AWS PrivateLink Whitepaper](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-privatelink.html)