Verwenden von VPC Amazon-Endpunkten für den Zugriff auf DynamoDB - Amazon-DynamoDB
VPCEndpunkte gemeinsam nutzenTutorial: Einen VPC Endpunkt für DynamoDB verwenden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von VPC Amazon-Endpunkten für den Zugriff auf DynamoDB

Aus Sicherheitsgründen gibt es viele AWS Kunden führen ihre Anwendungen in einer Amazon Virtual Private Cloud Cloud-Umgebung (AmazonVPC) aus. Mit Amazon VPC können Sie EC2 Amazon-Instances in einer virtuellen privaten Cloud starten, die logisch von anderen Netzwerken — einschließlich dem öffentlichen Internet — isoliert ist. Mit einem Amazon VPC haben Sie die Kontrolle über seinen IP-Adressbereich, Subnetze, Routing-Tabellen, Netzwerk-Gateways und Sicherheitseinstellungen.

Anmerkung

Wenn Sie Ihre erstellt haben AWS-Konto nach dem 4. Dezember 2013, dann haben Sie VPC in jedem bereits einen Standard AWS-Region. Ein Standard VPC ist sofort einsatzbereit — Sie können ihn sofort verwenden, ohne zusätzliche Konfigurationsschritte ausführen zu müssen.

Weitere Informationen finden Sie unter Standard VPC - und Standardsubnetze im VPCAmazon-Benutzerhandbuch.

Um auf das öffentliche Internet zugreifen zu können, VPC benötigen Sie ein Internet-Gateway — einen virtuellen Router, der Sie VPC mit dem Internet verbindet. Dadurch können Anwendungen, die auf Amazon EC2 in Ihrem Land ausgeführt werden, VPC auf Internetressourcen wie Amazon DynamoDB zugreifen.

Standardmäßig wird für die Kommunikation zu und von DynamoDB HTTPS das Protokoll verwendet, das den Netzwerkverkehr mithilfe der SSL TLS /-Verschlüsselung schützt. Das folgende Diagramm zeigt eine EC2 Amazon-Instance in einer VPC zugreifenden DynamoDB, wobei DynamoDB ein Internet-Gateway anstelle von Endpunkten verwendet. VPC

Workflow-Diagramm, das eine EC2 Amazon-Instance zeigt, die über einen Router, ein Internet-Gateway und das Internet auf DynamoDB zugreift.

Viele Kunden haben legitime Bedenken hinsichtlich Datenschutz und Sicherheit, was das Senden und Empfangen von Daten über das öffentliche Internet angeht. Sie können diese Probleme lösen, indem Sie ein virtuelles privates Netzwerk (VPN) verwenden, um den gesamten DynamoDB-Netzwerkverkehr über Ihre eigene Unternehmensnetzwerkinfrastruktur zu leiten. Dieser Ansatz kann jedoch zu Herausforderungen hinsichtlich Bandbreite und Verfügbarkeit führen.

VPCEndpunkte für DynamoDB können diese Probleme lösen. Ein VPCEndpunkt für DynamoDB ermöglicht es EC2 Amazon-Instances in Ihrem SystemVPC, ihre privaten IP-Adressen für den Zugriff auf DynamoDB zu verwenden, ohne dem öffentlichen Internet ausgesetzt zu sein. Ihre EC2 Instances benötigen keine öffentlichen IP-Adressen, und Sie benötigen kein Internet-Gateway, kein NAT Gerät oder ein virtuelles privates Gateway in Ihrem. VPC Sie steuern den Zugriff auf DynamoDB mittels Endpunktrichtlinien. Verkehr zwischen Ihrem VPC und dem AWS Der Service verlässt das Amazon-Netzwerk nicht.

Anmerkung

Selbst wenn Sie öffentliche IP-Adressen verwenden, wird die gesamte VPC Kommunikation zwischen Instances und Diensten in gehostet AWS wird innerhalb der privat gehalten AWS Netzwerk. Pakete, die stammen von AWS Netzwerk mit einem Ziel auf dem AWS Netzwerk bleib auf dem AWS globales Netzwerk, außer Verkehr zu oder von AWS China-Regionen.

Wenn Sie einen VPC Endpunkt für DynamoDB erstellen, werden alle Anfragen an einen DynamoDB-Endpunkt innerhalb der Region (z. B. dynamodb.us-west-2.amazonaws.com) an einen privaten DynamoDB-Endpunkt im Amazon-Netzwerk weitergeleitet. Sie müssen Ihre Anwendungen, die auf Instances in Ihrem ausgeführt werden, nicht ändern. EC2 VPC Der Endpunktname bleibt gleich, aber die Route zu DynamoDB bleibt vollständig im Amazon-Netzwerk und greift nicht auf das öffentliche Internet zu.

Das folgende Diagramm zeigt, wie eine EC2 Instanz in a einen VPC Endpunkt für den Zugriff auf DynamoDB verwenden VPC kann.

Workflow-Diagramm, das eine EC2 Instanz zeigt, die nur über einen Router und einen VPC Endpunkt auf DynamoDB zugreift.

Weitere Informationen finden Sie unter Tutorial: Einen VPC Endpunkt für DynamoDB verwenden.

Gemeinsame Nutzung von VPC Amazon-Endpunkten und DynamoDB

Um den Zugriff auf den DynamoDB-Dienst über den Gateway-Endpunkt eines VPC Subnetzes zu ermöglichen, müssen Sie über Besitzerkontoberechtigungen für dieses Subnetz verfügen. VPC

Sobald dem Gateway-Endpunkt des VPC Subnetzes Zugriff auf DynamoDB gewährt wurde, kann jeder AWS Ein Konto mit Zugriff auf dieses Subnetz kann DynamoDB verwenden. Das bedeutet, dass alle Kontobenutzer innerhalb des VPC Subnetzes alle DynamoDB-Tabellen verwenden können, auf die sie Zugriff haben. Dazu gehören DynamoDB-Tabellen, die einem anderen Konto als dem VPC Subnetz zugeordnet sind. Der VPC Subnetzbesitzer kann nach eigenem Ermessen immer noch einen bestimmten Benutzer innerhalb des Subnetzes daran hindern, den DynamoDB-Dienst über den Gateway-Endpunkt zu verwenden.

Tutorial: Einen VPC Endpunkt für DynamoDB verwenden

In diesem Abschnitt erfahren Sie, wie Sie einen VPC Endpunkt für DynamoDB einrichten und verwenden.

Schritt 1: Starten Sie eine EC2 Amazon-Instance

In diesem Schritt starten Sie eine EC2 Amazon-Instance in Ihrem Standard-AmazonVPC. Anschließend können Sie einen VPC Endpunkt für DynamoDB erstellen und verwenden.

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie Launch Instance aus und gehen Sie folgendermaßen vor:

    Schritt 1: Wählen Sie ein Amazon Machine Image (AMI)

    • Gehen Sie oben in der Liste von AMIs zu Amazon Linux AMI und wählen Sie Select aus.

    Schritt 2: Auswählen eines Instance-Typs

    • Wählen Sie oben in der Liste der Instance-Typen t2.micro aus.

    • Wählen Sie Next: Configure Instance Details aus.

    Schritt 3: Konfigurieren der Instance-Details

    • Gehen Sie zu Netzwerk und wählen Sie Ihre Standardeinstellung ausVPC.

      Wählen Sie Next: Add Storage aus.

    Schritt 4: Hinzufügen von Speicher

    • Überspringen Sie diesen Schritt, indem Sie Next: Tag Instance auswählen.

    Schritt 5: Kennzeichnen der Instance

    • Überspringen Sie diesen Schritt, indem Sie Next: Configure Security Group auswählen.

    Schritt 6: Konfigurieren einer Sicherheitsgruppe

    • Wählen Sie Bestehende Sicherheitsgruppe auswählen aus.

    • Wählen Sie in der Liste der Sicherheitsgruppen default aus. Dies ist die Standardsicherheitsgruppe für IhreVPC.

    • Wählen Sie Next: Review and Launch aus.

    Schritt 7: Prüfen eines Starts einer Instance

    • Wählen Sie Launch (Starten) aus.

  3. Führen Sie im Fenster Select an existing key pair or create a new key pair einen der folgenden Schritte aus:

    • Wenn Sie kein EC2 Amazon-Schlüsselpaar haben, wählen Sie Neues key pair erstellen und folgen Sie den Anweisungen. Sie werden aufgefordert, eine private Schlüsseldatei (.pem-Datei) herunterzuladen. Sie benötigen diese Datei später, wenn Sie sich bei Ihrer EC2 Amazon-Instance anmelden.

    • Wenn Sie bereits über ein vorhandenes EC2 Amazon-Schlüsselpaar verfügen, gehen Sie zu key pair auswählen und wählen Sie Ihr key pair aus der Liste aus. Sie müssen die private Schlüsseldatei (.pem-Datei) bereits verfügbar haben, um sich bei Ihrer EC2 Amazon-Instance anmelden zu können.

  4. Wenn Sie Ihr Schlüsselpaar konfiguriert haben, wählen Sie Launch Instances (Instances starten) aus.

  5. Kehren Sie zur Startseite der EC2 Amazon-Konsole zurück und wählen Sie die Instance aus, die Sie gestartet haben. Suchen Sie im unteren Bereich auf der Registerkarte Beschreibung die Option Public DNS für Ihre Instance. Beispiel: ec2-00-00-00-00.us-east-1.compute.amazonaws.com.

    Notieren Sie sich diesen öffentlichen DNS Namen, da Sie ihn im nächsten Schritt dieses Tutorials benötigen werden (Schritt 2: Konfigurieren Sie Ihre EC2 Amazon-Instance).

Anmerkung

Es dauert einige Minuten, bis Ihre EC2 Amazon-Instance verfügbar ist. Überprüfen Sie, ob Instance-Zustand running wird und alle Status-Kontrollen bestanden hat, bevor Sie mit dem nächsten Schritt fortfahren.

Schritt 2: Konfigurieren Sie Ihre EC2 Amazon-Instance

Wenn Ihre EC2 Amazon-Instance verfügbar ist, können Sie sich bei ihr anmelden und sie für die erste Verwendung vorbereiten.

Anmerkung

Bei den folgenden Schritten wird davon ausgegangen, dass Sie von einem Computer aus, auf dem Linux ausgeführt wird, eine Verbindung zu Ihrer EC2 Amazon-Instance herstellen. Weitere Verbindungsmöglichkeiten finden Sie unter Connect to Your Linux Instance im EC2 Amazon-Benutzerhandbuch.

  1. Sie müssen eingehenden SSH Datenverkehr zu Ihrer EC2 Amazon-Instance autorisieren. Dazu erstellen Sie eine neue EC2 Sicherheitsgruppe und weisen die Sicherheitsgruppe dann Ihrer EC2 Instance zu.

    1. Wählen Sie im Navigationsbereich Sicherheitsgruppen aus.

    2. Wählen Sie Sicherheitsgruppen erstellen aus. Führen Sie im Fenster Sicherheitsgruppen erstellen Folgendes aus:

      • Sicherheitsgruppenname – Geben Sie einen Namen für die Sicherheitsgruppe ein. Zum Beispiel: my-ssh-access

      • Description – Geben Sie eine kurze Beschreibung für die Sicherheitsgruppe ein.

      • VPC— wählen Sie Ihre StandardeinstellungVPC.

      • Wählen Sie im Abschnitt Sicherheitsgruppen-Regeln die Option Regel hinzufügen aus und führen Sie Folgendes aus:

        • Geben Sie SSH —choose ein.

        • Source – Wählen Sie „My IP“ aus.

      Wenn Sie die gewünschten Einstellungen vorgenommen haben, wählen Sie Erstellen.

    3. Wählen Sie im Navigationsbereich Instances aus.

    4. Wählen Sie die EC2 Amazon-Instance aus, in der Sie gestartet habenSchritt 1: Starten Sie eine EC2 Amazon-Instance.

    5. Wählen Sie Aktionen --> Netzwerk --> Sicherheitsgruppen ändern aus.

    6. Wählen Sie in Sicherheitsgruppen ändern die Sicherheitsgruppe aus, die Sie früher in diesem Verfahren erstellt haben (z. B. my-ssh-access). Die vorhandene default-Sicherheitsgruppe sollte ebenfalls ausgewählt werden. Wenn Sie die gewünschten Einstellungen vorgenommen haben, wählen Sie Zuweisen von Sicherheitsgruppen aus.

  2. Verwenden Sie den ssh Befehl, um sich wie im folgenden EC2 Beispiel bei Ihrer Amazon-Instance anzumelden.

    ssh -i my-keypair.pem ec2-user@public-dns-name

    Sie müssen Ihre private Schlüsseldatei (.pem-Datei) und den öffentlichen DNS Namen Ihrer Instance angeben. (Siehe Schritt 1: Starten Sie eine EC2 Amazon-Instance).

    Die Anmelde-ID lautet ec2-user. Es ist kein Passwort erforderlich.

  3. Konfigurieren Sie Ihre AWS Anmeldeinformationen wie im folgenden Beispiel gezeigt. Geben Sie Ihre AWS Wenn Sie dazu aufgefordert werden, die Zugriffsschlüssel-ID, den geheimen Schlüssel und den Namen der Standardregion.

    aws configure
    AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-east-1
Default output format [None]:

Sie sind jetzt bereit, einen VPC Endpunkt für DynamoDB zu erstellen.

Schritt 3: Einen VPC Endpunkt für DynamoDB erstellen

In diesem Schritt erstellen Sie einen VPC Endpunkt für DynamoDB und testen ihn, um sicherzustellen, dass er funktioniert.

  1. Überprüfen Sie, ob Sie unter Verwendung des folgenden öffentlichen Endpunkts mit DynamoDB kommunizieren können, bevor Sie beginnen.

    aws dynamodb list-tables

    Die Ausgabe zeigt eine Liste der DynamoDB-Tabellen, die Sie zurzeit besitzen. (Wenn Sie keine Tabellen besitzen, ist die Liste leer.)

  2. Stellen Sie sicher, dass DynamoDB ein verfügbarer Dienst für die Erstellung von VPC Endpunkten in der aktuellen Version ist AWS Region. (Der Befehl wird in Fettschrift angezeigt, gefolgt von einer Beispielausgabe.)

    aws ec2 describe-vpc-endpoint-services
    {
    "ServiceNames": [
        "com.amazonaws.us-east-1.s3",
        "com.amazonaws.us-east-1.dynamodb"
    ]
}

    In der Beispielausgabe ist DynamoDB einer der verfügbaren Dienste, sodass Sie mit der Erstellung eines VPC Endpunkts dafür fortfahren können.

  3. Ermitteln Sie Ihren VPC Bezeichner.

    aws ec2 describe-vpcs
    {
    "Vpcs": [
        {
            "VpcId": "vpc-0bbc736e", 
            "InstanceTenancy": "default", 
            "State": "available", 
            "DhcpOptionsId": "dopt-8454b7e1", 
            "CidrBlock": "172.31.0.0/16", 
            "IsDefault": true
        }
    ]
}

    In der Beispielausgabe lautet die VPC IDvpc-0bbc736e.

  4. Erstellen Sie den VPC Endpunkt. Geben Sie für den --vpc-id Parameter die VPC ID aus dem vorherigen Schritt an. Verwenden Sie den --route-table-ids-Parameter, um den Endpunkt mit den Routentabellen zu verknüpfen.

    aws ec2 create-vpc-endpoint --vpc-id vpc-0bbc736e --service-name com.amazonaws.us-east-1.dynamodb --route-table-ids rtb-11aa22bb
    {
    "VpcEndpoint": {
        "PolicyDocument": "{\"Version\":\"2008-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":\"*\",\"Action\":\"*\",\"Resource\":\"*\"}]}", 
        "VpcId": "vpc-0bbc736e", 
        "State": "available", 
        "ServiceName": "com.amazonaws.us-east-1.dynamodb", 
        "RouteTableIds": [
            "rtb-11aa22bb"
        ],
        "VpcEndpointId": "vpce-9b15e2f2", 
        "CreationTimestamp": "2017-07-26T22:00:14Z"
    }
}

  5. Stellen Sie sicher, dass Sie über den Endpunkt auf DynamoDB zugreifen können. VPC

    aws dynamodb list-tables

    Wenn Sie möchten, können Sie es mit einem anderen versuchen AWS CLI Befehle für DynamoDB. Weitere Informationen finden Sie hier: AWS CLI Befehlsreferenz.

Schritt 4: (Optional): Bereinigen

Wenn Sie die Ressourcen löschen möchten, die Sie in diesem Tutorial erstellt haben, führen Sie die folgenden Schritte aus:

So entfernen Sie Ihren VPC Endpunkt für DynamoDB

  1. Melden Sie sich bei Ihrer EC2 Amazon-Instance an.

  2. Ermitteln Sie die VPC Endpunkt-ID.

    aws ec2 describe-vpc-endpoints
    {
    "VpcEndpoint": {
        "PolicyDocument": "{\"Version\":\"2008-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":\"*\",\"Action\":\"*\",\"Resource\":\"*\"}]}", 
        "VpcId": "vpc-0bbc736e", 
        "State": "available", 
        "ServiceName": "com.amazonaws.us-east-1.dynamodb", 
        "RouteTableIds": [], 
        "VpcEndpointId": "vpce-9b15e2f2", 
        "CreationTimestamp": "2017-07-26T22:00:14Z"
    }
}

    In der Beispielausgabe lautet die VPC Endpunkt-IDvpce-9b15e2f2.

  3. Löschen Sie den VPC Endpunkt.

    aws ec2 delete-vpc-endpoints --vpc-endpoint-ids vpce-9b15e2f2
    {
    "Unsuccessful": []
}

    Das leere Array [] zeigt den Erfolg an (keine fehlgeschlagenen Anforderungen).

Um Ihre EC2 Amazon-Instance zu beenden

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich Instances aus.

  3. Wählen Sie Ihre EC2 Amazon-Instance aus.

  4. Wählen Sie Actions, Instance State und Terminate aus.

  5. Wählen Sie im Bestätigungsfenster Yes, Terminate aus.