Privacidad del tráfico entre redes en Amazon Keyspaces - Amazon Keyspaces (para Apache Cassandra)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Privacidad del tráfico entre redes en Amazon Keyspaces

En este tema se describe cómo Amazon Keyspaces (para Apache Cassandra) protege las conexiones de las aplicaciones locales a Amazon Keyspaces y entre Amazon Keyspaces AWS y otros recursos dentro de las mismas. Región de AWS

Tráfico entre el servicio y las aplicaciones y clientes locales

Dispone de dos opciones de conectividad entre su red privada y: AWS

  • Una AWS Site-to-Site VPN conexión. Para obtener más información, consulte ¿Qué es AWS Site-to-Site VPN? en la Guía del usuario de AWS Site-to-Site VPN .

  • Una AWS Direct Connect conexión. Para obtener más información, consulte ¿Qué es AWS Direct Connect? en la Guía del usuario de AWS Direct Connect .

Como servicio gestionado, Amazon Keyspaces (para Apache Cassandra) está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte Seguridad AWS en la nube. Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte Protección de infraestructuras en un marco de buena AWS arquitectura basado en el pilar de la seguridad.

Utiliza las API llamadas AWS publicadas para acceder a Amazon Keyspaces a través de la red. Los clientes deben admitir lo siguiente:

  • Seguridad de la capa de transporte (TLS). Necesitamos TLS 1.2 y recomendamos TLS 1.3.

  • Cifre suites con perfecto secreto (PFS), como (Ephemeral Diffie-Hellman) o DHE ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.

Además, las solicitudes deben firmarse con un identificador de clave de acceso y una clave de acceso secreta que esté asociada a un director. IAM También puede utilizar AWS Security Token Service (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.

Amazon Keyspaces admite dos métodos de autenticación de solicitudes de clientes. El primer método utiliza credenciales específicas del servicio, que son credenciales basadas en contraseñas generadas para un usuario específicoIAM. Puede crear y administrar la contraseña mediante la IAM consola AWS CLI, el o el. AWS API Para obtener más información, consulte Uso IAM con Amazon Keyspaces.

El segundo método utiliza un complemento de autenticación para el controlador DataStax Java de código abierto para Cassandra. Este complemento permite a IAMlos usuarios, roles e identidades federadas añadir información de autenticación a las solicitudes de Amazon Keyspaces (para Apache CassandraAPI) mediante AWS el proceso Signature Version 4 (SiGv4). Para obtener más información, consulte Crear y configurar AWS credenciales para Amazon Keyspaces.

Tráfico entre AWS recursos de la misma región

VPCLos puntos de enlace de la interfaz permiten la comunicación privada entre su nube privada virtual (VPC) que se ejecuta en Amazon VPC y Amazon Keyspaces. Los VPC puntos de enlace de la interfaz funcionan con AWS PrivateLink, un AWS servicio que permite la comunicación privada entre los VPCs servicios. AWS AWS PrivateLink lo habilita mediante una interfaz de red elástica con privacidad IPs en su interior VPC para que el tráfico de red no salga de la red de Amazon. VPCLos puntos finales de la interfaz no requieren una puerta de enlace a Internet, NAT dispositivo, VPN conexión o AWS Direct Connect conexión. Para obtener más información, consulte Amazon Virtual Private Cloud and Interface VPC Endpoints (AWS PrivateLink). Para ver ejemplos de políticas, consulte Uso de puntos de conexión de VPC de interfaz para Amazon Keyspaces.