Sécurité de l'infrastructure dans Amazon DynamoDB - Amazon DynamoDB
Utilisation des points de VPC terminaison

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurité de l'infrastructure dans Amazon DynamoDB

En tant que service géré, Amazon DynamoDB est protégé par les procédures de sécurité du réseau mondial décrites dans AWS la section Protection de l'infrastructure du Well-Architected Framework. AWS

Vous utilisez des API appels AWS publiés pour accéder à DynamoDB via le réseau. Les clients peuvent utiliser TLS (Transport Layer Security) version 1.2 ou 1.3. Les clients doivent également prendre en charge les suites de chiffrement parfaitement confidentielles (), telles que Ephemeral Diffie-Hellman (PFS) ou Elliptic Curve Diffie-Hellman Ephemeral (DHE). ECDHE La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes. En outre, les demandes doivent être signées à l'aide d'un identifiant de clé d'accès et d'une clé d'accès secrète associés à un IAM principal. Vous pouvez également utiliser AWS Security Token Service (AWS STS) pour générer des informations d’identification de sécurité temporaires et signer les demandes.

Vous pouvez également utiliser un point de terminaison de cloud privé virtuel (VPC) pour DynamoDB afin de permettre à VPC vos instances EC2 Amazon d'utiliser leurs adresses IP privées pour accéder à DynamoDB sans avoir à accéder à Internet public. Pour de plus amples informations, veuillez consulter Utilisation des VPC points de terminaison Amazon pour accéder à DynamoDB.

Utilisation des VPC points de terminaison Amazon pour accéder à DynamoDB

Pour des raisons de sécurité, de nombreux AWS clients exécutent leurs applications dans un environnement Amazon Virtual Private Cloud (AmazonVPC). Avec AmazonVPC, vous pouvez lancer des EC2 instances Amazon dans un cloud privé virtuel, qui est logiquement isolé des autres réseaux, y compris de l'Internet public. Avec un AmazonVPC, vous avez le contrôle de sa plage d'adresses IP, de ses sous-réseaux, de ses tables de routage, de ses passerelles réseau et de ses paramètres de sécurité.

Note

Si vous avez créé votre Compte AWS compte après le 4 décembre 2013, vous avez déjà une valeur par défaut VPC dans chacune d'elles Région AWS. Une valeur par défaut VPC est prête à être utilisée : vous pouvez immédiatement commencer à l'utiliser sans avoir à effectuer d'étapes de configuration supplémentaires.

Pour plus d'informations, consultez la section Sous-réseaux par défaut VPC et par défaut dans le guide de VPC l'utilisateur Amazon.

Pour accéder à l'Internet public, vous VPC devez disposer d'une passerelle Internet, c'est-à-dire d'un routeur virtuel qui vous connecte VPC à Internet. Cela permet aux applications exécutées sur Amazon EC2 sur votre site VPC d'accéder à des ressources Internet, telles qu'Amazon DynamoDB.

Par défaut, les communications à destination et en provenance de DynamoDB utilisent HTTPS le protocole, qui protège le trafic réseau en SSL utilisant le chiffrement/. TLS Le schéma suivant montre une EC2 instance Amazon dans une DynamoDB VPC accédant, en faisant en sorte que DynamoDB utilise une passerelle Internet plutôt que des points de terminaison. VPC

Schéma de flux de travail montrant une EC2 instance Amazon accédant à DynamoDB via un routeur, une passerelle Internet et Internet.

De nombreux clients ont des préoccupations légitimes liées à la confidentialité et la sécurité lors de l'envoi et de la réception de données via le réseau Internet public. Vous pouvez résoudre ces problèmes en utilisant un réseau privé virtuel (VPN) pour acheminer l'ensemble du trafic réseau DynamoDB via votre propre infrastructure réseau d'entreprise. Toutefois, cette approche peut engendrer des problèmes en matière de bande passante et de disponibilité.

VPCles points de terminaison pour DynamoDB peuvent atténuer ces difficultés. Un VPCpoint de terminaison pour DynamoDB permet VPC à vos instances EC2 Amazon d'utiliser leurs adresses IP privées pour accéder à DynamoDB sans accès à Internet public. Vos EC2 instances n'ont pas besoin d'adresses IP publiques, et vous n'avez pas besoin d'une passerelle Internet, d'un NAT appareil ou d'une passerelle privée virtuelle dans votreVPC. Vous utilisez des politiques de point de terminaison pour contrôler l'accès à DynamoDB. Le trafic entre vous VPC et le AWS service ne quitte pas le réseau Amazon.

Note

Même lorsque vous utilisez des adresses IP publiques, toutes les VPC communications entre les instances et les services hébergés restent privées au sein du AWS réseau. AWS Les paquets provenant du AWS réseau avec une destination sur le AWS réseau restent sur le réseau AWS mondial, à l'exception du trafic à destination ou AWS en provenance des régions chinoises.

Lorsque vous créez un VPC point de terminaison pour DynamoDB, toutes les demandes adressées à un point de terminaison DynamoDB au sein de la région (par exemple, dynamodb.us-west-2.amazonaws.com) sont acheminées vers un point de terminaison DynamoDB privé au sein du réseau Amazon. Vous n'avez pas besoin de modifier les applications qui s'exécutent sur EC2 les instances de votreVPC. Le nom du point de terminaison reste le même, mais la route vers DynamoDB reste entièrement dans le réseau Amazon et n'accède pas au réseau Internet public.

Le schéma suivant montre comment une EC2 instance d'un VPC peut utiliser un VPC point de terminaison pour accéder à DynamoDB.

Schéma de flux de travail illustrant une EC2 instance accédant à DynamoDB via un routeur VPC et un point de terminaison uniquement.

Pour de plus amples informations, veuillez consulter Tutoriel : Utilisation d'un VPC point de terminaison pour DynamoDB.

Partage de VPC points de terminaison Amazon et de DynamoDB

Pour permettre l'accès au service DynamoDB via le point de terminaison de passerelle VPC d'un sous-réseau, vous devez disposer des autorisations de compte propriétaire pour ce sous-réseau. VPC

Une fois que le point de terminaison de passerelle du VPC sous-réseau a obtenu l'accès à DynamoDB, AWS tout compte ayant accès à ce sous-réseau peut utiliser DynamoDB. Cela signifie que tous les utilisateurs du compte au sein du VPC sous-réseau peuvent utiliser toutes les tables DynamoDB auxquelles ils ont accès. Cela inclut les tables DynamoDB associées à un compte différent de celui du sous-réseau. VPC Le propriétaire du VPC sous-réseau peut toujours empêcher un utilisateur spécifique du sous-réseau d'utiliser le service DynamoDB via le point de terminaison de la passerelle, à sa discrétion.

Tutoriel : Utilisation d'un VPC point de terminaison pour DynamoDB

Cette section explique comment configurer et utiliser un VPC point de terminaison pour DynamoDB.

Étape 1 : Lancer une EC2 instance Amazon

Au cours de cette étape, vous lancez une EC2 instance Amazon dans votre Amazon par défautVPC. Vous pouvez ensuite créer et utiliser un VPC point de terminaison pour DynamoDB.

  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Choisissez Lancer une instance , puis procédez comme suit :

    Étape 1 : Choisissez une image de machine Amazon (AMI)

    • En haut de la listeAMIs, accédez à Amazon Linux AMI et choisissez Select.

    Étape 2 : Choisir un type d'instance

    • En haut de la liste des types d'instance, choisissez t2.micro.

    • Sélectionnez Next: Configure Instance Details.

    Étape 3 : Configurer les détails de l'instance

    • Accédez à Réseau et choisissez votre valeur par défautVPC.

      Choisissez Next: Add Storage (Suivant : Ajouter le stockage).

    Étape 4 : Ajouter du stockage

    • Ignorez cette étape en choisissant Next: Tag Instance.

    Étape 5 : étiqueter l'instance

    • Ignorez cette étape en choisissant Next: Configure Security Group.

    Étape 6 : Configurer un groupe de sécurité

    • Choisissez Select an existing security group.

    • Dans la liste des groupes de sécurité, choisissez default. Il s'agit du groupe de sécurité par défaut pour votreVPC.

    • Choisissez Next: Review and Launch.

    Étape 7 : Examiner le lancement de l'instance

    • Choisissez Lancer.

  3. Dans la fenêtre Select an existing key pair or create a new key pair, sélectionnez l'une des options suivantes :

    • Si vous ne possédez pas de paire de EC2 clés Amazon, choisissez Create a new key pair et suivez les instructions. Il vous sera demandé de télécharger un fichier de clé privée (fichier .pem) ; vous aurez besoin de ce fichier ultérieurement lorsque vous vous connecterez à votre instance AmazonEC2.

    • Si vous possédez déjà une paire de EC2 clés Amazon, rendez-vous sur Sélectionner une paire de clés et choisissez votre paire de clés dans la liste. Vous devez déjà disposer du fichier de clé privée (fichier .pem) pour pouvoir vous connecter à votre instance AmazonEC2.

  4. Lorsque vous aurez configuré votre paire de clés, choisissez Launch Instances.

  5. Retournez sur la page d'accueil de la EC2 console Amazon et choisissez l'instance que vous avez lancée. Dans le volet inférieur, sous l'onglet Description, recherchez le Public DNS pour votre instance. olpPar exemple : ec2-00-00-00-00.us-east-1.compute.amazonaws.com.

    Notez ce DNS nom public, car vous en aurez besoin à l'étape suivante de ce didacticiel (Étape 2 : configurer votre EC2 instance Amazon).

Note

Il faudra quelques minutes pour que votre EC2 instance Amazon soit disponible. Avant de passer à l'étape suivante, assurez-vous que l'Instance State (État de l'instance) est running et que tous ses Status Checks (Contrôles d'état) ont réussi.

Étape 2 : configurer votre EC2 instance Amazon

Lorsque votre EC2 instance Amazon sera disponible, vous pourrez vous y connecter et la préparer pour la première utilisation.

Note

Les étapes suivantes supposent que vous vous connectez à votre EC2 instance Amazon depuis un ordinateur exécutant Linux. Pour d'autres méthodes de connexion, consultez Connect to Your Linux Instance dans le guide de EC2 l'utilisateur Amazon.

  1. Vous devez autoriser le SSH trafic entrant vers votre EC2 instance Amazon. Pour ce faire, vous allez créer un nouveau groupe de EC2 sécurité, puis l'attribuer à votre EC2 instance.

    1. Dans le panneau de navigation, choisissez Security Groups (Groupes de sécurité).

    2. Sélectionnez Créer un groupe de sécurité. Dans la fenêtre Créer un groupe de sécurité, procédez comme suit :

      • Security group name (Nom du groupe de sécurité) – Entrez un nom unique pour votre groupe de sécurité. Par exemple : my-ssh-access

      • Description – Entrez une brève description du groupe de sécurité.

      • VPC—choisissez votre valeur par défautVPC.

      • Dans la section Security group rules (Règles du groupe de sécurité), choisissez Add Rule (Ajouter une règle), puis procédez comme suit :

        • Tapez —choisissezSSH.

        • Source – Choisissez Mon IP.

      Lorsque les paramètres vous conviennent, choisissez Create.

    3. Dans le panneau de navigation, choisissez Instances.

    4. Choisissez l'EC2instance Amazon dans laquelle vous avez été lancéeÉtape 1 : Lancer une EC2 instance Amazon.

    5. Sélectionnez Actions, Networking (Mise en réseau), Change Security Groups (Changer les groupes de sécurité).

    6. Dans Change Security Groups (Modifier les groupes de sécurité), sélectionnez le groupe de sécurité que vous avez créé précédemment dans cette procédure (par exemple, my-ssh-access). Le groupe de sécurité default existant doit également être sélectionné. Lorsque les paramètres vous conviennent, choisissez Assign Security Groups (Affecter les groupes de sécurité).

  2. Utilisez la ssh commande pour vous connecter à votre EC2 instance Amazon, comme dans l'exemple suivant.

    ssh -i my-keypair.pem ec2-user@public-dns-name

    Vous devrez spécifier votre fichier de clé privée (fichier .pem) et le DNS nom public de votre instance. (Consultez Étape 1 : Lancer une EC2 instance Amazon).

    L'ID de connexion est ec2-user. Aucun mot de passe n'est requis.

  3. Configurez vos AWS informations d'identification comme indiqué dans l'exemple suivant. Saisissez vos ID de clé d'accès, clé secrète et nom de région par défaut AWS lorsque vous y êtes invité.

    aws configure
    AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-east-1
Default output format [None]:

Vous êtes maintenant prêt à créer un VPC point de terminaison pour DynamoDB.

Étape 3 : créer un VPC point de terminaison pour DynamoDB

Au cours de cette étape, vous allez créer un VPC point de terminaison pour DynamoDB et le tester pour vous assurer qu'il fonctionne.

  1. Avant de commencer, vérifiez que vous pouvez communiquer avec DynamoDB à l'aide de son point de terminaison public.

    aws dynamodb list-tables

    La sortie affiche la liste des tables DynamoDB que vous possédez actuellement (si vous n'avez aucune table, la liste est vide).

  2. Vérifiez que DynamoDB est un service disponible pour VPC créer des points de terminaison dans la région actuelle. AWS (la commande est affichée en gras, suivie d'un exemple de sortie).

    aws ec2 describe-vpc-endpoint-services
    {
    "ServiceNames": [
        "com.amazonaws.us-east-1.s3",
        "com.amazonaws.us-east-1.dynamodb"
    ]
}

    Dans l'exemple de sortie, DynamoDB est l'un des services disponibles. Vous pouvez donc procéder à la création d'VPCun point de terminaison pour celui-ci.

  3. Déterminez votre VPC identifiant.

    aws ec2 describe-vpcs
    {
    "Vpcs": [
        {
            "VpcId": "vpc-0bbc736e", 
            "InstanceTenancy": "default", 
            "State": "available", 
            "DhcpOptionsId": "dopt-8454b7e1", 
            "CidrBlock": "172.31.0.0/16", 
            "IsDefault": true
        }
    ]
}

    Dans l'exemple de sortie, l'VPCID estvpc-0bbc736e.

  4. Créez le VPC point de terminaison. Pour le --vpc-id paramètre, spécifiez l'VPCID de l'étape précédente. Utilisez le paramètre --route-table-ids pour associer le point de terminaison à vos tables de routage.

    aws ec2 create-vpc-endpoint --vpc-id vpc-0bbc736e --service-name com.amazonaws.us-east-1.dynamodb --route-table-ids rtb-11aa22bb
    {
    "VpcEndpoint": {
        "PolicyDocument": "{\"Version\":\"2008-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":\"*\",\"Action\":\"*\",\"Resource\":\"*\"}]}", 
        "VpcId": "vpc-0bbc736e", 
        "State": "available", 
        "ServiceName": "com.amazonaws.us-east-1.dynamodb", 
        "RouteTableIds": [
            "rtb-11aa22bb"
        ],
        "VpcEndpointId": "vpce-9b15e2f2", 
        "CreationTimestamp": "2017-07-26T22:00:14Z"
    }
}

  5. Vérifiez que vous pouvez accéder à DynamoDB via le point de terminaison. VPC

    aws dynamodb list-tables

    Si vous le souhaitez, vous pouvez essayer d'autres AWS CLI commandes pour DynamoDB. Pour plus d’informations, consultez la référence de la commande AWS CLI.

Étape 4 : (Facultatif) nettoyer

Si vous souhaitez supprimer les ressources que vous avez créées dans ce didacticiel, procédez comme suit :

Pour supprimer votre VPC point de terminaison pour DynamoDB

  1. Connectez-vous à votre EC2 instance Amazon.

  2. Déterminez l'ID du point de VPC terminaison.

    aws ec2 describe-vpc-endpoints
    {
    "VpcEndpoint": {
        "PolicyDocument": "{\"Version\":\"2008-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":\"*\",\"Action\":\"*\",\"Resource\":\"*\"}]}", 
        "VpcId": "vpc-0bbc736e", 
        "State": "available", 
        "ServiceName": "com.amazonaws.us-east-1.dynamodb", 
        "RouteTableIds": [], 
        "VpcEndpointId": "vpce-9b15e2f2", 
        "CreationTimestamp": "2017-07-26T22:00:14Z"
    }
}

    Dans l'exemple de sortie, l'ID du VPC point de terminaison estvpce-9b15e2f2.

  3. Supprimez le VPC point de terminaison.

    aws ec2 delete-vpc-endpoints --vpc-endpoint-ids vpce-9b15e2f2
    {
    "Unsuccessful": []
}

    Le tableau vide [] indique le succès de l'opération (il n'y a pas eu de demande infructueuse).

Pour mettre fin à votre EC2 instance Amazon

  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, choisissez Instances.

  3. Choisissez votre EC2 instance Amazon.

  4. Choisissez Actions, Instance State (État de l'instance), Terminate (Résilier).

  5. Dans la fenêtre de confirmation, choisissez Yes, Terminate (Oui, Résilier).