AWS PrivateLink pour DynamoDB - Amazon DynamoDB
Types de points de terminaison Amazon VPCConsidérations relatives à l'utilisation AWS PrivateLink d'Amazon DynamoDBCréation d’un point de terminaison Amazon VPCAccès aux points de terminaison de l'interface Amazon DynamoDBAccès aux tables DynamoDB et contrôle les opérations de l'API depuis les points de terminaison de l'interface DynamoDBMise à jour d'une configuration DNS sur siteCréation d'une politique de point de terminaison Amazon VPC

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS PrivateLink pour DynamoDB

Avec AWS PrivateLink DynamoDB, vous pouvez provisionner des points de terminaison Amazon VPC (points de terminaison d'interface) dans votre cloud privé virtuel (Amazon VPC). Ces points de terminaison sont directement accessibles depuis des applications installées sur site via un VPN et/ou via un autre système de peering Région AWS via Amazon VPC. AWS Direct ConnectÀ l'aide de points de terminaison AWS PrivateLink et d'interface, vous pouvez simplifier la connectivité au réseau privé entre vos applications et DynamoDB.

Les applications de votre VPC n'ont pas besoin d'adresses IP publiques pour communiquer avec les points de terminaison VPC de l'interface DynamoDB pour les opérations DynamoDB. Les points de terminaison d'interface sont représentés par une ou plusieurs interfaces réseau élastiques (ENI) auxquelles des adresses IP privées sont attribuées à partir de sous-réseaux de votre Amazon VPC. Les demandes adressées à DynamoDB via les points de terminaison de l'interface restent sur le réseau Amazon. Vous pouvez également accéder aux points de terminaison d'interface de votre Amazon VPC à partir d'applications sur site AWS Direct Connect via AWS Virtual Private Network ou ().AWS VPNPour plus d'informations sur la façon de connecter votre Amazon VPC à votre réseau local, consultez le guide de l'utilisateur et le guide de AWS Direct Connect l'utilisateur.AWS Site-to-Site VPN

Pour des informations générales sur les points de terminaison d'interface, consultez Interface Amazon VPC endpoints AWS PrivateLink() dans le Guide.AWS PrivateLink

Types de points de terminaison Amazon VPC pour Amazon DynamoDB

Vous pouvez utiliser deux types de points de terminaison Amazon VPC pour accéder à Amazon DynamoDB : les points de terminaison de passerelle et les points de terminaison d'interface (en utilisant). AWS PrivateLink Un point de terminaison de passerelle est une passerelle que vous spécifiez dans votre table de routage pour accéder à DynamoDB depuis votre Amazon VPC via le réseau. AWS Les points de terminaison d'interface étendent les fonctionnalités des points de terminaison de passerelle en utilisant des adresses IP privées pour acheminer les demandes vers DynamoDB depuis votre Amazon VPC, sur site, ou depuis un Amazon VPC dans un autre en utilisant Amazon VPC peering ou. Région AWS AWS Transit Gateway Pour plus d'informations, consultez Qu'est-ce qu'Amazon VPC peering ? et Transit Gateway contre Amazon VPC peering.

Les points de terminaison d'interface sont compatibles avec les points de terminaison de passerelle. Si vous avez déjà un point de terminaison de passerelle dans Amazon VPC, vous pouvez utiliser les deux types de points de terminaison dans le même Amazon VPC.

Points de terminaison de passerelle pour DynamoDB

Points de terminaison d'interface pour DynamoDB

Dans les deux cas, votre trafic réseau reste sur le AWS réseau.

Utiliser les adresses IP publiques Amazon DynamoDB

Utilisez les adresses IP privées de votre Amazon VPC pour accéder à Amazon DynamoDB

N'autorise pas l'accès sur site

Autoriser l'accès depuis vos sites

Ne pas autoriser l'accès depuis un autre Région AWS

Autorisez l'accès depuis un point de terminaison Amazon VPC à un autre en Région AWS utilisant Amazon VPC peering ou AWS Transit Gateway

Non facturé

Facturé

Pour plus d'informations sur les points de terminaison de passerelle, consultez la section Points de terminaison Gateway Amazon VPC dans le Guide.AWS PrivateLink

Les considérations relatives à Amazon VPC s'appliquent à Amazon AWS PrivateLink DynamoDB. Pour plus d'informations, consultez Considérations sur les points de terminaison d'interface et Quotas AWS PrivateLink dans le Guide AWS PrivateLink . En outre, les restrictions suivantes s'appliquent.

AWS PrivateLink pour Amazon DynamoDB ne prend pas en charge les éléments suivants :

AWS PrivateLink n'est actuellement pas pris en charge pour les Amazon DynamoDB Streams terminaux.

Vous pouvez envoyer jusqu'à 50 000 demandes par seconde pour chaque AWS PrivateLink point de terminaison que vous activez.

Note

Les délais de connectivité réseau vers les AWS PrivateLink points de terminaison ne sont pas concernés par les réponses d'erreur DynamoDB et doivent être gérés de manière appropriée par les applications qui se connectent aux points de terminaison. PrivateLink

Création d’un point de terminaison Amazon VPC

Pour créer un point de terminaison d'interface Amazon VPC, consultez la section Créer un point de terminaison Amazon VPC dans le Guide.AWS PrivateLink

Accès aux points de terminaison de l'interface Amazon DynamoDB

Lorsque vous créez un point de terminaison d'interface, DynamoDB génère deux types de noms DNS DynamoDB spécifiques au point de terminaison : régional et zonal.

  • Un nom DNS régional inclut un identifiant de point de terminaison Amazon VPC unique, un identifiant de service Région AWS, le et vpce.amazonaws.com dans son nom. Par exemple, pour l'ID de point de terminaison Amazon VPCvpce-1a2b3c4d, le nom DNS généré peut être similaire à. vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com

  • Les noms DNS zonaux incluent la zone de disponibilité, par exemple, vpce-1a2b3c4d-5e6f-us-east-1a.dynamodb.us-east-1.vpce.amazonaws.com. Vous pouvez utiliser cette option si votre architecture isole les zones de disponibilité. Par exemple, vous pouvez l'utiliser pour contenir les pannes ou réduire les coûts de transfert de données Régionaux.

Les noms DNS DynamoDB spécifiques à un point de terminaison peuvent être résolus à partir du domaine DNS public DynamoDB.

Accès aux tables DynamoDB et contrôle les opérations de l'API depuis les points de terminaison de l'interface DynamoDB

Vous pouvez utiliser les AWS SDK AWS CLI ou pour accéder aux tables DynamoDB et contrôler les opérations d'API via les points de terminaison de l'interface DynamoDB.

Pour accéder aux tables DynamoDB ou aux opérations de l'API de contrôle DynamoDB via les points de terminaison de l'interface DynamoDB dans les commandes, utilisez les paramètres et. AWS CLI --region --endpoint-url

Exemple : créer un point de terminaison VPC

aws ec2 create-vpc-endpoint \
--region us-east-1 \
--service-name dynamodb-service-name \
--vpc-id client-vpc-id \
--subnet-ids client-subnet-id \
--vpc-endpoint-type Interface \
--security-group-ids client-sg-id

Exemple : modifier un point de terminaison VPC

aws ec2 modify-vpc-endpoint \
--region us-east-1 \
--vpc-endpoint-id client-vpc-endpoint-id \
--policy-document policy-document \ #example optional parameter
--add-security-group-ids security-group-ids \ #example optional parameter 
# any additional parameters needed, see Privatelink documentation for more details

Exemple : Lister les tables à l'aide d'une URL de point de terminaison

Dans l'exemple suivant, remplacez la région us-east-1 et le nom DNS de l'ID de point de terminaison du VPC vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com par vos propres informations.

aws dynamodb --region us-east-1 —endpoint https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com list-tables

Pour accéder aux tables DynamoDB ou aux opérations de l'API de contrôle DynamoDB via les points de terminaison de l'interface DynamoDB lorsque vous utilisez les SDK, mettez à jour vos SDK avec la dernière version. AWS Configurez ensuite vos clients pour qu'ils utilisent une URL de point de terminaison pour accéder à une table ou à une opération d'API de contrôle DynamoDB via les points de terminaison de l'interface DynamoDB.

SDK for Python (Boto3)
Exemple : utiliser l'URL d'un point de terminaison pour accéder à une table DynamoDB

Dans l'exemple suivant, remplacez la région us-east-1 et l'ID du point de terminaison d'un VPC https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com par vos propres informations.

ddb_client = session.client(
service_name='dynamodb',
region_name='us-east-1',
endpoint_url='https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com'
)
SDK for Java 1.x
Exemple : utiliser l'URL d'un point de terminaison pour accéder à une table DynamoDB

Dans l'exemple suivant, remplacez la région us-east-1 et l'ID du point de terminaison d'un VPC https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com par vos propres informations.

//client build with endpoint config  
final AmazonDynamoDB dynamodb = AmazonDynamoDBClientBuilder.standard().withEndpointConfiguration(
        new AwsClientBuilder.EndpointConfiguration(
                "https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com",
                Regions.DEFAULT_REGION.getName()
        )
).build();
SDK for Java 2.x
Exemple : utiliser l'URL d'un point de terminaison pour accéder à la table DynamoDB

Dans l'exemple suivant, remplacez le Region us-east-1 et l'ID de point de terminaison VPC https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com par vos propres informations.

Region region = Region.US_EAST_1;
dynamoDbClient = DynamoDbClient.builder().region(region)
.endpointOverride(URI.create("https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com"))
.build()

Mise à jour d'une configuration DNS sur site

Lorsque vous utilisez des noms DNS spécifiques à un point de terminaison pour accéder aux points de terminaison de l'interface DynamoDB, il n'est pas nécessaire de mettre à jour votre résolveur DNS local. Vous pouvez résoudre le nom DNS spécifique au point de terminaison avec l'adresse IP privée du point de terminaison de l'interface depuis le domaine DNS DynamoDB public.

Utilisation de points de terminaison d'interface pour accéder à DynamoDB sans point de terminaison passerelle ou passerelle Internet dans Amazon VPC

Les points de terminaison de l'interface de votre Amazon VPC peuvent acheminer à la fois les applications Amazon VPC et les applications sur site vers DynamoDB via le réseau Amazon, comme illustré dans le schéma suivant.

Schéma de flux de données montrant l'accès à DynamoDB depuis des applications VPC locales et intégrées à Amazon ; à l'aide d'un point de terminaison d'interface et. AWS PrivateLink

Le diagramme illustre les éléments suivants :

  • Votre réseau sur site utilise AWS Direct Connect ou AWS VPN pour se connecter à Amazon VPC A.

  • Vos applications sur site et dans Amazon VPC A utilisent des noms DNS spécifiques au point de terminaison pour accéder à DynamoDB via le point de terminaison de l'interface DynamoDB.

  • Les applications sur site envoient des données au point de terminaison de l'interface dans l'Amazon VPC AWS Direct Connect via (ou) AWS VPN. AWS PrivateLink déplace les données du point de terminaison de l'interface vers DynamoDB via le réseau. AWS

  • Les applications VPC d'Amazon envoient également du trafic vers le point de terminaison de l'interface. AWS PrivateLink déplace les données du point de terminaison de l'interface vers DynamoDB via le réseau. AWS

Utilisation conjointe des points de terminaison de passerelle et des points de terminaison d'interface dans le même Amazon VPC pour accéder à DynamoDB

Vous pouvez créer des points de terminaison d'interface et conserver le point de terminaison de passerelle existant dans le même Amazon VPC, comme le montre le schéma suivant. En adoptant cette approche, vous autorisez les applications VPC d'Amazon à continuer d'accéder à DynamoDB via le point de terminaison de la passerelle, qui n'est pas facturé. Dans ce cas, seules vos applications locales utiliseront les points de terminaison d'interface pour accéder à DynamoDB. Pour accéder à DynamoDB de cette manière, vous devez mettre à jour vos applications locales afin d'utiliser des noms DNS spécifiques aux points de terminaison pour DynamoDB.

Schéma de flux de données illustrant l'accès à DynamoDB en utilisant conjointement les points de terminaison de passerelle et les points de terminaison d'interface.

Le diagramme illustre les éléments suivants :

  • Les applications sur site utilisent des noms DNS spécifiques au point de terminaison pour envoyer des données au point de terminaison de l'interface au sein d'Amazon VPC via (ou). AWS Direct Connect AWS VPN AWS PrivateLink déplace les données du point de terminaison de l'interface vers DynamoDB via le réseau. AWS

  • À l'aide des noms DynamoDB régionaux par défaut, les applications VPC intégrées à Amazon envoient des données au point de terminaison de la passerelle qui se connecte à DynamoDB via le réseau. AWS

Pour plus d'informations sur les points de terminaison de passerelle, consultez la section Points de terminaison Gateway Amazon VPC dans le guide de l'utilisateur Amazon VPC.

Création d'une politique de point de terminaison Amazon VPC pour DynamoDB

Vous pouvez associer une politique de point de terminaison à votre point de terminaison Amazon VPC qui contrôle l'accès à DynamoDB. La politique spécifie les informations suivantes :

  • Le principal AWS Identity and Access Management (IAM) qui peut effectuer des actions

  • Les actions qui peuvent être effectuées.

  • Les ressources sur lesquelles les actions peuvent être exécutées.

Vous pouvez créer une politique de point de terminaison qui limite l'accès à des tables DynamoDB spécifiques uniquement. Ce type de politique est utile si d'autres politiques Services AWS de votre Amazon VPC utilisent des tables. La politique de table suivante restreint l'accès uniquement auxDOC-EXAMPLE-TABLE. Pour utiliser cette politique de point de terminaison, DOC-EXAMPLE-TABLE remplacez-la par le nom de votre table.

{
"Version": "2012-10-17",
  "Id": "Policy1216114807515",
  "Statement": [
    { "Sid": "Access-to-specific-table-only",
      "Principal": "*",
      "Action": [
        "dynamodb:GetItem",
        "dynamodb:PutItem"
      ],
      "Effect": "Allow",
      "Resource": ["arn:aws:dynamodb:::DOC-EXAMPLE-TABLE",
                   "arn:aws:dynamodb:::DOC-EXAMPLE-TABLE/*"]
    }
  ]
}