Points de terminaison de passerelle pour Amazon DynamoDB - Amazon Virtual Private Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Points de terminaison de passerelle pour Amazon DynamoDB

Vous pouvez accéder à Amazon DynamoDB depuis VPC vos points de terminaison de passerelle d'utilisation. VPC Après avoir créé le point de terminaison de la passerelle, vous pouvez l'ajouter en tant que cible dans votre table de routage pour le trafic destiné VPC à DynamoDB.

Il n'y a pas de frais supplémentaires pour l'utilisation de points de terminaison de passerelle.

DynamoDB prend en charge à la fois les points de terminaison de passerelle et les points de terminaison d'interface. Avec un point de terminaison passerelle, vous pouvez accéder à DynamoDB depuis VPC votre ordinateur, sans avoir besoin d'une passerelle Internet NAT ou d'VPCun appareil, et sans frais supplémentaires. Toutefois, les points de terminaison de la passerelle n'autorisent pas l'accès depuis des réseaux locaux, depuis des réseaux homologues VPCs dans d'autres AWS régions ou via une passerelle de transit. Pour ces scénarios, vous devez utiliser un point de terminaison d'interface qui est disponible moyennant des frais supplémentaires. Pour plus d'informations, consultez la section Types de VPC points de terminaison pour DynamoDB dans le manuel du développeur Amazon DynamoDB.

Considérations

  • Le point de terminaison de passerelle est disponible uniquement dans la Région où vous l'avez créé. Veillez à créer votre point de terminaison de passerelle dans la même Région que vos tables DynamoDB.

  • Si vous utilisez les DNS serveurs Amazon, vous devez activer à la fois les DNSnoms d'hôte et DNS la résolution pour votreVPC. Si vous utilisez votre propre DNS serveur, assurez-vous que les demandes adressées à DynamoDB sont correctement résolues vers les adresses IP gérées par. AWS

  • Les règles des groupes de sécurité pour les instances qui accèdent à DynamoDB par le point de terminaison de passerelle doivent autoriser le trafic en provenance et à destination de DynamoDB. Vous pouvez faire référence à l'ID de la liste de préfixes pour DynamoDB dans les règles du groupe de sécurité.

  • Le réseau ACL du sous-réseau de vos instances qui accèdent à DynamoDB via un point de terminaison de passerelle doit autoriser le trafic à destination et en provenance de DynamoDB. Vous ne pouvez pas faire référence à des listes de préfixes dans ACL les règles réseau, mais vous pouvez obtenir la plage d'adresses IP de DynamoDB à partir de la liste de préfixes de DynamoDB.

  • Si vous enregistrez AWS CloudTrail les opérations DynamoDB, les fichiers journaux contiennent les adresses IP privées des instances du VPC consommateur de services et l'ID EC2 du point de terminaison de la passerelle pour toutes les demandes effectuées via le point de terminaison.

  • Les points de terminaison de la passerelle prennent en charge uniquement IPv4 le trafic.

  • Les IPv4 adresses source des instances de vos sous-réseaux concernés passent d'IPv4adresses publiques à des IPv4 adresses privées provenant de votreVPC. Un point de terminaison change de route réseau et déconnecte TCP les connexions ouvertes. Les connexions précédentes qui utilisaient des IPv4 adresses publiques ne sont pas reprises. Nous vous recommandons de ne pas exécuter de tâches importantes lorsque vous créez ou modifiez un point de terminaison de passerelle. Vous pouvez également vérifier que votre logiciel peut se reconnecter automatiquement à DynamoDB en cas de rupture de connexion.

  • Les connexions aux terminaux ne peuvent pas être étendues à partir d'unVPC. Les ressources situées de l'autre côté d'une connexion, d'une VPN connexion d'VPCappairage, d'une passerelle de transit ou d'une AWS Direct Connect connexion dans votre établissement VPC ne peuvent pas utiliser un point de terminaison de passerelle pour communiquer avec DynamoDB.

  • Votre compte dispose d'un quota par défaut de 20 points de terminaison de passerelle par Région, qui est réglable. Il existe également une limite de 255 points de terminaison de passerelle par. VPC

Créer un point de terminaison de passerelle

Utilisez la procédure suivante pour créer un point de terminaison de passerelle qui se connecte à DynamoDB.

Pour créer un point de terminaison de passerelle à l'aide de la console
  1. Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Points de terminaison.

  3. Choisissez Créer un point de terminaison.

  4. Pour Service category (Catégorie de service), choisissez Services AWS.

  5. Pour les services, ajoutez le filtre Type = Gateway et sélectionnez com.amazonaws.region.dynamodb.

  6. Pour VPC, sélectionnez le point de terminaison VPC dans lequel vous souhaitez créer le point de terminaison.

  7. Pour Configure route tables (Configurer les tables de routage), sélectionnez les tables de routage qui seront utilisées par le point de terminaison. Nous ajoutons automatiquement un itinéraire qui dirige le trafic destiné au service vers l'interface réseau de point de terminaison.

  8. Pour Policy, sélectionnez Accès complet pour autoriser toutes les opérations effectuées par tous les principaux sur toutes les ressources du VPC point de terminaison. Sinon, sélectionnez Personnalisé pour associer une politique de point de VPC terminaison qui contrôle les autorisations dont disposent les principaux pour effectuer des actions sur les ressources via le VPC point de terminaison.

  9. (Facultatif) Pour ajouter une identification, choisissez Add new tag (Ajouter une identification) et saisissez la clé et la valeur de l’identification.

  10. Choisissez Créer un point de terminaison.

Pour créer un point de terminaison de passerelle à l'aide de la ligne de commande

Contrôlez l'accès à l'aide IAM de politiques

Vous pouvez créer des IAM politiques pour contrôler les IAM principaux autorisés à accéder aux tables DynamoDB à l'aide d'un point de terminaison spécifique. VPC

Exemple : restriction de l'accès à un point de terminaison spécifique

Vous pouvez créer une politique qui restreint l'accès à un point de VPC terminaison spécifique à l'aide de la clé de sourceVpce condition aws :. La politique suivante refuse l'accès aux tables DynamoDB du compte, sauf si le point de terminaison VPC spécifié est utilisé. Cet exemple suppose qu'il existe également une déclaration de politique qui autorise l'accès requis pour vos cas d'utilisation.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow-access-from-specific-endpoint", "Effect": "Deny", "Principal": "*", "Action": "dynamodb:*", "Resource": "arn:aws:dynamodb:region:account-id:table/*", "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-11aa22bb" } } } ] }
Exemple : autoriser l'accès à partir d'un IAM rôle spécifique

Vous pouvez créer une politique qui autorise l'accès à l'aide d'un IAM rôle spécifique. La politique suivante accorde l'accès au IAM rôle spécifié.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow-access-from-specific-IAM-role", "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "ArnEquals": { "aws:PrincipalArn": "arn:aws:iam::111122223333:role/role_name" } } } ] }
Exemple : autorisation d'accès à partir d'un compte spécifique

Vous pouvez créer une politique qui n'autorise l'accès qu'à partir d'un compte spécifique. La politique suivante accorde l'accès aux utilisateurs du compte spécifié.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow-access-from-account", "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalAccount": "111122223333" } } } ] }

Association de tables de routage

Vous pouvez modifier les tables de routage qui sont associées au point de terminaison de passerelle. Lorsque vous associez une table de routage, nous ajoutons automatiquement un itinéraire qui dirige le trafic destiné au service vers l'interface réseau du point de terminaison. Lorsque vous dissociez une table de routage, nous supprimons automatiquement le point de terminaison de la table de routage.

Pour associer des tables de routage à l'aide de la console
  1. Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Points de terminaison.

  3. Sélectionnez le point de terminaison de passerelle.

  4. Choisissez Actions, Gérer les tables de routage.

  5. Sélectionnez ou désélectionnez les tables de routage si nécessaire.

  6. Choisissez Modify route tables (Modifier les tables de routage).

Pour associer des tables de routage à l'aide de la ligne de commande

Modifier la politique du VPC point de terminaison

Vous pouvez modifier la politique de point de terminaison d'un point de terminaison de passerelle, qui contrôle l'accès à DynamoDB depuis VPC le point de terminaison. La politique par défaut permet un accès complet. Pour de plus amples informations, veuillez consulter Politiques de point de terminaison.

Pour modifier la politique de point de terminaison à l'aide de la console
  1. Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Points de terminaison.

  3. Sélectionnez le point de terminaison de passerelle.

  4. Choisissez Actions, Manage policy (Gérer la politique).

  5. Choisissez Full Access (Accès complet) pour autoriser un accès complet au service, ou choisissez Custom (Personnalisé) et joignez une politique personnalisée.

  6. Choisissez Save (Enregistrer).

Pour modifier un point de terminaison de passerelle à l'aide de la ligne de commande

Voici des exemples de stratégies de point de terminaison pour accéder à DynamoDB.

Exemple : autorisation d'accès en lecture seule

Vous pouvez créer une politique qui restreint l'accès en lecture seule. La politique suivante accorde l'autorisation de lister et de décrire les tables DynamoDB.

{ "Statement": [ { "Sid": "ReadOnlyAccess", "Effect": "Allow", "Principal": "*", "Action": [ "dynamodb:DescribeTable", "dynamodb:ListTables" ], "Resource": "*" } ] }
Exemple : restreindre l'accès à une table spécifique

Vous pouvez créer une stratégie qui restreint l'accès à une table DynamoDB spécifique. La politique suivante autorise l'accès à la table DynamoDB spécifiée.

{ "Statement": [ { "Sid": "Allow-access-to-specific-table", "Effect": "Allow", "Principal": "*", "Action": [ "dynamodb:Batch*", "dynamodb:Delete*", "dynamodb:DescribeTable", "dynamodb:GetItem", "dynamodb:PutItem", "dynamodb:Update*" ], "Resource": "arn:aws:dynamodb:region:123456789012:table/table_name" } ] }

Suppression d'un point de terminaison de passerelle

Lorsque vous avez terminé avec un point de terminaison de passerelle, vous pouvez le supprimer. Lorsque vous supprimez un point de terminaison de passerelle, nous supprimons l'itinéraire du point de terminaison des tables de routage du sous-réseau.

Pour supprimer un point de terminaison de passerelle à l'aide de la console
  1. Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Points de terminaison.

  3. Sélectionnez le point de terminaison de passerelle.

  4. Choisissez Actions, Supprimer les VPC points de terminaison.

  5. À l’invite de confirmation, saisissez delete.

  6. Sélectionnez Delete (Supprimer).

Pour supprimer un point de terminaison de passerelle à l'aide de la ligne de commande