Mengamankan koneksi VPC DynamoDB menggunakan endpoint dan kebijakan IAM - Amazon DynamoDB
Kebijakan yang diperlukan untuk titik akhirLalu lintas antara layanan dan aplikasi serta klien on-premiseLalu lintas antara sumber daya AWS di Wilayah yang sama

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengamankan koneksi VPC DynamoDB menggunakan endpoint dan kebijakan IAM

Sambungan dilindungi baik antara Amazon DynamoDB dan aplikasi lokal dan antara DynamoDB dan sumber daya lain dalam Wilayah yang sama. AWS AWS

Kebijakan yang diperlukan untuk titik akhir

Amazon DynamoDB menyediakan DescribeEndpointsAPIa yang memungkinkan Anda menghitung informasi titik akhir regional. Untuk permintaan ke titik akhir DynamoDB publik, API respons akan merespons terlepas dari kebijakan DynamoDB yang dikonfigurasi, meskipun ada IAM penolakan eksplisit atau implisit dalam kebijakan atau titik akhir. IAM VPC Ini karena DynamoDB sengaja melewatkan otorisasi untuk. DescribeEndpoints API

Untuk permintaan dari titik akhir, kebijakan VPC endpoint IAM dan Virtual Private Cloud (VPC) harus mengotorisasi DescribeEndpoints API panggilan untuk prinsipal Identity and Access Management yang meminta menggunakan tindakan. IAM IAM dynamodb:DescribeEndpoints Jika tidak, akses ke DescribeEndpoints API akan ditolak.

Berikut adalah sebuah contoh kebijakan titik akhir.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "(Include IAM Principals)",
            "Action": "dynamodb:DescribeEndpoints",
            "Resource": "*"
        }
    ]
}

Lalu lintas antara layanan dan aplikasi serta klien on-premise

Anda memiliki dua opsi konektivitas antara jaringan pribadi Anda dan AWS:

Akses ke DynamoDB melalui jaringan melalui dipublikasikan. AWS APIs Klien harus mendukung Transport Layer Security (TLS) 1.2. Kami merekomendasikan TLS 1.3. Klien juga harus mendukung cipher suite dengan Perfect Forward Secrecy (PFS), seperti Ephemeral Diffie-Hellman () atau Elliptic Curve Diffie-Hellman Ephemeral (). DHE ECDHE Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini. Selain itu, Anda harus menandatangani permintaan menggunakan ID kunci akses dan kunci akses rahasia yang terkait dengan IAM prinsipal, atau Anda dapat menggunakan AWS Security Token Service (STS) untuk menghasilkan kredenal keamanan sementara untuk menandatangani permintaan.

Lalu lintas antara sumber daya AWS di Wilayah yang sama

Titik akhir Amazon Virtual Private Cloud (AmazonVPC) untuk DynamoDB adalah entitas logis dalam VPC a yang memungkinkan konektivitas hanya untuk DynamoDB. Amazon VPC merutekan permintaan ke DynamoDB dan merutekan respons kembali ke file. VPC Untuk informasi selengkapnya, lihat VPCtitik akhir di Panduan VPC Pengguna Amazon. Misalnya kebijakan yang dapat Anda gunakan untuk mengontrol akses dari VPC titik akhir, lihat Menggunakan IAM kebijakan untuk mengontrol akses ke DynamoDB.

catatan

VPCTitik akhir Amazon tidak dapat diakses melalui AWS Site-to-Site VPN atau AWS Direct Connect.