AWS PrivateLink untuk DynamoDB - Amazon DynamoDB
Jenis titik VPC akhir AmazonPertimbangan saat menggunakan AWS PrivateLink untuk Amazon DynamoDBMembuat titik VPC akhir AmazonMengakses titik akhir antarmuka Amazon DynamoDBMengakses tabel DynamoDB dan mengontrol API operasi dari titik akhir antarmuka DynamoDBMemperbarui konfigurasi lokal DNSMembuat kebijakan VPC endpoint Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS PrivateLink untuk DynamoDB

Dengan AWS PrivateLink untuk DynamoDB, Anda dapat menyediakan antarmuka VPC Amazon endpoint (titik akhir antarmuka) di cloud pribadi virtual Anda (Amazon). VPC Titik akhir ini dapat diakses langsung dari aplikasi yang ada di tempat di atas VPN dan AWS Direct Connect, atau berbeda dengan Wilayah AWS VPCpeering Amazon. Menggunakan AWS PrivateLink dan antarmuka endpoint, Anda dapat menyederhanakan konektivitas jaringan pribadi dari aplikasi Anda ke DynamoDB.

Aplikasi di Anda VPC tidak memerlukan alamat IP publik untuk berkomunikasi dengan VPC titik akhir antarmuka DynamoDB untuk operasi DynamoDB. Endpoint antarmuka diwakili oleh satu atau lebih antarmuka jaringan elastis (ENIs) yang diberi alamat IP pribadi dari subnet di Amazon Anda. VPC Permintaan ke DynamoDB melalui titik akhir antarmuka tetap berada di jaringan Amazon. Anda juga dapat mengakses titik akhir antarmuka di Amazon VPC dari aplikasi lokal melalui AWS Direct Connect atau AWS Virtual Private Network ()AWS VPN. Untuk informasi selengkapnya tentang cara menghubungkan Amazon VPC dengan jaringan lokal, lihat Panduan AWS Direct Connect Pengguna dan Panduan AWS Site-to-Site VPN Pengguna.

Untuk informasi umum tentang titik akhir antarmuka, lihat VPCTitik akhir Antarmuka Amazon (AWS PrivateLink) di Panduan.AWS PrivateLink

Jenis VPC titik akhir Amazon untuk Amazon DynamoDB

Anda dapat menggunakan dua jenis VPC endpoint Amazon untuk mengakses Amazon DynamoDB: titik akhir gateway dan titik akhir antarmuka (dengan menggunakan). AWS PrivateLinkTitik akhir gateway adalah gateway yang Anda tentukan dalam tabel rute untuk mengakses DynamoDB dari VPC Amazon melalui jaringan. AWS Titik akhir antarmuka memperluas fungsionalitas titik akhir gateway dengan menggunakan alamat IP pribadi untuk merutekan permintaan ke DynamoDB dari dalam Amazon Anda, di tempat, atau dari VPC Amazon di VPC tempat lain Wilayah AWS dengan menggunakan peering Amazon atau. VPC AWS Transit Gateway Untuk informasi lebih lanjut, lihat Apa itu VPC peering Amazon? dan Transit Gateway vs Amazon VPC mengintip.

Titik akhir antarmuka kompatibel dengan titik akhir gateway. Jika Anda memiliki titik akhir gateway yang ada di AmazonVPC, Anda dapat menggunakan kedua jenis titik akhir di Amazon yang sama. VPC

Titik akhir Gateway untuk DynamoDB

Endpoint antarmuka untuk DynamoDB

Dalam kedua kasus, lalu lintas jaringan Anda tetap berada di AWS jaringan.

Menggunakan alamat IP publik Amazon DynamoDB

Gunakan alamat IP pribadi dari Amazon Anda VPC untuk mengakses Amazon DynamoDB

Jangan izinkan mengakses dari on-premise

Izinkan mengakses dari on-premise

Jangan izinkan akses dari yang lain Wilayah AWS

Izinkan akses dari VPC titik akhir Amazon di titik lain Wilayah AWS dengan menggunakan VPC peering Amazon atau AWS Transit Gateway

Tidak ditagih

Ditagih

Untuk informasi selengkapnya tentang titik akhir gateway, lihat VPCtitik akhir Gateway Amazon di Panduan.AWS PrivateLink

VPCPertimbangan Amazon berlaku AWS PrivateLink untuk Amazon DynamoDB. Untuk informasi selengkapnya, lihat Pertimbangan antarmuka titik akhir dan AWS PrivateLink kuota dalam AWS PrivateLink Panduan. Selain itu, larangan berikut juga berlaku.

AWS PrivateLink untuk Amazon DynamoDB tidak mendukung hal berikut:

  • Keamanan Lapisan Transportasi (TLS) 1.1

  • Layanan Sistem Nama Domain Pribadi dan Hybrid (DNS)

AWS PrivateLink saat ini tidak didukung untuk Amazon DynamoDB Streams titik akhir.

Anda dapat mengirimkan hingga 50.000 permintaan per detik untuk setiap AWS PrivateLink titik akhir yang Anda aktifkan.

catatan

Batas waktu konektivitas jaringan ke AWS PrivateLink titik akhir tidak berada dalam lingkup respons kesalahan DynamoDB dan perlu ditangani dengan tepat oleh aplikasi Anda yang terhubung ke titik akhir. PrivateLink

Membuat titik VPC akhir Amazon

Untuk membuat titik akhir VPC antarmuka Amazon, lihat Membuat VPC titik akhir Amazon di Panduan.AWS PrivateLink

Mengakses titik akhir antarmuka Amazon DynamoDB

Saat Anda membuat titik akhir antarmuka, DynamoDB menghasilkan dua jenis nama khusus titik akhir, DynamoDB: Regional dan zonal. DNS

  • DNSNama Regional mencakup ID VPC endpoint Amazon yang unik, pengenal layanan Wilayah AWS, dan vpce.amazonaws.com namanya. Misalnya, untuk ID VPC titik akhir Amazonvpce-1a2b3c4d, DNS nama yang dihasilkan mungkin mirip vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com dengan.

  • DNSNama Zonal mencakup Availability Zone—misalnya,. vpce-1a2b3c4d-5e6f-us-east-1a.dynamodb.us-east-1.vpce.amazonaws.com Anda dapat menggunakan opsi ini jika arsitektur Anda mengisolasi Zona Ketersediaan. Contoh, Anda bisa menggunakannya untuk kontainer kesalahan atau untuk mengurangi biaya transfer data Regional.

Nama DynamoDB khusus titik akhir dapat diselesaikan dari DNS domain publik DynamoDB. DNS

Mengakses tabel DynamoDB dan mengontrol API operasi dari titik akhir antarmuka DynamoDB

Anda dapat menggunakan AWS CLI atau AWS SDKs untuk mengakses tabel DynamoDB dan mengontrol API operasi melalui titik akhir antarmuka DynamoDB.

Untuk mengakses tabel DynamoDB atau API operasi kontrol DynamoDB melalui titik akhir antarmuka DynamoDB dalam perintah, gunakan dan parameter. AWS CLI --region --endpoint-url

Contoh: Buat titik VPC akhir

aws ec2 create-vpc-endpoint \
--region us-east-1 \
--service-name dynamodb-service-name \
--vpc-id client-vpc-id \
--subnet-ids client-subnet-id \
--vpc-endpoint-type Interface \
--security-group-ids client-sg-id

Contoh: Memodifikasi titik VPC akhir

aws ec2 modify-vpc-endpoint \
--region us-east-1 \
--vpc-endpoint-id client-vpc-endpoint-id \
--policy-document policy-document \ #example optional parameter
--add-security-group-ids security-group-ids \ #example optional parameter 
# any additional parameters needed, see Privatelink documentation for more details

Contoh: Daftar tabel menggunakan titik akhir URL

Dalam contoh berikut, ganti Wilayah us-east-1 dan DNS nama ID VPC endpoint vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com dengan informasi Anda sendiri.

aws dynamodb --region us-east-1 —endpoint https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com list-tables

Untuk mengakses tabel DynamoDB atau API operasi kontrol DynamoDB melalui titik akhir antarmuka DynamoDB saat menggunakan, perbarui ke versi terbaru. AWS SDKs SDKs Kemudian, konfigurasikan klien Anda untuk menggunakan titik akhir URL untuk mengakses tabel atau API operasi kontrol DynamoDB melalui titik akhir antarmuka DynamoDB.

SDK for Python (Boto3)
Contoh: Gunakan endpoint URL untuk mengakses tabel DynamoDB

Dalam contoh berikut, ganti Region us-east-1 dan VPC endpoint ID https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com dengan informasi Anda sendiri.

ddb_client = session.client(
service_name='dynamodb',
region_name='us-east-1',
endpoint_url='https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com'
)
SDK for Java 1.x
Contoh: Gunakan endpoint URL untuk mengakses tabel DynamoDB

Dalam contoh berikut, ganti Region us-east-1 dan VPC endpoint ID https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com dengan informasi Anda sendiri.

//client build with endpoint config  
final AmazonDynamoDB dynamodb = AmazonDynamoDBClientBuilder.standard().withEndpointConfiguration(
        new AwsClientBuilder.EndpointConfiguration(
                "https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com",
                Regions.DEFAULT_REGION.getName()
        )
).build();
SDK for Java 2.x
Contoh: Gunakan endpoint URL untuk mengakses tabel DynamoDB

Dalam contoh berikut, ganti Region us-east-1 VPC dan ID https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com endpoint dengan informasi Anda sendiri.

Region region = Region.US_EAST_1;
dynamoDbClient = DynamoDbClient.builder().region(region)
.endpointOverride(URI.create("https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com"))
.build()

Memperbarui konfigurasi lokal DNS

Saat menggunakan DNS nama khusus titik akhir untuk mengakses titik akhir antarmuka DynamoDB, Anda tidak perlu memperbarui resolver lokal. DNS Anda dapat menyelesaikan DNS nama spesifik titik akhir dengan alamat IP pribadi titik akhir antarmuka dari domain DynamoDB publik. DNS

Menggunakan titik akhir antarmuka untuk mengakses DynamoDB tanpa titik akhir gateway atau gateway internet di Amazon VPC

Titik akhir antarmuka di Amazon Anda VPC dapat merutekan aplikasi di Amazon dan VPC aplikasi lokal ke DynamoDB melalui jaringan Amazon, seperti yang diilustrasikan dalam diagram berikut.

Diagram alir data yang menampilkan akses dari VPC aplikasi lokal dan di Amazon ke DynamoDB; dengan menggunakan titik akhir antarmuka dan. AWS PrivateLink

Diagram ini menggambarkan hal sebagai berikut:

  • Jaringan lokal Anda menggunakan AWS Direct Connect atau menyambung AWS VPN ke Amazon VPC A.

  • Aplikasi Anda lokal dan di Amazon VPC A menggunakan nama khusus titik akhir DNS untuk mengakses DynamoDB melalui titik akhir antarmuka DynamoDB.

  • Aplikasi lokal mengirim data ke titik akhir antarmuka di Amazon VPC melalui AWS Direct Connect (atau AWS VPN). AWS PrivateLink memindahkan data dari titik akhir antarmuka ke DynamoDB melalui jaringan. AWS

  • VPCAplikasi di Amazon juga mengirim lalu lintas ke titik akhir antarmuka. AWS PrivateLink memindahkan data dari titik akhir antarmuka ke DynamoDB melalui jaringan. AWS

Menggunakan titik akhir gateway dan titik akhir antarmuka bersama-sama di Amazon yang sama VPC untuk mengakses DynamoDB

Anda dapat membuat titik akhir antarmuka dan mempertahankan titik akhir gateway yang ada di Amazon yang samaVPC, seperti yang ditunjukkan diagram berikut. Dengan mengambil pendekatan ini, Anda mengizinkan VPC aplikasi di Amazon untuk terus mengakses DynamoDB melalui titik akhir gateway, yang tidak ditagih. Kemudian, hanya aplikasi lokal Anda yang akan menggunakan titik akhir antarmuka untuk mengakses DynamoDB. Untuk mengakses DynamoDB dengan cara ini, Anda harus memperbarui aplikasi lokal untuk menggunakan nama khusus titik akhir DNS untuk DynamoDB.

Diagram aliran data yang menunjukkan akses ke DynamoDB dengan menggunakan titik akhir gateway dan titik akhir antarmuka bersama-sama.

Diagram ini menggambarkan hal sebagai berikut:

  • Aplikasi lokal menggunakan DNS nama khusus titik akhir untuk mengirim data ke titik akhir antarmuka dalam VPC Amazon AWS Direct Connect melalui (atau). AWS VPN AWS PrivateLink memindahkan data dari titik akhir antarmuka ke DynamoDB melalui jaringan. AWS

  • Menggunakan nama DynamoDB Regional default, VPC aplikasi di Amazon mengirim data ke titik akhir gateway yang terhubung ke DynamoDB melalui jaringan. AWS

Untuk informasi selengkapnya tentang titik akhir gateway, lihat VPCtitik akhir Gateway Amazon di VPCPanduan Pengguna Amazon.

Membuat kebijakan VPC endpoint Amazon untuk DynamoDB

Anda dapat melampirkan kebijakan endpoint ke VPC endpoint Amazon yang mengontrol akses ke DynamoDB. Kebijakan titik akhir mencantumkan informasi berikut:

  • AWS Identity and Access Management (IAM) Prinsipal yang dapat melakukan tindakan

  • Tindakan-tindakan yang dapat dilakukan

  • Sumber daya yang padanya tindakan dapat dilakukan

Anda dapat membuat kebijakan endpoint yang membatasi akses hanya ke tabel DynamoDB tertentu. Jenis kebijakan ini berguna jika Anda memiliki kebijakan lain Layanan AWS di Amazon VPC yang menggunakan tabel. Kebijakan tabel berikut membatasi akses hanya ke file. DOC-EXAMPLE-TABLE Untuk menggunakan kebijakan endpoint ini, ganti DOC-EXAMPLE-TABLE dengan nama tabel Anda.

{
"Version": "2012-10-17",
  "Id": "Policy1216114807515",
  "Statement": [
    { "Sid": "Access-to-specific-table-only",
      "Principal": "*",
      "Action": [
        "dynamodb:GetItem",
        "dynamodb:PutItem"
      ],
      "Effect": "Allow",
      "Resource": ["arn:aws:dynamodb:::DOC-EXAMPLE-TABLE",
                   "arn:aws:dynamodb:::DOC-EXAMPLE-TABLE/*"]
    }
  ]
}