Titik akhir Gateway untuk Amazon DynamoDB - Amazon Virtual Private Cloud
PertimbanganBuat titik akhir gatewayKontrol akses menggunakan kebijakan IAMTabel rute asosiasiEdit kebijakan titik akhir VPCHapus titik akhir gateway

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Titik akhir Gateway untuk Amazon DynamoDB

Anda dapat mengakses Amazon DynamoDB dari VPC Anda menggunakan titik akhir VPC gateway. Setelah Anda membuat titik akhir gateway, Anda dapat menambahkannya sebagai target dalam tabel rute Anda untuk lalu lintas yang ditujukan dari VPC Anda ke DynamoDB.

Tidak dikenakan biaya tambahan untuk menggunakan titik akhir gateway.

DynamoDB mendukung titik akhir gateway dan titik akhir antarmuka. Dengan titik akhir gateway, Anda dapat mengakses DynamoDB dari VPC Anda, tanpa memerlukan gateway internet atau perangkat NAT untuk VPC Anda, dan tanpa biaya tambahan. Namun, titik akhir gateway tidak mengizinkan akses dari jaringan lokal, dari VPC peered di AWS Wilayah lain, atau melalui gateway transit. Untuk skenario tersebut, Anda harus menggunakan titik akhir antarmuka, yang tersedia dengan biaya tambahan. Untuk informasi selengkapnya, lihat Jenis titik akhir VPC untuk DynamoDB di Panduan Pengembang Amazon DynamoDB.

Pertimbangan

  • Titik akhir gateway hanya tersedia di Wilayah tempat Anda membuatnya. Pastikan untuk membuat titik akhir gateway Anda di Wilayah yang sama dengan tabel DynamoDB Anda.

  • Jika Anda menggunakan server DNS Amazon, Anda harus mengaktifkan nama host DNS dan resolusi DNS untuk VPC Anda. Jika Anda menggunakan server DNS Anda sendiri, pastikan bahwa permintaan ke DynamoDB diselesaikan dengan benar ke alamat IP yang dikelola oleh. AWS

  • Aturan untuk grup keamanan untuk instance Anda yang mengakses DynamoDB melalui titik akhir gateway harus mengizinkan lalu lintas ke dan dari DynamoDB. Anda dapat mereferensikan ID daftar awalan untuk DynamoDB dalam aturan grup keamanan.

  • ACL jaringan untuk subnet untuk instance Anda yang mengakses DynamoDB melalui titik akhir gateway harus mengizinkan lalu lintas ke dan dari DynamoDB. Anda tidak dapat mereferensikan daftar awalan dalam aturan ACL jaringan, tetapi Anda bisa mendapatkan rentang alamat IP untuk DynamoDB dari daftar awalan untuk DynamoDB.

  • Jika Anda menggunakan AWS CloudTrail untuk mencatat operasi DynamoDB, file log berisi alamat IP pribadi instans EC2 di VPC konsumen layanan dan ID titik akhir gateway untuk setiap permintaan yang dilakukan melalui titik akhir.

  • Titik akhir Gateway hanya mendukung lalu lintas IPv4.

  • Alamat IPv4 sumber dari instance di subnet Anda yang terpengaruh berubah dari alamat IPv4 publik ke alamat IPv4 pribadi dari VPC Anda. Titik akhir mengalihkan rute jaringan dan memutus koneksi TCP terbuka. Koneksi sebelumnya yang menggunakan alamat IPv4 publik tidak dilanjutkan. Sebaiknya Anda tidak menjalankan tugas penting saat membuat atau memodifikasi titik akhir gateway. Atau, uji untuk memastikan bahwa perangkat lunak Anda dapat secara otomatis terhubung kembali ke DynamoDB jika koneksi terputus.

  • Koneksi titik akhir tidak dapat diperpanjang dari VPC. Sumber daya di sisi lain koneksi VPN, koneksi peering VPC, gateway transit, atau AWS Direct Connect koneksi di VPC Anda tidak dapat menggunakan titik akhir gateway untuk berkomunikasi dengan DynamoDB.

  • Akun Anda memiliki kuota default 20 titik akhir gateway per Wilayah, yang dapat disesuaikan. Ada juga batas 255 titik akhir gateway per VPC.

Buat titik akhir gateway

Gunakan prosedur berikut untuk membuat titik akhir gateway yang terhubung ke DynamoDB.

Untuk membuat titik akhir gateway menggunakan konsol

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Titik Akhir.

  3. Pilih Buat Titik Akhir.

  4. Untuk Kategori layanan, pilih Layanan AWS.

  5. Untuk Layanan, tambahkan filter Type = Gateway dan pilih com.amazonaws. wilayah .dynamodb.

  6. Untuk VPC, pilih VPC tempat membuat titik akhir.

  7. Untuk Tabel rute, pilih tabel rute yang akan digunakan oleh titik akhir. Kami secara otomatis menambahkan rute yang mengarahkan lalu lintas yang ditujukan untuk layanan ke antarmuka jaringan titik akhir.

  8. Untuk Kebijakan, pilih Akses penuh untuk mengizinkan semua operasi oleh semua prinsipal di semua sumber daya melalui titik akhir VPC. Jika tidak, pilih Kustom untuk melampirkan kebijakan titik akhir VPC yang mengontrol izin yang dimiliki kepala sekolah untuk melakukan tindakan pada sumber daya melalui titik akhir VPC.

  9. (Opsional) Untuk menambahkan tanda, pilih Tambahkan tanda baru dan masukkan kunci dan nilai tanda.

  10. Pilih Buat titik akhir.

Untuk membuat titik akhir gateway menggunakan baris perintah

Kontrol akses menggunakan kebijakan IAM

Anda dapat membuat kebijakan IAM untuk mengontrol prinsipal IAM mana yang dapat mengakses tabel DynamoDB menggunakan titik akhir VPC tertentu.

contoh Contoh: Batasi akses ke titik akhir tertentu

Anda dapat membuat kebijakan yang membatasi akses ke titik akhir VPC tertentu dengan menggunakan kunci kondisi AWS:sourceVPCE. Kebijakan berikut menolak akses ke tabel DynamoDB di akun kecuali titik akhir VPC yang ditentukan digunakan. Contoh ini mengasumsikan bahwa ada juga pernyataan kebijakan yang memungkinkan akses yang diperlukan untuk kasus penggunaan Anda.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "Allow-access-from-specific-endpoint",
         "Effect": "Deny",
         "Action": "dynamodb:*",
         "Resource": "arn:aws:dynamodb:region:account-id:table/*",
         "Condition": { 
            "StringNotEquals" : { 
               "aws:sourceVpce": "vpce-11aa22bb" 
            } 
         }
      }
   ]
}
contoh Contoh: Izinkan akses dari peran IAM tertentu

Anda dapat membuat kebijakan yang mengizinkan akses menggunakan peran IAM tertentu. Kebijakan berikut memberikan akses ke peran IAM yang ditentukan.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "Allow-access-from-specific-IAM-role",
         "Effect": "Allow",
         "Principal": "*",
         "Action": "*",
         "Resource": "*",
         "Condition": {
            "ArnEquals": {
               "aws:PrincipalArn": "arn:aws:iam::111122223333:role/role_name"
            }
         }
      }
   ]
}
contoh Contoh: Memungkinkan akses dari akun tertentu

Anda dapat membuat kebijakan yang mengizinkan akses dari akun tertentu saja. Kebijakan berikut memberikan akses ke pengguna di akun yang ditentukan.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "Allow-access-from-account",
         "Effect": "Allow",
         "Principal": "*",
         "Action": "*",
         "Resource": "*",
         "Condition": {
            "StringEquals": {
               "aws:PrincipalAccount": "111122223333"
            }
         }
      }
   ]        
}

Tabel rute asosiasi

Anda dapat mengubah tabel rute yang terkait dengan titik akhir gateway. Saat Anda mengaitkan tabel rute, kami secara otomatis menambahkan rute yang mengarahkan lalu lintas yang ditujukan untuk layanan ke antarmuka jaringan titik akhir. Saat Anda memisahkan tabel rute, kami secara otomatis menghapus rute titik akhir dari tabel rute.

Untuk mengaitkan tabel rute menggunakan konsol

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Titik Akhir.

  3. Pilih titik akhir gateway.

  4. Pilih Tindakan, Kelola tabel rute.

  5. Pilih atau batalkan pilihan tabel rute sesuai kebutuhan.

  6. Pilih Ubah tabel rute.

Untuk mengaitkan tabel rute menggunakan baris perintah

Edit kebijakan titik akhir VPC

Anda dapat mengedit kebijakan titik akhir untuk titik akhir gateway, yang mengontrol akses ke DynamoDB dari VPC melalui titik akhir. Kebijakan default memungkinkan akses penuh. Untuk informasi selengkapnya, lihat Kebijakan titik akhir.

Untuk mengubah kebijakan titik akhir menggunakan konsol

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Titik Akhir.

  3. Pilih titik akhir gateway.

  4. Pilih Tindakan, Kelola kebijakan.

  5. Pilih Akses Penuh untuk mengizinkan akses penuh ke layanan, atau pilih Kustom dan lampirkan kebijakan khusus.

  6. Pilih Simpan.

Untuk memodifikasi titik akhir gateway menggunakan baris perintah

Berikut ini adalah contoh kebijakan endpoint untuk mengakses DynamoDB.

contoh Contoh: Izinkan akses hanya-baca

Anda dapat membuat kebijakan yang membatasi akses ke akses hanya-baca. Kebijakan berikut memberikan izin untuk membuat daftar dan mendeskripsikan tabel DynamoDB.

{
  "Statement": [
    {
      "Sid": "ReadOnlyAccess",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "dynamodb:DescribeTable",
        "dynamodb:ListTables"
      ],
      "Resource": "*"
    }
  ]
}
contoh Contoh: Batasi akses ke tabel tertentu

Anda dapat membuat kebijakan yang membatasi akses ke tabel DynamoDB tertentu. Kebijakan berikut memungkinkan akses ke tabel DynamoDB yang ditentukan.

{
  "Statement": [
    {
      "Sid": "Allow-access-to-specific-table",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "dynamodb:Batch*",
        "dynamodb:Delete*",
        "dynamodb:DescribeTable",
        "dynamodb:GetItem",
        "dynamodb:PutItem",
        "dynamodb:Update*"
      ],
      "Resource": "arn:aws:dynamodb:region:123456789012:table/table_name"
    }
  ]
}

Hapus titik akhir gateway

Setelah selesai dengan titik akhir gateway, Anda dapat menghapusnya. Saat Anda menghapus titik akhir gateway, kami menghapus rute titik akhir dari tabel rute subnet.

Untuk menghapus titik akhir gateway menggunakan konsol

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Titik Akhir.

  3. Pilih titik akhir gateway.

  4. Pilih Tindakan, Hapus titik akhir VPC.

  5. Saat diminta mengonfirmasi, pilih delete.

  6. Pilih Hapus.

Untuk menghapus titik akhir gateway menggunakan baris perintah