Sicurezza dell'infrastruttura in Amazon DynamoDB - Amazon DynamoDB
VPCUtilizzo degli endpoint

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sicurezza dell'infrastruttura in Amazon DynamoDB

In quanto servizio gestito, Amazon DynamoDB è protetto dalle procedure di sicurezza di rete globali descritte nella sezione Protezione AWS dell'infrastruttura situata nel Well-Architected Framework. AWS

Si utilizzano API chiamate AWS pubblicate per accedere a DynamoDB attraverso la rete. I client possono utilizzare TLS (Transport Layer Security) versione 1.2 o 1.3. I client devono inoltre supportare suite di crittografia con Perfect Forward Secrecy (PFS) come Ephemeral Diffie-Hellman () o Elliptic Curve Diffie-Hellman Ephemeral (). DHE ECDHE La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità. Inoltre, le richieste devono essere firmate utilizzando un ID chiave di accesso e una chiave di accesso segreta associata a un principale. IAM O puoi utilizzare AWS Security Token Service (AWS STS) per generare credenziali di sicurezza temporanee per sottoscrivere le richieste.

Puoi anche utilizzare un endpoint cloud privato virtuale (VPC) per DynamoDB per consentire alle tue istanze EC2 VPC Amazon di utilizzare i loro indirizzi IP privati per accedere a DynamoDB senza alcuna esposizione alla rete Internet pubblica. Per ulteriori informazioni, consulta Utilizzo degli VPC endpoint Amazon per accedere a DynamoDB.

Utilizzo degli VPC endpoint Amazon per accedere a DynamoDB

Per motivi di sicurezza, molti AWS clienti eseguono le proprie applicazioni all'interno di un ambiente Amazon Virtual Private Cloud (AmazonVPC). Con AmazonVPC, puoi avviare EC2 istanze Amazon in un cloud privato virtuale, logicamente isolato da altre reti, inclusa la rete Internet pubblica. Con AmazonVPC, hai il controllo sull'intervallo di indirizzi IP, sulle sottoreti, sulle tabelle di routing, sui gateway di rete e sulle impostazioni di sicurezza.

Nota

Se hai creato le tue Account AWS dopo il 4 dicembre 2013, hai già un valore predefinito in ognuna di esse. VPC Regione AWS Un'impostazione predefinita VPC è pronta per l'uso: puoi iniziare a utilizzarla immediatamente senza dover eseguire alcuna procedura di configurazione aggiuntiva.

Per ulteriori informazioni, consulta la sezione Sottoreti predefinite VPC e predefinite nella Amazon VPC User Guide.

Per accedere alla rete Internet pubblica, VPC devi disporre di un gateway Internet, un router virtuale che ti connetta a Internet. VPC Ciò consente alle applicazioni in esecuzione su Amazon EC2 nel tuo computer VPC di accedere a risorse Internet, come Amazon DynamoDB.

Per impostazione predefinita, le comunicazioni da e verso DynamoDB utilizzano HTTPS il protocollo, che protegge il traffico di rete utilizzando SSL la crittografia/. TLS Il diagramma seguente mostra un'EC2istanza Amazon in un DynamoDB di VPC accesso, facendo in modo che DynamoDB utilizzi un gateway Internet anziché endpoint. VPC

Diagramma del flusso di lavoro che mostra un'EC2istanza Amazon che accede a DynamoDB tramite un router, un gateway Internet e Internet.

Molti clienti esprimono legittime preoccupazioni in materia di sicurezza e di privacy quando si tratta di inviare e ricevere dati tramite la rete Internet pubblica. È possibile risolvere questi problemi utilizzando una rete privata virtuale (VPN) per indirizzare tutto il traffico di rete DynamoDB attraverso la propria infrastruttura di rete aziendale. Questo approccio tuttavia può introdurre problematiche relative alla larghezza di banda e alla disponibilità.

VPCgli endpoint per DynamoDB possono alleviare queste sfide. Un VPCendpoint per DynamoDB consente alle istanze EC2 VPC Amazon sul tuo territorio di utilizzare i propri indirizzi IP privati per accedere a DynamoDB senza alcuna esposizione alla rete Internet pubblica. Le tue EC2 istanze non richiedono indirizzi IP pubblici e non hai bisogno di un gateway Internet, un NAT dispositivo o un gateway privato virtuale. VPC Le policy degli endpoint vengono utilizzate per controllare l'accesso a DynamoDB. Il traffico tra te VPC e il AWS servizio non esce dalla rete Amazon.

Nota

Anche quando utilizzi indirizzi IP pubblici, tutte le VPC comunicazioni tra istanze e servizi ospitati AWS vengono mantenute private all'interno della AWS rete. I pacchetti che provengono dalla AWS rete con una destinazione sulla rete rimangono sulla AWS rete AWS globale, ad eccezione del traffico da o verso le regioni AWS della Cina.

Quando crei un VPC endpoint per DynamoDB, tutte le richieste a un endpoint DynamoDB all'interno della regione (ad esempio, dynamodb.us-west-2.amazonaws.com) vengono indirizzate a un endpoint DynamoDB privato all'interno della rete Amazon. Non è necessario modificare le applicazioni in esecuzione su istanze di. EC2 VPC Il nome dell'endpoint rimane invariato, ma l'instradamento verso DynamoDB rimane interamente all'interno della rete Amazon e non accede alla rete Internet pubblica.

Il diagramma seguente mostra come un'EC2istanza in a VPC può utilizzare un VPC endpoint per accedere a DynamoDB.

Diagramma del flusso di lavoro che mostra un'EC2istanza che accede a DynamoDB solo tramite un router e un endpoint. VPC

Per ulteriori informazioni, consulta Tutorial: Utilizzo di un VPC endpoint per DynamoDB.

Condivisione degli VPC endpoint Amazon e DynamoDB

Per consentire l'accesso al servizio DynamoDB tramite l'endpoint gateway di VPC una sottorete, è necessario disporre delle autorizzazioni dell'account proprietario per quella sottorete. VPC

Una volta che l'endpoint gateway della VPC sottorete ha ottenuto l'accesso a DynamoDB, qualsiasi AWS account con accesso a quella sottorete può utilizzare DynamoDB. Ciò significa che tutti gli utenti dell'account all'interno della VPC sottorete possono utilizzare qualsiasi tabella DynamoDB a cui hanno accesso. Ciò include le tabelle DynamoDB associate a un account diverso rispetto alla sottorete. VPC Il proprietario della VPC sottorete può comunque impedire a un particolare utente all'interno della sottorete di utilizzare il servizio DynamoDB tramite l'endpoint gateway, a sua discrezione.

Tutorial: Utilizzo di un VPC endpoint per DynamoDB

Questa sezione illustra la configurazione e l'utilizzo di un VPC endpoint per DynamoDB.

Passaggio 1: avviare un'EC2istanza Amazon

In questo passaggio, avvii un'EC2istanza Amazon nella tua Amazon predefinitaVPC. È quindi possibile creare e utilizzare un VPC endpoint per DynamoDB.

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Seleziona Avvia istanza e completa le seguenti operazioni:

    Fase 1: Scegli l'immagine di una macchina Amazon (AMI)

    • Nella parte superiore dell'elenco diAMIs, vai su Amazon Linux AMI e scegli Seleziona.

    Fase 2: scelta di un tipo di istanza

    • All'inizio dell'elenco dei tipi di istanza, scegli t2.micro.

    • Scegliere Next: Configure Instance Details (Successivo: Configura i dettagli dell'istanza).

    Fase 3: configurare i dettagli dell'istanza

    • Vai a Rete e scegli l'impostazione predefinitaVPC.

      Scegli Passaggio successivo: aggiunta dello storage.

    Fase 4: aggiungere storage

    • Salta questa fase scegliendo Next: Tag Instance (Successivo: Assegna un tag all'istanza).

    Fase 5: assegnazione di un tag all'istanza

    • Ignora questa fase scegliendo Next: Configure Security Group (Successivo: Configura il gruppo di sicurezza).

    Fase 6: configura il gruppo di sicurezza

    • Scegli Seleziona un gruppo di sicurezza esistente.

    • Nell'elenco dei gruppi di sicurezza, scegli default (predefinito). Questo è il gruppo di sicurezza predefinito per il tuoVPC.

    • Scegli Next: Review and Launch (Successivo: Verifica e avvia).

    Fase 7: verifica il lancio dell'istanza

    • Scegli Avvia.

  3. Nella finestra Select an existing key pair or create a new key pair (Seleziona una coppia di chiavi esistente oppure crea una nuova coppia di chiavi), effettua una delle seguenti operazioni:

    • Se non disponi di una coppia di EC2 chiavi Amazon, scegli Crea una nuova coppia di chiavi e segui le istruzioni. Ti verrà chiesto di scaricare un file di chiave privata (file.pem); ti servirà in seguito quando accederai alla tua istanza AmazonEC2.

    • Se disponi già di una coppia di EC2 chiavi Amazon, vai a Seleziona una coppia di chiavi e scegli la tua coppia di chiavi dall'elenco. Devi già avere il file della chiave privata (file.pem) disponibile per accedere alla tua istanza AmazonEC2.

  4. Quando hai configurato la tua coppia di chiavi, scegli Launch Instances (Avvia istanze).

  5. Torna alla home page della EC2 console Amazon e scegli l'istanza che hai lanciato. Nel riquadro inferiore, nella scheda Descrizione, trova la voce Public DNS relativa alla tua istanza. Ad esempio: ec2-00-00-00-00.us-east-1.compute.amazonaws.com.

    Prendi nota di questo DNS nome pubblico, perché ti servirà nel passaggio successivo di questo tutorial (Passaggio 2: configura la tua EC2 istanza Amazon).

Nota

Ci vorranno alcuni minuti prima che la tua EC2 istanza Amazon diventi disponibile. Prima di continuare, verificare che Stato istanza sia running e che tutti i controlli di verifica stato siano stati superati.

Passaggio 2: configura la tua EC2 istanza Amazon

Quando la tua EC2 istanza Amazon sarà disponibile, potrai accedervi e prepararla per il primo utilizzo.

Nota

I passaggi seguenti presuppongono che ti stia connettendo alla tua EC2 istanza Amazon da un computer che esegue Linux. Per altri modi di connessione, consulta Connect to Your Linux Instance nella Amazon EC2 User Guide.

  1. Dovrai autorizzare il SSH traffico in entrata verso la tua istanza AmazonEC2. Per fare ciò, creerai un nuovo gruppo di EC2 sicurezza e poi assegnerai il gruppo di sicurezza alla tua istanza. EC2

    1. Fare clic su Security Groups (Gruppi di sicurezza) nel pannello di navigazione.

    2. Scegli Crea gruppo di sicurezza. Nella finestra Crea gruppo di sicurezza effettua le operazioni seguenti:

      • Nome gruppo di sicurezza: immettere un nome per il gruppo di sicurezza. Ad esempio: my-ssh-access

      • Descrizione: specificare una descrizione breve per il gruppo di sicurezza.

      • VPC—scegli il tuo valore predefinito. VPC

      • Nella sezione Regole del gruppo di sicurezza, seleziona Aggiungi regole e completare le operazioni descritte di seguito.

        • Digita —scegli. SSH

        • Origine: scegli Il mio IP.

      Dopo aver selezionato tutte le impostazioni desiderate, scegli Crea.

    3. Nel pannello di navigazione, seleziona Instances (Istanze).

    4. Scegli l'EC2istanza Amazon in cui hai effettuato il lancioPassaggio 1: avviare un'EC2istanza Amazon.

    5. Seleziona Operazioni --> Reti --> Modifica i gruppi di sicurezza.

    6. In Modifica gruppi di sicurezza, seleziona il gruppo di sicurezza creato in precedenza in questa procedura (ad esempio, my-ssh-access). Dovrebbe essere selezionato anche il gruppo di sicurezza default esistente. Dopo aver selezionato le impostazioni desiderate, seleziona Assegna i gruppi di sicurezza.

  2. Usa il ssh comando per accedere alla tua EC2 istanza Amazon, come nell'esempio seguente.

    ssh -i my-keypair.pem ec2-user@public-dns-name

    Dovrai specificare il tuo file di chiave privata (file.pem) e il DNS nome pubblico dell'istanza. Consulta Passaggio 1: avviare un'EC2istanza Amazon.

    L'ID accesso è ec2-user. Non è richiesta una password.

  3. Configura AWS le tue credenziali come mostrato nell'esempio seguente. Quando richiesto, immettere l'ID chiave di accesso AWS , la chiave segreta e nome della regione predefinita.

    aws configure
    AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-east-1
Default output format [None]:

Ora sei pronto per creare un VPC endpoint per DynamoDB.

Fase 3: Creare un VPC endpoint per DynamoDB

In questo passaggio, creerai un VPC endpoint per DynamoDB e lo testerai per assicurarti che funzioni.

  1. Prima di iniziare, verifica di poter comunicare con DynamoDB utilizzando l'endpoint pubblico.

    aws dynamodb list-tables

    L'output mostrerà un elenco di tabelle DynamoDB di proprietà. (Se non si disponi di alcuna tabella, l'elenco sarà vuoto).

  2. Verifica che DynamoDB sia un servizio disponibile per la VPC creazione di endpoint nella regione corrente. AWS Il comando è mostrato in grassetto, seguito dall'output di esempio.

    aws ec2 describe-vpc-endpoint-services
    {
    "ServiceNames": [
        "com.amazonaws.us-east-1.s3",
        "com.amazonaws.us-east-1.dynamodb"
    ]
}

    Nell'output di esempio, DynamoDB è uno dei servizi disponibili, quindi puoi procedere con la creazione di VPC un endpoint per esso.

  3. Determina il tuo identificatore. VPC

    aws ec2 describe-vpcs
    {
    "Vpcs": [
        {
            "VpcId": "vpc-0bbc736e", 
            "InstanceTenancy": "default", 
            "State": "available", 
            "DhcpOptionsId": "dopt-8454b7e1", 
            "CidrBlock": "172.31.0.0/16", 
            "IsDefault": true
        }
    ]
}

    Nell'output di esempio, l'VPCID èvpc-0bbc736e.

  4. Crea l'VPCendpoint. Per il --vpc-id parametro, specificate l'VPCID del passaggio precedente. Utilizza il parametro --route-table-ids per associare l'endpoint alle tabelle di routing.

    aws ec2 create-vpc-endpoint --vpc-id vpc-0bbc736e --service-name com.amazonaws.us-east-1.dynamodb --route-table-ids rtb-11aa22bb
    {
    "VpcEndpoint": {
        "PolicyDocument": "{\"Version\":\"2008-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":\"*\",\"Action\":\"*\",\"Resource\":\"*\"}]}", 
        "VpcId": "vpc-0bbc736e", 
        "State": "available", 
        "ServiceName": "com.amazonaws.us-east-1.dynamodb", 
        "RouteTableIds": [
            "rtb-11aa22bb"
        ],
        "VpcEndpointId": "vpce-9b15e2f2", 
        "CreationTimestamp": "2017-07-26T22:00:14Z"
    }
}

  5. Verifica di poter accedere a DynamoDB tramite l'endpoint. VPC

    aws dynamodb list-tables

    Se vuoi, puoi provare altri AWS CLI comandi per DynamoDB. Per ulteriori informazioni, consulta la sezione relativa alle informazioni di riferimento ai comandi di AWS CLI.

Fase 4: pulizia (opzionale)

Se desideri eliminare le risorse create in questo tutorial, seguire queste procedure:

Per rimuovere il tuo VPC endpoint per DynamoDB

  1. Accedi alla tua EC2 istanza Amazon.

  2. Determina l'ID dell'VPCendpoint.

    aws ec2 describe-vpc-endpoints
    {
    "VpcEndpoint": {
        "PolicyDocument": "{\"Version\":\"2008-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":\"*\",\"Action\":\"*\",\"Resource\":\"*\"}]}", 
        "VpcId": "vpc-0bbc736e", 
        "State": "available", 
        "ServiceName": "com.amazonaws.us-east-1.dynamodb", 
        "RouteTableIds": [], 
        "VpcEndpointId": "vpce-9b15e2f2", 
        "CreationTimestamp": "2017-07-26T22:00:14Z"
    }
}

    Nell'output di esempio, l'ID dell'VPCendpoint è. vpce-9b15e2f2

  3. Eliminare l'VPCendpoint.

    aws ec2 delete-vpc-endpoints --vpc-endpoint-ids vpce-9b15e2f2
    {
    "Unsuccessful": []
}

    L'array vuoto [] indica la riuscita dell'operazione (non ci sono state richieste non riuscite).

Per terminare la tua istanza Amazon EC2

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel pannello di navigazione, seleziona Instances (Istanze).

  3. Scegli la tua EC2 istanza Amazon.

  4. Seleziona Actions (Operazioni), Instance State (Stato istanza), Terminate (Termina).

  5. Nella finestra di conferma scegli Sì, termina.