AWS PrivateLink per DynamoDB - Amazon DynamoDB
Tipi di endpoint Amazon VPCConsiderazioni sull'utilizzo AWS PrivateLink per Amazon DynamoDBCreazione di un endpoint Amazon VPCAccesso agli endpoint dell'interfaccia Amazon DynamoDBAccesso alle tabelle DynamoDB e controllo delle operazioni delle API dagli endpoint dell'interfaccia DynamoDBAggiornamento di una configurazione DNS localeCreazione di una policy per gli endpoint Amazon VPC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS PrivateLink per DynamoDB

Con AWS PrivateLink for DynamoDB, puoi effettuare il provisioning degli endpoint Amazon VPC di interfaccia (endpoint di interfaccia) nel tuo cloud privato virtuale (Amazon VPC). Questi endpoint sono accessibili direttamente dalle applicazioni locali tramite VPN e/o in un altro modo Regione AWS tramite il peering Amazon VPC. AWS Direct Connect Utilizzando AWS PrivateLink e interfacciando gli endpoint, puoi semplificare la connettività di rete privata dalle tue applicazioni a DynamoDB.

Le applicazioni nel tuo VPC non necessitano di indirizzi IP pubblici per comunicare con gli endpoint VPC dell'interfaccia DynamoDB per le operazioni DynamoDB. Gli endpoint di interfaccia sono rappresentati da una o più interfacce di rete elastiche (ENI) a cui vengono assegnati indirizzi IP privati dalle sottoreti del tuo Amazon VPC. Le richieste a DynamoDB tramite endpoint di interfaccia rimangono sulla rete Amazon. Puoi anche accedere agli endpoint di interfaccia nel tuo Amazon VPC da applicazioni locali AWS Direct Connect tramite AWS Virtual Private Network o ().AWS VPNPer ulteriori informazioni su come connettere Amazon VPC alla rete locale, consulta la Guida per l'utente e la Guida per AWS Direct Connect l'utente.AWS Site-to-Site VPN

Per informazioni generali sugli endpoint di interfaccia, consulta Interface Amazon VPC endpoints AWS PrivateLink() nella Guida.AWS PrivateLink

Tipi di endpoint Amazon VPC per Amazon DynamoDB

Puoi utilizzare due tipi di endpoint Amazon VPC per accedere ad Amazon DynamoDB: endpoint gateway ed endpoint di interfaccia (utilizzando). AWS PrivateLink Un endpoint gateway è un gateway specificato nella tabella di routing per accedere a DynamoDB dal tuo Amazon VPC attraverso la rete. AWS Gli endpoint di interfaccia estendono la funzionalità degli endpoint gateway utilizzando indirizzi IP privati per instradare le richieste a DynamoDB dall'interno del tuo Amazon VPC, in locale o da un Amazon VPC in un altro tramite il peering Amazon VPC o. Regione AWS AWS Transit Gateway Per ulteriori informazioni, consulta Cos'è il peering di Amazon VPC? e il peering Transit Gateway e Amazon VPC.

Gli endpoint di interfaccia sono compatibili con gli endpoint gateway. Se disponi di un endpoint gateway esistente in Amazon VPC, puoi utilizzare entrambi i tipi di endpoint nello stesso Amazon VPC.

Endpoint gateway per DynamoDB

Endpoint di interfaccia per DynamoDB

In entrambi i casi, il traffico di rete rimane sulla rete. AWS

Usa gli indirizzi IP pubblici di Amazon DynamoDB

Usa gli indirizzi IP privati del tuo Amazon VPC per accedere ad Amazon DynamoDB

Non consente l'accesso da on-premise

Consente l'accesso da On-Premise

Non consentire l'accesso da un altro Regione AWS

Consenti l'accesso da un endpoint Amazon VPC a un altro Regione AWS utilizzando il peering Amazon VPC o AWS Transit Gateway

Non fatturata

Fatturata

Per ulteriori informazioni sugli endpoint gateway, consulta gli endpoint Gateway Amazon VPC nella Guida.AWS PrivateLink

Le considerazioni relative ad Amazon VPC si applicano ad Amazon AWS PrivateLink DynamoDB. Per ulteriori informazioni, consulta Considerazioni di un endpoint di interfaccia e Quote di AWS PrivateLink nella Guida di AWS PrivateLink . Inoltre, si applicano le limitazioni seguenti:

AWS PrivateLink per Amazon DynamoDB non supporta quanto segue:

AWS PrivateLink attualmente non è supportato per gli Amazon DynamoDB Streams endpoint.

Puoi inviare fino a 50.000 richieste al secondo per ogni AWS PrivateLink endpoint abilitato.

Nota

I timeout di connettività di rete verso gli AWS PrivateLink endpoint non rientrano nell'ambito delle risposte di errore di DynamoDB e devono essere gestiti in modo appropriato dalle applicazioni che si connettono agli endpoint. PrivateLink

Creazione di un endpoint Amazon VPC

Per creare un endpoint di interfaccia Amazon VPC, consulta Creare un endpoint Amazon VPC nella Guida.AWS PrivateLink

Accesso agli endpoint dell'interfaccia Amazon DynamoDB

Quando si crea un endpoint di interfaccia, DynamoDB genera due tipi di nomi DNS DynamoDB specifici dell'endpoint: regionali e zonali.

  • Un nome DNS regionale include un ID endpoint Amazon VPC univoco, un identificatore di servizio, Regione AWSvpce.amazonaws.com la e nel nome. Ad esempio, per l'ID endpoint Amazon VPCvpce-1a2b3c4d, il nome DNS generato potrebbe essere simile a. vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com

  • I nomi DNS zonali includono la zona di disponibilità, ad esempio vpce-1a2b3c4d-5e6f-us-east-1a.dynamodb.us-east-1.vpce.amazonaws.com. Puoi utilizzare questa opzione se l'architettura isola le zone di disponibilità. Ad esempio, puoi utilizzarla per il contenimento degli errori o per ridurre i costi di trasferimento dei dati a livello regionale.

I nomi DNS DynamoDB specifici dell'endpoint possono essere risolti dal dominio DNS pubblico DynamoDB.

Accesso alle tabelle DynamoDB e controllo delle operazioni delle API dagli endpoint dell'interfaccia DynamoDB

Puoi utilizzare AWS CLI o gli AWS SDK per accedere alle tabelle DynamoDB e controllare le operazioni API tramite gli endpoint dell'interfaccia DynamoDB.

Per accedere alle tabelle DynamoDB o alle operazioni dell'API di controllo DynamoDB tramite gli endpoint dell'interfaccia DynamoDB nei comandi, utilizza i parametri and. AWS CLI --region --endpoint-url

Esempio: creazione di un endpoint VPC

aws ec2 create-vpc-endpoint \
--region us-east-1 \
--service-name dynamodb-service-name \
--vpc-id client-vpc-id \
--subnet-ids client-subnet-id \
--vpc-endpoint-type Interface \
--security-group-ids client-sg-id

Esempio: modifica di un endpoint VPC

aws ec2 modify-vpc-endpoint \
--region us-east-1 \
--vpc-endpoint-id client-vpc-endpoint-id \
--policy-document policy-document \ #example optional parameter
--add-security-group-ids security-group-ids \ #example optional parameter 
# any additional parameters needed, see Privatelink documentation for more details

Esempio: elenca le tabelle utilizzando un URL di endpoint

Nell'esempio seguente, sostituisci la regione us-east-1 e il nome DNS dell'vpce-1a2b3c4d-5e6f---dynamodb---us-east-1---vpce.amazonaws.com.rproxy.goskope.comID dell'endpoint VPC con le tue informazioni.

aws dynamodb --region us-east-1 —endpoint https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com list-tables

Per accedere alle tabelle DynamoDB o alle operazioni dell'API di controllo DynamoDB tramite gli endpoint dell'interfaccia DynamoDB quando utilizzi gli SDK, aggiorna gli SDK alla versione più recente. AWS Quindi, configura i tuoi client in modo che utilizzino un URL di endpoint per accedere a una tabella o a un'operazione dell'API di controllo DynamoDB tramite gli endpoint dell'interfaccia DynamoDB.

SDK for Python (Boto3)
Esempio: utilizzare un URL di endpoint per accedere a una tabella DynamoDB

Nell'esempio seguente, sostituisci la Regione us-east-1 e l'ID endpoint VPC https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com con le informazioni appropriate.

ddb_client = session.client(
service_name='dynamodb',
region_name='us-east-1',
endpoint_url='https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com'
)
SDK for Java 1.x
Esempio: utilizzare un URL di endpoint per accedere a una tabella DynamoDB

Nell'esempio seguente, sostituisci la Regione us-east-1 e l'ID endpoint VPC https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com con le informazioni appropriate.

//client build with endpoint config  
final AmazonDynamoDB dynamodb = AmazonDynamoDBClientBuilder.standard().withEndpointConfiguration(
        new AwsClientBuilder.EndpointConfiguration(
                "https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com",
                Regions.DEFAULT_REGION.getName()
        )
).build();
SDK for Java 2.x
Esempio: utilizzo di un URL endpoint per accedere a un bucket S3

Nell'esempio seguente, sostituisci la regione us-east-1 e l'ID endpoint VPC https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com con le tue informazioni.

Region region = Region.US_EAST_1;
dynamoDbClient = DynamoDbClient.builder().region(region)
.endpointOverride(URI.create("https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com"))
.build()

Aggiornamento di una configurazione DNS locale

Quando si utilizzano nomi DNS specifici dell'endpoint per accedere agli endpoint dell'interfaccia per DynamoDB, non è necessario aggiornare il resolver DNS locale. È possibile risolvere il nome DNS specifico dell'endpoint con l'indirizzo IP privato dell'endpoint di interfaccia dal dominio DNS pubblico DynamoDB.

Utilizzo degli endpoint di interfaccia per accedere a DynamoDB senza un endpoint gateway o un gateway Internet in Amazon VPC

Gli endpoint di interfaccia nel tuo Amazon VPC possono instradare sia applicazioni interne ad Amazon VPC che applicazioni locali verso DynamoDB tramite la rete Amazon, come illustrato nel diagramma seguente.

Diagramma del flusso di dati che mostra l'accesso da app VPC locali e interne ad Amazon a DynamoDB; utilizzando un endpoint di interfaccia e. AWS PrivateLink

Il diagramma illustra quanto segue:

  • La tua rete locale utilizza AWS Direct Connect o AWS VPN per connettersi ad Amazon VPC A.

  • Le tue applicazioni locali e in Amazon VPC A utilizzano nomi DNS specifici dell'endpoint per accedere a DynamoDB tramite l'endpoint dell'interfaccia DynamoDB.

  • Le applicazioni locali inviano dati all'endpoint di interfaccia in Amazon VPC tramite AWS Direct Connect (o). AWS VPN AWS PrivateLink sposta i dati dall'endpoint dell'interfaccia a DynamoDB attraverso la rete. AWS

  • Le applicazioni VPC di Amazon inviano inoltre traffico all'endpoint dell'interfaccia. AWS PrivateLink sposta i dati dall'endpoint dell'interfaccia a DynamoDB attraverso la rete. AWS

Utilizzo congiunto degli endpoint gateway e degli endpoint di interfaccia nello stesso Amazon VPC per accedere a DynamoDB

È possibile creare endpoint di interfaccia e conservare l'endpoint gateway esistente nello stesso Amazon VPC, come illustrato nel diagramma seguente. Adottando questo approccio, consenti alle applicazioni VPC interne ad Amazon di continuare ad accedere a DynamoDB tramite l'endpoint gateway, senza fatturazione. Quindi, solo le applicazioni locali utilizzeranno gli endpoint di interfaccia per accedere a DynamoDB. Per accedere a DynamoDB in questo modo, è necessario aggiornare le applicazioni locali per utilizzare nomi DNS specifici dell'endpoint per DynamoDB.

Diagramma del flusso di dati che mostra l'accesso a DynamoDB utilizzando insieme gli endpoint gateway e gli endpoint di interfaccia.

Il diagramma illustra quanto segue:

  • Le applicazioni locali utilizzano nomi DNS specifici dell'endpoint per inviare dati all'endpoint di interfaccia all'interno di Amazon VPC tramite (o). AWS Direct Connect AWS VPN AWS PrivateLink sposta i dati dall'endpoint dell'interfaccia a DynamoDB attraverso la rete. AWS

  • Utilizzando nomi DynamoDB regionali predefiniti, le applicazioni VPC interne ad Amazon inviano dati all'endpoint gateway che si connette a DynamoDB tramite la rete. AWS

Per ulteriori informazioni sugli endpoint gateway, consulta gli endpoint Gateway Amazon VPC nella Amazon VPC User Guide.

Creazione di una policy di endpoint Amazon VPC per DynamoDB

Puoi allegare una policy per gli endpoint al tuo endpoint Amazon VPC che controlla l'accesso a DynamoDB. Questa policy specifica le informazioni riportate di seguito:

  • Il principio AWS Identity and Access Management (IAM) che può eseguire azioni

  • Le azioni che possono essere eseguite

  • Le risorse sui cui si possono eseguire le azioni

È possibile creare una policy per gli endpoint che limiti l'accesso solo a tabelle DynamoDB specifiche. Questo tipo di policy è utile se Servizi AWS nel tuo Amazon VPC ne hai altre che utilizzano tabelle. La politica della tabella seguente limita l'accesso solo a. DOC-EXAMPLE-TABLE Per utilizzare questa policy per gli endpoint, DOC-EXAMPLE-TABLE sostituiscila con il nome della tabella.

{
"Version": "2012-10-17",
  "Id": "Policy1216114807515",
  "Statement": [
    { "Sid": "Access-to-specific-table-only",
      "Principal": "*",
      "Action": [
        "dynamodb:GetItem",
        "dynamodb:PutItem"
      ],
      "Effect": "Allow",
      "Resource": ["arn:aws:dynamodb:::DOC-EXAMPLE-TABLE",
                   "arn:aws:dynamodb:::DOC-EXAMPLE-TABLE/*"]
    }
  ]
}