Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# AWS PrivateLink per DynamoDB
Con AWS PrivateLink for DynamoDB, puoi effettuare il provisioning degli endpoint *Amazon VPC* di interfaccia (endpoint di interfaccia) nel tuo cloud privato virtuale (Amazon VPC). Questi endpoint sono accessibili direttamente dalle applicazioni locali tramite VPN e/o in un altro modo Regione AWS tramite il peering [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html). Direct Connect Utilizzando AWS PrivateLink e gli endpoint di interfaccia è possibile semplificare la connettività di rete privata dalle applicazioni a DynamoDB.
Le applicazioni presenti nel VPC non richiedono indirizzi IP pubblici per comunicare con DynamoDB utilizzando gli endpoint di interfaccia VPC per le operazioni DynamoDB. Gli endpoint dell'interfaccia sono rappresentati da una o più interfacce di rete elastiche (ENIs) a cui vengono assegnati indirizzi IP privati dalle sottoreti del tuo Amazon VPC. Le richieste a DynamoDB tramite gli endpoint di interfaccia rimangono nella rete Amazon. Puoi anche accedere agli endpoint di interfaccia nel tuo Amazon VPC da applicazioni locali AWS Direct Connect tramite AWS Virtual Private Network o ().Site-to-Site VPN Per ulteriori informazioni su come connettere l’Amazon VPC alla rete on-premises, consulta la [Guida per l’utente di Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) e la [Guida per l’utente di AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html).
*Per informazioni generali sugli endpoint di interfaccia, consulta [Interface Amazon VPC endpoints AWS PrivateLink(](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html)) nella Guida.AWS PrivateLink * AWS PrivateLink è supportato anche per gli endpoint Amazon DynamoDB Streams. Per ulteriori informazioni, consulta [AWS PrivateLink per DynamoDB Streams](privatelink-streams.md).
**Topics**
+ [Tipi di endpoint Amazon VPC per Amazon DynamoDB](#types-of-vpc-endpoints-for-ddb)
+ [Considerazioni sull'utilizzo AWS PrivateLink per Amazon DynamoDB](#privatelink-considerations)
+ [Creazione di un endpoint Amazon VPC](#ddb-creating-vpc)
+ [Accesso agli endpoint di interfaccia Amazon DynamoDB](#accessing-ddb-interface-endpoints)
+ [Accesso alle tabelle DynamoDB e alle operazioni API di controllo dagli endpoint di interfaccia DynamoDB](#accessing-tables-apis-from-interface-endpoints)
+ [Aggiornamento di una configurazione DNS locale](#updating-on-premises-dns-config)
+ [Creazione di una policy sugli endpoint Amazon VPC per DynamoDB](#creating-vpc-endpoint-policy)
+ [Utilizzo degli endpoint DynamoDB con accesso privato Console di gestione AWS](#ddb-endpoints-private-access)
+ [AWS PrivateLink per DynamoDB Streams](privatelink-streams.md)
+ [Utilizzo AWS PrivateLink per DynamoDB Accelerator (DAX)](dax-private-link.md)
## Tipi di endpoint Amazon VPC per Amazon DynamoDB
*Puoi utilizzare due tipi di endpoint Amazon VPC per accedere ad Amazon DynamoDB: endpoint *gateway ed endpoint* di interfaccia (utilizzando).* AWS PrivateLink Un *endpoint gateway* è un gateway specificato nella tabella di routing per accedere a DynamoDB dal tuo Amazon VPC attraverso la rete. AWS Gli *endpoint di interfaccia* estendono la funzionalità degli endpoint gateway utilizzando indirizzi IP privati per instradare le richieste a DynamoDB dall'interno del tuo Amazon VPC, in locale o da un Amazon VPC in un altro tramite il peering Amazon VPC o. Regione AWS AWS Transit Gateway Per ulteriori informazioni, consulta [What is Amazon VPC peering?](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) e [Transit Gateway vs Amazon VPC peering](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/transit-gateway-vs-vpc-peering.html).
Gli endpoint di interfaccia sono compatibili con gli endpoint gateway. Se si dispone di un endpoint gateway nell’Amazon VPC, è possibile utilizzare entrambi i tipi di endpoint nello stesso Amazon VPC.
| Endpoint gateway per DynamoDB | Endpoint di interfaccia per DynamoDB |
| --- | --- |
| In entrambi i casi, il traffico di rete rimane sulla rete. AWS |
| Utilizzo di indirizzi IP pubblici per Amazon DynamoDB | Utilizzo di indirizzi IP privati del proprio Amazon VPC per accedere ad Amazon DynamoDB |
| Non consente l'accesso da on-premise | Consente l'accesso da On-Premise |
| Non consentire l'accesso da parte di un altro Regione AWS | Consenti l'accesso da un endpoint Amazon VPC a un altro Regione AWS utilizzando il peering Amazon VPC o AWS Transit Gateway |
| Non fatturata | Fatturata |
Per ulteriori informazioni sugli endpoint gateway, consulta [Gateway Amazon VPC endpoints](https://docs.aws.amazon.com//vpc/latest/privatelink/vpce-gateway.html) nella *Guida ad AWS PrivateLink *.
## Considerazioni sull'utilizzo AWS PrivateLink per Amazon DynamoDB
Le considerazioni relative ad Amazon VPC si applicano ad Amazon AWS PrivateLink DynamoDB. Per ulteriori informazioni, consulta [Considerazioni di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) e [Quote di AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-limits-endpoints.html) nella *Guida di AWS PrivateLink *. Inoltre, si applicano le limitazioni seguenti:
AWS PrivateLink per Amazon DynamoDB non supporta quanto segue:
+ Transport Layer Security (TLS) 1.1
+ Servizi del sistema dei nomi di dominio (DNS) privati e ibridi
**Importante**
Non creare zone ospitate private per sovrascrivere i nomi DNS degli endpoint DynamoDB (`dynamodb.region.amazonaws.com`come `*.region.amazonaws.com` o) per indirizzare il traffico verso gli endpoint dell'interfaccia. Le configurazioni DNS di DynamoDB possono cambiare nel tempo.
Le sostituzioni DNS personalizzate non sono compatibili con queste modifiche e possono causare il routing imprevisto delle richieste su indirizzi IP pubblici anziché sugli endpoint dell'interfaccia.
Per accedere a DynamoDB AWS PrivateLink tramite, configura i tuoi client per utilizzare direttamente l'URL dell'endpoint Amazon VPC (ad esempio,). `https://vpce-1a2b3c4d-5e6f.dynamodb.region.vpce.amazonaws.com`
Puoi inviare fino a 50.000 richieste al secondo per ogni AWS PrivateLink endpoint abilitato.
**Nota**
I timeout di connettività di rete verso gli AWS PrivateLink endpoint non rientrano nell'ambito delle risposte di errore di DynamoDB e devono essere gestiti in modo appropriato dalle applicazioni che si connettono agli endpoint. PrivateLink
## Creazione di un endpoint Amazon VPC
Per creare un endpoint Amazon VPC di interfaccia, consulta [ Create an Amazon VPC endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) nella *Guida ad AWS PrivateLink *.
## Accesso agli endpoint di interfaccia Amazon DynamoDB
Quando si crea un endpoint di interfaccia, DynamoDB genera due tipi di nomi DNS DynamoDB specifici dell’endpoint: *Regionale* e *zonale*.
+ Un nome DNS *regionale* include un ID endpoint Amazon VPC univoco, un identificatore di servizio, Regione AWS`vpce.amazonaws.com` la e nel nome. Ad esempio, per l’ID dell’endpoint Amazon VPC `vpce-1a2b3c4d`, il nome DNS generato potrebbe essere simile a `vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com`.
+ I nomi DNS *zonali* includono la zona di disponibilità, ad esempio `vpce-1a2b3c4d-5e6f-us-east-1a.dynamodb.us-east-1.vpce.amazonaws.com`. Puoi utilizzare questa opzione se l'architettura isola le zone di disponibilità. Ad esempio, puoi utilizzarla per il contenimento degli errori o per ridurre i costi di trasferimento dei dati a livello regionale.
**Nota**
Per ottenere un’affidabilità ottimale, si consiglia di implementare il servizio su un minimo di tre zone di disponibilità.
## Accesso alle tabelle DynamoDB e alle operazioni API di controllo dagli endpoint di interfaccia DynamoDB
È possibile utilizzare AWS CLI o AWS SDKs per accedere alle tabelle DynamoDB e controllare le operazioni delle API tramite gli endpoint dell'interfaccia DynamoDB.
### AWS CLI esempi
Per accedere alle tabelle DynamoDB o alle operazioni dell'API di controllo DynamoDB tramite gli endpoint dell'interfaccia DynamoDB nei comandi, utilizza i parametri and. AWS CLI `--region` `--endpoint-url`
**Esempio: creazione di un endpoint VPC**
```
aws ec2 create-vpc-endpoint \
--region us-east-1 \
--service-name com.amazonaws.us-east-1.dynamodb \
--vpc-id client-vpc-id \
--subnet-ids client-subnet-id \
--vpc-endpoint-type Interface \
--security-group-ids client-sg-id
```
**Esempio: modifica di un endpoint VPC**
```
aws ec2 modify-vpc-endpoint \
--region us-east-1 \
--vpc-endpoint-id client-vpc-endpoint-id \
--policy-document policy-document \ #example optional parameter
--add-security-group-ids security-group-ids \ #example optional parameter
# any additional parameters needed, see Privatelink documentation for more details
```
**Esempio: creazione di un elenco di tabelle utilizzando un URL dell’endpoint**
Nell’esempio seguente, sostituisci la Regione `us-east-1` e il nome DNS dell’ID dell’endpoint VPC `vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com` con le informazioni appropriate.
```
aws dynamodb --region us-east-1 --endpoint https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com list-tables
```
### AWS Esempi SDK
Per accedere alle tabelle DynamoDB o alle operazioni dell'API di controllo DynamoDB tramite gli endpoint dell'interfaccia DynamoDB quando si utilizza DynamoDB, è necessario aggiornare la versione alla versione più recente. AWS SDKs SDKs Quindi configura i client per utilizzare un URL dell’endpoint per accedere a una tabella o a un’operazione API di controllo DynamoDB tramite gli endpoint di interfaccia DynamoDB.
------
#### [ SDK for Python (Boto3) ]
**Esempio: utilizzo di un URL dell’endpoint per accedere a una tabella DynamoDB**
Nell'esempio seguente, sostituisci la Regione `us-east-1` e l'ID endpoint VPC `https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com` con le informazioni appropriate.
```
ddb_client = session.client(
service_name='dynamodb',
region_name='us-east-1',
endpoint_url='https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com'
)
```
------
#### [ SDK for Java 1.x ]
**Esempio: utilizzo di un URL dell’endpoint per accedere a una tabella DynamoDB**
Nell'esempio seguente, sostituisci la Regione `us-east-1` e l'ID endpoint VPC `https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com` con le informazioni appropriate.
```
//client build with endpoint config
final AmazonDynamoDB dynamodb = AmazonDynamoDBClientBuilder.standard().withEndpointConfiguration(
new AwsClientBuilder.EndpointConfiguration(
"https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com",
Regions.DEFAULT_REGION.getName()
)
).build();
```
------
#### [ SDK for Java 2.x ]
**Esempio: utilizzo di un URL dell’endpoint per accedere a una tabella DynamoDB**
Nell'esempio seguente, sostituisci la regione us-east-1 e l'ID https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com endpoint VPC con le tue informazioni.
```
Region region = Region.US_EAST_1;
dynamoDbClient = DynamoDbClient.builder().region(region)
.endpointOverride(URI.create("https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com"))
.build()
```
------
## Aggiornamento di una configurazione DNS locale
Quando si utilizzano nomi DNS specifici degli endpoint per accedere agli endpoint di interfaccia per DynamoDB, non è necessario aggiornare il resolver DNS on-premises. È possibile risolvere il nome DNS specifico dell’endpoint con l’indirizzo IP privato dell’endpoint di interfaccia dal dominio DNS pubblico di DynamoDB.
### Utilizzo degli endpoint di interfaccia per accedere a DynamoDB senza un endpoint gateway o un gateway Internet nell’Amazon VPC
Gli endpoint di interfaccia nell’Amazon VPC possono instradare sia le applicazioni nell’Amazon VPC che le applicazioni on-premises a DynamoDB sulla rete Amazon, come illustrato nel diagramma seguente.
![\[Diagramma di flusso dei dati che mostra l’accesso dalle app on-premises e nell’Amazon VPC a DynamoDB utilizzando un endpoint di interfaccia e AWS PrivateLink.\]](http://docs.aws.amazon.com/it_it/amazondynamodb/latest/developerguide/images/PrivateLink-interfaceEndpoints.png)
Il diagramma illustra quanto segue:
+ La tua rete locale utilizza Direct Connect o Site-to-Site VPN per connettersi ad Amazon VPC A.
+ Le applicazioni on-premises e nell’Amazon VPC A utilizzano nomi DNS specifici degli endpoint per accedere a DynamoDB tramite l’endpoint di interfaccia DynamoDB.
+ Le applicazioni locali inviano dati all'endpoint di interfaccia in Amazon VPC tramite Direct Connect (o). Site-to-Site VPN AWS PrivateLink sposta i dati dall'endpoint dell'interfaccia a DynamoDB attraverso la rete. AWS
+ Le applicazioni VPC di Amazon inviano inoltre traffico all'endpoint dell'interfaccia. AWS PrivateLink sposta i dati dall'endpoint dell'interfaccia a DynamoDB attraverso la rete. AWS
### Utilizzo di endpoint gateway e di endpoint di interfaccia insieme nello stesso Amazon VPC per accedere a DynamoDB
È possibile creare endpoint di interfaccia e mantenere l’endpoint gateway esistente nello stesso Amazon VPC, come illustrato nel diagramma seguente. Con questo approccio si consente alle applicazioni nell’Amazon VPC di continuare ad accedere a DynamoDB tramite l’endpoint gateway senza incorrere nella fatturazione. Pertanto, solo le applicazioni on-premises utilizzerebbero gli endpoint di interfaccia per accedere a DynamoDB. Per accedere a DynamoDB in questo modo, è necessario aggiornare le applicazioni on-premises per utilizzare nomi DNS specifici degli endpoint per DynamoDB.
![\[Diagramma di un flusso di dati che mostra l’accesso a DynamoDB utilizzando gli endpoint gateway e gli endpoint di interfaccia insieme.\]](http://docs.aws.amazon.com/it_it/amazondynamodb/latest/developerguide/images/PL-Image2-InterfaceAndGatewayEP.png)
Il diagramma illustra quanto segue:
+ Le applicazioni locali utilizzano nomi DNS specifici dell'endpoint per inviare dati all'endpoint di interfaccia all'interno di Amazon VPC tramite (o). Direct Connect Site-to-Site VPN AWS PrivateLink sposta i dati dall'endpoint dell'interfaccia a DynamoDB attraverso la rete. AWS
+ Utilizzando nomi DynamoDB regionali predefiniti, le applicazioni VPC interne ad Amazon inviano dati all'endpoint gateway che si connette a DynamoDB tramite la rete. AWS
Per ulteriori informazioni sugli endpoint gateway, consulta [Gateway Amazon VPC endpoints](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-gateway.html) nella *Guida per l’utente di Amazon VPC*.
## Creazione di una policy sugli endpoint Amazon VPC per DynamoDB
È possibile collegare una policy sugli endpoint al proprio endpoint Amazon VPC che controlla l’accesso a DynamoDB. Questa policy specifica le informazioni riportate di seguito:
+ Il principale AWS Identity and Access Management (IAM) che può eseguire azioni
+ Le azioni che possono essere eseguite
+ Le risorse sui cui si possono eseguire le azioni
**Topics**
+ [Esempio: limitazione dell’accesso a una tabella specifica da un endpoint Amazon VPC](#privatelink-example-restrict-access-to-bucket)
### Esempio: limitazione dell’accesso a una tabella specifica da un endpoint Amazon VPC
È possibile creare una policy sugli endpoint che limita l’accesso solo a una tabella DynamoDB specifica. Questo tipo di policy è utile se Servizi AWS nel tuo Amazon VPC ne hai altre che utilizzano tabelle. La seguente policy sulle tabella limita l’accesso solo a `DOC-EXAMPLE-TABLE`. Per utilizzare questa policy sugli endpoint, sostituisci `DOC-EXAMPLE-TABLE` con il nome della tabella.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Policy1216114807515",
"Statement": [
{ "Sid": "Access-to-specific-table-only",
"Principal": "*",
"Action": [
"dynamodb:GetItem",
"dynamodb:PutItem"
],
"Effect": "Allow",
"Resource": ["arn:aws:dynamodb:us-east-1:111122223333:table/DOC-EXAMPLE-TABLE",
"arn:aws:dynamodb:us-east-1:111122223333:table/DOC-EXAMPLE-TABLE/*"]
}
]
}
```
------
## Utilizzo degli endpoint DynamoDB con accesso privato Console di gestione AWS
È necessario configurare la configurazione DNS per DynamoDB e i flussi DynamoDB quando si utilizzano endpoint VPC con la [console DynamoDB](https://console.aws.amazon.com/dynamodb) nell’[Accesso privato alla Console di gestione AWS](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/console-private-access.html).
Per configurare DynamoDB in modo che sia accessibile Console di gestione AWS in Private Access, è necessario creare i due endpoint VPC seguenti:
+ `com.amazonaws..dynamodb`
+ `com.amazonaws..dynamodb-streams`
Durante la creazione degli endpoint VPC, accedi alla console Route53 e crea una zona ospitata privata per DynamoDB utilizzando l’endpoint Regionale `dynamodb.us-east-1.amazonaws.com`.
Crea i seguenti due record di alias nella zona ospitata privata:
+ `dynamodb..amazonaws.com` che instrada il traffico verso l’endpoint VPC `com.amazonaws..dynamodb`.
+ `streams.dynamodb..amazonaws.com` che instrada il traffico verso l’endpoint VPC `com.amazonaws..dynamodb-streams`.
# AWS PrivateLink per DynamoDB Streams
Con AWS PrivateLink Amazon DynamoDB Streams, puoi fornire endpoint Amazon VPC di interfaccia (endpoint di interfaccia) nel tuo cloud privato virtuale (Amazon VPC). Questi endpoint sono accessibili direttamente dalle applicazioni locali tramite VPN e/o in un altro modo Regione AWS tramite il peering Amazon VPC. Direct Connect Utilizzando AWS PrivateLink e interfacciando gli endpoint, puoi semplificare la connettività di rete privata dalle tue applicazioni a DynamoDB Streams.
Le applicazioni presenti in Amazon VPC non richiedono indirizzi IP pubblici per comunicare con i flussi DynamoDB tramite gli endpoint Amazon VPC di interfaccia per le operazioni con i flussi DynamoDB. Gli endpoint dell'interfaccia sono rappresentati da una o più interfacce di rete elastiche (ENIs) a cui vengono assegnati indirizzi IP privati dalle sottoreti del tuo Amazon VPC. Le richieste ai flussi DynamoDB tramite gli endpoint di interfaccia rimangono nella rete Amazon. Puoi anche accedere agli endpoint di interfaccia nel tuo Amazon VPC da applicazioni locali Direct Connect tramite AWS Virtual Private Network o AWS (VPN). [https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
Per informazioni sulla creazione di endpoint di interfaccia, consulta [Endpoint di interfaccia di Amazon VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) (AWS PrivateLink).
**Nota**
Per i flussi DynamoDB sono supportati solo gli endpoint di interfaccia. Gli endpoint gateway non sono supportati.
**Topics**
+ [Considerazioni sull'utilizzo AWS PrivateLink per Amazon DynamoDB Streams](#privatelink-streams-considerations)
+ [Creazione di un endpoint Amazon VPC](#privatelink-streams-vpc-endpoint)
+ [Accesso agli endpoint di interfaccia dei flussi Amazon DynamoDB](#privatelink-streams-accessing-ddb-interface-endpoints)
+ [Accesso alle operazioni API dei flussi DynamoDB dagli endpoint di interfaccia dei flussi DynamoDB](#privatelink-streams-accessing-api-operations-from-interface-endpoints)
+ [AWS Esempi SDK](#privatelink-streams-aws-sdk-examples)
+ [Creazione di una policy sugli endpoint Amazon VPC per i flussi DynamoDB](#privatelink-streams-creating-vpc-endpoint-policy)
+ [Utilizzo degli endpoint DynamoDB con accesso privato Console di gestione AWS](#ddb-streams-endpoints-private-access)
## Considerazioni sull'utilizzo AWS PrivateLink per Amazon DynamoDB Streams
Le considerazioni relative ad Amazon VPC si applicano ad Amazon AWS PrivateLink DynamoDB Streams. Per ulteriori informazioni, consulta [interface endpoint considerations](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) e [AWS PrivateLink quotas](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-limits-endpoints.html). Le restrizioni si applicano come segue.
AWS PrivateLink per Amazon DynamoDB Streams non supporta quanto segue:
+ Transport Layer Security (TLS) 1.1
+ Servizi del sistema dei nomi di dominio (DNS) privati e ibridi
**Importante**
Non creare zone private ospitate per sovrascrivere i nomi DNS degli endpoint DynamoDB Streams per indirizzare il traffico verso gli endpoint dell'interfaccia. Le configurazioni DNS di DynamoDB possono cambiare nel tempo e le sostituzioni DNS personalizzate possono causare il routing imprevisto delle richieste su indirizzi IP pubblici anziché sugli endpoint dell'interfaccia.
Per accedere a DynamoDB Streams AWS PrivateLink tramite, configura i tuoi client per utilizzare direttamente l'URL dell'endpoint Amazon VPC (ad esempio,). `https://vpce-1a2b3c4d-5e6f.streams.dynamodb.region.vpce.amazonaws.com`
**Nota**
I timeout di connettività di rete verso gli AWS PrivateLink endpoint non rientrano nell'ambito delle risposte di errore di DynamoDB Streams e devono essere gestiti in modo appropriato dalle applicazioni che si connettono agli endpoint. AWS PrivateLink
## Creazione di un endpoint Amazon VPC
Per creare un endpoint Amazon VPC di interfaccia, consulta [ Create an Amazon VPC endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) nella *Guida ad AWS PrivateLink *.
## Accesso agli endpoint di interfaccia dei flussi Amazon DynamoDB
Quando si crea un endpoint di interfaccia, DynamoDB genera due tipi di nomi DNS dei flussi DynamoDB specifici dell’endpoint: *Regionale* e *zonale*.
+ Un nome DNS *regionale* include un ID endpoint Amazon VPC univoco, un identificatore di servizio, Regione AWS`vpce.amazonaws.com` la e nel nome. Ad esempio, per l’ID dell’endpoint Amazon VPC `vpce-1a2b3c4d`, il nome DNS generato potrebbe essere simile a `vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com`.
+ I nomi DNS *zonali* includono la zona di disponibilità, ad esempio `vpce-1a2b3c4d-5e6f-us-east-1a.streams.dynamodb.us-east-1.vpce.amazonaws.com`. Puoi utilizzare questa opzione se l'architettura isola le zone di disponibilità. Ad esempio, puoi utilizzarla per il contenimento degli errori o per ridurre i costi di trasferimento dei dati a livello regionale.
## Accesso alle operazioni API dei flussi DynamoDB dagli endpoint di interfaccia dei flussi DynamoDB
È possibile utilizzare AWS CLI o AWS SDKs per accedere alle operazioni dell'API DynamoDB Streams tramite gli endpoint dell'interfaccia DynamoDB Streams.
### AWS CLI esempi
Per accedere a DynamoDB Streams o alle operazioni API tramite gli endpoint dell'interfaccia DynamoDB Streams nei comandi, utilizza i parametri and. AWS CLI `--region` `--endpoint-url`
**Esempio: creazione di un endpoint VPC**
```
aws ec2 create-vpc-endpoint \
--region us-east-1 \
--service-name com.amazonaws.us-east-1.dynamodb-streams \
--vpc-id client-vpc-id \
--subnet-ids client-subnet-id \
--vpc-endpoint-type Interface \
--security-group-ids client-sg-id
```
**Esempio: modifica di un endpoint VPC**
```
aws ec2 modify-vpc-endpoint \
--region us-east-1 \
--vpc-endpoint-id client-vpc-endpoint-id \
--policy-document policy-document \ #example optional parameter
--add-security-group-ids security-group-ids \ #example optional parameter
# any additional parameters needed, see Privatelink documentation for more details
```
**Esempio: creazione di un elenco di flussi utilizzando un URL dell’endpoint**
Nell’esempio seguente, sostituisci la Regione `us-east-1` e il nome DNS dell’ID dell’endpoint VPC `vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com` con le informazioni appropriate.
```
aws dynamodbstreams --region us-east-1 —endpoint https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com list-streams
```
## AWS Esempi SDK
Per accedere alle operazioni dell'API Amazon DynamoDB Streams tramite gli endpoint dell'interfaccia DynamoDB Streams quando si utilizza la, è necessario aggiornare la versione alla versione più recente. AWS SDKs SDKs Quindi configura i client per utilizzare un URL dell’endpoint per un’operazione API dei flussi DynamoDB tramite gli endpoint di interfaccia dei flussi DynamoDB.
------
#### [ SDK for Python (Boto3) ]
**Esempio: utilizzo di un URL dell’endpoint per accedere a un flusso DynamoDB**
Nell'esempio seguente, sostituisci la Regione `us-east-1` e l'ID endpoint VPC `https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com` con le informazioni appropriate.
```
ddb_streams_client = session.client(
service_name='dynamodbstreams',
region_name='us-east-1',
endpoint_url='https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com'
)
```
------
#### [ SDK for Java 1.x ]
**Esempio: utilizzo di un URL dell’endpoint per accedere a un flusso DynamoDB**
Nell'esempio seguente, sostituisci la Regione `us-east-1` e l'ID endpoint VPC `https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com` con le informazioni appropriate.
```
//client build with endpoint config
final AmazonDynamoDBStreams dynamodbstreams = AmazonDynamoDBStreamsClientBuilder.standard().withEndpointConfiguration(
new AwsClientBuilder.EndpointConfiguration(
"https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com",
Regions.DEFAULT_REGION.getName()
)
).build();
```
------
#### [ SDK for Java 2.x ]
**Esempio: utilizzo di un URL dell’endpoint per accedere a un flusso DynamoDB**
Nell'esempio seguente, sostituisci la Regione `us-east-1` e l'ID endpoint VPC `https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com` con le informazioni appropriate.
```
Region region = Region.US_EAST_1;
dynamoDbStreamsClient = DynamoDbStreamsClient.builder().region(region)
.endpointOverride(URI.create("https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com"))
.build()
```
------
## Creazione di una policy sugli endpoint Amazon VPC per i flussi DynamoDB
È possibile collegare una policy sugli endpoint all’endpoint Amazon VPC che controlla l’accesso ai flussi DynamoDB. Questa policy specifica le informazioni riportate di seguito:
+ Il principio AWS Identity and Access Management (IAM) che può eseguire azioni
+ Le azioni che possono essere eseguite
+ Le risorse sui cui si possono eseguire le azioni
**Topics**
+ [Esempio: limitazione dell’accesso a un flusso specifico da un endpoint Amazon VPC](#privatelink-streams-example-restrict-access-to-bucket)
### Esempio: limitazione dell’accesso a un flusso specifico da un endpoint Amazon VPC
È possibile creare una policy sugli endpoint che limita l’accesso solo a flussi DynamoDB specifici. Questo tipo di policy è utile se Servizi AWS nel tuo Amazon VPC ne hai altre che utilizzano DynamoDB Streams. La seguente policy sui flussi limita l’accesso solo al flusso `2025-02-20T11:22:33.444` collegato a `DOC-EXAMPLE-TABLE`. Per utilizzare questa policy sugli endpoint, sostituisci `DOC-EXAMPLE-TABLE` con il nome della tabella e `2025-02-20T11:22:33.444` con l’etichetta del flusso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Policy1216114807515",
"Statement": [
{ "Sid": "Access-to-specific-stream-only",
"Principal": "*",
"Action": [
"dynamodb:DescribeStream",
"dynamodb:GetRecords"
],
"Effect": "Allow",
"Resource": ["arn:aws:dynamodb:us-east-1:111122223333:table/table-name/stream/2025-02-20T11:22:33.444"]
}
]
}
```
------
**Nota**
Gli endpoint gateway non sono supportati nei flussi DynamoDB.
## Utilizzo degli endpoint DynamoDB con accesso privato Console di gestione AWS
È necessario configurare la configurazione DNS per DynamoDB e i flussi DynamoDB quando si utilizzano endpoint VPC con la [console DynamoDB](https://console.aws.amazon.com/dynamodb) nell’[Accesso privato alla Console di gestione AWS](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/console-private-access.html).
Per configurare DynamoDB in modo che sia accessibile Console di gestione AWS in Private Access, è necessario creare i due endpoint VPC seguenti:
+ `com.amazonaws..dynamodb`
+ `com.amazonaws..dynamodb-streams`
Durante la creazione degli endpoint VPC, accedi alla console Route53 e crea una zona ospitata privata per DynamoDB utilizzando l’endpoint Regionale `dynamodb.us-east-1.amazonaws.com`.
Crea i seguenti due record di alias nella zona ospitata privata:
+ `dynamodb..amazonaws.com` che instrada il traffico verso l’endpoint VPC `com.amazonaws..dynamodb`.
+ `streams.dynamodb..amazonaws.com` che instrada il traffico verso l’endpoint VPC `com.amazonaws..dynamodb-streams`.
# Utilizzo AWS PrivateLink per DynamoDB Accelerator (DAX)
AWS PrivateLink for DynamoDB Accelerator (DAX) consente di accedere in modo sicuro alla APIs gestione DAX, ad esempio `CreateCluster` `DeleteCluster` e tramite indirizzi IP privati`DescribeClusters`, all'interno del cloud privato virtuale (VPC). Questa funzionalità consente di accedere ai servizi DAX in modo privato dalle applicazioni senza esporre il traffico alla rete Internet pubblica.
DAX PrivateLink supporta gli endpoint dual-stack (), abilitando entrambi e la connettività. `dax.{region}.api.aws` IPv4 IPv6 Con AWS PrivateLink for DAX, i clienti possono accedere al servizio utilizzando nomi DNS privati. Il supporto dual-stack per endpoint garantisce una connettività trasparente mantenendo al contempo la privacy della rete. Ciò consente di accedere a DAX tramite Internet pubblico e endpoint VPC senza apportare modifiche alla configurazione dell'SDK.
## Considerazioni sull'utilizzo AWS PrivateLink per DynamoDB Accelerator (DAX)
Durante l'implementazione AWS PrivateLink di DynamoDB Accelerator (DAX), è necessario tenere conto di diverse considerazioni importanti.
Prima di configurare un endpoint di interfaccia per DAX, considerate quanto segue:
+ Gli endpoint dell'interfaccia DAX supportano solo l'accesso alla gestione DAX all'interno dello stesso. APIs Regione AWS Non è possibile utilizzare un endpoint di interfaccia per accedere alla gestione DAX in altre regioni. APIs
+ Per accedere alla gestione Console di gestione AWS privata di DAX, potrebbe essere necessario creare endpoint VPC aggiuntivi per servizi simili e servizi correlati. `com.amazonaws.region.console`
+ La creazione e l'utilizzo di un endpoint di interfaccia verso DAX sono a pagamento. Per informazioni sui prezzi, consulta [Prezzi di AWS PrivateLink](https://aws.amazon.com/vpc/pricing/).
## Come AWS PrivateLink funziona con DAX
Quando si crea un endpoint di interfaccia per DAX:
1. AWS crea un'interfaccia di rete endpoint in ogni sottorete abilitata per l'endpoint dell'interfaccia.
1. Si tratta di interfacce di rete gestite dai richiedenti che fungono da punti di ingresso per il traffico destinato a DAX.
1. Puoi quindi accedere a DAX tramite indirizzi IP privati all'interno del tuo VPC.
1. Questa architettura consente di utilizzare i gruppi di sicurezza VPC per gestire l'accesso agli endpoint.
1. Le applicazioni possono accedere sia a DynamoDB che a DAX tramite i rispettivi endpoint di interfaccia all'interno di un VPC, permettendo anche alle applicazioni locali di connettersi tramite Direct Connect o VPN.
1. Ciò fornisce un modello di connettività coerente per entrambi i servizi, semplifica l'architettura e migliora la sicurezza mantenendo il traffico all'interno della rete. AWS
## Creazione di endpoint di interfaccia per DAX
È possibile creare un endpoint di interfaccia per connettersi a DAX utilizzando l' Console di gestione AWS AWS SDK o l'API. CloudFormation AWS
**Per creare un endpoint di interfaccia per DAX utilizzando la console**
1. Accedi alla console Amazon VPC all'indirizzo. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Nel pannello di navigazione, seleziona **Endpoints (Endpoint)**.
1. Scegliere **Create Endpoint** (Crea endpoint).
1. Per la **categoria del servizio**, scegli **Servizi AWS**e per **Nome del servizio**, cerca e seleziona`com.amazonaws.region.dax`.
1. Per **VPC, seleziona il VPC** da cui desideri accedere a DAX e per le **sottoreti, seleziona le sottoreti in cui verranno create** le interfacce di rete degli endpoint. AWS
1. Per i **gruppi di sicurezza, seleziona o crea gruppi** di sicurezza da associare alle interfacce di rete degli endpoint.
1. Per **Policy**, mantieni l'**accesso completo** predefinito o personalizzalo secondo necessità.
1. Seleziona **Abilita nome DNS** per abilitare il DNS privato per l'endpoint. Mantieni abilitato il nome DNS privato per impedire modifiche alla configurazione dell'SDK. Se abilitato, le applicazioni possono continuare a utilizzare il nome DNS del servizio standard (esempio:). `dax.region.amazonaws.com` AWS crea una zona ospitata privata nel tuo VPC che risolve questo nome nell'indirizzo IP privato dell'endpoint.
**Nota**
Se necessario, utilizzate i nomi DNS regionali. L'uso di nomi DNS zonali non è consigliato. Inoltre, seleziona 3 o più sottoreti AZs per garantire la massima disponibilità. PrivateLink
1. Seleziona **Crea endpoint**.
**Per creare un endpoint di interfaccia per DAX utilizzando AWS CLI**
Utilizzare il `create-vpc-endpoint` comando con il `vpc-endpoint-type` parametro impostato su `Interface` e il `service-name` parametro impostato su. `com.amazonaws.region.dax`
```
aws ec2 create-vpc-endpoint \
--vpc-id vpc-ec43eb89 \
--vpc-endpoint-type Interface \
--service-name com.amazonaws.us-east-1.dax \
--subnet-ids subnet-abcd1234 subnet-1a2b3c4d \
--security-group-ids sg-1a2b3c4d \
--private-dns-enabled
```
## Risorse aggiuntive
Per ulteriori informazioni sugli AWS PrivateLink endpoint VPC, consulta le seguenti risorse:
+ [AWS PrivateLink per DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/privatelink-interface-endpoints.html)
+ [AWS PrivateLink per DynamoDB Streams](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/privatelink-streams.html)
+ [Connect il tuo VPC ai servizi utilizzando AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html)
+ [Semplifica la connettività privata a DynamoDB con AWS PrivateLink](https://aws.amazon.com/blogs//database/simplify-private-connectivity-to-amazon-dynamodb-with-aws-privatelink)
+ [AWS PrivateLink Whitepaper](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-privatelink.html)