Considerazioni Crea un endpoint gateway Controlla l'accesso utilizzando IAM le politiche Associazione delle tabelle di instradamento Modifica la politica degli VPC endpoint Eliminazione di un endpoint gateway

Endpoint gateway per Amazon DynamoDB

Puoi accedere ad Amazon DynamoDB dai VPC tuoi endpoint gateway che utilizzano. VPC Dopo aver creato l'endpoint gateway, puoi aggiungerlo come destinazione nella tabella delle rotte per il traffico destinato dal tuo a VPC DynamoDB.

L'utilizzo di endpoint gateway non comporta costi supplementari.

DynamoDB supporta sia gli endpoint gateway che gli endpoint di interfaccia. Con un endpoint gateway, puoi accedere a DynamoDB dal VPC tuo computer, senza bisogno di un gateway NAT o dispositivo Internet e senza VPC costi aggiuntivi. Tuttavia, gli endpoint gateway non consentono l'accesso da reti locali, da reti peer-to-peer VPCs in altre AWS regioni o tramite un gateway di transito. Per questi casi, è necessario utilizzare un endpoint di interfaccia, disponibile a un costo aggiuntivo. Per ulteriori informazioni, consulta Tipi di VPC endpoint per DynamoDB nella Amazon DynamoDB Developer Guide.

Indice

Considerazioni
Crea un endpoint gateway
Controlla l'accesso utilizzando IAM le politiche
Associazione delle tabelle di instradamento
Modifica la politica degli VPC endpoint
Eliminazione di un endpoint gateway

Considerazioni

Un endpoint gateway è disponibile solo nella regione in cui è stato creato. Assicurati di creare l'endpoint gateway nella stessa regione delle tabelle DynamoDB.
Se utilizzi i DNS server Amazon, devi abilitare sia i DNSnomi host che la DNS risoluzione per i tuoiVPC. Se utilizzi il tuo DNS server, assicurati che le richieste a DynamoDB vengano risolte correttamente negli indirizzi IP gestiti da. AWS
Le regole per i gruppi di sicurezza per le istanze che accedono a DynamoDB tramite l'endpoint gateway devono consentire il traffico da e verso DynamoDB. Puoi fare riferimento all'ID dell'elenco dei prefissi per DynamoDB nelle regole del gruppo di sicurezza.
La rete ACL per la sottorete per le istanze che accedono a DynamoDB tramite un endpoint gateway deve consentire il traffico da e verso DynamoDB. Non è possibile fare riferimento agli elenchi di prefissi nelle ACL regole di rete, ma è possibile ottenere l'intervallo di indirizzi IP per DynamoDB dall'elenco dei prefissi per DynamoDB.
Se si utilizza AWS CloudTrail per registrare le operazioni DynamoDB, i file di registro contengono gli indirizzi IP privati delle istanze EC2 del service VPC consumer e l'ID dell'endpoint gateway per tutte le richieste eseguite tramite l'endpoint.
Gli endpoint del gateway supportano solo il traffico. IPv4
IPv4Gli indirizzi di origine delle istanze nelle sottoreti interessate cambiano da IPv4 indirizzi pubblici a indirizzi privati IPv4 delle tue. VPC Un endpoint cambia i percorsi di rete e disconnette le connessioni aperte. TCP Le connessioni precedenti che utilizzavano IPv4 indirizzi pubblici non vengono ripristinate. Ti consigliamo di non eseguire attività critiche quando crei o modifichi un endpoint gateway. In alternativa, verifica che il software utilizzato sia in grado di riconnettersi automaticamente a DynamoDB in caso di interruzione della connessione.
Le connessioni endpoint non possono essere estese da un. VPC Le risorse sull'altro lato di una VPN connessione, di una connessione VPC peering, di un gateway di transito o di una AWS Direct Connect connessione all'interno dell'utente VPC non possono utilizzare un endpoint gateway per comunicare con DynamoDB.
Il tuo account ha una quota predefinita, ma modificabile, di 20 endpoint gateway per regione. È inoltre previsto un limite di 255 endpoint gateway per. VPC

Crea un endpoint gateway

Utilizza la procedura seguente per creare un endpoint gateway che si connette a DynamoDB.

Per creare un endpoint gateway tramite la console

Apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc/.
Nel pannello di navigazione, seleziona Endpoints (Endpoint).
Seleziona Crea endpoint.
Per Service category (Categoria servizio), scegli Servizi AWS.
Per Servizi, aggiungi il filtro Type = Gateway e seleziona com.amazonaws.region.dynamodb.
Per VPC, seleziona il punto VPC in cui creare l'endpoint.
In Route tables (Tabelle di instradamento), seleziona le tabelle di instradamento che devono essere utilizzate dall'endpoint. Viene aggiunta automaticamente una route che indirizza il traffico destinato per il servizio all'interfaccia di rete dell'endpoint.
Per Policy, seleziona Accesso completo per consentire tutte le operazioni da parte di tutti i principali su tutte le risorse dell'VPCendpoint. Altrimenti, seleziona Personalizzato per allegare una policy sull'VPCendpoint che controlli le autorizzazioni di cui dispongono i responsabili per eseguire azioni sulle risorse dell'endpoint. VPC
(Facoltativo) Per aggiungere un tag, scegliere Add new tag (Aggiungi nuovo tag) e immettere la chiave e il valore del tag.
Seleziona Crea endpoint.

Per creare un endpoint gateway utilizzando la riga di comando

create-vpc-endpoint (AWS CLI)
New-EC2VpcEndpoint(Strumenti per Windows) PowerShell

Controlla l'accesso utilizzando IAM le politiche

È possibile creare IAM policy per controllare quali IAM principali possono accedere alle tabelle DynamoDB utilizzando un endpoint specifico. VPC

Esempio: limitazione dell'accesso a uno specifico endpoint

È possibile creare una policy che limiti l'accesso a un VPC endpoint specifico utilizzando la chiave aws: condition. sourceVpce La seguente politica nega l'accesso alle tabelle DynamoDB nell'account a meno che non venga utilizzato l'endpoint specificato. VPC Questo esempio presuppone che vi sia anche una dichiarazione di policy che consente l'accesso richiesto per i casi d'uso.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "Allow-access-from-specific-endpoint",
         "Effect": "Deny",
         "Principal": "*",
         "Action": "dynamodb:*",
         "Resource": "arn:aws:dynamodb:region:account-id:table/*",
         "Condition": { 
            "StringNotEquals" : { 
               "aws:sourceVpce": "vpce-11aa22bb" 
            } 
         }
      }
   ]
}

Esempio: consentire l'accesso da un ruolo specifico IAM

È possibile creare una politica che consenta l'accesso utilizzando un IAM ruolo specifico. La seguente politica consente l'accesso al IAM ruolo specificato.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "Allow-access-from-specific-IAM-role",
         "Effect": "Allow",
         "Principal": "*",
         "Action": "*",
         "Resource": "*",
         "Condition": {
            "ArnEquals": {
               "aws:PrincipalArn": "arn:aws:iam::111122223333:role/role_name"
            }
         }
      }
   ]
}

Esempio: concessione dell'accesso da un account specifico

Puoi creare una policy che consente l'accesso solo da un account specifico. La policy seguente concede l'accesso agli utenti nell'account specificato.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "Allow-access-from-account",
         "Effect": "Allow",
         "Principal": "*",
         "Action": "*",
         "Resource": "*",
         "Condition": {
            "StringEquals": {
               "aws:PrincipalAccount": "111122223333"
            }
         }
      }
   ]        
}

Associazione delle tabelle di instradamento

Puoi modificare le tabelle di instradamento associate all'endpoint gateway. Quando associ una tabella di instradamento, viene aggiunta automaticamente una route che indirizza il traffico destinato per il servizio all'interfaccia di rete dell'endpoint. Quando dissoci una tabella di instradamento, la route dell'endpoint viene rimossa automaticamente.

Per associare le tabelle di instradamento utilizzando la console

Apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc/.
Nel pannello di navigazione, seleziona Endpoints (Endpoint).
Seleziona l'endpoint gateway.
Selezionare Actions (Operazioni), Manage route tables (Gestisci tabelle di routing).
Seleziona o deseleziona le tabelle di instradamento in base alle esigenze.
Scegli Modify route tables (Modifica le tabelle di routing).

Per associare le tabelle di instradamento utilizzando la riga di comando

modify-vpc-endpoint (AWS CLI)
Edit-EC2VpcEndpoint(Strumenti per Windows PowerShell)

Modifica la politica degli VPC endpoint

È possibile modificare la policy degli endpoint per un endpoint gateway, che controlla l'accesso a DynamoDB dall'endpoint all'altro. VPC La policy predefinita consente l'accesso completo. Per ulteriori informazioni, consulta Policy di endpoint.

Per modificare la policy di endpoint usando la console

Apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc/.
Nel pannello di navigazione, seleziona Endpoints (Endpoint).
Seleziona l'endpoint gateway.
Scegli Actions (Operazioni), Manage policy (Gestisci policy).
Scegli Full Access (Accesso completo) per consentire l'accesso completo al servizio oppure scegli Custom (Personalizzato) e specifica una policy personalizzata.
Seleziona Salva.

Per modificare un endpoint gateway usando la riga di comando

modify-vpc-endpoint (AWS CLI)
Edit-EC2VpcEndpoint(Strumenti per Windows PowerShell)

Di seguito sono riportati esempi di policy dell'endpoint per accedere a DynamoDB.

Esempio: concessione dell'accesso in sola lettura

Puoi creare una policy che concede l'accesso in sola lettura. La policy seguente concede l'autorizzazione per elencare e descrivere le tabelle DynamoDB.


{
  "Statement": [
    {
      "Sid": "ReadOnlyAccess",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "dynamodb:DescribeTable",
        "dynamodb:ListTables"
      ],
      "Resource": "*"
    }
  ]
}

Esempio: limitare l'accesso a una tabella specifica

È possibile creare una policy che limita l'accesso a una tabella DynamoDB specifica. La policy seguente consente l'accesso alla tabella DynamoDB specificata.


{
  "Statement": [
    {
      "Sid": "Allow-access-to-specific-table",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "dynamodb:Batch*",
        "dynamodb:Delete*",
        "dynamodb:DescribeTable",
        "dynamodb:GetItem",
        "dynamodb:PutItem",
        "dynamodb:Update*"
      ],
      "Resource": "arn:aws:dynamodb:region:123456789012:table/table_name"
    }
  ]
}

Eliminazione di un endpoint gateway

Quando un endpoint gateway non è più necessario, è possibile eliminarlo. L'eliminazione di un endpoint gateway comporta la rimozione della route dell'endpoint dalle tabelle di instradamento della sottorete.

Per eliminare un endpoint gateway usando la console

Apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc/.
Nel pannello di navigazione, seleziona Endpoints (Endpoint).
Seleziona l'endpoint gateway.
Scegli Azioni, Elimina VPC endpoint.
Quando viene richiesta la conferma, immetti delete.
Scegli Elimina.

Per eliminare un endpoint gateway usando la riga di comando

delete-vpc-endpoints (AWS CLI)
Remove-EC2VpcEndpoint(Strumenti per Windows PowerShell)

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Endpoint per Amazon S3

Accesso ai prodotti SaaS