Considerazioni Crea un endpoint gateway Controllo dell'accesso utilizzando le policy IAM Associazione delle tabelle di instradamento Modifica della policy di endpoint VPC Eliminazione di un endpoint gateway

Endpoint gateway per Amazon DynamoDB

Puoi accedere ad Amazon DynamoDB dal tuo VPC utilizzando gli endpoint VPC del gateway. Dopo aver creato l'endpoint gateway, puoi aggiungerlo come destinazione nella tabella di instradamento per il traffico in transito dal VPC a DynamoDB.

L'utilizzo di endpoint gateway non comporta costi supplementari.

DynamoDB supporta sia gli endpoint gateway che gli endpoint di interfaccia. Con un endpoint gateway, puoi accedere a DynamoDB dal tuo VPC, senza richiedere un gateway Internet o un dispositivo NAT per il tuo VPC e senza costi aggiuntivi. Tuttavia, gli endpoint gateway non consentono l'accesso da reti locali, da VPC peerizzati in altre regioni o tramite un gateway di transito. AWS Per questi casi, è necessario utilizzare un endpoint di interfaccia, disponibile a un costo aggiuntivo. Per ulteriori informazioni, consulta Tipi di endpoint VPC per DynamoDB nella Amazon DynamoDB Developer Guide.

Indice

Considerazioni
Crea un endpoint gateway
Controllo dell'accesso utilizzando le policy IAM
Associazione delle tabelle di instradamento
Modifica della policy di endpoint VPC
Eliminazione di un endpoint gateway

Considerazioni

Un endpoint gateway è disponibile solo nella regione in cui è stato creato. Assicurati di creare l'endpoint gateway nella stessa regione delle tabelle DynamoDB.
Se utilizzi i server Amazon DNS, devi abilitare i nomi host DNS e la risoluzione DNS per il VPC. In alternativa, se utilizzi un server DNS, assicurati che le richieste destinate a DynamoDB vengano risolte correttamente negli indirizzi IP gestiti da AWS.
Le regole per i gruppi di sicurezza per le istanze che accedono a DynamoDB tramite l'endpoint gateway devono consentire il traffico da e verso DynamoDB. Puoi fare riferimento all'ID dell'elenco dei prefissi per DynamoDB nelle regole del gruppo di sicurezza.
L'ACL di rete per la sottorete per le istanze che accedono a DynamoDB tramite l'endpoint gateway devono consentire il traffico da e verso DynamoDB. Non è possibile fare riferimento agli elenchi di prefissi nelle regole ACL di rete, ma è possibile ottenere gli intervalli di indirizzi IP per DynamoDB dal relativo elenco di prefissi.
Se si utilizza AWS CloudTrail per registrare le operazioni DynamoDB, i file di registro contengono gli indirizzi IP privati delle istanze EC2 nel VPC del service consumer e l'ID dell'endpoint gateway per tutte le richieste eseguite tramite l'endpoint.
Gli endpoint gateway supportano solo il traffico IPv4.
Gli indirizzi IPv4 di origine delle istanze nelle sottoreti interessate cambiano da indirizzi IPv4 pubblici in indirizzi IPv4 privati dal VPC. Un endpoint cambia le route di rete e disconnette le connessioni TCP aperte. Le connessioni precedenti che utilizzavano indirizzi IPv4 pubblici non vengono ripristinate. Ti consigliamo di non eseguire attività critiche quando crei o modifichi un endpoint gateway. In alternativa, verifica che il software utilizzato sia in grado di riconnettersi automaticamente a DynamoDB in caso di interruzione della connessione.
Le connessioni endpoint non possono essere Estese all'esterno di un VPC. Le risorse sull'altro lato di una connessione VPN, di una connessione peering VPC, di un gateway di transito o di una AWS Direct Connect connessione nel VPC non possono utilizzare un endpoint gateway per comunicare con DynamoDB.
Il tuo account ha una quota predefinita, ma modificabile, di 20 endpoint gateway per regione. Esiste inoltre un limite di 255 endpoint gateway per VPC.

Crea un endpoint gateway

Utilizza la procedura seguente per creare un endpoint gateway che si connette a DynamoDB.

Per creare un endpoint gateway tramite la console

Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.
Nel pannello di navigazione, seleziona Endpoints (Endpoint).
Seleziona Crea endpoint.
Per Service category (Categoria servizio), scegli Servizi AWS.
Per Servizi, aggiungi il filtro Type = Gateway e seleziona com.amazonaws. regione .dynamodb.
In VPC, seleziona un VPC in cui creare l'endpoint.
In Route tables (Tabelle di instradamento), seleziona le tabelle di instradamento che devono essere utilizzate dall'endpoint. Viene aggiunta automaticamente una route che indirizza il traffico destinato per il servizio all'interfaccia di rete dell'endpoint.
Per Policy, seleziona Full access (Accesso completo) per consentire tutte le operazioni da parte di tutti i principali su tutte le risorse dell'endpoint VPC. In caso contrario, seleziona Custom (Personalizza) per allegare una policy dell'endpoint VPC in grado di verificare le autorizzazioni di cui dispongono i principali per eseguire operazioni sulle risorse dell'endpoint VPC.
(Facoltativo) Per aggiungere un tag, scegliere Add new tag (Aggiungi nuovo tag) e immettere la chiave e il valore del tag.
Seleziona Crea endpoint.

Per creare un endpoint gateway utilizzando la riga di comando

create-vpc-endpoint (AWS CLI)
New-EC2VpcEndpoint(Strumenti per Windows) PowerShell

Controllo dell'accesso utilizzando le policy IAM

Puoi creare policy IAM per controllare quali principali IAM possono accedere alle tabelle DynamoDB utilizzando un endpoint VPC specifico.

Esempio: limitazione dell'accesso a uno specifico endpoint

Puoi creare una policy che limita l'accesso a un endpoint VPC specifico utilizzando la chiave di condizione aws:sourceVpce. La policy seguente nega l'accesso alle tabelle DynamoDB nell'account a meno che non si utilizzi l'endpoint VPC specificato. Questo esempio presuppone che vi sia anche una dichiarazione di policy che consente l'accesso richiesto per i casi d'uso.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "Allow-access-from-specific-endpoint",
         "Effect": "Deny",
         "Action": "dynamodb:*",
         "Resource": "arn:aws:dynamodb:region:account-id:table/*",
         "Condition": { 
            "StringNotEquals" : { 
               "aws:sourceVpce": "vpce-11aa22bb" 
            } 
         }
      }
   ]
}

Esempio: concessione dell'accesso da un ruolo IAM specifico

Puoi creare una policy che consente l'accesso utilizzando un ruolo IAM specifico. La policy seguente concede l'accesso al ruolo IAM specificato.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "Allow-access-from-specific-IAM-role",
         "Effect": "Allow",
         "Principal": "*",
         "Action": "*",
         "Resource": "*",
         "Condition": {
            "ArnEquals": {
               "aws:PrincipalArn": "arn:aws:iam::111122223333:role/role_name"
            }
         }
      }
   ]
}

Esempio: concessione dell'accesso da un account specifico

Puoi creare una policy che consente l'accesso solo da un account specifico. La policy seguente concede l'accesso agli utenti nell'account specificato.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "Allow-access-from-account",
         "Effect": "Allow",
         "Principal": "*",
         "Action": "*",
         "Resource": "*",
         "Condition": {
            "StringEquals": {
               "aws:PrincipalAccount": "111122223333"
            }
         }
      }
   ]        
}

Associazione delle tabelle di instradamento

Puoi modificare le tabelle di instradamento associate all'endpoint gateway. Quando associ una tabella di instradamento, viene aggiunta automaticamente una route che indirizza il traffico destinato per il servizio all'interfaccia di rete dell'endpoint. Quando dissoci una tabella di instradamento, la route dell'endpoint viene rimossa automaticamente.

Per associare le tabelle di instradamento utilizzando la console

Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.
Nel pannello di navigazione, seleziona Endpoints (Endpoint).
Seleziona l'endpoint gateway.
Selezionare Actions (Operazioni), Manage route tables (Gestisci tabelle di routing).
Seleziona o deseleziona le tabelle di instradamento in base alle esigenze.
Scegli Modify route tables (Modifica le tabelle di routing).

Per associare le tabelle di instradamento utilizzando la riga di comando

modify-vpc-endpoint (AWS CLI)
Edit-EC2VpcEndpoint(Strumenti per Windows PowerShell)

Modifica della policy di endpoint VPC

Puoi modificare la policy di endpoint per un endpoint gateway, che controlla l'accesso a DynamoDB dal VPC, tramite l'endpoint. La policy predefinita consente l'accesso completo. Per ulteriori informazioni, consulta Policy di endpoint.

Per modificare la policy di endpoint usando la console

Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.
Nel pannello di navigazione, seleziona Endpoints (Endpoint).
Seleziona l'endpoint gateway.
Scegli Actions (Operazioni), Manage policy (Gestisci policy).
Scegli Full Access (Accesso completo) per consentire l'accesso completo al servizio oppure scegli Custom (Personalizzato) e specifica una policy personalizzata.
Selezionare Salva.

Per modificare un endpoint gateway usando la riga di comando

modify-vpc-endpoint (AWS CLI)
Edit-EC2VpcEndpoint(Strumenti per Windows PowerShell)

Di seguito sono riportati esempi di policy dell'endpoint per accedere a DynamoDB.

Esempio: concessione dell'accesso in sola lettura

Puoi creare una policy che concede l'accesso in sola lettura. La policy seguente concede l'autorizzazione per elencare e descrivere le tabelle DynamoDB.


{
  "Statement": [
    {
      "Sid": "ReadOnlyAccess",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "dynamodb:DescribeTable",
        "dynamodb:ListTables"
      ],
      "Resource": "*"
    }
  ]
}

Esempio: limitare l'accesso a una tabella specifica

È possibile creare una policy che limita l'accesso a una tabella DynamoDB specifica. La policy seguente consente l'accesso alla tabella DynamoDB specificata.


{
  "Statement": [
    {
      "Sid": "Allow-access-to-specific-table",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "dynamodb:Batch*",
        "dynamodb:Delete*",
        "dynamodb:DescribeTable",
        "dynamodb:GetItem",
        "dynamodb:PutItem",
        "dynamodb:Update*"
      ],
      "Resource": "arn:aws:dynamodb:region:123456789012:table/table_name"
    }
  ]
}

Eliminazione di un endpoint gateway

Quando un endpoint gateway non è più necessario, è possibile eliminarlo. L'eliminazione di un endpoint gateway comporta la rimozione della route dell'endpoint dalle tabelle di instradamento della sottorete.

Per eliminare un endpoint gateway usando la console

Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.
Nel pannello di navigazione, seleziona Endpoints (Endpoint).
Seleziona l'endpoint gateway.
Seleziona Actions (Operazioni), Delete VPC endpoints (Eliminazione di endpoint VPC).
Quando viene richiesta la conferma, immetti delete.
Scegli Elimina.

Per eliminare un endpoint gateway usando la riga di comando

delete-vpc-endpoints (AWS CLI)
Remove-EC2VpcEndpoint(Strumenti per Windows PowerShell)

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Endpoint per Amazon S3

Accesso ai prodotti SaaS