Política necessária para endpoints Tráfego entre clientes de serviço e on-premises e as aplicações Tráfego entre recursos da AWS na mesma região

Proteger as conexões do DynamoDB usando endpoints da VPC e políticas do IAM

As conexões são protegidas entre o Amazon DynamoDB e as aplicações on-premises e entre o DynamoDB e outros recursos da AWS na mesma região da AWS.

Política necessária para endpoints

O Amazon DynamoDB fornece uma API DescribeEndpoints que permite enumerar informações de endpoints regionais. Para solicitações aos endpoints públicos do DynamoDB, a API responde independentemente da política do IAM configurada para o DynamoDB, mesmo que haja uma negação explícita ou implícita na política do IAM ou do endpoint da VPC. Isso ocorre porque o DynamoDB ignora intencionalmente a autorização para a API DescribeEndpoints.

Para solicitações de um endpoint da VPC, as políticas de endpoint do IAM e da nuvem privada virtual (VPC) devem autorizar a chamada de API DescribeEndpoints para as entidades principais do Identity and Access Management (IAM) solicitantes usando a ação do IAM dynamodb:DescribeEndpoints. Caso contrário, o acesso à API DescribeEndpoints será negado.

Veja a seguir um exemplo de uma política de endpoints.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "(Include IAM Principals)",
            "Action": "dynamodb:DescribeEndpoints",
            "Resource": "*"
        }
    ]
}

Tráfego entre clientes de serviço e on-premises e as aplicações

Você tem duas opções de conectividade entre sua rede privada e a AWS:

Uma conexão do AWS Site-to-Site VPN. Para obter mais informações, consulte O que é o AWS Site-to-Site VPN? no Guia do usuário do AWS Site-to-Site VPN.
Uma conexão do AWS Direct Connect. Para obter mais informações, consulte O que é o AWS Direct Connect? no Guia do usuário do AWS Direct Connect.

O acesso ao DynamoDB via rede é feito por meio de APIs publicadas pela AWS. Os clientes devem ser compatíveis com o Transport Layer Security (TLS) 1.2. Recomendamos o TLS 1.3. Os clientes também devem ter suporte a pacotes de criptografia com sigilo de encaminhamento perfeito (PFS) como Ephemeral Diffie-Hellman (DHE) ou Ephemeral Elliptic Curve Diffie-Hellman (ECDHE). A maioria dos sistemas modernos como Java 7 e versões posteriores oferece suporte a esses modos. Além disso, você deve assinar solicitações usando um ID da chave de acesso e uma chave de acesso secreta associados a uma entidade principal do IAM. Ou você pode usar o AWS Security Token Service (STS) para gerar credenciais de segurança temporárias para assinar solicitações.

Tráfego entre recursos da AWS na mesma região

Um endpoint da Amazon Virtual Private Cloud (Amazon VPC) para DynamoDB é uma entidade lógica dentro de uma VPC que permite conectividade apenas com o DynamoDB. A Amazon VPC encaminha as solicitações para o DynamoDB e roteia as respostas de volta para a VPC. Para obter mais informações, consulte Endpoints da VPC no Guia do usuário da Amazon VPC. Para obter exemplos de políticas que podem ser usadas para controlar o acesso a partir de endpoints da VPC, consulte Usar políticas do IAM para controlar o acesso ao DynamoDB.

nota

Os endpoints da Amazon VPC não podem ser acessados via AWS Site-to-Site VPN ou AWS Direct Connect.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciamento das tabelas criptografadas

IAM