本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon Keyspaces 中的互联网络流量隐私
<a name="inter-network-traffic-privacy"></a>

本主题介绍亚马逊密钥空间（适用于 Apache Cassandra）如何保护本地应用程序与亚马逊密钥空间之间的连接，以及亚马逊密钥空间与该密钥空间内的其他资源之间的连接。 AWS AWS 区域

## 服务与本地客户端和应用之间的流量
<a name="inter-network-traffic-privacy-on-prem"></a>

您的私有网络和以下两种连接方式可供选择 AWS：
+ 一个 AWS Site-to-Site VPN 连接。有关更多信息，请参阅《AWS Site-to-Site VPN 用户指南》**中的[什么是 AWS Site-to-Site VPN？](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)。
+ 一个 Direct Connect 连接。有关更多信息，请参阅《Direct Connect 用户指南》**中的[什么是 Direct Connect？](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)。

作为一项托管服务，Amazon Keyspaces（适用于 Apache Cassandra）受全球网络安全的保护。 AWS 有关 AWS 安全服务以及如何 AWS 保护基础设施的信息，请参阅[AWS 云安全](https://aws.amazon.com/security/)。要使用基础设施安全的最佳实践来设计您的 AWS 环境，请参阅 S * AWS ecurity Pillar Well-Architected Fram* ework 中的[基础设施保护](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)。

您可以使用 AWS 已发布的 API 调用通过网络访问 Amazon Keyspaces。客户端必须支持以下内容：
+ 传输层安全性协议（TLS）。我们要求使用 TLS 1.2，建议使用 TLS 1.3。
+ 具有完全向前保密（PFS）的密码套件，例如 DHE（临时 Diffie-Hellman）或 ECDHE（临时椭圆曲线 Diffie-Hellman）。大多数现代系统（如 Java 7 及更高版本）都支持这些模式。

Amazon Keyspaces 支持两种对客户端请求进行身份验证的方法。第一种方法使用特定于服务的凭证，这种凭证是为特定 IAM 用户生成的基于密码的凭证。您可以使用 IAM 控制台 AWS CLI、或 AWS API 创建和管理密码。有关更多信息，请参阅[将 IAM 与 Amazon Keyspaces 结合使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mcs.html)。

第二种方法使用适用于 Cassandra 的开源 DataStax Java 驱动程序的身份验证插件。这一插件让 [IAM 用户、角色和联合身份](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)能够使用[AWS 签名版本 4 流程 (Sigv4)](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) 向 Amazon Keyspaces（Apache Cassandra 兼容）API 请求添加身份验证信息。有关更多信息，请参阅 [为 Amazon Keyspaces 创建和配置 AWS 证书](access.credentials.md)。

## 同一区域内 AWS 资源之间的流量
<a name="inter-network-traffic-privacy-within-region"></a>

接口 VPC 端点可以在 Amazon VPC 中运行的虚拟私有云 (VPC) 与 Amazon Keyspaces 之间实现私有通信。接口 VPC 终端节点由提供支持 AWS PrivateLink，这是一项支持 VPCs和 AWS 服务之间私有通信的 AWS 服务。 AWS PrivateLink 通过 IPs 在您的 VPC 中使用带有私有的 elastic network interface 来实现这一点，这样网络流量就不会离开亚马逊网络。接口 VPC 终端节点不需要互联网网关、NAT 设备、VPN 连接或 Direct Connect 连接。有关更多信息，请参阅 [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/) 和 [接口 VPC 端点 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html)。有关示例策略，请参阅 [将接口 VPC 端点用于 Amazon Keyspaces](vpc-endpoints.md#using-interface-vpc-endpoints)。