本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon Keyspaces 中的網際網路流量隱私權
本主題說明 Amazon Keyspaces (適用於 Apache Cassandra) 如何保護從內部部署應用程式到 Amazon Keyspaces 以及 Amazon Keyspaces 和相同 內其他 AWS 資源之間的連線 AWS 區域。
## 服務和內部部署用戶端與應用程式之間的流量。
您的私有網路與 之間有兩個連線選項 AWS:
+ AWS Site-to-Site VPN 連線。如需詳細資訊,請參閱《 AWS Site-to-Site VPN使用者指南**》中的[什麼是AWS Site-to-Site VPN ?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)。
+ Direct Connect 連線。如需詳細資訊,請參閱《 Direct Connect使用者指南**》中的[什麼是Direct Connect ?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)。
Amazon Keyspaces (適用於 Apache Cassandra) 是受管服務,受到 AWS 全球網路安全的保護。如需 AWS 安全服務以及如何 AWS 保護基礎設施的資訊,請參閱[AWS 雲端安全](https://aws.amazon.com/security/)。若要使用基礎設施安全的最佳實務設計您的 AWS 環境,請參閱*安全支柱 AWS Well-Architected Framework* 中的[基礎設施保護](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)。
您可以使用 AWS 發佈的 API 呼叫,透過網路存取 Amazon Keyspaces。使用者端必須支援下列專案:
+ Transport Layer Security (TLS)。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 具備完美轉送私密(PFS)的密碼套件,例如 DHE (Ephemeral Diffie-Hellman)或 ECDHE (Elliptic Curve Ephemeral Diffie-Hellman)。現代系統(如 Java 7 和更新版本)大多會支援這些模式。
Amazon Keyspaces 支援兩種驗證用戶端請求的方法。第一個方法使用服務特定的登入資料,這是針對特定 IAM 使用者產生的密碼型登入資料。您可以使用 IAM 主控台、 AWS CLI或 AWS API 來建立和管理密碼。如需詳細資訊,請參閱[搭配 Amazon Keyspaces 使用 IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mcs.html)。
第二個方法針對 Cassandra 的開放原始碼 DataStax Java 驅動程式使用身分驗證外掛程式。此外掛程式可讓 [IAM 使用者、角色和聯合身分](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)使用 [AWS Signature 第 4 版程序 (SigV4),將身分驗證資訊新增至 Amazon Keyspaces (適用於 Apache Cassandra) API ](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html)請求。如需詳細資訊,請參閱[建立和設定 Amazon Keyspaces 的 AWS 登入資料](access.credentials.md)。
## 相同區域中 AWS 資源之間的流量
介面 VPC 端點可讓您在 Amazon VPC 和 Amazon Keyspaces 中執行的虛擬私有雲端 (VPC) 之間進行私有通訊。介面 VPC 端點由 提供支援 AWS PrivateLink,該 AWS 服務可啟用 VPCs和 AWS 服務之間的私有通訊。透過在您的 VPC 中使用具有私有 IPs彈性網路介面來 AWS PrivateLink 啟用此功能,以便網路流量不會離開 Amazon 網路。介面 VPC 端點不需要網際網路閘道、NAT 裝置、VPN 連線或 Direct Connect 連線。如需詳細資訊,請參閱 [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/) 和[界面 VPC 端點 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html)。如需範例政策,請參閱 [使用 Amazon Keyspaces 的介面 VPC 端點](vpc-endpoints.md#using-interface-vpc-endpoints)。