Richtlinie für den Datenverkehr zwischen Netzwerken - Amazon-DynamoDB
Erforderliche Richtlinie für EndpunkteDatenverkehr zwischen Service und On-Premises-Clients und -AnwendungenDatenverkehr zwischen AWS -Ressourcen in derselben Region

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richtlinie für den Datenverkehr zwischen Netzwerken

Verbindungen sind sowohl zwischen Amazon DynamoDB und On-Premises-Anwendungen als auch zwischen DynamoDB und anderen AWS Ressourcen innerhalb derselben AWS Region geschützt.

Erforderliche Richtlinie für Endpunkte

Amazon DynamoDB bietet eine DescribeEndpoints-API, mit der Sie regionale Endpunktinformationen auflisten können. Bei Anfragen von einem VPC-Endpunkt müssen sowohl die IAM- als auch die Endpunktrichtlinien der Virtual Private Cloud (VPC) den DescribeEndpoints-API-Aufruf für die anfordernden Prinzipale vom Identity and Access Management (IAM) mithilfe der IAM-dynamodb:DescribeEndpoints-Aktion autorisieren. Andernfalls wird der Zugriff auf die DescribeEndpoints-API verweigert. Die Autorisierungsschritte für IAM- und VPC-Endpunktrichtlinien für DescribeEndpoints API-Aufrufe gelten nicht, wenn Sie auf öffentliche Endpunkte von DynamoDB zugreifen.

Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "(Include IAM Principals)",
            "Action": "dynamodb:DescribeEndpoints",
            "Resource": "*"
        }
    ]
}

Datenverkehr zwischen Service und On-Premises-Clients und -Anwendungen

Sie haben zwei Verbindungsoptionen zwischen Ihrem privaten Netzwerk und AWS:

  • Eine - AWS Site-to-Site VPN Verbindung. Weitere Informationen finden Sie unter Was ist AWS Site-to-Site VPN? im AWS Site-to-Site VPN -Benutzerhandbuch.

  • Eine - AWS Direct Connect Verbindung. Weitere Informationen finden Sie unter Was ist AWS Direct Connect? im AWS Direct Connect -Benutzerhandbuch.

Der Zugriff auf DynamoDB über das Netzwerk erfolgt über AWS veröffentlichte APIs. Clients müssen Transport Layer Security (TLS) 1.2 unterstützen. Wir empfehlen TLS 1.3. Clients müssen außerdem Cipher Suites mit PFS (Perfect Forward Secrecy) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman) unterstützen. Die meisten modernen Systemen wie Java 7 und höher unterstützen diese Modi. Außerdem müssen Sie die Anfragen mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel signieren, die einem IAM-Prinzipal zugeordnet sind. Sie können auch AWS Security Token Service (STS) verwenden um temporäre Sicherheitsanmeldeinformationen zu generieren.

Datenverkehr zwischen AWS -Ressourcen in derselben Region

Ein Amazon-Virtual-Private-Cloud-Endpunkt (Amazon VPC) für DynamoDB ist eine logische Entität innerhalb einer VPC, die nur Die Verbindung zu DynamoDB zulässt. Die Amazon VPC leitet Anforderungen an DynamoDB weiter und leitet Antworten an die VPC zurück. Weitere Informationen finden Sie unter VPC-Endpunkte im Amazon-VPC-Benutzerhandbuch. Dieser Abschnitt enthält Beispiele für Richtlinien, die für die Steuerung des Zugriffs auf VPC-Endpunkte verwendet werden können. Sehen Sie Verwenden von IAM-Richtlinien zum Steuern des Zugriffs auf DynamoDB.

Anmerkung

Auf Amazon-VPC-Endpunkte kann nicht über AWS Site-to-Site VPN oder zugegriffen werden AWS Direct Connect.