Überlegungen Erstellen eines Gateway-Endpunkts Zugriffssteuerung mit IAM-Richtlinien Zuordnen von Routing-Tabellen Bearbeiten der VPC-Endpunktrichtlinie Löschen eines Gateway-Endpunkts

Gateway-Endpunkte für Amazon DynamoDB

Sie können über Gateway-VPC-Endpunkte von Ihrer VPC aus auf Amazon DynamoDB zugreifen. Nachdem Sie den Gateway-Endpunkt erstellt haben, können Sie ihn als Ziel in Ihrer Routing-Tabelle für Datenverkehr hinzufügen, der von Ihrer VPC zu DynamoDB bestimmt ist.

Für die Nutzung von Gateway-Endpunkten fallen keine zusätzlichen Gebühren an.

DynamoDB unterstützt sowohl Gateway-Endpunkte als auch Schnittstellenendpunkte. Mit einem Gateway-Endpunkt können Sie von Ihrer VPC aus auf DynamoDB zugreifen, ohne dass ein Internet-Gateway oder ein NAT-Gerät für Ihre VPC erforderlich ist, und ohne zusätzliche Kosten. Gateway-Endpunkte ermöglichen jedoch keinen Zugriff von lokalen Netzwerken, von Peer-VPCs in anderen AWS Regionen oder über ein Transit-Gateway. Für diese Szenarien müssen Sie einen Schnittstellenendpunkt verwenden, der gegen Aufpreis verfügbar ist. Weitere Informationen finden Sie unter Typen von VPC-Endpunkten für DynamoDB im Amazon DynamoDB Developer Guide.

Überlegungen

Ein Gateway-Endpunkt ist nur in der Region verfügbar, in der Sie ihn erstellt haben. Stellen Sie sicher, dass Sie Ihren Gateway-Endpunkt in derselben Region wie Ihre DynamoDB-Tabellen erstellen.
Wenn Sie die Amazon-DNS-Server verwenden, müssen Sie sowohl DNS-Hostnamen als auch DNS-Auflösung für Ihre VPC aktivieren. Wenn Sie Ihren eigenen DNS-Server verwenden, stellen Sie sicher, dass Anforderungen an DynamoDB korrekt in die von AWS verwalteten IP-Adressen erfüllt werden.
Die ausgehenden Regeln für die Sicherheitsgruppe für Instances, die über den Gateway-Endpunkt auf DynamoDB zugreifen, müssen Datenverkehr zu DynamoDB zulassen. Sie können in den Regeln der Sicherheitsgruppe auf die ID der Präfixliste für DynamoDB verweisen.
Die Netzwerk-ACL für das Subnetz für Ihre Instances, die über einen Gateway-Endpunkt auf DynamoDB zugreifen, muss Datenverkehr zu und von DynamoDB zulassen. Sie können in Netzwerk-ACL-Regeln nicht auf Präfixlisten verweisen, aber Sie können die IP-Adresse für DynamoDB aus der Präfixliste für DynamoDB abrufen.
Wenn Sie AWS CloudTrail DynamoDB-Operationen protokollieren, enthalten die Protokolldateien die privaten IP-Adressen der EC2-Instances in der Service Consumer-VPC und die ID des Gateway-Endpunkts für alle Anfragen, die über den Endpunkt ausgeführt werden.
Gateway-Endpunkte unterstützen nur IPv4-Datenverkehr.
Die Quell-IPv4-Adressen von Instances in den betroffenen Subnetzen werden von öffentlichen IPv4-Adressen in private IPv4-Adressen Ihrer VPC umgewandelt. Endpunkte wechseln zwischen Netzwerkrouten und trennen offene TCP-Verbindungen. Die vorherigen Verbindungen, die öffentliche IPv4-Adressen verwendet haben, werden nicht fortgesetzt. Wir empfehlen, während des Erstellens oder Änderns eines Gateway-Endpunkts keine wichtigen Aufgaben auszuführen. Testen Sie alternativ, um sicherzustellen, dass Ihre Software automatisch wieder eine Verbindung zu DynamoDB herstellen kann, wenn eine Verbindung unterbrochen wird.
Endpunktverbindungen können nicht auf einen Bereich außerhalb einer VPC erweitert werden. Ressourcen auf der anderen Seite einer VPN-Verbindung, VPC-Peering-Verbindung, eines Transit-Gateways oder einer AWS Direct Connect Verbindung in Ihrer VPC können keinen Gateway-Endpunkt für die Kommunikation mit DynamoDB verwenden.
Ihr Konto hat ein Standardkontingent von 20 Gateway-Endpunkten pro Region, das anpassbar ist. Pro VPC sind auch höchstens 255 Gateway-Endpunkte zulässig.

Erstellen eines Gateway-Endpunkts

Gehen Sie wie folgt vor, um einen Gateway-Endpunkt zu erstellen, der eine Verbindung zu DynamoDB herstellt.

So erstellen Sie ein Gateway-Endpunkt mithilfe der Konsole

Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.
Wählen Sie im Navigationsbereich Endpunkte aus.
Wählen Sie Endpunkt erstellen.
Wählen Sie für Servicekategorie die Option AWS services aus.
Fügen Sie für Services den Filter Type = Gateway hinzu und wählen Sie com.amazonaws aus. region .dynamodb.
Wählen Sie für VPC eine VPC, in der der Endpunkt erstellt werden soll.
Wählen Sie für Route tables (Routing-Tabellen) die Routing-Tabellen, die von dem Endpunkt verwendet werden sollen. Wir fügen automatisch eine Route hinzu, die den für den Service bestimmten Datenverkehr auf die Netzwerkschnittstelle des Endpunkts verweist.
Wählen Sie für Policy (Richtlinie) Full access (Vollzugriff), um alle Operationen aller Prinzipale auf allen Ressourcen über den VPC-Endpunkt zuzulassen. Wählen Sie andernfalls Custom (Benutzerdefiniert), um eine VPC-Endpunktrichtlinie anzufügen, die die Berechtigungen steuert, die Prinzipale zum Ausführen von Aktionen für Ressourcen über den VPC-Endpunkt haben.
(Optional) Sie fügen ein Tag hinzu, indem Sie neuen Tag hinzufügen auswählen und den Schlüssel und den Wert für den Tag eingeben.
Wählen Sie Endpunkt erstellen.

So erstellen Sie ein Gateway-Endpunkt mithilfe der Befehlszeile

create-vpc-endpoint (AWS CLI)
New-EC2VpcEndpoint(Tools für Windows) PowerShell

Zugriffssteuerung mit IAM-Richtlinien

Sie können IAM-Richtlinien erstellen, um zu steuern, welche IAM-Prinzipale über einen bestimmten VPC-Endpunkt auf DynamoDB-Tabellen zugreifen können.

Beispiel: Beschränken des Zugriffs auf einen bestimmten Endpunkt

Sie können eine Richtlinie mit dem aws:sourceVpce-Bedingungsschlüssel erstellen, um den Zugriff auf einen bestimmten VPC-Endpunkt zu beschränken. Die folgende Richtlinie verweigert den Zugriff auf DynamoDB-Tabellen im Konto, sofern der angegebene VPC-Endpunkt nicht verwendet wird. In diesem Beispiel wird davon ausgegangen, dass es auch eine Richtlinienanweisung gibt, die den für Ihre Anwendungsfälle erforderlichen Zugriff ermöglicht.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "Allow-access-from-specific-endpoint",
         "Effect": "Deny",
         "Action": "dynamodb:*",
         "Resource": "arn:aws:dynamodb:region:account-id:table/*",
         "Condition": { 
            "StringNotEquals" : { 
               "aws:sourceVpce": "vpce-11aa22bb" 
            } 
         }
      }
   ]
}

Beispiel: Erlauben des Zugriffs von einer bestimmten IAM-Rolle

Sie können eine Richtlinie erstellen, die den Zugriff mithilfe einer bestimmten IAM-Rolle zulässt. Die folgende Richtlinie gewährt Zugriff auf die angegebene IAM-Rolle.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "Allow-access-from-specific-IAM-role",
         "Effect": "Allow",
         "Principal": "*",
         "Action": "*",
         "Resource": "*",
         "Condition": {
            "ArnEquals": {
               "aws:PrincipalArn": "arn:aws:iam::111122223333:role/role_name"
            }
         }
      }
   ]
}

Beispiel: Ermöglicht den Zugriff von einem bestimmten Konto aus

Sie können eine Richtlinie erstellen, die den Zugriff nur von einem bestimmten Konto aus zulässt. Die folgende Richtlinie gewährt Benutzern im angegebenen Konto Zugriff.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "Allow-access-from-account",
         "Effect": "Allow",
         "Principal": "*",
         "Action": "*",
         "Resource": "*",
         "Condition": {
            "StringEquals": {
               "aws:PrincipalAccount": "111122223333"
            }
         }
      }
   ]        
}

Zuordnen von Routing-Tabellen

Sie können die Routing-Tabellen ändern, die dem Gateway-Endpunkt zugeordnet sind. Wenn Sie eine Routing-Tabelle zuordnen, fügen wir automatisch eine Route hinzu, die den für den Service bestimmten Datenverkehr auf die Netzwerkschnittstelle des Endpunkts verweist. Wenn Sie die Zuordnung einer Routing-Tabelle aufheben, entfernen wir die Endpunktroute automatisch aus der Routing-Tabelle.

Zuordnen von Routing-Tabellen mithilfe der Konsole

Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.
Wählen Sie im Navigationsbereich Endpunkte aus.
Erstellen des Gateway-Endpunkts.
Wählen Sie Aktionen und dann Verwalte Routing-Tabelle aus.
Aktivieren oder deaktivieren Sie die Auswahl von Routing-Tabellen nach Bedarf.
Wählen Sie Modify route tables (Ändern von Routing-Tabellen).

Zuordnen von Routing-Tabellen mithilfe der Befehlszeile

modify-vpc-endpoint (AWS CLI)
Edit-EC2VpcEndpoint(Tools für Windows PowerShell)

Bearbeiten der VPC-Endpunktrichtlinie

Sie können die Endpunktrichtlinie für einen Gateway-Endpunkt bearbeiten, der den Zugriff auf DynamoDB von der VPC über den Endpunkt steuert. Die Standardrichtlinie lässt Vollzugriff zu. Weitere Informationen finden Sie unter Endpunktrichtlinien.

So ändern Sie die Endpunktrichtlinie mithilfe der Konsole

Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.
Wählen Sie im Navigationsbereich Endpunkte aus.
Erstellen des Gateway-Endpunkts.
Wählen Sie Aktionen, Verwalten von Richtlinien.
Wählen Sie Full Access (Voller Zugriff), um vollen Zugriff auf den Service zu gewähren, oder wählen Sie Custom (Benutzerdefiniert), und fügen Sie eine benutzerdefinierte Richtlinie hinzu.
Wählen Sie Speichern.

So ändern Sie ein Gateway-Endpunkt mithilfe der Befehlszeile

modify-vpc-endpoint (AWS CLI)
Edit-EC2VpcEndpoint(Tools für Windows PowerShell)

Nachfolgend sind Beispielendpunktrichtlinien für den Zugriff auf DynamoDB aufgeführt.

Beispiel: Schreibgeschützten Zugriff zulassen

Sie können eine Richtlinie erstellen, die den Zugriff auf den schreibgeschützten Zugriff beschränkt. Die folgende Richtlinie erteilt die Berechtigung zum Auflisten und Beschreiben von DynamoDB-Tabellen.


{
  "Statement": [
    {
      "Sid": "ReadOnlyAccess",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "dynamodb:DescribeTable",
        "dynamodb:ListTables"
      ],
      "Resource": "*"
    }
  ]
}

Beispiel: Beschränken des Zugriffs auf eine bestimmte Tabelle

Sie können eine Richtlinie erstellen, die den Zugriff auf eine bestimmte DynamoDB-Tabelle beschränkt. Die folgende Richtlinie gewährt den Zugriff auf die angegebene DynamoDB-Tabelle.


{
  "Statement": [
    {
      "Sid": "Allow-access-to-specific-table",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "dynamodb:Batch*",
        "dynamodb:Delete*",
        "dynamodb:DescribeTable",
        "dynamodb:GetItem",
        "dynamodb:PutItem",
        "dynamodb:Update*"
      ],
      "Resource": "arn:aws:dynamodb:region:123456789012:table/table_name"
    }
  ]
}

Löschen eines Gateway-Endpunkts

Wenn Sie einen Gateway-Endpunkt nicht mehr benötigen, können Sie ihn löschen. Wenn Sie einen Gateway-Endpunkt löschen, entfernen wir die Endpunktroute aus den Subnetz-Routing-Tabellen.

So löschen Sie ein Gateway-Endpunkt mithilfe der Konsole

Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.
Wählen Sie im Navigationsbereich Endpunkte aus.
Erstellen des Gateway-Endpunkts.
Wählen Sie Actions (Aktionen), Delete VPC Endpoint (VPC-Endpunkte löschen).
Wenn Sie zur Bestätigung aufgefordert werden, geben Sie delete ein.
Wählen Sie Löschen.

So löschen Sie ein Gateway-Endpunkt mithilfe der Befehlszeile

delete-vpc-endpoints (AWS CLI)
Remove-EC2VpcEndpoint(Tools für Windows PowerShell)

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Endpunkte für Amazon S3

Zugriff auf SaaS-Produkte