Política necesaria para puntos de conexión Tráfico entre el servicio y las aplicaciones y clientes locales Tráfico entre recursos de AWS en la misma región

Privacidad del tráfico entre redes

Las conexiones están protegidas entre Amazon DynamoDB y las aplicaciones locales y entre DynamoDB y otros recursos de AWS dentro de la misma región de AWS.

Política necesaria para puntos de conexión

Amazon DynamoDB proporciona una API DescribeEndpoints que le permite mostrar la información de los puntos de conexión regionales. Para las solicitudes de un punto de conexión de VPC, tanto las políticas de punto de conexión de IAM como las de la nube privada virtual (VPC) deben autorizar la llamada a la API DescribeEndpoints para las entidades principales de administración de identidades y accesos (IAM) solicitantes mediante la acción dynamodb:DescribeEndpoints de IAM. De lo contrario, se le denegará el acceso a la API DescribeEndpoints. Los pasos de autorización de la política de puntos de conexión de IAM y VPC para las llamadas a la API DescribeEndpoints no se aplican cuando se accede a puntos de conexión públicos de DynamoDB.

A continuación, se muestra un ejemplo de una política de puntos de conexión.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "(Include IAM Principals)",
            "Action": "dynamodb:DescribeEndpoints",
            "Resource": "*"
        }
    ]
}

Tráfico entre el servicio y las aplicaciones y clientes locales

Tiene dos opciones de conectividad entre su red privada y AWS:

Una conexión de AWS Site-to-Site VPN. Para obtener más información, consulte ¿Qué es AWS Site-to-Site VPN? en la Guía del usuario de AWS Site-to-Site VPN.
Una conexión de AWS Direct Connect. Para obtener más información, consulte ¿Qué es AWS Direct Connect? en la Guía del usuario de AWS Direct Connect.

El acceso a DynamoDB a través de la red se realiza mediante las API publicadas por AWS. Los clientes deben admitir el protocolo de seguridad de la capa de transporte (TLS) 1.2. Nosotros recomendamos TLS 1.3. Los clientes también deben admitir conjuntos de cifrado con confidencialidad directa total (PFS) tales como Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Diffie-Hellman Ephemeral (ECDHE). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos. Además, debe firmar las solicitudes con un ID de clave de acceso y una clave de acceso secreta que estén asociados a una entidad principal de IAM, o bien, puede usar AWS Security Token Service (STS) para generar credenciales de seguridad temporales a la hora de firmar solicitudes.

Tráfico entre recursos de AWS en la misma región

Un punto de enlace de la Virtual Private Cloud (Amazon VPC) para DynamoDB es una entidad lógica dentro de una VPC que permite la conectividad solo a DynamoDB. La Amazon VPC enruta las solicitudes a DynamoDB y vuelve a enrutar las respuestas a la VPC. Para obtener más información, consulte Puntos de enlace de la VPC en la Guía del usuario de Amazon VPC. Para consultar ejemplos de políticas que puede usar para controlar el acceso desde los puntos de conexión de VPC, consulte Uso de políticas de IAM para controlar el acceso a DynamoDB.

nota

No se puede acceder a los puntos de conexión de VPC de Amazon a través de AWS Site-to-Site VPN o AWS Direct Connect.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Protección de datos en DAX

IAM