# AWS PrivateLink para DynamoDB
Con AWS PrivateLink para DynamoDB, puede aprovisionar *puntos de conexión de Amazon VPC de la interfaz* (puntos de conexión de la interfaz) en su nube privada virtual (Amazon VPC). A estos puntos de conexión se puede acceder directamente desde las aplicaciones que se encuentran en las instalaciones a través de la VPN y Direct Connect, o bien, en una Región de AWS diferente mediante el [emparejamiento de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html). Al usar AWS PrivateLink y puntos de conexión de la interfaz, puede simplificar la conectividad de la red privada desde sus aplicaciones a DynamoDB.
Las aplicaciones de la VPC no necesitan direcciones IP públicas para comunicarse con DynamoDB mediante puntos de conexión de interfaz de VPC para operaciones de DynamoDB. Los puntos de conexión de la interfaz se representan mediante una o más interfaces de red elásticas (ENI) a las que se asignan direcciones IP privadas desde subredes de la Amazon VPC. Las solicitudes a DynamoDB a través de puntos de conexión de la interfaz permanecen en la red de Amazon. Asimismo, puede acceder a los puntos de conexión de la interfaz en su Amazon VPC desde aplicaciones en las instalaciones a través de AWS Direct Connect o AWS Virtual Private Network (Site-to-Site VPN). Para obtener más información sobre cómo conectar la Amazon VPC a la red en las instalaciones, consulte la [Direct Connect User Guide](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) y la [AWS Site-to-Site VPN User Guide](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html).
Para obtener información general sobre los puntos de conexión de interfaz, consulte [Puntos de conexión de VPC de interfaz de Amazon (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) en la *Guía de AWS PrivateLink*. También se admite AWS PrivateLink para puntos de conexión de Amazon DynamoDB Streams. Para obtener más información, consulte [AWS PrivateLink para DynamoDB Streams](privatelink-streams.md).
**Topics**
+ [Tipos de puntos de conexión de Amazon VPC para Amazon DynamoDB](#types-of-vpc-endpoints-for-ddb)
+ [Consideraciones sobre el uso de AWS PrivateLink para Amazon DynamoDB](#privatelink-considerations)
+ [Creación de un punto de conexión de VPC de Amazon](#ddb-creating-vpc)
+ [Acceso a los puntos de conexión de la interfaz de Amazon DynamoDB](#accessing-ddb-interface-endpoints)
+ [Acceso a tablas de DynamoDB y operaciones de la API de control desde los puntos de conexión de la interfaz de DynamoDB](#accessing-tables-apis-from-interface-endpoints)
+ [Actualización de una configuración DNS en las instalaciones](#updating-on-premises-dns-config)
+ [Creación de una política de punto de conexión de Amazon VPC para DynamoDB](#creating-vpc-endpoint-policy)
+ [Uso de puntos de conexión de DynamoDB con acceso privado de Consola de administración de AWS](#ddb-endpoints-private-access)
+ [AWS PrivateLink para DynamoDB Streams](privatelink-streams.md)
+ [Uso de AWS PrivateLink para DynamoDB Accelerator (DAX)](dax-private-link.md)
## Tipos de puntos de conexión de Amazon VPC para Amazon DynamoDB
Puede utilizar dos tipos de puntos de conexión de Amazon VPC para acceder a Amazon DynamoDB: *puntos de conexión de la puerta de enlace* y *puntos de conexión de la interfaz* (mediante AWS PrivateLink). Un *punto de conexión de la puerta de enlace* es una puerta de enlace que se especifica en la tabla de enrutamiento para acceder a DynamoDB desde la Amazon VPC a través de la red de AWS. Los *puntos de conexión de la interfaz* amplían la funcionalidad de los puntos de conexión de la puerta de enlace al usar direcciones IP privadas para enviar solicitudes a DynamoDB desde la Amazon VPC, las instalaciones u otra Amazon VPC en otra Región de AWS mediante el emparejamiento de VPC o AWS Transit Gateway. Para obtener más información, consulte [What is Amazon VPC peering?](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) y [Transit Gateway frente a emparejamiento de VPC](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/transit-gateway-vs-vpc-peering.html).
Los puntos de enlace de la interfaz son compatibles con los puntos de enlace de gateway. Si tiene un punto de conexión de la puerta de enlace existente en la Amazon VPC, puede utilizar ambos tipos de puntos de conexión en la misma Amazon VPC.
| Puntos de conexión de la puerta de enlace para DynamoDB | Puntos de conexión de la interfaz para DynamoDB |
| --- | --- |
| En ambos casos, el tráfico de red permanece en la red de AWS. |
| Utilizar direcciones IP públicas de Amazon DynamoDB | Utilizar direcciones IP privadas de su Amazon VPC para acceder a Amazon DynamoDB |
| No permitir el acceso desde las instalaciones | Permitir el acceso desde las instalaciones |
| No permitir el acceso desde otra Región de AWS | Permitir el acceso desde un punto de conexión de Amazon VPC en otra Región de AWS mediante el uso de emparejamiento de VPC o AWS Transit Gateway |
| No facturado | Facturado |
Para obtener más información acerca de los puntos de conexión de la puerta de enlace, consulte [Puntos de conexión de Amazon VPC de la puerta de enlace](https://docs.aws.amazon.com//vpc/latest/privatelink/vpce-gateway.html) en la *Guía del usuario de AWS PrivateLink*.
## Consideraciones sobre el uso de AWS PrivateLink para Amazon DynamoDB
Las consideraciones sobre Amazon VPC se aplican a AWS PrivateLink para Amazon DynamoDB. Para obtener más información, consulte [Consideraciones de los puntos de conexión de la interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) y [Cuotas de AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-limits-endpoints.html) en la *Guía de AWS PrivateLink*. Además, se aplican las siguientes restricciones.
AWS PrivateLink para Amazon DynamoDB no admite lo siguiente:
+ Seguridad de la capa de transporte (TLS) 1.1
+ Servicios de sistema de nombres de dominio (DNS) privado e híbrido
**importante**
No cree zonas alojadas privadas para anular los nombres DNS de los puntos de conexión de DynamoDB (como `dynamodb.region.amazonaws.com` o `*.region.amazonaws.com`) con el fin de realizar el enrutamiento del tráfico hacia los puntos de conexión de su interfaz. Las configuraciones de DNS de DynamoDB pueden cambiar con el tiempo.
Las configuraciones personalizadas de DNS no son compatibles con estos cambios y pueden provocar un enrutamiento inesperado de las solicitudes a través de direcciones IP públicas en lugar de a los puntos de conexión de su interfaz.
Para acceder a DynamoDB a través de AWS PrivateLink, configure sus clientes para que utilicen directamente la URL del punto de conexión de Amazon VPC (por ejemplo, `https://vpce-1a2b3c4d-5e6f.dynamodb.region.vpce.amazonaws.com`).
Puede enviar hasta 50 000 solicitudes por segundo para cada punto de conexión de AWS PrivateLink que active.
**nota**
Los tiempos de espera de conectividad de red con los puntos de conexión de AWS PrivateLink no están incluidos en el ámbito de las respuestas de error de DynamoDB y las aplicaciones que se conecten a los puntos de conexión de PrivateLink deberán gestionarlos adecuadamente.
## Creación de un punto de conexión de VPC de Amazon
Para crear un punto de conexión de la interfaz de Amazon VPC, consulte [Create an Amazon VPC endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) en la *Guía de AWS PrivateLink*.
## Acceso a los puntos de conexión de la interfaz de Amazon DynamoDB
Cuando se crea un punto de conexión de la interfaz, DynamoDB genera dos tipos de nombres DNS de DynamoDB específicos del punto de conexión: *regional* y *zonal*.
+ Un nombre DNS *regional* incluye un ID único de punto de conexión de Amazon VPC, un identificador de servicio, la Región de AWS y `vpce.amazonaws.com` en el nombre. Por ejemplo, para el ID de punto de conexión de Amazon VPC `vpce-1a2b3c4d`, el nombre DNS generado podría ser similar a `vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com`.
+ Un nombre de DNS *zonal* incluye la zona de disponibilidad, por ejemplo, `vpce-1a2b3c4d-5e6f-us-east-1a.dynamodb.us-east-1.vpce.amazonaws.com`. Puede utilizar esta opción si la arquitectura aísla Zonas de disponibilidad. Por ejemplo, podría usarlo para la contención de fallos o para reducir los costos de transferencia de datos regionales.
**nota**
Para lograr una fiabilidad óptima, recomendamos implementar el servicio en un mínimo de tres zonas de disponibilidad.
## Acceso a tablas de DynamoDB y operaciones de la API de control desde los puntos de conexión de la interfaz de DynamoDB
Puede usar la AWS CLI o los SDK de AWS para acceder a las tablas de DynamoDB y controlar las operaciones de la API a través de los puntos de conexión de la interfaz de DynamoDB.
### AWS CLIEjemplos de
Para acceder a las tablas de DynamoDB o a las operaciones de la API de control de DynamoDB a través de los puntos de conexión de la interfaz de DynamoDB en los comandos AWS CLI, use los parámetros `--region` y `--endpoint-url`.
**Ejemplo: crear un punto de conexión de VPC**
```
aws ec2 create-vpc-endpoint \
--region us-east-1 \
--service-name com.amazonaws.us-east-1.dynamodb \
--vpc-id client-vpc-id \
--subnet-ids client-subnet-id \
--vpc-endpoint-type Interface \
--security-group-ids client-sg-id
```
**Ejemplo: Modificar un punto de conexión de VPC**
```
aws ec2 modify-vpc-endpoint \
--region us-east-1 \
--vpc-endpoint-id client-vpc-endpoint-id \
--policy-document policy-document \ #example optional parameter
--add-security-group-ids security-group-ids \ #example optional parameter
# any additional parameters needed, see Privatelink documentation for more details
```
**Ejemplo: Enumerar las tablas mediante una URL de punto de conexión**
En el siguiente ejemplo, reemplace la región `us-east-1` y el nombre DNS del ID de punto de conexión de VPC `vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com` con su información.
```
aws dynamodb --region us-east-1 --endpoint https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com list-tables
```
### Ejemplos del SDK de AWS
Para acceder a las tablas de DynamoDB o a las operaciones de la API de control de DynamoDB a través de los puntos de conexión de la interfaz de DynamoDB al utilizar los SDK de AWS, actualice sus SDK a la versión actual. A continuación, configure los clientes para que utilicen una URL de punto de conexión para acceder a una tabla o a una operación de la API de control de DynamoDB a través de los puntos de conexión de la interfaz de DynamoDB.
------
#### [ SDK for Python (Boto3) ]
**Ejemplo: Utilizar una URL de punto de conexión para acceder a una tabla de DynamoDB**
En el siguiente ejemplo, reemplace la región `us-east-1` y el ID de punto de conexión de VPC `https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com` con su información.
```
ddb_client = session.client(
service_name='dynamodb',
region_name='us-east-1',
endpoint_url='https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com'
)
```
------
#### [ SDK for Java 1.x ]
**Ejemplo: Utilizar una URL de punto de conexión para acceder a una tabla de DynamoDB**
En el siguiente ejemplo, reemplace la región `us-east-1` y el ID de punto de conexión de VPC `https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com` con su información.
```
//client build with endpoint config
final AmazonDynamoDB dynamodb = AmazonDynamoDBClientBuilder.standard().withEndpointConfiguration(
new AwsClientBuilder.EndpointConfiguration(
"https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com",
Regions.DEFAULT_REGION.getName()
)
).build();
```
------
#### [ SDK for Java 2.x ]
**Ejemplo: Uso de una URL de punto de conexión para acceder a una tabla de DynamoDB**
En el siguiente ejemplo, reemplace la región us-east-1 y el ID de punto de conexión de VPC https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com por su propia información.
```
Region region = Region.US_EAST_1;
dynamoDbClient = DynamoDbClient.builder().region(region)
.endpointOverride(URI.create("https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com"))
.build()
```
------
## Actualización de una configuración DNS en las instalaciones
Al utilizar nombres DNS específicos de puntos de conexión para acceder a los puntos de conexión de la interfaz de DynamoDB, no es necesario actualizar la resolución DNS en las instalaciones. Puede resolver el nombre DNS específico del punto de conexión con la dirección IP privada del punto de conexión de la interfaz desde el dominio DNS público de DynamoDB.
### Uso de puntos de conexión de la interfaz para acceder a DynamoDB sin un punto de conexión de la puerta de enlace o una puerta de enlace de Internet en la Amazon VPC
Los puntos de conexión de la interfaz de su Amazon VPC pueden dirigir tanto las aplicaciones en Amazon VPC como las aplicaciones en las instalaciones hacia DynamoDB a través de la red de Amazon, tal como se muestra en el siguiente diagrama.
![\[En el diagrama de flujo de datos, se muestra el acceso desde las aplicaciones en las instalaciones y en la Amazon VPC a DynamoDB mediante un punto de conexión de la interfaz y AWS PrivateLink.\]](http://docs.aws.amazon.com/es_es/amazondynamodb/latest/developerguide/images/PrivateLink-interfaceEndpoints.png)
En el siguiente diagrama se ilustra lo siguiente:
+ Su red en las instalaciones utiliza Direct Connect o Site-to-Site VPN para conectarse a la Amazon VPC A.
+ Las aplicaciones en las instalaciones y en la Amazon VPC A utilizan nombres DNS específicos del punto de conexión para acceder a DynamoDB a través del punto de conexión de la interfaz de DynamoDB.
+ Las aplicaciones en las instalaciones envían datos al punto de conexión de la interfaz en la Amazon VPC a través de Direct Connect (o Site-to-Site VPN). AWS PrivateLink transfiere los datos desde el punto de conexión de la interfaz hasta DynamoDB a través de la red de AWS.
+ Las aplicaciones en la Amazon VPC también envían tráfico al punto de conexión de la interfaz. AWS PrivateLink transfiere los datos desde el punto de conexión de la interfaz a DynamoDB a través de la red de AWS.
### Uso de puntos de conexión de la puerta de enlace y puntos de conexión de la interfaz juntos en la misma Amazon VPC para acceder a DynamoDB
Puede crear puntos de conexión de la interfaz y conservar el punto de conexión de la puerta de enlace existente en la misma Amazon VPC, tal como se muestra en el siguiente diagrama. De este modo, permite que las aplicaciones en la Amazon VPC continúen accediendo a DynamoDB a través del punto de conexión de la puerta de enlace, que no se factura. En ese caso, solo las aplicaciones en las instalaciones utilizarían puntos de conexión de la interfaz para acceder a DynamoDB. Para acceder a DynamoDB de esta manera, debe actualizar las aplicaciones en las instalaciones para que utilicen nombres DNS específicos de puntos de conexión para DynamoDB.
![\[El diagrama de flujo de datos muestra el acceso a DynamoDB mediante los puntos de conexión de la puerta de enlace y los puntos de conexión de la interfaz juntos.\]](http://docs.aws.amazon.com/es_es/amazondynamodb/latest/developerguide/images/PL-Image2-InterfaceAndGatewayEP.png)
En el siguiente diagrama se ilustra lo siguiente:
+ Las aplicaciones en las instalaciones utilizan nombres de DNS específicos de cada punto de conexión para enviar datos al punto de conexión de la interfaz dentro de la Amazon VPC a través de Direct Connect (o Site-to-Site VPN). AWS PrivateLink transfiere los datos desde el punto de conexión de la interfaz hasta DynamoDB a través de la red de AWS.
+ Mediante el uso de nombres regionales predeterminados de DynamoDB, las aplicaciones en la Amazon VPC envían datos al punto de conexión de la puerta de enlace que se conecta a DynamoDB a través de la red de AWS.
Para obtener más información acerca de los puntos de conexión de la puerta de enlace, consulte [Gateway Amazon VPC endpoints](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-gateway.html) en la *Guía del usuario de Amazon VPC*.
## Creación de una política de punto de conexión de Amazon VPC para DynamoDB
Puede asociar una política de punto de conexión con el punto de conexión de Amazon VPC que controla el acceso a DynamoDB. La política especifica la siguiente información:
+ La entidad principal de AWS Identity and Access Management (IAM) que puede realizar acciones
+ Las acciones que se pueden realizar
+ Los recursos en los que se pueden llevar a cabo las acciones
**Topics**
+ [Ejemplo: Restringir el acceso a una tabla específica desde un punto de conexión de Amazon VPC](#privatelink-example-restrict-access-to-bucket)
### Ejemplo: Restringir el acceso a una tabla específica desde un punto de conexión de Amazon VPC
Puede crear una política de punto de conexión que restrinja el acceso a tablas específicas de DynamoDB. Este tipo de política es útil si tiene otros Servicios de AWS en su Amazon VPC que utilicen tablas. La siguiente política de tablas restringe el acceso únicamente a la `DOC-EXAMPLE-TABLE`. Para utilizar esta política de puntos de conexión, sustituya `DOC-EXAMPLE-TABLE` por el nombre de su tabla.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Policy1216114807515",
"Statement": [
{ "Sid": "Access-to-specific-table-only",
"Principal": "*",
"Action": [
"dynamodb:GetItem",
"dynamodb:PutItem"
],
"Effect": "Allow",
"Resource": ["arn:aws:dynamodb:us-east-1:111122223333:table/DOC-EXAMPLE-TABLE",
"arn:aws:dynamodb:us-east-1:111122223333:table/DOC-EXAMPLE-TABLE/*"]
}
]
}
```
------
## Uso de puntos de conexión de DynamoDB con acceso privado de Consola de administración de AWS
Debe configurar el DNS para DynamoDB y DynamoDB Streams cuando utilice puntos de conexión de VPC con la [consola de DynamoDB](https://console.aws.amazon.com/dynamodb) en [Consola de administración de AWS Private Access](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/console-private-access.html).
Para configurar que DynamoDB sea accesible en Consola de administración de AWS Private Access, debe crear los dos puntos de conexión de VPC siguientes:
+ `com.amazonaws..dynamodb`
+ `com.amazonaws..dynamodb-streams`
Al crear los puntos de conexión de VPC, vaya a la consola de Route53 y cree una zona alojada privada para DynamoDB mediante el punto de conexión regional `dynamodb.us-east-1.amazonaws.com`.
Cree los siguientes dos registros de alias en la zona alojada privada:
+ `dynamodb..amazonaws.com` que enruta el tráfico al punto de conexión de VPC `com.amazonaws..dynamodb`.
+ `streams.dynamodb..amazonaws.com` que enruta el tráfico al punto de conexión de VPC `com.amazonaws..dynamodb-streams`.
# AWS PrivateLink para DynamoDB Streams
Con AWS PrivateLink para Amazon DynamoDB Streams, puede aprovisionar puntos de conexión de Amazon VPC de la interfaz (puntos de conexión de la interfaz) en la nube privada virtual (Amazon VPC). A estos puntos de conexión se puede acceder directamente desde las aplicaciones que se encuentran en las instalaciones a través de la VPN y Direct Connect, o bien, en una Región de AWS diferente mediante el emparejamiento de Amazon VPC. Al usar AWS PrivateLink y puntos de conexión de la interfaz, puede simplificar la conectividad de la red privada desde las aplicaciones a DynamoDB Streams.
Las aplicaciones de la Amazon VPC no necesitan direcciones IP públicas para comunicarse con DynamoDB Streams mediante puntos de conexión de interfaz de Amazon VPC para operaciones de DynamoDB Streams. Los puntos de conexión de la interfaz se representan mediante una o más interfaces de red elásticas (ENI) a las que se asignan direcciones IP privadas desde subredes de la Amazon VPC. Las solicitudes a DynamoDB Streams a través de puntos de conexión de interfaz permanecen en la red de Amazon. Asimismo, puede acceder a los puntos de conexión de la interfaz en la Amazon VPC desde aplicaciones en las instalaciones a través de Direct Connect o AWS Virtual Private Network (AWS VPN). Para obtener más información sobre cómo conectar la AWS Virtual Private Network a la red en las instalaciones, consulte la [https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) y la [https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html).
Para obtener información general sobre los puntos de conexión de interfaz, consulte [Puntos de conexión de Amazon VPC de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) (AWS PrivateLink).
**nota**
Solo se admiten puntos de conexión de interfaz en DynamoDB Streams. Los puntos de conexión de puerta de enlace no se admiten.
**Topics**
+ [Consideraciones sobre el uso de AWS PrivateLink para Amazon DynamoDB Streams](#privatelink-streams-considerations)
+ [Creación de un punto de conexión de VPC de Amazon](#privatelink-streams-vpc-endpoint)
+ [Acceso a los puntos de conexión de interfaz de Amazon DynamoDB Streams](#privatelink-streams-accessing-ddb-interface-endpoints)
+ [Acceso a operaciones de la API de DynamoDB Streams desde los puntos de conexión de interfaz de DynamoDB Streams](#privatelink-streams-accessing-api-operations-from-interface-endpoints)
+ [Ejemplos del SDK de AWS](#privatelink-streams-aws-sdk-examples)
+ [Creación de una política de punto de conexión de Amazon VPC para DynamoDB Streams](#privatelink-streams-creating-vpc-endpoint-policy)
+ [Uso de puntos de conexión de DynamoDB con acceso privado de Consola de administración de AWS](#ddb-streams-endpoints-private-access)
## Consideraciones sobre el uso de AWS PrivateLink para Amazon DynamoDB Streams
Las consideraciones sobre Amazon VPC se aplican a AWS PrivateLink para Amazon DynamoDB Streams. Para obtener más información, consulte [Consideraciones de los puntos de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) y [Cuotas de AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-limits-endpoints.html). Se aplican las siguientes restricciones.
AWS PrivateLink para Amazon DynamoDB Streams no admite lo siguiente:
+ Seguridad de la capa de transporte (TLS) 1.1
+ Servicios de sistema de nombres de dominio (DNS) privado e híbrido
**importante**
No cree zonas alojadas privadas para anular los nombres DNS de los puntos de conexión de DynamoDB Streams con el fin de realizar el enrutamiento del tráfico hacia los puntos de conexión de su interfaz. Las configuraciones de DNS de DynamoDB pueden cambiar con el tiempo, y las modificaciones personalizadas del DNS pueden provocar un enrutamiento inesperado de las solicitudes a través de direcciones IP públicas en lugar de a los puntos de conexión de su interfaz.
Para acceder a DynamoDB Streams a través de AWS PrivateLink, configure sus clientes para que usen directamente la URL del punto de conexión de Amazon VPC (por ejemplo, `https://vpce-1a2b3c4d-5e6f.streams.dynamodb.region.vpce.amazonaws.com`).
**nota**
Los tiempos de espera de conectividad de red con los puntos de conexión de AWS PrivateLink no están incluidos en el ámbito de las respuestas de error de DynamoDB y las aplicaciones que se conecten a los puntos de conexión de AWS PrivateLink deberán gestionarlos adecuadamente.
## Creación de un punto de conexión de VPC de Amazon
Para crear un punto de conexión de la interfaz de Amazon VPC, consulte [Create an Amazon VPC endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) en la *Guía de AWS PrivateLink*.
## Acceso a los puntos de conexión de interfaz de Amazon DynamoDB Streams
Cuando crea un punto de conexión de interfaz, DynamoDB genera dos tipos de nombres DNS de DynamoDB Streams específicos del punto de conexión: *regional* y *zonal*.
+ Un nombre DNS *regional* incluye un ID único de punto de conexión de Amazon VPC, un identificador de servicio, la Región de AWS y `vpce.amazonaws.com` en el nombre. Por ejemplo, para el ID de punto de conexión de Amazon VPC `vpce-1a2b3c4d`, el nombre DNS generado podría ser similar a `vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com`.
+ Un nombre de DNS *zonal* incluye la zona de disponibilidad, por ejemplo, `vpce-1a2b3c4d-5e6f-us-east-1a.streams.dynamodb.us-east-1.vpce.amazonaws.com`. Puede utilizar esta opción si la arquitectura aísla Zonas de disponibilidad. Por ejemplo, podría usarlo para la contención de fallos o para reducir los costos de transferencia de datos regionales.
## Acceso a operaciones de la API de DynamoDB Streams desde los puntos de conexión de interfaz de DynamoDB Streams
Puede utilizar la AWS CLI o los AWS SDK para acceder a operaciones de API de DynamoDB Streams a través de puntos de conexión de interfaz de DynamoDB Streams.
### AWS CLIEjemplos de
Para acceder a operaciones de DynamoDB Streams o de la API a través de puntos de conexión de interfaz de DynamoDB Streams en comandos de la AWS CLI, utilice los parámetros `--region` y `--endpoint-url`.
**Ejemplo: crear un punto de conexión de VPC**
```
aws ec2 create-vpc-endpoint \
--region us-east-1 \
--service-name com.amazonaws.us-east-1.dynamodb-streams \
--vpc-id client-vpc-id \
--subnet-ids client-subnet-id \
--vpc-endpoint-type Interface \
--security-group-ids client-sg-id
```
**Ejemplo: Modificar un punto de conexión de VPC**
```
aws ec2 modify-vpc-endpoint \
--region us-east-1 \
--vpc-endpoint-id client-vpc-endpoint-id \
--policy-document policy-document \ #example optional parameter
--add-security-group-ids security-group-ids \ #example optional parameter
# any additional parameters needed, see Privatelink documentation for more details
```
**Ejemplo: enumerar flujos con una URL de punto de conexión**
En el siguiente ejemplo, reemplace la región `us-east-1` y el nombre DNS del ID de punto de conexión de VPC `vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com` con su información.
```
aws dynamodbstreams --region us-east-1 —endpoint https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com list-streams
```
## Ejemplos del SDK de AWS
Para acceder a las operaciones de la API de Amazon DynamoDB Streams a través de los puntos de conexión de interfaz de DynamoDB Streams al utilizar los AWS SDK, actualice los SDK a la versión actual. A continuación, configure los clientes para que utilicen una URL de punto de conexión para la API de control de DynamoDB Streams a través de los puntos de conexión de la interfaz de DynamoDB Streams.
------
#### [ SDK for Python (Boto3) ]
**Ejemplo: utilizar una URL de punto de conexión para acceder a un flujo de DynamoDB**
En el siguiente ejemplo, reemplace la región `us-east-1` y el ID de punto de conexión de VPC `https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com` con su información.
```
ddb_streams_client = session.client(
service_name='dynamodbstreams',
region_name='us-east-1',
endpoint_url='https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com'
)
```
------
#### [ SDK for Java 1.x ]
**Ejemplo: utilizar una URL de punto de conexión para acceder a un flujo de DynamoDB**
En el siguiente ejemplo, reemplace la región `us-east-1` y el ID de punto de conexión de VPC `https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com` con su información.
```
//client build with endpoint config
final AmazonDynamoDBStreams dynamodbstreams = AmazonDynamoDBStreamsClientBuilder.standard().withEndpointConfiguration(
new AwsClientBuilder.EndpointConfiguration(
"https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com",
Regions.DEFAULT_REGION.getName()
)
).build();
```
------
#### [ SDK for Java 2.x ]
**Ejemplo: utilizar una URL de punto de conexión para acceder a un flujo de DynamoDB**
En el siguiente ejemplo, reemplace la región `us-east-1` y el ID de punto de conexión de VPC `https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com` con su información.
```
Region region = Region.US_EAST_1;
dynamoDbStreamsClient = DynamoDbStreamsClient.builder().region(region)
.endpointOverride(URI.create("https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com"))
.build()
```
------
## Creación de una política de punto de conexión de Amazon VPC para DynamoDB Streams
Puede asociar una política de punto de conexión con el punto de conexión de Amazon VPC que controla el acceso a DynamoDB Streams. La política especifica la siguiente información:
+ La entidad principal de AWS Identity and Access Management (IAM) que puede realizar acciones
+ Las acciones que se pueden realizar
+ Los recursos en los que se pueden llevar a cabo las acciones
**Topics**
+ [Ejemplo: restringir el acceso a un flujo específico desde un punto de conexión de Amazon VPC](#privatelink-streams-example-restrict-access-to-bucket)
### Ejemplo: restringir el acceso a un flujo específico desde un punto de conexión de Amazon VPC
Puede crear una política de punto de conexión que restrinja el acceso a flujos de DynamoDB Streams específicos. Este tipo de política es útil si tiene otros Servicios de AWS en la Amazon VPC que utilicen DynamoDB Streams. La siguiente política de flujo restringe el acceso solo al flujo `2025-02-20T11:22:33.444` adjuntado a `DOC-EXAMPLE-TABLE`. Para utilizar esta política de puntos de conexión, reemplace `DOC-EXAMPLE-TABLE` por el nombre de la tabla y `2025-02-20T11:22:33.444` por la etiqueta de flujo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Policy1216114807515",
"Statement": [
{ "Sid": "Access-to-specific-stream-only",
"Principal": "*",
"Action": [
"dynamodb:DescribeStream",
"dynamodb:GetRecords"
],
"Effect": "Allow",
"Resource": ["arn:aws:dynamodb:us-east-1:111122223333:table/table-name/stream/2025-02-20T11:22:33.444"]
}
]
}
```
------
**nota**
Los puntos de conexión de puerta de enlace no son compatibles con DynamoDB Streams.
## Uso de puntos de conexión de DynamoDB con acceso privado de Consola de administración de AWS
Debe configurar el DNS para DynamoDB y DynamoDB Streams cuando utilice puntos de conexión de VPC con la [consola de DynamoDB](https://console.aws.amazon.com/dynamodb) en [Consola de administración de AWS Private Access](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/console-private-access.html).
Para configurar que DynamoDB sea accesible en Consola de administración de AWS Private Access, debe crear los dos puntos de conexión de VPC siguientes:
+ `com.amazonaws..dynamodb`
+ `com.amazonaws..dynamodb-streams`
Al crear los puntos de conexión de VPC, vaya a la consola de Route53 y cree una zona alojada privada para DynamoDB mediante el punto de conexión regional `dynamodb.us-east-1.amazonaws.com`.
Cree los siguientes dos registros de alias en la zona alojada privada:
+ `dynamodb..amazonaws.com` que enruta el tráfico al punto de conexión de VPC `com.amazonaws..dynamodb`.
+ `streams.dynamodb..amazonaws.com` que enruta el tráfico al punto de conexión de VPC `com.amazonaws..dynamodb-streams`.
# Uso de AWS PrivateLink para DynamoDB Accelerator (DAX)
AWS PrivateLink para DynamoDB Accelerator (DAX) le permite acceder de forma segura a las API de administración de DAX, como `CreateCluster`, `DescribeClusters` y `DeleteCluster` y a través de direcciones IP privadas, dentro de la nube privada virtual (VPC). Esta característica le permite acceder a los servicios de DAX de forma privada desde las aplicaciones sin exponer el tráfico al Internet público.
DAX PrivateLink admite puntos de conexión de doble pila (`dax.{region}.api.aws`), lo que permite la conectividad IPv4 e IPv6. Con AWS PrivateLink para DAX, los clientes pueden acceder al servicio mediante nombres DNS privados. El soporte para puntos de conexión de doble pila garantiza una conectividad transparente y, al mismo tiempo, mantiene la privacidad de la red. Esto le permite acceder a DAX a través de puntos de conexión públicos de Internet y de VPC sin realizar ningún cambio en la configuración del SDK.
## Consideraciones al usar AWS PrivateLink para DynamoDB Accelerator (DAX)
Al realizar la implementación AWS PrivateLink para DynamoDB Accelerator (DAX), se deben tener en cuenta varias consideraciones importantes.
Antes de configurar un punto de conexión de interfaz para DAX, tenga en cuenta lo siguiente:
+ Los puntos de conexión de la interfaz de DAX solo admiten el acceso a las API de administración de DAX dentro de la misma Región de AWS. No puede usar un punto de conexión de interfaz para acceder a las API de administración de DAX en otras regiones.
+ Para acceder a la Consola de administración de AWS de forma privada para la administración de DAX, es posible que deba crear puntos de conexión de VPC adicionales para servicios como `com.amazonaws.region.console` y los servicios relacionados.
+ Se le cobrará por la creación y el uso de cada punto de conexión de interfaz a DAX. Para obtener información sobre precios, consulte [Precios de AWS PrivateLink](https://aws.amazon.com/vpc/pricing/).
## Cómo funciona AWS PrivateLink con DAX
Al crear un punto de conexión de interfaz para DAX:
1. AWS crea una interfaz de red de punto de conexión en cada subred habilitada para el punto de conexión de interfaz.
1. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado para DAX.
1. A continuación, puede acceder a DAX a través de direcciones IP privadas dentro de la VPC.
1. Esta arquitectura le permite utilizar grupos de seguridad de VPC para administrar el acceso a los puntos de conexión.
1. Las aplicaciones pueden acceder a DynamoDB y DAX a través de sus respectivos puntos de conexión de interfaz dentro de una VPC, al tiempo que permiten que las aplicaciones en las instalaciones se conecten a través de Direct Connect o VPN.
1. Esto proporciona un modelo de conectividad uniforme en ambos servicios, simplifica la arquitectura y mejora la seguridad al mantener el tráfico dentro de la red de AWS.
## Creación de puntos de conexión de interfaz para DAX
Puede crear un punto de conexión de interfaz para conectarse a DAX mediante la Consola de administración de AWS, AWS SDK, CloudFormation o la API de AWS.
**Creación de un punto de conexión de interfaz para DAX con la consola**
1. Vaya a la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Puntos de conexión**.
1. Elija **Crear punto de conexión**.
1. Para la **categoría de servicio**, elija **Servicios de AWS** y, para el **nombre del servicio**, busque y seleccione `com.amazonaws.region.dax`.
1. Para la **VPC**, seleccione la VPC desde la que quiere acceder a DAX y, para las **subredes**, seleccione las subredes en las que AWS creará las interfaces de red de los puntos de conexión.
1. Para **Grupos de seguridad**, seleccione o cree los grupos de seguridad que deban asociarse a las interfaces de red del punto de conexión.
1. En el caso de la **política**, mantenga el **acceso total** predeterminado o personalícelo según sea necesario.
1. Seleccione **Habilitar nombre de DNS** para habilitar un DNS privado para el punto de conexión. Mantenga el nombre de DNS privado habilitado para evitar cambios en la configuración del SDK. Cuando está habilitado, las aplicaciones pueden seguir utilizando el nombre DNS del servicio estándar (ejemplo: `dax.region.amazonaws.com`). AWS crea una zona alojada privada en la VPC que resuelve este nombre en la dirección IP privada del punto de conexión.
**nota**
Utilice nombres DNS regionales si es necesario. No se recomienda el uso de nombres DNS zonales. Además, seleccione subredes de 3 o más zonas de disponibilidad para garantizar la máxima disponibilidad a través de PrivateLink.
1. Seleccione **Crear punto de conexión**.
**Creación de un punto de conexión de interfaz para DAX con la AWS CLI**
Use el comando `create-vpc-endpoint` con el parámetro `vpc-endpoint-type` establecido en `Interface` y el parámetro `service-name` establecido en `com.amazonaws.region.dax`.
```
aws ec2 create-vpc-endpoint \
--vpc-id vpc-ec43eb89 \
--vpc-endpoint-type Interface \
--service-name com.amazonaws.us-east-1.dax \
--subnet-ids subnet-abcd1234 subnet-1a2b3c4d \
--security-group-ids sg-1a2b3c4d \
--private-dns-enabled
```
## Recursos adicionales
Para obtener más información sobre AWS PrivateLink y puntos de conexión de VPC, consulte los siguientes recursos:
+ [AWS PrivateLink para DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/privatelink-interface-endpoints.html)
+ [AWS PrivateLink para DynamoDB Streams](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/privatelink-streams.html)
+ [Conectar la VPC a los servicios mediante AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html)
+ [Simplificación de la conectividad privada a DynamoDB con AWS PrivateLink](https://aws.amazon.com/blogs//database/simplify-private-connectivity-to-amazon-dynamodb-with-aws-privatelink)
+ [AWS PrivateLink Documento técnico de](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-privatelink.html)