Consideraciones Creación de un punto de conexión de un gateway Controle el acceso mediante IAM políticas Asociación de tablas de enrutamiento Edite la política VPC de puntos finales Eliminación de un punto de conexión de la puerta de enlace

Puntos de conexión de la puerta de enlace para Amazon DynamoDB

Puede acceder a Amazon DynamoDB desde los puntos de enlace que VPC utilice. VPC Después de crear el punto final de la puerta de enlace, puede añadirlo como destino en la tabla de enrutamiento para el tráfico destinado desde usted VPC a DynamoDB.

El uso de puntos de enlace de gateway no supone ningún cargo adicional.

DynamoDB admite puntos finales de puerta de enlace y puntos finales de interfaz. Con un punto de enlace de puerta de enlace, puede acceder a DynamoDB desde VPC su dispositivo, sin necesidad de disponer de un dispositivo NAT o puerta de enlace de VPC Internet y sin coste adicional. Sin embargo, los puntos de enlace de enlace no permiten el acceso desde redes locales, desde redes interconectadas VPCs en otras AWS regiones o a través de una puerta de enlace de tránsito. Para esos escenarios, se debe utilizar un punto de conexión de interfaz, que está disponible por un costo adicional. Para obtener más información, consulte Tipos de VPC puntos de conexión para DynamoDB en la Guía para desarrolladores de Amazon DynamoDB.

Contenido

Consideraciones
Creación de un punto de conexión de un gateway
Controle el acceso mediante IAM políticas
Asociación de tablas de enrutamiento
Edite la política VPC de puntos finales
Eliminación de un punto de conexión de la puerta de enlace

Consideraciones

Un punto de conexión de una puerta de enlace solo está disponible en la región donde se creó. Asegúrese de crear el punto de conexión de la puerta de enlace en la misma región que las tablas de DynamoDB.
Si utilizas los DNS servidores de Amazon, debes habilitar tanto los DNSnombres de host como la DNS resolución para tuVPC. Si utiliza su propio DNS servidor, asegúrese de que las solicitudes a DynamoDB se resuelvan correctamente en las direcciones IP que mantiene. AWS
Las reglas para los grupos de seguridad para las instancias que acceden a DynamoDB a través del punto de conexión de la puerta de enlace deben permitir el tráfico hacia y desde DynamoDB. Puede hacerse referencia al ID de la lista de prefijos de DynamoDB en las reglas de los grupos de seguridad.
La red ACL de la subred de las instancias que acceden a DynamoDB a través de un punto de enlace debe permitir el tráfico hacia y desde DynamoDB. No puede hacer referencia a las listas de prefijos en ACL las reglas de red, pero puede obtener el rango de direcciones IP de DynamoDB en la lista de prefijos de DynamoDB.
Si utiliza AWS CloudTrail para registrar las operaciones de DynamoDB, los archivos de registro contienen las direcciones IP privadas de las instancias del VPC consumidor de EC2 servicios y el ID del punto de enlace de cualquier solicitud realizada a través del punto de enlace.
Los puntos de enlace de puerta de enlace solo admiten tráfico. IPv4
IPv4Las direcciones de origen de las instancias de las subredes afectadas pasan de ser IPv4 direcciones públicas a IPv4 direcciones privadas en las suyas. VPC Un punto final cambia las rutas de la red y desconecta las conexiones abiertasTCP. Las conexiones anteriores que utilizaban IPv4 direcciones públicas no se reanudan. Se recomienda no tener ninguna tarea importante en ejecución al crear o modificar un punto de conexión de una puerta de enlace. También puede realizar una prueba para asegurarse de que el software se puede volver a conectar de forma automática a DynamoDB si se interrumpe la conexión.
Las conexiones de punto final no se pueden extender fuera de unVPC. Los recursos situados al otro lado de una VPN conexión, conexión entre VPC pares, puerta de enlace de tránsito o AWS Direct Connect conexión VPC no pueden utilizar un punto de enlace de enlace para comunicarse con DynamoDB.
Su cuenta tiene una cuota predeterminada de 20 puntos de conexión de puerta de enlace por región, este número puede ajustarse. También hay un límite de 255 puntos de enlace de puerta de enlace por cada uno. VPC

Creación de un punto de conexión de un gateway

Utilice el siguiente procedimiento para crear un punto de conexión de una puerta de enlace que se conecte a DynamoDB.

Para crear un punto de enlace de gateway con la consola

Abre la VPC consola de Amazon en https://console.aws.amazon.com/vpc/.
En el panel de navegación, elija Puntos de conexión.
Elija Crear punto de conexión.
En Categoría de servicios, elija Servicios de AWS.
Para Servicios, añade el filtro Type = Gateway y selecciona com.amazonaws.region.dynamodb.
Para VPC, seleccione el lugar VPC en el que desea crear el punto final.
En Route tables (Tablas de enrutamiento), seleccione las tablas de enrutamiento que debe utilizar el punto de conexión. De forma automática, se agregará una ruta para dirigir el tráfico destinado al servicio a la interfaz de red del punto de conexión.
En Política, seleccione Acceso total para permitir que todos los directores realicen todas las operaciones en todos los recursos del VPC punto final. De lo contrario, seleccione Personalizado para adjuntar una política de VPC punto final que controle los permisos que tienen los directores para realizar acciones en los recursos a través del VPC punto final.
(Opcional) Para agregar una etiqueta, elija Agregar etiqueta nueva e ingrese la clave y el valor de la etiqueta.
Seleccione Crear punto de conexión.

Para crear un punto de conexión de la puerta de enlace mediante la línea de comandos

create-vpc-endpoint (AWS CLI)
New-EC2VpcEndpoint(Herramientas para Windows PowerShell)

Controle el acceso mediante IAM políticas

Puede crear IAM políticas para controlar qué entidades principales pueden acceder IAM a las tablas de DynamoDB mediante un punto final específico. VPC

ejemplo Ejemplo: restringir el acceso a un punto de conexión específico

Puede crear una política que restrinja el acceso a un VPC punto final específico mediante la clave aws: condition. sourceVpce La siguiente política deniega el acceso a las tablas de DynamoDB de la cuenta a menos que se utilice el punto final VPC especificado. En este ejemplo se supone que también hay una declaración de política que permite el acceso necesario para los casos de uso.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "Allow-access-from-specific-endpoint",
         "Effect": "Deny",
         "Principal": "*",
         "Action": "dynamodb:*",
         "Resource": "arn:aws:dynamodb:region:account-id:table/*",
         "Condition": { 
            "StringNotEquals" : { 
               "aws:sourceVpce": "vpce-11aa22bb" 
            } 
         }
      }
   ]
}

ejemplo Ejemplo: permitir el acceso desde un rol específico IAM

Puede crear una política que permita el acceso mediante un IAM rol específico. La siguiente política otorga acceso al IAM rol especificado.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "Allow-access-from-specific-IAM-role",
         "Effect": "Allow",
         "Principal": "*",
         "Action": "*",
         "Resource": "*",
         "Condition": {
            "ArnEquals": {
               "aws:PrincipalArn": "arn:aws:iam::111122223333:role/role_name"
            }
         }
      }
   ]
}

ejemplo Ejemplo: permite acceder desde una cuenta específica

También puede crear una política que solo permita el acceso desde una cuenta específica. La siguiente política concede acceso a los usuarios de la cuenta especificada.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "Allow-access-from-account",
         "Effect": "Allow",
         "Principal": "*",
         "Action": "*",
         "Resource": "*",
         "Condition": {
            "StringEquals": {
               "aws:PrincipalAccount": "111122223333"
            }
         }
      }
   ]        
}

Asociación de tablas de enrutamiento

Puede cambiar las tablas de enrutamiento asociadas a su punto de conexión de la puerta de enlace. Cuando asocia una tabla de enrutamiento, se agrega de forma automática una ruta que dirige el tráfico destinado al servicio a la interfaz de red del punto de conexión. Cuando desasocia una tabla de enrutamiento, se elimina de forma automática la ruta del punto de conexión de la tabla de enrutamiento.

Para asociar tablas de enrutamiento mediante la consola

Abre la VPC consola de Amazon en https://console.aws.amazon.com/vpc/.
En el panel de navegación, elija Puntos de conexión.
Seleccione el punto de conexión de la puerta de enlace.
Elija Actions, Manage route tables.
Seleccione o anule la selección de las tablas de enrutamiento según sea necesario.
Elija Modify route tables (Modificar tablas de enrutamiento).

Para asociar tablas de enrutamiento mediante la línea de comandos

modify-vpc-endpoint (AWS CLI)
Edit-EC2VpcEndpoint(Herramientas para Windows PowerShell)

Edite la política VPC de puntos finales

Puede editar la política de puntos finales de un punto de enlace, que controla el acceso a DynamoDB desde el punto de enlace hasta VPC el punto final. La política predeterminada permite el acceso completo. Para obtener más información, consulte Políticas de punto de conexión.

Para cambiar la política del punto de conexión mediante la consola

Abre la VPC consola de Amazon en https://console.aws.amazon.com/vpc/.
En el panel de navegación, elija Puntos de conexión.
Seleccione el punto de conexión de la puerta de enlace.
Elija Actions (Acciones), Manage policy (Administrar política).
Elija Acceso completo para permitir el acceso completo al servicio, o bien, elija Personalizar y adjunte una política personalizada.
Elija Save (Guardar).

Para modificar un punto de conexión de la puerta de enlace con la línea de comandos

modify-vpc-endpoint (AWS CLI)
Edit-EC2VpcEndpoint(Herramientas para Windows PowerShell)

A continuación, se muestran políticas de punto de enlace de ejemplo para acceder a DynamoDB.

ejemplo Ejemplo: permitir acceso de solo lectura

Puede crear una política que restrinja el acceso a solo lectura. La siguiente política concede permiso para enumerar y describir las tablas de DynamoDB.


{
  "Statement": [
    {
      "Sid": "ReadOnlyAccess",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "dynamodb:DescribeTable",
        "dynamodb:ListTables"
      ],
      "Resource": "*"
    }
  ]
}

ejemplo Ejemplo: Restringir el acceso a una tabla específica

Puede crear una política que restrinja el acceso a una tabla específica de DynamoDB. La siguiente política permite acceder a la tabla de DynamoDB especificada.


{
  "Statement": [
    {
      "Sid": "Allow-access-to-specific-table",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "dynamodb:Batch*",
        "dynamodb:Delete*",
        "dynamodb:DescribeTable",
        "dynamodb:GetItem",
        "dynamodb:PutItem",
        "dynamodb:Update*"
      ],
      "Resource": "arn:aws:dynamodb:region:123456789012:table/table_name"
    }
  ]
}

Eliminación de un punto de conexión de la puerta de enlace

Cuando ya no necesite un punto de conexión de la puerta de enlace, puede eliminarlo. Cuando elimina un punto de conexión de la puerta de enlace, se elimina la ruta del punto conexión desde las tablas de enrutamiento de la subred.

Para eliminar un punto de conexión de la puerta de enlace con la consola

Abre la VPC consola de Amazon en https://console.aws.amazon.com/vpc/.
En el panel de navegación, elija Puntos de conexión.
Seleccione el punto de conexión de la puerta de enlace.
Selecciona Acciones, elimina VPC puntos finales.
Cuando se le solicite confirmación, ingrese delete.
Elija Delete (Eliminar).

Para eliminar un punto de conexión de la puerta de enlace mediante la línea de comandos

delete-vpc-endpoints (AWS CLI)
Remove-EC2VpcEndpoint(Herramientas para Windows PowerShell)

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Puntos de conexión para Amazon S3

Acceda a los productos SaaS