Puntos de conexión de la puerta de enlace para Amazon DynamoDB - Amazon Virtual Private Cloud

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Puntos de conexión de la puerta de enlace para Amazon DynamoDB

Puede acceder a Amazon DynamoDB desde la VPC mediante los puntos de conexión de VPC de la puerta de enlace. Después de crear el punto de conexión de la puerta de enlace, puede agregarlo como destino en la tabla de enrutamiento para el tráfico destinado desde la VPC a DynamoDB.

El uso de puntos de enlace de gateway no supone ningún cargo adicional.

Consideraciones

  • Un punto de conexión de una puerta de enlace solo está disponible en la región donde se creó. Asegúrese de crear el punto de conexión de la puerta de enlace en la misma región que las tablas de DynamoDB.

  • Si utiliza los servidores DNS de Amazon, debe habilitar tanto los nombres de host DNS como la resolución de los DNS para la VPC. Si utiliza su propio servidor DNS, asegúrese de que las solicitudes a DynamoDB se resuelvan de forma correcta en las direcciones IP mantenidas por AWS.

  • Las reglas para los grupos de seguridad para las instancias que acceden a DynamoDB a través del punto de conexión de la puerta de enlace deben permitir el tráfico hacia y desde DynamoDB. Puede hacerse referencia al ID de la lista de prefijos de DynamoDB en las reglas de los grupos de seguridad.

  • La ACL de la red para la subred para las instancias que acceden a DynamoDB a través de un punto de conexión de la puerta de enlace debe permitir el tráfico hacia y desde DynamoDB. No se puede hacer referencia a las listas de prefijos en las reglas de ACL de la red, pero se puede obtener el rango de direcciones IP de DynamoDB en la lista de prefijos de DynamoDB.

  • DynamoDB no admite políticas basadas en recursos (por ejemplo, en tablas). El acceso a DynamoDB se controla a través de la política del punto de conexión y las políticas para los roles y usuarios individuales.

  • Si utiliza AWS CloudTrail para registrar operaciones de DynamoDB, los archivos de registro contendrán las direcciones IP privadas de las instancias de EC2 en la VPC del consumidor del servicio y el ID del punto de conexión de la puerta de enlace para cualquier solicitud que se realice a través del punto de conexión.

  • Los puntos de conexión de la puerta de enlace solo son compatibles con el tráfico IPv4.

  • Las direcciones IPv4 de origen de las instancias de las subredes afectadas cambiarán de direcciones IPv4 públicas a direcciones IPv4 privadas desde la VPC. Un punto de enlace cambia las rutas de red y desconecta las conexiones TCP abiertas. Las conexiones anteriores que utilizaban direcciones IPv4 públicas no se reanudan. Se recomienda no tener ninguna tarea importante en ejecución al crear o modificar un punto de conexión de una puerta de enlace. También puede realizar una prueba para asegurarse de que el software se puede volver a conectar de forma automática a DynamoDB si se interrumpe la conexión.

  • Las conexiones de punto de conexión no se pueden ampliar más allá de la VPC. Los recursos del otro lado de una conexión de VPN, una conexión de emparejamiento de VPC, una puerta de enlace de tránsito o una conexión AWS Direct Connect en la VPC no pueden utilizar un punto de conexión de la puerta de enlace para comunicarse con DynamoDB.

  • Su cuenta tiene una cuota predeterminada de 20 puntos de conexión de puerta de enlace por región; este número puede ajustarse. Hay un límite de 255 puntos de conexión de la puerta de enlace por VPC.

Creación de un punto de conexión de un gateway

Utilice el siguiente procedimiento para crear un punto de conexión de una puerta de enlace que se conecte a DynamoDB.

Para crear un punto de enlace de gateway con la consola
  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Puntos de conexión.

  3. Elija Crear punto de conexión.

  4. En Categoría de servicios, elija Servicios de AWS.

  5. En Services (Servicios), agregue el filtro Type: Gateway (Tipo: puerta de enlace) y seleccione com.amazonaws.region.dynamodb.

  6. En VPC, seleccione la VPC en la que desea crear el punto de conexión.

  7. En Route tables (Tablas de enrutamiento), seleccione las tablas de enrutamiento que debe utilizar el punto de conexión. De forma automática, se agregará una ruta para dirigir el tráfico destinado al servicio a la interfaz de red del punto de conexión.

  8. En Policy (Política), seleccione Full access (Acceso completo) para permitir todas las operaciones de todas las entidades principales en todos los recursos del punto de conexión de VPC. De lo contrario, seleccione Custom (Personalizar) para adjuntar una política de punto de conexión de VPC que controle los permisos que tienen las entidades principales para realizar acciones en los recursos a través del punto de conexión de VPC.

  9. (Opcional) Para agregar una etiqueta, elija Agregar etiqueta nueva e ingrese la clave y el valor de la etiqueta.

  10. Elija Crear punto de conexión.

Para crear un punto de conexión de la puerta de enlace mediante la línea de comandos

Control del acceso mediante políticas de IAM

Puede crear políticas de IAM para controlar qué entidades principales de IAM pueden acceder a las tablas de DynamoDB mediante un punto de conexión de VPC específico.

ejemplo Ejemplo: restringir el acceso a un punto de conexión específico

Puede crear una política para restringir el acceso a un punto de conexión de VPC específico mediante la clave de condición aws:sourceVpce. La siguiente política deniega el acceso a las tablas de DynamoDB de la cuenta, a menos que se utilice el punto de conexión de VPC especificado. En este ejemplo se supone que también hay una declaración de política que permite el acceso necesario para los casos de uso.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow-access-from-specific-endpoint", "Effect": "Deny", "Action": "dynamodb:*", "Resource": "arn:aws:dynamodb:region:account-id:table/*", "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-11aa22bb" } } } ] }
ejemplo Ejemplo: permitir el acceso desde un rol de IAM específico

Puede crear una política que permita obtener acceso mediante un rol de IAM específico. La siguiente política concede acceso al rol de IAM especificado.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow-access-from-specific-IAM-role", "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "ArnEquals": { "aws:PrincipalArn": "arn:aws:iam::111122223333:role/role_name" } } } ] }
ejemplo Ejemplo: permite acceder desde una cuenta específica

También puede crear una política que solo permita el acceso desde una cuenta específica. La siguiente política concede acceso a los usuarios de la cuenta especificada.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow-access-from-account", "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalAccount": "111122223333" } } } ] }

Asociación de tablas de enrutamiento

Puede cambiar las tablas de enrutamiento asociadas a su punto de conexión de la puerta de enlace. Cuando asocia una tabla de enrutamiento, se agrega de forma automática una ruta que dirige el tráfico destinado al servicio a la interfaz de red del punto de conexión. Cuando desasocia una tabla de enrutamiento, se elimina de forma automática la ruta del punto de conexión de la tabla de enrutamiento.

Para asociar tablas de enrutamiento mediante la consola
  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Puntos de conexión.

  3. Seleccione el punto de conexión de la puerta de enlace.

  4. Elija Actions, Manage route tables.

  5. Seleccione o anule la selección de las tablas de enrutamiento según sea necesario.

  6. Elija Modify route tables (Modificar tablas de enrutamiento).

Para asociar tablas de enrutamiento mediante la línea de comandos

Edición de la política del punto de conexión de VPC

Puede editar la política de un punto de conexión para un punto de conexión de una puerta de enlace, que controle el acceso a DynamoDB desde la VPC a través del punto de conexión. La política predeterminada permite el acceso completo. Para obtener más información, consulte Políticas de punto de conexión.

Para cambiar la política del punto de conexión mediante la consola
  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Puntos de conexión.

  3. Seleccione el punto de conexión de la puerta de enlace.

  4. Elija Actions (Acciones), Manage policy (Administrar política).

  5. Elija Acceso completo para permitir el acceso completo al servicio, o bien, elija Personalizar y adjunte una política personalizada.

  6. Elija Save (Guardar).

Para modificar un punto de conexión de la puerta de enlace con la línea de comandos

A continuación, se muestran políticas de punto de enlace de ejemplo para acceder a DynamoDB.

ejemplo Ejemplo: permitir acceso de solo lectura

Puede crear una política que restrinja el acceso a solo lectura. La siguiente política concede permiso para enumerar y describir las tablas de DynamoDB.

{ "Statement": [ { "Sid": "ReadOnlyAccess", "Effect": "Allow", "Principal": "*", "Action": [ "dynamodb:DescribeTable", "dynamodb:ListTables" ], "Resource": "*" } ] }
ejemplo Ejemplo: Restringir el acceso a una tabla específica

Puede crear una política que restrinja el acceso a una tabla específica de DynamoDB. La siguiente política permite acceder a la tabla de DynamoDB especificada.

{ "Statement": [ { "Sid": "Allow-access-to-specific-table", "Effect": "Allow", "Principal": "*", "Action": [ "dynamodb:Batch*", "dynamodb:Delete*", "dynamodb:DescribeTable", "dynamodb:GetItem", "dynamodb:PutItem", "dynamodb:Update*" ], "Resource": "arn:aws:dynamodb:region:123456789012:table/table_name" } ] }

Eliminación de un punto de conexión de la puerta de enlace

Cuando ya no necesite un punto de conexión de la puerta de enlace, puede eliminarlo. Cuando elimina un punto de conexión de la puerta de enlace, se elimina la ruta del punto conexión desde las tablas de enrutamiento de la subred.

Para eliminar un punto de conexión de la puerta de enlace con la consola
  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Puntos de conexión.

  3. Seleccione el punto de conexión de la puerta de enlace.

  4. Elija Actions (Acciones), Delete VPC endpoints (Eliminar puntos de conexión de VPC).

  5. Cuando se le solicite confirmación, ingrese delete.

  6. Elija Delete (Eliminar).

Para eliminar un punto de conexión de la puerta de enlace mediante la línea de comandos