Politique requise pour les points de terminaison Trafic entre les clients de service et sur site et les applications Trafic entre des ressources AWS dans la même Région

Confidentialité du trafic inter-réseau

Les connexions sont protégées à la fois entre Amazon DynamoDB et les applications sur site et entre DynamoDB et d'autres ressources au sein de la même région. AWS AWS

Politique requise pour les points de terminaison

Amazon DynamoDB fournit une API DescribeEndpoints qui vous permet d'énumérer les informations relatives aux points de terminaison régionaux. Pour les demandes provenant d'un point de terminaison d'un VPC, les politiques de point de terminaison IAM et de cloud privé virtuel (VPC) doivent autoriser l'appel d'API DescribeEndpoints pour le ou les principaux responsables de la gestion des identités et des accès (IAM) demandeurs à l'aide de l'action IAM dynamodb:DescribeEndpoints. Dans le cas contraire, l'accès à l'API DescribeEndpoints est refusé. Les étapes d'autorisation des politiques de point de terminaison IAM et VPC DescribeEndpoints pour les appels d'API ne sont pas applicables lorsque vous accédez aux points de terminaison publics de DynamoDB.

Voici un exemple de stratégie de point de terminaison.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "(Include IAM Principals)",
            "Action": "dynamodb:DescribeEndpoints",
            "Resource": "*"
        }
    ]
}

Trafic entre les clients de service et sur site et les applications

Vous avez deux options de connectivité entre votre réseau privé et AWS :

Une AWS Site-to-Site VPN connexion. Pour plus d'informations, consultez Présentation d' AWS Site-to-Site VPN dans le Guide de l'utilisateur AWS Site-to-Site VPN .
Une AWS Direct Connect connexion. Pour plus d'informations, consultez Présentation d' AWS Direct Connect dans le Guide de l'utilisateur AWS Direct Connect .

L'accès à DynamoDB via le réseau s'effectue via des API publiées. AWS Les clients doivent prendre en charge le protocole TLS (Transport Layer Security) 1.2. Nous recommandons TLS 1.3. Les clients doivent également prendre en charge les suites de chiffrement PFS (Perfect Forward Secrecy) comme Ephemeral Diffie-Hellman (DHE) ou Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes. De plus, vous devez signer les demandes à l'aide d'un ID de clé d'accès et d'une clé d'accès secrète, associées à un principal IAM. Vous pouvez également utiliser le service AWS Security Token Service (STS) afin de générer des informations d'identification de sécurité temporaires pour signer les demandes.

Trafic entre des ressources AWS dans la même Région

Un point de terminaison Amazon Virtual Private Cloud (Amazon VPC) pour DynamoDB est une entité logique au sein d'un VPC qui autorise la connectivité uniquement à DynamoDB. Le VPC Amazon achemine les demandes vers DynamoDB et les réponses en retour vers le VPC. Pour de plus amples informations, consultez Points de terminaison VPC dans le Guide de l’utilisateur Amazon VPC. Pour des exemples de politiques que vous pouvez utiliser pour contrôler l'accès à partir de points de terminaison d'un VPC, consultez Utilisation de politiques IAM pour contrôler l'accès à DynamoDB.

Note

Les points de terminaison Amazon VPC ne sont pas accessibles via ou. AWS Site-to-Site VPN AWS Direct Connect

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Protection des données dans DAX

IAM