Utilisation de points de terminaison d'un VPC Amazon pour accéder à DynamoDB - Amazon DynamoDB
Partage de points de terminaison d'un VPCDidacticiel : Utilisation d'un point de terminaison d'un VPC pour DynamoDB

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de points de terminaison d'un VPC Amazon pour accéder à DynamoDB

Pour des raisons de sécurité, de nombreux clients AWS exécutent leurs applications dans un environnement de VPC Amazon. Un VPC Amazon vous permet de lancer des instances Amazon EC2 dans un cloud privé virtuel qui est isolé logiquement des autres réseaux, dont l'Internet public. Avec un VPC Amazon, vous contrôlez sa plage d'adresses IP, ses sous-réseaux, ses tables de routage, ses passerelles réseau et ses paramètres de sécurité.

Note

Si vous avez créé votre VPC Compte AWS après le 4 décembre 2013, vous avez déjà un VPC par défaut dans chacun d'eux. Région AWS Un VPC par défaut est prêt à l'emploi. Vous pouvez commencer à l'utiliser immédiatement sans avoir à le configurer.

Pour plus d'informations, consultez VPC par défaut et sous-réseaux par défaut dans le Guide de l'utilisateur Amazon VPC.

Pour accéder à l'Internet public, votre VPC doit disposer d'une passerelle Internet, c'est-à-dire un routeur virtuel qui connecte votre VPC à Internet. Cela permet aux applications s'exécutant sur Amazon EC2 dans votre VPC d'accéder à des ressources Internet telles qu'Amazon DynamoDB.

Par défaut, les communications avec DynamoDB utilisent le protocole HTTPS qui protège le trafic réseau à l'aide du chiffrement SSL/TLS. Le schéma suivant montre une instance Amazon EC2 dans un VPC accédant à DynamoDB, en faisant en sorte que DynamoDB utilise une passerelle Internet plutôt que des points de terminaison VPC.

Schéma de flux de travail illustrant une instance Amazon EC2 accédant à DynamoDB via un routeur, une passerelle Internet et Internet.

De nombreux clients ont des préoccupations légitimes liées à la confidentialité et la sécurité lors de l'envoi et de la réception de données via le réseau Internet public. Vous pouvez balayer ces préoccupations en utilisant un réseau privé virtuel (virtual private network, VPN) pour acheminer tout le trafic réseau de DynamoDB via votre propre infrastructure réseau d'entreprise. Toutefois, cette approche peut engendrer des problèmes en matière de bande passante et de disponibilité.

Des points de terminaison de VPC pour DynamoDB peuvent atténuer ces problèmes. Un point de terminaison de VPC pour DynamoDB permet aux instances Amazon EC2 dans votre VPC d'utiliser leurs adresses IP privées pour accéder à DynamoDB sans exposition à l'Internet public. Vos instances EC2 ne requièrent pas d'adresses IP publiques, et vous n'avez pas besoin de passerelle Internet, de périphérique NAT ou de passerelle réseau privé virtuel dans votre VPC. Vous utilisez des politiques de point de terminaison pour contrôler l'accès à DynamoDB. Le trafic entre votre VPC et le service AWS ne quitte pas le réseau Amazon.

Note

Même lorsque vous utilisez des adresses IP publiques, toutes les communications VPC entre les instances et les services hébergés restent privées au sein du AWS réseau. AWS Les paquets provenant du réseau AWS et ayant une destination sur le réseau AWS restent sur le réseau mondial AWS, à l'exception du trafic à destination ou en provenance des régions chinoises AWS.

Lorsque vous créez un point de terminaison de VPC pour DynamoDB, toutes les demandes envoyées à un point de terminaison DynamoDB au sein de la région (par exemple, dynamodb.us-west-2.amazonaws.com) sont acheminées vers un point de terminaison DynamoDB privé au sein du réseau Amazon. Vous n'avez pas besoin de modifier vos applications s'exécutant sur des instances EC2 dans votre VPC. Le nom du point de terminaison reste le même, mais la route vers DynamoDB reste entièrement dans le réseau Amazon et n'accède pas au réseau Internet public.

Le diagramme suivant montre comment une instance EC2 dans un VPC peut utiliser un point de terminaison de VPC pour accéder à DynamoDB.

Diagramme de flux montrant une instance EC2 accédant à DynamoDB via un routeur et un point de terminaison de VPC uniquement.

Pour plus d’informations, consultez Didacticiel : Utilisation d'un point de terminaison d'un VPC pour DynamoDB.

Partage des points de terminaison Amazon VPC et de DynamoDB

Pour permettre l'accès au service DynamoDB via le point de terminaison de passerelle d'un sous-réseau VPC, vous devez disposer des autorisations de compte propriétaire pour ce sous-réseau VPC.

Une fois que le point de terminaison de passerelle du sous-réseau VPC a obtenu l'accès à DynamoDB, n'importe quel compte AWS ayant accès à ce sous-réseau peut utiliser DynamoDB. Cela signifie que tous les utilisateurs du compte au sein du sous-réseau VPC peuvent utiliser toutes les tables DynamoDB auxquelles ils ont accès. Cela inclut les tables DynamoDB associées à un compte différent de celui du sous-réseau VPC. Le propriétaire du sous-réseau VPC peut toujours empêcher un utilisateur particulier du sous-réseau d'utiliser le service DynamoDB via le point de terminaison de passerelle, à sa discrétion.

Didacticiel : Utilisation d'un point de terminaison d'un VPC pour DynamoDB

Cette section vous guide dans la configuration et l'utilisation d'un point de terminaison de VPC pour DynamoDB.

Étape 1 : lancer une instance Amazon EC2

Au cours de cette étape, vous allez lancer une instance Amazon EC2 dans votre VPC Amazon par défaut. Vous pouvez ensuite créer et utiliser un point de terminaison de VPC pour DynamoDB.

  1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

  2. Choisissez Lancer une instance , puis procédez comme suit :

    Étape 1 : Sélection d'une Amazon Machine Image (AMI)

    • En haut de la liste d'AMI, accédez à Amazon Linux AMI et choisissez Select.

    Étape 2 : Choisir un type d'instance

    • En haut de la liste des types d'instance, choisissez t2.micro.

    • Sélectionnez Next: Configure Instance Details.

    Étape 3 : Configurer les détails de l'instance

    • Accédez à Network et choisissez votre VPC par défaut.

      Choisissez Next: Add Storage (Suivant : Ajouter le stockage).

    Étape 4 : Ajouter du stockage

    • Ignorez cette étape en choisissant Next: Tag Instance.

    Étape 5 : étiqueter l'instance

    • Ignorez cette étape en choisissant Next: Configure Security Group.

    Étape 6 : Configurer un groupe de sécurité

    • Choisissez Select an existing security group.

    • Dans la liste des groupes de sécurité, choisissez default. Il s'agit du groupe de sécurité par défaut pour votre VPC.

    • Choisissez Next: Review and Launch.

    Étape 7 : Examiner le lancement de l'instance

    • Choisissez Lancer.

  3. Dans la fenêtre Select an existing key pair or create a new key pair, sélectionnez l'une des options suivantes :

    • Si vous n'avez pas de paire de clés Amazon EC2, choisissez Create a new key pair (Créer une paire de clés), puis suivez les instructions. Vous êtes invité à télécharger un fichier de clé privée (fichier .pem) dont vous aurez besoin ultérieurement pour vous connecter à votre instance Amazon EC2.

    • Si vous possédez déjà une paire de clés Amazon EC2, accédez à Select a key pair (Sélectionner une paire de clés), puis choisissez votre paire de clés dans la liste. Vous devez déjà posséder le fichier de clé privée (fichier .pem) pour pouvoir vous connecter à votre instance Amazon EC2.

  4. Lorsque vous aurez configuré votre paire de clés, choisissez Launch Instances.

  5. Revenez à la page d'accueil de la console Amazon EC2 et choisissez l'instance que vous avez lancée. Dans le volet inférieur, sous l'onglet Description, recherchez le DNS public de votre instance. Par exemple : ec2-00-00-00-00.us-east-1.compute.amazonaws.com.

    Notez le nom de ce DNS public, dont vous aurez besoin à l'étape suivante de ce tutoriel (Étape 2 : configurer votre instance Amazon EC2).

Note

Votre instance Amazon EC2 devient disponible en l'espace de quelques minutes. Avant de passer à l'étape suivante, assurez-vous que l'Instance State (État de l'instance) est running et que tous ses Status Checks (Contrôles d'état) ont réussi.

Étape 2 : configurer votre instance Amazon EC2

Une fois votre instance Amazon EC2 disponible, vous pouvez vous y connecter et la préparer en vue de sa première utilisation.

Note

Les étapes suivantes partent du principe que vous vous connectez à votre instance Amazon EC2 à partir d'un ordinateur exécutant Linux. Pour découvrir d'autres modes de connexion, consultez Se connecter à votre instance Linux dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux.

  1. Vous devez autoriser le trafic SSH entrant vers votre instance Amazon EC2. Pour ce faire, vous devez créer un groupe de sécurité EC2, puis affecter ce groupe de sécurité à votre instance EC2.

    1. Dans le panneau de navigation, choisissez Groupes de sécurité.

    2. Sélectionnez Créer un groupe de sécurité. Dans la fenêtre Créer un groupe de sécurité, procédez comme suit :

      • Security group name (Nom du groupe de sécurité) – Entrez un nom unique pour votre groupe de sécurité. Par exemple : my-ssh-access

      • Description – Entrez une brève description du groupe de sécurité.

      • VPC – Choisissez votre eVPC par défaut.

      • Dans la section Security group rules (Règles du groupe de sécurité), choisissez Add Rule (Ajouter une règle), puis procédez comme suit :

        • Type – Choisissez SSH.

        • Source – Choisissez Mon IP.

      Lorsque les paramètres vous conviennent, choisissez Create.

    3. Dans le panneau de navigation, sélectionnez Instances.

    4. Choisissez l'instance Amazon EC2 que vous avez lancée dans Étape 1 : lancer une instance Amazon EC2.

    5. Sélectionnez Actions, Networking (Mise en réseau), Change Security Groups (Changer les groupes de sécurité).

    6. Dans Change Security Groups (Modifier les groupes de sécurité), sélectionnez le groupe de sécurité que vous avez créé précédemment dans cette procédure (par exemple, my-ssh-access). Le groupe de sécurité default existant doit également être sélectionné. Lorsque les paramètres vous conviennent, choisissez Assign Security Groups (Affecter les groupes de sécurité).

  2. Utilisez la commande ssh pour vous connecter à votre instance Amazon EC2, comme dans l'exemple suivant.

    ssh -i my-keypair.pem ec2-user@public-dns-name

    Vous devez spécifier votre fichier de clé privée (fichier .perm) et le nom DNS public de votre instance. (Consultez Étape 1 : lancer une instance Amazon EC2).

    L'ID de connexion est ec2-user. Aucun mot de passe n'est requis.

  3. Configurez vos informations d’identification AWS en procédant comme suit. Saisissez vos ID de clé d'accès, clé secrète et nom de région par défaut AWS lorsque vous y êtes invité.

    aws configure
 
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-east-1
Default output format [None]:

Vous êtes maintenant prêt à créer un point de terminaison de VPC pour DynamoDB.

Étape 3 : créer un point de terminaison d'un VPC pour DynamoDB

Au cours de cette étape, vous allez créer un point de terminaison de VPC pour DynamoDB et le tester pour vérifier qu'il fonctionne.

  1. Avant de commencer, vérifiez que vous pouvez communiquer avec DynamoDB à l'aide de son point de terminaison public.

    aws dynamodb list-tables

    La sortie affiche la liste des tables DynamoDB que vous possédez actuellement (si vous n'avez aucune table, la liste est vide).

  2. Vérifiez que DynamoDB est un service disponible pour la création de points de terminaison de VPC dans la région AWS (la commande est affichée en gras, suivie d'un exemple de sortie).

    aws ec2 describe-vpc-endpoint-services
 
{
    "ServiceNames": [
        "com.amazonaws.us-east-1.s3",
        "com.amazonaws.us-east-1.dynamodb"
    ]
}

    Dans l'exemple de sortie, DynamoDB est l'un des services disponibles. Vous pouvez donc continuer à créer un point de terminaison de VPC pour celui-ci.

  3. Déterminez votre identifiant de VPC.

    aws ec2 describe-vpcs
 
{
    "Vpcs": [
        {
            "VpcId": "vpc-0bbc736e", 
            "InstanceTenancy": "default", 
            "State": "available", 
            "DhcpOptionsId": "dopt-8454b7e1", 
            "CidrBlock": "172.31.0.0/16", 
            "IsDefault": true
        }
    ]
}

    Dans l'exemple de sortie, l'ID de VPC est vpc-0bbc736e.

  4. Créez le point de terminaison de VPC. Pour le paramètre --vpc-id, spécifiez l'ID de VPC de l'étape précédente. Utilisez le paramètre --route-table-ids pour associer le point de terminaison à vos tables de routage.

    aws ec2 create-vpc-endpoint --vpc-id vpc-0bbc736e --service-name com.amazonaws.us-east-1.dynamodb --route-table-ids rtb-11aa22bb
 
{
    "VpcEndpoint": {
        "PolicyDocument": "{\"Version\":\"2008-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":\"*\",\"Action\":\"*\",\"Resource\":\"*\"}]}", 
        "VpcId": "vpc-0bbc736e", 
        "State": "available", 
        "ServiceName": "com.amazonaws.us-east-1.dynamodb", 
        "RouteTableIds": [
            "rtb-11aa22bb"
        ],
        "VpcEndpointId": "vpce-9b15e2f2", 
        "CreationTimestamp": "2017-07-26T22:00:14Z"
    }
}

  5. Vérifiez que vous pouvez accéder à DynamoDB via le point de terminaison de VPC.

    aws dynamodb list-tables

    Si vous le souhaitez, vous pouvez essayer d'autres commandes AWS CLI pour DynamoDB. Pour plus d’informations, consultez la référence de la commande AWS CLI.

Étape 4 : (Facultatif) nettoyer

Si vous souhaitez supprimer les ressources que vous avez créées dans ce didacticiel, procédez comme suit :

Pour supprimer votre point de terminaison de VPC pour DynamoDB

  1. Connectez-vous à votre instance Amazon EC2.

  2. Déterminez l'ID du point de terminaison de VPC.

    aws ec2 describe-vpc-endpoints
 
{
    "VpcEndpoint": {
        "PolicyDocument": "{\"Version\":\"2008-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":\"*\",\"Action\":\"*\",\"Resource\":\"*\"}]}", 
        "VpcId": "vpc-0bbc736e", 
        "State": "available", 
        "ServiceName": "com.amazonaws.us-east-1.dynamodb", 
        "RouteTableIds": [], 
        "VpcEndpointId": "vpce-9b15e2f2", 
        "CreationTimestamp": "2017-07-26T22:00:14Z"
    }
}

    Dans l'exemple de sortie, l'ID du point de terminaison de VPC est vpce-9b15e2f2.

  3. Supprimez le point de terminaison de VPC.

    aws ec2 delete-vpc-endpoints --vpc-endpoint-ids vpce-9b15e2f2
 
{
    "Unsuccessful": []
}

    Le tableau vide [] indique le succès de l'opération (il n'y a pas eu de demande infructueuse).

Pour résilier votre instance Amazon EC2

  1. Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez Instances.

  3. Sélectionnez votre instance Amazon EC2.

  4. Choisissez Actions, Instance State (État de l'instance), Terminate (Résilier).

  5. Dans la fenêtre de confirmation, choisissez Yes, Terminate (Oui, Résilier).