Points de terminaison de passerelle pour Amazon DynamoDB - Amazon Virtual Private Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Points de terminaison de passerelle pour Amazon DynamoDB

Vous pouvez accéder à Amazon DynamoDB à partir de votre VPC à l'aide de points de terminaison de VPC de passerelle. Après avoir créé le point de terminaison de passerelle, vous pouvez l'ajouter comme cible dans votre table de routage pour le trafic destiné à DynamoDB depuis votre VPC.

Il n'y a pas de frais supplémentaires pour l'utilisation de points de terminaison de passerelle.

DynamoDB prend en charge à la fois les points de terminaison de passerelle et les points de terminaison d'interface. Avec un point de terminaison de passerelle, vous pouvez accéder à DynamoDB depuis votre VPC, sans avoir besoin d'une passerelle Internet ou d'un périphérique NAT pour votre VPC, et sans frais supplémentaires. Toutefois, les points de terminaison de passerelle n'autorisent pas l'accès depuis des réseaux locaux, depuis des VPC homologues dans d'autres AWS régions ou via une passerelle de transit. Pour ces scénarios, vous devez utiliser un point de terminaison d'interface qui est disponible moyennant des frais supplémentaires. Pour plus d'informations, consultez la section Types de points de terminaison VPC pour DynamoDB dans le manuel du développeur Amazon DynamoDB.

Considérations

  • Le point de terminaison de passerelle est disponible uniquement dans la Région où vous l'avez créé. Veillez à créer votre point de terminaison de passerelle dans la même Région que vos tables DynamoDB.

  • Si vous utilisez les serveurs DNS d'Amazon, vous devez activer à la fois les noms d'hôte DNS et la résolution DNS pour votre VPC. Si vous utilisez votre propre serveur DNS, assurez-vous que les requêtes vers DynamoDB se résolvent correctement en adresses IP gérées par AWS.

  • Les règles des groupes de sécurité pour les instances qui accèdent à DynamoDB par le point de terminaison de passerelle doivent autoriser le trafic en provenance et à destination de DynamoDB. Vous pouvez faire référence à l'ID de la liste de préfixes pour DynamoDB dans les règles du groupe de sécurité.

  • L’ACL réseau du sous-réseau pour vos instances qui accèdent à DynamoDB par le point de terminaison de passerelle doivent autoriser le trafic en provenance et à destination de DynamoDB. Vous ne pouvez pas référencer les listes de préfixes dans les règles ACL réseau, mais vous pouvez obtenir les plages d'adresses IP pour DynamoDB à partir de la liste de préfixes pour DynamoDB.

  • Si vous enregistrez les AWS CloudTrail opérations DynamoDB, les fichiers journaux contiennent les adresses IP privées des instances EC2 du VPC du consommateur de services et l'ID du point de terminaison de la passerelle pour toutes les demandes effectuées via le point de terminaison.

  • Les points de terminaison de passerelle ne prennent en charge que le trafic IPv4.

  • Les adresses IPv4 source des instances de vos sous-réseaux concernés passent d'adresses IPv4 publiques à adresses IPv4 privées de votre VPC. Un point de terminaison change de routes réseau et déconnecte les connexions TCP ouvertes. Les connexions précédentes qui utilisaient des adresses IPv4 publiques ne sont pas reprises. Nous vous recommandons de ne pas exécuter de tâches importantes lorsque vous créez ou modifiez un point de terminaison de passerelle. Vous pouvez également vérifier que votre logiciel peut se reconnecter automatiquement à DynamoDB en cas de rupture de connexion.

  • Les connexions de point de terminaison ne peuvent être étendues à l'extérieur d'un VPC. Les ressources situées de l'autre côté d'une connexion VPN, d'une connexion d'appairage VPC, d'une passerelle de transit ou d'une connexion au sein de votre VPC ne peuvent pas utiliser un point de terminaison de passerelle pour communiquer AWS Direct Connect avec DynamoDB.

  • Votre compte dispose d'un quota par défaut de 20 points de terminaison de passerelle par Région, qui est réglable. Il y a également une limite de 255 points de terminaison de passerelle par VPC.

Créer un point de terminaison de passerelle

Utilisez la procédure suivante pour créer un point de terminaison de passerelle qui se connecte à DynamoDB.

Pour créer un point de terminaison de passerelle à l'aide de la console
  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Points de terminaison.

  3. Choisissez Créer un point de terminaison.

  4. Pour Service category (Catégorie de service), choisissez Services AWS.

  5. Pour Services, ajoutez le filtre Type: Gateway (Type : Passerelle) et sélectionnez com.amazonaws.region.dynamodb.

  6. Pour VPC, sélectionnez le VPC dans lequel créer le point de terminaison.

  7. Pour Configure route tables (Configurer les tables de routage), sélectionnez les tables de routage qui seront utilisées par le point de terminaison. Nous ajoutons automatiquement un itinéraire qui dirige le trafic destiné au service vers l'interface réseau de point de terminaison.

  8. Pour Policy (Politique), sélectionnez Full access (Accès complet) pour autoriser toutes les opérations de tous les principaux sur toutes les ressources via le point de terminaison de VPC. Sinon, sélectionnez Custom (Personnalisé) pour joindre une politique de point de terminaison de VPC qui contrôle les autorisations dont disposent les principaux pour effectuer des actions sur les ressources via le point de terminaison de VPC.

  9. (Facultatif) Pour ajouter une identification, choisissez Add new tag (Ajouter une identification) et saisissez la clé et la valeur de l’identification.

  10. Choisissez Créer un point de terminaison.

Pour créer un point de terminaison de passerelle à l'aide de la ligne de commande

Contrôle de l'accès à l'aide de politiques IAM

Vous pouvez créer des politiques IAM pour contrôler les principaux IAM qui peuvent accéder aux tables DynamoDB en utilisant un point de terminaison de VPC spécifique.

Exemple : restriction de l'accès à un point de terminaison spécifique

Vous pouvez créer une politique qui restreint l'accès à un point de terminaison de VPC spécifique en utilisant la clé de condition aws:sourceVpce. La politique suivante refuse l'accès aux tables DynamoDB du compte, sauf si le point de terminaison de VPC spécifié est utilisé. Cet exemple suppose qu'il existe également une déclaration de politique qui autorise l'accès requis pour vos cas d'utilisation.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow-access-from-specific-endpoint", "Effect": "Deny", "Action": "dynamodb:*", "Resource": "arn:aws:dynamodb:region:account-id:table/*", "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-11aa22bb" } } } ] }
Exemple : autorisation d'accès à partir d'un rôle IAM spécifique

Vous pouvez créer une politique qui autorise l'accès à un rôle IAM spécifique. La politique suivante donne accès au rôle IAM spécifié.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow-access-from-specific-IAM-role", "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "ArnEquals": { "aws:PrincipalArn": "arn:aws:iam::111122223333:role/role_name" } } } ] }
Exemple : autorisation d'accès à partir d'un compte spécifique

Vous pouvez créer une politique qui n'autorise l'accès qu'à partir d'un compte spécifique. La politique suivante accorde l'accès aux utilisateurs du compte spécifié.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow-access-from-account", "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalAccount": "111122223333" } } } ] }

Association de tables de routage

Vous pouvez modifier les tables de routage qui sont associées au point de terminaison de passerelle. Lorsque vous associez une table de routage, nous ajoutons automatiquement un itinéraire qui dirige le trafic destiné au service vers l'interface réseau du point de terminaison. Lorsque vous dissociez une table de routage, nous supprimons automatiquement le point de terminaison de la table de routage.

Pour associer des tables de routage à l'aide de la console
  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Points de terminaison.

  3. Sélectionnez le point de terminaison de passerelle.

  4. Choisissez Actions, Gérer les tables de routage.

  5. Sélectionnez ou désélectionnez les tables de routage si nécessaire.

  6. Choisissez Modify route tables (Modifier les tables de routage).

Pour associer des tables de routage à l'aide de la ligne de commande

Pour modifier la politique de point de terminaison de VPC

Vous pouvez modifier la politique de point de terminaison pour un point de terminaison de passerelle, qui contrôle l'accès à DynamoDB depuis le VPC via le point de terminaison. La politique par défaut permet un accès complet. Pour plus d’informations, consultez Politiques de point de terminaison.

Pour modifier la politique de point de terminaison à l'aide de la console
  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Points de terminaison.

  3. Sélectionnez le point de terminaison de passerelle.

  4. Choisissez Actions, Manage policy (Gérer la politique).

  5. Choisissez Full Access (Accès complet) pour autoriser un accès complet au service, ou choisissez Custom (Personnalisé) et joignez une politique personnalisée.

  6. Choisissez Enregistrer.

Pour modifier un point de terminaison de passerelle à l'aide de la ligne de commande

Voici des exemples de stratégies de point de terminaison pour accéder à DynamoDB.

Exemple : autorisation d'accès en lecture seule

Vous pouvez créer une politique qui restreint l'accès en lecture seule. La politique suivante accorde l'autorisation de lister et de décrire les tables DynamoDB.

{ "Statement": [ { "Sid": "ReadOnlyAccess", "Effect": "Allow", "Principal": "*", "Action": [ "dynamodb:DescribeTable", "dynamodb:ListTables" ], "Resource": "*" } ] }
Exemple : restreindre l'accès à une table spécifique

Vous pouvez créer une stratégie qui restreint l'accès à une table DynamoDB spécifique. La politique suivante autorise l'accès à la table DynamoDB spécifiée.

{ "Statement": [ { "Sid": "Allow-access-to-specific-table", "Effect": "Allow", "Principal": "*", "Action": [ "dynamodb:Batch*", "dynamodb:Delete*", "dynamodb:DescribeTable", "dynamodb:GetItem", "dynamodb:PutItem", "dynamodb:Update*" ], "Resource": "arn:aws:dynamodb:region:123456789012:table/table_name" } ] }

Suppression d'un point de terminaison de passerelle

Lorsque vous avez terminé avec un point de terminaison de passerelle, vous pouvez le supprimer. Lorsque vous supprimez un point de terminaison de passerelle, nous supprimons l'itinéraire du point de terminaison des tables de routage du sous-réseau.

Pour supprimer un point de terminaison de passerelle à l'aide de la console
  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Points de terminaison.

  3. Sélectionnez le point de terminaison de passerelle.

  4. Choisissez Actions, Delete VPC endpoints (Supprimer le point de terminaison de VPC).

  5. À l’invite de confirmation, saisissez delete.

  6. Sélectionnez Delete (Supprimer).

Pour supprimer un point de terminaison de passerelle à l'aide de la ligne de commande