Privasi lalu lintas jaringan internet - Amazon DynamoDB
Kebijakan yang diperlukan untuk titik akhirLalu lintas antara layanan dan aplikasi serta klien on-premiseLalu lintas antara sumber daya AWS di Wilayah yang sama

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Privasi lalu lintas jaringan internet

Sambungan dilindungi baik antara Amazon DynamoDB dan aplikasi lokal dan antara DynamoDB dan sumber daya lain dalam Wilayah yang sama. AWS AWS

Kebijakan yang diperlukan untuk titik akhir

Amazon DynamoDB menyediakan API DescribeEndpoints yang memungkinkan Anda menghitung informasi titik akhir regional. Untuk permintaan dari titik akhir VPC, kebijakan titik akhir IAM dan Cloud Privat Virtual (VPC) harus mengotorisasi panggilan API DescribeEndpoints untuk pengguna utama Identity and Access Management (IAM) yang meminta menggunakan tindakan dynamodb:DescribeEndpoints IAM. Jika tidak, akses ke API DescribeEndpoints akan ditolak. Langkah-langkah otorisasi kebijakan titik akhir IAM dan VPC DescribeEndpoints untuk panggilan API tidak berlaku saat Anda mengakses titik akhir publik DynamoDB.

Berikut adalah sebuah contoh kebijakan titik akhir.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "(Include IAM Principals)",
            "Action": "dynamodb:DescribeEndpoints",
            "Resource": "*"
        }
    ]
}

Lalu lintas antara layanan dan aplikasi serta klien on-premise

Anda memiliki dua opsi konektivitas antara jaringan pribadi Anda dan AWS:

Akses ke DynamoDB melalui jaringan adalah AWS melalui API yang diterbitkan. Klien harus mendukung Keamanan Lapisan Pengangkutan (TLS) 1.2. Kami merekomendasikan TLS 1.3. Klien juga harus mendukung suite cipher dengan Perfect Forward Secrecy (PFS) seperti Ephemeral Diffie-Hellman (DHE) atau Elliptic Curve Diffie-Hellman Ephemeral (ECDHE). Sebagian besar sistem modern seperti Java 7 dan versi yang lebih baru support mode ini. Selain itu, Anda harus menandatangani permintaan menggunakan kunci akses ID dan kunci akses rahasia yang terkait dengan IAM pengguna utama, atau Anda dapat menggunakan AWS Security Token Service (STS) untuk membuat kredensial keamanan sementara guna menandatangani permintaan.

Lalu lintas antara sumber daya AWS di Wilayah yang sama

Titik akhir Amazon Virtual Private Cloud (Amazon VPC) untuk DynamoDB adalah entitas logis dalam VPC yang memungkinkan konektivitas hanya ke DynamoDB. Amazon VPC merutekan permintaan ke DynamoDB dan merutekan respons kembali ke VPC. Untuk informasi selengkapnya, lihat Titik akhir VPC di Panduan Pengguna Amazon VPC. Misalnya, kebijakan yang dapat Anda gunakan untuk mengontrol akses dari titik akhir VPC, lihat Menggunakan Kebijakan IAM untuk mengontrol akses ke DynamoDB.

catatan

Titik akhir Amazon VPC tidak dapat diakses melalui atau. AWS Site-to-Site VPN AWS Direct Connect