AWS PrivateLink untuk DynamoDB Streams - Amazon DynamoDB
Pertimbangan saat menggunakan AWS PrivateLink untuk Amazon DynamoDB StreamsMembuat titik akhir Amazon VPCMengakses titik akhir antarmuka Amazon DynamoDB StreamsMengakses operasi API DynamoDB Streams dari titik akhir antarmuka DynamoDB StreamsAWS Contoh SDKMembuat kebijakan titik akhir Amazon VPC

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS PrivateLink untuk DynamoDB Streams

Dengan AWS PrivateLink Amazon DynamoDB Streams, Anda dapat menyediakan antarmuka titik akhir Amazon VPC (titik akhir antarmuka) di cloud pribadi virtual Anda (Amazon VPC). Titik akhir ini dapat diakses langsung dari aplikasi yang ada di tempat melalui VPN dan AWS Direct Connect, atau berbeda dengan peering Wilayah AWS VPC Amazon. Menggunakan AWS PrivateLink dan antarmuka endpoint, Anda dapat menyederhanakan konektivitas jaringan pribadi dari aplikasi Anda ke DynamoDB Streams.

Aplikasi di Amazon VPC Anda tidak memerlukan alamat IP publik untuk berkomunikasi dengan DynamoDB Streams menggunakan titik akhir antarmuka Amazon VPC untuk operasi DynamoDB Streams. Titik akhir antarmuka diwakili oleh satu atau lebih antarmuka jaringan elastis (ENIs) yang diberi alamat IP pribadi dari subnet di VPC Amazon Anda. Permintaan ke DynamoDB Streams melalui titik akhir antarmuka tetap berada di jaringan Amazon. Anda juga dapat mengakses titik akhir antarmuka di VPC Amazon Anda dari aplikasi lokal AWS Direct Connect melalui AWS Virtual Private Network atau AWS (VPN). Untuk informasi selengkapnya tentang cara menghubungkan Anda AWS Virtual Private Network dengan jaringan lokal, lihat Panduan AWS Direct Connect Pengguna dan Panduan AWS Site-to-Site VPN Pengguna.

Untuk informasi umum tentang titik akhir antarmuka, lihat Antarmuka Amazon VPCAWS PrivateLink endpoint ().

catatan

Hanya titik akhir antarmuka yang didukung untuk DynamoDB Streams. Titik akhir Gateway tidak didukung.

Pertimbangan Amazon VPC berlaku untuk Amazon AWS PrivateLink DynamoDB Streams. Untuk informasi selengkapnya, lihat pertimbangan dan AWS PrivateLink kuota titik akhir antarmuka. Pembatasan berikut berlaku.

AWS PrivateLink untuk Amazon DynamoDB Streams tidak mendukung hal berikut:

  • Keamanan Lapisan Pengangkutan (TLS) 1.1

  • Layanan Sistem Nama Domain Pribadi dan Hybrid (DNS)

catatan

Batas waktu konektivitas jaringan ke AWS PrivateLink titik akhir tidak berada dalam lingkup respons kesalahan DynamoDB Streams dan perlu ditangani dengan tepat oleh aplikasi Anda yang terhubung ke titik akhir. AWS PrivateLink

Untuk membuat titik akhir antarmuka VPC Amazon, lihat Membuat titik akhir VPC Amazon di Panduan.AWS PrivateLink

Saat Anda membuat titik akhir antarmuka, DynamoDB menghasilkan dua jenis nama DNS DynamoDB Streams khusus titik akhir: Regional dan Zonal.

  • Nama DNS Regional mencakup ID titik akhir VPC Amazon yang unik, pengenal layanan, Wilayah AWS dan namanya. vpce.amazonaws.com Misalnya, untuk ID titik akhir VPC Amazonvpce-1a2b3c4d, nama DNS yang dihasilkan mungkin mirip dengan. vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com

  • Nama DNS Zonal mencakup Zona Ketersediaan—misalnya, vpce-1a2b3c4d-5e6f-us-east-1a.streams.dynamodb.us-east-1.vpce.amazonaws.com. Anda dapat menggunakan opsi ini jika arsitektur Anda mengisolasi Zona Ketersediaan. Contoh, Anda bisa menggunakannya untuk kontainer kesalahan atau untuk mengurangi biaya transfer data Regional.

Anda dapat menggunakan AWS CLI atau AWS SDKs untuk mengakses operasi API DynamoDB Streams melalui titik akhir antarmuka DynamoDB Streams.

Untuk mengakses DynamoDB Streams atau operasi API melalui titik akhir antarmuka DynamoDB Streams dalam perintah, gunakan parameter dan. AWS CLI --region --endpoint-url

Contoh: Buat titik akhir VPC

aws ec2 create-vpc-endpoint \
--region us-east-1 \
--service-name com.amazonaws.us-east-1.dynamodb-streams \
--vpc-id client-vpc-id \
--subnet-ids client-subnet-id \
--vpc-endpoint-type Interface \
--security-group-ids client-sg-id

Contoh: Ubah titik akhir VPC

aws ec2 modify-vpc-endpoint \
--region us-east-1 \
--vpc-endpoint-id client-vpc-endpoint-id \
--policy-document policy-document \ #example optional parameter
--add-security-group-ids security-group-ids \ #example optional parameter 
# any additional parameters needed, see Privatelink documentation for more details

Contoh: Daftar aliran menggunakan URL endpoint

Dalam contoh berikut, ganti Region us-east-1 dan nama DNS dari vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com ID endpoint VPC dengan informasi Anda sendiri.

aws dynamodbstreams --region us-east-1 —endpoint https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com list-streams

Untuk mengakses operasi API DynamoDB Streams Amazon melalui titik akhir antarmuka DynamoDB Streams saat menggunakan, perbarui ke versi terbaru. AWS SDKs SDKs Kemudian, konfigurasikan klien Anda untuk menggunakan URL endpoint untuk operasi DynamoDB Streams API melalui titik akhir antarmuka DynamoDB Streams.

SDK for Python (Boto3)
Contoh: Gunakan URL endpoint untuk mengakses aliran DynamoDB

Dalam contoh berikut, ganti Wilayah us-east-1 dan ID titik akhir VPC https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com dengan informasi Anda sendiri.

ddb_streams_client = session.client(
service_name='dynamodbstreams',
region_name='us-east-1',
endpoint_url='https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com'
)
SDK for Java 1.x
Contoh: Gunakan URL endpoint untuk mengakses aliran DynamoDB

Dalam contoh berikut, ganti Wilayah us-east-1 dan ID titik akhir VPC https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com dengan informasi Anda sendiri.

//client build with endpoint config  
final AmazonDynamoDBStreams dynamodbstreams = AmazonDynamoDBStreamsClientBuilder.standard().withEndpointConfiguration(
        new AwsClientBuilder.EndpointConfiguration(
                "https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com",
                Regions.DEFAULT_REGION.getName()
        )
).build();
SDK for Java 2.x
Contoh: Gunakan URL endpoint untuk mengakses aliran DynamoDB

Dalam contoh berikut, ganti Wilayah us-east-1 dan ID titik akhir VPC https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com dengan informasi Anda sendiri.

Region region = Region.US_EAST_1;
dynamoDbStreamsClient = DynamoDbStreamsClient.builder().region(region)
.endpointOverride(URI.create("https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com"))
.build()

Anda dapat melampirkan kebijakan endpoint ke endpoint Amazon VPC yang mengontrol akses ke DynamoDB Streams. Kebijakan titik akhir menentukan informasi berikut:

  • Prinsip AWS Identity and Access Management (IAM) yang dapat melakukan tindakan

  • Tindakan-tindakan yang dapat dilakukan

  • Sumber daya yang padanya tindakan dapat dilakukan

Anda dapat membuat kebijakan endpoint yang membatasi akses hanya ke DynamoDB Streams tertentu. Jenis kebijakan ini berguna jika Anda memiliki kebijakan lain Layanan AWS di Amazon VPC yang menggunakan DynamoDB Streams. Kebijakan aliran berikut membatasi akses hanya ke aliran yang 2025-02-20T11:22:33.444 dilampirkanDOC-EXAMPLE-TABLE. Untuk menggunakan kebijakan endpoint ini, ganti DOC-EXAMPLE-TABLE dengan nama tabel Anda dan 2025-02-20T11:22:33.444 dengan label stream.

JSON
{
"Version": "2012-10-17",
  "Id": "Policy1216114807515",
  "Statement": [
    { "Sid": "Access-to-specific-stream-only",
      "Principal": "*",
      "Action": [
        "dynamodb:DescribeStream",
        "dynamodb:GetRecords"
      ],
      "Effect": "Allow",
      "Resource": ["arn:aws:dynamodb:us-east-1:111122223333:table/table-name/stream/2025-02-20T11:22:33.444"]
    }
  ]
}
catatan

Titik akhir Gateway tidak didukung di DynamoDB Streams.