Riservatezza del traffico Internet - Amazon DynamoDB
Policy richieste per gli endpointTraffico tra servizio e applicazioni e client localiTraffico tra risorse AWS nella stessa Regione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Riservatezza del traffico Internet

Le connessioni sono protette sia tra Amazon DynamoDB e le applicazioni locali sia tra DynamoDB e altre risorse all'interno della stessa regione. AWS AWS

Policy richieste per gli endpoint

Amazon DynamoDB fornisce un'API DescribeEndpoints che consente di enumerare le informazioni sugli endpoint regionali. Per le richieste da un endpoint VPC, sia le policy IAM che del cloud privato virtuale (VPC) degli endpoint devono autorizzare la chiamata API DescribeEndpoints per i principali di Identity and Access Management (IAM) richiedenti utilizzando l'operazione IAM dynamodb:DescribeEndpoints. In caso contrario, l'accesso all'API DescribeEndpoints verrà negato. Le fasi di autorizzazione delle policy degli endpoint IAM e VPC per le chiamate DescribeEndpoints API non sono applicabili quando si accede agli endpoint pubblici di DynamoDB.

Di seguito è riportato un esempio di una policy di endpoint.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "(Include IAM Principals)",
            "Action": "dynamodb:DescribeEndpoints",
            "Resource": "*"
        }
    ]
}

Traffico tra servizio e applicazioni e client locali

Sono disponibili due opzioni di connettività tra la rete privata e: AWS

  • Una AWS Site-to-Site VPN connessione. Per ulteriori informazioni, consulta Che cos'è AWS Site-to-Site VPN? nella Guida per l'utente di AWS Site-to-Site VPN .

  • Una AWS Direct Connect connessione. Per ulteriori informazioni, consulta Che cos'è AWS Direct Connect? nella Guida per l'utente di AWS Direct Connect .

L'accesso a DynamoDB tramite la rete avviene tramite API AWS pubblicate. I client devono supportare Transport Layer Security (TLS) 1.2. È consigliabile TLS 1.3. I client devono inoltre supportare le suite di cifratura con PFS (Perfect Forward Secrecy), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Diffie-Hellman Ephemeral (ECDHE). La maggior parte dei sistemi moderni come Java 7 e versioni successive, supporta tali modalità. Inoltre, è necessario firmare le richieste utilizzando un ID chiave di accesso e la chiave di accesso segreta associate a un principale IAM, oppure è possibile utilizzare AWS Security Token Service (STS) per generare le credenziali di sicurezza temporanee per firmare le richieste.

Traffico tra risorse AWS nella stessa Regione

Un endpoint Amazon Virtual Private Cloud (Amazon VPC) per DynamoDB è un'entità logica all'interno di un VPC che consente la connettività solo a DynamoDB. Amazon VPC instrada le richieste ad DynamoDB e reindirizza le risposte al VPC. Per ulteriori informazioni, consultare Endpoint VPC nella Guida per l'utente di Amazon VPC. Per le policy di esempio che possono essere utilizzate per controllare l'accesso da endpoint VPC, consulta Utilizzo delle policy IAM per controllare l'accesso a DynamoDB.

Nota

Gli endpoint Amazon VPC non sono accessibili tramite o. AWS Site-to-Site VPN AWS Direct Connect