インターネットトラフィックのプライバシー - Amazon DynamoDB
エンドポイントに必要なポリシーサービスとオンプレミスのクライアントおよびアプリケーションとの間のトラフィック同じリージョン内の AWS リソース間のトラフィック

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

インターネットトラフィックのプライバシー

接続は、Amazon DynamoDB とオンプレミスアプリケーション間、および DynamoDB と同じ AWS リージョン内の他の AWS リソース間で保護されます。

エンドポイントに必要なポリシー

Amazon DynamoDB には、リージョンのエンドポイント情報を列挙できるDescribeEndpoints API が用意されています。VPC エンドポイントからのリクエストの場合、IAM エンドポイントポリシーと仮想プライベートクラウド (VPC) エンドポイントポリシーの両方が、IAM の dynamodb:DescribeEndpoints アクションを使用して、リクエスト元の ID およびアクセス管理 (IAM) プリンシパルの DescribeEndpoints API コールを承認する必要があります。それ以外の場合、DescribeEndpoints API へのアクセスは拒否されます。DescribeEndpoints API コールの IAM および VPC エンドポイントポリシー認証手順は、DynamoDB のパブリックエンドポイントにアクセスする場合には適用されません。

以下は、エンドポイントポリシーの例です。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "(Include IAM Principals)",
            "Action": "dynamodb:DescribeEndpoints",
            "Resource": "*"
        }
    ]
}

サービスとオンプレミスのクライアントおよびアプリケーションとの間のトラフィック

プライベートネットワークと の間には 2 つの接続オプションがあります AWS。

ネットワーク経由での DynamoDB へのアクセスは、 AWS が公開した APIs。クライアントは Transport Layer Security (TLS) 1.2 をサポートしている必要があります。TLS 1.3 をお勧めします。クライアントは、Ephemeral Diffie-Hellman (DHE) や Elliptic Curve Diffie-Hellman Ephemeral (ECDHE) などの Perfect Forward Secrecy (PFS) を備えた暗号スイートもサポートする必要があります。これらのモードは、Java 7 以降など、最近のほとんどのシステムでサポートされています。また、リクエストには、IAM プリンシパルに関連付けられたアクセスキー ID およびシークレットアクセスキーによる署名が必要です。または、リクエストへの署名のために一時的にセキュリティ認証情報を生成する AWS Security Token Service (STS) を使用することもできます。

同じリージョン内の AWS リソース間のトラフィック

Amazon Virtual Private Cloud (Amazon VPC) endpoint for DynamoDB は、DynamoDB への接続のみを許可する VPC 内の論理エンティティです。Amazon VPC はリクエストを DynamoDB にルーティングし、レスポンスを VPC にルーティングします。詳細については、Amazon VPC ユーザーガイドの「VPC エンドポイント」を参照してください。VPC エンドポイントからのアクセスのコントロールに使用できるポリシーの例については、「IAM ポリシーを使用して DynamoDB へのアクセスをコントロールします」を参照してください。

注記

Amazon VPC エンドポイントには、 AWS Site-to-Site VPN または 経由でアクセスすることはできません AWS Direct Connect。