Amazon DynamoDB
開発者ガイド (API バージョン 2012-08-10)

Amazon VPC エンドポイントを使用して DynamoDB にアクセスする

セキュリティ上の理由から、多数の AWS ユーザーがアプリケーションを Amazon Virtual Private Cloud 環境 (Amazon VPC) 内で実行しています。Amazon VPC を使用すると、Amazon EC2 インスタンスを仮想プライベートクラウドで作成できます。そのため、— パブリックインターネットなどの他のネットワークから論理的に分離されます。Amazon VPC を使用すると、IP アドレス範囲、サブネット、ルーティングテーブル、ネットワークゲートウェイ、セキュリティ設定を適切に制御できます。

注記

2013 年 12 月 4 日以降に AWS アカウントを作成した場合は、各 AWS リージョンにデフォルトで VPC が用意されています。デフォルト VPC に他の設定手順は必要なく、すぐに使用を開始できます。

詳細については、Amazon VPC ユーザーガイドの「デフォルトの VPC とサブネット」を参照してください。

パブリックインターネットにアクセスするには、VPC にインターネットゲートウェイが必要です。インターネットゲートウェイは、VPC をインターネットに接続する仮想ルーターです。これにより、VPC の Amazon EC2 で実行されているアプリケーションは、Amazon DynamoDB などのインターネットリソースにアクセスできるようになります。

デフォルトでは、DynamoDB との通信において、SSL/TLS 暗号化を使用してネットワークトラフィックを保護する HTTPS プロトコルが使用されます。次の図は、VPC の EC2 インスタンスが DynamoDB にアクセスする様子を示します。


            ルーター、インターネット、インターネットゲートウェイ、およびインターネットを経由して DynamoDB にアクセスする EC2 インスタンスを示したワークフローの図。

多くのお客様が、パブリックインターネット間のデータ送受信に関して、プライバシーとセキュリティに関する正当な懸念を抱いています。仮想プライベートネットワーク (VPN) を使用して、すべての DynamoDB ネットワークトラフィックを自社の企業ネットワークのインフラストラクチャ経由でルーティングすれば、この懸念事項を解決できます。ただし、このアプローチでは、帯域幅や可用性の課題が生じる場合があります。

DynamoDB の VPC エンドポイントでは、これらの課題は軽減されます。DynamoDB の VPC エンドポイントを使用することで、VPC の Amazon EC2 インスタンスは、パブリックインターネットにさらされることなく、プライベート IP アドレスを使用して DynamoDB にアクセスできるようになります。EC2 インスタンスはパブリック IP アドレスを必要とせず、VPC でインターネットゲートウェイ、NAT デバイス、または仮想プライベートゲートウェイは必要ありません。DynamoDB へのアクセスを制御するには、エンドポイントのポリシーを使用します。VPC と AWS サービス間のトラフィックは、Amazon ネットワークを離れません。

DynamoDB の VPC エンドポイントを作成する際、リージョン内の DynamoDB エンドポイント (例: dynamodb.us-west-2.amazonaws.com) に対するリクエストはすべて、Amazon ネットワーク内のプライベート DynamoDB エンドポイントにルーティングされます。VPC の EC2 インスタンスで実行されているアプリケーションを変更する必要はありません。エンドポイント名は変わりませんが、DynamoDB へのルートは完全に Amazon ネットワーク内にとどまり、パブリックインターネットにアクセスすることはありません。

VPC 内の EC2 インスタンスが VPC エンドポイントを使用して DynamoDB にアクセスする様子を次の図に示します。


            ルーターと VPC エンドポイントのみを経由して DynamoDB にアクセスする EC2 インスタンスを示したワークフローの図。

詳細については、「チュートリアル: DynamoDB での VPC エンドポイントの使用」を参照してください。