Amazon VPC エンドポイントを使用して DynamoDB にアクセスする - Amazon DynamoDB

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon VPC エンドポイントを使用して DynamoDB にアクセスする

セキュリティ上の理由から、多数の AWS ユーザーがアプリケーションを Amazon Virtual Private Cloud 環境 (Amazon VPC) 内で実行しています。Amazon VPC を使用すると、Amazon EC2 インスタンスを仮想プライベートクラウドで作成できます。そのため、パブリックインターネットなどの他のネットワークから論理的に分離されます。Amazon VPC を使用すると、IP アドレス範囲、サブネット、ルーティングテーブル、ネットワークゲートウェイ、セキュリティ設定を適切に制御できます。

注記

2013 年 12 月 4 日以降に AWS アカウントを作成した場合は、各 AWS リージョンにデフォルトで VPC が用意されています。デフォルト VPC は使用できる状態になっています。追加の設定手順は不要で、すぐに使用を開始できます。

詳細については、「」を参照してください。デフォルト VPC とデフォルトサブネット()Amazon VPC ユーザーガイド

パブリックインターネットにアクセスするには、VPC にインターネットゲートウェイ(VPC をインターネットに接続する仮想ルータ)が必要です。これにより、VPC 内の Amazon EC2 で実行されているアプリケーションは、Amazon DynamoDB などのインターネットリソースにアクセスできます。

デフォルトでは、DynamoDB との通信において、SSL/TLS 暗号化を使用してネットワークトラフィックを保護する HTTPS プロトコルが使用されます。VPC 内の EC2 インスタンスが DynamoDB にアクセスする様子を次の図に示します。


            ルーター、インターネットゲートウェイ、およびインターネットを介して DynamoDB にアクセスする EC2 インスタンスを示すワークフロー図。

多くのお客様が、パブリックインターネット間のデータ送受信に関して、プライバシーとセキュリティに関する正当な懸念を抱いています。これらの懸念事項を解決するために、仮想プライベートネットワーク (VPN) を使用して、すべての DynamoDB ネットワークトラフィックをルーティングします。ただし、このアプローチでは、帯域幅や可用性の課題が生じる場合があります。

DynamoDB の VPC エンドポイントでは、これらの課題は軽減されます。AVPC エンドポイントDynamoDB を使用すると、VPC 内の Amazon EC2 インスタンスに、パブリックインターネットにさらされることなく、プライベート IP アドレスを使用して DynamoDB にアクセスできます。EC2 インスタンスにパブリック IP アドレスを必要とせず、VPC にインターネットゲートウェイ、NAT デバイス、仮想プライベートゲートウェイは不要です。DynamoDB へのアクセスを制御するには、エンドポイントポリシーを使用します。VPC と AWS サービス間のトラフィックは、Amazon ネットワークを離れません。

DynamoDB の VPC エンドポイントを作成する場合、リージョン内の DynamoDB エンドポイントへのリクエスト (例:Dynamodb.us-west-2.amazonaws.com) は、Amazon ネットワーク内のプライベート DynamoDB エンドポイントにルーティングされます。VPC の EC2 インスタンスで実行されているアプリケーションを変更する必要はありません。エンドポイント名は変わりませんが、DynamoDB へのルートは、Amazon ネットワーク内に完全にとどまり、パブリックインターネットにアクセスすることはありません。

次の図は、VPC 内の EC2 インスタンスが VPC エンドポイントを使用して DynamoDB にアクセスする様子を示しています。


            ルーターと VPC エンドポイントのみを介して DynamoDB にアクセスする EC2 インスタンスを示すワークフロー図。

詳細については、「チュートリアル: DynamoDB の VPC エンドポイントの使用」を参照してください。