VPC 엔드포인트 및 IAM 정책을 사용하여 DynamoDB 연결 보호 - Amazon DynamoDB
엔드포인트에 필요한 정책서비스와 온프레미스 클라이언트 및 애플리케이션 간의 트래픽같은 리전에 있는 AWS 리소스 사이의 트래픽

VPC 엔드포인트 및 IAM 정책을 사용하여 DynamoDB 연결 보호

Amazon DynamoDB와 온프레미스 애플리케이션 사이 연결을 비롯해 DynamoDB와 동일한 AWS 리전의 다른 AWS 리소스 사이 연결이 보호를 받습니다.

엔드포인트에 필요한 정책

Amazon DynamoDB는 리전 엔드포인트 정보를 열거하도록 해 주는 DescribeEndpoints API를 제공합니다. 퍼블릭 DynamoDB 엔드포인트에 대한 요청의 경우 IAM 또는 VPC 엔드포인트 정책에 명시적 거부 또는 암시적 거부가 있더라도 API는 구성된 DynamoDB IAM 정책에 관계없이 응답합니다. 이는 DynamoDB가 의도적으로 DescribeEndpoints API에 대한 권한을 건너뛰기 때문입니다.

VPC 엔드포인트에서 요청하려면 IAM 및 Virtual Private Cloud(VPC) 엔드포인트 정책이 모두 IAM dynamodb:DescribeEndpoints 작업을 사용하여 요청하는 Identity and Access Management(IAM) 보안 주체에 대한 DescribeEndpoints API 호출을 승인해야 합니다. 그렇지 않은 경우 DescribeEndpoints API에 대한 액세스가 거부됩니다.

다음은 엔드포인트 정책의 예입니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "(Include IAM Principals)",
            "Action": "dynamodb:DescribeEndpoints",
            "Resource": "*"
        }
    ]
}

서비스와 온프레미스 클라이언트 및 애플리케이션 간의 트래픽

프라이빗 네트워크와 AWS 사이에 두 연결 옵션이 있습니다.

네트워크를 통한 DynamoDB 액세스는 AWS에서 게시한 API를 통해 이루어집니다. 클라이언트가 전송 계층 보안(TLS) 1.2를 지원해야 합니다. TLS 1.3을 권장합니다. 클라이언트는 DHE(Ephemeral Diffie-Hellman) 또는 ECDHE(Elliptic Curve Diffie-Hellman Ephemeral)와 같은 PFS(전달 완전 보안)가 포함된 암호 제품군도 지원해야 합니다. Java 7 이상의 최신 시스템은 대부분 이러한 모드를 지원합니다. 또한, 액세스 키 ID와 IAM 보안 주체와 관련된 비밀 액세스 키를 사용하여 요청에 서명하거나 AWS Security Token Service(STS)를 사용하여 요청에 서명할 수 있는 임시 보안 자격 증명을 생성할 수 있습니다.

같은 리전에 있는 AWS 리소스 사이의 트래픽

DynamoDB용 Amazon Virtual Private Cloud(Amazon VPC) 엔드포인트는 VPC 내의 논리적 엔터티로서, DynamoDB에만 연결을 허용합니다. Amazon VPC는 DynamoDB로 요청을 라우팅하고, 응답을 다시 VPC로 라우팅합니다. 자세한 내용은 Amazon VPC 사용 설명서VPC 엔드포인트를 참조하세요. VPC 엔드포인트의 액세스 제어에 사용할 수 있는 정책의 예는 IAM 정책을 사용하여 DynamoDB에 대한 액세스 제어를 참조하세요.

참고

Amazon VPC 엔드포인트는 AWS Site-to-Site VPN 또는 AWS Direct Connect를 통해 액세스할 수 없습니다.