網際網路流量隱私權

Amazon DynamoDB 和現場部署應用程式之間以及 DynamoDB 與相同區域內的其他 AWS 資源之間的連線都受到保護。 AWS

端點所需的政策

Amazon DynamoDB 提供 DescribeEndpoints API，可讓您列舉區域端點資訊。對於來自 VPC 端點的請求，IAM 和虛擬私有雲端 (VPC) 端點政策都必須使用 IAM dynamodb:DescribeEndpoints 動作針對請求身分和存取管理 (IAM) 主體授權 DescribeEndpoints API 呼叫。否則，將拒絕存取 DescribeEndpoints API。存取 DynamoDB 的公有端點時，DescribeEndpointsAPI 呼叫的 IAM 和 VPC 端點政策授權步驟不適用。

以下是端點政策的範例。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "(Include IAM Principals)",
            "Action": "dynamodb:DescribeEndpoints",
            "Resource": "*"
        }
    ]
}

服務和內部部署用戶端與應用程式之間的流量。

您的私人網路之間有兩個連線選項，以及 AWS：

• 一個 AWS Site-to-Site VPN 連接。如需詳細資訊，請參閱《 AWS Site-to-Site VPN 使用者指南》中的什麼是 AWS Site-to-Site VPN ？。

• 一個 AWS Direct Connect 連接。如需詳細資訊，請參閱《 AWS Direct Connect 使用者指南》中的什麼是 AWS Direct Connect ？。

透過網路存取 DynamoDB 是透過 AWS 已發佈的 API 進行的。用戶端必須支援 Transport Layer Security (TLS) 1.2。我們建議使用 TLS 1.3。用戶端也必須支援具備完整轉寄密碼 (PFS) 的密碼套件，例如暫時性 Diffie-Hellman (DHE) 或橢圓曲線 Diffie-Hellman Ephemeral (ECDHE)。現代系統 (如 Java 7 和更新版本) 大多會支援這些模式。此外，您必須使用存取金鑰 ID，以及與 IAM 委託人相關聯的私密存取金鑰來簽署請求，或者您可以使用 AWS Security Token Service (STS) 來產生臨時安全憑證來簽署請求。

相同區域中 AWS 資源間的流量

適用於 DynamoDB 的 Amazon Virtual Private Cloud (Amazon VPC) 端點是 VPC 中的邏輯實體，僅允許連線到 DynamoDB。Amazon VPC 會將請求路由至 DynamoDB，並將回應路由回 VPC。如需詳細資訊，請參閱《Amazon VPC 使用者指南》中的 VPC 端點。如需可從 VPC 端點控制存取權限的政策範例，請參閱使用 IAM 政策控制對 DynamoDB 的存取。

注意

無法透過 AWS Site-to-Site VPN 或 AWS Direct Connect存取 Amazon VPC 端點。