本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon 密鑰空間中的網絡間流量隱私
本主題說明 Amazon Keyspaces 間(適用於 Apache Cassandra)如何保護從現場部署應用程序到 Amazon Keyspaces 間以及 Amazon Keyspaces 間和其他資源之間的連接。 AWS AWS 區域
服務和內部部署用戶端與應用程式之間的流量。
您的私人網路之間有兩個連線選項,以及 AWS:
一個 AWS Site-to-Site VPN 連接。如需詳細資訊,請參閱《 AWS Site-to-Site VPN使用者指南》中的什麼是AWS Site-to-Site VPN ?。
一個 AWS Direct Connect 連接。如需詳細資訊,請參閱《 AWS Direct Connect使用者指南》中的什麼是AWS Direct Connect ?。
作為一種託管服務,Amazon Keyspaces(對於 Apache 卡桑德拉)受到 AWS 全球網絡安全的保護。有關 AWS 安全服務以及如何 AWS 保護基礎結構的詳細資訊,請參閱AWS 雲端安全
您可以使用 AWS 已發佈的API呼叫透過網路存取 Amazon Keyspaces。使用者端必須支援下列專案:
-
傳輸層安全性 (TLS)。我們需要 TLS 1.2 並推薦 TLS 1.3。
-
具有完美前向保密()的密碼套件,例如(短暫的迪菲-赫爾曼PFS)或DHE(橢圓曲線短暫迪菲-赫爾曼)。ECDHE現代系統(如 Java 7 和更新版本)大多會支援這些模式。
此外,請求必須使用存取金鑰 ID 和與IAM主體相關聯的秘密存取金鑰來簽署。或者,您可以透過 AWS Security Token Service (AWS STS) 來產生暫時安全憑證來簽署請求。
Amazon Keyspaces 支援兩種驗證用戶端請求的方法。第一種方法使用服務特定認證,這些認證是針對特定使用IAM者產生的密碼認證。您可以使用控制IAM台、或來建立和管理密碼 AWS API。 AWS CLI如需詳細資訊,請參閱IAM搭配 Amazon Keyspaces 使用。
第二種方法使用用於卡桑德拉的開源 DataStax Java 驅動程序的身份驗證插件。此外掛程式可讓使用IAM者、角色和聯合身分使用AWS 簽章第 4 版程序 (Sigv4),將身份驗證資訊新增至 Amazon Keyspaces (適用於 Apache Cassandra) API 請求。如需詳細資訊,請參閱如何創建和配置 Amazon Keyspaces 的 AWS 憑據。
同一地區 AWS 資源之間的流量
界面VPC端點可讓您在 Amazon VPC 和 Amazon Keyspaces 間中執行的虛擬私有雲 (VPC) 之間進行私有通訊。接口VPC端點由支持 AWS PrivateLink,這是一種 AWS 服務,可以在VPCs和服 AWS 務之間進行私有通信。 AWS PrivateLink 通過使用私IPs有的 elastic network interface 來實現這一點,VPC以便網絡流量不會離開 Amazon 網絡。介面VPC端點不需要網際網路閘道、NAT裝置、VPN連線或 AWS Direct Connect 連線。如需詳細資訊,請參閱 Amazon Virtual Private Cloud 端和界面VPC端點 (AWS PrivateLink)。如需範例政策,請參閱 使用 Amazon Keyspaces 的界面 VPC 端點。
