Sichern von DynamoDB-Verbindungen mithilfe von VPC-Endpunkten und IAM-Richtlinien - Amazon-DynamoDB
Erforderliche Richtlinie für EndpunkteDatenverkehr zwischen Service und On-Premises-Clients und -AnwendungenDatenverkehr zwischen AWS-Ressourcen in derselben Region

Sichern von DynamoDB-Verbindungen mithilfe von VPC-Endpunkten und IAM-Richtlinien

Verbindungen sind sowohl zwischen Amazon DynamoDB und On-Premises-Anwendungen als auch zwischen DynamoDB und anderen AWS-Ressourcen innerhalb derselben AWS-Region geschützt.

Erforderliche Richtlinie für Endpunkte

Amazon DynamoDB bietet eine DescribeEndpoints-API, mit der Sie regionale Endpunktinformationen auflisten können. Bei Anforderungen an die öffentlichen DynamoDB-Endpunkte reagiert die API unabhängig von der konfigurierten DynamoDB-IAM-Richtlinie, auch wenn es in der IAM- oder VPC-Endpunktrichtlinie ein explizites oder implizites Verweigern gibt. Dies liegt daran, dass DynamoDB die Autorisierung für die DescribeEndpoints-API absichtlich überspringt.

Bei Anfragen von einem VPC-Endpunkt müssen sowohl die IAM- als auch die Endpunktrichtlinien der Virtual Private Cloud (VPC) den DescribeEndpoints-API-Aufruf für die anfordernden Prinzipale vom Identity and Access Management (IAM) mithilfe der IAM-dynamodb:DescribeEndpoints-Aktion autorisieren. Andernfalls wird der Zugriff auf die DescribeEndpoints-API verweigert.

Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": "dynamodb:DescribeEndpoints",
            "Resource": "*"
        }
    ]
}

Datenverkehr zwischen Service und On-Premises-Clients und -Anwendungen

Sie haben zwei Verbindungsoptionen zwischen Ihrem privaten Netzwerk und AWS:

  • AWS Site-to-Site VPN-Verbindung Weitere Informationen finden Sie unter Was ist AWS Site-to-Site VPN? im AWS Site-to-Site VPN-Benutzerhandbuch.

  • Direct Connect-Verbindung Weitere Informationen finden Sie unter Was ist Direct Connect? im Direct Connect-Benutzerhandbuch.

Der Zugriff auf DynamoDB über das Netzwerk erfolgt durch AWS veröffentlichte APIs. Clients müssen Transport Layer Security (TLS) 1.2 unterstützen. Wir empfehlen TLS 1.3. Clients müssen außerdem Cipher Suites mit PFS (Perfect Forward Secrecy) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman) unterstützen. Die meisten modernen Systemen wie Java 7 und höher unterstützen diese Modi. Außerdem müssen Sie die Anfragen mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel signieren, die einem IAM-Prinzipal zugeordnet sind. Sie können auch AWS Security Token Service (STS) verwenden um temporäre Sicherheitsanmeldeinformationen zu generieren.

Datenverkehr zwischen AWS-Ressourcen in derselben Region

Ein Amazon-Virtual-Private-Cloud-Endpunkt (Amazon VPC) für DynamoDB ist eine logische Entität innerhalb einer VPC, die nur Die Verbindung zu DynamoDB zulässt. Die Amazon VPC leitet Anforderungen an DynamoDB weiter und leitet Antworten an die VPC zurück. Weitere Informationen finden Sie unter VPC-Endpunkte im Amazon-VPC-Benutzerhandbuch. Dieser Abschnitt enthält Beispiele für Richtlinien, die für die Steuerung des Zugriffs auf VPC-Endpunkte verwendet werden können. Sehen Sie Verwenden von IAM-Richtlinien zum Steuern des Zugriffs auf DynamoDB.

Anmerkung

Amazon-VPC-Endpunkte sind nicht über AWS Site-to-Site VPN oder Direct Connect zugänglich.