Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS PrivateLink für DynamoDB
Mit AWS PrivateLink for DynamoDB können Sie Amazon VPC-Schnittstellenendpunkte (Schnittstellenendpunkte) in Ihrer Virtual Private Cloud (Amazon VPC) bereitstellen. Auf diese Endpunkte kann direkt von Anwendungen aus zugegriffen werden, die sich vor Ort befinden Direct Connect, über VPN und/oder auf andere Weise AWS-Region über Amazon VPC-Peering. Mit AWS PrivateLink und Schnittstellenendpunkten können Sie die private Netzwerkkonnektivität zwischen Ihren Anwendungen und DynamoDB vereinfachen.
Anwendungen in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um mit DynamoDB über VPC-Schnittstellenendpunkte für DynamoDB-Operationen zu kommunizieren. Schnittstellenendpunkte werden durch eine oder mehrere elastische Netzwerkschnittstellen (ENIs) repräsentiert, denen private IP-Adressen aus Subnetzen in Ihrer Amazon VPC zugewiesen wurden. Anforderungen an DynamoDB über Schnittstellenendpunkte bleiben im Amazon-Netzwerk. Sie können auch von lokalen Anwendungen aus über AWS Direct Connect oder AWS Virtual Private Network () auf Schnittstellenendpunkte in Ihrer Amazon VPC zugreifen.Site-to-Site VPN Weitere Informationen darüber, wie Sie Ihre Amazon VPC mit Ihrem On-Premises-Netzwerk verbinden, finden Sie im Direct Connect -Benutzerhandbuch und im AWS Site-to-Site VPN -Benutzerhandbuch.
Allgemeine Informationen zu Schnittstellenendpunkten finden Sie unter Interface Amazon VPC endpoints (AWS PrivateLink) im Handbuch.AWS PrivateLink AWS PrivateLink wird auch für Amazon DynamoDB Streams-Endpunkte unterstützt. Weitere Informationen finden Sie unter AWS PrivateLink für DynamoDB Streams.
Themen
Arten von Amazon-VPC-Endpunkten für Amazon DynamoDB
Sie können zwei Arten von Amazon VPC-Endpunkten für den Zugriff auf Amazon DynamoDB verwenden: Gateway-Endpunkte und Schnittstellenendpunkte (durch Verwenden). AWS PrivateLink Ein Gateway-Endpunkt ist ein Gateway, das Sie in Ihrer Routing-Tabelle angeben, um von Ihrer Amazon VPC aus über das Netzwerk auf DynamoDB zuzugreifen. AWS Schnittstellenendpunkte erweitern die Funktionalität von Gateway-Endpunkten, indem sie private IP-Adressen verwenden, um Anfragen von Ihrer Amazon VPC, vor Ort oder von einer Amazon VPC in einer anderen AWS-Region mithilfe von Amazon VPC Peering an DynamoDB weiterzuleiten oder. AWS Transit Gateway Weitere Informationen finden Sie unter Was ist Amazon-VPC Peering? und Vergleich zwischen Transit-Gateway und Amazon-VPC-Peering.
Schnittstellenendpunkte sind mit Gateway-Endpunkten kompatibel. Wenn Sie einen vorhandenen Gateway-Endpunkt in der Amazon VPC haben, können Sie beide Arten von Endpunkten in derselben Amazon VPC verwenden.
|
Gateway-Endpunkte für DynamoDB |
Schnittstellenendpunkte für DynamoDB |
|---|---|
|
In beiden Fällen verbleibt Ihr Netzwerkverkehr im Netzwerk. AWS |
|
|
Verwenden von öffentlichen IP-Adressen in Amazon DynamoDB |
Verwenden von privaten IP-Adressen aus Ihrer Amazon VPC für den Zugriff auf Amazon DynamoDB |
|
Erlauben keinen On-Premises-Zugriff |
Erlaubt On-Premises-Zugriff |
|
Erlauben Sie keinen Zugriff von einem anderen AWS-Region |
Erlauben Sie den Zugriff von einem Amazon VPC-Endpunkt auf einem anderen mithilfe AWS-Region von Amazon VPC-Peering oder AWS Transit Gateway |
|
Nicht berechnet |
Berechnet |
Weitere Informationen zu Gateway-Endpunkten finden Sie unter Gateway-Endpunkte in der Amazon VPC im AWS PrivateLink -Handbuch.
Überlegungen bei der Verwendung AWS PrivateLink für Amazon DynamoDB
Überlegungen zu Amazon VPC gelten AWS PrivateLink für Amazon DynamoDB. Weitere Informationen finden Sie unter Überlegungen zu Schnittstellenendpunkten und AWS PrivateLink -Kontingente im Handbuch zu AWS PrivateLink . Darüber hinaus gelten die folgenden Einschränkungen.
AWS PrivateLink für Amazon DynamoDB unterstützt Folgendes nicht:
-
Transport Layer Security (TLS) 1.1
-
Private und Hybrid Domain Name System (DNS)-Services
Sie können bis zu 50.000 Anfragen pro Sekunde für jeden von Ihnen aktivierten AWS PrivateLink Endpunkt einreichen.
Anmerkung
Timeouts der Netzwerkkonnektivität zu AWS PrivateLink Endpunkten fallen nicht in den Geltungsbereich der DynamoDB-Fehlerantworten und müssen von Ihren Anwendungen, die eine Verbindung zu den Endpunkten herstellen, angemessen behandelt werden. PrivateLink
Erstellen eines Amazon VPC-Endpunkts
Informationen zum Erstellen eines Amazon-VPC-Schnittstellenendpunkts finden Sie unter Erstellen eines Amazon-VPC-Endpunkts im AWS PrivateLink -Handbuch.
Zugreifen auf Schnittstellenendpunkte in Amazon DynamoDB
Wenn Sie einen Schnittstellenendpunkt erstellen, generiert Amazon DynamoDB zwei Arten von endpunktspezifischen DynamoDB-DNS-Namen: regional und zonengebunden.
-
Ein regionaler DNS-Name enthält eine eindeutige Amazon VPC-Endpunkt-ID, eine Service-ID AWS-Region, das und
vpce.amazonaws.com.rproxy.govskope.cain seinem Namen. Beispielsweise könnte der generierte DNS-Name für die Amazon-VPC-Endpunkt-IDvpce-1a2b3c4dvpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com -
Ein zonengebundener DNS-Name enthält die Availability Zone, z. B.
vpce-1a2b3c4d-5e6f-us-east-1a.dynamodb.us-east-1.vpce.amazonaws.com
Anmerkung
Um eine optimale Zuverlässigkeit zu erreichen, empfehlen wir, Ihren Service in mindestens drei Availability Zones bereitzustellen.
Zugreifen auf DynamoDB-Tabellen und -Control-API-Operationen über DynamoDB-Schnittstellenendpunkte
Sie können das AWS CLI oder verwenden AWS SDKs , um auf DynamoDB-Tabellen zuzugreifen und API-Operationen über DynamoDB-Schnittstellenendpunkte zu steuern.
AWS CLI Beispiele
Verwenden Sie die Parameter und, um über DynamoDB-Schnittstellenendpunkte in Befehlen auf DynamoDB-Tabellen oder DynamoDB-Steuerungs-API-Operationen zuzugreifen. AWS CLI --region --endpoint-url
Beispiel: Erstellen eines VPC-Endpunkts
aws ec2 create-vpc-endpoint \ --region us-east-1 \ --service-name com.amazonaws.us-east-1.dynamodb \ --vpc-id client-vpc-id \ --subnet-ids client-subnet-id \ --vpc-endpoint-type Interface \ --security-group-ids client-sg-id
Beispiel: Ändern eines VPC-Endpunkts
aws ec2 modify-vpc-endpoint \ --region us-east-1 \ --vpc-endpoint-id client-vpc-endpoint-id \ --policy-document policy-document \ #example optional parameter --add-security-group-ids security-group-ids \ #example optional parameter # any additional parameters needed, see Privatelink documentation for more details
Beispiel: Auflisten von Tabellen mit einer Endpunkt-URL
Ersetzen Sie im folgenden Beispiel die Region us-east-1 und den DNS-Namen der VPC-Endpunkt-ID vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com durch Ihre eigenen Angaben.
aws dynamodb --region us-east-1 --endpoint https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com list-tables
AWS SDK-Beispiele
Um auf DynamoDB-Tabellen oder DynamoDB-Steuerungs-API-Operationen über DynamoDB-Schnittstellenendpunkte zuzugreifen, wenn Sie die verwenden AWS SDKs, aktualisieren Sie Ihre Version auf die neueste Version. SDKs Konfigurieren Sie Ihre Clients anschließend so, dass sie eine Endpunkt-URL verwenden, um über DynamoDB-Schnittstellenendpunkte auf eine Tabelle oder Control-API-Operation in DynamoDB zuzugreifen.
Aktualisieren einer lokalen DNS-Konfiguration
Wenn Sie endpunktspezifische DNS-Namen für den Zugriff auf die Schnittstellenendpunkte für DynamoDB verwenden, müssen Sie Ihren lokalen DNS-Resolver nicht aktualisieren. Sie können den endpunktspezifischen DNS-Namen mit der privaten IP-Adresse des Schnittstellenendpunkts aus der öffentlichen DynamoDB-DNS-Domain auflösen.
Verwenden von Schnittstellenendpunkten für den Zugriff auf DynamoDB ohne Gateway-Endpunkt oder Internet-Gateway in der Amazon VPC
Schnittstellenendpunkte in Ihrer Amazon VPC können sowohl Anwendungen in der Amazon VPC als auch On-Premises-Anwendungen über das Amazon-Netzwerk an DynamoDB weiterleiten, wie im folgenden Diagramm dargestellt.
Das Diagramm veranschaulicht folgende Vorgänge:
-
Ihr lokales Netzwerk verwendet Direct Connect oder, um eine Verbindung Site-to-Site VPN zu Amazon VPC A herzustellen.
-
Ihre On-Premises-Anwendungen und die Anwendungen in Amazon VPC A verwenden endpunktspezifische DNS-Namen, um über den DynamoDB-Schnittstellenendpunkt auf DynamoDB zuzugreifen.
-
Lokale Anwendungen senden Daten über Direct Connect (oder Site-to-Site VPN) an den Schnittstellenendpunkt in der Amazon VPC. AWS PrivateLink verschiebt die Daten vom Schnittstellenendpunkt über das Netzwerk zu DynamoDB. AWS
-
VPC-Anwendungen innerhalb von Amazon senden auch Traffic an den Schnittstellenendpunkt. AWS PrivateLink verschiebt die Daten vom Schnittstellenendpunkt über das Netzwerk zu DynamoDB. AWS
Gemeinsames Verwenden von Gateway-Endpunkten und Schnittstellenendpunkten in derselben Amazon VPC für den Zugriff auf DynamoDB
Sie können Schnittstellenendpunkte erstellen und den vorhandenen Gateway-Endpunkt in derselben Amazon VPC beibehalten, wie das folgende Diagramm zeigt. Mit diesem Ansatz erlauben Sie Anwendungen in der Amazon VPC, weiterhin über den Gateway-Endpunkt auf DynamoDB zuzugreifen, was nicht in Rechnung gestellt wird. Dann würden nur Ihre On-Premises-Anwendungen Schnittstellenendpunkte für den Zugriff auf DynamoDB verwenden. Um auf diese Weise auf DynamoDB zuzugreifen, müssen Sie Ihre On-Premises-Anwendungen aktualisieren, damit endpunktspezifische DNS-Namen für DynamoDB verwendet werden.
Das Diagramm veranschaulicht folgende Vorgänge:
-
Lokale Anwendungen verwenden endpunktspezifische DNS-Namen, um Daten über Direct Connect (oder) an den Schnittstellenendpunkt innerhalb der Amazon VPC zu senden. Site-to-Site VPN AWS PrivateLink verschiebt die Daten vom Schnittstellenendpunkt über das Netzwerk zu DynamoDB. AWS
-
Mithilfe von standardmäßigen regionalen DynamoDB-Namen senden VPC-Anwendungen in Amazon Daten an den Gateway-Endpunkt, der über das Netzwerk eine Verbindung zu DynamoDB herstellt. AWS
Weitere Informationen zu Gateway-Endpunkten finden Sie unter Gateway-Endpunkte in der Amazon VPC im Amazon-VPC-Benutzerhandbuch.
Erstellen einer Amazon-VPC-Endpunktrichtlinie für DynamoDB
Sie können eine Endpunktrichtlinie an Ihren Amazon-VPC-Endpunkt anhängen, der den Zugriff auf DynamoDB kontrolliert. Die Richtlinie gibt die folgenden Informationen an:
-
Der AWS Identity and Access Management (IAM-) Principal, der Aktionen ausführen kann
-
Aktionen, die ausgeführt werden können
-
Ressourcen, für die Aktionen ausgeführt werden können
Themen
Beispiel: Beschränken des Zugriffs auf eine bestimmte Tabelle von einem Amazon-VPC-Endpunkt aus
Sie können eine Endpunktrichtlinie erstellen, die den Zugriff auf spezifische DynamoDB-Tabellen einschränkt. Diese Art von Richtlinie ist nützlich, wenn Sie andere AWS-Services in Ihrer Amazon VPC haben, die Tabellen verwenden. Die folgende Tabellenrichtlinie schränkt den Zugriff ausschließlich auf DOC-EXAMPLE-TABLEDOC-EXAMPLE-TABLE
Verwenden von DynamoDB-Endpunkten mit AWS-Managementkonsole Private Access
Sie müssen die DNS-Konfiguration für DynamoDB und DynamoDB Streams einrichten, wenn Sie VPC-Endpunkte mit der DynamoDB-Konsole
Um DynamoDB für den Zugriff in AWS-Managementkonsole Private Access zu konfigurieren, müssen Sie die folgenden zwei VPC-Endpoints erstellen:
-
com.amazonaws.<region>.dynamodb -
com.amazonaws.<region>.dynamodb-streams
Wenn Sie die VPC-Endpunkte erstellen, navigieren Sie zur Route53-Konsole und erstellen Sie mithilfe des regionalen Endpunkts dynamodb.us-east-1.amazonaws.com eine privat gehostete Zone für DynamoDB.
Erstellen Sie die folgenden zwei Aliasdatensätze in der privat gehosteten Zone:
-
dynamodb.<region>.amazonaws.com.rproxy.govskope.cafür die Weiterleitung des Datenverkehrs an den VPC-Endpunktcom.amazonaws.<region>.dynamodb. -
streams.dynamodb.<region>.amazonaws.com.rproxy.govskope.cafür die Weiterleitung des Datenverkehrs an den VPC-Endpunktcom.amazonaws.<region>.dynamodb-streams.
