AWS PrivateLink para DynamoDB Streams - Amazon DynamoDB
Consideraciones sobre el uso de AWS PrivateLink para Amazon DynamoDB StreamsCreación de un punto de conexión de VPC de AmazonAcceso a los puntos de conexión de interfaz de Amazon DynamoDB StreamsAcceso a operaciones de la API de DynamoDB Streams desde los puntos de conexión de interfaz de DynamoDB StreamsEjemplos del SDK de AWSCreación de una política de punto de conexión de Amazon VPC

AWS PrivateLink para DynamoDB Streams

Con AWS PrivateLink para Amazon DynamoDB Streams, puede aprovisionar puntos de conexión de Amazon VPC de la interfaz (puntos de conexión de la interfaz) en la nube privada virtual (Amazon VPC). A estos puntos de conexión se puede acceder directamente desde las aplicaciones que se encuentran en las instalaciones a través de la VPN y AWS Direct Connect, o bien, en una Región de AWS diferente mediante el emparejamiento de Amazon VPC. Al usar AWS PrivateLink y puntos de conexión de la interfaz, puede simplificar la conectividad de la red privada desde las aplicaciones a DynamoDB Streams.

Las aplicaciones de la Amazon VPC no necesitan direcciones IP públicas para comunicarse con DynamoDB Streams mediante puntos de conexión de interfaz de Amazon VPC para operaciones de DynamoDB Streams. Los puntos de conexión de la interfaz se representan mediante una o más interfaces de red elásticas (ENI) a las que se asignan direcciones IP privadas desde subredes de la Amazon VPC. Las solicitudes a DynamoDB Streams a través de puntos de conexión de interfaz permanecen en la red de Amazon. Asimismo, puede acceder a los puntos de conexión de la interfaz en la Amazon VPC desde aplicaciones en las instalaciones a través de AWS Direct Connect o AWS Virtual Private Network (AWS VPN). Para obtener más información sobre cómo conectar la AWS Virtual Private Network a la red en las instalaciones, consulte la Guía del usuario de AWS Direct Connect y la Guía del usuario de AWS Site-to-Site VPN.

Para obtener información general sobre los puntos de conexión de interfaz, consulte Puntos de conexión de Amazon VPC de interfaz (AWS PrivateLink).

nota

Solo se admiten puntos de conexión de interfaz en DynamoDB Streams. Los puntos de conexión de puerta de enlace no se admiten.

Las consideraciones sobre Amazon VPC se aplican a AWS PrivateLink para Amazon DynamoDB Streams. Para obtener más información, consulte Consideraciones de los puntos de conexión de interfaz y Cuotas de AWS PrivateLink. Se aplican las siguientes restricciones.

AWS PrivateLink para Amazon DynamoDB Streams no admite lo siguiente:

  • Seguridad de la capa de transporte (TLS) 1.1

  • Servicios de sistema de nombres de dominio (DNS) privado e híbrido

nota

Los tiempos de espera de conectividad de red con los puntos de conexión de AWS PrivateLink no están incluidos en el ámbito de las respuestas de error de DynamoDB y las aplicaciones que se conecten a los puntos de conexión de AWS PrivateLink deberán gestionarlos adecuadamente.

Para crear un punto de conexión de la interfaz de Amazon VPC, consulte Create an Amazon VPC endpoint en la Guía de AWS PrivateLink.

Cuando crea un punto de conexión de interfaz, DynamoDB genera dos tipos de nombres DNS de DynamoDB Streams específicos del punto de conexión: regional y zonal.

  • Un nombre DNS regional incluye un ID único de punto de conexión de Amazon VPC, un identificador de servicio, la Región de AWS y vpce.amazonaws.com en el nombre. Por ejemplo, para el ID de punto de conexión de Amazon VPC vpce-1a2b3c4d, el nombre DNS generado podría ser similar a vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com.

  • Un nombre de DNS zonal incluye la zona de disponibilidad, por ejemplo, vpce-1a2b3c4d-5e6f-us-east-1a.streams.dynamodb.us-east-1.vpce.amazonaws.com. Puede utilizar esta opción si la arquitectura aísla Zonas de disponibilidad. Por ejemplo, podría usarlo para la contención de fallos o para reducir los costos de transferencia de datos regionales.

Puede utilizar la AWS CLI o los AWS SDK para acceder a operaciones de API de DynamoDB Streams a través de puntos de conexión de interfaz de DynamoDB Streams.

Para acceder a operaciones de DynamoDB Streams o de la API a través de puntos de conexión de interfaz de DynamoDB Streams en comandos de la AWS CLI, utilice los parámetros --region y --endpoint-url.

Ejemplo: crear un punto de conexión de VPC

aws ec2 create-vpc-endpoint \
--region us-east-1 \
--service-name com.amazonaws.us-east-1.dynamodb-streams \
--vpc-id client-vpc-id \
--subnet-ids client-subnet-id \
--vpc-endpoint-type Interface \
--security-group-ids client-sg-id

Ejemplo: Modificar un punto de conexión de VPC

aws ec2 modify-vpc-endpoint \
--region us-east-1 \
--vpc-endpoint-id client-vpc-endpoint-id \
--policy-document policy-document \ #example optional parameter
--add-security-group-ids security-group-ids \ #example optional parameter 
# any additional parameters needed, see Privatelink documentation for more details

Ejemplo: enumerar flujos con una URL de punto de conexión

En el siguiente ejemplo, reemplace la región us-east-1 y el nombre DNS del ID de punto de conexión de VPC vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com con su información.

aws dynamodbstreams --region us-east-1 —endpoint https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com list-streams

Para acceder a las operaciones de la API de Amazon DynamoDB Streams a través de los puntos de conexión de interfaz de DynamoDB Streams al utilizar los AWS SDK, actualice los SDK a la versión actual. A continuación, configure los clientes para que utilicen una URL de punto de conexión para la API de control de DynamoDB Streams a través de los puntos de conexión de la interfaz de DynamoDB Streams.

SDK for Python (Boto3)
Ejemplo: utilizar una URL de punto de conexión para acceder a un flujo de DynamoDB

En el siguiente ejemplo, reemplace la región us-east-1 y el ID de punto de conexión de VPC https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com con su información.

ddb_streams_client = session.client(
service_name='dynamodbstreams',
region_name='us-east-1',
endpoint_url='https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com'
)
SDK for Java 1.x
Ejemplo: utilizar una URL de punto de conexión para acceder a un flujo de DynamoDB

En el siguiente ejemplo, reemplace la región us-east-1 y el ID de punto de conexión de VPC https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com con su información.

//client build with endpoint config  
final AmazonDynamoDBStreams dynamodbstreams = AmazonDynamoDBStreamsClientBuilder.standard().withEndpointConfiguration(
        new AwsClientBuilder.EndpointConfiguration(
                "https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com",
                Regions.DEFAULT_REGION.getName()
        )
).build();
SDK for Java 2.x
Ejemplo: utilizar una URL de punto de conexión para acceder a un flujo de DynamoDB

En el siguiente ejemplo, reemplace la región us-east-1 y el ID de punto de conexión de VPC https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com con su información.

Region region = Region.US_EAST_1;
dynamoDbStreamsClient = DynamoDbStreamsClient.builder().region(region)
.endpointOverride(URI.create("https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com"))
.build()

Puede asociar una política de punto de conexión con el punto de conexión de Amazon VPC que controla el acceso a DynamoDB Streams. La política especifica la siguiente información:

  • La entidad principal de AWS Identity and Access Management (IAM) que puede realizar acciones

  • Las acciones que se pueden realizar

  • Los recursos en los que se pueden llevar a cabo las acciones

Puede crear una política de punto de conexión que restrinja el acceso a flujos de DynamoDB Streams específicos. Este tipo de política es útil si tiene otros Servicios de AWS en la Amazon VPC que utilicen DynamoDB Streams. La siguiente política de flujo restringe el acceso solo al flujo 2025-02-20T11:22:33.444 adjuntado a DOC-EXAMPLE-TABLE. Para utilizar esta política de puntos de conexión, reemplace DOC-EXAMPLE-TABLE por el nombre de la tabla y 2025-02-20T11:22:33.444 por la etiqueta de flujo.

{
"Version": "2012-10-17",
  "Id": "Policy1216114807515",
  "Statement": [
    { "Sid": "Access-to-specific-stream-only",
      "Principal": "*",
      "Action": [
        "dynamodb:DescribeStream",
        "dynamodb:GetRecords"
      ],
      "Effect": "Allow",
      "Resource": ["arn:aws:dynamodb:::DOC-EXAMPLE-TABLE/stream/2025-02-20T11:22:33.444"]
    }
  ]
}
nota

Los puntos de conexión de puerta de enlace no son compatibles con DynamoDB Streams.