AWS PrivateLink pour DynamoDB - Amazon DynamoDB
Types de points de terminaison d’un VPC AmazonConsidérations relatives à l'utilisation AWS PrivateLink d'Amazon DynamoDBCréation d’un point de terminaison Amazon VPCAccès aux points de terminaison de l’interface Amazon DynamoDBAccès aux tables DynamoDB et opérations d’API de contrôle depuis les points de terminaison de l’interface DynamoDBMise à jour d’une configuration DNS sur siteCréation d’une politique de point de terminaison d’un VPC AmazonUtilisation de points de terminaison DynamoDB avec AWS Management Console Private Access

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS PrivateLink pour DynamoDB

Avec AWS PrivateLink DynamoDB, vous pouvez provisionner des points de terminaison Amazon VPC (points de terminaison d'interface) dans votre cloud privé virtuel (Amazon VPC). Ces points de terminaison sont directement accessibles depuis des applications installées sur site via un VPN et/ou via un autre système de peering Région AWS via Amazon VPC. Direct Connect En utilisant AWS PrivateLink et les points de terminaison d’interface, vous pouvez simplifier la connectivité réseau privé entre vos applications et DynamoDB.

Les applications de votre VPC n’ont pas besoin d’adresses IP publiques pour communiquer avec DynamoDB à l’aide des points de terminaison d’interface VPC pour les opérations DynamoDB. Les points de terminaison d'interface sont représentés par une ou plusieurs interfaces réseau élastiques (ENIs) auxquelles des adresses IP privées sont attribuées à partir de sous-réseaux de votre Amazon VPC. Les demandes adressées à DynamoDB via les points de terminaison d’interface restent sur le réseau Amazon. Vous pouvez également accéder aux points de terminaison d'interface de votre Amazon VPC à partir d'applications sur site AWS Direct Connect via AWS Virtual Private Network ou ().Site-to-Site VPN Pour plus d’informations sur la façon de connecter votre VPC Amazon à votre réseau sur site, consultez le Guide de l’utilisateur Direct Connect et le Guide de l’utilisateur AWS Site-to-Site VPN.

Pour des informations générales sur les points de terminaison d'interface, consultez Interface Amazon VPC endpoints AWS PrivateLink() dans le Guide.AWS PrivateLink AWS PrivateLink est également pris en charge pour les points de terminaison Amazon DynamoDB Streams. Pour de plus amples informations, veuillez consulter AWS PrivateLink pour DynamoDB Streams.

Rubriques

Types de points de terminaison d’un VPC Amazon pour Amazon DynamoDB

Vous pouvez utiliser deux types de points de terminaison Amazon VPC pour accéder à Amazon DynamoDB : les points de terminaison de passerelle et les points de terminaison d'interface (en utilisant). AWS PrivateLink Un point de terminaison de passerelle est une passerelle que vous spécifiez dans votre table de routage pour accéder à DynamoDB depuis votre Amazon VPC via le réseau. AWS Les points de terminaison d'interface étendent les fonctionnalités des points de terminaison de passerelle en utilisant des adresses IP privées pour acheminer les demandes vers DynamoDB depuis votre Amazon VPC, sur site, ou depuis un Amazon VPC dans un autre en utilisant Amazon VPC peering ou. Région AWS AWS Transit Gateway Pour plus d’informations, consultez What is Amazon VPC peering? et Transit Gateway vs Amazon VPC peering.

Les points de terminaison d’interface sont compatibles avec les points de terminaison de passerelle. Si vous avez un point de terminaison de passerelle existant dans le VPC Amazon, vous pouvez utiliser les deux types de points de terminaison dans le même VPC Amazon.

Points de terminaison de passerelle pour DynamoDB

Points de terminaison d’interface pour DynamoDB

Dans les deux cas, votre trafic réseau reste sur le AWS réseau.

Utiliser des adresses IP publiques Amazon DynamoDB

Utiliser des adresses IP privées depuis votre VPC Amazon pour accéder à Amazon DynamoDB

N’autorise pas l’accès sur site

Autoriser l’accès depuis vos sites

Ne pas autoriser l'accès depuis un autre Région AWS

Autorisez l'accès depuis un point de terminaison Amazon VPC à un autre en Région AWS utilisant Amazon VPC peering ou AWS Transit Gateway

Non facturé

Facturé

Pour plus d’informations sur les points de terminaison de passerelle, consultez Gateway Amazon VPC endpoints dans le Guide AWS PrivateLink .

Les considérations relatives à Amazon VPC s'appliquent à Amazon AWS PrivateLink DynamoDB. Pour plus d’informations, consultez Considérations sur les points de terminaison d’interface et Quotas AWS PrivateLink dans le Guide AWS PrivateLink . En outre, les restrictions suivantes s’appliquent.

AWS PrivateLink pour Amazon DynamoDB ne prend pas en charge les éléments suivants :

  • Protocole TLS (Transport Layer Security) 1.1

  • Services de système de nom de domaine (DNS) privé et hybride

Vous pouvez envoyer jusqu'à 50 000 demandes par seconde pour chaque AWS PrivateLink point de terminaison que vous activez.

Note

Les délais de connectivité réseau vers les AWS PrivateLink points de terminaison ne sont pas concernés par les réponses d'erreur DynamoDB et doivent être gérés de manière appropriée par les applications qui se connectent aux points de terminaison. PrivateLink

Création d’un point de terminaison Amazon VPC

Pour créer un point de terminaison d’interface d’un VPC Amazon, consultez Create an Amazon VPC endpoint dans le Guide AWS PrivateLink .

Accès aux points de terminaison de l’interface Amazon DynamoDB

Lorsque vous créez un point de terminaison d’interface, DynamoDB génère deux types de noms DNS DynamoDB spécifiques au point de terminaison : des noms régionaux et des noms zonaux.

  • Un nom DNS régional inclut un identifiant de point de terminaison Amazon VPC unique, un identifiant de service Région AWS, le et vpce.amazonaws.com dans son nom. Par exemple, pour l’ID de point de terminaison d’un VPC Amazon vpce-1a2b3c4d, le nom DNS généré peut être similaire à vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com.

  • Les noms DNS zonaux incluent la zone de disponibilité, par exemple, vpce-1a2b3c4d-5e6f-us-east-1a.dynamodb.us-east-1.vpce.amazonaws.com. Vous pouvez utiliser cette option si votre architecture isole les zones de disponibilité. Par exemple, vous pouvez l’utiliser pour contenir les pannes ou réduire les coûts de transfert de données Régionaux.

Note

Pour obtenir une fiabilité optimale, nous vous recommandons de déployer votre service dans au moins trois zones de disponibilité.

Accès aux tables DynamoDB et opérations d’API de contrôle depuis les points de terminaison de l’interface DynamoDB

Vous pouvez utiliser le AWS CLI ou AWS SDKs pour accéder aux tables DynamoDB et contrôler les opérations de l'API via les points de terminaison de l'interface DynamoDB.

Pour accéder aux tables DynamoDB ou aux opérations de l'API de contrôle DynamoDB via les points de terminaison de l'interface DynamoDB dans les commandes, utilisez les paramètres et. AWS CLI --region --endpoint-url

Exemple : création du point de terminaison d’un VPC

aws ec2 create-vpc-endpoint \
--region us-east-1 \
--service-name com.amazonaws.us-east-1.dynamodb \
--vpc-id client-vpc-id \
--subnet-ids client-subnet-id \
--vpc-endpoint-type Interface \
--security-group-ids client-sg-id

Exemple : modifier le point de terminaison d’un VPC

aws ec2 modify-vpc-endpoint \
--region us-east-1 \
--vpc-endpoint-id client-vpc-endpoint-id \
--policy-document policy-document \ #example optional parameter
--add-security-group-ids security-group-ids \ #example optional parameter 
# any additional parameters needed, see Privatelink documentation for more details

Exemple : lister les tables à l’aide d’une URL de point de terminaison

Dans l’exemple suivant, remplacez la région us-east-1 et le nom DNS de l’ID du point de terminaison d’un VPC vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com par vos propres informations.

aws dynamodb --region us-east-1 --endpoint https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com list-tables

Pour accéder aux tables DynamoDB ou aux opérations de l'API de contrôle DynamoDB via les points de terminaison de l'interface DynamoDB lorsque vous utilisez le, installez la dernière version. AWS SDKs SDKs Configurez ensuite vos clients pour qu’ils utilisent une URL de point de terminaison afin d’accéder à une table ou à une opération API de contrôle de DynamoDB via des points de terminaison d’interface DynamoDB.

SDK for Python (Boto3)
Exemple : Utiliser une URL de point de terminaison pour accéder à une table DynamoDB

Dans l’exemple suivant, remplacez la région us-east-1 et l’ID du point de terminaison d’un VPC https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com par vos propres informations.

ddb_client = session.client(
service_name='dynamodb',
region_name='us-east-1',
endpoint_url='https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com'
)
SDK for Java 1.x
Exemple : Utiliser une URL de point de terminaison pour accéder à une table DynamoDB

Dans l’exemple suivant, remplacez la région us-east-1 et l’ID du point de terminaison d’un VPC https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com par vos propres informations.

//client build with endpoint config  
final AmazonDynamoDB dynamodb = AmazonDynamoDBClientBuilder.standard().withEndpointConfiguration(
        new AwsClientBuilder.EndpointConfiguration(
                "https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com",
                Regions.DEFAULT_REGION.getName()
        )
).build();
SDK for Java 2.x
Exemple : Utiliser une URL de point de terminaison pour accéder à une table DynamoDB

Dans l'exemple suivant, remplacez le Region us-east-1 et l'ID de point de terminaison https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com VPC par vos propres informations.

Region region = Region.US_EAST_1;
dynamoDbClient = DynamoDbClient.builder().region(region)
.endpointOverride(URI.create("https://vpce-1a2b3c4d-5e6f.dynamodb.us-east-1.vpce.amazonaws.com"))
.build()

Mise à jour d’une configuration DNS sur site

Lorsque vous utilisez des noms DNS spécifiques aux points de terminaison pour accéder aux points de terminaison d’interface pour DynamoDB, vous n’avez pas besoin de mettre à jour votre résolveur DNS sur site. Vous pouvez résoudre le nom DNS spécifique au point de terminaison avec l’adresse IP privée du point de terminaison d’interface depuis le domaine DNS public DynamoDB.

Utilisation de points de terminaison d’interface pour accéder à DynamoDB sans point de terminaison de passerelle ou passerelle Internet dans le VPC Amazon

Les points de terminaison d’interface de votre VPC Amazon peuvent acheminer les applications de VPC Amazon et les applications sur site vers DynamoDB via le réseau Amazon, comme illustré dans le diagramme suivant.

Le diagramme de flux de données montre l’accès à DynamoDB à partir d’applications sur site et dans le VPC en utilisant un point de terminaison d’interface et AWS PrivateLink.

Le diagramme illustre les éléments suivants :

  • Votre réseau sur site utilise Direct Connect ou Site-to-Site VPN pour se connecter à Amazon VPC A.

  • Vos applications sur site et dans le VPC Amazon A utilisent des noms DNS spécifiques aux points de terminaison pour accéder à DynamoDB via le point de terminaison d’interface DynamoDB.

  • Les applications sur site envoient des données au point de terminaison de l'interface dans l'Amazon VPC Direct Connect via (ou) Site-to-Site VPN. AWS PrivateLink déplace les données du point de terminaison de l'interface vers DynamoDB via le réseau. AWS

  • Les applications VPC d'Amazon envoient également du trafic vers le point de terminaison de l'interface. AWS PrivateLink déplace les données du point de terminaison de l'interface vers DynamoDB via le réseau. AWS

Utilisation conjointe de points de terminaison de passerelle et de points de terminaison d’interface dans le même VPC Amazon pour accéder à DynamoDB

Vous pouvez créer des points de terminaison d’interface et conserver le point de terminaison de passerelle existant dans le même VPC Amazon, comme le montre le diagramme suivant. En adoptant cette approche, vous autorisez les applications internes au VPC Amazon à continuer d’accéder à DynamoDB via le point de terminaison de la passerelle, ce qui n’est pas facturé. Ensuite, seules vos applications sur site utilisent des points de terminaison d’interface pour accéder à DynamoDB. Pour accéder à DynamoDB de cette façon, vous devez mettre à jour vos applications sur site afin d’utiliser des noms DNS spécifiques du point de terminaison pour DynamoDB.

Le diagramme de flux de données montre l’accès à DynamoDB grâce à l’utilisation conjointe de points de terminaison de passerelle et de points de terminaison d’interface.

Le diagramme illustre les éléments suivants :

  • Les applications sur site utilisent des noms DNS spécifiques au point de terminaison pour envoyer des données au point de terminaison de l'interface au sein d'Amazon VPC via (ou). Direct Connect Site-to-Site VPN AWS PrivateLink déplace les données du point de terminaison de l'interface vers DynamoDB via le réseau. AWS

  • À l'aide des noms DynamoDB régionaux par défaut, les applications VPC intégrées à Amazon envoient des données au point de terminaison de la passerelle qui se connecte à DynamoDB via le réseau. AWS

Pour plus d’informations sur les points de terminaison de passerelle, consultez Points de terminaison de VPC Amazon de passerelle dans le Guide d’utilisateur Amazon VPC.

Création d’une politique de point de terminaison d’un VPC Amazon pour DynamoDB

Vous pouvez attacher une politique de point de terminaison à votre point de terminaison d’un VPC Amazon qui contrôle l’accès à DynamoDB. La politique spécifie les informations suivantes :

  • Le principal AWS Identity and Access Management (IAM) qui peut effectuer des actions

  • Les actions qui peuvent être effectuées.

  • Les ressources sur lesquelles les actions peuvent être exécutées.

Vous pouvez créer une politique de point de terminaison qui restreint l’accès uniquement à des tables DynamoDB spécifiques. Ce type de politique est utile si d'autres politiques Services AWS de votre Amazon VPC utilisent des tables. La politique de table suivante restreint l’accès à DOC-EXAMPLE-TABLE uniquement. Pour utiliser cette politique de point de terminaison, remplacez DOC-EXAMPLE-TABLE par le nom de votre table.

JSON
{
"Version":"2012-10-17",		 	 	 
  "Id": "Policy1216114807515",
  "Statement": [
    { "Sid": "Access-to-specific-table-only",
      "Principal": "*",
      "Action": [
        "dynamodb:GetItem",
        "dynamodb:PutItem"
      ],
      "Effect": "Allow",
      "Resource": ["arn:aws:dynamodb:us-east-1:111122223333:table/DOC-EXAMPLE-TABLE",
                   "arn:aws:dynamodb:us-east-1:111122223333:table/DOC-EXAMPLE-TABLE/*"]
    }
  ]
}

Utilisation de points de terminaison DynamoDB avec AWS Management Console Private Access

Vous devez paramétrer la configuration DNS pour DynamoDB et DynamoDB Streams lorsque vous utilisez des points de terminaison d’un VPC avec la console DynamoDB dans AWS Management Console Private Access.

Pour configurer DynamoDB de manière à ce qu'il soit accessible AWS Management Console dans Private Access, vous devez créer les deux points de terminaison VPC suivants :

  • com.amazonaws.<region>.dynamodb

  • com.amazonaws.<region>.dynamodb-streams

Lorsque vous créez les points de terminaison d’un VPC, accédez à la console Route53 et créez une zone hébergée privée pour DynamoDB à l’aide du point de terminaison régional dynamodb.us-east-1.amazonaws.com.

Créez les deux enregistrements d’alias suivants dans la zone hébergée privée :

  • dynamodb.<region>.amazonaws.com qui achemine le trafic vers le point de terminaison d’un VPC com.amazonaws.<region>.dynamodb.

  • streams.dynamodb.<region>.amazonaws.com qui achemine le trafic vers le point de terminaison d’un VPC com.amazonaws.<region>.dynamodb-streams.