AWS PrivateLink pour DynamoDB Streams
Avec AWS PrivateLink pour Amazon DynamoDB Streams, vous pouvez provisionner les points de terminaison d’un VPC Amazon d’interface (points de terminaison d’interface) dans votre cloud privé virtuel (Amazon VPC). Ces points de terminaison sont directement accessibles à partir d’applications sur site via VPN et Direct Connect, ou dans une Région AWS différente via un appairage Amazon VPC. En utilisant AWS PrivateLink et les points de terminaison d’interface, vous pouvez simplifier la connectivité de réseau privé entre vos applications et DynamoDB Streams.
Les applications de votre VPC Amazon n’ont pas besoin d’adresses IP publiques pour communiquer avec DynamoDB Streams à l’aide des points de terminaison de l’interface Amazon VPC pour les opérations DynamoDB Streams. Les points de terminaison d’interface sont représentés par une ou plusieurs interfaces réseau Elastic (ENI) auxquelles des adresses IP privées sont attribuées à partir de sous-réseaux de votre VPC Amazon. Les demandes adressées à DynamoDB Streams via les points de terminaison d’interface restent sur le réseau Amazon. Vous pouvez également accéder aux points de terminaison d’interface dans votre VPC Amazon à partir d’applications sur site via Direct Connect ou AWS Virtual Private Network (VPN AWS). Pour plus d’informations sur la façon de connecter votre AWS Virtual Private Network à votre réseau sur site, consultez le Guide de l’utilisateur Direct Connect et le Guide de l’utilisateur AWS Site-to-Site VPN.
Pour des informations générales sur les points de terminaison d’interface, consultez Interface de points de terminaison d’un réseau Amazon VPC (AWS PrivateLink).
Note
Seuls les points de terminaison d’interface sont pris en charge pour DynamoDB Streams. Les points de terminaison de passerelle ne sont pas pris en charge.
Rubriques
Considérations relatives à l’utilisation de AWS PrivateLink pour Amazon DynamoDB Streams
Accès aux points de terminaison de l’interface Amazon DynamoDB Streams
Création d’une politique de point de terminaison d’un VPC Amazon pour DynamoDB Streams
Utilisation de points de terminaison DynamoDB avec AWS Management Console Private Access
Considérations relatives à l’utilisation de AWS PrivateLink pour Amazon DynamoDB Streams
Les considérations relatives à Amazon VPC s’appliquent à AWS PrivateLink pour Amazon DynamoDB Streams. Pour plus d’informations, consultez interface endpoint considerations et Quotas AWS PrivateLink. Les restrictions suivantes s’appliquent.
AWS PrivateLink pour Amazon DynamoDB Streams ne prend pas en charge les éléments suivants :
-
Protocole TLS (Transport Layer Security) 1.1
-
Services de système de nom de domaine (DNS) privé et hybride
Note
Les délais de connexion réseau aux points de terminaison AWS PrivateLink ne sont pas concernés par les réponses d’erreur DynamoDB Streams et doivent être gérés de manière appropriée par vos applications qui se connectent aux points de terminaison AWS PrivateLink.
Création d’un point de terminaison Amazon VPC
Pour créer un point de terminaison d’interface d’un VPC Amazon, consultez Create an Amazon VPC endpoint dans le Guide AWS PrivateLink.
Accès aux points de terminaison de l’interface Amazon DynamoDB Streams
Lorsque vous créez un point de terminaison d’interface, DynamoDB génère deux types de noms DNS DynamoDB Streams spécifiques au point de terminaison : des noms régionaux et des noms zonaux.
-
Les noms DNS régionaux incluent un ID de point de terminaison d’un VPC Amazon unique, un identifiant de service, la Région AWS, et
vpce.amazonaws.com.rproxy.govskope.cadans son nom. Par exemple, pour l’ID de point de terminaison d’un VPC Amazonvpce-1a2b3c4dvpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com -
Les noms DNS zonaux incluent la zone de disponibilité, par exemple,
vpce-1a2b3c4d-5e6f-us-east-1a.streams.dynamodb.us-east-1.vpce.amazonaws.com
Accès aux opérations d’API DynamoDB Streams depuis les points de terminaison de l’interface DynamoDB Streams
Vous pouvez utiliser l’AWS CLI ou les kits AWS SDK pour accéder aux opérations d’API DynamoDB Streams via les points de terminaison de l’interface DynamoDB Streams.
Exemples AWS CLI
Pour accéder à DynamoDB Streams ou aux opérations d’API via les points de terminaison de l’interface DynamoDB Streams dans les commandes AWS CLI, utilisez les paramètres --region et --endpoint-url.
Exemple : création du point de terminaison d’un VPC
aws ec2 create-vpc-endpoint \ --region us-east-1 \ --service-name com.amazonaws.us-east-1.dynamodb-streams \ --vpc-id client-vpc-id \ --subnet-ids client-subnet-id \ --vpc-endpoint-type Interface \ --security-group-ids client-sg-id
Exemple : modifier le point de terminaison d’un VPC
aws ec2 modify-vpc-endpoint \ --region us-east-1 \ --vpc-endpoint-id client-vpc-endpoint-id \ --policy-document policy-document \ #example optional parameter --add-security-group-ids security-group-ids \ #example optional parameter # any additional parameters needed, see Privatelink documentation for more details
Exemple : lister les flux à l’aide d’une URL de point de terminaison
Dans l’exemple suivant, remplacez la région us-east-1 et le nom DNS de l’ID du point de terminaison d’un VPC vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com par vos propres informations.
aws dynamodbstreams --region us-east-1 —endpoint https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com list-streams
Exemples de kit AWS SDK
Pour accéder aux opérations d’API Amazon DynamoDB Streams via les points de terminaison d’interface DynamoDB Streams avec les kits AWS SDK, mettez à jour vos kits SDK vers la dernière version. Configurez ensuite vos clients pour qu’ils utilisent une URL de point de terminaison pour une opération d’API DynamoDB Streams via des points de terminaison d’interface DynamoDB Streams.
Création d’une politique de point de terminaison d’un VPC Amazon pour DynamoDB Streams
Vous pouvez attacher une politique de point de terminaison à votre point de terminaison Amazon VPC qui contrôle l’accès à DynamoDB Streams. La stratégie spécifie les informations suivantes :
-
Le principal AWS Identity and Access Management (IAM) qui peut effectuer des actions.
-
Les actions qui peuvent être effectuées.
-
Les ressources sur lesquelles les actions peuvent être exécutées.
Rubriques
Exemple : restriction de l’accès à un flux spécifique depuis le point de terminaison d’un VPC Amazon
Vous pouvez créer une politique de point de terminaison qui restreint l’accès uniquement à des DynamoDB Streams spécifiques. Ce type de politique est utile si d’autres Services AWS dans votre VPC Amazon utilisent des DynamoDB Streams. La politique de diffusion suivante restreint l’accès au flux 2025-02-20T11:22:33.444DOC-EXAMPLE-TABLEDOC-EXAMPLE-TABLE2025-02-20T11:22:33.444
Note
Les points de terminaison de passerelle ne sont pas pris en charge dans DynamoDB Streams.
Utilisation de points de terminaison DynamoDB avec AWS Management Console Private Access
Vous devez paramétrer la configuration DNS pour DynamoDB et DynamoDB Streams lorsque vous utilisez des points de terminaison d’un VPC avec la console DynamoDB
Pour configurer DynamoDB de manière à ce qu’il soit accessible dans AWS Management Console Private Access, vous devez créer les deux points de terminaison d’un VPC suivants :
-
com.amazonaws.<region>.dynamodb -
com.amazonaws.<region>.dynamodb-streams
Lorsque vous créez les points de terminaison d’un VPC, accédez à la console Route53 et créez une zone hébergée privée pour DynamoDB à l’aide du point de terminaison régional dynamodb.us-east-1.amazonaws.com.
Créez les deux enregistrements d’alias suivants dans la zone hébergée privée :
-
dynamodb.<region>.amazonaws.com.rproxy.govskope.caqui achemine le trafic vers le point de terminaison d’un VPCcom.amazonaws.<region>.dynamodb. -
streams.dynamodb.<region>.amazonaws.com.rproxy.govskope.caqui achemine le trafic vers le point de terminaison d’un VPCcom.amazonaws.<region>.dynamodb-streams.
