Privasi lalu lintas internetwork di Amazon Keyspaces - Amazon Keyspaces (untuk Apache Cassandra)
Lalu lintas antara layanan dan aplikasi serta klien on-premiseLalu lintas antar AWS sumber daya di Wilayah yang sama

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Privasi lalu lintas internetwork di Amazon Keyspaces

Topik ini menjelaskan cara Amazon Keyspaces (untuk Apache Cassandra) mengamankan koneksi dari aplikasi lokal ke Amazon Keyspaces dan antara Amazon Keyspaces dan sumber daya lain dalam hal yang sama. AWS Wilayah AWS

Lalu lintas antara layanan dan aplikasi serta klien on-premise

Anda memiliki dua opsi konektivitas antara jaringan pribadi Anda dan AWS:

Sebagai layanan terkelola, Amazon Keyspaces (untuk Apache Cassandra) dilindungi oleh keamanan jaringan global. AWS Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat Keamanan AWS Cloud. Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat Perlindungan Infrastruktur dalam Kerangka Kerja yang AWS Diarsiteksikan dengan Baik Pilar Keamanan.

Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses Amazon Keyspaces melalui jaringan. Klien harus mendukung hal-hal berikut:

  • Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.

  • Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.

Selain itu, permintaan harus ditandatangani menggunakan ID kunci akses dan kunci akses rahasia yang terkait dengan prinsipal IAM. Atau Anda dapat menggunakan AWS Security Token Service (AWS STS) untuk menghasilkan kredensial keamanan sementara untuk menandatangani permintaan.

Amazon Keyspaces mendukung dua metode otentikasi permintaan klien. Metode pertama menggunakan kredensi khusus layanan, yang merupakan kredenal berbasis kata sandi yang dihasilkan untuk pengguna IAM tertentu. Anda dapat membuat dan mengelola kata sandi menggunakan konsol IAM, the AWS CLI, atau AWS API. Untuk informasi selengkapnya, lihat Menggunakan IAM dengan Amazon Keyspaces.

Metode kedua menggunakan plugin otentikasi untuk Driver DataStax Java open-source untuk Cassandra. Plugin ini memungkinkan pengguna IAM, peran, dan identitas federasi untuk menambahkan informasi otentikasi ke permintaan API Amazon Keyspaces (untuk Apache Cassandra) menggunakan proses Signature Version 4 (SiGv4).AWS Untuk informasi selengkapnya, lihat Membuat dan mengonfigurasi AWS kredensional untuk Amazon Keyspaces.

Lalu lintas antar AWS sumber daya di Wilayah yang sama

Endpoint VPC antarmuka memungkinkan komunikasi pribadi antara virtual private cloud (VPC) Anda yang berjalan di Amazon VPC dan Amazon Keyspaces. Endpoint VPC antarmuka didukung oleh AWS PrivateLink, yang merupakan AWS layanan yang memungkinkan komunikasi pribadi antara VPCs dan layanan. AWS AWS PrivateLink memungkinkan ini dengan menggunakan elastic network interface dengan pribadi IPs di VPC Anda sehingga lalu lintas jaringan tidak meninggalkan jaringan Amazon. Endpoint VPC antarmuka tidak memerlukan gateway internet, perangkat NAT, koneksi VPN, atau koneksi. AWS Direct Connect Untuk informasi selengkapnya, lihat titik akhir Amazon Virtual Private Cloud dan Interface VPC ().AWS PrivateLink Untuk kebijakan-kebijakan contoh, lihat Menggunakan titik akhir VPC antarmuka untuk Amazon Keyspaces.