Protezione delle connessioni DynamoDB attraverso endpoint VPC e policy IAM - Amazon DynamoDB
Policy richieste per gli endpointTraffico tra servizio e applicazioni e client localiTraffico tra risorse AWS nella stessa Regione

Protezione delle connessioni DynamoDB attraverso endpoint VPC e policy IAM

Le connessioni tra Amazon DynamoDB e le applicazioni on-premise e tra DynamoDB e altre risorse AWS all'interno della stessa regione AWS sono protette.

Policy richieste per gli endpoint

Amazon DynamoDB fornisce un’API DescribeEndpoints che consente di enumerare le informazioni sugli endpoint Regionali. Per le richieste agli endpoint DynamoDB pubblici, l’API risponde indipendentemente dalla policy IAM di DynamoDB configurata, anche se esiste una negazione esplicita o implicita nella policy IAM o negli endpoint VPC. Questo perché DynamoDB ignora intenzionalmente l’autorizzazione per l’API DescribeEndpoints.

Per le richieste da un endpoint VPC, sia le policy IAM che del cloud privato virtuale (VPC) degli endpoint devono autorizzare la chiamata API DescribeEndpoints per i principali di Identity and Access Management (IAM) richiedenti utilizzando l'operazione IAM dynamodb:DescribeEndpoints. In caso contrario, l'accesso all'API DescribeEndpoints verrà negato.

Di seguito è riportato un esempio di una policy di endpoint.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": "dynamodb:DescribeEndpoints",
            "Resource": "*"
        }
    ]
}

Traffico tra servizio e applicazioni e client locali

Sono disponibili due opzioni di connettività tra la rete privata e AWS:

  • Una connessione AWS Site-to-Site VPN. Per ulteriori informazioni, consulta Che cos'è AWS Site-to-Site VPN? nella Guida per l'utente di AWS Site-to-Site VPN.

  • Una connessione Direct Connect. Per ulteriori informazioni, consulta Che cos'è Direct Connect? nella Guida per l'utente di Direct Connect.

L'accesso a DynamoDB tramite la rete avviene attraverso le API pubblicate da AWS. I client devono supportare Transport Layer Security (TLS) 1.2. È consigliabile TLS 1.3. I client devono inoltre supportare le suite di cifratura con PFS (Perfect Forward Secrecy), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Diffie-Hellman Ephemeral (ECDHE). La maggior parte dei sistemi moderni come Java 7 e versioni successive, supporta tali modalità. Inoltre, è necessario firmare le richieste utilizzando un ID chiave di accesso e la chiave di accesso segreta associate a un principale IAM, oppure è possibile utilizzare AWS Security Token Service (STS) per generare le credenziali di sicurezza temporanee per firmare le richieste.

Traffico tra risorse AWS nella stessa Regione

Un endpoint Amazon Virtual Private Cloud (Amazon VPC) per DynamoDB è un'entità logica all'interno di un VPC che consente la connettività solo a DynamoDB. Amazon VPC instrada le richieste ad DynamoDB e reindirizza le risposte al VPC. Per ulteriori informazioni, consultare Endpoint VPC nella Guida per l'utente di Amazon VPC. Per le policy di esempio che possono essere utilizzate per controllare l'accesso da endpoint VPC, consulta Utilizzo delle policy IAM per controllare l'accesso a DynamoDB.

Nota

Gli endpoint Amazon VPC non sono accessibili tramite AWS Site-to-Site VPN o Direct Connect.