AWS PrivateLink per DynamoDB Streams - Amazon DynamoDB
Considerazioni sull’utilizzo di AWS PrivateLink per i flussi Amazon DynamoDBCreazione di un endpoint Amazon VPCAccesso agli endpoint di interfaccia dei flussi Amazon DynamoDBAccesso alle operazioni API dei flussi DynamoDB dagli endpoint di interfaccia dei flussi DynamoDBAWS Esempi SDKCreazione di una policy sugli endpoint Amazon VPCUtilizzo degli endpoint DynamoDB con accesso privato a Console di gestione AWS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS PrivateLink per DynamoDB Streams

Con AWS PrivateLink Amazon DynamoDB Streams, puoi fornire endpoint Amazon VPC di interfaccia (endpoint di interfaccia) nel tuo cloud privato virtuale (Amazon VPC). Questi endpoint sono accessibili direttamente dalle applicazioni locali tramite VPN e/o in un altro modo Regione AWS tramite il peering Amazon VPC. Direct Connect Utilizzando AWS PrivateLink e interfacciando gli endpoint, puoi semplificare la connettività di rete privata dalle tue applicazioni a DynamoDB Streams.

Le applicazioni presenti in Amazon VPC non richiedono indirizzi IP pubblici per comunicare con i flussi DynamoDB tramite gli endpoint Amazon VPC di interfaccia per le operazioni con i flussi DynamoDB. Gli endpoint dell'interfaccia sono rappresentati da una o più interfacce di rete elastiche (ENIs) a cui vengono assegnati indirizzi IP privati dalle sottoreti del tuo Amazon VPC. Le richieste ai flussi DynamoDB tramite gli endpoint di interfaccia rimangono nella rete Amazon. Puoi anche accedere agli endpoint di interfaccia nel tuo Amazon VPC da applicazioni locali Direct Connect tramite AWS Virtual Private Network o AWS (VPN). Per ulteriori informazioni su come connettersi alla rete locale, AWS Virtual Private Network consulta la Guida per l'utente e la Guida per Direct Connect l'utente.AWS Site-to-Site VPN

Per informazioni sulla creazione di endpoint di interfaccia, consulta Endpoint di interfaccia di Amazon VPC (AWS PrivateLink).

Nota

Per i flussi DynamoDB sono supportati solo gli endpoint di interfaccia. Gli endpoint gateway non sono supportati.

Le considerazioni relative ad Amazon VPC si applicano ad Amazon AWS PrivateLink DynamoDB Streams. Per ulteriori informazioni, consulta interface endpoint considerations e AWS PrivateLink quotas. Le restrizioni si applicano come segue.

AWS PrivateLink per Amazon DynamoDB Streams non supporta quanto segue:

  • Transport Layer Security (TLS) 1.1

  • Servizi del sistema dei nomi di dominio (DNS) privati e ibridi

Nota

I timeout di connettività di rete verso gli AWS PrivateLink endpoint non rientrano nell'ambito delle risposte di errore di DynamoDB Streams e devono essere gestiti in modo appropriato dalle applicazioni che si connettono agli endpoint. AWS PrivateLink

Per creare un endpoint Amazon VPC di interfaccia, consulta Create an Amazon VPC endpoint nella Guida ad AWS PrivateLink .

Quando si crea un endpoint di interfaccia, DynamoDB genera due tipi di nomi DNS dei flussi DynamoDB specifici dell’endpoint: Regionale e zonale.

  • Un nome DNS regionale include un ID endpoint Amazon VPC univoco, un identificatore di servizio, Regione AWSvpce.amazonaws.com la e nel nome. Ad esempio, per l’ID dell’endpoint Amazon VPC vpce-1a2b3c4d, il nome DNS generato potrebbe essere simile a vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com.

  • I nomi DNS zonali includono la zona di disponibilità, ad esempio vpce-1a2b3c4d-5e6f-us-east-1a.streams.dynamodb.us-east-1.vpce.amazonaws.com. Puoi utilizzare questa opzione se l'architettura isola le zone di disponibilità. Ad esempio, puoi utilizzarla per il contenimento degli errori o per ridurre i costi di trasferimento dei dati a livello regionale.

È possibile utilizzare AWS CLI o AWS SDKs per accedere alle operazioni dell'API DynamoDB Streams tramite gli endpoint dell'interfaccia DynamoDB Streams.

Per accedere a DynamoDB Streams o alle operazioni API tramite gli endpoint dell'interfaccia DynamoDB Streams nei comandi, utilizza i parametri and. AWS CLI --region --endpoint-url

Esempio: creazione di un endpoint VPC

aws ec2 create-vpc-endpoint \
--region us-east-1 \
--service-name com.amazonaws.us-east-1.dynamodb-streams \
--vpc-id client-vpc-id \
--subnet-ids client-subnet-id \
--vpc-endpoint-type Interface \
--security-group-ids client-sg-id

Esempio: modifica di un endpoint VPC

aws ec2 modify-vpc-endpoint \
--region us-east-1 \
--vpc-endpoint-id client-vpc-endpoint-id \
--policy-document policy-document \ #example optional parameter
--add-security-group-ids security-group-ids \ #example optional parameter 
# any additional parameters needed, see Privatelink documentation for more details

Esempio: creazione di un elenco di flussi utilizzando un URL dell’endpoint

Nell’esempio seguente, sostituisci la Regione us-east-1 e il nome DNS dell’ID dell’endpoint VPC vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com con le informazioni appropriate.

aws dynamodbstreams --region us-east-1 —endpoint https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com list-streams

Per accedere alle operazioni dell'API Amazon DynamoDB Streams tramite gli endpoint dell'interfaccia DynamoDB Streams quando si utilizza la, è necessario aggiornare la versione alla versione più recente. AWS SDKs SDKs Quindi configura i client per utilizzare un URL dell’endpoint per un’operazione API dei flussi DynamoDB tramite gli endpoint di interfaccia dei flussi DynamoDB.

SDK for Python (Boto3)
Esempio: utilizzo di un URL dell’endpoint per accedere a un flusso DynamoDB

Nell'esempio seguente, sostituisci la Regione us-east-1 e l'ID endpoint VPC https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com con le informazioni appropriate.

ddb_streams_client = session.client(
service_name='dynamodbstreams',
region_name='us-east-1',
endpoint_url='https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com'
)
SDK for Java 1.x
Esempio: utilizzo di un URL dell’endpoint per accedere a un flusso DynamoDB

Nell'esempio seguente, sostituisci la Regione us-east-1 e l'ID endpoint VPC https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com con le informazioni appropriate.

//client build with endpoint config  
final AmazonDynamoDBStreams dynamodbstreams = AmazonDynamoDBStreamsClientBuilder.standard().withEndpointConfiguration(
        new AwsClientBuilder.EndpointConfiguration(
                "https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com",
                Regions.DEFAULT_REGION.getName()
        )
).build();
SDK for Java 2.x
Esempio: utilizzo di un URL dell’endpoint per accedere a un flusso DynamoDB

Nell'esempio seguente, sostituisci la Regione us-east-1 e l'ID endpoint VPC https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com con le informazioni appropriate.

Region region = Region.US_EAST_1;
dynamoDbStreamsClient = DynamoDbStreamsClient.builder().region(region)
.endpointOverride(URI.create("https://vpce-1a2b3c4d-5e6f.streams.dynamodb.us-east-1.vpce.amazonaws.com"))
.build()

È possibile collegare una policy sugli endpoint all’endpoint Amazon VPC che controlla l’accesso ai flussi DynamoDB. Questa policy specifica le informazioni riportate di seguito:

  • Il principio AWS Identity and Access Management (IAM) che può eseguire azioni

  • Le azioni che possono essere eseguite

  • Le risorse sui cui si possono eseguire le azioni

È possibile creare una policy sugli endpoint che limita l’accesso solo a flussi DynamoDB specifici. Questo tipo di policy è utile se Servizi AWS nel tuo Amazon VPC ne hai altre che utilizzano DynamoDB Streams. La seguente policy sui flussi limita l’accesso solo al flusso 2025-02-20T11:22:33.444 collegato a DOC-EXAMPLE-TABLE. Per utilizzare questa policy sugli endpoint, sostituisci DOC-EXAMPLE-TABLE con il nome della tabella e 2025-02-20T11:22:33.444 con l’etichetta del flusso.

JSON
{
"Version":"2012-10-17",		 	 	 
  "Id": "Policy1216114807515",
  "Statement": [
    { "Sid": "Access-to-specific-stream-only",
      "Principal": "*",
      "Action": [
        "dynamodb:DescribeStream",
        "dynamodb:GetRecords"
      ],
      "Effect": "Allow",
      "Resource": ["arn:aws:dynamodb:us-east-1:111122223333:table/table-name/stream/2025-02-20T11:22:33.444"]
    }
  ]
}
Nota

Gli endpoint gateway non sono supportati nei flussi DynamoDB.

Utilizzo degli endpoint DynamoDB con accesso privato a Console di gestione AWS

È necessario configurare la configurazione DNS per DynamoDB e i flussi DynamoDB quando si utilizzano endpoint VPC con la console DynamoDB nell’Accesso privato alla Console di gestione AWS.

Per configurare DynamoDB in modo che sia accessibile Console di gestione AWS in Private Access, è necessario creare i due endpoint VPC seguenti:

  • com.amazonaws.<region>.dynamodb

  • com.amazonaws.<region>.dynamodb-streams

Durante la creazione degli endpoint VPC, accedi alla console Route53 e crea una zona ospitata privata per DynamoDB utilizzando l’endpoint Regionale dynamodb.us-east-1.amazonaws.com.

Crea i seguenti due record di alias nella zona ospitata privata:

  • dynamodb.<region>.amazonaws.com che instrada il traffico verso l’endpoint VPC com.amazonaws.<region>.dynamodb.

  • streams.dynamodb.<region>.amazonaws.com che instrada il traffico verso l’endpoint VPC com.amazonaws.<region>.dynamodb-streams.