# Proteger as conexões do DynamoDB usando endpoints da VPC e políticas do IAM
As conexões são protegidas entre o Amazon DynamoDB e as aplicações on-premises e entre o DynamoDB e outros recursos da AWS na mesma região da AWS.
## Política necessária para endpoints
O Amazon DynamoDB fornece uma API [DescribeEndpoints](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_DescribeEndpoints.html) que permite enumerar informações de endpoints regionais. Para solicitações aos endpoints públicos do DynamoDB, a API responde independentemente da política do IAM configurada para o DynamoDB, mesmo que haja uma negação explícita ou implícita na política do IAM ou do endpoint da VPC. Isso ocorre porque o DynamoDB ignora intencionalmente a autorização para a API `DescribeEndpoints`.
Para solicitações de um endpoint da VPC, as políticas de endpoint do IAM e da nuvem privada virtual (VPC) devem autorizar a chamada de API `DescribeEndpoints` para as entidades principais do Identity and Access Management (IAM) solicitantes usando a ação do IAM `dynamodb:DescribeEndpoints`. Caso contrário, o acesso à API `DescribeEndpoints` será negado.
Veja a seguir um exemplo de uma política de endpoints.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111122223333}}:root"
},
"Action": "dynamodb:DescribeEndpoints",
"Resource": "*"
}
]
}
```
------
## Tráfego entre clientes de serviço e on-premises e as aplicações
Você tem duas opções de conectividade entre sua rede privada e a AWS:
+ Uma conexão do AWS Site-to-Site VPN. Para obter mais informações, consulte [O que é o AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) no * Guia do usuário do AWS Site-to-Site VPN*.
+ Uma conexão do Direct Connect. Para obter mais informações, consulte [O que é o Direct Connect?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) no * Guia do usuário do Direct Connect*.
O acesso ao DynamoDB via rede é feito por meio de APIs publicadas pela AWS. Os clientes devem ser compatíveis com o Transport Layer Security (TLS) 1.2. Recomendamos o TLS 1.3. Os clientes também devem ter suporte a pacotes de criptografia com sigilo de encaminhamento perfeito (PFS) como Ephemeral Diffie-Hellman (DHE) ou Ephemeral Elliptic Curve Diffie-Hellman (ECDHE). A maioria dos sistemas modernos como Java 7 e versões posteriores oferece suporte a esses modos. Além disso, você deve assinar solicitações usando um ID da chave de acesso e uma chave de acesso secreta associados a uma entidade principal do IAM. Ou você pode usar o [AWS Security Token Service (STS)](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) para gerar credenciais de segurança temporárias para assinar solicitações.
## Tráfego entre recursos da AWS na mesma região
Um endpoint da Amazon Virtual Private Cloud (Amazon VPC) para DynamoDB é uma entidade lógica dentro de uma VPC que permite conectividade apenas com o DynamoDB. A Amazon VPC encaminha as solicitações para o DynamoDB e roteia as respostas de volta para a VPC. Para obter mais informações, consulte [Endpoints da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) no *Guia do usuário da Amazon VPC*. Para obter exemplos de políticas que podem ser usadas para controlar o acesso a partir de endpoints da VPC, consulte [Usar políticas do IAM para controlar o acesso ao DynamoDB](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-ddb.html).
**nota**
Os endpoints da Amazon VPC não podem ser acessados via AWS Site-to-Site VPN ou Direct Connect.