本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Keyspaces 中的互联网络流量隐私
本主题介绍亚马逊密钥空间(适用于 Apache Cassandra)如何保护本地应用程序与亚马逊密钥空间之间的连接,以及亚马逊密钥空间与该密钥空间内的其他资源之间的连接。 AWS AWS 区域
服务与本地客户端和应用之间的流量
您的私有网络和以下两种连接方式可供选择 AWS:
一个 AWS Site-to-Site VPN 连接。有关更多信息,请参阅《AWS Site-to-Site VPN 用户指南》中的什么是 AWS Site-to-Site VPN?。
一个 Direct Connect 连接。有关更多信息,请参阅《Direct Connect 用户指南》中的什么是 Direct Connect?。
作为一项托管服务,Amazon Keyspaces(适用于 Apache Cassandra)受全球网络安全的保护。 AWS 有关 AWS 安全服务以及如何 AWS 保护基础设施的信息,请参阅AWS 云安全
您可以使用 AWS 已发布的 API 调用通过网络访问 Amazon Keyspaces。客户端必须支持以下内容:
-
传输层安全性协议(TLS)。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
-
具有完全向前保密 (PFS) 的密码套件,例如 DHE(短暂的)或 ECDHE(椭圆曲线短暂的 Diffie-Hellman)。 Diffie-Hellman大多数现代系统(如 Java 7 及更高版本)都支持这些模式。
Amazon Keyspaces 支持两种对客户端请求进行身份验证的方法。第一种方法使用特定于服务的凭证,这种凭证是为特定 IAM 用户生成的基于密码的凭证。您可以使用 IAM 控制台 AWS CLI、或 AWS API 创建和管理密码。有关更多信息,请参阅将 IAM 与 Amazon Keyspaces 结合使用。
第二种方法使用适用于 Cassandra 的开源 DataStax Java 驱动程序的身份验证插件。这一插件让 IAM 用户、角色和联合身份能够使用AWS 签名版本 4 流程 (Sigv4) 向 Amazon Keyspaces(Apache Cassandra 兼容)API 请求添加身份验证信息。有关更多信息,请参阅 为 Amazon Keyspaces 创建和配置 AWS 证书。
同一区域内 AWS 资源之间的流量
接口 VPC 端点可以在 Amazon VPC 中运行的虚拟私有云 (VPC) 与 Amazon Keyspaces 之间实现私有通信。接口 VPC 终端节点由提供支持 AWS PrivateLink,这是一项支持 VPC 和 AWS 服务之间私有通信的 AWS 服务。 AWS PrivateLink 通过在您的 VPC 中使用带有私有 IP 的 elastic network interface 来实现这一点,这样网络流量就不会离开亚马逊网络。接口 VPC 终端节点不需要互联网网关、NAT 设备、VPN 连接或 Direct Connect 连接。有关更多信息,请参阅 Amazon Virtual Private Cloud 和 接口 VPC 端点 (AWS PrivateLink)。有关示例策略,请参阅 将接口 VPC 端点用于 Amazon Keyspaces。
