本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 VPC 端點與 IAM 政策強化 DynamoDB 連線安全性
<a name="inter-network-traffic-privacy"></a>

Amazon DynamoDB 和內部部署應用程式之間，以及 DynamoDB 和相同 AWS 區域內其他 AWS 資源之間的連線都會受到保護。

## 端點所需的政策
<a name="inter-network-traffic-DescribeEndpoints"></a>

Amazon DynamoDB 提供 [DescribeEndpoints](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_DescribeEndpoints.html) API，可讓您列舉區域端點資訊。對於公用 DynamoDB 端點的請求，即使 IAM 或 VPC 端點政策中設定了明確或隱含的拒絕條件，API 仍會回應，而不受 DynamoDB IAM 政策影響。這是因為 DynamoDB 會刻意略過 `DescribeEndpoints` API 的授權程序。

對於來自 VPC 端點的請求，IAM 和虛擬私有雲端 (VPC) 端點政策都必須使用 IAM `dynamodb:DescribeEndpoints` 動作針對請求身分和存取管理 (IAM) 主體授權 `DescribeEndpoints` API 呼叫。否則，將拒絕存取 `DescribeEndpoints` API。

以下是端點政策的範例。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::{{111122223333}}:root"
            },
            "Action": "dynamodb:DescribeEndpoints",
            "Resource": "*"
        }
    ]
}
```

------

## 服務和內部部署用戶端與應用程式之間的流量。
<a name="inter-network-traffic-privacy-on-prem"></a>

您的私有網路與 之間有兩個連線選項 AWS：
+  AWS Site-to-Site VPN 連線。如需詳細資訊，請參閱《 AWS Site-to-Site VPN使用者指南**》中的[什麼是AWS Site-to-Site VPN ？](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)。
+  Direct Connect 連線。如需詳細資訊，請參閱《 Direct Connect使用者指南**》中的[什麼是Direct Connect ？](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)。

透過網路存取 DynamoDB 是透過 AWS 發佈APIs。用戶端必須支援 Transport Layer Security (TLS) 1.2。我們建議使用 TLS 1.3。用戶端還必須支援具備完全正向加密 (PFS) 功能的密碼套件，例如臨時 Diffie-Hellman (DHE) 或橢圓曲線臨時 Diffie-Hellman (ECDHE)。現代系統 (如 Java 7 和更新版本) 大多會支援這些模式。此外，您必須使用存取金鑰 ID，以及與 IAM 主體相關聯的私密存取金鑰來簽署請求，或者您可以使用 [AWS Security Token Service (STS)](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) 來產生臨時安全憑證來簽署請求。

## 相同區域中 AWS 資源之間的流量
<a name="inter-network-traffic-privacy-within-region"></a>

適用於 DynamoDB 的 Amazon Virtual Private Cloud (Amazon VPC) 端點是 VPC 中的邏輯實體，僅允許連線到 DynamoDB。Amazon VPC 會將請求路由至 DynamoDB，並將回應路由回 VPC。如需詳細資訊，請參閱《Amazon VPC 使用者指南》中的 [VPC 端點](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)。如需可從 VPC 端點控制存取權限的政策範例，請參閱[使用 IAM 政策控制對 DynamoDB 的存取](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-ddb.html)。

**注意**  
Amazon VPC 端點無法透過 AWS Site-to-Site VPN 或 存取 Direct Connect。