端点所需的策略服务与本地客户端和应用之间的流量同一区域中 Amazon 资源之间的流量

互联网络流量隐私保护

Amazon DynamoDB 和本地应用程序之间以及 DynamoDB 与同一区域内其他资源之间的连接都受到保护。 Amazon Amazon

端点所需的策略

Amazon DynamoDB 提供了一个 DescribeEndpoints API，使您能够枚举区域端点信息。对于来自 VPC 端点的请求，IAM 和虚拟私有云（VPC）端点策略都必须使用 IAM dynamodb:DescribeEndpoints 操作，向发出请求的 Identity and Access Management（IAM）主体授权以进行 DescribeEndpoints API 调用。否则，将拒绝访问 DescribeEndpoints API。当您访问 DynamoDB 的公共终端节点时，DescribeEndpointsAPI 调用的 IAM 和 VPC 终端节点策略授权步骤不适用。

下面是端点策略的一个示例。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "(Include IAM Principals)",
            "Action": "dynamodb:DescribeEndpoints",
            "Resource": "*"
        }
    ]
}

服务与本地客户端和应用之间的流量

您的私有网络和以下两种连接方式可供选择 Amazon：

一个 Amazon Site-to-Site VPN 连接。有关更多信息，请参阅Amazon Site-to-Site VPN 《用户指南》中的什么是 Amazon Site-to-Site VPN？。
一个 Amazon Direct Connect 连接。有关更多信息，请参阅Amazon Direct Connect 《用户指南》中的什么是 Amazon Direct Connect？。

通过网络访问 DynamoDB 需要通过已发布的 Amazon API。客户端必须支持传输层安全性（TLS）1.2。我们建议使用 TLS 1.3。客户端还必须支持具有完全向前保密 (PFS) 的密码套件，例如 Ephemeral Diffie-Hellman (DHE) 或 Elliptic Curve Diffie-Hellman Ephemeral (ECDHE)。大多数现代系统（如 Java 7 及更高版本）都支持这些模式。此外，必须使用与 IAM 主体关联的访问密钥 ID 和秘密访问密钥签名请求，或者可以使用 Amazon Security Token Service （STS）生成临时安全证书来签名请求。

同一区域中 Amazon 资源之间的流量

DynamoDB 的 Amazon Virtual Private Cloud (Amazon VPC) 端点是 VPC 内的逻辑实体，仅允许连接到 DynamoDB。Amazon VPC 将请求路由到 DynamoDB 并将响应路由回 VPC。有关更多信息，请参阅《Amazon VPC 用户指南》中的 VPC 端点。有关可以用于控制 VPC 端点访问的示例策略，请参阅使用 IAM 策略控制对 DynamoDB 的访问。

注意

无法通过 Amazon Site-to-Site VPN 或访问 Amazon VPC 终端节点 Amazon Direct Connect。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

DAX 中的数据保护

IAM