互联网络流量隐私保护 - Amazon DynamoDB
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

互联网络流量隐私保护

Amazon DynamoDB 与本地应用程序之间,以及 DynamoDB 与同一 Amazon 区域内的其他 Amazon 资源之间的连接受到保护。

端点所需的策略

Amazon DynamoDB 提供了一个 DescribeEndpoints API,使您能够枚举区域端点信息。对于来自 VPC 端点的请求,IAM 和虚拟私有云(VPC)端点策略都必须使用 IAM dynamodb:DescribeEndpoints 操作,向发出请求的 Identity and Access Management(IAM)主体授权以进行 DescribeEndpoints API 调用。否则,将拒绝访问 DescribeEndpoints API。当您访问 DynamoDB 的公共端点时,DescribeEndpoints API 调用的 IAM 和 VPC 端点策略授权步骤不适用。

下面是端点策略的一个示例。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "(Include IAM Principals)", "Action": "dynamodb:DescribeEndpoints", "Resource": "*" } ] }

服务与本地客户端和应用之间的流量

私有网络和 Amazon 之间有两种连接方式:

通过网络访问 DynamoDB 通过 Amazon 发布的 API 进行。客户端必须支持传输层安全性(TLS)1.2。我们建议使用 TLS 1.3。客户端还必须支持具有完全向前保密 (PFS) 的密码套件,例如 Ephemeral Diffie-Hellman (DHE) 或 Elliptic Curve Diffie-Hellman Ephemeral (ECDHE)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。此外,必须使用与 IAM 主体关联的访问密钥 ID 和秘密访问密钥签名请求,或者可以使用 Amazon Security Token Service(STS)生成临时安全证书来签名请求。

同一区域中 Amazon 资源之间的流量

DynamoDB 的 Amazon Virtual Private Cloud (Amazon VPC) 端点是 VPC 内的逻辑实体,仅允许连接到 DynamoDB。Amazon VPC 将请求路由到 DynamoDB 并将响应路由回 VPC。有关更多信息,请参阅《Amazon VPC 用户指南》中的 VPC 端点。有关可以用于控制 VPC 端点访问的示例策略,请参阅使用 IAM 策略控制对 DynamoDB 的访问

注意

不能通过 Amazon Site-to-Site VPN 或 Amazon Direct Connect 访问 Amazon VPC 端点。