使用 Amazon VPC 端点来访问 DynamoDB
出于安全原因,许多Amazon客户在 Amazon Virtual Private Cloud 环境(Amazon VPC)中运行其应用程序。利用 Amazon VPC,您可以在 Virtual Private Cloud 中启动 Amazon EC2 实例,Virtual Private Cloud 在逻辑上与其他网络(包括公共互联网)隔离。对于 Amazon VPC,您可以控制该网络的 IP 地址范围、子网、路由表、网络网关和安全设置。
如果您的 Amazon 账户是在 2013 年 12 月 4 目之后创建的,则您在每个 Amazon 区域中都已经有一个默认 VPC。默认 VPC 可供您使用,您立即开始使用该 VPC,而无需执行任何其他配置步骤。
有关默认 VPC 的更多信息,请参阅 Amazon VPC 用户指南中的默认 VPC 和默认子网。
要访问公共互联网,您的 VPC 必须有一个互联网网关 — 一个将您的 VPC 连接到互联网的虚拟路由器。这允许在 VPC 中的 Amazon EC2 上运行的应用程序访问互联网资源,例如 Amazon DynamoDB。
默认情况下,与 DynamoDB 之间的通信使用 HTTPS 协议,该协议通过使用 SSL/TLS 加密来保护网络流量。下图说明 VPC 中的 EC2 实例如何访问 DynamoDB:
许多客户对跨公共 Internet 发送和接收数据存在合理的私密性和安全性担心。客户可以利用虚拟专用网络 (VPN),通过自己的企业网络基础设施路由所有 DynamoDB 网络流量,从而消除这些担心。不过,此方法可能会带来带宽和可用性方面的难题。
DynamoDB 的 VPC 终端节点可以克服这些难题。DynamoDB 的 VPC 终端节点使 VPC 中的 Amazon EC2 实例可以使用其私有 IP 地址访问 DynamoDB,而无需接触公共互联网。EC2 实例不需要公有 IP 地址,因此您的 VPC 中不需要有互联网网关、NAT 设备或虚拟专用网关。您使用终端节点策略控制对 DynamoDB 的访问。您的 VPC 和 Amazon 服务之间的流量不会脱离 Amazon 网络。
在为 DynamoDB 创建 VPC 终端节点时,发送到区域(如 dynamodb.us-west-2.amazonaws.com)内的 DynamoDB 终端节点的任何请求都被路由到 Amazon 网络中的私有 DynamoDB 终端节点。您无需修改在 VPC 中的 EC2 实例上运行的应用程序。您不需要修改正在 VPC 中的 EC2 实例上运行的应用程序 终端节点名称保持不变,但到 DynamoDB 的路由会完全保留在 Amazon 网络中,不会访问公共互联网。
下图说明 VPC 中的 EC2 实例如何使用 VPC 终端节点访问 DynamoDB。
有关更多信息,请参阅教程:将 VPC 端点用于 DynamoDB。