Amazon Keyspaces 中的互联网络流量隐私 - Amazon Keyspaces(针对 Apache Cassandra)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Keyspaces 中的互联网络流量隐私

本主题介绍 Amazon Keyspaces (for Apache Cassandra) 如何保护从本地应用程序到 Amazon Keyspaces 以及 Amazon Keyspaces 与同一 AWS 区域内的其他 AWS 资源之间的连接。

服务与本地客户端和应用之间的流量

在您的私有网络和 AWS 之间有两个连接选项:

通过网络访问 Amazon Keyspaces 是通过 AWS 发布的 APIs 进行的。客户端必须支持传输层安全性 (TLS) 1.0。建议使用 TLS 1.2 或更高版本。客户端还必须支持具有完全向前保密 (PFS) 的密码套件,例如 Ephemeral Diffie-Hellman (DHE) 或 Elliptic Curve Diffie-Hellman Ephemeral (ECDHE)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。

Amazon Keyspaces 支持两种方法对客户端请求进行身份验证。第一种方法使用服务特定凭证,这些凭证是为特定 AWS AWS Identity and Access Management (IAM) 用户生成的基于密码的凭证。您可以使用 IAM 控制台、AWS CLI 或 AWS API 创建和管理密码。有关更多信息,请参阅将 IAM 与 Amazon Keyspaces 结合使用。

第二种方法使用适用于 Cassandra 的开源 DataStax Java 驱动程序的身份验证插件。此插件使 IAM 用户、角色和联合身份能够使用 AWS 签名版本 4 流程 (SigV4 将身份验证信息添加到 Amazon Keyspaces (for Apache Cassandra) API 请求中。有关更多信息,请参阅以编程方式连接到 Amazon Keyspaces

同一区域中 AWS 资源之间的流量

接口 VPC 终端节点可在 Amazon VPC 中运行的 Virtual Private Cloud (VPC) 与 Amazon Keyspaces 之间实现私有通信。接口 VPC 终端节点由 AWS PrivateLink 提供支持,AWS PrivateLink 是一项可在 VPCs 和 AWS 服务之间实现私有通信的 AWS 服务。AWS PrivateLink 通过将弹性网络接口与 VPC 中的私有 IPs结合使用来实现这一点,以便网络流量不会离开 Amazon 网络。接口 VPC 终端节点不需要 Internet 网关、NAT 设备、VPN 连接或 AWS Direct Connect 连接。有关更多信息,请参阅 Amazon Virtual Private Cloud接口 VPC 终端节点 (AWS PrivateLink 有关示例策略,请参阅 将接口 VPC 终端节点用于 Amazon Keyspaces