亚马逊密钥空间中的网际流量隐私 - Amazon Keyspaces (for Apache Cassandra)
服务与本地客户端和应用之间的流量同一区域中 Amazon 资源之间的流量
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

亚马逊密钥空间中的网际流量隐私

本主题介绍亚马逊密钥空间(适用于 Apache Cassandra)如何保护从本地应用程序到亚马逊密钥空间的连接以及亚马逊密钥空间与同一密钥空间中的其他资源之间的连接。Amazon Amazon Web Services 区域

服务与本地客户端和应用之间的流量

私有网络和 Amazon 之间有两种连接方式:

作为一项托管服务,亚马逊密钥空间(适用于Apache Cassandra)受到全球网络安全的保护。Amazon有关 Amazon 安全服务以及 Amazon 如何保护基础架构的信息,请参阅 Amazon 云安全。要按照基础设施安全最佳实践设计您的 Amazon 环境,请参阅《安全性支柱 Amazon Well‐Architected Framework》中的 基础设施保护

您可以使用Amazon已发布的 API 调用通过网络访问亚马逊密钥空间。客户端必须支持以下内容:

  • 传输层安全性协议(TLS) 我们要求使用 TLS 1.2,建议使用 TLS 1.3。

  • 具有完全向前保密 (PFS) 的密码套件,例如 DHE(Ephemeral Diffie-Hellman)或 ECDHE(Elliptic Curve Ephemeral Diffie-Hellman)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。

此外,必须使用访问密钥 ID 和与 IAM 委托人关联的秘密访问密钥来对请求进行签名。或者,您可以使用 Amazon Security Token Service (Amazon STS) 生成临时安全凭证来对请求进行签名。

亚马逊密钥空间支持两种对客户端请求进行身份验证的方法。第一种方法使用特定服务证书,即为特定 IAM 用户生成的基于密码的证书。您可以使用 IAM 控制台Amazon CLI、或 Amazon API 创建和管理密码。有关更多信息,请参阅在亚马逊密钥空间中使用 IAM

第二种方法使用 Cassandr DataStax a 开源 Java 驱动程序的身份验证插件。此插件允许 IAM 用户、角色和联合身份使用Amazon签名版本 4 流程 (Sigv4) 向亚马逊密钥空间(适用于 Apache Cassandra)API 请求添加身份验证信息。有关更多信息,请参阅如何为亚马逊Keyspaces 创建和配置Amazon证书

同一区域中 Amazon 资源之间的流量

接口 VPC 终端节点支持在亚马逊 VPC 中运行的虚拟私有云 (VPC) 和亚马逊密钥空间之间进行私有通信。接口 VPC 终端节点由 Amazon PrivateLink 支持,这是一种实现 VPC 与 Amazon 服务之间私有通信的 Amazon 服务。Amazon PrivateLink 通过对 VPC 中的私有 IP 使用弹性网络接口启用此功能,以便网络流量不会离开 Amazon 网络。接口 VPC 终端节点不需要 Internet 网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接。有关更多信息,请参阅 Amazon 虚拟私有云接口 VPC 终端节点 (Amazon PrivateLink)。有关示例策略,请参阅 将接口 VPC 终端节点用于亚马逊Keyspaces