Amazon Keyspaces 中的互联网络流量隐私 - Amazon Keyspaces(Apache Cassandra 兼容)
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Keyspaces 中的互联网络流量隐私

本主题介绍 Amazon Keyspaces(Apache Cassandra 兼容)如何保护本地应用程序与 Amazon Keyspaces 之间的连接,以及 Amazon Keyspaces 与同一 Amazon Web Services 区域内的其他 Amazon 资源之间的连接。

服务与本地客户端和应用之间的流量

私有网络和 Amazon 之间有两种连接方式:

作为一项托管式服务,Amazon Keyspaces(Apache Cassandra 兼容)受 Amazon 全球网络安全保护。有关 Amazon 安全服务以及 Amazon 如何保护基础架构的信息,请参阅 Amazon 云安全。要按照基础设施安全最佳实践设计您的 Amazon 环境,请参阅《安全性支柱 Amazon Well‐Architected Framework》中的 基础设施保护

您可以使用 Amazon 发布的 API 调用,通过网络访问 Amazon Keyspaces。客户端必须支持以下内容:

  • 传输层安全性协议(TLS) 我们要求使用 TLS 1.2,建议使用 TLS 1.3。

  • 具有完全向前保密(PFS)的密码套件,例如 DHE(Ephemeral Diffie-Hellman)或 ECDHE(Elliptic Curve Ephemeral Diffie-Hellman)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。

此外,必须使用访问密钥 ID 和与 IAM 委托人关联的秘密访问密钥来对请求进行签名。或者,您可以使用 Amazon Security Token Service(Amazon STS)生成临时安全凭证来对请求进行签名。

Amazon Keyspaces 支持两种对客户端请求进行身份验证的方法。第一种方法使用特定于服务的凭证,这种凭证是为特定 IAM 用户生成的基于密码的凭证。您可以使用 IAM 控制台、Amazon CLI、或 Amazon API 来创建和管理密码。有关更多信息,请参阅将 IAM 与 Amazon Keyspaces 结合使用

第二种方法使用适用于 Cassandra 的开源 DataStax Java 驱动程序的身份验证插件。这一插件让 IAM 用户、角色和联合身份能够使用Amazon签名版本 4 流程 (Sigv4) 向 Amazon Keyspaces(Apache Cassandra 兼容)API 请求添加身份验证信息。有关更多信息,请参阅如何为 Amazon Keyspaces 创建和配置 Amazon 凭证

同一区域中 Amazon 资源之间的流量

接口 VPC 端点可以在 Amazon VPC 中运行的虚拟私有云 (VPC) 与 Amazon Keyspaces 之间实现私有通信。接口 VPC 终端节点由 Amazon PrivateLink 支持,这是一种实现 VPC 与 Amazon 服务之间私有通信的 Amazon 服务。Amazon PrivateLink 通过对 VPC 中的私有 IP 使用弹性网络接口启用此功能,以便网络流量不会离开 Amazon 网络。接口 VPC 终端节点不需要 Internet 网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接。有关更多信息,请参阅 Amazon Virtual Private Cloud接口 VPC 端点 (Amazon PrivateLink)。有关示例策略,请参阅 将接口 VPC 端点用于 Amazon Keyspaces