本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon Keyspaces 中的互联网络流量隐私
<a name="inter-network-traffic-privacy"></a>

本主题介绍亚马逊密钥空间（适用于 Apache Cassandra）如何保护本地应用程序与亚马逊密钥空间之间的连接，以及亚马逊密钥空间与该密钥空间内的其他资源之间的连接。 Amazon Amazon Web Services 区域

## 服务与本地客户端和应用之间的流量
<a name="inter-network-traffic-privacy-on-prem"></a>

您的私有网络和以下两种连接方式可供选择 Amazon：
+ 一个 Amazon Site-to-Site VPN 连接。有关更多信息，请参阅《Amazon Site-to-Site VPN 用户指南》**中的[什么是 Amazon Site-to-Site VPN？](https://docs.amazonaws.cn/vpn/latest/s2svpn/VPC_VPN.html)。
+ 一个 Amazon Direct Connect 连接。有关更多信息，请参阅《Amazon Direct Connect 用户指南》**中的[什么是 Amazon Direct Connect？](https://docs.amazonaws.cn/directconnect/latest/UserGuide/Welcome.html)。

作为一项托管服务，Amazon Keyspaces（适用于 Apache Cassandra）受全球网络安全的保护。 Amazon 有关 Amazon 安全服务以及如何 Amazon 保护基础设施的信息，请参阅[Amazon 云安全](https://www.amazonaws.cn/security/)。要使用基础设施安全的最佳实践来设计您的 Amazon 环境，请参阅 S * Amazon ecurity Pillar Well-Architected Fram* ework 中的[基础设施保护](https://docs.amazonaws.cn/wellarchitected/latest/security-pillar/infrastructure-protection.html)。

您可以使用 Amazon 已发布的 API 调用通过网络访问 Amazon Keyspaces。客户端必须支持以下内容：
+ 传输层安全性协议（TLS）。我们要求使用 TLS 1.2，建议使用 TLS 1.3。
+ 具有完全向前保密 (PFS) 的密码套件，例如 DHE（短暂的）或 ECDHE（椭圆曲线短暂的 Diffie-Hellman）。 Diffie-Hellman大多数现代系统（如 Java 7 及更高版本）都支持这些模式。

Amazon Keyspaces 支持两种对客户端请求进行身份验证的方法。第一种方法使用特定于服务的凭证，这种凭证是为特定 IAM 用户生成的基于密码的凭证。您可以使用 IAM 控制台 Amazon CLI、或 Amazon API 创建和管理密码。有关更多信息，请参阅[将 IAM 与 Amazon Keyspaces 结合使用](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_mcs.html)。

第二种方法使用适用于 Cassandra 的开源 DataStax Java 驱动程序的身份验证插件。这一插件让 [IAM 用户、角色和联合身份](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles.html)能够使用[Amazon 签名版本 4 流程 (Sigv4)](https://docs.amazonaws.cn/general/latest/gr/signature-version-4.html) 向 Amazon Keyspaces（Apache Cassandra 兼容）API 请求添加身份验证信息。有关更多信息，请参阅 [为 Amazon Keyspaces 创建和配置 Amazon 证书](access.credentials.md)。

## 同一区域内 Amazon 资源之间的流量
<a name="inter-network-traffic-privacy-within-region"></a>

接口 VPC 端点可以在 Amazon VPC 中运行的虚拟私有云 (VPC) 与 Amazon Keyspaces 之间实现私有通信。接口 VPC 终端节点由提供支持 Amazon PrivateLink，这是一项支持 VPC 和 Amazon 服务之间私有通信的 Amazon 服务。 Amazon PrivateLink 通过在您的 VPC 中使用带有私有 IP 的 elastic network interface 来实现这一点，这样网络流量就不会离开亚马逊网络。接口 VPC 终端节点不需要互联网网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接。有关更多信息，请参阅 [Amazon Virtual Private Cloud](https://docs.amazonaws.cn/vpc/latest/userguide/) 和 [接口 VPC 端点 (Amazon PrivateLink)](https://docs.amazonaws.cn/vpc/latest/privatelink/vpce-interface.html)。有关示例策略，请参阅 [将接口 VPC 端点用于 Amazon Keyspaces](vpc-endpoints.md#using-interface-vpc-endpoints)。