J'ai essayé de trouver un moyen de mettre DynamoDB dans un VPC mais ne pouvait pas trouver jusqu'à présent.
Pour Lambda, il peut être à l'intérieur d'un VPC avec Eni ayant une adresse IP à partir d'un sous-réseau VPC, puis le Lambda n'a pas de connectivité Internet sans NAT.
Veuillez confirmer, DynamoDB n'a pas de fonctionnalité de ce type et il est toujours sur Internet, bien que nous puissions acheminer le trafic de ne pas accéder à Internet via Dynamodb VPC EndPoint.
3 Réponses :
c'est correct. Vous pouvez utiliser des stratégies IAM avec des conditions pour limiter l'accès au VPC, cependant. restreindre l'accès à un VPC spécifique
Il semble que l'accès limite de VPC n'est pas applicable à DynamoDB comme dans Stackoverflow.com/Questtions/42969560/... . Le document concerne S3.
Il est vrai que vous ne pouvez pas restreindre globalement l'accès à DynamoDB à un VPC, mais vous pouvez limiter l'accès à une stratégie individuelle pour exiger qu'il vienne d'un VPC. Vous pouvez appliquer cette limitation à toutes les politiques qui ont accès.
Vous avez raison, dynamodb toujours sur Internet. Est-ce que ça vous dérange? Accès à Dynamodb refusé sans authentification IAM
Merci pour la réponse. Cela ne se dérange pas, mais juste pour doubler de confirmer qu'il n'y a pas de telle option comme Lambda à mettre dans VPC pour DynamoDB.
Vous pouvez avoir accès à DynamoDB à partir de votre VPC via des points d'extrémité VPC, mais il ne limite pas l'accès à Internet aux tables. C'est seulement pour l'amélioration de la latence
Sécurité préventive dynamodb Meilleures pratiques - TLDR, points principaux -
1. Utilisez des conditions de stratégie IAM pour le contrôle d'accès à grain fine
2. Utilisez un point d'extrémité et des stratégies VPC pour accéder à Dynamodb
3. Cryptage au repos
4. Utilisez les rôles IAM
Ce que vous dites est correct.