J'ai essayé de trouver un moyen de mettre DynamoDB dans un VPC mais ne pouvait pas trouver jusqu'à présent. p>
Pour Lambda, il peut être à l'intérieur d'un VPC avec Eni ayant une adresse IP à partir d'un sous-réseau VPC, puis le Lambda n'a pas de connectivité Internet sans NAT. P>
Veuillez confirmer, DynamoDB n'a pas de fonctionnalité de ce type et il est toujours sur Internet, bien que nous puissions acheminer le trafic de ne pas accéder à Internet via Dynamodb VPC EndPoint. P>
3 Réponses :
c'est correct. Vous pouvez utiliser des stratégies IAM avec des conditions pour limiter l'accès au VPC, cependant. restreindre l'accès à un VPC spécifique P>
Il semble que l'accès limite de VPC n'est pas applicable à DynamoDB comme dans Stackoverflow.com/Questtions/42969560/... . Le document concerne S3.
Il est vrai que vous ne pouvez pas restreindre globalement l'accès à DynamoDB à un VPC, mais vous pouvez limiter l'accès à une stratégie individuelle pour exiger qu'il vienne d'un VPC. Vous pouvez appliquer cette limitation à toutes les politiques qui ont accès.
Vous avez raison, dynamodb toujours sur Internet. Est-ce que ça vous dérange? Accès à Dynamodb refusé sans authentification IAM p>
Merci pour la réponse. Cela ne se dérange pas, mais juste pour doubler de confirmer qu'il n'y a pas de telle option comme Lambda à mettre dans VPC pour DynamoDB.
Vous pouvez avoir accès à DynamoDB à partir de votre VPC via des points d'extrémité VPC, mais il ne limite pas l'accès à Internet aux tables. C'est seulement pour l'amélioration de la latence
Sécurité préventive dynamodb Meilleures pratiques - strong> TLDR, points principaux -
p>
1. Utilisez des conditions de stratégie IAM pour le contrôle d'accès à grain fine
2. Utilisez un point d'extrémité et des stratégies VPC pour accéder à Dynamodb
3. Cryptage au repos
4. Utilisez les rôles IAM P>
Ce que vous dites est correct.