Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Protezione delle connessioni DynamoDB attraverso endpoint VPC e policy IAM
Le connessioni sono protette sia tra Amazon DynamoDB e le applicazioni locali sia tra DynamoDB e altre risorse all'interno della stessa regione. AWS AWS
## Policy richieste per gli endpoint
Amazon DynamoDB fornisce un'API [DescribeEndpoints](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_DescribeEndpoints.html) che consente di enumerare le informazioni sugli endpoint regionali. Per le richieste agli endpoint DynamoDB pubblici, l’API risponde indipendentemente dalla policy IAM di DynamoDB configurata, anche se esiste una negazione esplicita o implicita nella policy IAM o negli endpoint VPC. Questo perché DynamoDB ignora intenzionalmente l’autorizzazione per l’API `DescribeEndpoints`.
Per le richieste da un endpoint VPC, sia le policy IAM che del cloud privato virtuale (VPC) degli endpoint devono autorizzare la chiamata API `DescribeEndpoints` per i principali di Identity and Access Management (IAM) richiedenti utilizzando l'operazione IAM `dynamodb:DescribeEndpoints`. In caso contrario, l'accesso all'API `DescribeEndpoints` verrà negato.
Di seguito è riportato un esempio di una policy di endpoint.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "dynamodb:DescribeEndpoints",
"Resource": "*"
}
]
}
```
------
## Traffico tra servizio e applicazioni e client locali
Sono disponibili due opzioni di connettività tra la rete privata e: AWS
+ Una AWS Site-to-Site VPN connessione. Per ulteriori informazioni, consulta [Che cos’è AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) nella *Guida per l’utente di AWS Site-to-Site VPN *.
+ Una Direct Connect connessione. Per ulteriori informazioni, consulta [Che cos’è Direct Connect?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) nella *Guida per l’utente di Direct Connect *.
L'accesso a DynamoDB tramite la rete avviene tramite published. AWS APIs I client devono supportare Transport Layer Security (TLS) 1.2. È consigliabile TLS 1.3. I client devono inoltre supportare le suite di cifratura con PFS (Perfect Forward Secrecy), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Diffie-Hellman Ephemeral (ECDHE). La maggior parte dei sistemi moderni come Java 7 e versioni successive, supporta tali modalità. Inoltre, è necessario firmare le richieste utilizzando un ID chiave di accesso e la chiave di accesso segreta associate a un principale IAM, oppure è possibile utilizzare [AWS Security Token Service (STS)](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) per generare le credenziali di sicurezza temporanee per firmare le richieste.
## Traffico tra AWS risorse nella stessa regione
Un endpoint Amazon Virtual Private Cloud (Amazon VPC) per DynamoDB è un'entità logica all'interno di un VPC che consente la connettività solo a DynamoDB. Amazon VPC instrada le richieste ad DynamoDB e reindirizza le risposte al VPC. Per ulteriori informazioni, consultare [Endpoint VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) nella *Guida per l'utente di Amazon VPC*. Per le policy di esempio che possono essere utilizzate per controllare l'accesso da endpoint VPC, consulta [Utilizzo delle policy IAM per controllare l'accesso a DynamoDB](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-ddb.html).
**Nota**
Gli endpoint Amazon VPC non sono accessibili tramite o. AWS Site-to-Site VPN Direct Connect