Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅中国的 Amazon Web Services 服务入门。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

Amazon Keyspaces 中的互联网络流量保密性

本主题介绍了 Amazon Keyspaces（适用于 Apache Cassandra）如何保护从本地应用程序到亚马逊密钥空间以及亚马逊密 Keyspaces 间与其他密 Keyspaces 间之间的连接Amazon相同的资源Amazon Web Services 区域.

服务与本地客户端和应用之间的流量

私有网络和 Amazon 之间有两种连接方式：

通过网络访问 Amazon Keyspaces 是通过的Amazon发布的 API。客户端必须支持传输层安全性 (TLS) 1.0。建议使用 TLS 1.2 或更高版本。客户端还必须支持具有完全向前保密 (PFS) 的密码套件，例如 Ephemeral Diffie-Hellman (DHE) 或 Elliptic Curve Diffie-Hellman Ephemeral (ECDHE)。大多数现代系统（如 Java 7 及更高版本）都支持这些模式。

Amazon Keyspaces 支持两种验证客户端请求的方法。第一种方法使用特定于服务的凭据，这些凭据是为特定特定生成的基于密码Amazon Identity and Access Management(IAM) 用户。您可以使用 IAM 控制台来创建和管理密码。Amazon CLI，或者AmazonAPI。有关更多信息，请参阅 。将 IAM 与 Amazon Keyspaces 结合使用.

第二种方法使用开源代码的身份验证插件。DataStax卡桑德拉的 Java 驱动程序。启用此插件IAM 用户、角色和联合身份验证使用向 Amazon Keyspaces（针对 Apache Cassandra）API 请求添加身份验证信息Amazon签名版本 4 流程 (SigV4). 有关更多信息，请参阅 以编程方式连接到亚马逊 Keyspaces。

同一区域中 Amazon 资源之间的流量

接口 VPC 终端节点可在 Amazon VPC 中运行的 Virtual Private Cloud (VPC) 与 Amazon Keyspaces 之间实现私有通信。接口 VPC 终端节点由 Amazon PrivateLink 支持，这是一种实现 VPC 与 Amazon 服务之间私有通信的 Amazon 服务。Amazon PrivateLink 通过对 VPC 中的私有 IP 使用弹性网络接口启用此功能，以便网络流量不会离开 Amazon 网络。接口 VPC 终端节点不需要 Internet 网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接。有关更多信息，请参阅 。Amazon Virtual Private Cloud和接口 VPC 终端节点 (Amazon PrivateLink）. 有关示例策略，请参阅 对 Amazon Keyspaces 使用接口 VPC 终端节点。