FAQ sur Amazon DynamoDB

DynamoDB est un service de base de données non relationnelle rapide et flexible adapté à toutes les échelles. Grâce à DynamoDB, les clients transfèrent sur AWS leurs tâches d'administration relatives à l'exploitation et à la mise à l'échelle de leurs bases de données distribuées, évitant ainsi toutes les contraintes relatives à l'approvisionnement en matériel, à l'installation et à la configuration, à la planification de la capacité de débit, à la réplication, à l'application de correctifs logiciels ou à la mise à l'échelle des clusters.

Grâce à DynamoDB, les clients n'ont plus à gérer l'un des problèmes majeurs liés à la mise à l'échelle des bases de données, à savoir la gestion des logiciels de bases de données et l'approvisionnement en matériel nécessaire pour les faire fonctionner. Une base de données non relationnelle peut désormais être déployée en quelques minutes. DynamoDB met automatiquement la capacité de débit à l'échelle pour répondre aux exigences de la charge de travail ; il partitionne et repartitionne vos données au fur et à mesure que la taille de votre table augmente. De plus, DynamoDB réplique les données de manière synchronisée sur trois installations au sein d’une Région AWS, vous permettant ainsi de bénéficier d’une haute disponibilité et d’optimiser la durabilité des données.

Les classes de tables DynamoDB sont des options d’optimisation des performances et des coûts pour les tables DynamoDB. Les deux classes de tables disponibles sont DynamoDB Standard (classe de table par défaut conçue pour les charges de travail nécessitant des performances maximales et convenant le mieux aux tables dont les charges de travail sont imprévisibles), et DynamoDB Standard-Infrequent Access (classe de table optimisée pour les tables dont le stockage est le facteur de coût dominant et idéale pour les tables qui stockent des données auxquelles on accède peu souvent). Les tables Standard ont des coûts de lecture et d’écriture inférieurs, mais des coûts de stockage plus élevés. Les tables Standard-IA ont des coûts de stockage inférieurs, mais des coûts de lecture et d’écriture plus élevés. Vous pouvez passer d’une classe de table à l’autre deux fois par période de 30 jours sans durée d’indisponibilité, ce qui vous permet d’optimiser vos coûts en fonction des habitudes d’utilisation de votre table. Le choix entre ces classes dépend des besoins spécifiques de votre application et des modèles d’accès à vos données.

Plusieurs facteurs doivent être pris en compte lors du choix d’une classe de table dans DynamoDB. Les facteurs les plus courants à prendre en compte sont les modèles d’accès à vos données, les considérations financières et la prévisibilité de la charge de travail. Vous pouvez passer d’une classe de table à l’autre sans aucun codage ni durée d’indisponibilité, afin de pouvoir ajuster votre choix si vos besoins évoluent au fil du temps.

Les tables DynamoDB Standard-IA (accès peu fréquent) fonctionnent parfaitement avec les fonctionnalités DynamoDB existantes. Elles utilisent les mêmes API que les tables DynamoDB classiques. Vous pouvez donc les utiliser avec des applications existantes sans modifier le code. Elles prennent en charge les tables globales pour la réplication multirégionale, la reprise ponctuelle (PITR), les sauvegardes à la demande, le chiffrement au repos à l’aide d’AWS Key Management Service (KMS), DynamoDB Streams, la durée de vie (TTL, Time To Live) avant suppression automatique des éléments et les opérations de lecture et d’écriture transactionnelles. Les tables Standard-IA sont compatibles avec DynamoDB Accelerator (DAX).

Amazon DynamoDB stocke les données dans des partitions. Une partition est une allocation de stockage pour une table, sauvegardée par des disques SSD et répliquée automatiquement dans plusieurs zones de disponibilité au sein d’une Région AWS. La gestion des partitions est entièrement gérée par DynamoDB. Vous n’avez jamais à gérer vous-même les partitions.

La taille maximale d’un élément pouvant être stocké dans une table DynamoDB est de 400 Ko. Il n’existe aucune limite de stockage prédéfinie.

Oui, DynamoDB peut stocker des objets BLOB ; toutefois, il n’est généralement pas adapté au stockage de documents ou d’images. Une meilleure architecture consiste à stocker des pointeurs vers des objets Amazon S3 dans une table DynamoDB.

Par défaut, aucune date d’expiration ou de suppression n’est définie pour les données stockées dans une table Amazon DynamoDB. Les données resteront dans la table indéfiniment, sauf si elles sont explicitement supprimées par le client ou par la fonctionnalité de durée de vie (TTL), si elle est activée.

Il n’existe aucune limite prédéfinie quant au nombre d’éléments pouvant être stockés dans une table DynamoDB. DynamoDB se met à l’échelle de centaines de téraoctets ou plus de données, quel que soit le nombre d’éléments.

Bien qu’il soit techniquement possible de stocker des images dans DynamoDB sous forme de données binaires (codées en base64), la taille limite des éléments de 400 Ko présente certaines limites et certains inconvénients. Au lieu de stocker les images directement dans DynamoDB, il est préférable de stocker les images dans Amazon S3 (Simple Storage Service), puis de stocker l’URL ou la clé de l’objet S3 dans DynamoDB.

Pour stocker une liste dans DynamoDB, vous devez utiliser l’un des types de données de liste de DynamoDB, à savoir List ou Set. Lorsque vous écrivez des éléments dans le tableau, la valeur de cet attribut peut être un tableau ou une collection de types de données scalaires (non liés à des objets) tels que des chaînes, des nombres, etc. DynamoDB se chargera automatiquement de sérialiser les données de la liste et de les stocker de manière à conserver la structure de la liste. Vous pouvez ensuite interroger l’attribut de table pour récupérer la liste complète. L’ajout, la mise à jour ou la suppression d’éléments de la liste fonctionnent de la même manière qu’une opération d’écriture normale.

Oui, DynamoDB prend en charge le stockage de cartes en tant que type de données d’attribut. 

Oui, DynamoDB prend en charge les autorisations IAM. Les autorisations IAM peuvent être définies dans des politiques basées sur l’identité, des politiques basées sur les ressources ou d’autres politiques AWS pour contrôler l’accès aux ressources DynamoDB. Vous pouvez associer des politiques IAM aux utilisateurs, groupes et rôles IAM, aux tables et aux flux DynamoDB, et les contrôler comme vous le souhaitez.

Avec AWS PrivateLink, vous pouvez simplifier la connectivité de réseau privé entre les clouds privés virtuels (VPC), DynamoDB et vos centres de données sur site à l’aide de points de terminaison de VPC d’interface et d’adresses IP privées. Avec PrivateLink, les tables DynamoDB sont accessibles depuis une connexion privée et les requêtes ne quittent pas le réseau Amazon. La sécurité s’en trouve renforcée, car le trafic passe par les passerelles réseau et l’accès peut être contrôlé à l’aide de politiques IAM et de groupes de sécurité. PrivateLink est utile pour les applications qui ont des exigences en matière de sécurité des données et nécessitent une faible latence. Il rend également les tables DynamoDB accessibles à partir d’environnements hybrides comprenant des réseaux sur site et AWS.

Oui, DynamoDB prend en charge les politiques basées sur les ressources pour les tables et les flux. Les politiques basées sur les ressources pour chaque table couvrent également les autorisations d’accès aux index de la table (index secondaires globaux et index secondaires locaux). Grâce à des politiques basées sur les ressources, les clients peuvent définir des autorisations d’accès précises pour les tables DynamoDB et d’autres ressources sans avoir à accorder un accès complet au niveau du compte AWS. Ces politiques permettent aux clients de contrôler quels utilisateurs, rôles et utilisateurs fédérés peuvent effectuer des actions telles que la lecture, l’écriture ou la suppression sur des tables, des index et des flux DynamoDB spécifiques. Les politiques basées sur les ressources sont associées et gérées au sein de chaque ressource DynamoDB.

Les politiques basées sur les ressources prennent en charge les intégrations avec l’analyseur d’accès AWS Identity and Access Management (IAM) et le blocage de l’accès public (BPA). L’analyseur d’accès IAM aide les clients à affiner les autorisations et à se conformer au principe du moindre privilège. Le BPA aide les clients à empêcher l’accès public aux tables, aux index et aux flux DynamoDB. Il est toujours activé dans DynamoDB.
 

DynamoDB prend en charge le contrôle d’accès basé sur les attributs, qui est généralement disponible pour les tables et les index DynamoDB.

Oui, vous pouvez utiliser Amazon DynamoDB à l’aide de points de terminaison de VPC. DynamoDB prend en charge deux types de points de terminaison de VPC : les points de terminaison de passerelle et l’utilisation d’AWS PrivateLink. Avec un point de terminaison de passerelle, vous pouvez accéder à DynamoDB depuis votre VPC, sans avoir besoin d’une passerelle Internet ou d’un périphérique NAT pour votre VPC. Cependant, les points de terminaison de passerelle n’autorisent pas l’accès depuis des réseaux sur site, depuis des VPC homologues dans d’autres Régions AWS ou via une passerelle de transit. Pour ces scénarios, vous devez utiliser AWS PrivateLink, disponible moyennant des frais supplémentaires.

Le contrôle précis des accès (FGAC, Fine-grained access control) donne au propriétaire d’une table DynamoDB un contrôle granulaire sur les données de la table grâce aux politiques et conditions d’AWS Identity and Access Management (IAM). Le FGAC permet au propriétaire de fournir des autorisations d’accès aux éléments ou aux attributs de la table et aux actions associées. Un contrôle d’accès précis est utilisé de concert avec AWS IAM, qui gère les informations d’identification de sécurité et les autorisations associées.

Oui, toutes les données utilisateur d’Amazon DynamoDB sont entièrement chiffrées en transit et au repos.

Le protocole HTTPS est utilisé pour protéger le trafic réseau à l’aide du chiffrement Secure Sockets Layer.

Le chiffrement DynamoDB au repos utilise des clés de chiffrement stockées dans AWS Key Management Service (AWS KMS). Les données au repos sont cryptées à l’aide de l’AES-256, la norme de référence qui exige les plus hauts niveaux de sécurité.

Les types de clés suivants sont disponibles pour chiffrer les données au repos :
1. Clés appartenant à AWS : elles sont entièrement gérées par AWS et sont utilisées par défaut si aucune autre option n’est spécifiée. Elles sont gratuites et ne nécessitent aucune configuration supplémentaire.
2. Clés gérées par AWS : il s’agit de clés principales client (CMK) stockées dans AWS Key Management Service (KMS) qui sont créées, gérées et utilisées pour le compte du client par AWS. Elles fournissent des fonctionnalités de contrôle et d’audit supplémentaires par rapport aux clés détenues par AWS.
3. Clés gérées par le client : il s’agit de clés CMK que vous créez, possédez et gérez dans AWS KMS. Elles offrent le plus haut niveau de contrôle sur les clés de chiffrement, notamment la possibilité de créer, de faire pivoter, de désactiver et de définir des contrôles d’accès.

Chacun de ces types de clés offre un équilibre différent en termes de commodité, de contrôle et de coût. Les clés détenues par AWS sont les plus simples à utiliser, tandis que les clés gérées par le client offrent le plus de contrôle, mais nécessitent des frais de gestion plus importants.

Le chiffrement au repos permet de protéger les données en chiffrant les fichiers contenant des informations sensibles lorsqu’ils sont inactifs. Lorsque les données sont chiffrées au repos, les parties non autorisées ne peuvent pas accéder au contenu en texte brut, même si elles peuvent accéder physiquement aux appareils qui stockent les données. Cela fournit un niveau de sécurité supplémentaire pour les données au-delà des simples contrôles d’accès et permet de garantir la confidentialité des informations, même en cas de perte ou de vol de l’appareil physique.

Oui, DynamoDB prend en charge la journalisation des audits pour les modifications au niveau des éléments dans les tables. DynamoDB est intégré à AWS CloudTrail, un service qui fournit un enregistrement des actions effectuées par un utilisateur, un rôle ou un service AWS dans DynamoDB au niveau de l’élément. Les données de journalisation supplémentaires capturées incluent les créations, les mises à jour, les suppressions et tout échec de vérification conditionnelle. Les clients peuvent accéder à ces enregistrements de journaux stockés dans CloudWatch Logs et créer des applications pour analyser les changements au niveau des articles à des fins d’audit, de surveillance ou toute autre raison. La journalisation des audits fournit une visibilité des modifications de données à un niveau granulaire sans affecter les performances normales de lecture/écriture de la table DynamoDB.

Oui, vous pouvez utiliser Amazon DynamoDB pour créer des applications conformes HIPAA et stocker des données de santé, notamment des données de santé protégées dans le cadre de l’exécution d’un accord de partenariat (BAA) avec AWS.

DynamoDB répond à de nombreuses certifications de conformité, notamment les certifications éligibles HIPAA, FedRAMP, ISO 27001, SOC 1/SSAE 16/ISAE 3402 (anciennement SAS 70) et SOC 2. Pour plus d’informations, consultez Validation de conformité par l’industrie pour DynamoDB. Les rapports de conformité AWS sont disponibles et téléchargeables sur AWS Artifact.

Les tables globales Amazon DynamoDB sont une base de données entièrement gérée, sans serveur, multirégion et multiactive. Les tables globales offrent une disponibilité de 99,999 %, une résilience accrue des applications et une meilleure continuité des activités. Elles répliquent automatiquement vos tables Amazon DynamoDB dans les Régions AWS de votre choix, vous ainsi permettant d’obtenir des performances en lecture et en écriture locales rapides. Les tables globales utilisent les mêmes API que les tables DynamoDB à région unique. Vous pouvez donc facilement rendre vos tables DynamoDB disponibles dans le monde entier sans modifier l’application.

Vous pouvez utiliser des tables globales pour améliorer la résilience de votre application dans plusieurs régions. Les tables globales permettent également aux applications de maintenir une haute disponibilité dans le cas peu probable d’isolement ou de dégradation d’une région entière.

Deux versions des tables globales DynamoDB sont disponibles : la version 2019.11.21 (actuelle) et la version 2017.11.29 (ancienne). Les clients doivent utiliser la version 2019.11.21 (actuelle) pour toutes les nouvelles tables globales, car cette version est plus efficace et consomme moins de capacité d’écriture. Toute personne utilisant la version 2017.11.29 (ancienne) devrait mettre à niveau ses tables globales vers la version 2019.11.21 (Current).

Vous pouvez mettre à niveau la version d’une table globale en quelques clics dans la Console de gestion AWS. La mise à niveau de la version 2017.11.29 (ancienne) vers la version 2019.11.21 (Current) est une action unique et irréversible. Avant la mise à niveau, assurez-vous d’avoir examiné les différences de comportement entre les versions et d’avoir effectué tous les tests nécessaires. Pour plus d’informations, consultez Mise à niveau des tables globales de la version 2017.11.29 (ancienne) vers la version 2019.11.21 (actuelle).

Les tables globales DynamoDB utilisent la réplication multiactive entre les régions, où toutes les tables de réplication de toutes les régions d’une table globale prennent en charge le trafic de lecture et d’écriture. Une table globale ne possède pas de région principale et, par conséquent, aucun basculement de base de données n’est requis pour diriger le trafic de lecture et d’écriture vers une autre région. Dans le cas peu probable où une Région AWS serait isolée ou dégradée, votre application peut simplement lire et écrire à partir d’une table de répliques située dans une région non affectée. Pour plus d’informations, consultez Pratiques exemplaires en matière de conception de tables globales DynamoDB.

Oui, Amazon prend en charge la capture des données modifiées (CDC). Dans DynamoDB, la CDC est implémentée à l’aide d’un modèle de streaming, qui permet aux applications de capturer les modifications au niveau des éléments dans une table DynamoDB en temps quasi réel sous la forme d’un flux d’enregistrements de données. Le flux d’enregistrements de données CDC permet aux applications de traiter et de répondre efficacement aux modifications des données dans la table DynamoDB. DynamoDB propose deux modèles de streaming pour la CDC : Amazon DynamoDB Streams et Amazon Kinesis Data Streams pour DynamoDB. Pour vous aider à choisir la solution adaptée à votre application, consultez les options de streaming pour la capture des données modifiées.

Un flux DynamoDB est un flux ordonné d’informations concernant les modifications apportées aux éléments d’une table DynamoDB. DynamoDB Streams capture une séquence dédupliquée et chronologique des modifications au niveau de l’élément dans une table et stocke ces informations dans un journal pour une durée maximale de 24 heures. Par défaut, DynamoDB Streams met automatiquement la capacité à l’échelle, ce qui vous dispense de son allocation et de sa gestion. En fonction de votre configuration DynamoDB Streams, vous pouvez afficher les éléments de données tels qu’ils apparaissent avant et après leur modification. Vous pouvez créer des applications qui consomment ces événements de flux et invoquer des flux de travail en fonction du contenu du flux d’événements.

DynamoDB Streams est utile lorsque vous souhaitez réagir à des modifications de données à l’aide de déclencheurs à l’aide de l’intégration native avec AWS Lambda, suivre et analyser les interactions avec les clients ou surveiller les performances des applications en temps quasi réel, capturer des séquences ordonnées d’événements et améliorer la résilience des applications en répliquant les données transactionnelles au niveau des éléments.

Kinesis Data Streams capture les modifications au niveau de l’élément dans une table DynamoDB et les réplique dans un flux de données Kinesis. Vos applications peuvent accéder à ce flux et visualiser les modifications au niveau des éléments en temps quasi réel. Avec Kinesis Data Streams, vous pouvez créer des applications personnalisées qui traitent ou analysent des données de streaming pour des besoins spécifiques. Contrairement à DynamoDB Streams, Kinesis Data Streams pour DynamoDB ne fournit aucune garantie de classement des enregistrements ni de déduplication. Le classement et la déduplication des enregistrements doivent être mis en œuvre par les applications clientes, à l’aide du champ ApproximateCreationDateTime dans l’enregistrement au niveau de l’élément.

Kinesis Data Streams pour DynamoDB est utile si vous avez besoin d’une intégration à l’écosystème Kinesis au sens large (tel que la bibliothèque client Kinesis, le service géré Amazon pour Apache Flink ou Amazon Data Firehose), d’une conservation et d’une rejouabilité des données plus longues (jusqu’à 365 jours) et d’une gestion personnalisée des partitions pour la consommation en aval et l’analytique du streaming.

Lorsqu’un flux DynamoDB ou un flux de données Kinesis est activé sur une table DynamoDB, celle-ci envoie un enregistrement de données qui capture toutes les modifications apportées aux données de cette table. Cet enregistrement de données inclut l’heure précise à laquelle un élément a été récemment créé, mis à jour ou supprimé, la clé primaire de cet élément, une image de l’élément avant la modification et une image de l’élément après la modification.

Vous pouvez activer ou désactiver les flux sur une table DynamoDB existante à l’aide de la Console de gestion AWS, du SDK AWS, de l’interface de la ligne de commande AWS (AWS CLI) ou de la bibliothèque client Kinesis (KCL).

Choisissez DynamoDB Streams lorsque vous avez spécifiquement besoin de suivre les modifications apportées aux tables DynamoDB. Choisissez Kinesis Data Streams pour des besoins de streaming plus larges, des exigences de débit plus élevées ou lorsque vous avez besoin de périodes de conservation des données plus longues.

La fonctionnalité de durée de vie (TTL) d’Amazon DynamoDB supprime automatiquement les éléments périmés qui ne sont plus pertinents d’un tableau, réduisant ainsi l’utilisation de l’espace de stockage et les coûts. Avec la TTL, vous pouvez définir un horodatage par élément pour déterminer à quel moment un élément n’est plus nécessaire, et DynamoDB supprime automatiquement l’élément de votre table sans consommer de débit d’écriture. Chaque fois qu’un élément est créé ou mis à jour, vous pouvez calculer le délai d’expiration et l’enregistrer dans l’attribut TTL. La TTL est utile si vous stockez des éléments qui perdent leur pertinence après un certain temps.

DynamoDB prend en charge les opérations GET/PUT au moyen d'une clé primaire définie par l'utilisateur. La clé primaire est le seul attribut nécessaire pour les éléments d'une table. Vous spécifiez la clé primaire lors de la création d’une table, et cette clé identifie chaque élément individuellement. DynamoDB propose également une interrogation flexible des bases de données en vous permettant d’interroger des attributs de clé non primaires à l’aide d’index secondaires globaux et d’index secondaires locaux.

Une clé primaire peut être une clé de partition à attribut unique ou une clé composite de type partition-tri. UserID est un exemple de clé de partition à attribut unique. Une telle clé de partition à attribut unique permettrait une lecture et une écriture de données rapides pour un élément associé à un identifiant utilisateur donné.

DynamoDB indexe une clé composite de type partition-tri en tant qu'élément de clé de partition et en tant qu'élément de clé de tri. Cette clé à plusieurs composants maintient une hiérarchie entre la première et la seconde valeurs d’élément. Par exemple, une clé composite de type partition-tri peut être une combinaison des éléments suivants : UserID (partition) et Timestamp (tri). En maintenant la constance de l’élément de clé de partition, il est possible d’effectuer une recherche dans l’élément de clé de type tri afin d’extraire des éléments. Une recherche de la sorte vous permettrait d’utiliser l’API Query pour, par exemple, extraire tous les éléments associés à un identifiant UserID unique dans un intervalle d’horodatage.

Après avoir créé une table à l'aide de la console DynamoDB ou de l'API CreateTable, vous pouvez utiliser l'API PutItem ou BatchWriteItem afin d'insérer des éléments. Pour extraire les éléments ajoutés à la table, vous pouvez ensuite utiliser GetItem ou BatchGetItem, ou l'API Query si les clés primaires composites sont activées et utilisées dans votre table.

Oui. DynamoDB est un service de cloud entièrement géré, accessible via l'API. DynamoDB peut-être utilisé par des applications fonctionnant sur n’importe quel système d’exploitation, par exemple Linux, Windows, iOS, Android, Solaris, AIX et HP-UX. Nous vous recommandons d’utiliser les kits SDK AWS pour découvrir DynamoDB.