Dengan AWS PrivateLink Amazon S3, Anda dapat menyediakan VPC Endpoint Interface (antarmuka titik akhir) di virtual private cloud (). Titik akhir VPC ini dapat diakses langsung dari aplikasi yang ada d i-Premises melalui VPN dan AWS Direct Connect, atau akses dari daerah AWS melalui VPC pire yang berbeda.
Titik akhir antarmuka diwakili oleh satu atau lebih antarmuka jaringan elastis (ENI), yang diberi alamat IP pribadi dari subnet Anda. Permintaan VPC ke Amazon S3 melalui titik akhir antarmuka tetap ada di jaringan Amazon. Anda juga dapat mengakses AWS Direct Connect atau AWS Virtual Private Network () AWS VPN dari aplikasi lokal. Untuk informasi lebih lanjut tentang cara menghubungkan VPC ke jaringan lokal, lihat panduan pengguna AWS Direct Connect dan panduan pengguna VPN situs-ke-situs AWS.
Untuk informasi umum tentang titik akhir antarmuka, lihat Panduan VPCendPoint Interface (AWS PrivateLink).
Anda dapat menggunakan dua jenis VPC titik akhir, titik akhir gerbang dan titik akhir antarmuka, untuk akses ke Amazon S3. AWS PrivateLink Gateway End Point adalah gateway yang ditentukan pada meja rute untuk mengakses Amazon S3 melalui jaringan AWS dari jaringan VPC. Titik akhir antarmuka menggunakan alamat IP pribadi untuk menggunakan VPC, O N-Premises, atau wilayah AWS lain dengan VPC, dan permintaan rute dari VPC ke Amazon S3 yang menggunakan pearing ke Amazon S3. AWS Transit Gateway Untuk informasi lebih lanjut, lihat Transit Gateway vs VPC Pearing untuk VPC Pearing.
Titik akhir antarmuka kompatibel dengan titik akhir gateway. Jika VPC memiliki titik akhir gateway yang ada, Anda dapat menggunakan kedua jenis titik akhir dengan cara yang sama. VPC
Gateway Endpoint untuk Amazon S3
Titik akhir antarmuka untuk Amazon S3
Dalam kedua kasus, lalu lintas jaringan tetap ada di jaringan AWS.
Gunakan alamat IP publik Amazon S3
Akses Amazon S3 menggunakan alamat IP pribadi VPC.
Gunakan orang S3 S3 S3 di Amazon DNS yang sama
Jangan mengizinkan akses dari O n-Premises
Avans untuk mengakses dari O n-Premises
Jangan mengizinkan akses dari daerah AWS lainnya
Gunakan VPC Pearing atau AWS Transit Gateway untuk memungkinkan akses dari daerah VPC AWS lainnya
Untuk informasi lebih lanjut tentang Gateway End Points, lihat titik akhir VPCGateway di panduan ini.
AWS PrivateLink untuk Amazon S3 menerapkan pembatasan VPC. Untuk informasi lebih lanjut, lihat AWS PrivateLink Guide Considations Antarmuka Titik Akhir dan Kuota Privatelink AWS. Selain itu, pembatasan berikut juga diterapkan.
AWS PrivateLink untuk Amazon S3 tidak mendukung yang berikut:
Untuk membuat titik akhir antarmuka VPC, lihat Buat Panduan. AWS Privatelink Endpoint VPC.
Saat Anda membuat titik akhir antarmuka, Amazon S3 menghasilkan dua jenis titik akhir yang spesifik untuk orang S3: regional dan zonedns.
S 3-Spoin S 3-endpoints dapat diselesaikan dari domain publik S3. DNS
Antarmuka VPC End Point Opsi Pribadi DNS dapat menyederhanakan perutean lalu lintas S3 melalui VPC titik akhir dan menggunakan jalur jaringan biaya minimum yang dapat digunakan untuk aplikasi. Anda menggunakan opsi pribadi DNS untuk memperbarui klien S3 atau mengelola infrastruktur untuk menggunakan klien S3 untuk menggunakan nama akhi r-spesifik DNS dari titik akhir antarmuka. Ketika nama pribadi DNS DNS diaktifkan, permintaan DNS dari regional S3 diselesaikan dengan titik akhir berikut AWS Privatelink Private IP Address:
Dengan titik akhir GatewayVPC, Anda dapat secara otomatis merutekan permintaan inbound VPC ke titik akhir gateway S3 yang ada dan permintaan lokal ke titik akhir antarmuka. Dengan pendekatan ini, Anda dapat mengoptimalkan biaya jaringan dengan menggunakan titik akhir gateway yang tidak dibebankan untuk menerima lalu lintas. Aplikasi lokal VPC dapat menggunakan AWS Privatelink dengan bantuan titik akhir resolver masuk. Amazon menawarkan server DNS yang disebut Route 53 Resolver. VPC Inbound Resolver Endpoint mentransfer kueri DNS dari jaringan lokal ke resolver Route 53.
Jika Anda menggunakan Aktifkan DNS pribadi hanya untuk menerima titik akhir, Anda harus memiliki gateway endwork untuk menggunakan jalur jaringan biaya minimum. Keberadaan titik akhir gateway VPC dapat membantu VPC Inbound Tropic selalu melalui jaringan AWS pribadi jika opsi [Aktifkan DNS Private Only) dipilih. Jika Anda memilih opsi DNS khusus-khusus untuk titik akhir yang masuk, Anda perlu mempertahankan titik akhir gateway ini. Untuk menghapus titik akhir gateway, Anda harus terlebih dahulu menghapus DNS Private hanya untuk opsi titik akhir yang masuk.
Jika Anda memperbarui titik akhir antarmuka yang ada dan mengaktifkan DNS pribadi hanya untuk titik akhir masuk, pertam a-tama pastikan bahwa VPC memiliki titik akhir gateway S3. Untuk detail tentang manajemen titik akhir gateway dan nama pribadi DNS, lihat panduan. AWS Privatelink’s VPCGateway Endpoints dan kelola nama DNS.
Aktifkan opsi titik akhir DNS pribadi hanya dapat digunakan dengan layanan yang mendukung titik akhir gateway.
Untuk pembuatan VPC titik akhir menggunakan Enable Private DNS Ongress Endpoints, lihat Membuat Antarmuka Endpoints di AWS PrivateLink Guide.
Penggunaan konsol VPC
Konsol memiliki dua opsi: Aktifkan nama DNS dan aktifkan DNS pribadi hanya untuk titik akhir masuk. Aktifkan Nama DNS adalah opsi yang didukung oleh AWS PrivateLink. Dengan opsi Enable Name DNS, Anda dapat menggunakan koneksi pribadi Amazon S3 ke Amazon S3 sambil meminta nama akhir titik akhir DNS publik default. Dengan mengaktifkan opsi ini, Anda dapat menggunakan jalur jaringan biaya terendah yang dapat digunakan dalam aplikasi.
Saat mengaktifkan titik akhir antarmuka Amazon S3 VPC pribadi atau baru untuk mengaktifkan DNS nama pribadi, opsi DNS Private DNS “Default Default” hanya dipilih. Jika opsi ini dipilih, aplikasi hanya menggunakan titik akhir antarmuka untuk lalu lintas d i-Premises. VPCT Tripik masuk ini secara otomatis menggunakan titik akhir gateway rendah. Atau, Anda dapat menghapus mengaktifkan DNS pribadi hanya untuk titik akhir yang masuk dan merutekan semua permintaan S3 melalui titik akhir antarmuka.
Gunakan AWS CLI
Jika Anda tidak menentukan nilai di PrivatedNsonlyForIndResolendPoint, itu diatur ke true secara default. Namun, sebelum VPC menerapkan pengaturan, periksa apakah ada titik ujung gateway yang ada di VPC. Jika titik akhir gateway ada di VPC, panggilan akan berhasil. Jika tidak, pesan kesalahan berikut akan ditampilkan:
Untuk mengatur PrivatedNSonForIndresolesolendPoint ke True, Anda memerlukan titik akhir Gateway Layanan untuk VPCE_ID VPC.
Untuk titik akhir VPC antarmuka baru
Atribut private-Enabled-DNS dari opsi DNS adalah membuat DNS pribadi. Opsi PrivatedNsonlyForIndresolendPoint dari atribut DNS-Options diatur ke True. Tambahkan pemegang tempat input pengguna ke informasi yang akan dikirim ke pengguna.
AWS EC2 Create-VPC-EndPoint --regionUS-East-1\ Nama LayananNama Layanan--VPC-IDKlien-VPC-ID\ ID SubnetKlien-subnet-id-vpc-endpoint-type interface ⅳ --private-dns ⅳ ⅳIP-Address-tipeIP-Address-Type\ Ÿ --Dns-opsi PrivatednsonlyForindResolendpoint = true ÿ-Security-group-IDSKlien-sg-id
Untuk titik akhir VPC yang ada
Jika Anda menggunakan DNS pribadi untuk titik akhir VPC yang ada, gunakan perintah sampel berikut untuk menggantikan pemegang tempat input pengguna dengan informasi Anda sendiri.
AWS EC2 memodifikasi-vpc-endpoint --regionUS-East-1--Vpc-endpoint-idKlien-VPC-IDTentukan \.
Jika Anda memperbarui VPC titik akhir yang ada dan hanya mengaktifkan DNS Private Resolver Inbound, gunakan contoh berikut untuk mengganti nilai sampel dengan nilai Anda sendiri.
AWS EC2 memodifikasi-vpc-endpoint --regionUS-East-1--Vpc-endpoint-idKlien-VPC-ID--Private-DNS-Enabled \ --DNS-options PrivatedNsonlyForinBoundResolendPoint = true
Gunakan AWS CLI atau AWS SDK untuk mengakses ember, titik akses S3, dan operasi API kontrol Amazon S3 dari titik akhir antarmuka S3.
Gambar di bawah ini menunjukkan DNS dari nama VPC titik akhir pada tab Detail VPC Konsol. Dalam contoh ini, ID VPC titik akhir (VPCE-ID) adalah VPCE-0E25B8CD720F900E, yaitu sebagai berikut. DNS *. VPCE-0E25B8CD720F900E-ARGC85VG. S3. US-EAST-1. VPCE. AmAZONAWS. COM
Saat mengakses sumber daya menggunakan nama DNS, ganti*dengan nilai yang sesuai. Nilai yang tepat yang digunakan sebagai berikut adalah sebagai berikut:
Misalnya, untuk mengakses ember, gunakan DNSName seperti ini:
Misalnya cara mengakses ember, titik akses, dan cara mengakses operasi API kontrol Amazon S3 menggunakan DNSNAME, lihat bagian contoh AWS CLI berikut. Sampel AWS SDK
Untuk informasi lebih lanjut tentang cara menampilkan DNS spesifi k-titik akhir, lihat “Lihat Pengaturan DNS Nama Pribadi untuk Layanan Endpoint” di Panduan Pengguna. VPC
Gunakan parameter untuk mengakses S3 Bucket, S3 Access Point, atau Amazon S3 Control Operation API melalui titik akhir antarmuka S3 dengan perintah AWS CLI. –Region –endpoint-url
Dalam contoh berikut, nama ember diganti dengan nama ember, wilayah ini diganti dengan US-East-1, dan nama ID VPC dari titik akhir DNS diganti dengan VPCE-12B3C4D-5E6F. S3. US-Eas t-1. vpce. amazonaws. com.
AWS S3 LS S3: //Ember saya/ -wilayahUS-East-1--Endpoint-url https: // bucket.VPCE-1A2B3C4D-5E6F. S3. US-EAST-1. VPCE. AmAZONAWS. comContoh daftar objek dari titik akses menggunakan URL titik akhir
aws s3api list-objects-v2 --bucket arn:aws:s3:.us-east-1:123456789012:accesspoint/accesspointexamplename--regionUS-East-1--endpoint-url https:// accesspoint.VPCE-1A2B3C4D-5E6F. S3. US-EAST-1. VPCE. AmAZONAWS. comaws s3api list-objects-v2 --bucketaccesspointexamplename-8tyekmigicmhun8n9kwpfur39dnw4use1a-s3alias--regionUS-East-1--Endpoint-url https: // bucket.VPCE-1A2B3C4D-5E6F. S3. US-EAST-1. VPCE. AmAZONAWS. comaws configure set default. s3. addressing_style virtualKemudian, dalam contoh berikut, ganti alias access point accesspointexamplename-8tyekmigicmhun8n9kwpfur39dnw4use1a-s3alias , Region us-east-1 , dan VPC endpoint ID vpce-1a2b3c4d-5e6f. s3. us-east-1. vpce. amazonaws. com dengan informasi Anda sendiri. Untuk informasi selengkapnya tentang alias titik akses, lihatMenggunakan alias gaya bucket untuk titik akses bucket S3 Anda.
aws s3api list-objects-v2 --bucketaccesspointexamplename-8tyekmigicmhun8n9kwpfur39dnw4use1a-s3alias--regionUS-East-1--endpoint-url https:// accesspoint.VPCE-1A2B3C4D-5E6F. S3. US-EAST-1. VPCE. AmAZONAWS. com以下の例では、Region us-east-1、VPC エンドポイント ID vpce-1a2b3c4d-5e6f. s3. us-east-1. vpce. amazonaws. com、およびアカウント ID 12345678 を独自の情報に置き換えます。
aws s3control --リージョンUS-East-1--endpoint-url https:// control.VPCE-1A2B3C4D-5E6F. S3. US-EAST-1. VPCE. AmAZONAWS. comlist-jobs --account-id12345678AWS SDK を使用しているときに、S3 インターフェースエンドポイントを介して S3 バケット、S3 アクセスポイント、または Amazon S3 コントロール操作 API にアクセスするには、最新バージョンに更新します。SDKs その後、S3 インターフェースエンドポイントを介してバケット、アクセスポイント、または Amazon S3 API Control 操作にアクセスするために URL エンドポイントを使用するようにクライアントを設定します。
Python 用 SDK (Boto3)
以下の例では、リージョン us-east-1 と VPC エンドポイント ID vpce-1a2b3c4d-5e6f. s3. us-east-1. vpce. amazonaws. com を独自の情報に置き換えます。
s3_client = session. client( service_name='s3', region_name='US-East-1', endpoint_url='https:// bucket.VPCE-1A2B3C4D-5E6F. S3. US-EAST-1. VPCE. AmAZONAWS. com' )以下の例では、リージョン us-east-1 と VPC エンドポイント ID vpce-1a2b3c4d-5e6f. s3. us-east-1. vpce. amazonaws. com を独自の情報に置き換えます。
ap_client = sesi. klien( nama_layanan='s3', nama_wilayah='US-East-1', endpoint_url='https:// titik akses.VPCE-1A2B3C4D-5E6F. S3. US-EAST-1. VPCE. AmAZONAWS. com' )以下の例では、リージョン us-east-1 と VPC エンドポイント ID vpce-1a2b3c4d-5e6f. s3. us-east-1. vpce. amazonaws. com を独自の情報に置き換えます。
control_client = sesi. klien( nama_layanan='s3kontrol', nama_wilayah='US-East-1', endpoint_url='https://kontrol.VPCE-1A2B3C4D-5E6F. S3. US-EAST-1. VPCE. AmAZONAWS. com' )SDK untuk Java 1. x
Dalam contoh berikut, ganti ID titik akhir VPC vpce-1a2b3c4d-5e6f. s3. us-east-1. vpce. amazonaws. com dengan informasi Anda sendiri.
// Klien bucket final AmazonS3 s3 = AmazonS3ClientBuilder. standard(). withEndpointConfiguration( new AwsClientBuilder. EndpointConfiguration( "https:// bucket.VPCE-1A2B3C4D-5E6F. S3. US-EAST-1. VPCE. AmAZONAWS. com", Regions. DEFAULT_REGION. getName() ) ). build(); Daftar bucket = s3. listBuckets();Saat menghubungkan, harap tentukan ID VPC endpoint vpce-1a2b3c4d-5e6f. s3. us-east-1. vpce. amazonaws. com dan ARN us-east-1:123456789012:accesspoint/prod.
// klien jalur akses final AmazonS3 s3accesspoint = AmazonS3ClientBuilder. standard(). withEndpointConfiguration( new AwsClientBuilder. EndpointConfiguration( "https:// accesspoint.VPCE-1A2B3C4D-5E6F. S3. US-EAST-1. VPCE. AmAZONAWS. com", Wilayah. DEFAULT_REGION. getName() ) ). build(); Objek Daftar Objek = s3accesspoint. listObjects("arn:aws:s3:us-east-1:123456789012:titik akses/prod");Dalam contoh berikut, ganti ID titik akhir VPC vpce-1a2b3c4d-5e6f. s3. us-east-1. vpce. amazonaws. com dengan informasi Anda sendiri.
// Kontrol akhir klien AWSS3Control s3control = AWSS3ControlClient. builder(). withEndpointConfiguration( new AwsClientBuilder. EndpointConfiguration( "https:// control.VPCE-1A2B3C4D-5E6F. S3. US-EAST-1. VPCE. AmAZONAWS. com", Regions. DEFAULT_REGION. getName() ) ). build(); pekerjaan ListJobsResult akhir = s3control. listJobs(New ListJobsRequest());SDK untuk Java 2. x
Dalam contoh berikut, ganti ID titik akhir VPC VPCE-1A2B3C4D-5E6F. S3. US-EST-1. VPCE. AmAZONAWS. com dan wilayah wilayah. US_EAST_1 dengan informasi Anda sendiri.
// wilayah klien bucket =Region. us_east_1;VPCE-1A2B3C4D-5E6F. S3. US-EAST-1. VPCE. AmAZONAWS. com") . Membangun ()Dalam contoh berikut, ganti ID titik akhir VPC VPCE-1A2B3C4D-5E6F. S3. US-EST-1. VPCE. AmAZONAWS. com dan wilayah wilayah. US_EAST_1 dengan informasi Anda sendiri.
// Access Point Client Region =Region. us_east_1S3Client = S3Client. Builder () . EndPointOverride ("https: // accessSpoint.VPCE-1A2B3C4D-5E6F. S3. US-EAST-1. VPCE. AmAZONAWS. com") . Membangun ()Dalam contoh berikut, ganti ID titik akhir VPC VPCE-1A2B3C4D-5E6F. S3. US-EST-1. VPCE. AmAZONAWS. com dan wilayah wilayah. US_EAST_1 dengan informasi Anda sendiri.
// Kontrol wilayah klien =Region. us_east_1;VPCE-1A2B3C4D-5E6F. S3. US-EAST-1. VPCE. AmAZONAWS. com") . Membangun ()Saat mengakses titik akhir antarmuka Amazon S3 menggunakan DN S-spesifi k-spesifik, Anda tidak perlu memperbarui resolver lokal. DNS dapat memecahkan nama akhi r-spesifik DNS dengan alamat IP pribadi dari titik akhir antarmuka dari domain Amazon S3 publik. DNS
Seperti yang ditunjukkan pada gambar di bawah ini, titik akhir antarmuka dalam VPC memungkinkan Anda untuk merutekan aplikasi lokal intra dan VPC di Amazon S3 melalui Amazon Network.
Gambar ini menunjukkan yang berikut:
Seperti yang ditunjukkan diagram berikut, Anda dapat membuat titik akhir antarmuka dan mempertahankan titik akhir gateway yang ada dalam VPC yang sama. Mengambil pendekatan ini memungkinkan VPC aplikasi masuk Anda untuk terus mengakses Amazon S3 melalui titik akhir gateway. Dan hanya aplikasi lokal yang menggunakan titik akhir antarmuka untuk mengakses Amazon S3. Untuk mengakses Amazon S3 dengan cara ini, Anda harus memperbarui aplikasi lokal Anda untuk menggunakan nama unik titik akhir DNS Amazon S3.
Gambar ini menunjukkan yang berikut:
Untuk informasi lebih lanjut tentang titik akhir gateway, lihatTitik Akhir VPCGateway dalam Panduan Pengguna VPC.
Anda dapat melampirkan kebijakan titik akhir ke VPC titik akhir Anda yang mengontrol akses ke Amazon S3. Kebijakan titik akhir mencakup informasi berikut:
Anda juga dapat menggunakan kebijakan bucket Amazon S3 untuk membatasi akses ke bucket tertentu dari VPC titik akhir tertentu dengan menggunakan ketentuan aws:sourceVpce dalam kebijakan bucket. Contoh berikut menunjukkan kebijakan yang membatasi akses ke bucket atau titik akhir.
Anda dapat membuat kebijakan titik akhir yang membatasi akses hanya ke bucket Amazon S3 tertentu. Jenis kebijakan ini berguna jika Anda memiliki layanan AWS lain di bucket VPC yang Anda gunakan. Kebijakan bucket berikut membatasi akses hanya ke file amzn-s3-demo-bucket1. Untuk menggunakan kebijakan titik akhir ini, ganti amzn-s3-demo-bucket1 dengan nama bucket Anda.
"Versi": "2012-10-17", "id": "Policy1415115909151" Pernyataan ": Pernyataan": ["Sid": "Access-to-spesifik-khusus-hanya": "": "*": " "", "Action": Action ": [" S3: GetObject "," S3: Putobject "]," Effect ":" Izinkan "," Sumber Daya ": [Arn: AWS: S3.AMZN-S3-Demo-Bucket1AMZN-S3-Demo-Bucket1Anda dapat membuat kebijakan titik akhir yang membatasi akses hanya di ember S3 dalam ember tertentu. Gunakan pernyataan berikut dalam kebijakan titik akhir untuk memastikan bahwa klien akun AWS tidak mengakses ember yang tidak dimiliki. Pernyataan sampel di bawah VPC membuat ID akun AWS tunggal, kebijakan yang membatasi akses ke sumber daya yang dimiliki oleh 11112222223333.
"Pernyataan": [Sid ":" Principal "Principal" hanya akses-ke-bucket-in-spesifik-khusus-akun-hanya ":"*"," Action ": Action": ["S3: GetObject", "Putobject"], " Efek ":" menyangkal "sumber daya": "arn: AWS: S3. *" Kondisi ":" StringNotequals ":" AWS: ResourceAccount ":":111122223333" > > > ] >Untuk menentukan ID akun AWS untuk sumber daya yang diakses, Anda dapat menggunakan kunci AWS: ResourceAccount atau S3: Res3: Res3: Res3: Res3: Res3: Res3: Res3: Res3: Res3: Res3: Res3. Namun, penting untuk dicatat bahwa beberapa layanan AWS bergantung pada akses ke ember yang dikelola oleh AWS. Oleh karena itu, menggunakan Kunci AWS: ResourceCount atau S3: ResourceCount kunci dalam kebijakan IAM dapat memengaruhi akses ke sumber daya ini.
Contoh S3 Bucket membatasi akses ke VPC titik akhir tertentu
Kebijakan ember Amazon S3 berikut memungkinkan akses hanya dari endpointVPC ke bucket spesifik AMZN-S3-S3-Demo-Buckket2. VPCE-1A2B3C4D Kebijakan ini menolak semua akses ke ember jika titik akhir yang ditentukan tidak digunakan. AWS: Sourcevpce Kondisi ini menentukan titik akhir, tidak memerlukan titik akhir VPC sumber daya Amazon Resource Name (ARN), dan hanya membutuhkan ID titik akhir. Untuk menggunakan kebijakan bucket ini, ganti AMZN-S3-Demo-Bucket2 dan VPCE-1A2B3C4D dengan nama ember dan titik akhir.
"Versi": "2012-10-17", "id": "Policy141511590909152" Pernyataan ": Pernyataan" ["Sid": "Access-to-spesifik-VPCE-O ONLY": "": "": "" : "," Action ":" S3:*, "Effect": "Deny", "Resource": Resource "[" [Arn: AWS: S3.AMZN-S3-Demo-Bucket2AMZN-S3-Demo-Bucket2/*VPCE-1A2B3C4D">> > ] >Untuk contoh kebijakan lainnya, lihat “Titik akhir untuk Amazon S3” di Panduan Pengguna VPC.
Untuk informasi lebih lanjut tentang koneksi VPC, lihat AWS VPC White Paper Amazon Virtual Private Connection Opsi Opsi Koneksi Opsi Koneksi Opsi Koneksi.