转载

新机制——面向Amazon S3的VPC Endpoint

在这里我要向大家隆重介绍一项全新AWS功能，旨在帮助大家以更理想的方式使用Amazon Virtual Private Cloud（简称VPC）以及Amazon Simple Storage Service（简称S3）。如大家所知，S3能为用户提供安全、耐用且具备高度可扩展能力的对象存储服务。我们可以利用Virtual Private Cloud创建出一套AWS Cloud逻辑隔离区，并通过自己定义的虚拟网络对其进行全面控制。

当我们创建VPC时，需要利用安全组与访问控制列表（简称ACL）对输入及输出流量进行控制。就目前而言，如果大家希望让自己的EC2实例有能力访问公有资源，则必须使用Internet Gateway，且可能需要对部分NAT实例进行管理。

面向S3的全新VPC Endpoint

今天我们提出了VPC Endpoint的概念，希望借此在VPC内部简化S3资源的访问机制。这些商战易于配置、具备高度可靠性并能够提供指向S3的安全连接，而且整个流程不需要任何网关或者NAT实例的介入。

运行在VPC下私有子网内的EC2实例现在具备了面向S3存储桶、对象以及API功能等同处于该VPC范畴内要素的受控访问机制。大家可以利用一套S3存储桶政策来指定允许哪些VPC以及VPC Endpoint访问自己的S3存储桶。

创建并使用VPC Endpoint

大家可以利用AWS管理控制台、AWS合作行界面（简称CLI）、AWS Tools for Windows PowerShell以及VPC API创建并配置VPC Endpoint。

下面让我们利用控制台创建一个端点！首先打开VPC Dashboard并选定所需要的区域。在导航栏中找到Endpoints项目并点击：

新机制——面向Amazon S3的VPC Endpoint

如果大家已经创建了一些VPC Endpoint，那么它们会显示在以下列表当中：

新机制——面向Amazon S3的VPC Endpoint

现在点击Create Endpoint，选定所需的VPC，而后对访问政策进行自定义（如果需要）：

新机制——面向Amazon S3的VPC Endpoint

VPC Endpoint上的访问政策允许大家驳回那些指向非受信S3存储桶的请求（在默认状态下，VPC Endpoint能够访问任意S3存储桶）。大家也可以利用S3存储桶上的访问政策来控制来自特定VPC或者VPC Endpoint的访问请求。这些访问政策将用到新的 aws:SourceVpc 与 aws:SourceVpce 条件（请大家点击此处查看说明文档以了解更多细节信息）。

通过上图想必大家能够猜到，我们最终将能够为其它各类AWS服务创建对应的VPC Endpoint！

现在选定有资格接入该端点的VPC子网：

新机制——面向Amazon S3的VPC Endpoint

正如上图中的说明文字所示，利用相关子网内某实例的公共IP地址所开启的连接将在大家创建VPC Endpoint时被取消。

一旦我们的VPC Endpoint创建完成，S3公有端点与DNS名称将继续如常发挥作用。该Endpoint只会单纯改变请求从EC2到S3的路由方式。

现已正式上线

面向Amazon S3的Amazon VPC Endpoint目前已经在美国东部（北弗吉尼亚州）（用于访问美国标准区域）、美国西部（俄勒冈州）、美国西部（北加利福尼亚州）、欧洲（爱尔兰）、欧洲（法兰克福）、亚太地区（东京）、亚太地区（新加坡）以及亚太地区（悉尼）等区域内正式上线。大家可以马上将其纳入自己的服务体系。请点击此处了解更多与VPC Endpoint相关的细节信息。

原文链接： https://aws.amazon.com/cn/blogs/aws/new-vpc-endpoint-for-amazon-s3/

正文到此结束