在这里我要向大家隆重介绍一项全新AWS功能,旨在帮助大家以更理想的方式使用Amazon Virtual Private Cloud(简称VPC)以及Amazon Simple Storage Service(简称S3)。如大家所知,S3能为用户提供安全、耐用且具备高度可扩展能力的对象存储服务。我们可以利用Virtual Private Cloud创建出一套AWS Cloud逻辑隔离区,并通过自己定义的虚拟网络对其进行全面控制。
当我们创建VPC时,需要利用安全组与访问控制列表(简称ACL)对输入及输出流量进行控制。就目前而言,如果大家希望让自己的EC2实例有能力访问公有资源,则必须使用Internet Gateway,且可能需要对部分NAT实例进行管理。
今天我们提出了VPC Endpoint的概念,希望借此在VPC内部简化S3资源的访问机制。这些商战易于配置、具备高度可靠性并能够提供指向S3的安全连接,而且整个流程不需要任何网关或者NAT实例的介入。
运行在VPC下私有子网内的EC2实例现在具备了面向S3存储桶、对象以及API功能等同处于该VPC范畴内要素的受控访问机制。大家可以利用一套S3存储桶政策来指定允许哪些VPC以及VPC Endpoint访问自己的S3存储桶。
大家可以利用AWS管理控制台、AWS合作行界面(简称CLI)、AWS Tools for Windows PowerShell以及VPC API创建并配置VPC Endpoint。
下面让我们利用控制台创建一个端点!首先打开VPC Dashboard并选定所需要的区域。在导航栏中找到Endpoints项目并点击:
如果大家已经创建了一些VPC Endpoint,那么它们会显示在以下列表当中:
现在点击Create Endpoint,选定所需的VPC,而后对访问政策进行自定义(如果需要):
VPC Endpoint上的访问政策允许大家驳回那些指向非受信S3存储桶的请求(在默认状态下,VPC Endpoint能够访问任意S3存储桶)。大家也可以利用S3存储桶上的访问政策来控制来自特定VPC或者VPC Endpoint的访问请求。这些访问政策将用到新的 aws:SourceVpc
与 aws:SourceVpce
条件(请大家 点击此处 查看说明文档以了解更多细节信息)。
通过上图想必大家能够猜到,我们最终将能够为其它各类AWS服务创建对应的VPC Endpoint!
现在选定有资格接入该端点的VPC子网:
正如上图中的说明文字所示,利用相关子网内某实例的公共IP地址所开启的连接将在大家创建VPC Endpoint时被取消。
一旦我们的VPC Endpoint创建完成,S3公有端点与DNS名称将继续如常发挥作用。该Endpoint只会单纯改变请求从EC2到S3的路由方式。
面向Amazon S3的Amazon VPC Endpoint目前已经在美国东部(北弗吉尼亚州)(用于访问美国标准区域)、美国西部(俄勒冈州)、美国西部(北加利福尼亚州)、欧洲(爱尔兰)、欧洲(法兰克福)、亚太地区(东京)、亚太地区(新加坡)以及亚太地区(悉尼)等区域内正式上线。大家可以马上将其纳入自己的服务体系。请 点击此处 了解更多与VPC Endpoint相关的细节信息。
原文链接: https://aws.amazon.com/cn/blogs/aws/new-vpc-endpoint-for-amazon-s3/