Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Points de terminaison de passerelle
Les points de terminaison d'un VPC de passerelle fournissent une connectivité fiable à Amazon S3 et DynamoDB sans nécessiter de passerelle Internet ou d'appareil NAT pour votre VPC. Les points de terminaison de passerelle ne sont pas utilisés AWS PrivateLink, contrairement aux autres types de points de terminaison VPC.
Amazon S3 et DynamoDB prennent en charge à la fois les points de terminaison de passerelle et les points de terminaison d'interface. Pour une comparaison des options, consultez les rubriques suivantes :
Tarification
Il n'y a pas de frais supplémentaires pour l'utilisation de points de terminaison de passerelle.
Table des matières
Présentation
Vous pouvez accéder à Amazon S3 et DynamoDB via leurs points de terminaison de service public ou via des points de terminaison de passerelle. Cette vue d'ensemble compare ces méthodes.
Accès via une passerelle Internet
Le schéma suivant montre comment les instances accèdent à Amazon S3 et DynamoDB via leurs points de terminaison de service public. Le trafic vers Amazon S3 ou DynamoDB à partir d'une instance d'un sous-réseau public est acheminé vers la passerelle Internet du VPC, puis vers le service. Les instances d'un sous-réseau privé ne peuvent pas envoyer de trafic vers Amazon S3 ou DynamoDB, car par définition les sous-réseaux privés ne disposent pas d'itinéraires vers une passerelle Internet. Pour permettre aux instances du sous-réseau privé d'envoyer du trafic vers Amazon S3 ou DynamoDB, vous devez ajouter un appareil NAT au sous-réseau public et acheminer le trafic du sous-réseau privé vers l'appareil NAT. Lorsque le trafic vers Amazon S3 ou DynamoDB passe par la passerelle Internet, il ne quitte pas le réseau. AWS
Accès via un point de terminaison de passerelle
Le schéma suivant montre comment les instances accèdent à Amazon S3 et DynamoDB via un point de terminaison de passerelle. Le trafic de votre VPC vers Amazon S3 ou DynamoDB est acheminé vers le point de terminaison de passerelle. Chaque table de routage de sous-réseau doit avoir un itinéraire qui envoie le trafic destiné au service vers le point de terminaison de passerelle en utilisant la liste de préfixes du service. Pour plus d’informations, consultez les listes de préfixes gérés par AWS dans le Guide de l’utilisateur Amazon VPC.
Routage
Lorsque vous créez un point de terminaison de passerelle, vous sélectionnez les tables de routage VPC des sous-réseaux que vous activez. L'itinéraire suivant est automatiquement ajouté à chaque table de routage que vous sélectionnez. La destination est une liste de préfixes pour le service détenu par AWS et la cible est le point de terminaison de la passerelle.
| Destination | Cible |
|---|---|
prefix_list_id |
gateway_endpoint_id |
Considérations
-
Vous pouvez consulter les itinéraires de point de terminaison que nous ajoutons à votre table de routage, mais vous ne pouvez pas les modifier ni les supprimer. Pour ajouter un itinéraire de point de terminaison à une table de routage, associez-le au point de terminaison de passerelle. Nous supprimons l'itinéraire du point de terminaison lorsque vous dissociez la table de routage du point de terminaison de passerelle ou lorsque vous supprimez le point de terminaison de passerelle.
-
Toutes les instances des sous-réseaux associés à une table de routage associée à un point de terminaison de passerelle utilisent automatiquement le point de terminaison de passerelle pour accéder au service. Les instances des sous-réseaux qui ne sont pas associées à ces tables de routage utilisent le point de terminaison du service public, et non le point de terminaison de la passerelle.
-
Une table de routage peut avoir à la fois un itinéraire de point de terminaison vers Amazon S3 et un itinéraire de point de terminaison vers DynamoDB. Vous pouvez avoir des itinéraires de points de terminaison vers le même service (Amazon S3 ou DynamoDB) dans plusieurs tables de routage. Vous ne pouvez pas avoir plusieurs itinéraires de point de terminaison vers le même service (Amazon S3 ou DynamoDB) dans une seule table de routage.
-
Nous utilisons la route la plus spécifique qui correspond au trafic afin de déterminer comment router le trafic (correspondance de préfixe le plus long). Pour les tables de routage avec un itinéraire de point de terminaison, cela signifie ce qui suit :
-
S'il existe un itinéraire qui envoie tout le trafic Internet (0.0.0.0/0) vers une passerelle Internet, l'itinéraire du point de terminaison est prioritaire sur le trafic destiné au service (Amazon S3 ou DynamoDB) dans la Région actuelle. Le trafic destiné à un autre Service AWS utilise la passerelle Internet.
-
Le trafic destiné au service (Amazon S3 ou DynamoDB) dans une autre région est dirigé vers la passerelle Internet, car les listes de préfixes sont spécifiques à une Région.
-
S'il existe un itinéraire qui spécifie la plage d'adresses IP exacte du service (Amazon S3 ou DynamoDB) dans la même Région, cet itinéraire a la priorité sur l'itinéraire du point de terminaison.
-
Sécurité
Lorsque vos instances accèdent à Amazon S3 ou DynamoDB via un point de terminaison de passerelle, elles accèdent au service en utilisant son point de terminaison de passerelle. Les groupes de sécurité de ces instances doivent autoriser le trafic en provenance ou à destination du service. Voici un exemple de règle sortante. Elle fait référence à l'ID de la liste de préfixes du service.
| Destination | Protocole | Plage de ports |
|---|---|---|
prefix_list_id |
TCP | 443 |
Les ACL réseau pour les sous-réseaux de ces instances doivent également autoriser le trafic à destination et en provenance du service. Voici un exemple de règle sortante. Vous ne pouvez pas référencer les listes de préfixes dans les règles ACL réseau, mais vous pouvez obtenir les plages d'adresses IP du service à partir de sa liste de préfixes.
| Destination | Protocole | Plage de ports |
|---|---|---|
service_cidr_block_1 |
TCP | 443 |
service_cidr_block_2 |
TCP | 443 |
service_cidr_block_3 |
TCP | 443 |
