AWS PrivateLink untuk Amazon S3 - Amazon Simple Storage Service
Jenis titik VPC akhirPembatasan dan batasan AWS PrivateLink untuk Amazon S3Membuat titik VPC akhirMengakses titik akhir antarmuka Amazon S3Pribadi DNSMengakses bucket, titik akses, dan operasi API Kontrol Amazon S3 dari titik akhir antarmuka S3Memperbarui konfigurasi lokal DNSMembuat kebijakan VPC endpoint

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS PrivateLink untuk Amazon S3

Dengan AWS PrivateLink Amazon S3, Anda dapat menyediakan VPCtitik akhir antarmuka (titik akhir antarmuka) di cloud pribadi virtual Anda (). VPC Titik akhir ini dapat diakses langsung dari aplikasi yang ada di tempat di atas VPN dan AWS Direct Connect, atau di Wilayah AWS atas VPC peering yang berbeda.

Endpoint antarmuka diwakili oleh satu atau lebih antarmuka jaringan elastis (ENIs) yang diberi alamat IP pribadi dari subnet di Anda. VPC Permintaan ke Amazon S3 melalui titik akhir antarmuka tetap berada di jaringan Amazon. Anda juga dapat mengakses titik akhir antarmuka VPC dari aplikasi lokal melalui AWS Direct Connect atau AWS Virtual Private Network ()AWS VPN. Untuk informasi selengkapnya tentang cara menghubungkan Anda VPC dengan jaringan lokal, lihat Panduan AWS Direct Connect Pengguna dan Panduan AWS Site-to-Site VPN Pengguna.

Untuk informasi umum tentang titik akhir antarmuka, lihat VPCEndpoint antarmuka (AWS PrivateLink) di Panduan.AWS PrivateLink

Jenis VPC titik akhir untuk Amazon S3

Anda dapat menggunakan dua jenis VPC titik akhir untuk mengakses Amazon S3: titik akhir gateway dan titik akhir antarmuka (dengan menggunakan). AWS PrivateLinkTitik akhir gateway adalah gateway yang Anda tentukan dalam tabel rute untuk mengakses Amazon S3 dari jaringan VPC Anda melalui AWS jaringan. Titik akhir antarmuka memperluas fungsionalitas titik akhir gateway dengan menggunakan alamat IP pribadi untuk merutekan permintaan ke Amazon S3 dari dalamVPC, di tempat, atau dari VPC yang Wilayah AWS lain dengan VPC menggunakan peering atau. AWS Transit Gateway Untuk informasi lebih lanjut, lihat Apa itu VPC mengintip? dan Transit Gateway vs VPC mengintip.

Titik akhir antarmuka kompatibel dengan titik akhir gateway. Jika Anda memiliki titik akhir gateway yang ada diVPC, Anda dapat menggunakan kedua jenis titik akhir yang sama. VPC

Titik akhir gateway untuk Amazon S3

Titik akhir antarmuka untuk Amazon S3

Dalam kedua kasus, lalu lintas jaringan Anda tetap berada di AWS jaringan.

Gunakan alamat IP publik Amazon S3

Gunakan alamat IP pribadi dari Anda VPC untuk mengakses Amazon S3

Gunakan nama Amazon DNS S3 yang sama

Memerlukan nama Amazon S3 khusus titik akhir DNS

Jangan izinkan mengakses dari on-premise

Izinkan mengakses dari on-premise

Jangan izinkan akses dari yang lain Wilayah AWS

Izinkan akses dari VPC yang lain Wilayah AWS dengan menggunakan VPC peering atau AWS Transit Gateway

Tidak ditagih

Ditagih

Untuk informasi selengkapnya tentang titik akhir gateway, lihat VPCtitik akhir Gateway di Panduan.AWS PrivateLink

VPCbatasan berlaku AWS PrivateLink untuk Amazon S3. Untuk informasi selengkapnya, lihat Pertimbangan antarmuka titik akhir dan AWS PrivateLink kuota dalam AWS PrivateLink Panduan. Selain itu, larangan berikut juga berlaku.

AWS PrivateLink untuk Amazon S3 tidak mendukung yang berikut:

Membuat titik VPC akhir

Untuk membuat titik akhir VPC antarmuka, lihat Membuat VPC titik akhir di Panduan.AWS PrivateLink

Mengakses titik akhir antarmuka Amazon S3

Saat Anda membuat titik akhir antarmuka, Amazon S3 menghasilkan dua jenis nama S3 khusus titik akhir: Regional dan zonaDNS.

  • DNSNama Regional mencakup ID VPC titik akhir yang unik, pengenal layanan Wilayah AWS, dan vpce.amazonaws.com namanya. Misalnya, untuk ID VPC titik akhirvpce-1a2b3c4d, DNS nama yang dihasilkan mungkin mirip vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com dengan.

  • DNSNama Zonal mencakup Availability Zone—misalnya,. vpce-1a2b3c4d-5e6f-us-east-1a.s3.us-east-1.vpce.amazonaws.com Anda dapat menggunakan opsi ini jika arsitektur Anda mengisolasi Zona Ketersediaan. Contoh, Anda bisa menggunakannya untuk kontainer kesalahan atau untuk mengurangi biaya transfer data Regional.

DNSNama S3 khusus titik akhir dapat diselesaikan dari domain publik S3. DNS

Pribadi DNS

DNSOpsi pribadi untuk titik akhir VPC antarmuka menyederhanakan perutean lalu lintas S3 melalui VPC titik akhir dan membantu Anda memanfaatkan jalur jaringan dengan biaya terendah yang tersedia untuk aplikasi Anda. Anda dapat menggunakan DNS opsi pribadi untuk merutekan lalu lintas Regional S3 tanpa memperbarui klien S3 Anda untuk menggunakan DNS nama spesifik titik akhir dari titik akhir antarmuka Anda, atau mengelola infrastruktur. DNS Dengan mengaktifkan DNS nama pribadi, DNS kueri Regional S3 diselesaikan ke alamat IP pribadi AWS PrivateLink untuk titik akhir berikut:

  • Titik akhir bucket regional (misalnya, s3.us-east-1.amazonaws.com)

  • Kontrol titik akhir (misalnya, s3-control.us-east-1.amazonaws.com)

  • Titik akhir titik akses (misalnya, s3-accesspoint.us-east-1.amazonaws.com)

Jika Anda memiliki titik akhir gatewayVPC, Anda dapat secara otomatis merutekan VPC permintaan masuk ke titik akhir gateway S3 yang ada dan permintaan lokal melalui titik akhir antarmuka Anda. Pendekatan ini memungkinkan Anda untuk mengoptimalkan biaya jaringan Anda dengan menggunakan titik akhir gateway, yang tidak ditagih, untuk lalu lintas masuk Anda. VPC Aplikasi lokal Anda dapat digunakan AWS PrivateLink dengan bantuan titik akhir Resolver masuk. Amazon menyediakan DNS server, yang disebut Route 53 Resolver, untuk Anda. VPC Titik akhir Resolver masuk meneruskan DNS kueri dari jaringan lokal ke Resolver Route 53.

penting

Untuk memanfaatkan jalur jaringan dengan biaya terendah saat menggunakan Aktifkan pribadi DNS hanya untuk titik akhir masuk, titik akhir gateway harus ada di Anda. VPC Kehadiran titik akhir gateway membantu memastikan bahwa VPC lalu lintas masuk selalu merutekan melalui jaringan AWS pribadi saat opsi Aktifkan DNS hanya pribadi untuk titik akhir masuk dipilih. Anda harus mempertahankan titik akhir gateway ini saat Anda memiliki opsi Aktifkan DNS hanya pribadi untuk titik akhir masuk yang dipilih. Jika Anda ingin menghapus titik akhir gateway Anda, Anda harus terlebih dahulu menghapus Aktifkan pribadi DNS hanya untuk titik akhir masuk.

Jika Anda ingin memperbarui titik akhir antarmuka yang ada ke Aktifkan pribadi DNS hanya untuk titik akhir masuk, konfirmasikan terlebih dahulu bahwa Anda VPC memiliki titik akhir gateway S3. Untuk informasi selengkapnya tentang titik akhir gateway dan mengelola DNS nama pribadi, lihat VPCtitik akhir Gateway dan Kelola DNS nama masing-masing dalam Panduan.AWS PrivateLink

Opsi Aktifkan DNS hanya pribadi untuk titik akhir masuk hanya tersedia untuk layanan yang mendukung titik akhir gateway.

Untuk informasi selengkapnya tentang membuat VPC titik akhir yang menggunakan Aktifkan pribadi DNS hanya untuk titik akhir masuk, lihat Membuat titik akhir antarmuka di Panduan.AWS PrivateLink

Menggunakan VPC konsol

Di konsol Anda memiliki dua opsi: Aktifkan DNS nama dan Aktifkan pribadi DNS hanya untuk titik akhir masuk. Aktifkan DNS nama adalah opsi yang didukung oleh AWS PrivateLink. Dengan menggunakan opsi Aktifkan DNS nama, Anda dapat menggunakan konektivitas pribadi Amazon ke Amazon S3, sambil membuat permintaan ke nama titik akhir DNS publik default. Ketika opsi ini diaktifkan, pelanggan dapat memanfaatkan jalur jaringan biaya terendah yang tersedia untuk aplikasi mereka.

Saat Anda mengaktifkan DNS nama pribadi pada titik akhir VPC antarmuka yang ada atau yang baru untuk Amazon S3, opsi Aktifkan hanya DNS pribadi untuk titik akhir masuk dipilih secara default. Jika opsi ini dipilih, aplikasi Anda hanya menggunakan titik akhir antarmuka untuk lalu lintas on-premise Anda. VPCLalu lintas masuk ini secara otomatis menggunakan titik akhir gateway berbiaya lebih rendah. Atau, Anda dapat menghapus Aktifkan pribadi DNS hanya untuk titik akhir masuk untuk merutekan semua permintaan S3 melalui titik akhir antarmuka Anda.

Menggunakan AWS CLI

Jika Anda tidak menentukan nilai untuk PrivateDnsOnlyForInboundResolverEndpoint, itu akan secara default diatur ke true. Namun, sebelum Anda VPC menerapkan pengaturan Anda, ia melakukan pemeriksaan untuk memastikan bahwa Anda memiliki titik akhir gateway yang ada diVPC. Jika titik akhir gateway hadir diVPC, panggilan berhasil. Jika tidak, Anda akan melihat pesan kesalahan berikut ini:

Untuk disetel PrivateDnsOnlyForInboundResolverEndpoint ke true, VPC vpce_id harus memiliki titik akhir gateway untuk layanan tersebut.

Untuk titik akhir VPC Antarmuka baru

Gunakan dns-options atribut private-dns-enabled dan untuk mengaktifkan privat DNS melalui baris perintah. Opsi PrivateDnsOnlyForInboundResolverEndpoint dalam atribut dns-options harus diatur ke true. Ganti user input placeholders dengan informasi Anda sendiri.


aws ec2 create-vpc-endpoint \
--region us-east-1 \
--service-name s3-service-name \
--vpc-id client-vpc-id \
--subnet-ids client-subnet-id \ 
--vpc-endpoint-type Interface  \
--private-dns-enabled  \
--ip-address-type ip-address-type \ 
--dns-options PrivateDnsOnlyForInboundResolverEndpoint=true \
--security-group-ids client-sg-id

Untuk titik VPC akhir yang ada

Jika Anda ingin menggunakan private DNS untuk VPC endpoint yang ada, gunakan perintah contoh berikut dan ganti user input placeholders dengan informasi Anda sendiri.


aws ec2 modify-vpc-endpoint \
--region us-east-1 \
--vpc-endpoint-id client-vpc-id \
--private-dns-enabled \
--dns-options PrivateDnsOnlyForInboundResolverEndpoint=false

Jika Anda ingin memperbarui VPC titik akhir yang ada untuk mengaktifkan privat DNS hanya untuk Inbound Resolver, gunakan contoh berikut dan ganti nilai sampel dengan milik Anda sendiri.


aws ec2 modify-vpc-endpoint \
--region us-east-1 \
--vpc-endpoint-id client-vpc-id \
--private-dns-enabled \
--dns-options PrivateDnsOnlyForInboundResolverEndpoint=true

Mengakses bucket, titik akses, dan operasi API Kontrol Amazon S3 dari titik akhir antarmuka S3

Anda dapat menggunakan AWS CLI atau AWS SDKs untuk mengakses bucket, jalur akses S3, dan operasi API Kontrol Amazon S3 melalui titik akhir antarmuka S3.

Gambar berikut menunjukkan tab Detail VPC konsol, di mana Anda dapat menemukan DNS nama VPC titik akhir. Dalam contoh ini, ID VPC endpoint (vpce-id) adalah vpce-0e25b8cdd720f900e dan namanya adalah. DNS *.vpce-0e25b8cdd720f900e-argc85vg.s3.us-east-1.vpce.amazonaws.com

Tab Detail di VPC konsol.

Saat menggunakan DNS nama untuk mengakses sumber daya, ganti * dengan nilai yang sesuai. Nilai yang sesuai untuk digunakan sebagai pengganti * adalah sebagai berikut:

  • bucket

  • accesspoint

  • control

Misalnya, untuk mengakses bucket, gunakan DNSnama seperti ini:

bucket.vpce-0e25b8cdd720f900e-argc85vg.s3.us-east-1.vpce.amazonaws.com

Untuk contoh cara menggunakan DNS nama untuk mengakses bucket, titik akses, dan operasi API Kontrol Amazon S3, lihat bagian AWS CLI contoh berikut dari dan. AWS SDKcontoh

Untuk informasi selengkapnya tentang cara melihat DNS nama spesifik titik akhir Anda, lihat Melihat konfigurasi DNS nama pribadi layanan titik akhir di Panduan Pengguna. VPC

Untuk mengakses bucket S3, titik akses S3, atau API operasi Kontrol Amazon S3 melalui titik akhir antarmuka S3 dalam AWS CLI perintah, gunakan parameter dan. --region --endpoint-url

Contoh: Gunakan titik akhir URL untuk mencantumkan objek di bucket Anda

Pada contoh berikut, ganti nama bucketmy-bucket, Regionus-east-1, dan DNS nama ID VPC endpoint vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com dengan informasi Anda sendiri.

aws s3 ls s3://my-bucket/ --region us-east-1 --endpoint-url https://bucket.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com

Contoh: Gunakan endpoint URL untuk daftar objek dari titik akses

  • Metode 1 - Menggunakan Nama Sumber Daya Amazon (ARN) dari titik akses dengan titik akhir titik akses

    Ganti ARNus-east-1:123456789012:accesspoint/accesspointexamplename, Wilayahus-east-1, dan ID VPC endpoint vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com dengan informasi Anda sendiri.

    aws s3api list-objects-v2 --bucket arn:aws:s3:us-east-1:123456789012:accesspoint/accesspointexamplename --region us-east-1 --endpoint-url https://accesspoint.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com

    Jika Anda tidak berhasil menjalankan perintah, perbarui AWS CLI ke versi terbaru dan coba lagi. Untuk informasi selengkapnya tentang petunjuk pemutsufiks, lihat Menginstal atau memperbarui versi terbaru AWS CLI dalam AWS Command Line Interface Panduan Pengguna.

  • Metode 2—Menggunakan alias titik akses dengan titik akhir bucket regional

    Dalam contoh berikut, ganti alias access pointaccesspointexamplename-8tyekmigicmhun8n9kwpfur39dnw4use1a-s3alias, Regionus-east-1, dan VPC endpoint ID vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com dengan informasi Anda sendiri.

    aws s3api list-objects-v2 --bucket accesspointexamplename-8tyekmigicmhun8n9kwpfur39dnw4use1a-s3alias --region us-east-1 --endpoint-url https://bucket.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com

  • Metode 3—Menggunakan alias titik akses dengan titik akhir titik akses

    Pertama, untuk membuat titik akhir S3 dengan bucket yang disertakan sebagai bagian dari nama host, atur gaya pengalamatan virtual aws s3api untuk digunakan. Untuk informasi selengkapnyaAWS configure, lihat Pengaturan konfigurasi dan file kredensial di Panduan AWS Command Line Interface Pengguna. 

    aws configure set default.s3.addressing_style virtual

    Kemudian, dalam contoh berikut, ganti alias access pointaccesspointexamplename-8tyekmigicmhun8n9kwpfur39dnw4use1a-s3alias, Regionus-east-1, dan VPC endpoint ID vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com dengan informasi Anda sendiri. Untuk informasi selengkapnya tentang alias titik akses, lihatMenggunakan alias gaya bucket untuk titik akses bucket S3 Anda.

    aws s3api list-objects-v2 --bucket accesspointexamplename-8tyekmigicmhun8n9kwpfur39dnw4use1a-s3alias --region us-east-1 --endpoint-url https://accesspoint.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com
Contoh: Gunakan endpoint URL untuk daftar pekerjaan dengan operasi kontrol S3 API

Dalam contoh berikut, ganti Regionus-east-1, ID VPC endpointvpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com, dan ID akun 12345678 dengan informasi Anda sendiri.

aws s3control --region us-east-1 --endpoint-url https://control.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com list-jobs --account-id 12345678

Untuk mengakses bucket S3, titik akses S3, atau API operasi Kontrol Amazon S3 melalui titik akhir antarmuka S3 saat menggunakan AWS SDKs, perbarui ke versi terbaru. SDKs Kemudian konfigurasikan klien Anda untuk menggunakan titik akhir URL untuk mengakses bucket, access point, atau operasi Amazon S3 API Control melalui titik akhir antarmuka S3.

SDK for Python (Boto3)
Contoh: Menggunakan endpoint URL untuk mengakses bucket S3

Dalam contoh berikut, ganti Region us-east-1 dan VPC endpoint ID vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com dengan informasi Anda sendiri. 

s3_client = session.client(
service_name='s3',
region_name='us-east-1',
endpoint_url='https://bucket.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com'
)
Contoh: Gunakan titik akhir URL untuk mengakses titik akses S3

Dalam contoh berikut, ganti Region us-east-1 dan VPC endpoint ID vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com dengan informasi Anda sendiri. 

ap_client = session.client(
service_name='s3',
region_name='us-east-1',
endpoint_url='https://accesspoint.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com'
)
Contoh: Gunakan titik akhir URL untuk mengakses Kontrol Amazon S3 API

Dalam contoh berikut, ganti Region us-east-1 dan VPC endpoint ID vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com dengan informasi Anda sendiri. 

control_client = session.client(
service_name='s3control',
region_name='us-east-1',
endpoint_url='https://control.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com'
)
SDK for Java 1.x
Contoh: Menggunakan endpoint URL untuk mengakses bucket S3

Dalam contoh berikut, ganti ID VPC endpoint vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com dengan informasi Anda sendiri. 

// bucket client
final AmazonS3 s3 = AmazonS3ClientBuilder.standard().withEndpointConfiguration(
        new AwsClientBuilder.EndpointConfiguration(
                "https://bucket.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com",
                Regions.DEFAULT_REGION.getName()
        )
).build();
List<Bucket> buckets = s3.listBuckets();
Contoh: Gunakan titik akhir URL untuk mengakses titik akses S3

Dalam contoh berikut, ganti ID VPC endpoint vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com dan ARN us-east-1:123456789012:accesspoint/prod dengan informasi Anda sendiri. 

// accesspoint client
final AmazonS3 s3accesspoint = AmazonS3ClientBuilder.standard().withEndpointConfiguration(
        new AwsClientBuilder.EndpointConfiguration(
                "https://accesspoint.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com",
                Regions.DEFAULT_REGION.getName()
        )
).build();
ObjectListing objects = s3accesspoint.listObjects("arn:aws:s3:us-east-1:123456789012:accesspoint/prod");
Contoh: Menggunakan titik akhir URL untuk mengakses operasi Kontrol Amazon S3 API

Dalam contoh berikut, ganti ID VPC endpoint vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com dengan informasi Anda sendiri. 

// control client
final AWSS3Control s3control = AWSS3ControlClient.builder().withEndpointConfiguration(
        new AwsClientBuilder.EndpointConfiguration(
                "https://control.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com",
                Regions.DEFAULT_REGION.getName()
        )
).build();
final ListJobsResult jobs = s3control.listJobs(new ListJobsRequest());
SDK for Java 2.x
Contoh: Menggunakan endpoint URL untuk mengakses bucket S3

Dalam contoh berikut, ganti ID VPC endpoint vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com dan Region Region.US_EAST_1 dengan informasi Anda sendiri.

// bucket client
Region region = Region.US_EAST_1;
s3Client = S3Client.builder().region(region)
                   .endpointOverride(URI.create("https://bucket.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com"))
                   .build()
Contoh: Gunakan titik akhir URL untuk mengakses titik akses S3

Dalam contoh berikut, ganti ID VPC endpoint vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com dan Region Region.US_EAST_1 dengan informasi Anda sendiri.

// accesspoint client
Region region = Region.US_EAST_1;
s3Client = S3Client.builder().region(region)
                   .endpointOverride(URI.create("https://accesspoint.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com"))
                   .build()
Contoh: Gunakan titik akhir URL untuk mengakses Kontrol Amazon S3 API

Dalam contoh berikut, ganti ID VPC endpoint vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com dan Region Region.US_EAST_1 dengan informasi Anda sendiri.

// control client
Region region = Region.US_EAST_1;
s3ControlClient = S3ControlClient.builder().region(region)
                                 .endpointOverride(URI.create("https://control.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com"))
                                 .build()

Memperbarui konfigurasi lokal DNS

Saat menggunakan DNS nama khusus titik akhir untuk mengakses titik akhir antarmuka Amazon S3, Anda tidak perlu memperbarui resolver lokal. DNS Anda dapat menyelesaikan DNS nama spesifik titik akhir dengan alamat IP pribadi titik akhir antarmuka dari domain Amazon S3 publik. DNS

Menggunakan titik akhir antarmuka untuk mengakses Amazon S3 tanpa titik akhir gateway atau gateway internet di VPC

Titik akhir antarmuka di Anda VPC dapat merutekan aplikasi dalam- dan VPC aplikasi lokal ke Amazon S3 melalui jaringan Amazon, seperti yang diilustrasikan dalam diagram berikut.

Diagram aliran data yang menunjukkan akses ke Amazon S3 menggunakan titik akhir antarmuka dan. AWS PrivateLink

Diagram ini menggambarkan hal sebagai berikut:

  • Jaringan lokal Anda menggunakan AWS Direct Connect atau terhubung AWS VPN ke VPC A.

  • Aplikasi Anda lokal dan di VPC A menggunakan DNS nama khusus titik akhir untuk mengakses Amazon S3 melalui titik akhir antarmuka S3.

  • Aplikasi lokal mengirim data ke titik akhir antarmuka di VPC through AWS Direct Connect (atau AWS VPN). AWS PrivateLink memindahkan data dari titik akhir antarmuka ke Amazon S3 melalui AWS jaringan.

  • VPCAplikasi in- juga mengirim lalu lintas ke titik akhir antarmuka. AWS PrivateLink memindahkan data dari titik akhir antarmuka ke Amazon S3 melalui AWS jaringan.

Menggunakan titik akhir gateway dan titik akhir antarmuka secara bersamaan VPC untuk mengakses Amazon S3

Anda dapat membuat titik akhir antarmuka dan mempertahankan titik akhir gateway yang ada dalam hal yang samaVPC, seperti yang ditunjukkan diagram berikut. Dengan mengambil pendekatan ini, Anda mengizinkan VPC aplikasi masuk untuk terus mengakses Amazon S3 melalui titik akhir gateway, yang tidak ditagih. Kemudian, hanya aplikasi lokal Anda yang akan menggunakan titik akhir antarmuka untuk mengakses Amazon S3. Untuk mengakses Amazon S3 dengan cara ini, Anda harus memperbarui aplikasi lokal untuk menggunakan nama khusus titik akhir DNS untuk Amazon S3.

Diagram aliran data yang menunjukkan akses ke Amazon S3 menggunakan titik akhir gateway dan titik akhir antarmuka.

Diagram ini menggambarkan hal sebagai berikut:

  • Aplikasi lokal menggunakan DNS nama khusus titik akhir untuk mengirim data ke titik akhir antarmuka dalam through (or). VPC AWS Direct Connect AWS VPN AWS PrivateLink memindahkan data dari titik akhir antarmuka ke Amazon S3 melalui AWS jaringan.

  • Menggunakan nama Amazon S3 Regional default, VPC aplikasi in- mengirim data ke titik akhir gateway yang terhubung ke Amazon S3 melalui jaringan. AWS

Untuk informasi selengkapnya tentang titik akhir gateway, lihat VPCtitik akhir Gateway di VPCPanduan Pengguna.

Membuat kebijakan VPC titik akhir untuk Amazon S3

Anda dapat melampirkan kebijakan titik akhir ke VPC titik akhir yang mengontrol akses ke Amazon S3. Kebijakan titik akhir mencantumkan informasi berikut:

  • AWS Identity and Access Management (IAM) Prinsipal yang dapat melakukan tindakan

  • Tindakan-tindakan yang dapat dilakukan

  • Sumber daya yang padanya tindakan dapat dilakukan

Anda juga dapat menggunakan kebijakan bucket Amazon S3 untuk membatasi akses ke bucket tertentu dari VPC titik akhir tertentu dengan menggunakan aws:sourceVpce kondisi dalam kebijakan bucket Anda. Contoh berikut menunjukkan kebijakan yang membatasi akses ke bucket atau titik akhir.

Anda dapat membuat kebijakan titik akhir yang membatasi akses ke bucket S3 Amazon tertentu saja. Jenis kebijakan ini berguna jika Anda memiliki orang lain AWS services di ember VPC yang menggunakan Anda. Kebijakan bucket berikut hanya membatasi akses ke file amzn-s3-demo-bucket1. Untuk menggunakan kebijakan titik akhir ini, ganti amzn-s3-demo-bucket1 dengan nama bucket Anda.

{
  "Version": "2012-10-17",
  "Id": "Policy1415115909151",
  "Statement": [
    { "Sid": "Access-to-specific-bucket-only",
      "Principal": "*",
      "Action": [
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Effect": "Allow",
      "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket1",
                   "arn:aws:s3:::amzn-s3-demo-bucket1/*"]
    }
  ]
}

Anda dapat membuat kebijakan titik akhir yang membatasi akses hanya ke bucket S3 di bucket tertentu. Akun AWS Untuk mencegah klien dalam mengakses bucket yang tidak Anda miliki, gunakan pernyataan berikut dalam kebijakan endpoint Anda. VPC Contoh pernyataan berikut membuat kebijakan yang membatasi akses ke sumber daya yang dimiliki oleh satu Akun AWS ID, 111122223333.

{
  "Statement": [
    {
      "Sid": "Access-to-bucket-in-specific-account-only",
      "Principal": "*",
      "Action": [
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Effect": "Deny",
      "Resource": "arn:aws:s3:::*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": "111122223333"
        }
      }
    }
  ]
}
catatan

Untuk menentukan Akun AWS ID sumber daya yang diakses, Anda dapat menggunakan kunci aws:ResourceAccount atau s3:ResourceAccount kunci dalam IAM kebijakan Anda. Namun, ketahuilah bahwa beberapa AWS services mengandalkan akses ke bucket yang AWS dikelola. Oleh karena itu, menggunakan aws:ResourceAccount atau s3:ResourceAccount kunci dalam IAM kebijakan Anda juga dapat memengaruhi akses ke sumber daya ini.

Contoh: Membatasi akses ke VPC titik akhir tertentu dalam kebijakan bucket S3

Kebijakan bucket Amazon S3 berikut memungkinkan akses ke bucket tertentuamzn-s3-demo-bucket2, hanya dari titik akhirVPC. vpce-1a2b3c4d Kebijakan ini menolak semua akses ke bucket jika titik akhir yang ditentukan tidak digunakan. aws:sourceVpceKondisi menentukan titik akhir dan tidak memerlukan Amazon Resource Name (ARN) untuk sumber daya VPC endpoint, hanya ID endpoint. Untuk menggunakan kebijakan bucket ini, ganti amzn-s3-demo-bucket2 dan vpce-1a2b3c4d dengan nama bucket dan titik akhir Anda.

penting

  • Saat menerapkan kebijakan bucket Amazon S3 berikut untuk membatasi akses hanya ke VPC titik akhir tertentu, Anda dapat memblokir akses ke bucket tanpa bermaksud melakukannya. Kebijakan bucket yang dimaksudkan untuk secara khusus membatasi akses bucket ke koneksi yang berasal dari VPC titik akhir Anda dapat memblokir semua koneksi ke bucket. Untuk informasi tentang cara memperbaiki masalah ini, lihat Kebijakan bucket saya memiliki ID VPC titik akhir VPC atau salah. Bagaimana saya dapat memperbaiki kebijakan tersebut sehingga saya dapat mengakses bucket? dalam AWS Support Pusat Pengetahuan.

  • Sebelum menggunakan contoh kebijakan berikut, ganti ID VPC endpoint dengan nilai yang sesuai untuk kasus penggunaan Anda. Jika tidak, Anda tidak akan dapat mengakses bucket Anda.

  • Kebijakan ini menonaktifkan akses konsol ke bucket yang ditentukan, karena permintaan konsol tidak berasal dari titik akhir yang ditentukanVPC. 

{
  "Version": "2012-10-17",
  "Id": "Policy1415115909152",
  "Statement": [
    { "Sid": "Access-to-specific-VPCE-only",
      "Principal": "*",
      "Action": "s3:*",
      "Effect": "Deny",
      "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket2",
                   "arn:aws:s3:::amzn-s3-demo-bucket2/*"],
      "Condition": {"StringNotEquals": {"aws:sourceVpce": "vpce-1a2b3c4d"}}
    }
  ]
}

Untuk contoh kebijakan lainnya, lihat Titik akhir untuk Amazon S3 di Panduan Pengguna VPC.

Untuk informasi selengkapnya tentang VPC konektivitas, lihat opsi konektivitas ke jaringan di VPC AWS whitepaper Opsi Konektivitas Amazon Virtual Private Cloud.