Endpoint gateway

Gli endpoint VPC gateway offrono una connettività affidabile ad Amazon S3 e DynamoDB senza richiedere un gateway Internet o un dispositivo NAT per il VPC. Gli endpoint gateway non vengono utilizzati AWS PrivateLink, a differenza di altri tipi di endpoint VPC.

Amazon S3 e DynamoDB supportano sia gli endpoint gateway che gli endpoint di interfaccia. Per un confronto tra le opzioni, consulta quanto segue:

Prezzi

L'utilizzo di endpoint gateway non comporta costi supplementari.

Indice

Panoramica

Puoi accedere ad Amazon S3 e DynamoDB tramite gli endpoint di servizio pubblico o tramite gli endpoint gateway. Questa panoramica mette a confronto i due metodi.

Accesso tramite un gateway Internet

Il diagramma seguente mostra il modo in cui le istanze accedono ad Amazon S3 e DynamoDB tramite i loro endpoint di servizio pubblico. Il traffico verso Amazon S3 o DynamoDB da un'istanza presente in una sottorete pubblica viene instradato al gateway Internet del VPC e successivamente al servizio. Le istanze presenti in una sottorete privata non possono inviare traffico ad Amazon S3 o DynamoDB, perché per definizione le sottoreti private non hanno route verso un gateway Internet. Per abilitare le istanze nella sottorete privata per inviare il traffico ad Amazon S3 o DynamoDB, è necessario aggiungere un dispositivo NAT alla sottorete pubblica e instradare il traffico nella sottorete privata al dispositivo NAT. Sebbene il traffico verso Amazon S3 o DynamoDB attraversi il gateway Internet, non esce dalla rete. AWS

Il traffico esce dal tuo VPC attraverso un gateway Internet, ma rimane nella AWS rete.

Accesso tramite un endpoint gateway

Il diagramma seguente mostra il modo in cui le istanze accedono ad Amazon S3 e DynamoDB tramite un endpoint gateway. Il traffico in transito dal VPC ad Amazon S3 o a DynamoDB viene instradato verso l'endpoint gateway. Ogni tabella di instradamento della sottorete deve disporre di una route che invia il traffico destinato al servizio all'endpoint gateway utilizzando l'elenco di prefissi del servizio. Per maggiori informazioni, consulta Elenchi di prefissi gestiti da AWS nella Guida dell'utente di Amazon VPC.

Il traffico proveniente dal tuo VPC viene indirizzato all'endpoint del gateway.

Routing

Quando crei un endpoint gateway, seleziona le tabelle di instradamento del VPC per le sottoreti abilitate. La route seguente viene aggiunta automaticamente a ogni tabella di instradamento selezionata. La destinazione è un elenco di prefissi per il servizio di proprietà di AWS e la destinazione è l'endpoint del gateway.

Destinazione	Target
`prefix_list_id`	`gateway_endpoint_id`

Considerazioni

Puoi esaminare le route dell'endpoint che aggiungiamo alla tabella di instradamento, ma non puoi modificarle o eliminarle. Per aggiungere una route dell'endpoint a una tabella di instradamento, associala all'endpoint gateway. La route dell'endpoint viene eliminata quando si dissocia la tabella di instradamento dall'endpoint gateway o quando si rimuove l'endpoint gateway.
Tutte le istanze nelle sottoreti associate a una tabella di instradamento, a sua volta associata a un endpoint gateway, utilizzano automaticamente l'endpoint gateway per accedere al servizio. Le istanze presenti nelle sottoreti non associate a queste tabelle di instradamento utilizzano l'endpoint del servizio pubblico, non l'endpoint gateway.
Una tabella di instradamento può presentare sia una route dell'endpoint verso Amazon S3 sia una route dell'endpoint verso DynamoDB. È possibile avere route dell'endpoint che fanno riferimento allo stesso servizio (Amazon S3 o DynamoDB) in più tabelle di instradamento. Tuttavia, non è possibile avere più route dell'endpoint per lo stesso servizio (Amazon S3 o DynamoDB) in una singola tabella di instradamento.
La route più specifica che corrisponde al traffico viene utilizzata per determinare come istradare il traffico (corrispondenza prefisso più lungo). Per le tabelle di instradamento con una route dell'endpoint, questo significa che:
- Se disponi di una route che invia tutto il traffico Internet (0.0.0.0/0) a un gateway Internet, la route dell'endpoint ha la precedenza per il traffico destinato al servizio (Amazon S3 o DynamoDB) nella regione corrente. Il traffico destinato a un altro utente Servizio AWS utilizza il gateway Internet.
- Il traffico destinato al servizio (Amazon S3 o DynamoDB) in una regione diversa viene indirizzato verso il gateway Internet perché gli elenchi di prefissi sono specifici per una regione.
- Se disponi di una route che specifica l'intervallo esatto di indirizzi IP per il servizio (Amazon S3 o DynamoDB) nella stessa regione, tale route ha la precedenza sulla route dell'endpoint.

Sicurezza

Quando le istanze accedono ad Amazon S3 o DynamoDB tramite un endpoint gateway, accedono al servizio tramite il relativo endpoint pubblico. I gruppi di sicurezza per queste istanze devono consentire il traffico dal servizio. Di seguito è riportato un esempio di una regola di uscita. Fa riferimento all'ID dell'elenco dei prefissi del servizio.

Destinazione	Protocollo	Intervallo porte
`prefix_list_id`	TCP	443

Gli ACL di rete per le sottoreti per queste istanze devono inoltre consentire il traffico da e verso il servizio. Di seguito è riportato un esempio di una regola di uscita. Non è possibile fare riferimento agli elenchi di prefissi nelle regole ACL di rete, ma è possibile ottenere gli intervalli di indirizzi IP per il servizio dal relativo elenco di prefissi.

Destinazione	Protocollo	Intervallo porte
`service_cidr_block_1`	TCP	443
`service_cidr_block_2`	TCP	443
`service_cidr_block_3`	TCP	443

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Eliminazione di un endpoint dell'interfaccia

Endpoint per Amazon S3