Endpoints de gateway

Os endpoints da VPC de gateway fornecem conectividade confiável para o Amazon S3 e o DynamoDB sem a necessidade de um gateway da Internet ou um dispositivo NAT para sua VPC. Os endpoints de gateway não usam o AWS PrivateLink, ao contrário de outros tipos de endpoints da VPC.

Não há cobrança adicional pelo uso de endpoints do gateway.

O Amazon S3 oferece suporte a endpoints de gateway e de interface. Para ver uma comparação das duas opções, consulte Tipos de endpoints da VPC para o Amazon S3 no Manual do usuário do Amazon S3.

Índice

Visão geral

É possível acessar o Amazon S3 e o DynamoDB por meio de endpoints de serviço públicos ou endpoints de gateway. Esta visão geral compara esses métodos.

Acessar por meio de um gateway da Internet

O seguinte diagrama mostra como as instâncias acessam o Amazon S3 e o DynamoDB pelos endpoints de serviço públicos. O tráfego para o Amazon S3 ou o DynamoDB de uma instância em uma sub-rede pública é encaminhado ao gateway da Internet da VPC e depois ao serviço. As instâncias de uma sub-rede privada não podem enviar tráfego ao Amazon S3 ou ao DynamoDB porque, por definição, as sub-redes privadas não têm rotas para um gateway da Internet. Para habilitar que instâncias na sub-rede privada enviem tráfego ao Amazon S3 ou ao DynamoDB, você deve adicionar um dispositivo NAT à sub-rede pública e rotear o tráfego na sub-rede privada para o dispositivo NAT. Embora atravesse o gateway da Internet, o tráfego para o Amazon S3 ou o DynamoDB não sai da rede da AWS.

Por padrão, o tráfego da VPC para o Amazon S3 ou DynamoDB é encaminhado por um gateway da Internet, mas não sai da rede da AWS.

Acessar por meio de um endpoint de gateway

O seguinte diagrama mostra como as instâncias acessam o Amazon S3 e o DynamoDB por um endpoint de gateway. O tráfego da VPC para o Amazon S3 ou o DynamoDB é encaminhado ao endpoint de gateway. Cada tabela de rotas de sub-rede deve ter uma rota que envie o tráfego destinado ao serviço para o endpoint de gateway usando a lista de prefixos do serviço. Para obter mais informações, consulte listaS de prefixos gerenciados da AWS no Guia do usuário da Amazon VPC.

Com endpoints de gateway, o tráfego da VPC para o Amazon S3 ou o DynamoDB é encaminhado ao endpoint de gateway.

Roteamento

Ao criar um endpoint de gateway, selecione as tabelas de rota da VPC para as sub-redes que você habilitar. A seguinte rota será adicionada automaticamente a cada tabela de rotas que você selecionar. O destino é uma lista de prefixos para o serviço de propriedade da AWS, e o destino é o endpoint de gateway.

Destination (Destino)	Destino
`prefix_list_id`	`gateway_endpoint_id`

Considerações

É possível revisar as rotas de endpoint que adicionamos à tabela de rotas, mas não é possível modificá-las nem excluí-las. Para adicionar uma rota de endpoint a uma tabela de rotas, associe-a ao endpoint de gateway. Excluímos a rota do endpoint quando você desassocia a tabela de rotas do endpoint de gateway ou quando exclui o endpoint de gateway.
Todas as instâncias das sub-redes associadas a uma tabela de rotas associada a um endpoint de gateway usarão esse endpoint automaticamente para acessar o serviço. As instâncias em sub-redes que não estão associadas a essas tabelas de rotas usarão o endpoint de serviço público, não o endpoint de gateway.
A tabela de rotas pode ter uma rota de endpoint para o Amazon S3 e uma rota de endpoint para o DynamoDB. É possível ter rotas de endpoint para o mesmo serviço (Amazon S3 ou DynamoDB) em várias tabelas de rotas. É possível ter várias rotas de endpoint para o mesmo serviço (Amazon S3 ou DynamoDB) em uma única tabela de rotas.
Para determinar como encaminhar o tráfego, usamos a rota mais específica que corresponde ao tráfego (correspondência de prefixo mais longa). Para tabelas de rotas com uma rota de endpoint, isso significa que:
- Se houver uma rota que envie todo o tráfego da Internet (0.0.0.0/0) para um gateway da Internet, a rota de endpoint prevalecerá sobre o tráfego destinado ao serviço (Amazon S3 ou DynamoDB) na região atual. O tráfego destinado a um AWS service (Serviço da AWS) usa o gateway da Internet.
- O tráfego destinado ao serviço (Amazon S3 ou DynamoDB) em uma região diferente vai para o gateway da Internet porque as listas de prefixos são específicas de uma região.
- Se houver uma rota que especifique o intervalo exato de endereços IP para o serviço (Amazon S3 ou DynamoDB) na mesma região, essa rota prevalecerá sobre a rota do endpoint.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Excluir um endpoint de interface

Endpoints para o Amazon S3