在这里我要向大家隆重介绍一项全新 AWS 功能,旨在帮助大家以更理想的方式使用 Amazon Virtual Private Cloud(简称 VPC)以及 Amazon Simple Storage Service(简称 S3)。如大家所知,S3 能为用户提供安全、耐用且具备高度可扩展能力的对象存储服务。我们可以利用 Virtual Private Cloud 创建出一套 AWS Cloud 逻辑隔离区,并通过自己定义的虚拟网络对其进行全面控制。
当我们创建 VPC 时,需要利用安全组与访问控制列表(简称 ACL)对输入及输出流量进行控制。就目前而言,如果大家希望让自己的 EC2 实例有能力访问公有资源,则必须使用 Internet Gateway,且可能需要对部分 NAT 实例进行管理。
面向 S3 的全新 VPC Endpoint
今天我们提出了 VPC Endpoint 的概念,希望借此在 VPC 内部简化 S3 资源的访问机制。这些 Endpoints 易于配置、具备高度可靠性并能够提供指向 S3 的安全连接,而且整个流程不需要任何网关或者 NAT 实例的介入。
运行在 VPC 下私有子网内的 EC2 实例现在具备了面向 S3 存储桶、对象以及 API 功能等同处于该 VPC 范畴内要素的受控访问机制。大家可以利用一套 S3 存储桶政策来指定允许哪些 VPC 以及 VPC Endpoint 访问自己的 S3 存储桶。
创建并使用 VPC Endpoint
大家可以利用 AWS 管理控制台、AWS 合作行界面(简称 CLI)、AWS Tools for Windows PowerShell 以及 VPC API 创建并配置 VPC Endpoint。
下面让我们利用控制台创建一个 Endpoint!首先打开 VPC Dashboard 并选定所需要的区域。在导航栏中找到 Endpoints 项目并点击:
如果大家已经创建了一些 VPC Endpoint,那么它们会显示在以下列表当中:
现在点击 Create Endpoint,选定所需的 VPC,而后对访问政策进行自定义(如果需要):
VPC Endpoint 上的访问政策允许大家驳回那些指向非受信 S3 存储桶的请求(在默认状态下,VPC Endpoint 能够访问任意 S3 存储桶)。大家也可以利用 S3 存储桶上的访问政策来控制来自特定 VPC 或者 VPC Endpoint 的访问请求。这些访问政策将用到新的aws:SourceVpc
与aws:SourceVpce
条件(请大家点击此处查看说明文档以了解更多细节信息)。
通过上图想必大家能够猜到,我们最终将能够为其它各类AWS 服务创建对应的VPC Endpoint!
现在选定有资格接入该端点的VPC 子网:
正如上图中的说明文字所示,利用相关子网内某实例的公共IP 地址所开启的连接将在大家创建VPC Endpoint 时被取消。
一旦我们的VPC Endpoint 创建完成,S3 公有端点与DNS 名称将继续如常发挥作用。该Endpoint 只会单纯改变请求从EC2 到S3 的路由方式。
现已正式上线
面向Amazon S3 的Amazon VPC Endpoint 目前已经在美国东部(北弗吉尼亚州)(用于访问美国标准区域)、美国西部(俄勒冈州)、美国西部(北加利福尼亚州)、欧洲(爱尔兰)、欧洲(法兰克福)、亚太地区(东京)、亚太地区(新加坡)以及亚太地区(悉尼)等区域内正式上线。大家可以马上将其纳入自己的服务体系。请点击此处了解更多与VPC Endpoint 相关的细节信息。
原文链接: https://aws.amazon.com/cn/blogs/aws/new-vpc-endpoint-for-amazon-s3/
评论