Amazon S3'e özel bir VPC alt ağından erişme

12

Çalışan bir VPC'm varsa ve bu ağın özel bölümünde amazon s3'ten dosya indirerek arka uç işleme yapan bazı sunucular varsa, bu dosyalara ulaşmak için dahili olarak S3'e erişebilir miyim? Yoksa NAT üzerinden halka açık internete erişmeli, https üzerinden s3 dosyaları indirmeli ve bu şekilde işlem yapmalı mıyım?

amazon-web-services amazon-s3 amazon-vpc

— İnternet
kaynak

Bunu yapmanın bir yolu için stackoverflow.com/questions/25539057/… için cevabımı görün , ancak cevabım S3 kovasını ayarlamakla daha fazla ilgili, ancak SADECE belirli bir VPC'den erişilebileceği için, soru.

— Eddie

29

"İnternet" gibi bir kullanıcı adıyla, bunu bilmenizi beklerdim. Ama sorduğunuzdan beri ...

:)

VPC'ler gerçekten özeldir . Yalnızca açıkça izin verdiğiniz trafik VPC'nin sınırlarını geçebilir.

Bu nedenle, bir VPC içinde, harici kaynaklara erişmesi gereken örneklere bir EIP atanması gerekir (bu durumda AWS'nin altyapısını kullanarak harici kaynaklara erişebilirler) veya bir NAT ana bilgisayarı (bu durumda tüm trafik çıkışları) sağlamanız gerekir kendi NAT üzerinden VPC).

Kendi NAT ana makinenizi sağlamayı seçerseniz, bu örnekte kaynak / hedef denetimini devre dışı bırakmanın yanı sıra NAT ana makinesine işaret ederek özel alt ağınıza varsayılan bir rota eklemeniz gerektiğini unutmayın.

GÜNCELLEME (2015-05-10): AWS, 11 Mayıs 2015'ten itibaren S3 için bir proxy ana bilgisayarından veya NAT örneğinden geçmeden doğrudan bir VPC'den S3'e erişim sağlayan bir "VPC Bitiş Noktası" yayınladı . Neyse ki VPC'nin gerçekten özel doğasına saygısız, bu özellik varsayılan olarak kapalıdır, ancak AWS Konsolu kullanılarak veya API'leri aracılığıyla kolayca açılabilir.

— EEAA
kaynak

Erişim kontrolü nasıl olur? Trafik NAT eşgörünümünden geldiğinde, S3 grup ilkeleri nasıl çalışır (başlangıç noktası NAT olarak ayarlandığında, S3 hangi rolü veya kullanıcının verileri istediğini nasıl bilebilir)?

— Tuukka Mustonen

@TuukkaMustonen Tek endişe kaynak IP'ye dayalı politikalarınız varsa. Bu durumda, kaynak IP olarak NAT örneğinin genel IP'sini kullanmanız gerekir.

— filipenf

2

Örneğin, VPC'nin Genel Alt Ağındaysa:

Ya örneğinize genel IP adresi atanmış olmalıdır
VEYA örneğinize esnek IP atamalısınız

Örneğin, VPC'nin özel alt ağındaysa:

Genel alt ağda çalışan bir NAT cihazınızın olması gerekir. Böylece VPC'nin özel alt ağındaki örnek NAT üzerinden internete ve S3'e erişebilir. AWS VPC NAT kullanabilirsiniz veya kendi NAT'ınızı yapılandırabilirsiniz (bunun için kendi NAT ayarınızı yapmak istiyorsanız Google)

Sonuç olarak, S3'e erişmek için, İnternet'e erişebilmelisiniz.

— slayedbylucifer
kaynak

FYI: Yukarıdaki güncellememe göre artık internet erişimine gerek yok.

— EEAA

0

Birkaç gün önce S3'e VPC'niz aracılığıyla NAT veya genel IP kullanmadan erişebilirsiniz.

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html?sc_ichannel=em&sc_icountry=global&sc_icampaigntype=launch&sc_icampaign=em_137702700&sc_idetail=em_332195307&ref_=pe_411040_137702700_31

— Golja
kaynak

-3

AWS bölgelerinde veri aktarma yönteminizle ilgili "dışarı" ve geri "içeri" girmeniz veya herhangi bir şeyi değiştirmeniz gerekmez. Aynı bölgedeki kovalara / kovalardan transfer ücreti yoktur . Depolama için ödeme yapmak zorundasınız.

— quadruplebucky
kaynak

Bu OP'nin sorusuna cevap vermiyor.

— EEAA

AWS dışındaki bir ağa atıfta bulunduğu açık değil. DV için teşekkürler!

— quadruplebucky

Konuyu kaçırıyorsun. Özel bir VPC alt ağında EC2 örnekleri vardır. Varsayılan olarak, bunların VPC dışındaki hiçbir şeye erişimi yoktur . Yani, cevabımda belirttiğim gibi, S3'e erişebilmeleri için iki seçenekten birini alması gerekecek. Ağların AWS'nin içinde mi yoksa dışında mı olduğu ile ilgisi yoktur, bunun yerine VPC'sinin dışına erişmeyle ilgisi vardır.

— EEAA

@quadruplebucky, HTTPS üzerinden dosya almak için "genel internet" e eriştiğimi açıkça belirtiyorum.

— İnternet

Burada eğileceğim, bu kavgada bir köpeğim yok. EEAA sorunuzu yanıtladı. Bölgeleri geçerseniz ödeme yaparsınız.

— quadruplebucky