作者:Jeff Barr
在這裏我要向大家隆重介紹一項全新AWS功能,旨在幫助大家以更理想的方式使用Amazon Virtual PrivateCloud(簡稱VPC)以及Amazon SimpleStorage Service(簡稱S3)。如大家所知,S3能爲用戶提供安全、耐用且具備高度可擴展能力的對象存儲服務。我們可以利用Virtual Private Cloud創建出一套AWS Cloud邏輯隔離區,並通過自己定義的虛擬網絡對其進行全面控制。
當我們創建VPC時,需要利用安全組與訪問控制列表(簡稱ACL)對輸入及輸出流量進行控制。就目前而言,如果大家希望讓自己的EC2實例有能力訪問公有資源,則必須使用Internet Gateway,且可能需要對部分NAT實例進行管理。
面向S3的全新VPC Endpoint
今天我們提出了VPC Endpoint的概念,希望藉此在VPC內部簡化S3資源的訪問機制。這些商戰Endpoints易於配置、具備高度可靠性並能夠提供指向S3的安全連接,而且整個流程不需要任何網關或者NAT實例的介入。
運行在VPC下私有子網內的EC2實例現在具備了面向S3存儲桶、對象以及API功能等同處於該VPC範疇內要素的受控訪問機制。大家可以利用一套S3存儲桶政策來指定允許哪些VPC以及VPCEndpoint訪問自己的S3存儲桶。
創建並使用VPC Endpoint
大家可以利用AWS管理控制檯、AWS合作行界面(簡稱CLI)、AWS Tools for Windows PowerShell以及VPC API創建並配置VPC Endpoint。
下面讓我們利用控制檯創建一個端點Endpoint!首先打開VPCDashboard並選定所需要的區域。在導航欄中找到Endpoints項目並點擊:
如果大家已經創建了一些VPC Endpoint,那麼它們會顯示在以下列表當中:
現在點擊Create Endpoint,選定所需的VPC,而後對訪問政策進行自定義(如果需要):
VPC Endpoint上的訪問政策允許大家駁回那些指向非受信S3存儲桶的請求(在默認狀態下,VPC Endpoint能夠訪問任意S3存儲桶)。大家也可以利用S3存儲桶上的訪問政策來控制來自特定VPC或者VPC Endpoint的訪問請求。這些訪問政策將用到新的aws:SourceVpc與aws:SourceVpce條件(請大家點擊此處查看說明文檔以瞭解更多細節信息)。
通過上圖想必大家能夠猜到,我們最終將能夠爲其它各類AWS服務創建對應的VPC Endpoint!
現在選定有資格接入該端點的VPC子網:
正如上圖中的說明文字所示,利用相關子網內某實例的公共IP地址所開啓的連接將在大家創建VPC Endpoint時被取消。
一旦我們的VPC Endpoint創建完成,S3公有端點與DNS名稱將繼續如常發揮作用。該Endpoint只會單純改變請求從EC2到S3的路由方式。
現已正式上線
面向AmazonS3的Amazon VPC Endpoint目前已經在美國東部(北弗吉尼亞州)(用於訪問美國標準區域)、美國西部(俄勒岡州)、美國西部(北加利福尼亞州)、歐洲(愛爾蘭)、歐洲(法蘭克福)、亞太地區(東京)、亞太地區(新加坡)以及亞太地區(悉尼)等區域內正式上線。大家可以馬上將其納入自己的服務體系。請點擊此處瞭解更多與VPCEndpoint相關的細節信息。
原文鏈接:
https://aws.amazon.com/cn/blogs/aws/new-vpc-endpoint-for-amazon-s3/