Endpoints de gateway - Amazon Virtual Private Cloud

Endpoints de gateway

Os endpoints da VPC de gateway fornecem conectividade confiável para o Amazon S3 e o DynamoDB sem a necessidade de um gateway da Internet ou um dispositivo NAT para sua VPC. Os endpoints de gateway não usam o AWS PrivateLink, ao contrário de outros tipos de endpoints da VPC.

O Amazon S3 e o DynamoDB oferecem suporte a endpoints de gateway e de interface. Para conferir uma comparação entre as opções, veja:

Definição de preço

Não há cobrança adicional pelo uso de endpoints do gateway.

Visão geral

É possível acessar o Amazon S3 e o DynamoDB por meio de endpoints de serviço públicos ou endpoints de gateway. Esta visão geral compara esses métodos.

Acessar por meio de um gateway da Internet

O seguinte diagrama mostra como as instâncias acessam o Amazon S3 e o DynamoDB pelos endpoints de serviço públicos. O tráfego para o Amazon S3 ou o DynamoDB de uma instância em uma sub-rede pública é encaminhado ao gateway da Internet da VPC e depois ao serviço. As instâncias de uma sub-rede privada não podem enviar tráfego ao Amazon S3 ou ao DynamoDB porque, por definição, as sub-redes privadas não têm rotas para um gateway da Internet. Para habilitar que instâncias na sub-rede privada enviem tráfego ao Amazon S3 ou ao DynamoDB, você deve adicionar um dispositivo NAT à sub-rede pública e rotear o tráfego na sub-rede privada para o dispositivo NAT. Embora atravesse o gateway da Internet, o tráfego para o Amazon S3 ou o DynamoDB não sai da rede da AWS.

O tráfego sai da sua VPC por meio de um gateway da Internet, mas permanece na rede AWS.
Acessar por meio de um endpoint de gateway

O seguinte diagrama mostra como as instâncias acessam o Amazon S3 e o DynamoDB por um endpoint de gateway. O tráfego da VPC para o Amazon S3 ou o DynamoDB é encaminhado ao endpoint de gateway. Cada tabela de rotas de sub-rede deve ter uma rota que envie o tráfego destinado ao serviço para o endpoint de gateway usando a lista de prefixos do serviço. Para obter mais informações, consulte listaS de prefixos gerenciados da AWS no Guia do usuário da Amazon VPC.

O tráfego da VPC é encaminhado ao endpoint de gateway.

Roteamento

Ao criar um endpoint de gateway, selecione as tabelas de rota da VPC para as sub-redes que você habilitar. A seguinte rota será adicionada automaticamente a cada tabela de rotas que você selecionar. O destino é uma lista de prefixos para o serviço de propriedade da AWS, e o destino é o endpoint de gateway.

Destination (Destino) Destino
prefix_list_id gateway_endpoint_id
Considerações
  • É possível revisar as rotas de endpoint que adicionamos à tabela de rotas, mas não é possível modificá-las nem excluí-las. Para adicionar uma rota de endpoint a uma tabela de rotas, associe-a ao endpoint de gateway. Excluímos a rota do endpoint quando você desassocia a tabela de rotas do endpoint de gateway ou quando exclui o endpoint de gateway.

  • Todas as instâncias das sub-redes associadas a uma tabela de rotas associada a um endpoint de gateway usarão esse endpoint automaticamente para acessar o serviço. As instâncias em sub-redes que não estão associadas a essas tabelas de rotas usarão o endpoint de serviço público, não o endpoint de gateway.

  • A tabela de rotas pode ter uma rota de endpoint para o Amazon S3 e uma rota de endpoint para o DynamoDB. É possível ter rotas de endpoint para o mesmo serviço (Amazon S3 ou DynamoDB) em várias tabelas de rotas. É possível ter várias rotas de endpoint para o mesmo serviço (Amazon S3 ou DynamoDB) em uma única tabela de rotas.

  • Para determinar como encaminhar o tráfego, usamos a rota mais específica que corresponde ao tráfego (correspondência de prefixo mais longa). Para tabelas de rotas com uma rota de endpoint, isso significa que:

    • Se houver uma rota que envie todo o tráfego da Internet (0.0.0.0/0) para um gateway da Internet, a rota de endpoint prevalecerá sobre o tráfego destinado ao serviço (Amazon S3 ou DynamoDB) na região atual. O tráfego destinado a um AWS service (Serviço da AWS) usa o gateway da Internet.

    • O tráfego destinado ao serviço (Amazon S3 ou DynamoDB) em uma região diferente vai para o gateway da Internet porque as listas de prefixos são específicas de uma região.

    • Se houver uma rota que especifique o intervalo exato de endereços IP para o serviço (Amazon S3 ou DynamoDB) na mesma região, essa rota prevalecerá sobre a rota do endpoint.

Segurança

Quando as instâncias acessam o Amazon S3 ou o DynamoDB por um endpoint de gateway, elas acessam o serviço usando um endpoint público. Os grupos de segurança dessas instâncias devem permitir o tráfego no serviço. Veja a seguir um exemplo de uma regra de saída. Ela faz referência ao ID da lista de prefixos do serviço.

Destination (Destino) Protocolo Intervalo de portas
prefix_list_id TCP 443

As ACLs de rede para as sub-redes dessas instâncias também devem permitir o tráfego no serviço. Veja a seguir um exemplo de uma regra de saída. Você não pode referenciar as listas de prefixos nas regras de ACL de rede, mas pode obter os intervalos de endereços IP do serviço na lista de prefixos.

Destination (Destino) Protocolo Intervalo de portas
service_cidr_block_1 TCP 443
service_cidr_block_2 TCP 443
service_cidr_block_3 TCP 443