As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Endpoints de gateway
VPCOs endpoints de gateway fornecem conectividade confiável ao Amazon S3 e ao DynamoDB sem exigir um gateway de internet ou um dispositivo para você. NAT VPC Os endpoints do gateway não usam AWS PrivateLink, ao contrário de outros tipos de VPC endpoints.
O Amazon S3 e o DynamoDB oferecem suporte a endpoints de gateway e de interface. Para conferir uma comparação entre as opções, veja:
Preços
Não há cobrança adicional pelo uso de endpoints do gateway.
Visão geral
É possível acessar o Amazon S3 e o DynamoDB por meio de endpoints de serviço públicos ou endpoints de gateway. Esta visão geral compara esses métodos.
Acessar por meio de um gateway da Internet
O seguinte diagrama mostra como as instâncias acessam o Amazon S3 e o DynamoDB pelos endpoints de serviço públicos. O tráfego para o Amazon S3 ou o DynamoDB de uma instância em uma sub-rede pública é roteado para o gateway de internet do e depois para o serviço. VPC As instâncias de uma sub-rede privada não podem enviar tráfego ao Amazon S3 ou ao DynamoDB porque, por definição, as sub-redes privadas não têm rotas para um gateway da Internet. Para permitir que instâncias na sub-rede privada enviem tráfego para o Amazon S3 ou o DynamoDB, você adicionaria NAT um dispositivo à sub-rede pública e rotearia o tráfego na sub-rede privada para o dispositivo. NAT Embora o tráfego para o Amazon S3 ou o DynamoDB passe pelo gateway da Internet, ele não sai da rede. AWS
Acessar por meio de um endpoint de gateway
O seguinte diagrama mostra como as instâncias acessam o Amazon S3 e o DynamoDB por um endpoint de gateway. O tráfego do seu VPC para o Amazon S3 ou o DynamoDB é roteado para o endpoint do gateway. Cada tabela de rotas de sub-rede deve ter uma rota que envie o tráfego destinado ao serviço para o endpoint de gateway usando a lista de prefixos do serviço. Para obter mais informações, consulte as listas AWS de prefixos gerenciadas no Guia VPCdo usuário da Amazon.
Roteamento
Ao criar um endpoint de gateway, você seleciona as tabelas de VPC rotas para as sub-redes que você habilita. A seguinte rota será adicionada automaticamente a cada tabela de rotas que você selecionar. O destino é uma lista de prefixos para o serviço de propriedade AWS e o destino é o endpoint do gateway.
| Destino | Alvo |
|---|---|
prefix_list_id |
gateway_endpoint_id |
Considerações
-
É possível revisar as rotas de endpoint que adicionamos à tabela de rotas, mas não é possível modificá-las nem excluí-las. Para adicionar uma rota de endpoint a uma tabela de rotas, associe-a ao endpoint de gateway. Excluímos a rota do endpoint quando você desassocia a tabela de rotas do endpoint de gateway ou quando exclui o endpoint de gateway.
-
Todas as instâncias das sub-redes associadas a uma tabela de rotas associada a um endpoint de gateway usarão esse endpoint automaticamente para acessar o serviço. As instâncias em sub-redes que não estão associadas a essas tabelas de rotas usarão o endpoint de serviço público, não o endpoint de gateway.
-
A tabela de rotas pode ter uma rota de endpoint para o Amazon S3 e uma rota de endpoint para o DynamoDB. É possível ter rotas de endpoint para o mesmo serviço (Amazon S3 ou DynamoDB) em várias tabelas de rotas. É possível ter várias rotas de endpoint para o mesmo serviço (Amazon S3 ou DynamoDB) em uma única tabela de rotas.
-
Para determinar como encaminhar o tráfego, usamos a rota mais específica que corresponde ao tráfego (correspondência de prefixo mais longa). Para tabelas de rotas com uma rota de endpoint, isso significa que:
-
Se houver uma rota que envie todo o tráfego da Internet (0.0.0.0/0) para um gateway da Internet, a rota de endpoint prevalecerá sobre o tráfego destinado ao serviço (Amazon S3 ou DynamoDB) na região atual. O tráfego destinado a um diferente AWS service (Serviço da AWS) usa o gateway da Internet.
-
O tráfego destinado ao serviço (Amazon S3 ou DynamoDB) em uma região diferente vai para o gateway da Internet porque as listas de prefixos são específicas de uma região.
-
Se houver uma rota que especifique o intervalo exato de endereços IP para o serviço (Amazon S3 ou DynamoDB) na mesma região, essa rota prevalecerá sobre a rota do endpoint.
-
Segurança
Quando as instâncias acessam o Amazon S3 ou o DynamoDB por um endpoint de gateway, elas acessam o serviço usando um endpoint público. Os grupos de segurança dessas instâncias devem permitir o tráfego no serviço. Veja a seguir um exemplo de uma regra de saída. Ela faz referência ao ID da lista de prefixos do serviço.
| Destino | Protocolo | Intervalo de portas |
|---|---|---|
prefix_list_id |
TCP | 443 |
A rede ACLs das sub-redes dessas instâncias também deve permitir o tráfego de e para o serviço. Veja a seguir um exemplo de uma regra de saída. Você não pode referenciar listas de prefixos nas ACL regras de rede, mas pode obter os intervalos de endereços IP do serviço na lista de prefixos.
| Destino | Protocolo | Intervalo de portas |
|---|---|---|
service_cidr_block_1 |
TCP | 443 |
service_cidr_block_2 |
TCP | 443 |
service_cidr_block_3 |
TCP | 443 |
