适用于 Amazon S3 的 Amazon VPC 终端节点
出于安全原因,许多AWS客户在 Amazon Virtual Private Cloud 环境(Amazon VPC)中运行其应用程序。利用 Amazon VPC,您可以在 Virtual Private Cloud 中启动 Amazon EC2 实例,Virtual Private Cloud 在逻辑上与其他网络(包括公共互联网)隔离。利用 Amazon VPC,您可以控制该网络的 IP 地址范围、子网、路由表、网络网关和安全设置。
注意
如果您的AWS账户是在 2013 年 12 月 4 日之后创建的,则您在每个AWS区域都已经有一个默认 VPC。您无需任何额外配置即能立即开始使用您的默认 VPC。
详情请参阅《Amazon VPC 用户指南》中的您的默认 VPC 和子网。
许多客户对跨公共 Internet 发送和接收数据存在合理的私密性和安全性担心。客户可以利用 virtual private network (VPN),通过其企业网络基础设施路由所有 Amazon S3 网络流量,从而消除这些担心。不过,此方法可能会带来带宽和可用性方面的难题。
Amazon S3 的 VPC 终端节点可以克服这些难题。Amazon S3 的 VPC 终端节点使 AWS Glue 可以使用私有 IP 地址访问 Amazon S3,而无需接触公共互联网。AWS Glue 不需要公有 IP 地址,因此您的 VPC 中不需要有互联网网关、NAT 设备或虚拟私有网关。您使用终端节点策略控制对 Amazon S3 的访问。您的 VPC 和AWS服务之间的流量不会脱离 Amazon 网络。
在为 Amazon S3 创建 VPC 终端节点时,发送到区域(如 s3.us-west-2.amazonaws.com)内的 Amazon S3 终端节点的任何请求都被路由到亚马逊网络中的私有 Amazon S3 终端节点。您不需要修改正在 VPC 中的 Amazon EC2 实例上运行的应用程序 – 终端节点名称保持不变,但到 Amazon S3 的路由会完全保留在亚马逊网络中,不会访问公共互联网。
有关 VPC 终端节点的更多信息,请参阅《Amazon VPC 用户指南》中的 VPC 终端节点。
下图说明 AWS Glue 如何使用 VPC 终端节点访问 Amazon S3。
设置 Amazon S3 访问权限
登录到 AWS Management Console,然后通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在左侧导航窗格中,选择终端节点。
-
选择 Create Endpoint (创建终端节点),然后按照步骤创建网关类型的 Amazon S3 VPC 终端节点。
