【发布时间】:2010-12-18 09:50:47
【问题描述】:
是否可以在不使用 Elastic Cloud EC2 的情况下直接与 Amazon S3 建立 VPN 连接?
【问题讨论】:
-
S3 端点服务于 2015 年 5 月 11 日推出,允许用户执行此操作。使这个问题过时/过时。
标签: amazon-s3 amazon-ec2 amazon-web-services vpn
是否可以在不使用 Elastic Cloud EC2 的情况下直接与 Amazon S3 建立 VPN 连接?
【问题讨论】:
标签: amazon-s3 amazon-ec2 amazon-web-services vpn
由于 S3 存储桶名称是全球唯一的,并且可以使用唯一 url 通过 http 访问,因此无法在网络级别隔离 S3,它需要使用存储桶策略、IAM 策略或访问控制列表进行访问控制。您还可以使用存储桶策略将可以访问您的存储桶的源 IP 列入白名单。
{
"Version": "2012-10-17",
"Id": "S3PolicyId1",
"Statement": [
{
"Sid": "IPAllow",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::examplebucket/*",
"Condition": {
"IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
"NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"}
}
}
]
}
S3 中可用的访问控制系统在访问 S3 时强制执行安全性。此外,传输中的数据使用 https 进行加密,您还可以选择对驻留在 S3 中的对象利用静态加密来进一步加强安全性。
此外,还有多种方法可以根据 S3 访问客户端位置的出口限制(例如本地、VPC 私有/公共子网等)建立与 S3 的连接。
很遗憾,由于 S3 不提供网络分段功能,因此无法使用 VPN 连接到 S3,从而限制了网络级别的访问。
【讨论】:
没有。 VPC 中的路由是不可传递的。
端点连接不能扩展到 VPC 之外。 VPN 连接、VPC 对等连接、AWS Direct Connect 连接或 VPC 中的 ClassicLink 连接另一端的资源无法使用终端节点与终端节点服务中的资源进行通信。
【讨论】:
我不这么认为。 Amazon Virtual Private Cloud 似乎可以做到这一点,但文档总是提到连接到 EC2 实例。
【讨论】:
将一个 CIDR 52.192.0.0/11(amazon CIDR) 添加到 VPN 路由中,并将您的 VPN 公共 IP 列入 S3 存储桶策略的白名单。 S3 端点经常更改 IP。
【讨论】: