我们有一个混合模型,其内部部署通过站点到站点VPN连接到AWS。出于安全考虑,需要将数据从s3下载到内部部署,以便流量从内部部署到AWS,然后再返回,而无需访问开放的互联网。即类似于此:on-prem --VPN--> AWS private subnet --> s3 endpoint --> s3
此模式适用于接口端点,因为它们生成可用于从内部调用的专用DNS名称,但s3端点是网关端点,而不是接口端点,因此它不会生成专用DNS名称。
如何做到这一点?
2021年2月,AWS发布了与S3网关端点不同的S3 PrivateLink接口端点。
不同的是,S3接口端点解析为专有专有网络的IP地址,并且可以从专有网络之外路由(例如通过VPN、直连、传输网关等(。S3网关端点使用公共IP范围,并且只能从VPC内的资源进行路由。
接口端点意味着您可以通过VPN和一个或多个子网从本地网络路由到S3存储桶,而无需VPC中的代理,也无需穿越公共互联网。
有关更多详细信息,请参阅博客公告和S3 privatelink用户指南。
根据VPC端点文档,S3不提供通过VPN的直接访问:
端点连接不能扩展到VPC之外。VPC中VPN连接、VPC对等连接、AWS Direct Connect连接或ClassicLink连接另一侧的资源无法使用端点与端点服务中的资源通信。
但是,您可以通过VPN连接将Amazon S3 IP地址范围路由到VPC,并在bucket策略中明确允许访问VPN的公共IP地址的S3 bucket,并拒绝其他一切。
请注意,亚马逊S3的IP地址范围可能会发生变化。