是否可以在不使用 Elastic 云 EC2 的情况下直接建立与 Amazon S3 的 VPN 连接?
问问题
12185 次
4 回答
7
由于 S3 存储桶名称是全球唯一的,并且可以使用唯一的 url 通过 http 访问,因此无法在网络级别隔离 S3,它需要使用存储桶策略、IAM 策略或访问控制列表进行访问控制。您还可以使用存储桶策略将可以访问您的存储桶的源 IP 列入白名单。
{
"Version": "2012-10-17",
"Id": "S3PolicyId1",
"Statement": [
{
"Sid": "IPAllow",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::examplebucket/*",
"Condition": {
"IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
"NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"}
}
}
]
}
S3 中可用的访问控制系统在访问 S3 时强制执行安全性。此外,传输中的数据使用 https 进行加密,您还可以选择利用静态加密对 S3 中的对象进行加密,以进一步加强安全性。
此外,还有多种方法可以根据 S3 访问客户端位置的出口限制(例如本地、VPC 私有/公共子网等)建立与 S3 的连接。
- 如果没有出口限制,则通过 Internet 访问 S3。
- 如果您从 AWS VPC 访问 S3,请使用VPC 终端节点到 S3 。
- 从本地直接连接到 AWS 数据中心,以通过专用的私有网络连接访问 S3。
不幸的是,由于 S3 没有提供网络分段功能,因此无法使用与 S3 的 VPN 连接,从而限制了网络级别的访问。
于 2017-10-14T04:10:10.630 回答
2
不可以。VPC 中的路由是不可传递的。
终端节点连接不能扩展到 VPC 之外。VPN 连接另一端的资源、VPC 对等连接、AWS Direct Connect 连接或 VPC 中的 ClassicLink 连接无法使用终端节点与终端节点服务中的资源进行通信。
于 2017-10-14T03:08:57.147 回答
0
我不这么认为。Amazon Virtual Private Cloud 似乎可以做到这一点,但文档总是提到连接到 EC2 实例。
于 2009-11-19T17:28:11.390 回答
0
在 VPN 路由中添加一个 CIDR 52.192.0.0/11(亚马逊 CIDR)并将您的 VPN 公共 IP 列入 S3 存储桶策略的白名单。S3 端点经常更改 IP。
于 2019-04-10T11:35:35.487 回答