我正在与 AWS 合作,需要一些支持。
我的团队预置了 Direct Connect,现在我们可以享受从公司网络到 AWS 上的 VPC 的私有连接。
管理层询问是否有可能通过 Direct Connect 而不是通过公共互联网执行 aws cli 命令。事实上,我们有很多脚本,其中包含很多命令aws ec2 describe-instances,诸如此类。我猜这些调用 AWS 公开的 EC2 服务的公共 REST API。
他们在问这些电话是否有可能不通过公共互联网。
我见过 VPC 终端节点吗?他们是解决方案吗?
请参阅如何通过 Direct Connect 访问我的 Amazon S3 存储桶?了解如何使用 S3 执行此操作。
基本上:
在 BGP 启动并建立后,Direct Connect 路由器会通告所有全球公共 IP 前缀,包括 Amazon S3 前缀。前往 Amazon S3 的流量通过 Direct Connect 公有虚拟接口进行路由。公共虚拟接口通过 AWS 与您的数据中心或公司网络之间的私有网络连接进行路由。
您可以根据AWS Direct Connect 常见问题将此扩展到其他 Amazon 服务:
所有 AWS 服务,包括 Amazon Elastic Compute Cloud (EC2)、Amazon Virtual Private Cloud (VPC)、Amazon Simple Storage Service (S3) 和 Amazon DynamoDB 都可以与 Direct Connect 一起使用。
请参阅下面@jarmod 的答案以获取问题的答案,但请继续阅读我认为这听起来像XY 问题的原因。
根本没有理由担心管理层。
作为多个 AWS 合规计划的一部分,第三方审计员会评估 AWS 服务的安全性和合规性。使用 AWS CLI 访问服务不会改变该服务的合规性 - AWS 具有几乎涵盖全球所有IT 合规性框架的合规性计划。
除了合规性之外,AWS CLI不存储任何客户数据(不应该存在数据保护问题)并安全地传输数据(除非您手动覆盖它)。
用户指南强调了这一点:
除了代表用户与 AWS 服务交互所需的凭证之外,AWS CLI 本身不存储任何客户数据。
默认情况下,从运行 AWS CLI 和 AWS 服务终端节点的客户端计算机传输的所有数据都通过 HTTPS/TLS 连接发送所有数据进行加密。
您无需执行任何操作即可启用 HTTPS/TLS。除非您使用 --no-verify-ssl 命令行选项为单个命令明确禁用它,否则它始终处于启用状态。
好像这还不够,您还可以在与 AWS 服务通信时通过强制 CLI 使用最低版本的 TLS 1.2 来增加安全性。
应该针对更大的攻击向量,例如:
AWS CLI 是安全的。