Использует ли AWS File Gateway конечную точку S3, если она находится в VPC?

Я планирую использовать AWS File Gateway в гибридной среде, где я буду подключать File Gateway к экземпляру EC2 из частной подсети. Согласно документации AWS, при использовании File Gateway вся передача данных осуществляется через HTTPS.

Но поскольку мой файловый шлюз, экземпляр EC2 и S3 находятся внутри среды AWS, будет ли мой файловый шлюз по-прежнему передавать файлы через Интернет в конечную точку службы S3 (s3.amazonaws.com) или он будет использовать конечную точку VPC для S3?

Примечание: я не могу использовать EFS для этой цели, поскольку это не жалоба на HIPAA.


amazon-web-services amazon-s3 amazon-efs aws-storage-gateway
person dilzfiesta    schedule 25.07.2017    source источник

Ответы (2)


arrow_upward
1
arrow_downward

Конечная точка VPC для S3 использует предопределенный список префиксов IP в таблицах маршрутов вашей подсети, который захватывает весь трафик, привязанный ко всем IP-адресам, назначенным S3 в вашем регионе ... поэтому из подсети, связанной с конечной точкой S3 VPC, весь трафик, связанный с любым адресом S3 в регионе, маршрутизируется через конечную точку.

Другими словами, при правильной настройке конечная точка S3 VPC становится единственным способом доступа к S3 из связанных подсетей, а поскольку это делается на уровне IP-маршрутизации, все, что обращается к S3 из этих подсетей. будет автоматически и прозрачно использовать конечную точку.

ID списка префиксов логически представляет диапазон общедоступных IP-адресов, используемых службой. Все экземпляры в подсетях, связанные с указанными таблицами маршрутов, автоматически используют конечную точку для доступа к службе; подсети, не связанные с указанными таблицами маршрутов, не используют конечную точку.

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html

person Michael - sqlbot    schedule 26.07.2017
comment
Спасибо! Логически это должно быть, но нигде не упоминается, что Файловый шлюз будет внутренне использовать конечную точку S3 VPC, если он размещен в связанной с ним подсети, что ставит меня в очень рискованную ситуацию. - person dilzfiesta; 26.07.2017
comment
Это должно быть невозможно, так как другого интерфейса для S3 нет. В качестве защитной меры вы используете инструкции политики, чтобы запретить доступ к корзине, если доступ предпринимается без использования шлюза. docs.aws.amazon.com/ AmazonS3 / последняя версия / dev / - person Michael - sqlbot; 26.07.2017
comment
Это сработало! Я ограничил политику корзины конечной точкой VPC, созданной для S3, и смог передать файлы через файловый шлюз на S3. Итак, мы пришли к выводу, что Файловый шлюз действительно использует конечную точку VPC для S3 внутри - person dilzfiesta; 27.07.2017

arrow_upward
0
arrow_downward

Теоретически, если вы настроите свою таблицу маршрутов VPC для использования конечной точки VPC, то любой трафик, предназначенный для S3, будет отправляться через конечную точку VPC. (Кстати, это может работать только при подключении к S3 в том же регионе.)

В любом случае, даже если трафик направляется через ваш интернет-шлюз к конечной точке Amazon S3, трафик не будет проходить через настоящий «Интернет» - он просто пройдет через границу Интернета на AWS, никогда покидая центр обработки данных AWS (если он находится в том же регионе).

person John Rotenstein    schedule 26.07.2017
comment
Что помогает! Не могли бы вы поделиться какими-либо справочными материалами, раскрывающими вашу вторую точку зрения? - person dilzfiesta; 26.07.2017
comment
Увы, мне не удалось найти никакой документации о трафике, оставшемся в сети AWS. Это просто то, что мне сказали. - person John Rotenstein; 27.07.2017