通过 VPN 的 Amazon S3

发布于 2024-08-12 08:00:30 字数 52 浏览 9 评论 0原文

是否可以在不使用弹性云 EC2 的情况下直接建立与 Amazon S3 的 VPN 连接?

Is it possible to establish VPN connectivity to Amazon S3 directly without utilizing Elastic cloud EC2?

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(4

怼怹恏 2024-08-19 08:00:30

由于 S3 存储桶名称是全局唯一的,并且可以使用唯一的 url 通过 http 进行访问,因此无法在网络级别隔离 S3,并且需要使用存储桶策略、IAM 策略或访问控制列表进行访问控制。您还可以使用存储桶策略将可以访问您的存储桶的源 Ip 列入白名单。

{
  "Version": "2012-10-17",
  "Id": "S3PolicyId1",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": "arn:aws:s3:::examplebucket/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
         "NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"} 
      } 
    } 
  ]
}

S3 中提供的访问控制系统可增强访问 S3 时的安全性。此外,传输中的数据使用 https 进行加密,您还可以选择对驻留在 S3 中的对象利用静态加密来进一步强化安全性。

此外,还有多种方法可以根据 S3 访问客户端位置(例如本地、VPC 私有/公共子网等)的出口限制来建立与 S3 的连接。

  • 如果没有出口限制,则通过互联网访问 S3。
  • 如果您要访问,请使用 VPC 终端节点到 S3来自 AWS VPC 的 S3。
  • 从本地到 AWS 数据中心的 Direct Connect 连接,通过专用的专用网络连接访问 S3。

遗憾的是,由于 S3 不提供网络分段功能,因此无法使用与 S3 的 VPN 连接,从而限制了网络级别的访问。

Since S3 bucket names are globally unique and accessible over http using a unique url, it is not possible to isolate S3 at network level and it requires access control using Bucket Policies, IAM policies or Access control lists. You can also use Bucket Policies to whitelist Source Ip's that could access your buckets.

{
  "Version": "2012-10-17",
  "Id": "S3PolicyId1",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": "arn:aws:s3:::examplebucket/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
         "NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"} 
      } 
    } 
  ]
}

The Access Control system available in S3, enforces security in accessing S3. In addition the data in transit is encrypted using https and optionally you can also leverage encryption at rest for objects residing in S3 to further harden the security.

In addition there are multiple ways to establish connections to S3 based on the egress restrictions at the S3 access client locations (e.g. On-premise, VPC private/public subnet & etc.).

  • Accessing S3 over the internet if there are no egress restrictions.
  • Use VPC Endpoints to S3 if you are accessing S3 from a AWS VPC.
  • Direct Connect Connection from On Premise to AWS Data centers to access S3 over a dedicated, private network connection.

Unfortunately since S3 is not providing a feature for network segmentation, it is not possible to use a VPN connection to S3, restricting access at Network Level.

-残月青衣踏尘吟 2024-08-19 08:00:30

不可以。VPC 中的路由是不可传递的。

相关文档:

端点连接无法扩展至 VPC 之外。 VPN 连接、VPC 对等连接、AWS Direct Connect 连接或 VPC 中的 ClassicLink 连接另一端的资源无法使用终端节点与终端节点服务中的资源进行通信。

No. Routing in a VPC is non-transitive.

The relevant documentation:

Endpoint connections cannot be extended out of a VPC. Resources on the other side of a VPN connection, a VPC peering connection, an AWS Direct Connect connection, or a ClassicLink connection in your VPC cannot use the endpoint to communicate with resources in the endpoint service.

哎呦我呸! 2024-08-19 08:00:30

我不这么认为。 Amazon Virtual Private Cloud 似乎可以做到这一点,但文档总是提到连接到 EC2 实例。

I don't think so. Amazon Virtual Private Cloud seems like it can do that, but the docs always mention connecting to EC2 instances.

雨巷深深 2024-08-19 08:00:30

将一个 CIDR 52.192.0.0/11(amazon CIDR) 添加到 VPN 路由中,并将您的 VPN 公共 IP 列入 S3 存储桶策略的白名单。 S3端点经常更改IP。

Add one CIDR 52.192.0.0/11(amazon CIDR) into VPN route and whitelist your VPN public IP into S3 bucket policy. S3 endpoint changes IPs frequently.

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文