本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
适用于 Amazon S3 的 Amazon VPC 终端节点
出于安全原因,许多Amazon客户在 Amazon Virtual Private Cloud 环境(Amazon VPC)中运行其应用程序。利用 Amazon VPC,您可以在 Virtual Private Cloud 中启动 Amazon EC2 实例,Virtual Private Cloud 在逻辑上与其他网络(包括公共互联网)隔离。利用 Amazon VPC,您可以控制该网络的 IP 地址范围、子网、路由表、网络网关和安全设置。
注意
如果您的Amazon账户是在 2013 年 12 月 4 日之后创建的,则您在每个Amazon区域都已经有一个默认 VPC。您无需任何额外配置即能立即开始使用您的默认 VPC。
详情请参阅《Amazon VPC 用户指南》中的您的默认 VPC 和子网。
许多客户对跨公共 Internet 发送和接收数据存在合理的私密性和安全性担心。客户可以利用 virtual private network (VPN),通过其企业网络基础设施路由所有 Amazon S3 网络流量,从而消除这些担心。不过,此方法可能会带来带宽和可用性方面的难题。
Amazon S3 的 VPC 终端节点可以克服这些难题。Amazon S3 的 VPC 终端节点使 Amazon Glue 可以使用私有 IP 地址访问 Amazon S3,而无需接触公共互联网。Amazon Glue 不需要公有 IP 地址,因此您的 VPC 中不需要有互联网网关、NAT 设备或虚拟私有网关。您使用终端节点策略控制对 Amazon S3 的访问。您的 VPC 和Amazon服务之间的流量不会脱离 Amazon 网络。
在为 Amazon S3 创建 VPC 终端节点时,发送到区域(如 s3.us-west-2.amazonaws.com)内的 Amazon S3 终端节点的任何请求都被路由到亚马逊网络中的私有 Amazon S3 终端节点。您不需要修改正在 VPC 中的 Amazon EC2 实例上运行的应用程序 – 终端节点名称保持不变,但到 Amazon S3 的路由会完全保留在亚马逊网络中,不会访问公共互联网。
有关 VPC 终端节点的更多信息,请参阅《Amazon VPC 用户指南》中的 VPC 终端节点。
下图说明 Amazon Glue 如何使用 VPC 终端节点访问 Amazon S3。
设置 Amazon S3 访问权限
登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在左侧导航窗格中,选择终端节点。
-
选择 Create Endpoint (创建终端节点),然后按照步骤创建网关类型的 Amazon S3 VPC 终端节点。