Amazon S3 的 Amazon VPC 终端节点 - AWS Glue
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

Amazon S3 的 Amazon VPC 终端节点

出于安全原因,许多 AWS 客户在 Amazon Virtual Private Cloud 环境 (Amazon VPC) 中运行其应用程序。利用 Amazon VPC,您可以在 Virtual Private Cloud 中启动 Amazon EC2 实例,Virtual Private Cloud 在逻辑上与其他网络隔离 — 包括公共 Internet。利用 Amazon VPC,您可以控制该网络的 IP 地址范围、子网、路由表、网络网关和安全设置。

注意

如果您的 AWS 账户是在 2013 年 12 月 4 日之后创建的,则您在每个 AWS 区域都已经有一个默认 VPC。您无需任何额外配置即能立即开始使用您的默认 VPC。

有关更多信息,请参阅 Amazon VPC 用户指南中的您的默认 VPC 和子网

许多客户对跨公共 Internet 发送和接收数据存在合理的私密性和安全性担心。客户可以利用虚拟专用网络 (VPN),通过自己的企业网络基础设施路由所有 Amazon S3 网络流量,从而消除这些担心。不过,此方法可能会带来带宽和可用性方面的难题。

Amazon S3 的 VPC 终端节点可以克服这些难题。Amazon S3 的 VPC 终端节点使 AWS Glue 可以使用私有 IP 地址访问 Amazon S3,而无需接触公共 Internet。AWS Glue 不需要公有 IP 地址,因此您的 VPC 中不需要有 Internet 网关、NAT 设备或虚拟专用网关。您使用终端节点策略控制对 Amazon S3 的访问。您的 VPC 和 AWS 服务之间的流量不会脱离 Amazon 网络。

在为 Amazon S3 创建 VPC 终端节点时,发送到区域(如 s3.us-west-2.amazonaws.com)内的 Amazon S3 终端节点的任何请求都被路由到 Amazon 网络中的私有 Amazon S3 终端节点。您不需要修改正在 VPC 中的 EC2 实例上运行的应用程序 — 终端节点名称保持不变,但到 Amazon S3 的路由会完全保留在 Amazon 网络中,不会访问公共 Internet。

有关 VPC 终端节点的更多信息,请参阅 Amazon VPC 用户指南中的 VPC 终端节点

下图说明 AWS Glue 如何使用 VPC 终端节点访问 Amazon S3。


      显示 VPC 连接到 Amazon S3 的网络流量。

设置 Amazon S3 访问权限

  1. 登录 AWS 管理控制台 并通过以下网址打开 Amazon VPC 控制台:https://console.amazonaws.cn/vpc/

  2. 在左侧导航窗格中,选择终端节点

  3. 选择 Create Endpoint (创建终端节点),然后按照以下步骤在您的 VPC 中创建 Amazon S3 终端节点。