适用于 Amazon S3 的 Amazon VPC 终端节点 - Amazon连接词
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于 Amazon S3 的 Amazon VPC 终端节点

出于安全原因,许多Amazon客户在 Amazon Virtual Private Cloud 环境 (Amazon VPC) 中运行应用程序。利用 Amazon VPC,您可以在 Virtual Private Cloud 中启动 Amazon EC2 实例,Virtual Private Cloud 在逻辑上与其他网络 (包括公共 Internet) 隔离。利用 Amazon VPC,您可以控制该网络的 IP 地址范围、子网、路由表、网络网关和安全设置。

注意

如果您创建了Amazon账户,您已经在 VPC 个Amazon区域。您无需任何额外配置即能立即开始使用您的默认 VPC。

有关更多信息,请参阅 。您的默认 VPC 和子网(在 Amazon VPC 用户指南 中)。

许多客户对跨公共 Internet 发送和接收数据存在合理的私密性和安全性担心。客户可以利用虚拟专用网络 (VPN),通过自己的企业网络基础设施路由所有 Amazon S3 网络流量,从而消除这些担心。不过,此方法可能会带来带宽和可用性方面的难题。

适用于 Amazon S3 的 VPC 终端节点可以克服这些难题。适用于 Amazon S3 的 VPC 终端节点启用Amazon Glue使用私有 IP 地址访问 Amazon S3,而无需接触公共 Internet。Amazon Glue不需要公有 IP 地址,因此您的 VPC 中不需要有 Internet 网关、NAT 设备或虚拟专用网关。您使用终端节点策略控制对 Amazon S3 的访问。VPC 和之间的流量Amazon服务不会脱离 Amazon 网络。

在为 Amazon S3 创建 VPC 终端节点时,发送到区域 (如s3.us-west-2.amazonaws.com)被路由到 Amazon 网络中的私有 Amazon S3 终端节点。您不需要修改正在 VPC 中的 Amazon EC2 实例上运行的应用程序 — 终端节点名称保持不变,但到 Amazon S3 的路由会完全保留在 Amazon 网络中,不会访问公共 Internet。

有关 VPC 终端节点的更多信息,请参阅VPC 终端节点(在 Amazon VPC 用户指南 中)。

下图显示了Amazon Glue可以使用 VPC 终端节点访问 Amazon S3。


      显示 VPC 连接到 Amazon S3 的网络流量。

设置 Amazon S3 访问权

  1. 登录到Amazon Web Services Management Console,通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在左侧导航窗格中,选择终端节点

  3. 选择创建终端节点,然后按照以下步骤创建 Amazon S3 VPC 终端节点。