AWS上EC2与S3通过私有链接通信（同区）

Posted 2022-07-14 品鉴初心

该文档操作的是同一可用区下的EC2和S3。

说明

亚马逊云科技在2021年2月正式发布了适用于 Amazon S3 的 Amazon PrivateLink，Amazon PrivateLink 使用虚拟网络中的私有 IP 提供 Amazon Simple Storage Service (S3) 与本地资源之间的专用连接。借助此功能，现在可以使用 Virtual Private Cloud 中的接口 VPC 终端节点，在安全的虚拟网络中直接访问作为私有终端节点的 Amazon S3。通过允许您使用私有 IP 地址访问Amazon S3，这扩展了现有网关终端节点的功能。从本地应用程序向 Amazon S3 发出的 API 请求和 HTTPS 请求会自动通过接口终端节点进行定向，这些终端节点通过 PrivateLink 以安全和私密的方式连接到 Amazon S3。

终端节点的选择

Amazon S3有两种终端节点，大家可以根据自己实际情况做出选择。两种终端节点费用​​详情查看​​~

说明：Amazon S3接口终端节点和之前的网关终端节点是可以共存的,建议本区域的VPC内应用程序通过网关终端节点私有安全Amazon S3，这种方式不会产生额外的费用。对于其它区域和客户数据中心用接口终端节点， 通过Amazon PrivateLink以安全和私密的方式连接到Amazon S3。

推荐的架构如下：

最佳实践

这里认为大家已有相应的AWS资源环境。

创建终端节点

在VPC页面选择终端节点

选择s3服务时选择红色框部分，不要选accesspoint那个，accesspoint是走骨干网（公网），会产生流量费用。

服务类型选择gateway（便宜），并且选择哪个VPC：

选择要作用的VPC下的路由表：

定义s3桶访问策略，可以保持默认

定义标签，根据自己实际需要添加

小结：这样​​终端节点​​就创建完成了。

查看路由表

我们可以在路由表中可以看到private link

说明：上图中的这个​​pl-6da54004​​就是privateLink，将vpc下的ec2和aws的s3-bucket服务建立私有连接达成不走公网的目的。