基于 *** 的 Amazon S3

Posted 2023-02-22

【中文标题】基于 *** 的 Amazon S3

【英文标题】：Amazon S3 over ***

【发布时间】：2010-12-18 09:50:47

【问题描述】：

是否可以在不使用 Elastic Cloud EC2 的情况下直接与 Amazon S3 建立 *** 连接？

【问题讨论】：

S3 端点服务于 2015 年 5 月 11 日推出，允许用户执行此操作。使这个问题过时/过时。

【参考方案1】：

由于 S3 存储桶名称是全球唯一的，并且可以使用唯一 url 通过 http 访问，因此无法在网络级别隔离 S3，它需要使用存储桶策略、IAM 策略或访问控制列表进行访问控制。您还可以使用存储桶策略将可以访问您的存储桶的源 IP 列入白名单。

  "Version": "2012-10-17",
  "Id": "S3PolicyId1",
  "Statement": [
    
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": "arn:aws:s3:::examplebucket/*",
      "Condition": 
         "IpAddress": "aws:SourceIp": "54.240.143.0/24",
         "NotIpAddress": "aws:SourceIp": "54.240.143.188/32" 
       
     
  ]

S3 中可用的访问控制系统在访问 S3 时强制执行安全性。此外，传输中的数据使用 https 进行加密，您还可以选择对驻留在 S3 中的对象利用静态加密来进一步加强安全性。

此外，还有多种方法可以根据 S3 访问客户端位置的出口限制（例如本地、VPC 私有/公共子网等）建立与 S3 的连接。

如果没有出口限制，则通过 Internet 访问 S3。 如果您从 AWS VPC 访问 S3，请使用 VPC Endpoints to S3。 从本地直接连接到 AWS 数据中心，以通过专用的私有网络连接访问 S3。

很遗憾，由于 S3 不提供网络分段功能，因此无法使用 *** 连接到 S3，从而限制了网络级别的访问。

【讨论】：

您无法通过直接连接链接访问 S3。

@chirs 让我知道您对此docs.aws.amazon.com/directconnect/latest/UserGuide/…的反馈

要通过 Direct Connect 连接到 S3，您需要使用公共 VIF，这意味着您要连接的 VPC 必须具有 Internet 网关 - 因此通过 DX 连接的所有 S3 流量都将路由到公共互联网上的 S3。

@chris 是不是通过直接连接使用公共 VIF 从本地到 S3 发生连接（仍在使用专线）？

在具有 S3 端点的 VPC 内部使用 s3:// 或 bucket.s3.amazonaws.com 可以在内部解析和路由到它。尝试解析端点或在 VPC 外部连接到它需要通过互联网。另请注意，您不能在 VPC 之外使用 VPC DNS 服务器。

【参考方案2】：

没有。 VPC 中的路由是不可传递的。

The relevant documentation:

端点连接不能扩展到 VPC 之外。 *** 连接、VPC 对等连接、AWS Direct Connect 连接或 VPC 中的 ClassicLink 连接另一端的资源无法使用终端节点与终端节点服务中的资源进行通信。

【参考方案3】：

我不这么认为。 Amazon Virtual Private Cloud 似乎可以做到这一点，但文档总是提到连接到 EC2 实例。

【参考方案4】：

将一个 CIDR 52.192.0.0/11(amazon CIDR) 添加到 *** 路由中，并将您的 *** 公共 IP 列入 S3 存储桶策略的白名单。 S3 端点经常更改 IP。

【讨论】：

这是做什么的...