Accesso ad Amazon S3 da una sottorete VPC privata


12

Se ho un VPC in esecuzione e alcuni server si trovano nella parte privata di quella rete che eseguono l'elaborazione back-end scaricando file da Amazon S3, posso accedere a S3 internamente per ottenere quei file? O devo accedere a Internet pubblico tramite NAT, scaricare file s3 su https ed elaborare in questo modo?


Vedi la mia risposta a stackoverflow.com/questions/25539057/… per un modo per farlo, anche se la mia risposta si riferisce più alla configurazione di un bucket S3 in modo che sia possibile accedere SOLO da un VPC specifico, quindi potrebbe rispondere solo parzialmente al tuo domanda.
Eddie,

Risposte:


29

Con un nome utente come "Internet", mi aspetto che tu lo sappia. Ma dal momento che hai chiesto ...

:)

I VPC sono veramente privati. Solo il traffico consentito esplicitamente può transitare i confini del VPC.

Pertanto, all'interno di un VPC, alle istanze che richiedono l'accesso a risorse esterne o deve essere assegnato un EIP (nel qual caso possono accedere a risorse esterne utilizzando l'infrastruttura di AWS), oppure è necessario fornire un host NAT (nel qual caso tutte le uscite di traffico il VPC tramite il tuo NAT).

Se si sceglie di fornire il proprio host NAT, tenere presente che è necessario disabilitare il controllo di origine / destinazione su tale istanza e aggiungere una route predefinita alla propria sottorete privata, puntando all'host NAT.

AGGIORNAMENTO (10/05/2015): A partire dall'11 maggio 2015 AWS ha rilasciato un "VPC Endpoint" per S3 , che consente l'accesso a S3 direttamente da un VPC senza passare attraverso un host proxy o un'istanza NAT. Fortunatamente per rispetto della natura veramente privata di VPC, questa funzione è disattivata per impostazione predefinita, ma può essere facilmente attivata utilizzando la Console AWS o tramite la loro API.


Che ne dici di controllo degli accessi? Quando il traffico arriva attraverso l'istanza NAT, come funzionano i criteri bucket S3 (poiché l'origine è NATted, come può S3 sapere quale ruolo o utente richiede i dati)?
Tuukka Mustonen,

@TuukkaMustonen L'unica preoccupazione è se si hanno politiche basate sull'IP di origine. In tal caso, dovrai utilizzare l'IP pubblico dell'istanza NAT come IP di origine.
filipenf,

2

Se l'istanza si trova nella sottorete pubblica di VPC, allora:

  • O dovresti avere un indirizzo IP pubblico assegnato alla tua istanza
  • O dovresti avere IP elastico assegnato alla tua istanza

Se l'istanza si trova nella sottorete privata di VPC, allora:

  • È necessario disporre di un dispositivo NAT in esecuzione nella sottorete pubblica. In modo che l'istanza nella sottorete privata di VPC possa accedere a Internet tramite NAT e accedere a S3. Puoi utilizzare AWS VPC NAT o puoi configurare il tuo (google per questo nel caso in cui desideri impostare il tuo NAT)

In conclusione, per accedere a S3, devi essere in grado di accedere a Internet.


Cordiali saluti: per il mio aggiornamento sopra, l'accesso a Internet non è più necessario.
EEAA


-3

Non è necessario "uscire" e tornare "dentro" o modificare nulla sul modo in cui si trasferiscono i dati all'interno delle aree AWS. Nessun costo per un trasferimento da / verso secchi nella stessa regione . Devi pagare per l'archiviazione.


Ciò non risponde alla domanda del PO.
EEAA,

Non è chiaro che si stia riferendo a una rete esterna ad AWS. Grazie per il dv!
quadruplebucky,

Ti manca il punto. Ha istanze EC2 in una sottorete VPC privata. Per impostazione predefinita, questi non hanno accesso a nulla al di fuori del VPC. Quindi, come ho affermato nella mia risposta, dovrà prendere una delle due opzioni per consentire loro di accedere a S3. Non ha nulla a che fare con il fatto che le reti siano all'interno o all'esterno di AWS, piuttosto, ha a che fare con l'accesso al di fuori del suo VPC.
EEAA,

@quadruplebucky, chiarisco che sto accedendo alla "Internet pubblica" per ottenere file tramite HTTPS.
Internet,

Mi inchinerò qui, non ho un cane in questa lotta. L'AEA ha risposto alla tua domanda. Paghi se attraversi le regioni.
quadruplebucky,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.