是否可以在不使用Elastic cloud EC2的情况下直接与Amazon S3建立VPN连接?
由于S3存储桶名称是全局唯一的,并且可以使用唯一URL通过http访问,因此无法在网络级别隔离S3,并且需要使用存储桶策略,IAM策略或访问控制列表进行访问控制。您还可以使用Bucket Policies将可能访问您的存储桶的Source Ip列入白名单。
{
"Version": "2012-10-17",
"Id": "S3PolicyId1",
"Statement": [
{
"Sid": "IPAllow",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::examplebucket/*",
"Condition": {
"IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
"NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"}
}
}
]
}
S3中提供的访问控制系统在访问S3时强制执行安全性。此外,传输中的数据使用https加密,并且您还可以选择使用静态加密来驻留在S3中的对象,以进一步加强安全性。
此外,基于S3访问客户端位置(例如,内部部署,VPC私有/公共子网等)的出口限制,存在多种方式来建立到S3的连接。
不幸的是,由于S3没有提供网络分段功能,因此无法使用到S3的VPN连接,从而限制了网络级别的访问。
不可以.VPC中的路由是不可传递的。
端点连接不能扩展到VPC之外。 VPC的另一端的资源,VPC对等连接,AWS Direct Connect连接或VPC中的ClassicLink连接无法使用端点与端点服务中的资源进行通信。
我不这么认为。亚马逊虚拟私有云似乎可以做到这一点,但文档总是提到连接到EC2实例。
将一个CIDR 52.192.0.0/11(amazon CIDR)添加到VPN路由中,并将VPN公共IP列入白名单到S3存储桶策略。 S3端点经常更改IP。