我打算在混合环境中使用AWS File Gateway,我将从私有子网内将文件网关安装到EC2实例。根据AWS文档,使用File Gateway时,所有数据传输均通过HTTPS完成。在VPC中,AWS File Gateway是否使用S3端点?
但因为我的文件网关,EC2实例和S3是所有AWS环境里,将我的文件网关还是传输文件在互联网上S3服务端点(s3.amazonaws.com),还是会利用VPC端点S3 ?
注意:我不能使用EFS来达到这个目的,因为它不是HIPAA的投诉。
S3的VPC Endpoint在您的子网路由表中使用预定义的IP前缀列表,该列表劫持所有分配给您所在区域中S3的IP地址的所有流量...因此,与子网关联的子网S3 VPC端点,为区域内任何S3地址绑定的所有流量均通过端点路由。要正确配置它,S3 VPC端点将成为(仅限于),因此可以从关联的子网访问S3,并且由于它是在IP路由层完成的,因此从这些子网访问S3的任何内容都将自动并透明地使用端点。
前缀列表ID在逻辑上代表服务使用的公共IP地址范围。与指定路由表关联的子网中的所有实例自动使用端点来访问该服务;不与指定的路由表关联的子网不使用端点。
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html
从理论上讲,如果您配置VPC路由表使用VPC端点,然后运往S3任何流量将通过VPC端点发送。 (顺便说一句,它可能只在连接到同一地区的S3时才起作用。)
无论如何,即使流量通过Internet网关路由到Amazon S3端点,流量也不会穿越真正的“互联网“ - 它只会通过互联网的AWS边缘,永远不会离开AWS数据中心(只要它位于同一地区)。
这有助于!你能否分享任何参考材料来阐述你的第二点? –
唉,我无法找到有关AWS网络中剩余流量的任何文档。这仅仅是我所知道的。 –
谢谢!从逻辑上讲,它应该但没有提及** File Gateway将在内部使用S3 VPC端点(如果托管在与其相关的子网内),这使我处于非常危险的境地。 –
它应该是不可能的,因为没有其他的S3接口。作为一项保护措施,如果在不使用网关的情况下尝试访问,则可以使用策略声明拒绝对存储桶的访问。 http://docs.aws.amazon.com/AmazonS3/latest/dev/example-bucket-policies-vpc-endpoint.html –
它的工作!我将存储桶策略限制为为S3创建的VPC端点,并且能够通过文件网关将文件推送到S3。因此,这得出**文件网关确实在内部使用S3的VPC端点** –