Подключайтесь к AWS s3 локально через межсайтовый VPN

Question

У нас есть гибридная модель с локальным подключением к AWS через межсетевой VPN. Существует необходимость загружать данные из s3 в локальную среду таким образом, чтобы трафик c был go из локальной сети в AWS и обратно без перехода к открытому Inte rnet из соображений безопасности. То есть похоже на это: on-prem --VPN--> AWS private subnet --> s3 endpoint --> s3

Эта схема работает с конечными точками интерфейса, поскольку они генерируют частные DNS-имена, которые можно использовать для вызова изнутри, но конечная точка s3 является конечной точкой шлюза, а не конечной точкой интерфейса. , поэтому он не генерирует частные DNS-имена.

Как этого добиться?

Answer 1

Согласно документации конечных точек VP C S3 не обеспечивает прямой доступ через VPN:

Подключения конечных точек не могут быть расширены из VP C . Ресурсы на другой стороне VPN-соединения, пиринговое соединение VP C, соединение AWS Direct Connect или соединение ClassicLink в вашем VP C не могут использовать конечную точку для связи с ресурсами в конечной службе.

Однако вы можете маршрутизировать диапазоны IP-адресов Amazon S3 через ваше VPN-соединение с VP C и явно разрешить доступ к сегментам S3 для publi c вашей VPN. IP-адреса в политике корзины и запрещать все остальное.

Обратите внимание, что диапазоны IP-адресов Amazon S3 могут быть изменены.