VPC-Endpunkte für S3-Vektoren - Amazon Simple Storage Service
Vorteile der Verwendung PrivateLink mit S3 VectorsDNS-Namen und Auflösung von VPC-EndpunktenIP-Adressierung für SchnittstellenendpunkteErstellen eines VPC-Schnittstellenendpunkts für S3 VectorsVPC-Endpunktrichtlinien für S3 VectorsKonfiguration von S3 Vectors-Clients für VPC-EndpunkteProblembehandlung bei VPC-EndpunktenÜberwachung der VPC-Endpunktnutzung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

VPC-Endpunkte für S3-Vektoren

Um von Ihrer Virtual Private Cloud (VPC) aus auf S3 Vectors zuzugreifen, unterstützt Amazon S3 Schnittstellen-VPC-Endpunkte mithilfe AWS PrivateLink von (). PrivateLink PrivateLink bietet private Konnektivität zwischen Ihrer VPC und S3 Vectors, ohne dass ein Internet-Gateway oder ein NAT-Gerät erforderlich ist. Schnittstellenendpunkte werden durch eine oder mehrere elastische Netzwerkschnittstellen (ENIs) repräsentiert, denen private IP-Adressen aus Subnetzen in Ihrer VPC zugewiesen werden. Anfragen an S3 Vectors über Schnittstellenendpunkte bleiben im Netzwerk. AWS

Sie können auch von lokalen Anwendungen aus über AWS Direct Connect ein AWS Virtual Private Network (AWS VPN) auf Schnittstellenendpunkte in Ihrer VPC zugreifen. Weitere Informationen darüber, wie Sie Ihre VPC mit Ihrem lokalen Netzwerk verbinden, finden Sie im AWS Direct Connect Benutzerhandbuch und im AWS Site-to-Site VPN-Benutzerhandbuch. Allgemeine Informationen zu Schnittstellenendpunkten finden Sie im Handbuch unter Zugreifen auf einen AWS Dienst mithilfe eines Schnittstellen-VPC-Endpunkts.AWS PrivateLink

Die Verwendung PrivateLink mit S3 Vectors bietet mehrere Sicherheits- und Betriebsvorteile:

  • Verbesserte Sicherheit: Der Verkehr zwischen Ihrer VPC und S3 Vectors verbleibt im AWS Netzwerk und durchquert nicht das Internet.

  • Vereinfachte Netzwerkarchitektur: Greifen Sie auf S3-Vektoren zu, ohne Internet-Gateways, NAT-Geräte oder VPN-Verbindungen zu konfigurieren.

  • Granulare Zugriffskontrolle: Verwenden Sie VPC-Endpunktrichtlinien, um zu steuern, auf welche Vektor-Buckets und Vektorindizes über den Endpunkt zugegriffen werden kann.

  • Unterstützung bei der Einhaltung gesetzlicher Vorschriften: Erfüllen Sie die gesetzlichen Anforderungen, die private Netzwerkkonnektivität für sensible Daten vorschreiben.

Wenn Sie einen VPC-Endpunkt erstellen, generiert S3 Vectors zwei Arten von endpunktspezifischen DNS-Namen: Regional und Zonal.

Die regionalen und zonalen DNS-Namen der VPC-Schnittstellen-Endpunkte für S3 Vectors lauten wie folgt:

  • Regionaler DNS-Name: vpce-1a2b3c4d-5e6f.s3vectors.region.vpce.amazonaws.com — Der DNS-Name des regionalen VPC-Endpunkts. Immer zu privaten IP-Adressen auflösen.

  • Zonaler DNS-Name: vpce-1a2b3c4d-5e6f-availability_zone_code.s3vectors.region.vpce.amazonaws.com — Zonenspezifische VPC-Endpunkt-DNS-Namen. Immer in private IP-Adressen auflösen.

Sie können den DNS-Namen des öffentlichen Endpunkts auch s3vectors.region.api.aws als privaten DNS-Namen des Endpunktdienstes verwenden, wenn Sie privates DNS für den VPC-Endpunkt aktiviert haben.

Die regionalen, zonalen und privaten DNS-Endpunkte von S3 Vectors unterstützen IPv4 IPv6, und Dual-Stack-IP-Typen für. AWS PrivateLinkWeitere Informationen finden Sie im Handbuch unter IP-Adresstypen und DNS-Eintrags-IP-Typ für AWS Dienste.AWS PrivateLink

Im Folgenden finden Sie einige Dinge, die Sie wissen sollten, bevor Sie versuchen, IPv6 in Ihrer VPC auf die Vektorindizes und Vektor-Buckets von S3 Vectors zuzugreifen:

  • Für den Client, den Sie für den Zugriff auf Vektoren verwenden, und für Ihren S3 Vectors-Client muss Dual-Stack aktiviert sein.

  • Wenn Ihre VPC-Sicherheitsgruppe noch nicht IPv6 eingerichtet wurde, müssen Sie eine Regel konfigurieren, um IPv6 Datenverkehr zuzulassen. Weitere Informationen finden Sie unter Schritt 3: Aktualisieren Sie Ihre Sicherheitsgruppenregeln im VPC-Benutzerhandbuch und Sicherheitsgruppenregeln konfigurieren im EC2 Amazon-Benutzerhandbuch.

  • Wenn Ihre VPC IPv6 CIDRs noch keine Zuweisung vorgenommen hat, müssen Sie Ihrer VPC manuell einen IPv6 CIDR-Block hinzufügen. Weitere Informationen finden Sie im AWS PrivateLink Handbuch unter IPv6 Unterstützung für Ihre VPC hinzufügen.

  • Wenn Sie IAM-Richtlinien zur IP-Adressfilterung verwenden, müssen diese aktualisiert werden, damit sie Adressen verarbeiten IPv6 können. Weitere Informationen über die Verwaltung von Zugriffsberechtigungen mit IAM finden Sie unter Identity and Access Management in Amazon S3 Vectors.

Sie können mithilfe der VPC-Konsole, AWS CLI oder AWS API einen VPC-Schnittstellenendpunkt für S3 Vectors erstellen. AWS SDKs

  1. Öffnen Sie die VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Endpunkte aus.

  3. Wählen Sie Endpunkt erstellen aus.

  4. Wählen Sie bei Service category (Servicekategorie) die Option AWS services (-Services) aus.

  5. Suchen Sie unter Dienste nach s3vectors und wählen Siecom.amazonaws.region.s3vectors.

  6. Wählen Sie für VPC die VPC aus, in der Sie den Endpunkt erstellen möchten.

  7. (Optional) Wählen Sie unter Zusätzliche Einstellungen für DNS-Namen aktivieren aus, ob die private DNS-Funktion aktiviert werden soll. Wenn diese Option aktiviert ist, werden Anfragen, die den Endpunkt des öffentlichen Dienstes (s3vectors.region.api.aws) verwenden, z. B. Anfragen über AWS SDKs, an Ihren VPC-Endpunkt statt an den öffentlichen Endpunkt weitergeleitet.

  8. Wählen Sie unter Subnetze die Subnetze aus, in denen Sie die Endpunkt-Netzwerkschnittstellen erstellen möchten.

  9. Wählen Sie als IP-Adresstyp den IP-Adresstyp für den Endpunkt aus:

    • IPv4: Weisen Sie den Netzwerkschnittstellen des Endpunkts IPv4 Adressen zu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze IPv4 Adressbereiche haben.

    • IPv6: Weist den Endpunkt-Netzwerkschnittstellen IPv6 Adressen zu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze IPv6 nur Subnetze sind.

    • Dualstack: Weisen Sie den IPv4 Endpunkt-Netzwerkschnittstellen sowohl als auch IPv6 Adressen zu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze IPv4 sowohl IPv6 als auch Adressbereiche haben.

  10. Wählen Sie für Sicherheitsgruppen die Sicherheitsgruppen aus, die den Security groups (Endpunkt-Netzwerkschnittstellen) zugeordnet werden sollen.

  11. (Optional) Für Richtlinien können Sie eine VPC-Endpunktrichtlinie anhängen, um den Zugriff auf S3-Vektoren über den Endpunkt zu steuern. Um alle Operationen aller Principals auf allen S3 Vectors-Ressourcen über den Schnittstellenendpunkt zuzulassen, wählen Sie Vollzugriff. Um den Zugriff einzuschränken, wählen Sie Benutzerdefiniert und geben Sie eine Richtlinie ein. Weitere Informationen finden Sie im Handbuch unter Steuern des Zugriffs auf VPC-Endpunkte mithilfe von Endpunktrichtlinien. AWS PrivateLink Wenn Sie keine Richtlinie anhängen, ermöglicht die Standardrichtlinie vollen Zugriff.

  12. Wählen Sie Endpunkt erstellen aus.

Verwenden Sie den folgenden CLI-Beispielbefehl, um einen neuen VPC-Endpunkt zu erstellen, der IPv4 sowohl als auch IPv6 für S3-Vektoren zurückgibt. Weitere Informationen finden Sie unter create-vpc-endpoint.

aws ec2 create-vpc-endpoint \
    --vpc-id vpc-12345678 \
    --service-name com.amazonaws.region.s3vectors \
    --vpc-endpoint-type Interface \
    --subnet-ids subnet-12345678 subnet-87654321 \
    --security-group-ids sg-12345678 \
    --ip-address-type dualstack \
    --private-dns-enabled

Der --private-dns-enabled Parameter aktiviert die private DNS-Funktion. Wenn diese Option aktiviert ist, s3vectors.region.api.aws werden Anfragen an über Ihren VPC-Endpunkt weitergeleitet.

Weitere Informationen zum Erstellen von VPC-Endpoints finden Sie unter Erstellen eines VPC-Endpoints im VPC-Benutzerhandbuch.

Ähnlich wie bei ressourcenbasierten Richtlinien können Sie Ihrem VPC-Endpunkt eine Endpunktrichtlinie hinzufügen, um den Zugriff auf Vektorindizes und Vektor-Buckets zu kontrollieren. Weitere Informationen zu den Endpunktrichtlinien finden Sie im Handbuch unter Steuern des Zugriffs auf VPC-Endpunkte mithilfe von Endpunktrichtlinien. AWS PrivateLink

Die folgende Beispiel-VPC-Endpunktrichtlinie ermöglicht den Zugriff auf alle S3 Vectors-Operationen für alle Prinzipale:

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3vectors:*"
      ],
      "Resource": "*"
    }
  ]
}

Die folgende Beispiel-VPC-Endpunktrichtlinie schränkt den Zugriff auf einen bestimmten Vektor-Bucket ein:

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3vectors:GetVectorBucket",
        "s3vectors:ListIndexes",
        "s3vectors:GetIndex",
        "s3vectors:QueryVectors",
        "s3vectors:GetVectors"
      ],
      "Resource": [
        "arn:aws:s3vectors:us-west-2:111122223333:bucket/amzn-s3-demo-vector-bucket",
        "arn:aws:s3vectors:us-west-2:111122223333:bucket/amzn-s3-demo-vector-bucket/*"
      ]
    }
  ]
}

Die folgende Beispiel-VPC-Endpunktrichtlinie ermöglicht den Zugriff nur während der Geschäftszeiten mithilfe des aws:CurrentTime Bedingungsschlüssels:

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3vectors:*",
      "Resource": "*",
      "Condition": {
        "DateGreaterThan": {
          "aws:CurrentTime": "08:00Z"
        },
        "DateLessThan": {
          "aws:CurrentTime": "18:00Z"
        }
      }
    }
  ]
}

Wenn Sie VPC-Endpunkte mit S3 Vectors verwenden, können Sie Ihre S3 Vectors-Clients so konfigurieren, dass sie entweder den DNS-Namen des Dienstes oder den DNS-Namen des VPC-Endpunkts verwenden.

SDK for Python

Das folgende Beispiel zeigt, wie der S3 Vectors-Client im SDK for Python (Boto3) für die Verwendung eines VPC-Endpunkts konfiguriert wird:

import boto3

# Using service DNS name (requires private DNS feature enabled on VPC endpoint)
s3vectors_client = boto3.client(
    's3vectors',
    region_name='us-west-2',
    endpoint_url='https://s3vectors.us-west-2.api.aws'
)

# Using VPC endpoint DNS name
s3vectors_client = boto3.client(
    's3vectors',
    region_name='us-west-2',
    endpoint_url='https://vpce-12345678.s3vectors.us-west-2.vpce.amazonaws.com'
)

Wenn Sie Probleme mit Ihrem Schnittstellen-VPC-Endpunkt haben, sollten Sie die folgenden Schritte zur Fehlerbehebung in Betracht ziehen:

  • DNS-Auflösung: Stellen Sie sicher, dass DNS-Abfragen für den Endpunkt zu privaten IP-Adressen innerhalb Ihres VPC-CIDR-Bereichs aufgelöst werden, wenn Sie privates DNS verwenden.

  • Sicherheitsgruppen: Stellen Sie sicher, dass die dem VPC-Endpunkt zugeordnete Sicherheitsgruppe eingehenden HTTPS-Verkehr (Port 443) von Ihren VPC-Ressourcen zulässt.

  • Routentabellen: Stellen Sie sicher, dass Ihre Subnetz-Routentabellen keine widersprüchlichen Routen enthalten, die den Verkehr vom VPC-Endpunkt wegleiten könnten.

  • VPC-Endpunktrichtlinie: Stellen Sie sicher, dass Ihre VPC-Endpunktrichtlinie die erforderlichen S3 Vectors-Aktionen und -Ressourcen zulässt.

  • Client-Konfiguration: Wenn die private DNS-Funktion deaktiviert ist, konfigurieren Sie Ihren S3 Vectors-Client so, dass er den DNS-Namen des VPC-Endpunkts anstelle des DNS-Namens des Dienstes verwendet.

Sie können die Nutzung Ihres S3 Vectors VPC-Endpoints anhand von CloudTrail NetworkActivityEreignisprotokollen überwachen.

Weitere Informationen zur Protokollierung von S3 Vectors finden Sie unterLoggen mit AWS CloudTrail für S3 Vectors.