Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Titik akhir VPC untuk Vektor S3
Untuk mengakses Vektor S3 dari cloud pribadi virtual (VPC) Anda, Amazon S3 mendukung titik akhir VPC antarmuka dengan menggunakan (). AWS PrivateLink PrivateLink PrivateLink menyediakan konektivitas pribadi antara VPC dan Vektor S3 Anda tanpa memerlukan gateway internet atau perangkat NAT. Titik akhir antarmuka diwakili oleh satu bijih lebih elastis antarmuka jaringan (ENI) yang diberi alamat IP pribadi dari subnet di VPC Anda. Permintaan ke Vektor S3 melalui titik akhir antarmuka tetap ada di jaringan. AWS
Anda juga dapat mengakses titik akhir antarmuka di VPC Anda dari aplikasi lokal AWS Direct Connect melalui AWS atau Virtual Private Network AWS (VPN). Untuk informasi selengkapnya tentang cara menghubungkan VPC dengan jaringan lokal, lihat Panduan AWS Direct Connect Pengguna dan Panduan Pengguna AWS Site-to-Site VPN. Untuk informasi umum tentang titik akhir antarmuka, lihat Mengakses AWS layanan menggunakan titik akhir VPC antarmuka dalam Panduan.AWS PrivateLink
Manfaat menggunakan PrivateLink dengan Vektor S3
Menggunakan PrivateLink dengan Vektor S3 memberikan beberapa manfaat keamanan dan operasional:
-
Keamanan yang ditingkatkan: Lalu lintas antara VPC dan Vektor S3 Anda tetap berada dalam AWS jaringan dan tidak melintasi internet.
-
Arsitektur jaringan yang disederhanakan: Akses Vektor S3 tanpa mengonfigurasi gateway internet, perangkat NAT, atau koneksi VPN.
-
Kontrol akses granular: Gunakan kebijakan titik akhir VPC untuk mengontrol bucket vektor dan indeks vektor mana yang dapat diakses melalui titik akhir.
-
Dukungan kepatuhan: Memenuhi persyaratan peraturan yang mengamanatkan konektivitas jaringan pribadi untuk data sensitif.
Nama dan resolusi DNS titik akhir VPC
Saat Anda membuat titik akhir VPC, Vektor S3 menghasilkan dua jenis nama DNS spesifik titik akhir: Regional dan Zonal.
Nama DNS Regional dan Zonal dari titik akhir VPC antarmuka untuk Vektor S3 adalah sebagai berikut:
-
Nama DNS regional:
vpce-- Nama DNS titik akhir VPC regional. Selalu putuskan ke alamat IP pribadi.1a2b3c4d-5e6f.s3vectors.region.vpce.amazonaws.com -
Nama DNS zona: - Nama DNS
vpce-titik akhir Zone-specific VPC. Selalu putuskan ke alamat IP pribadi.1a2b3c4d-5e6f-availability_zone_code.s3vectors.region.vpce.amazonaws.com
Anda juga dapat menggunakan nama DNS dari titik akhir publik s3vectors. sebagai nama DNS pribadi layanan titik akhir jika DNS pribadi diaktifkan untuk titik akhir VPC.region.api.aws
Pengalamatan IP untuk titik akhir antarmuka
S3 Vektor titik akhir DNS regional, zonal, dan pribadi mendukung jenis IP IPv4, IPv6, dan dualstack untuk. AWS PrivateLink Untuk informasi selengkapnya, lihat Jenis alamat IP dan jenis IP rekaman DNS untuk AWS layanan di AWS PrivateLink Panduan.
Berikut ini adalah beberapa hal yang harus Anda ketahui sebelum mencoba mengakses indeks vektor S3 Vektor dan bucket vektor melalui IPv6 di VPC Anda:
-
Klien yang Anda gunakan untuk mengakses vektor dan klien Vektor S3 Anda harus mengaktifkan dual-stack.
-
Jika grup keamanan VPC Anda tidak memiliki pengaturan IPv6, Anda harus mengonfigurasi aturan untuk mengizinkan lalu lintas IPv6. Untuk informasi selengkapnya, lihat Langkah 3: Memperbarui aturan grup keamanan Anda di Panduan Pengguna VPC dan Mengonfigurasi aturan grup keamanan di Panduan Pengguna VPC.
-
Jika VPC Anda tidak memiliki IPv6 CIDR yang ditetapkan, Anda perlu menambahkan blok CIDR IPv6 secara manual ke VPC Anda. Untuk informasi selengkapnya, lihat Menambahkan dukungan IPv6 untuk VPC Anda di Panduan.AWS PrivateLink
-
Jika Anda menggunakan kebijakan IAM pemfilteran alamat IP, kebijakan tersebut harus diperbarui untuk menangani alamat IPv6. Untuk informasi selengkapnya tentang mengelola izin akses, lihat Manajemen Identitas dan Akses di Vektor S3.
Membuat titik akhir antarmuka VPC untuk Vektor S3
Anda dapat membuat titik akhir antarmuka VPC untuk Vektor S3 menggunakan konsol VPC, CLI AWS AWS , SDK, atau API. AWS
-
Buka konsol VPC di. https://console.aws.amazon.com/vpc/
-
Di panel navigasi, pilih Titik Akhir.
-
Pilih Buat Titik Akhir.
-
Untuk kategori Layanan, pilih AWS layanan.
-
Untuk Layanan, cari
s3vectorsdan pilihcom.amazonaws..region.s3vectors -
Untuk VPC, pilih VPC tempat Anda ingin membuat titik akhir.
-
(Opsional) Di bawah Pengaturan tambahan, untuk Aktifkan nama DNS, pilih apakah akan mengaktifkan fitur DNS pribadi. Saat diaktifkan, permintaan yang menggunakan endpoint (
s3vectors.) layanan publik, seperti permintaan yang dibuat melalui AWS SDK, diselesaikan ke titik akhir VPC Anda, bukan titik akhir publik.region.api.aws -
Untuk Subnet, pilih subnet tempat Anda ingin membuat antarmuka jaringan titik akhir.
-
Untuk jenis alamat IP, pilih jenis alamat IP untuk titik akhir:
-
IPv4: Tetapkan alamat IPv4 ke antarmuka jaringan titik akhir. Opsi ini didukung hanya jika semua subnet yang dipilih memiliki rentang alamat IPv4.
-
IPv6: Tetapkan alamat IPv6 ke antarmuka jaringan titik akhir. Opsi ini didukung hanya jika semua subnet yang dipilih hanya subnet IPv6.
-
Dualstack: Tetapkan alamat IPv4 dan IPv6 ke antarmuka jaringan endpoint. Opsi ini didukung hanya jika semua subnet yang dipilih memiliki rentang alamat IPv4 dan IPv6.
-
-
Untuk grup Keamanan, pilih grup keamanan untuk dikaitkan dengan antarmuka jaringan titik akhir.
-
(Opsional) Untuk Kebijakan, Anda dapat melampirkan kebijakan titik akhir VPC untuk mengontrol akses ke Vektor S3 melalui titik akhir. Untuk mengizinkan semua operasi oleh semua prinsipal pada semua sumber daya Vektor S3 melalui titik akhir antarmuka, pilih Akses penuh. Untuk membatasi akses, pilih Kustom dan masukkan kebijakan. Untuk informasi selengkapnya, lihat Mengontrol akses ke titik akhir VPC menggunakan kebijakan titik akhir di Panduan. AWS PrivateLink Jika Anda tidak melampirkan kebijakan, kebijakan default mengizinkan akses penuh.
-
Pilih Buat titik akhir.
Untuk membuat titik akhir VPC baru yang mengembalikan IPv4 dan IPv6 untuk Vektor S3, gunakan contoh perintah CLI berikut. Untuk informasi selengkapnya, lihat create-vpc-endpoint.
aws ec2 create-vpc-endpoint \ --vpc-idvpc-12345678\ --service-name com.amazonaws.region.s3vectors \ --vpc-endpoint-type Interface \ --subnet-idssubnet-12345678subnet-87654321\ --security-group-idssg-12345678\ --ip-address-type dualstack \ --private-dns-enabled
--private-dns-enabledParameter memungkinkan fitur DNS pribadi. Saat diaktifkan, permintaan untuk s3vectors. akan merutekan melalui titik akhir VPC Anda.region.api.aws
Untuk informasi selengkapnya tentang membuat titik akhir VPC, lihat Membuat titik akhir VPC di Panduan Pengguna VPC.
Kebijakan titik akhir VPC untuk Vektor S3
Mirip dengan kebijakan berbasis sumber daya, Anda dapat melampirkan kebijakan titik akhir ke titik akhir VPC Anda untuk mengontrol akses ke indeks vektor dan bucket vektor. Untuk informasi selengkapnya tentang kebijakan titik akhir, lihat Mengontrol akses ke titik akhir VPC menggunakan kebijakan titik akhir di Panduan. AWS PrivateLink
Contoh kebijakan titik akhir VPC
Contoh kebijakan titik akhir VPC berikut memungkinkan akses ke semua operasi Vektor S3 untuk semua prinsipal:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": [ "s3vectors:*" ], "Resource": "*" } ] }
Contoh kebijakan titik akhir VPC berikut membatasi akses ke bucket vektor tertentu:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": [ "s3vectors:GetVectorBucket", "s3vectors:ListIndexes", "s3vectors:GetIndex", "s3vectors:QueryVectors", "s3vectors:GetVectors" ], "Resource": [ "arn:aws:s3vectors:us-west-2:111122223333:bucket/amzn-s3-demo-vector-bucket", "arn:aws:s3vectors:us-west-2:111122223333:bucket/amzn-s3-demo-vector-bucket/*" ] } ] }
Contoh kebijakan titik akhir VPC berikut mengizinkan akses hanya selama jam kerja menggunakan kunci kondisi: aws:CurrentTime
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "s3vectors:*", "Resource": "*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "08:00Z" }, "DateLessThan": { "aws:CurrentTime": "18:00Z" } } } ] }
Mengkonfigurasi klien Vektor S3 untuk titik akhir VPC
Saat menggunakan titik akhir VPC dengan Vektor S3, Anda dapat mengonfigurasi klien Vektor S3 Anda untuk menggunakan nama DNS layanan atau nama DNS titik akhir VPC.
Memecahkan masalah titik akhir VPC
Jika Anda mengalami masalah dengan titik akhir VPC antarmuka Anda, pertimbangkan langkah-langkah pemecahan masalah berikut:
-
Resolusi DNS: Verifikasi bahwa kueri DNS untuk titik akhir diselesaikan ke alamat IP pribadi dalam rentang CIDR VPC Anda saat menggunakan DNS pribadi.
-
Grup keamanan: Pastikan grup keamanan yang terkait dengan titik akhir VPC memungkinkan lalu lintas HTTPS masuk (port 443) dari sumber daya VPC Anda.
-
Tabel rute: Verifikasi bahwa tabel rute subnet Anda tidak memiliki rute yang bertentangan yang mungkin mengalihkan lalu lintas dari titik akhir VPC.
-
Kebijakan titik akhir VPC: Periksa apakah kebijakan titik akhir VPC Anda memungkinkan tindakan dan sumber daya Vektor S3 yang diperlukan.
-
Konfigurasi klien: Jika fitur DNS pribadi dinonaktifkan, konfigurasikan klien Vektor S3 Anda untuk menggunakan nama DNS titik akhir VPC alih-alih nama DNS layanan.
Memantau penggunaan titik akhir VPC
Anda dapat memantau penggunaan titik akhir VPC Vektor S3 Anda melalui log peristiwa. CloudTrail NetworkActivity
Untuk informasi selengkapnya tentang logging Vektor S3, lihat. Logging dengan AWS CloudTrail untuk Vektor S3
