Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Titik akhir VPC untuk Vektor S3
Untuk mengakses Vektor S3 dari cloud pribadi virtual (VPC) Anda, Amazon S3 mendukung titik akhir VPC antarmuka dengan menggunakan (). AWS PrivateLink PrivateLink PrivateLink menyediakan konektivitas pribadi antara VPC dan Vektor S3 Anda tanpa memerlukan gateway internet atau perangkat NAT. Titik akhir antarmuka diwakili oleh satu antarmuka jaringan yang lebih elastis (ENIs) yang diberi alamat IP pribadi dari subnet di VPC Anda. Permintaan ke Vektor S3 melalui titik akhir antarmuka tetap ada di jaringan. AWS
Anda juga dapat mengakses titik akhir antarmuka di VPC Anda dari aplikasi lokal AWS Direct Connect melalui AWS atau Virtual Private Network AWS (VPN). Untuk informasi selengkapnya tentang cara menghubungkan VPC dengan jaringan lokal, lihat Panduan AWS Direct Connect Pengguna dan Panduan Pengguna AWS Site-to-Site VPN. Untuk informasi umum tentang titik akhir antarmuka, lihat Mengakses AWS layanan menggunakan titik akhir VPC antarmuka dalam Panduan.AWS PrivateLink
Manfaat menggunakan PrivateLink dengan Vektor S3
Menggunakan PrivateLink dengan Vektor S3 memberikan beberapa manfaat keamanan dan operasional:
-
Keamanan yang ditingkatkan: Lalu lintas antara VPC dan Vektor S3 Anda tetap berada dalam AWS jaringan dan tidak melintasi internet.
-
Arsitektur jaringan yang disederhanakan: Akses Vektor S3 tanpa mengonfigurasi gateway internet, perangkat NAT, atau koneksi VPN.
-
Kontrol akses granular: Gunakan kebijakan titik akhir VPC untuk mengontrol bucket vektor dan indeks vektor mana yang dapat diakses melalui titik akhir.
-
Dukungan kepatuhan: Memenuhi persyaratan peraturan yang mengamanatkan konektivitas jaringan pribadi untuk data sensitif.
Nama dan resolusi DNS titik akhir VPC
Saat Anda membuat titik akhir VPC, Vektor S3 menghasilkan dua jenis nama DNS spesifik titik akhir: Regional dan Zonal.
Nama DNS Regional dan Zonal dari titik akhir VPC antarmuka untuk Vektor S3 adalah sebagai berikut:
-
Nama DNS regional:
vpce-- Nama DNS titik akhir VPC regional. Selalu putuskan ke alamat IP pribadi.1a2b3c4d-5e6f.s3vectors.region.vpce.amazonaws.com -
Nama DNS zona:
vpce-- Nama DNS titik akhir VPC khusus zona. Selalu putuskan ke alamat IP pribadi.1a2b3c4d-5e6f-availability_zone_code.s3vectors.region.vpce.amazonaws.com
Anda juga dapat menggunakan nama DNS dari titik akhir publik s3vectors. sebagai nama DNS pribadi layanan titik akhir jika DNS pribadi diaktifkan untuk titik akhir VPC.region.api.aws
Pengalamatan IP untuk titik akhir antarmuka
Dukungan titik akhir DNS regional, zonal, dan pribadi Vektor S3 IPv6, dan tipe IP IPv4 dualstack untuk. AWS PrivateLink Untuk informasi selengkapnya, lihat Jenis alamat IP dan jenis IP rekaman DNS untuk AWS layanan di AWS PrivateLink Panduan.
Berikut ini adalah beberapa hal yang harus Anda ketahui sebelum mencoba mengakses indeks vektor S3 Vektor dan bucket vektor di IPv6 VPC Anda:
-
Klien yang Anda gunakan untuk mengakses vektor dan klien Vektor S3 Anda harus mengaktifkan dual-stack.
-
Jika grup keamanan VPC Anda belum IPv6 disiapkan, Anda harus mengonfigurasi aturan untuk mengizinkan IPv6 lalu lintas. Untuk informasi selengkapnya, lihat Langkah 3: Memperbarui aturan grup keamanan Anda di Panduan Pengguna VPC dan Mengonfigurasi aturan grup keamanan di Panduan Pengguna Amazon EC2.
-
Jika VPC Anda tidak IPv6 CIDRs ditetapkan, Anda perlu menambahkan blok IPv6 CIDR secara manual ke VPC Anda. Untuk informasi selengkapnya, lihat IPv6 Menambahkan dukungan untuk VPC Anda di Panduan.AWS PrivateLink
-
Jika Anda menggunakan kebijakan IAM pemfilteran alamat IP, kebijakan tersebut harus diperbarui untuk menangani IPv6 alamat. Untuk informasi selengkapnya tentang mengelola izin akses, lihat Manajemen Identitas dan Akses di Vektor S3.
Membuat titik akhir antarmuka VPC untuk Vektor S3
Anda dapat membuat titik akhir antarmuka VPC untuk Vektor S3 menggunakan konsol VPC, CLI AWS , atau API. AWS SDKs AWS
-
Buka konsol VPC di. https://console.aws.amazon.com/vpc/
-
Di panel navigasi, pilih Titik Akhir.
-
Pilih Buat Titik Akhir.
-
Untuk kategori Layanan, pilih AWS layanan.
-
Untuk Layanan, cari
s3vectorsdan pilihcom.amazonaws..region.s3vectors -
Untuk VPC, pilih VPC tempat Anda ingin membuat titik akhir.
-
(Opsional) Di bawah Pengaturan tambahan, untuk Aktifkan nama DNS, pilih apakah akan mengaktifkan fitur DNS pribadi. Saat diaktifkan, permintaan yang menggunakan titik akhir layanan publik (
s3vectors.), seperti permintaan yang dibuat melalui AWS SDKs, diselesaikan ke titik akhir VPC Anda, bukan titik akhir publik.region.api.aws -
Untuk Subnet, pilih subnet tempat Anda ingin membuat antarmuka jaringan titik akhir.
-
Untuk jenis alamat IP, pilih jenis alamat IP untuk titik akhir:
-
IPv4: Tetapkan IPv4 alamat ke antarmuka jaringan titik akhir. Opsi ini didukung hanya jika semua subnet yang dipilih memiliki rentang IPv4 alamat.
-
IPv6: Tetapkan IPv6 alamat ke antarmuka jaringan titik akhir. Opsi ini didukung hanya jika semua subnet yang dipilih IPv6 hanya subnet.
-
Dualstack: Tetapkan keduanya IPv4 dan IPv6 alamat ke antarmuka jaringan endpoint. Opsi ini didukung hanya jika semua subnet yang dipilih memiliki rentang keduanya IPv4 dan IPv6 alamat.
-
-
Untuk grup Keamanan, pilih grup keamanan untuk diasosiasikan dengan antarmuka jaringan titik akhir.
-
(Opsional) Untuk Kebijakan, Anda dapat melampirkan kebijakan titik akhir VPC untuk mengontrol akses ke Vektor S3 melalui titik akhir. Untuk mengizinkan semua operasi oleh semua prinsipal pada semua sumber daya Vektor S3 melalui titik akhir antarmuka, pilih Akses penuh. Untuk membatasi akses, pilih Kustom dan masukkan kebijakan. Untuk informasi selengkapnya, lihat Mengontrol akses ke titik akhir VPC menggunakan kebijakan titik akhir di Panduan. AWS PrivateLink Jika Anda tidak melampirkan kebijakan, kebijakan default mengizinkan akses penuh.
-
Pilih Buat titik akhir.
Untuk membuat titik akhir VPC baru yang mengembalikan keduanya IPv4 dan IPv6 untuk Vektor S3, gunakan contoh perintah CLI berikut. Untuk informasi selengkapnya, lihat create-vpc-endpoint.
aws ec2 create-vpc-endpoint \ --vpc-idvpc-12345678\ --service-name com.amazonaws.region.s3vectors \ --vpc-endpoint-type Interface \ --subnet-idssubnet-12345678subnet-87654321\ --security-group-idssg-12345678\ --ip-address-type dualstack \ --private-dns-enabled
--private-dns-enabledParameter memungkinkan fitur DNS pribadi. Saat diaktifkan, permintaan untuk s3vectors. akan merutekan melalui titik akhir VPC Anda.region.api.aws
Untuk informasi selengkapnya tentang membuat titik akhir VPC, lihat Membuat titik akhir VPC di Panduan Pengguna VPC.
Kebijakan titik akhir VPC untuk Vektor S3
Mirip dengan kebijakan berbasis sumber daya, Anda dapat melampirkan kebijakan titik akhir ke titik akhir VPC Anda untuk mengontrol akses ke indeks vektor dan bucket vektor. Untuk informasi selengkapnya tentang kebijakan titik akhir, lihat Mengontrol akses ke titik akhir VPC menggunakan kebijakan titik akhir di Panduan. AWS PrivateLink
Contoh kebijakan titik akhir VPC
Contoh kebijakan titik akhir VPC berikut memungkinkan akses ke semua operasi Vektor S3 untuk semua prinsipal:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": [ "s3vectors:*" ], "Resource": "*" } ] }
Contoh kebijakan titik akhir VPC berikut membatasi akses ke bucket vektor tertentu:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": [ "s3vectors:GetVectorBucket", "s3vectors:ListIndexes", "s3vectors:GetIndex", "s3vectors:QueryVectors", "s3vectors:GetVectors" ], "Resource": [ "arn:aws:s3vectors:us-west-2:111122223333:bucket/amzn-s3-demo-vector-bucket", "arn:aws:s3vectors:us-west-2:111122223333:bucket/amzn-s3-demo-vector-bucket/*" ] } ] }
Contoh kebijakan titik akhir VPC berikut mengizinkan akses hanya selama jam kerja menggunakan kunci kondisi: aws:CurrentTime
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "s3vectors:*", "Resource": "*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "08:00Z" }, "DateLessThan": { "aws:CurrentTime": "18:00Z" } } } ] }
Mengkonfigurasi klien Vektor S3 untuk titik akhir VPC
Saat menggunakan titik akhir VPC dengan Vektor S3, Anda dapat mengonfigurasi klien Vektor S3 Anda untuk menggunakan nama DNS layanan atau nama DNS titik akhir VPC.
Memecahkan masalah titik akhir VPC
Jika Anda mengalami masalah dengan titik akhir VPC antarmuka Anda, pertimbangkan langkah-langkah pemecahan masalah berikut:
-
Resolusi DNS: Verifikasi bahwa kueri DNS untuk titik akhir diselesaikan ke alamat IP pribadi dalam rentang CIDR VPC Anda saat menggunakan DNS pribadi.
-
Grup keamanan: Pastikan grup keamanan yang terkait dengan titik akhir VPC memungkinkan lalu lintas HTTPS masuk (port 443) dari sumber daya VPC Anda.
-
Tabel rute: Verifikasi bahwa tabel rute subnet Anda tidak memiliki rute yang bertentangan yang mungkin mengalihkan lalu lintas dari titik akhir VPC.
-
Kebijakan titik akhir VPC: Periksa apakah kebijakan titik akhir VPC Anda memungkinkan tindakan dan sumber daya Vektor S3 yang diperlukan.
-
Konfigurasi klien: Jika fitur DNS pribadi dinonaktifkan, konfigurasikan klien Vektor S3 Anda untuk menggunakan nama DNS titik akhir VPC alih-alih nama DNS layanan.
Memantau penggunaan titik akhir VPC
Anda dapat memantau penggunaan titik akhir VPC Vektor S3 Anda melalui log peristiwa. CloudTrail NetworkActivity
Untuk informasi selengkapnya tentang logging Vektor S3, lihat. Logging dengan AWS CloudTrail untuk Vektor S3
