Vantaggi dell'utilizzo con PrivateLink S3 Vectors Nomi e risoluzione DNS degli endpoint VPC Indirizzamento IP per gli endpoint di interfaccia Creazione di un endpoint di interfaccia VPC per S3 Vectors Policy degli endpoint VPC per S3 Vectors Configurazione dei client S3 Vectors per gli endpoint VPC Risoluzione dei problemi relativi agli endpoint VPC Monitoraggio dell'utilizzo degli endpoint VPC

Endpoint VPC per S3 Vectors

Per accedere a S3 Vectors dal tuo cloud privato virtuale (VPC), Amazon S3 supporta gli endpoint VPC di interfaccia utilizzando (). AWS PrivateLink PrivateLink PrivateLink fornisce connettività privata tra il tuo VPC e S3 Vectors senza richiedere un gateway Internet o un dispositivo NAT. Gli endpoint dell'interfaccia sono rappresentati da una o più interfacce di rete elastiche (ENIs) a cui vengono assegnati indirizzi IP privati dalle sottoreti del VPC. Le richieste ai vettori S3 tramite gli endpoint di interfaccia rimangono sulla rete. AWS

Puoi anche accedere agli endpoint di interfaccia nel tuo VPC da applicazioni locali AWS Direct Connect tramite AWS la nostra rete AWS privata virtuale (VPN). Per ulteriori informazioni su come connettere il VPC alla rete locale, consulta la Guida per l'utente e la Guida per AWS Direct Connect l'utente della AWS Site-to-Site VPN. Per informazioni generali sugli endpoint di interfaccia, consulta Accedere a un AWS servizio utilizzando un endpoint VPC di interfaccia nella Guida.AWS PrivateLink

Vantaggi dell'utilizzo con PrivateLink S3 Vectors

L'utilizzo PrivateLink con S3 Vectors offre diversi vantaggi operativi e di sicurezza:

Sicurezza migliorata: il traffico tra il tuo VPC e S3 Vectors rimane all'interno della AWS rete e non attraversa Internet.
Architettura di rete semplificata: accedi a S3 Vectors senza configurare gateway Internet, dispositivi NAT o connessioni VPN.
Controllo granulare degli accessi: utilizza le policy degli endpoint VPC per controllare a quali bucket vettoriali e indici vettoriali è possibile accedere tramite l'endpoint.
Supporto alla conformità: soddisfa i requisiti normativi che impongono la connettività di rete privata per i dati sensibili.

Nomi e risoluzione DNS degli endpoint VPC

Quando crei un endpoint VPC, S3 Vectors genera due tipi di nomi DNS specifici dell'endpoint: regionale e zonale.

I nomi DNS regionali e zonali degli endpoint VPC di interfaccia per S3 Vectors sono i seguenti:

Nome DNS regionale: vpce-1a2b3c4d-5e6f.s3vectors.region.vpce.amazonaws.com - Il nome DNS regionale dell'endpoint VPC. Risolvi sempre a indirizzi IP privati.
Nome DNS zonale: vpce-1a2b3c4d-5e6f-availability_zone_code.s3vectors.region.vpce.amazonaws.com - Nomi DNS degli endpoint VPC specifici della zona. Risolvi sempre a indirizzi IP privati.

Puoi anche utilizzare il nome DNS dell'endpoint pubblico s3vectors.region.api.aws come nome DNS privato del servizio endpoint se hai abilitato il DNS privato per l'endpoint VPC.

Indirizzamento IP per gli endpoint di interfaccia

Supporto per endpoint DNS regionali, zonali e privati di S3 Vectors e tipi IP IPv4 dualstack IPv6 per. AWS PrivateLinkPer ulteriori informazioni, consulta Tipi di indirizzi IP e Tipo IP dei record DNS per i servizi nella Guida. AWS AWS PrivateLink

Di seguito sono riportate alcune cose che dovresti sapere prima di provare ad accedere agli indici vettoriali e ai bucket vettoriali di S3 Vectors nel tuo VPC: IPv6

Il client che usi per accedere ai vettori e il tuo client S3 Vectors devono entrambi avere il dual-stack abilitato.
Se il tuo gruppo di sicurezza VPC non è IPv6 configurato, dovrai configurare una regola per consentire IPv6 il traffico. Per ulteriori informazioni, consulta Step 3: Aggiorna le regole del tuo gruppo di sicurezza nella VPC User Guide e Configura le regole dei gruppi di sicurezza nella Amazon EC2 User Guide.
Se il tuo VPC non è IPv6 CIDRs stato assegnato, dovrai aggiungere manualmente un blocco IPv6 CIDR al tuo VPC. Per ulteriori informazioni, consulta Aggiungere il IPv6 supporto per il tuo VPC nella AWS PrivateLink Guida.
Se utilizzi le policy IAM per il filtraggio degli indirizzi IP, queste devono essere aggiornate per gestire IPv6 gli indirizzi. Per ulteriori informazioni sulla gestione delle autorizzazioni di accesso con IAM, consulta Identity and Access Management in S3 Vectors.

Creazione di un endpoint di interfaccia VPC per S3 Vectors

Puoi creare un endpoint di interfaccia VPC per S3 Vectors utilizzando la console VPC AWS , l'interfaccia CLI o l'API. AWS SDKs AWS

Apri la console VPC all'indirizzo. https://console.aws.amazon.com/vpc/
Nel pannello di navigazione, seleziona Endpoints (Endpoint).
Seleziona Crea endpoint.
Per Service category (Categoria servizio), scegli AWS services.
Per Servizi, cerca s3vectors e selezionacom.amazonaws.region.s3vectors.
Per VPC, seleziona il VPC in cui desideri creare l'endpoint.
(Facoltativo) In Impostazioni aggiuntive, in Abilita nome DNS, scegli se abilitare la funzionalità DNS privata. Se abilitate, le richieste che utilizzano l'endpoint del servizio pubblico (s3vectors.region.api.aws), come le richieste effettuate tramite AWS SDKs, vengono risolte sull'endpoint VPC anziché sull'endpoint pubblico.
Per Subnet, seleziona le sottoreti in cui desideri creare le interfacce di rete degli endpoint.
Per il tipo di indirizzo IP, scegli il tipo di indirizzo IP per l'endpoint:
- IPv4: assegna IPv4 gli indirizzi alle interfacce di rete degli endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate hanno intervalli di indirizzi. IPv4
- IPv6: assegna IPv6 indirizzi alle interfacce di rete degli endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate sono solo sottoreti. IPv6
- Dualstack: assegna entrambi IPv4 gli indirizzi alle interfacce di rete degli endpoint. IPv6 Questa opzione è supportata solo se tutte le sottoreti selezionate hanno entrambi gli intervalli di indirizzi. IPv4 IPv6
Per Security groups (Gruppi di sicurezza), seleziona i gruppi di sicurezza da associare alle interfacce di rete dell'endpoint.
(Facoltativo) Per Policy, puoi allegare una policy degli endpoint VPC per controllare l'accesso a S3 Vectors tramite l'endpoint. Per consentire tutte le operazioni da parte di tutti i principali su tutte le risorse S3 Vectors sull'endpoint di interfaccia, scegli Accesso completo. Per limitare l'accesso, scegli Personalizzato e inserisci una politica. Per ulteriori informazioni, consulta Controllare l'accesso agli endpoint VPC utilizzando le policy degli endpoint nella Guida. AWS PrivateLink Se non alleghi una policy, la policy predefinita consente l'accesso completo.
Seleziona Crea endpoint.

Per creare un nuovo endpoint VPC che restituisca entrambi IPv4 e IPv6 per i vettori S3, usa il seguente comando CLI di esempio. Per ulteriori informazioni, consulta create-vpc-endpoint.


aws ec2 create-vpc-endpoint \
    --vpc-id vpc-12345678 \
    --service-name com.amazonaws.region.s3vectors \
    --vpc-endpoint-type Interface \
    --subnet-ids subnet-12345678 subnet-87654321 \
    --security-group-ids sg-12345678 \
    --ip-address-type dualstack \
    --private-dns-enabled

Il --private-dns-enabled parametro abilita la funzionalità DNS privata. Se abilitato, le richieste di s3vectors.region.api.aws verranno inoltrate attraverso l'endpoint VPC.

Per ulteriori informazioni sulla creazione di endpoint VPC, consulta Creare un endpoint VPC nella Guida per l'utente VPC.

Policy degli endpoint VPC per S3 Vectors

Analogamente alle politiche basate sulle risorse, puoi allegare una policy endpoint al tuo endpoint VPC per controllare l'accesso agli indici vettoriali e ai bucket vettoriali. Per ulteriori informazioni sulle politiche degli endpoint, consulta Controllare l'accesso agli endpoint VPC utilizzando le politiche degli endpoint nella Guida. AWS PrivateLink

Esempi di policy per gli endpoint VPC

Il seguente esempio di policy sugli endpoint VPC consente l'accesso a tutte le operazioni di S3 Vectors per tutti i principali:


{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3vectors:*"
      ],
      "Resource": "*"
    }
  ]
}

Il seguente esempio di politica degli endpoint VPC limita l'accesso a un bucket vettoriale specifico:


{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3vectors:GetVectorBucket",
        "s3vectors:ListIndexes",
        "s3vectors:GetIndex",
        "s3vectors:QueryVectors",
        "s3vectors:GetVectors"
      ],
      "Resource": [
        "arn:aws:s3vectors:us-west-2:111122223333:bucket/amzn-s3-demo-vector-bucket",
        "arn:aws:s3vectors:us-west-2:111122223333:bucket/amzn-s3-demo-vector-bucket/*"
      ]
    }
  ]
}

Il seguente esempio di politica degli endpoint VPC consente l'accesso solo durante l'orario lavorativo utilizzando la aws:CurrentTime chiave di condizione:


{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3vectors:*",
      "Resource": "*",
      "Condition": {
        "DateGreaterThan": {
          "aws:CurrentTime": "08:00Z"
        },
        "DateLessThan": {
          "aws:CurrentTime": "18:00Z"
        }
      }
    }
  ]
}

Configurazione dei client S3 Vectors per gli endpoint VPC

Quando si utilizzano endpoint VPC con S3 Vectors, è possibile configurare i client S3 Vectors in modo che utilizzino il nome DNS del servizio o il nome DNS dell'endpoint VPC.

Risoluzione dei problemi relativi agli endpoint VPC

Se riscontri problemi con l'endpoint VPC dell'interfaccia, considera i seguenti passaggi per la risoluzione dei problemi:

Risoluzione DNS: verifica che le query DNS per l'endpoint si risolvano in indirizzi IP privati all'interno dell'intervallo CIDR del VPC quando utilizzi DNS privato.
Gruppi di sicurezza: assicurati che il gruppo di sicurezza associato all'endpoint VPC consenta il traffico HTTPS in entrata (porta 443) dalle tue risorse VPC.
Tabelle di routing: verifica che le tabelle di routing della subnet non abbiano percorsi in conflitto che potrebbero reindirizzare il traffico lontano dall'endpoint VPC.
Policy degli endpoint VPC: verifica che la policy degli endpoint VPC consenta le azioni e le risorse S3 Vectors necessarie.
Configurazione client: se la funzionalità DNS privato è disabilitata, configura il client S3 Vectors per utilizzare il nome DNS dell'endpoint VPC anziché il nome DNS del servizio.

Monitoraggio dell'utilizzo degli endpoint VPC

Puoi monitorare l'utilizzo degli endpoint VPC S3 Vectors tramite i registri degli eventi. CloudTrail NetworkActivity

Per ulteriori informazioni sulla registrazione di S3 Vectors, consulta. Registrazione con AWS CloudTrail per i vettori S3

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Visualizzazione della configurazione di crittografia in S3 Vectors

Registrazione con AWS CloudTrail per i vettori S3