Endpoints da VPC para o S3 Vectors
Para acessar o S3 Vectors por meio da nuvem privada virtual (VPC), o Amazon S3 permite endpoints da VPC de interface usando o AWS PrivateLink (PrivateLink). O PrivateLink oferece conectividade privada entre a VPC e o S3 Vectors sem exigir um gateway da internet ou dispositivo NAT. Os endpoints de interface são representados por uma ou mais interfaces de rede elástica (ENIs) que recebem endereços IP privados de sub-redes em sua VPC. As solicitações ao S3 Vectors por meio de endpoints de interface permanecem na AWS.
Também é possível acessar endpoints de interface em sua VPC a partir de aplicações on-premises por meio do AWS Direct Connect ou de uma rede privada virtual da AWS (VPN da AWS). Para ter mais informações sobre como conectar uma VPC à rede on-premises, consulte o Guia do usuário do AWS Direct Connect e o Guia do usuário do AWS Site-to-Site VPN. Para ter mais informações sobre endpoints de interface, consulte Acessar um serviço da AWS usando um endpoint da VPC de interface no Guia do usuário do AWS PrivateLink.
Benefícios do uso do PrivateLink com o S3 Vectors
O uso do PrivateLink com o S3 Vectors oferece vários benefícios operacionais e de segurança:
-
Segurança aprimorada: o tráfego entre a VPC e o S3 Vectors permanece na rede da AWS e não passa pela internet.
-
Arquitetura de rede simplificada: acesse o S3 Vectors sem configurar gateways da internet, dispositivos NAT ou conexões VPN.
-
Controle de acesso granular: use políticas de endpoint da VPC para controlar quais buckets de vetores e índices de vetores podem ser acessados por meio do endpoint.
-
Suporte à conformidade: atenda aos requisitos regulatórios que exigem conectividade de rede privada para dados sensíveis.
Nomes e resolução de DNS do endpoint da VPC
Quando você cria um endpoint da VPC, o S3 Vectors gera dois tipos de nome DNS específicos do endpoint: regionais e zonais.
Os nomes de DNS regionais e zonais de endpoints da VPC de interface para o S3 Vectors são os seguintes:
-
Nome de DNS regional (
vpce-): o nome de DNS do endpoint da VPC regional. Sempre use endereços IP privados.1a2b3c4d-5e6f.s3vectors.region.vpce.amazonaws.com -
Nome de DNS zonal (
vpce-): nomes de DNS de endpoints da VPC específicos da zona. Sempre use endereços IP privados.1a2b3c4d-5e6f-availability_zone_code.s3vectors.region.vpce.amazonaws.com
Também é possível usar o nome de DNS do endpoint público s3vectors. como o nome de DNS privado do serviço de endpoint se o DNS privado estiver habilitado para o endpoint da VPC.region.api.aws
Endereçamento IP para endpoints de interface
Os endpoints de DNS regionais, zonais e privados do S3 Vectors permitem os tipos de IP IPv4, IPv6 e pilha dupla para o AWS PrivateLink. Para ter mais informações, consulte Tipos de endereço IP e Tipo de IP de registro de DNS para serviços da AWS no Guia do AWS PrivateLink.
Essas são algumas questões das quais você deve estar ciente antes de tentar acessar índices de vetores e buckets de vetores do S3 Vectors por IPv6 na VPC:
-
O cliente usado para acessar vetores e seu cliente do S3 Vectors devem ter a opção pilha dupla habilitada.
-
Se o grupo de segurança da VPC não tiver IPv6 configurado, será necessário configurar uma regra para permitir o tráfego IPv6. Para ter mais informações, consulte Etapa 3: atualizar regras de grupo de segurança no Guia do usuário da VPC e Configurar regras do grupo de segurança no Guia do usuário do Amazon EC2.
-
Se a VPC não tiver CIDRs IPv6 atribuídos, você precisará adicionar manualmente um bloco CIDR IPv6 à VPC. Para ter mais informações, consulte Adicionar suporte a IPv6 para sua VPC no Guia do AWS PrivateLink.
-
Se você usa políticas do IAM de filtragem de endereços IP, elas devem ser atualizadas para lidar com endereços IPv6. Para ter mais informações sobre como gerenciar permissões de acesso com o IAM, consulte . Gerenciamento de identidade e acesso no S3 Vectors.
Criar um endpoint da VPC de interface para o S3 Vectors
É possível criar endpoint da VPC de interface para o S3 Vectors usando o console da VPC, a AWS CLI, SDKs da AWS ou a API da AWS.
-
Abra o console da VPC; em https://console.aws.amazon.com/vpc/
. -
No painel de navegação, escolha Endpoints.
-
Escolha Criar endpoint.
-
Em Categoria do serviço, escolha Serviços do AWS.
-
Em Serviços, pesquise
s3vectorse selecionecom.amazonaws..region.s3vectors -
Em VPC, selecione a VPC na qual você deseja criar o endpoint.
-
(Opcional) Em Configurações adicionais, em Habilitar nome DNS, escolha se deseja habilitar o recurso de DNS privado. Quando habilitado, as solicitações que usam o endpoint de serviço público (
s3vectors.), como solicitações feitas por meio de SDKs da AWS, são enviadas ao endpoint da VPC, em vez de ao endpoint público.region.api.aws -
Em Sub-redes, selecione as sub-redes nas quais deseja criar as interfaces de rede de endpoint.
-
Em Tipo de endereço IP, escolha o tipo de endereço IP do endpoint:
-
IPv4: atribua endereços IPv4 às interfaces de rede de endpoint. Só haverá suporte para esta opção se todas as sub-redes selecionadas tiverem intervalos de endereços IPv4.
-
IPv6: atribua endereços IPv6 às interfaces de rede de endpoint. Só haverá suporte para esta opção se todas as sub-redes selecionadas forem sub-redes IPv6 apenas.
-
Pilha dupla: atribua endereços IPv4 e IPv6 às interfaces de rede de endpoint. Só haverá suporte para esta opção se todas as sub-redes selecionadas tiverem intervalos de endereços IPv4 e IPv6.
-
-
Em Grupos de segurança, selecione os grupos de segurança para associar às interfaces de rede do endpoint.
-
(Opcional) Em Política, é possível anexar uma política de endpoint da VPC para controlar o acesso ao S3 Vectors por meio do endpoint. Para permitir que todas as entidades principais realizem operações em todos os recursos do S3 Vectors no endpoint de interface, escolha Acesso total. Para restringir o acesso, escolha Personalizado e insira uma política. Para ter mais informações, consulte Controlar o acesso aos endpoints da VPC usando políticas de endpoint no Guia AWS PrivateLink. Se você não anexar uma política, a política padrão permitirá acesso completo.
-
Escolha Criar endpoint.
Para criar um endpoint da VPC que exiba IPv4 e IPv6 para o S3 Vectors, use o exemplo de comando da CLI a seguir. Para ter mais informações, consulte create-vpc-endpoint.
aws ec2 create-vpc-endpoint \ --vpc-idvpc-12345678\ --service-name com.amazonaws.region.s3vectors \ --vpc-endpoint-type Interface \ --subnet-idssubnet-12345678subnet-87654321\ --security-group-idssg-12345678\ --ip-address-type dualstack \ --private-dns-enabled
O parâmetro --private-dns-enabled habilitar o recurso de DNS privado. Quando habilitado, as solicitações para s3vectors. serão encaminhadas pelo endpoint da VPC.region.api.aws
Para ter mais informações sobre como criar endpoints da VPC, consulte Criar um endpoint da VPC no Guia do usuário da Amazon VPC.
Políticas de endpoint da VPC para o S3 Vectors
De modo semelhante às políticas baseadas em recurso, é possível anexar uma política de endpoint ao endpoint da VPC para controlar o acesso a índices de vetores e buckets de vetores. Para ter mais informações sobre as políticas de endpoint da VPC, consulte Controlar o acesso aos endpoints da VPC usando políticas de endpoint no “Guia do AWS PrivateLink”.
Exemplo de políticas de endpoint da VPC
O seguinte exemplo de política de endpoint da VPC permite acesso a todas as operações do S3 Vectors para todos as entidades principais:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": [ "s3vectors:*" ], "Resource": "*" } ] }
O seguinte exemplo de política de endpoint da VPC restringe o acesso a um bucket de vetores específico:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": [ "s3vectors:GetVectorBucket", "s3vectors:ListIndexes", "s3vectors:GetIndex", "s3vectors:QueryVectors", "s3vectors:GetVectors" ], "Resource": [ "arn:aws:s3vectors:us-west-2:111122223333:bucket/amzn-s3-demo-vector-bucket", "arn:aws:s3vectors:us-west-2:111122223333:bucket/amzn-s3-demo-vector-bucket/*" ] } ] }
O seguinte exemplo de política de endpoint da VPC permite acesso somente durante o horário comercial usando a chave de condição aws:CurrentTime:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "s3vectors:*", "Resource": "*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "08:00Z" }, "DateLessThan": { "aws:CurrentTime": "18:00Z" } } } ] }
Configurar clientes do S3 Vectors para endpoints da VPC
Ao usar endpoints da VPC com o S3 Vectors, é possível configurar os clientes do S3 Vectors para usarem o nome de DNS do serviço ou o nome de DNS do endpoint da VPC.
Solucionar problemas de endpoints da VPC
Se você encontrar problemas com o endpoint da VPC de interface, considere as seguintes etapas de solução de problemas:
-
Resolução de DNS: verifique se as consultas ao DNS do endpoint são resolvidas para endereços IP privados dentro do intervalo CIDR da VPC ao usar DNS privado.
-
Grupos de segurança: verifique se o grupo de segurança associado ao endpoint da VPC permite tráfego HTTPS de entrada (porta 443) de recursos da VPC.
-
Tabelas de rotas: verifique se as tabelas de rotas de sub-rede não têm rotas conflitantes que possam redirecionar o tráfego para fora do endpoint da VPC.
-
Política de endpoint de VPC: verifique se a política de endpoint da VPC permite as ações e os recursos necessários do S3 Vectors.
-
Configuração do cliente: se o recurso de DNS privado estiver desabilitado, configure o cliente do S3 Vectors para usar o nome de DNS do endpoint da VPC em vez do nome de DNS do serviço.
Monitorar o uso do endpoint da VPC
É possível monitorar o uso do endpoint da VPC do S3 Vectors por meio dos logs de eventos NetworkActivity do CloudTrail.
Para ter mais informações sobre o registro em log do S3 Vectors, consulte Registro em log com o AWS CloudTrail para o S3 Vectors.
