As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Endpoints de gateway
Os endpoints da VPC de gateway fornecem conectividade confiável para o Amazon S3 e o DynamoDB sem a necessidade de um gateway da Internet ou um dispositivo NAT para sua VPC. Os endpoints de gateway não são usados AWS PrivateLink, ao contrário de outros tipos de endpoints de VPC.
O Amazon S3 e o DynamoDB oferecem suporte a endpoints de gateway e de interface. Para conferir uma comparação entre as opções, veja:
Preços
Não há cobrança adicional pelo uso de endpoints do gateway.
Conteúdo
Visão geral
É possível acessar o Amazon S3 e o DynamoDB por meio de endpoints de serviço públicos ou endpoints de gateway. Esta visão geral compara esses métodos.
Acessar por meio de um gateway da Internet
O seguinte diagrama mostra como as instâncias acessam o Amazon S3 e o DynamoDB pelos endpoints de serviço públicos. O tráfego para o Amazon S3 ou o DynamoDB de uma instância em uma sub-rede pública é encaminhado ao gateway da Internet da VPC e depois ao serviço. As instâncias de uma sub-rede privada não podem enviar tráfego ao Amazon S3 ou ao DynamoDB porque, por definição, as sub-redes privadas não têm rotas para um gateway da Internet. Para habilitar que instâncias na sub-rede privada enviem tráfego ao Amazon S3 ou ao DynamoDB, você deve adicionar um dispositivo NAT à sub-rede pública e rotear o tráfego na sub-rede privada para o dispositivo NAT. Embora o tráfego para o Amazon S3 ou o DynamoDB passe pelo gateway da Internet, ele não sai da rede. AWS
Acessar por meio de um endpoint de gateway
O seguinte diagrama mostra como as instâncias acessam o Amazon S3 e o DynamoDB por um endpoint de gateway. O tráfego da VPC para o Amazon S3 ou o DynamoDB é encaminhado ao endpoint de gateway. Cada tabela de rotas de sub-rede deve ter uma rota que envie o tráfego destinado ao serviço para o endpoint de gateway usando a lista de prefixos do serviço. Para obter mais informações, consulte listaS de prefixos gerenciados da AWS no Guia do usuário da Amazon VPC.
Roteamento
Ao criar um endpoint de gateway, selecione as tabelas de rota da VPC para as sub-redes que você habilitar. A seguinte rota será adicionada automaticamente a cada tabela de rotas que você selecionar. O destino é uma lista de prefixos para o serviço de propriedade AWS e o destino é o endpoint do gateway.
| Destination (Destino) | Alvo |
|---|---|
prefix_list_id |
gateway_endpoint_id |
Considerações
-
É possível revisar as rotas de endpoint que adicionamos à tabela de rotas, mas não é possível modificá-las nem excluí-las. Para adicionar uma rota de endpoint a uma tabela de rotas, associe-a ao endpoint de gateway. Excluímos a rota do endpoint quando você desassocia a tabela de rotas do endpoint de gateway ou quando exclui o endpoint de gateway.
-
Todas as instâncias das sub-redes associadas a uma tabela de rotas associada a um endpoint de gateway usarão esse endpoint automaticamente para acessar o serviço. As instâncias em sub-redes que não estão associadas a essas tabelas de rotas usarão o endpoint de serviço público, não o endpoint de gateway.
-
A tabela de rotas pode ter uma rota de endpoint para o Amazon S3 e uma rota de endpoint para o DynamoDB. É possível ter rotas de endpoint para o mesmo serviço (Amazon S3 ou DynamoDB) em várias tabelas de rotas. É possível ter várias rotas de endpoint para o mesmo serviço (Amazon S3 ou DynamoDB) em uma única tabela de rotas.
-
Para determinar como encaminhar o tráfego, usamos a rota mais específica que corresponde ao tráfego (correspondência de prefixo mais longa). Para tabelas de rotas com uma rota de endpoint, isso significa que:
-
Se houver uma rota que envie todo o tráfego da Internet (0.0.0.0/0) para um gateway da Internet, a rota de endpoint prevalecerá sobre o tráfego destinado ao serviço (Amazon S3 ou DynamoDB) na região atual. O tráfego destinado a um diferente AWS service (Serviço da AWS) usa o gateway da Internet.
-
O tráfego destinado ao serviço (Amazon S3 ou DynamoDB) em uma região diferente vai para o gateway da Internet porque as listas de prefixos são específicas de uma região.
-
Se houver uma rota que especifique o intervalo exato de endereços IP para o serviço (Amazon S3 ou DynamoDB) na mesma região, essa rota prevalecerá sobre a rota do endpoint.
-
Segurança
Quando as instâncias acessam o Amazon S3 ou o DynamoDB por um endpoint de gateway, elas acessam o serviço usando um endpoint público. Os grupos de segurança dessas instâncias devem permitir o tráfego no serviço. Veja a seguir um exemplo de uma regra de saída. Ela faz referência ao ID da lista de prefixos do serviço.
| Destino | Protocolo | Intervalo de portas |
|---|---|---|
prefix_list_id |
TCP | 443 |
A rede ACLs das sub-redes dessas instâncias também deve permitir o tráfego de e para o serviço. Veja a seguir um exemplo de uma regra de saída. Você não pode referenciar as listas de prefixos nas regras de ACL de rede, mas pode obter os intervalos de endereços IP do serviço na lista de prefixos.
| Destino | Protocolo | Intervalo de portas |
|---|---|---|
service_cidr_block_1 |
TCP | 443 |
service_cidr_block_2 |
TCP | 443 |
service_cidr_block_3 |
TCP | 443 |
Tipo de endereço IP
O tipo de endereço IP determina qual lista de prefixos é associada à tabela de rotas.
Requisitos IPv6 para habilitar um endpoint de gateway
-
O tipo de endereço IP de um endpoint de gateway deve ser compatível com as sub-redes do endpoint de gateway, como descrito aqui:
-
IPv4— Adicione a lista de IPv4 prefixos do serviço à sua tabela de rotas.
-
IPv6— Adicione a lista de IPv6 prefixos do serviço à sua tabela de rotas. Essa opção é suportada somente se todas as sub-redes selecionadas forem IPv6 somente sub-redes.
-
Dualstack — Adicione a lista de IPv4 prefixos do serviço à sua tabela de rotas e adicione a lista de IPv6 prefixos do serviço à sua tabela de rotas. Essa opção é suportada somente se todas as sub-redes selecionadas tiverem intervalos de IPv6 endereços IPv4 e ambos.
-
Tipo de IP de registro DNS
Por padrão, um endpoint de gateway retorna registros DNS com base no endpoint de serviço que você chama. Se você criar seu endpoint de gateway usando o endpoint de IPv4 serviço, como, por exemplos3.us-east-2.amazonaws.com, o Amazon S3 retornará registros A para seus clientes e todas as sub-redes em sua tabela de rotas serão usadas. IPv4
Por outro lado, se você criar seu endpoint de gateway usando o endpoint de serviço dualstack, como, por exemplo, o Amazon s3.dualstack.us-east-2.amazonaws.com S3 retornará os registros A e AAAA para seus clientes, e as sub-redes em sua tabela de rotas usarão e. IPv4 IPv6
nota
Para buckets de diretório ou S3 Express One Zone, os endpoints do gateway para o plano de dados seriam s3express-use2-az1.us-east-2.amazonaws.com e respectivamente. s3express-use2-az1.dualstack.us-east-2.amazonaws.com
O tipo de IP do registro DNS afeta a forma como o tráfego é roteado para seus clientes. Se você criar um endpoint de gateway usando o endpoint de IPv4 serviço e depois chamar o endpoint de serviço dualstack, o tráfego que usa registros AAAA não será roteado pelo endpoint do gateway. O tráfego será descartado ou roteado por um caminho IPv6 compatível, se houver um. Se você usa um tipo de IP de registro DNS definido pelo serviço, certifique-se de que seu serviço possa lidar com chamadas variáveis de vários endpoints de serviço.
Em vez da configuração padrão do tipo IP do registro DNS definido pelo serviço, você pode personalizar o tipo IP do registro DNS para escolher quais registros serão retornados para um endpoint específico. A tabela a seguir mostra os tipos de IP de registro DNS compatíveis e os tipos de registro retornados:
| Tipo de IP de registro DNS | Tipos de registros retornado |
|---|---|
| IPv4 | A |
| IPv6 | AAAA |
| Pilha dupla | A e AAAA |
| definido pelo serviço | Os registros dependem do ponto final do serviço |
Para escolher um tipo de IP de registro DNS, você deve usar um tipo de endereço IP compatível para o serviço de endpoint. A tabela a seguir mostra o tipo de IP de registro DNS suportado para cada tipo de endereço IP para endpoints de gateway:
| Tipo de endereço IP | Tipos de IP de registro DNS compatíveis |
|---|---|
| IPv4 | IPv4, definido pelo serviço* |
| IPv6 | IPv6, definido pelo serviço* |
| Pilha dupla | IPv4,, IPv6 Dualstack, definido pelo serviço* |
* Representa o tipo de IP de registro DNS padrão.
nota
Para usar tipos de IP de registro DNS diferentes dos definidos pelo serviço para seu endpoint do Gateway, você deve permitir enableDnsSupport e atribuir atributos enableDnsHostnames nas configurações de VPC.
Você não pode alterar o tipo de IP do registro DNS para um endpoint do gateway DynamoDB. O DynamoDB só é compatível com o tipo de IP de registro DNS definido pelo serviço.
O comportamento do tipo de IP de registro DNS é diferente nos endpoints de interface. Para obter mais informações, consulte DNS record IP type for interface endpoints.
