S3 向量的 VPC 端點 - Amazon Simple Storage Service
搭配 S3 向量使用 PrivateLink 的優點VPC 端點 DNS 名稱和解析介面端點的 IP 定址為 S3 向量建立 VPC 介面端點S3 Vectors 的 VPC 端點政策為 VPC 端點設定 S3 Vectors 用戶端對 VPC 端點進行故障診斷監控 VPC 端點用量

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

S3 向量的 VPC 端點

若要從虛擬私有雲端 (VPC) 存取 S3 向量,Amazon S3 使用 AWS PrivateLink (PrivateLink) 支援介面 VPC 端點。PrivateLink 可在 VPC 和 S3 向量之間提供私有連線,而不需要網際網路閘道或 NAT 裝置。界面端點由一或多個彈性網路界面 (ENIs) 表示,這些界面會從 VPC 中的子網路指派私有 IP 地址。透過介面端點對 S3 向量的請求會保留在 AWS 網路上。

您也可以從內部部署應用程式透過 AWS Direct Connect 或 AWS Virtual Private Network (AWS VPN) 存取 VPC 中的介面端點。如需有關如何將 VPC 與內部部署網路連線的詳細資訊,請參閱《AWS Direct Connect 使用者指南》和《AWS Site-to-Site VPN 使用者指南》。如需介面端點的一般資訊,請參閱《 AWS PrivateLink 指南》中的使用介面 VPC 端點存取 AWS 服務

搭配 S3 Vectors 使用 PrivateLink 可提供數種安全性和操作優勢:

  • 增強安全性:VPC 和 S3 向量之間的流量會保留在 AWS 網路中,而不會周遊網際網路。

  • 簡化的網路架構:在不設定網際網路閘道、NAT 裝置或 VPN 連線的情況下存取 S3 向量。

  • 精細存取控制:使用 VPC 端點政策來控制可透過端點存取哪些向量儲存貯體和向量索引。

  • 合規支援:符合對敏感資料要求私有網路連線的法規要求。

當您建立 VPC 端點時,S3 Vectors 會產生兩種類型的端點特定 DNS 名稱:區域和區域。

S3 向量介面 VPC 端點的區域和區域 DNS 名稱如下所示:

  • 區域 DNS 名稱:- 區域 VPC 端點 DNS 名稱。 vpce-1a2b3c4d-5e6f.s3vectors.region.vpce.amazonaws.com一律解析為私有 IP 地址。

  • 區域 DNS 名稱: - 區域特定的 VPC 端點 DNS 名稱。 vpce-1a2b3c4d-5e6f-availability_zone_code.s3vectors.region.vpce.amazonaws.com一律解析為私有 IP 地址。

如果您已啟用 VPC 端點的私有 DNS,您也可以使用公有端點的 DNS 名稱s3vectors.region.api.aws做為端點服務的私有 DNS 名稱。

S3 Vectors 區域、區域和私有 DNS 端點支援 IPvIPv4, IPv6 和雙堆疊 IP 類型 AWS PrivateLink。如需詳細資訊,請參閱《 AWS PrivateLink 指南》中的 服務的 IP 地址類型和 DNS 記錄 IP 類型。 AWS

以下是在嘗試透過 VPC 中的 IPv6 存取 S3 Vectors 向量索引和向量儲存貯體之前,您應該知道的一些事項:

  • 您用來存取向量的用戶端和 S3 Vectors 用戶端必須同時啟用雙堆疊。

  • 如果您的 VPC 安全群組未設定 IPv6,您將需要設定規則以允許 IPv6 流量。如需詳細資訊,請參閱《VPC 使用者指南》中的步驟 3:更新您的安全群組規則,以及《Amazon EC2 使用者指南》中的設定安全群組規則

  • 如果您的 VPC 未指派 IPv6 CIDR,您將需要手動將 IPv6 CIDR 區塊新增至 VPC。如需詳細資訊,請參閱《 AWS PrivateLink 指南》中的新增 VPC 的 IPv6 支援

  • 如果您使用 IP 地址篩選 IAM 政策,則必須更新它們來處理 IPv6 地址。如需 IAM 管理存取許可的詳細資訊,請參閱 S3 Vectors 中的身分和存取管理

您可以使用 VPC 主控台、 AWS CLI、 AWS SDKs 或 AWS API 為 S3 向量建立 VPC 介面端點。

  1. 在 https://https://console.aws.amazon.com/vpc/ 開啟 VPC 主控台。

  2. 在導覽窗格中選擇端點

  3. 選擇建立端點

  4. Service category (服務類別) 中,選擇​ AWS services

  5. 對於 服務,搜尋s3vectors並選取 com.amazonaws.region.s3vectors

  6. 針對 VPC,選取您要建立端點的 VPC。

  7. (選用) 在其他設定下,針對啟用 DNS 名稱,選擇是否啟用私有 DNS 功能。啟用時,使用公有服務端點 (s3vectors.region.api.aws) 的請求,例如透過 AWS SDKs 提出的請求,會解析為您的 VPC 端點,而非公有端點。

  8. 針對子網路,選取您要建立端點網路介面的子網路。

  9. 針對 IP 地址類型,選擇端點的 IP 地址類型:

    • IPv4:將 IPv4 地址指派給端點網路介面。只有當所有選取的子網都具有 IPv4 地址範圍時,才支援此選項。

    • IPv6:將 IPv6 地址指派給端點網路介面。只有當所有選取的子網都是 IPv6 子網時,才支援此選項。

    • Dualstack:將 IPv4 和 IPv6 地址指派給端點網路介面。只有當所有選取的子網都具有 IPv4 和 IPv6 地址範圍時,才支援此選項。

  10. 對於 Security group (安全群組),選取要與端點網路介面建立關聯的安全群組。

  11. (選用) 對於 政策,您可以連接 VPC 端點政策,以控制透過端點對 S3 Vectors 的存取。若要允許所有主體透過介面端點在所有 S3 Vectors 資源上進行所有操作,請選擇完整存取。若要限制存取,請選擇自訂並輸入政策。如需詳細資訊,請參閱《 AWS PrivateLink 指南》中的使用端點政策控制對 VPC 端點的存取。如果您未連接政策,預設政策會允許完整存取。

  12. 選擇建立端點

若要建立同時傳回 S3 向量 IPv4 和 IPv6 的新 VPC 端點,請使用下列範例 CLI 命令。如需詳細資訊,請參閱 create-vpc-endpoint

aws ec2 create-vpc-endpoint \
    --vpc-id vpc-12345678 \
    --service-name com.amazonaws.region.s3vectors \
    --vpc-endpoint-type Interface \
    --subnet-ids subnet-12345678 subnet-87654321 \
    --security-group-ids sg-12345678 \
    --ip-address-type dualstack \
    --private-dns-enabled

--private-dns-enabled 參數會啟用私有 DNS 功能。啟用時,對 的請求s3vectors.region.api.aws將透過您的 VPC 端點路由。

如需建立 VPC 端點的詳細資訊,請參閱《VPC 使用者指南》中的建立 VPC 端點

與資源型政策類似,您可以將端點政策連接至 VPC 端點,以控制對向量索引和向量儲存貯體的存取。如需端點政策的詳細資訊,請參閱《 AWS PrivateLink 指南》中的使用端點政策控制對 VPC 端點的存取

下列範例 VPC 端點政策允許存取所有主體的所有 S3 Vectors 操作:

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3vectors:*"
      ],
      "Resource": "*"
    }
  ]
}

下列範例 VPC 端點政策限制對特定向量儲存貯體的存取:

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3vectors:GetVectorBucket",
        "s3vectors:ListIndexes",
        "s3vectors:GetIndex",
        "s3vectors:QueryVectors",
        "s3vectors:GetVectors"
      ],
      "Resource": [
        "arn:aws:s3vectors:us-west-2:111122223333:bucket/amzn-s3-demo-vector-bucket",
        "arn:aws:s3vectors:us-west-2:111122223333:bucket/amzn-s3-demo-vector-bucket/*"
      ]
    }
  ]
}

下列範例 VPC 端點政策僅允許在上班時間使用 aws:CurrentTime 條件金鑰進行存取:

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3vectors:*",
      "Resource": "*",
      "Condition": {
        "DateGreaterThan": {
          "aws:CurrentTime": "08:00Z"
        },
        "DateLessThan": {
          "aws:CurrentTime": "18:00Z"
        }
      }
    }
  ]
}

搭配 S3 Vectors 使用 VPC 端點時,您可以將 S3 Vectors 用戶端設定為使用服務 DNS 名稱或 VPC 端點 DNS 名稱。

SDK for Python

下列範例顯示如何在適用於 Python 的 SDK (Boto3) 中設定 S3 Vectors 用戶端以使用 VPC 端點:

import boto3

# Using service DNS name (requires private DNS feature enabled on VPC endpoint)
s3vectors_client = boto3.client(
    's3vectors',
    region_name='us-west-2',
    endpoint_url='https://s3vectors.us-west-2.api.aws'
)

# Using VPC endpoint DNS name
s3vectors_client = boto3.client(
    's3vectors',
    region_name='us-west-2',
    endpoint_url='https://vpce-12345678.s3vectors.us-west-2.vpce.amazonaws.com'
)

如果介面 VPC 端點發生問題,請考慮下列疑難排解步驟:

  • DNS 解析:驗證在使用私有 DNS 時,端點的 DNS 查詢是否解析為 VPC CIDR 範圍內的私有 IP 地址。

  • 安全群組:確保與 VPC 端點相關聯的安全群組允許來自 VPC 資源的傳入 HTTPS 流量 (連接埠 443)。

  • 路由表:確認您的子網路路由表沒有可能將流量從 VPC 端點重新導向的衝突路由。

  • VPC 端點政策:檢查您的 VPC 端點政策是否允許必要的 S3 Vectors 動作和資源。

  • 用戶端組態:如果私有 DNS 功能已停用,請將 S3 Vectors 用戶端設定為使用 VPC 端點 DNS 名稱,而不是服務 DNS 名稱。

您可以透過 CloudTrail NetworkActivity 事件日誌監控 S3 Vectors VPC 端點使用情況。

如需 S3 向量記錄的詳細資訊,請參閱 使用適用於 S3 向量的 AWS CloudTrail 記錄