是否可以在不利用弹性云EC2的情况下直接建立与Amazon S3的VPN连接?
由于S3存储桶名称是全局唯一的,并且可以使用唯一的URL通过http访问,因此无法在网络级别隔离S3,并且需要使用存储桶策略,IAM策略或访问控制列表进行访问控制。您还可以使用存储桶策略将可以访问您的存储桶的源IP列入白名单。
{
"Version": "2012-10-17",
"Id": "S3PolicyId1",
"Statement": [
{
"Sid": "IPAllow",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::examplebucket/*",
"Condition": {
"IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
"NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"}
}
}
]
}
S3中可用的访问控制系统在访问S3时加强了安全性。此外,使用https对正在传输的数据进行加密,并且您还可以选择对位于S3中的对象进行静态加密,以进一步加强安全性。
此外,还有多种方法可以根据S3访问客户端位置(例如,内部部署,VPC专用/公用子网等)上的出口限制建立与S3的连接。
如果没有出口限制,则通过Internet访问S3。
如果要从AWS VPC访问S3,请使用S3的VPC端点。
从本地到AWS数据中心的直接连接连接,以通过专用的专用网络连接访问S3。
不幸的是,由于S3未提供用于网络分段的功能,因此无法使用与S3的VPN连接,从而限制了网络级别的访问。
京公网安备 11010802040832号 | 京ICP备19059560号-6 