AWS PrivateLink 全面可用,可用安全地从本地访问 S3

AWS 最近宣布,用于 Amazon S3 的 PrivateLink 现在全面可用。有了 PrivateLink,客户可以安全地将 Amazon S3 连接到本地资源。

在去年的 AWS re:Invent 大会上,亚马逊预先发布了用于 Amazon S3 的 PrivateLink,现在已全面可用。通过用户虚拟网络中的私有 IP,为用户提供 Amazon Simple Storage Service 与本地资源之间的私有连接。从 2015 年开始,S3 已经配备了 VPC 端点,但仍然不允许 AWS 用户通过安全连接(如 AWS Direct Connect 或 AWS VPN)从内部访问 S3。AWS 首席布道师 Martin Beeby 在一篇博文中写道,一些用户在他们的 Amazon 虚拟私有云中设置了私有 IP 地址的代理服务器,并使用 S3 的网关端点:

尽管这种解决方案是有效的,但代理服务器通常会限制性能,增加额外的故障点,并增加运维复杂性。我们研究了如何在避免这些缺陷的情况下为客户解决这个问题,于是就有了用于 S3 的 PrivateLink。

有了用于 S3 的 PrivateLink,用户现在可以在他们的虚拟私有云中使用新的 VPC 端点接口,在他们的安全虚拟网络中作为私有端点直接访问 S3。它扩展了现有网关端点的功能,使用户能够使用私有 IP 地址访问 S3——从其内部应用程序到 S3 的任何 API 请求和 HTTPS 请求都自动通过接口端点进行重定向。此外,用户可以在其接口端点上设置安全组和访问控制策略。

图片来源: https://aws.amazon.com/blogs/aws/aws-privatelink-for-amazon-s3-now-available/

其他云提供商也提供了类似的服务,允许用户从本地连接到云存储服务。微软提供了 Azure Private Link,它从 2020 年 3 月开始为 Azure 存储提供私有端点支持。谷歌也为用户提供了私有访问解决方案,包括 Cloud Storage。

在 Reddit 上,受访者对用于 S3 的 PrivateLink 的可用性表示欢迎:

这是针对一些特定的情况,即你正在使用本地资源,并希望通过连接获得一个直接连接到 S3 的私有路由。以前,你能做的是将它指向一个 EC2 代理,并通过现有的 VPC 端点转发,但这种方式不是很理想。或者通过公共网络连接,这种方式也不是很理想。

以及:

一些企业不能在他们的网络中配置分离路由,所以他们不能使用网关端点。有了 PrivateLink,他们就可以在 PrivateLink 接口上使用网关端点。

此外,Trivadis 的高级顾问和培训师 Daniel Hillinger 在推特上表示:

昨晚,AWS 发布了很棒的 S3 接口端点公告!特别是对安全有限定的客户来说,这是期待已久的。因为在之前,他们必须将公共 IP 加入白名单,并在 S3 网关端点的 NACL 中进行定期更新。

注意,该特性只在用户需要从内部访问 S3 时才有用,否则,就像 Reddit 上说的那样:

如果不需要从本地访问 S3,就不要使用它。S3 网关端点是免费的,但这个端点可能很贵。

PrivateLink 目前适用于所有 AWS 区域,处理数据的费用按 GB 收取,VPC 端点的费用按小时收取。

原文链接:

AWS Releases Privatelink for Amazon S3 into General Availability