通过VPN的Amazon S3

Question

是否可以在不利用弹性云EC2的情况下直接建立与Amazon S3的VPN连接？

Answer 1

由于S3存储桶名称是全局唯一的，并且可以使用唯一的URL通过http访问，因此无法在网络级别隔离S3，并且需要使用存储桶策略，IAM策略或访问控制列表进行访问控制。您还可以使用存储桶策略将可以访问您的存储桶的源IP列入白名单。

{
  "Version": "2012-10-17",
  "Id": "S3PolicyId1",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": "arn:aws:s3:::examplebucket/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
         "NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"} 
      } 
    } 
  ]
}

S3中可用的访问控制系统在访问S3时加强了安全性。此外，使用https对正在传输的数据进行加密，并且您还可以选择对位于S3中的对象进行静态加密，以进一步加强安全性。

此外，还有多种方法可以根据S3访问客户端位置（例如，内部部署，VPC专用/公用子网等）上的出口限制建立与S3的连接。

• 如果没有出口限制，则通过Internet访问S3。
• 如果要从AWS VPC访问S3，请使用S3的VPC端点。
• 从本地到AWS数据中心的直接连接连接，以通过专用的专用网络连接访问S3。

不幸的是，由于S3未提供用于网络分段的功能，因此无法使用与S3的VPN连接，从而限制了网络级别的访问。

Answer 2

我不这么认为。Amazon Virtual Private Cloud 似乎可以做到这一点，但文档总是提到连接到 EC2 实例。