프라이빗 VPC 서브넷에서 Amazon S3에 액세스


12

VPC가 실행 중이고 Amazon S3에서 파일을 다운로드하여 백엔드 처리를 수행하는 해당 서버의 개인 부분에 일부 서버가있는 경우 내부적으로 S3에 액세스하여 해당 파일을 가져올 수 있습니까? 아니면 NAT를 통해 공용 인터넷에 액세스하고 https를 통해 s3 파일을 다운로드 한 다음 처리해야합니까?


한 가지 방법 은 stackoverflow.com/questions/25539057/에 대한 내 대답을 참조하십시오 .하지만 내 대답은 특정 VPC에서만 액세스 할 수 있도록 S3 버킷을 설정하는 것과 관련이 있기 때문에 부분적으로 만 응답 할 수 있습니다. 질문.
Eddie

답변:


29

"인터넷"과 같은 사용자 이름으로이 사실을 알고 싶습니다. 하지만 당신이 물어 본 이후로 ...

:)

VPC는 정말 비공개입니다. 명시 적으로 허용 한 트래픽 만 VPC의 경계를 통과 할 수 있습니다.

따라서 VPC 내에서 외부 리소스에 액세스해야하는 인스턴스에는 EIP (이 경우 AWS 인프라를 사용하여 외부 리소스에 액세스 할 수 있음)를 할당하거나 NAT 호스트 (이 경우 모든 트래픽이 송신 됨)를 제공해야합니다. 자신의 NAT를 통한 VPC).

고유 한 NAT 호스트를 제공하도록 선택한 경우 해당 인스턴스에서 소스 / 대상 확인을 비활성화하고 프라이빗 서브넷에 기본 경로를 추가하여 NAT 호스트를 가리켜 야합니다.

업데이트 (2015-05-10) : 2015 년 5 월 11 일 현재 AWS는 S3 용 "VPC 엔드 포인트"를 출시했습니다 .이를 통해 프록시 호스트 또는 NAT 인스턴스를 거치지 않고도 VPC에서 직접 S3에 액세스 할 수 있습니다. 고맙게도 VPC의 사적인 특성을 고려하여이 기능은 기본적으로 해제되어 있지만 AWS 콘솔 또는 API를 통해 쉽게 켤 수 있습니다.


액세스 제어는 어떻습니까? 트래픽이 NAT 인스턴스를 통과 할 때 S3 버킷 정책은 어떻게 작동합니까 (원점이 NAT에 따라 S3가 데이터를 요청하는 역할 또는 사용자를 어떻게 알 수 있습니까)?
Tuukka Mustonen

@TuukkaMustonen 유일한 관심사는 소스 IP를 기반으로하는 정책이있는 경우입니다. 이 경우 NAT 인스턴스의 퍼블릭 IP를 소스 IP로 사용해야합니다.
filipenf

2

인스턴스가 VPC의 퍼블릭 서브넷에있는 경우 :

  • 인스턴스에 퍼블릭 IP 주소가 할당되어 있어야합니다.
  • 또는 인스턴스에 탄력적 IP가 할당되어 있어야합니다.

인스턴스가 VPC의 프라이빗 서브넷에있는 경우 :

  • 퍼블릭 서브넷에서 NAT 장치를 실행해야합니다. VPC의 프라이빗 서브넷에있는 인스턴스는 NAT를 통해 인터넷에 액세스하고 S3에 액세스 할 수 있습니다. AWS VPC NAT를 사용하거나 직접 구성 할 수 있습니다 (나만의 NAT를 설정하려는 경우이를위한 Google)

결론적으로, S3에 액세스하려면 인터넷에 액세스 할 수 있어야합니다.


참고 : 위의 업데이트마다 더 이상 인터넷에 액세스 할 필요가 없습니다.
EEAA


-3

AWS 리전 내에서 데이터를 전송하는 방식에 대해 "출입"또는 "입출"할 필요가 없습니다. 같은 지역의 버킷으로 /에서 버킷으로 전송하는 수수료는 없습니다 . 저장 비용을 지불해야합니다.


이것은 OP의 질문에 대답하지 않습니다.
EEAA

그가 AWS 외부의 네트워크를 언급하고 있는지는 확실하지 않습니다. dv 주셔서 감사합니다!
quadruplebucky

요점이 없습니다. 그는 프라이빗 VPC 서브넷에 EC2 인스턴스가 있습니다. 기본적으로 이들에 액세스 할 수없는 아무것도 VPC 그 외부를. 그래서 내가 대답했듯이 S3에 액세스하려면 두 가지 옵션 중 하나를 선택해야합니다. 네트워크가 AWS 내부 또는 외부에 있는지 여부와는 관련이 없으며 VPC 외부에 액세스하는 것과 관련이 있습니다.
EEAA

@quadruplebucky, 나는 HTTPS를 통해 파일을 얻기 위해 "공용 인터넷"에 액세스하고 있음을 분명히합니다.
인터넷

나는 여기서 절을 할 것이다. 나는이 싸움에서 개가 없다. EEAA가 귀하의 질문에 답변했습니다. 지역을 교차하면 비용을 지불합니다.
quadruplebucky
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.