개요

지금까지는 Gateway형이라는 형태로 준비되어 있었습니다.
VPC의 각종 Gateway와 같고, VPC 하나로 설정해 주고 거기에서 S3에 요청을 건너 뛰는 이미지입니다.
예를 들어 DirectConnect에서 온프레에서 AWS에 연결한 경우 온프레에서 S3로 업로드할 수 없습니다.
AWS 측에서 뭔가 파일을 받고 S3에 던져야 했지만, 이번 PrivateLink에 대응함으로써 직접 파일을 던질 수 있게 되었습니다.
또한 PrivateLink는 ENI가 만들어지므로 보안 그룹이 추가되어 통신을 제어 할 수 있다는 이점이 있습니다. 지금까지 정책 베이스로 제어를 할 수 있었습니다만, 네트워크 레벨로 제어할 수 있는 편이 좋다.

[Feb 2, 2021]Amazon S3 now supports AWS PrivateLink

PrivateLink 만들기

[타입]에 "Interface"가되어 있습니다!


엔드포인트를 생성할 VPC 및 AZ를 선택합니다.


인터페이스 유형의 엔드포인트를 만들 때 개인 DNS를 사용하도록 설정하지만 PrivateLink for S3에서는 사용할 수 없습니다. 보안 그룹을 선택하고 엔드포인트 만들기를 선택합니다.

확인

앞에서 설명한 것처럼 PrivateLink for S3에서는 개인 DNS 이름을 사용할 수 없으므로 끝점 특정 DNS 이름을 사용합니다.

$ dig vpce-xxxxxxxx-xxxxxxx.s3.ap-northeast-1.vpce.amazonaws.com +short
10.0.1.139
10.0.2.145

AWS CLI의 경우 Interface VPC Endpoint의 DNS 이름을 사용하도록 프로그래밍 방식으로 지시해야 합니다.

aws s3 --endpoint-url https://bucket.<エンドポイントごと固有の値>.s3.ap-northeast-1.vpce.amazonaws.com ls s3://<バケット名>/

링크

Amazon S3