AWS PrivateLink 全面可用，可用安全地从本地访问 S3

AWS 最近宣布，用于 Amazon S3 的 PrivateLink 现在全面可用。有了 PrivateLink，客户可以安全地将 Amazon S3 连接到本地资源。

在去年的 AWS re:Invent 大会上，亚马逊预先发布了用于 Amazon S3 的 PrivateLink，现在已全面可用。通过用户虚拟网络中的私有 IP，为用户提供 Amazon Simple Storage Service 与本地资源之间的私有连接。从 2015 年开始，S3 已经配备了 VPC 端点，但仍然不允许 AWS 用户通过安全连接(如 AWS Direct Connect 或 AWS VPN)从内部访问 S3。AWS 首席布道师 Martin Beeby 在一篇博文中写道，一些用户在他们的 Amazon 虚拟私有云中设置了私有 IP 地址的代理服务器，并使用 S3 的网关端点：

尽管这种解决方案是有效的，但代理服务器通常会限制性能，增加额外的故障点，并增加运维复杂性。我们研究了如何在避免这些缺陷的情况下为客户解决这个问题，于是就有了用于 S3 的 PrivateLink。

有了用于 S3 的 PrivateLink，用户现在可以在他们的虚拟私有云中使用新的 VPC 端点接口，在他们的安全虚拟网络中作为私有端点直接访问 S3。它扩展了现有网关端点的功能，使用户能够使用私有 IP 地址访问 S3——从其内部应用程序到 S3 的任何 API 请求和 HTTPS 请求都自动通过接口端点进行重定向。此外，用户可以在其接口端点上设置安全组和访问控制策略。

图片来源: https://aws.amazon.com/blogs/aws/aws-privatelink-for-amazon-s3-now-available/

其他云提供商也提供了类似的服务，允许用户从本地连接到云存储服务。微软提供了 Azure Private Link，它从 2020 年 3 月开始为 Azure 存储提供私有端点支持。谷歌也为用户提供了私有访问解决方案，包括 Cloud Storage。

在 Reddit 上，受访者对用于 S3 的 PrivateLink 的可用性表示欢迎：

这是针对一些特定的情况，即你正在使用本地资源，并希望通过连接获得一个直接连接到 S3 的私有路由。以前，你能做的是将它指向一个 EC2 代理，并通过现有的 VPC 端点转发，但这种方式不是很理想。或者通过公共网络连接，这种方式也不是很理想。

以及：

一些企业不能在他们的网络中配置分离路由，所以他们不能使用网关端点。有了 PrivateLink，他们就可以在 PrivateLink 接口上使用网关端点。

此外，Trivadis 的高级顾问和培训师 Daniel Hillinger 在推特上表示：

昨晚，AWS 发布了很棒的 S3 接口端点公告！特别是对安全有限定的客户来说，这是期待已久的。因为在之前，他们必须将公共 IP 加入白名单，并在 S3 网关端点的 NACL 中进行定期更新。

注意，该特性只在用户需要从内部访问 S3 时才有用，否则，就像 Reddit 上说的那样：

如果不需要从本地访问 S3，就不要使用它。S3 网关端点是免费的，但这个端点可能很贵。

PrivateLink 目前适用于所有 AWS 区域，处理数据的费用按 GB 收取，VPC 端点的费用按小时收取。

原文链接：

AWS Releases Privatelink for Amazon S3 into General Availability