从私有VPC子网访问Amazon S3

如果我正在运行VPC，并且该网络的专用部分中有一些服务器通过从Amazon s3下载文件来进行后端处理，我是否可以在内部访问S3来获取这些文件？还是我必须通过NAT访问公共互联网，通过https下载s3文件，然后进行处理？

希望使用“ Internet”之类的用户名，您会知道这一点。但是既然你问...

:)

VPC 确实是私有的。只有您明确允许的流量才可以穿越VPC的边界。

因此，在VPC内部，需要为需要访问外部资源的实例分配一个EIP（在这种情况下，它们可以使用AWS的基础架构访问外部资源），或者您需要提供NAT主机（在这种情况下，所有流量出口通过您自己的NAT的VPC）。

如果您选择提供自己的NAT主机，请记住，您将需要在该实例上禁用源/目标检查，以及向指向NAT主机的专用子网添加默认路由。

更新（2015-05-10）： 截至2015年5月11日，AWS 为S3发布了一个“ VPC端点”，它允许直接从VPC访问S3，而无需通过代理主机或NAT实例。值得庆幸的是，出于对VPC真正私有性质的尊重，此功能默认情况下处于关闭状态，但可以使用AWS控制台或通过其API轻松打开。

如果您的实例位于VPC的公共子网中，则：

• 您应该为您的实例分配公共IP地址
• 或者您应该为实例分配弹性IP

如果您的实例位于VPC的专用子网中，则：

• 您需要在公共子网中运行NAT设备。这样，VPC专用子网中的实例可以通过NAT访问Internet并访问S3。您可以使用AWS VPC NAT，也可以配置自己的（如果要设置自己的NAT，请使用Google进行配置）

底线，要访问S3，您必须能够访问Internet。

从几天前开始，您现在可以通过VPC访问S3，而无需使用NAT或公共IP。

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html?sc_ichannel=em&sc_icountry=global&sc_icampaigntype=launch&sc_icampaign=em_137702700&sc_idetail=em_332195307&ref_=pe_411040_137702700_31

您无需“出门”或“后退”或更改任何有关在AWS区域内传输数据的方式。往返同一区域的存储桶不收费。您必须支付存储费用。