如果在 VPC 中,AWS 文件网关是否使用 S3 端点?

Do AWS File Gateway uses S3 endpoint if within VPC?

我计划在混合环境中使用 AWS 文件网关,我将从私有子网内将文件网关挂载到 EC2 实例。根据 AWS 文档,使用文件网关时所有数据传输均通过 HTTPS 完成。

但是由于我的文件网关、EC2 实例和 S3 都在 AWS 环境中,我的文件网关是否仍会通过 Internet 将文件传输到 S3 服务端点 (s3.amazonaws.com) 还是会利用 VPC 端点S3?

注意:我不能将 EFS 用于此目的,因为它不是 HIPAA 投诉。

S3 的 VPC 端点在您的子网路由表中使用预定义的 IP 前缀列表,它劫持了绑定到您所在地区分配给 S3 的所有 IP 地址的所有流量...因此来自与关联的子网S3 VPC 端点,绑定到该区域中任何 S3 地址的所有流量都通过该端点路由。

换句话说,如果配置正确,S3 VPC 端点将成为 唯一 可以从关联子网访问 S3 的方式,因为它是在 IP 路由上完成的层,任何从这些子网访问 S3 的内容都将自动透明地使用端点。

The prefix list ID logically represents the range of public IP addresses used by the service. All instances in subnets associated with the specified route tables automatically use the endpoint to access the service; subnets that are not associated with the specified route tables do not use the endpoint.

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html

理论上,如果您将 VPC 路由 Table 配置为使用 VPC 端点,那么任何发往 S3 的流量都将通过 VPC 端点发送。 (顺便说一句,它可能只在连接到同一地区的 S3 时有效。)

无论如何,即使流量通过您的 Internet 网关路由到 Amazon S3 端点,流量 也不会遍历真正的 "Internet" -- 它只会通过互联网的AWS边缘,永远不会离开AWS数据中心(只要在同一个区域)。