Comment configurer une connexion réseau privée entre une passerelle de fichiers et Amazon S3 ?

Date de la dernière mise à jour : 20/06/2022

Je souhaite configurer une connexion réseau privée entre l'interface de fichiers (passerelle de fichiers) AWS Storage Gateway et Amazon Simple Storage Service (Amazon S3). Je ne veux pas que ma passerelle communique avec les services AWS via Internet. Comment puis-je procéder ?

Résolution

Vous pouvez configurer une connexion réseau privé entre une passerelle de fichiers et Amazon S3 au sein d'un Amazon Virtual Private Cloud (Amazon VPC) où l'appliance passerelle se connecte aux points de terminaison de service sur un réseau privé interne. Pour configurer cette connexion privée au sein d'un VPC, procédez comme suit :

  1. Créez un point de terminaison de passerelle VPC ou un point de terminaison d'interface pour Amazon S3.
  2. Créez une passerelle de fichiers à l'aide d'un point de terminaison d'un VPC.

Amazon S3 File Gateway prend en charge deux points de terminaison Amazon S3. Toutefois, vous ne devez créer qu'un seul type de point de terminaison en fonction de votre cas d'utilisation.

Créer un point de terminaison de passerelle VPC pour Amazon S3

  1. Ouvrez la console Amazon VPC.
  2. Dans le panneau de navigation, choisissez Points de terminaison.
  3. Choisissez Créer un point de terminaison.
  4. Pour Catégorie de service, sélectionnez Services AWS.
  5. Pour Nom du service, sélectionnez le nom du service qui se termine par S3 et dont le type est Passerelle.
  6. Pour VPC, sélectionnez le VPC que vous souhaitez utiliser lors de l'accès à Storage Gateway.
  7. Pour Configurer les tables de routage, sélectionnez l'ID de la table de routage de votre configuration.
  8. Choisissez Créer un point de terminaison.

Lors de l'utilisation de points de terminaison d'un VPC de passerelle, les politiques de point de terminaison d'un VPC sont utilisées pour restreindre l'accès et n'autoriser que les demandes des compartiments S3 provenant d'utilisateurs autorisés. En outre, vous pouvez contrôler les compartiments qui seront accessibles à partir d'un VPC particulier. Il s'agit du modèle de bonnes pratiques pour accéder à S3 à partir d'un VPC dans la même région. Pour utiliser un point de terminaison VPC Gateway à partir d'applications sur site, ou pour accéder à S3 à partir d'un VPC dans une autre région AWS, vous devez avoir configuré une flotte de serveurs proxy avec des adresses IP privées dans votre VPC. Cela entraîne des modifications de vos applications sur site afin qu'elles dirigent les demandes vers les serveurs proxy, puis les transmettent à S3 via votre point de terminaison d'un VPC.

Créer un point de terminaison d'interface VPC pour Amazon S3

  1. Ouvrez la console Amazon VPC.
  2. Dans le panneau de navigation, choisissez Points de terminaison.
  3. Choisissez Créer un point de terminaison.
  4. Pour Catégorie de service, sélectionnez Services AWS.
  5. Pour Nom du service, sélectionnez le nom du service qui se termine par S3 et dont le type est Interface.
  6. Pour VPC, sélectionnez le VPC et les sous-réseaux que vous souhaitez utiliser lors de l'accès à Storage Gateway.
  7. Pour Groupe de sécurité, sélectionnez le groupe de sécurité dans lequel le port 443 est ouvert.
  8. Choisissez Créer un point de terminaison.

Créer une passerelle de fichiers à l'aide du point de terminaison d'un VPC

Pour créer une passerelle de fichiers à l'aide d'un point de terminaison d'un VPC, vous devez créer un point de terminaison d'un VPC pour Storage Gateway, créer et configurer une passerelle de fichiers et activer votre passerelle dans un VPC.

Remarque : si vous utilisez Storage Gateway sur site à l'aide d'une connectivité privée avec AWS, vous pouvez alors utiliser un point de terminaison d'interface pour Amazon S3 qui fonctionne sans proxy Amazon Elastic Compute Cloud (Amazon EC2).

Créer un partage de fichiers à l'aide du point de terminaison de l'interface VPC pour Amazon S3

Avec Amazon S3 File Gateway, vous pouvez créer un partage de fichiers accessible à l'aide du protocole Network File System (NFS) ou Server Message Block (SMB). Pour plus d'informations sur la création d'un partage de fichiers, consultez Création d'un partage de fichiers.

Test de la connectivité du réseau

Remarque : le test de la connectivité vous permet de vérifier si le dispositif Storage Gateway peut se connecter au point de terminaison du service par le port TCP requis.

  1. Connectez-vous à l'instance hôte Amazon EC2 de la passerelle de fichiers à l'aide de SSH.
  2. Dans la session SSH, saisissez 3 pour sélectionner 3 : Test Network Connectivity.
  3. Les tests renvoient [SUCCÈS] pour une connexion réseau réussie.