我正在与 AWS 合作,需要一些支持。
我的团队配置了 Direct Connect,现在我们可以享受从公司网络到 AWS 上的 VPC 的私有连接。
管理层询问是否有可能通过 Direct Connect 而不是通过公共互联网执行 aws cli 命令。事实上,我们有很多带有很多命令的脚本,比如aws ec2 describe-instances 等等。我猜这些调用 AWS 公开的 EC2 服务的公共 REST API。
他们在询问这些电话是否有可能不通过公共互联网。
我见过 VPC 端点?他们是解决方案吗?
【问题讨论】:
标签: amazon-web-services aws-direct-connect
请参阅How can I access my Amazon S3 bucket over Direct Connect?,了解如何使用 S3 执行此操作。
基本上:
在 BGP 启动并建立后,Direct Connect 路由器会通告所有全球公共 IP 前缀,包括 Amazon S3 前缀。前往 Amazon S3 的流量通过 Direct Connect 公有虚拟接口进行路由。公共虚拟接口通过 AWS 与您的数据中心或公司网络之间的私有网络连接进行路由。
您可以根据AWS Direct Connect FAQs 将其扩展到其他亚马逊服务:
所有 AWS 服务,包括 Amazon Elastic Compute Cloud (EC2)、Amazon Virtual Private Cloud (VPC)、Amazon Simple Storage Service (S3) 和 Amazon DynamoDB 都可以与 Direct Connect 一起使用。
【讨论】:
请参阅 @jarmod 的 answer below 以获得问题的答案,但请继续阅读以了解为什么我认为这听起来像 XY problem。
完全没有理由担心管理层。
Third-party auditors assess the security and compliance of AWS services as part of multiple AWS compliance programs. 使用 AWS CLI 访问服务不会改变该服务的合规性 - AWS 有 compliance programs,它几乎涵盖了每个 IT 合规性框架全球.
除了合规性之外,AWS CLI 不存储任何客户数据(应该没有数据保护问题)并且安全地传输数据(除非您手动覆盖它)。
用户指南highlights这个:
AWS CLI 本身不存储除代表用户与 AWS 服务交互所需的凭证以外的任何客户数据。
默认情况下,从运行 AWS CLI 和 AWS 服务端点的客户端计算机传输的所有数据都通过 HTTPS/TLS 连接发送所有内容,以加密。
您无需执行任何操作即可启用 HTTPS/TLS。除非您使用 --no-verify-ssl 命令行选项为单个命令明确禁用它,否则它始终处于启用状态。
如果这还不够,您还可以通过enforcing a minimum version of TLS 1.2 to be used by the CLI 在与 AWS 服务通信时增加安全性。
应该针对更大的攻击向量,例如:
AWS CLI 是安全的。
【讨论】: