Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Titik akhir VPC untuk Vektor S3
Untuk mengakses Vektor S3 dari cloud pribadi virtual (VPC) Anda, Amazon S3 mendukung titik akhir VPC antarmuka dengan menggunakan (). AWS PrivateLink PrivateLink PrivateLink menyediakan konektivitas pribadi antara VPC dan Vektor S3 Anda tanpa memerlukan gateway internet atau perangkat NAT. Titik akhir antarmuka diwakili oleh satu antarmuka jaringan yang lebih elastis (ENIs) yang diberi alamat IP pribadi dari subnet di VPC Anda. Permintaan ke Vektor S3 melalui titik akhir antarmuka tetap ada di jaringan. AWS
Anda juga dapat mengakses titik akhir antarmuka di VPC Anda dari aplikasi lokal AWS Direct Connect melalui AWS atau Virtual Private Network AWS (VPN). Untuk informasi selengkapnya tentang cara menghubungkan VPC dengan jaringan lokal, lihat *[Panduan AWS Direct Connect Pengguna dan Panduan Pengguna AWS](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)* *[Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)*. *Untuk informasi umum tentang titik akhir antarmuka, lihat [Mengakses AWS layanan menggunakan titik akhir VPC antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) dalam Panduan.AWS PrivateLink *
## Manfaat menggunakan PrivateLink dengan Vektor S3
Menggunakan PrivateLink dengan Vektor S3 memberikan beberapa manfaat keamanan dan operasional:
+ **Keamanan yang ditingkatkan**: Lalu lintas antara VPC dan Vektor S3 Anda tetap berada dalam AWS jaringan dan tidak melintasi internet.
+ **Arsitektur jaringan yang disederhanakan**: Akses Vektor S3 tanpa mengonfigurasi gateway internet, perangkat NAT, atau koneksi VPN.
+ **Kontrol akses granular**: Gunakan kebijakan titik akhir VPC untuk mengontrol bucket vektor dan indeks vektor mana yang dapat diakses melalui titik akhir.
+ **Dukungan kepatuhan**: Memenuhi persyaratan peraturan yang mengamanatkan konektivitas jaringan pribadi untuk data sensitif.
## Nama dan resolusi DNS titik akhir VPC
Saat Anda membuat titik akhir VPC, Vektor S3 menghasilkan dua jenis nama DNS spesifik titik akhir: Regional dan Zonal.
Nama DNS Regional dan Zonal dari titik akhir VPC antarmuka untuk Vektor S3 adalah sebagai berikut:
+ **Nama DNS regional: `vpce-1a2b3c4d-5e6f.s3vectors.region.vpce.amazonaws.com` - Nama DNS** titik akhir VPC regional. Selalu putuskan ke alamat IP pribadi.
+ Nama **DNS zona: `vpce-1a2b3c4d-5e6f-availability_zone_code.s3vectors.region.vpce.amazonaws.com` - Nama DNS** titik akhir VPC khusus zona. Selalu putuskan ke alamat IP pribadi.
Anda juga dapat menggunakan nama DNS dari titik akhir publik `s3vectors.region.api.aws` sebagai nama DNS pribadi layanan titik akhir jika DNS pribadi diaktifkan untuk titik akhir VPC.
## Pengalamatan IP untuk titik akhir antarmuka
Dukungan titik akhir DNS regional, zonal, dan pribadi Vektor S3 IPv6, dan tipe IP IPv4 dualstack untuk. AWS PrivateLink Untuk informasi selengkapnya, lihat [Jenis alamat IP dan jenis](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html#aws-service-ip-address-type) [IP rekaman DNS untuk AWS layanan](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html#aws-services-dns-record-ip-type) di *AWS PrivateLink Panduan*.
Berikut ini adalah beberapa hal yang harus Anda ketahui sebelum mencoba mengakses indeks vektor S3 Vektor dan bucket vektor di IPv6 VPC Anda:
+ Klien yang Anda gunakan untuk mengakses vektor dan klien Vektor S3 Anda harus mengaktifkan dual-stack.
+ Jika grup keamanan VPC Anda belum IPv6 disiapkan, Anda harus mengonfigurasi aturan untuk mengizinkan IPv6 lalu lintas. Untuk informasi selengkapnya, lihat [Langkah 3: Memperbarui aturan grup keamanan Anda](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6-add.html#vpc-migrate-ipv6-sg-rules) di *Panduan Pengguna VPC* dan [Mengonfigurasi aturan grup keamanan](https://docs.aws.amazon.com/ec2/latest/userguide/working-with-security-groups.html#adding-security-group-rule) di Panduan Pengguna *Amazon EC2*.
+ Jika VPC Anda tidak IPv6 CIDRs ditetapkan, Anda perlu menambahkan blok IPv6 CIDR secara manual ke VPC Anda. *Untuk informasi selengkapnya, lihat [ IPv6 Menambahkan dukungan untuk VPC Anda](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoint-ipv6) di Panduan.AWS PrivateLink *
+ Jika Anda menggunakan kebijakan IAM pemfilteran alamat IP, kebijakan tersebut harus diperbarui untuk menangani IPv6 alamat. Untuk informasi selengkapnya tentang mengelola izin akses, lihat [Manajemen Identitas dan Akses di Vektor S3](s3-vectors-access-management.md).
## Membuat titik akhir antarmuka VPC untuk Vektor S3
Anda dapat membuat titik akhir antarmuka VPC untuk Vektor S3 menggunakan konsol VPC, CLI AWS , atau API. AWS SDKs AWS
### Menggunakan konsol S3
1. Buka konsol VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Di panel navigasi, pilih **Titik Akhir**.
1. Pilih **Buat Titik Akhir**.
1. Untuk **kategori Layanan**, pilih **AWS layanan**.
1. Untuk **Layanan**, cari `s3vectors` dan pilih`com.amazonaws.region.s3vectors`.
1. Untuk **VPC**, pilih VPC tempat Anda ingin membuat titik akhir.
1. (Opsional) Di bawah **Pengaturan tambahan**, untuk **Aktifkan nama DNS**, pilih apakah akan mengaktifkan fitur DNS pribadi. Saat diaktifkan, permintaan yang menggunakan titik akhir layanan publik (`s3vectors.region.api.aws`), seperti permintaan yang dibuat melalui AWS SDKs, diselesaikan ke titik akhir VPC Anda, bukan titik akhir publik.
1. Untuk **Subnet**, pilih subnet tempat Anda ingin membuat antarmuka jaringan titik akhir.
1. Untuk **jenis alamat IP**, pilih jenis alamat IP untuk titik akhir:
+ **IPv4**: Tetapkan IPv4 alamat ke antarmuka jaringan titik akhir. Opsi ini didukung hanya jika semua subnet yang dipilih memiliki rentang IPv4 alamat.
+ **IPv6**: Tetapkan IPv6 alamat ke antarmuka jaringan titik akhir. Opsi ini didukung hanya jika semua subnet yang dipilih IPv6 hanya subnet.
+ **Dualstack**: Tetapkan keduanya IPv4 dan IPv6 alamat ke antarmuka jaringan endpoint. Opsi ini didukung hanya jika semua subnet yang dipilih memiliki rentang keduanya IPv4 dan IPv6 alamat.
1. Untuk **grup Keamanan**, pilih grup keamanan untuk diasosiasikan dengan antarmuka jaringan titik akhir.
1. (Opsional) Untuk **Kebijakan**, Anda dapat melampirkan kebijakan titik akhir VPC untuk mengontrol akses ke Vektor S3 melalui titik akhir. **Untuk mengizinkan semua operasi oleh semua prinsipal pada semua sumber daya Vektor S3 melalui titik akhir antarmuka, pilih Akses penuh.** Untuk membatasi akses, pilih **Kustom** dan masukkan kebijakan. Untuk informasi selengkapnya, lihat [Mengontrol akses ke titik akhir VPC menggunakan kebijakan titik akhir](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) di Panduan. AWS PrivateLink Jika Anda tidak melampirkan kebijakan, kebijakan default mengizinkan akses penuh.
1. Pilih **Buat titik akhir**.
### Menggunakan AWS CLI
Untuk membuat titik akhir VPC baru yang mengembalikan keduanya IPv4 dan IPv6 untuk Vektor S3, gunakan contoh perintah CLI berikut. Untuk informasi selengkapnya, lihat [create-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html).
```
aws ec2 create-vpc-endpoint \
--vpc-id vpc-12345678 \
--service-name com.amazonaws.region.s3vectors \
--vpc-endpoint-type Interface \
--subnet-ids subnet-12345678 subnet-87654321 \
--security-group-ids sg-12345678 \
--ip-address-type dualstack \
--private-dns-enabled
```
`--private-dns-enabled`Parameter memungkinkan fitur DNS pribadi. Saat diaktifkan, permintaan untuk `s3vectors.region.api.aws` akan merutekan melalui titik akhir VPC Anda.
*Untuk informasi selengkapnya tentang membuat titik akhir VPC, lihat [Membuat titik akhir VPC di Panduan Pengguna VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws).*
## Kebijakan titik akhir VPC untuk Vektor S3
Mirip dengan kebijakan berbasis sumber daya, Anda dapat melampirkan kebijakan titik akhir ke titik akhir VPC Anda untuk mengontrol akses ke indeks vektor dan bucket vektor. Untuk informasi selengkapnya tentang kebijakan titik akhir, lihat [Mengontrol akses ke titik akhir VPC menggunakan kebijakan titik akhir](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) di Panduan. AWS PrivateLink
### Contoh kebijakan titik akhir VPC
Contoh kebijakan titik akhir VPC berikut memungkinkan akses ke semua operasi Vektor S3 untuk semua prinsipal:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3vectors:*"
],
"Resource": "*"
}
]
}
```
Contoh kebijakan titik akhir VPC berikut membatasi akses ke bucket vektor tertentu:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3vectors:GetVectorBucket",
"s3vectors:ListIndexes",
"s3vectors:GetIndex",
"s3vectors:QueryVectors",
"s3vectors:GetVectors"
],
"Resource": [
"arn:aws:s3vectors:us-west-2:111122223333:bucket/amzn-s3-demo-vector-bucket",
"arn:aws:s3vectors:us-west-2:111122223333:bucket/amzn-s3-demo-vector-bucket/*"
]
}
]
}
```
Contoh kebijakan titik akhir VPC berikut mengizinkan akses hanya selama jam kerja menggunakan kunci kondisi: `aws:CurrentTime`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3vectors:*",
"Resource": "*",
"Condition": {
"DateGreaterThan": {
"aws:CurrentTime": "08:00Z"
},
"DateLessThan": {
"aws:CurrentTime": "18:00Z"
}
}
}
]
}
```
## Mengkonfigurasi klien Vektor S3 untuk titik akhir VPC
Saat menggunakan titik akhir VPC dengan Vektor S3, Anda dapat mengonfigurasi klien Vektor S3 Anda untuk menggunakan nama DNS layanan atau nama DNS titik akhir VPC.
### Menggunakan AWS SDKs
------
#### [ SDK for Python ]
Contoh berikut menunjukkan cara mengkonfigurasi klien Vektor S3 di SDK for Python (Boto3) untuk menggunakan titik akhir VPC:
```
import boto3
# Using service DNS name (requires private DNS feature enabled on VPC endpoint)
s3vectors_client = boto3.client(
's3vectors',
region_name='us-west-2',
endpoint_url='https://s3vectors.us-west-2.api.aws'
)
# Using VPC endpoint DNS name
s3vectors_client = boto3.client(
's3vectors',
region_name='us-west-2',
endpoint_url='https://vpce-12345678.s3vectors.us-west-2.vpce.amazonaws.com'
)
```
------
## Memecahkan masalah titik akhir VPC
Jika Anda mengalami masalah dengan titik akhir VPC antarmuka Anda, pertimbangkan langkah-langkah pemecahan masalah berikut:
+ **Resolusi DNS**: Verifikasi bahwa kueri DNS untuk titik akhir diselesaikan ke alamat IP pribadi dalam rentang CIDR VPC Anda saat menggunakan DNS pribadi.
+ **Grup keamanan**: Pastikan grup keamanan yang terkait dengan titik akhir VPC memungkinkan lalu lintas HTTPS masuk (port 443) dari sumber daya VPC Anda.
+ **Tabel rute**: Verifikasi bahwa tabel rute subnet Anda tidak memiliki rute yang bertentangan yang mungkin mengalihkan lalu lintas dari titik akhir VPC.
+ **Kebijakan titik akhir VPC: Periksa apakah kebijakan titik akhir** VPC Anda memungkinkan tindakan dan sumber daya Vektor S3 yang diperlukan.
+ **Konfigurasi klien**: Jika fitur DNS pribadi dinonaktifkan, konfigurasikan klien Vektor S3 Anda untuk menggunakan nama DNS titik akhir VPC alih-alih nama DNS layanan.
## Memantau penggunaan titik akhir VPC
Anda dapat memantau penggunaan titik akhir VPC Vektor S3 Anda melalui log peristiwa. CloudTrail [NetworkActivity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-network-events-with-cloudtrail.html)
Untuk informasi selengkapnya tentang logging Vektor S3, lihat. [Logging dengan AWS CloudTrail untuk Vektor S3](s3-vectors-logging.md)