# 适用于 Amazon S3 的 Amazon VPC 终端节点 出于安全原因,许多AWS客户在 Amazon Virtual Private Cloud 环境(Amazon VPC)中运行其应用程序。利用 Amazon VPC,您可以在 Virtual Private Cloud 中启动 Amazon EC2 实例,Virtual Private Cloud 在逻辑上与其他网络(包括公共互联网)隔离。利用 Amazon VPC,您可以控制该网络的 IP 地址范围、子网、路由表、网络网关和安全设置。 **注意** 如果您的AWS账户是在 2013 年 12 月 4 日之后创建的,则您在每个AWS区域都已经有一个默认 VPC。您无需任何额外配置即能立即开始使用您的默认 VPC。 详情请参阅《Amazon VPC 用户指南》中的[您的默认 VPC 和子网](https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html)。 许多客户对跨公共 Internet 发送和接收数据存在合理的私密性和安全性担心。客户可以利用 virtual private network (VPN),通过其企业网络基础设施路由所有 Amazon S3 网络流量,从而消除这些担心。不过,此方法可能会带来带宽和可用性方面的难题。 Amazon S3 的 VPC 终端节点可以克服这些难题。Amazon S3 的 VPC 终端节点使 AWS Glue 可以使用私有 IP 地址访问 Amazon S3,而无需接触公共互联网。AWS Glue 不需要公有 IP 地址,因此您的 VPC 中不需要有互联网网关、NAT 设备或虚拟私有网关。您使用终端节点策略控制对 Amazon S3 的访问。您的 VPC 和AWS服务之间的流量不会脱离 Amazon 网络。 在为 Amazon S3 创建 VPC 终端节点时,发送到区域(如 *s3.us-west-2.amazonaws.com*)内的 Amazon S3 终端节点的任何请求都被路由到亚马逊网络中的私有 Amazon S3 终端节点。您不需要修改正在 VPC 中的 Amazon EC2 实例上运行的应用程序 – 终端节点名称保持不变,但到 Amazon S3 的路由会完全保留在亚马逊网络中,不会访问公共互联网。 有关 VPC 终端节点的更多信息,请参阅《Amazon VPC 用户指南》中的 [VPC 终端节点](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)。 下图说明 AWS Glue 如何使用 VPC 终端节点访问 Amazon S3。 ![\[显示 VPC 连接到 Amazon S3 的网络流量。\]](http://docs.aws.amazon.com/zh_cn/glue/latest/dg/images/PopulateCatalog-vpc-endpoint.png) **设置 Amazon S3 访问权限** 1. 登录到 AWS 管理控制台,然后通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。 1. 在左侧导航窗格中,选择**终端节点**。 1. 选择 **Create Endpoint (创建终端节点)**,然后按照步骤创建网关类型的 Amazon S3 VPC 终端节点。