本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# S3 向量的 VPC 端點
若要從虛擬私有雲端 (VPC) 存取 S3 向量,Amazon S3 使用 AWS PrivateLink (PrivateLink) 支援介面 VPC 端點。PrivateLink 可在 VPC 和 S3 向量之間提供私有連線,而不需要網際網路閘道或 NAT 裝置。界面端點由一或多個彈性網路界面 (ENIs) 表示,這些界面會從 VPC 中的子網路指派私有 IP 地址。透過介面端點對 S3 向量的請求會保留在 AWS 網路上。
您也可以從內部部署應用程式透過 AWS Direct Connect 或 AWS Virtual Private Network (AWS VPN) 存取 VPC 中的介面端點。如需有關如何將 VPC 與內部部署網路連線的詳細資訊,請參閱《*[AWS Direct Connect 使用者指南](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)*》和《*[AWS Site-to-Site VPN 使用者指南](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)*》。如需介面端點的一般資訊,請參閱《 *AWS PrivateLink 指南*》中的[使用介面 VPC 端點存取 AWS 服務](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)。
## 搭配 S3 向量使用 PrivateLink 的優點
搭配 S3 Vectors 使用 PrivateLink 可提供數種安全性和操作優勢:
+ **增強安全性**:VPC 和 S3 向量之間的流量會保留在 AWS 網路中,而不會周遊網際網路。
+ **簡化的網路架構**:在不設定網際網路閘道、NAT 裝置或 VPN 連線的情況下存取 S3 向量。
+ **精細存取控制**:使用 VPC 端點政策來控制可透過端點存取哪些向量儲存貯體和向量索引。
+ **合規支援**:符合對敏感資料要求私有網路連線的法規要求。
## VPC 端點 DNS 名稱和解析
當您建立 VPC 端點時,S3 Vectors 會產生兩種類型的端點特定 DNS 名稱:區域和區域。
S3 向量介面 VPC 端點的區域和區域 DNS 名稱如下所示:
+ **區域 DNS 名稱**:- 區域 VPC 端點 DNS 名稱。 `vpce-1a2b3c4d-5e6f.s3vectors.region.vpce.amazonaws.com`一律解析為私有 IP 地址。
+ **區域 DNS 名稱**: - 區域特定的 VPC 端點 DNS 名稱。 `vpce-1a2b3c4d-5e6f-availability_zone_code.s3vectors.region.vpce.amazonaws.com`一律解析為私有 IP 地址。
如果您已啟用 VPC 端點的私有 DNS,您也可以使用公有端點的 DNS 名稱`s3vectors.region.api.aws`做為端點服務的私有 DNS 名稱。
## 介面端點的 IP 定址
S3 Vectors 區域、區域和私有 DNS 端點支援 IPvIPv4, IPv6 和雙堆疊 IP 類型 AWS PrivateLink。如需詳細資訊,請參閱《 *AWS PrivateLink 指南*》中的 服務的 IP [地址類型](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html#aws-service-ip-address-type)和 DNS 記錄 IP 類型。 [AWS](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html#aws-services-dns-record-ip-type)
以下是在嘗試透過 VPC 中的 IPv6 存取 S3 Vectors 向量索引和向量儲存貯體之前,您應該知道的一些事項:
+ 您用來存取向量的用戶端和 S3 Vectors 用戶端必須同時啟用雙堆疊。
+ 如果您的 VPC 安全群組未設定 IPv6,您將需要設定規則以允許 IPv6 流量。如需詳細資訊,請參閱*《VPC 使用者指南*》中的[步驟 3:更新您的安全群組規則](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6-add.html#vpc-migrate-ipv6-sg-rules),以及《*Amazon EC2 使用者指南*》中的[設定安全群組規則](https://docs.aws.amazon.com/ec2/latest/userguide/working-with-security-groups.html#adding-security-group-rule)。
+ 如果您的 VPC 未指派 IPv6 CIDR,您將需要手動將 IPv6 CIDR 區塊新增至 VPC。如需詳細資訊,請參閱《 *AWS PrivateLink 指南*》中的[新增 VPC 的 IPv6 支援](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoint-ipv6)。
+ 如果您使用 IP 地址篩選 IAM 政策,則必須更新它們來處理 IPv6 地址。如需 IAM 管理存取許可的詳細資訊,請參閱 [S3 Vectors 中的身分和存取管理](s3-vectors-access-management.md)。
## 為 S3 向量建立 VPC 介面端點
您可以使用 VPC 主控台、 AWS CLI、 AWS SDKs 或 AWS API 為 S3 向量建立 VPC 介面端點。
### 使用 S3 主控台
1. 在 https://[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 VPC 主控台。
1. 在導覽窗格中選擇**端點**。
1. 選擇**建立端點**。
1. 在 **Service category** (服務類別) 中,選擇 **AWS services**。
1. 對於 **服務**,搜尋`s3vectors`並選取 `com.amazonaws.region.s3vectors`。
1. 針對 **VPC**,選取您要建立端點的 VPC。
1. (選用) **在其他設定**下,針對**啟用 DNS 名稱**,選擇是否啟用私有 DNS 功能。啟用時,使用公有服務端點 (`s3vectors.region.api.aws`) 的請求,例如透過 AWS SDKs 提出的請求,會解析為您的 VPC 端點,而非公有端點。
1. 針對**子網路**,選取您要建立端點網路介面的子網路。
1. 針對 **IP 地址類型**,選擇端點的 IP 地址類型:
+ **IPv4**:將 IPv4 地址指派給端點網路介面。只有當所有選取的子網都具有 IPv4 地址範圍時,才支援此選項。
+ **IPv6**:將 IPv6 地址指派給端點網路介面。只有當所有選取的子網都是 IPv6 子網時,才支援此選項。
+ **Dualstack**:將 IPv4 和 IPv6 地址指派給端點網路介面。只有當所有選取的子網都具有 IPv4 和 IPv6 地址範圍時,才支援此選項。
1. 對於 **Security group** (安全群組),選取要與端點網路介面建立關聯的安全群組。
1. (選用) 對於 **政策**,您可以連接 VPC 端點政策,以控制透過端點對 S3 Vectors 的存取。若要允許所有主體透過介面端點在所有 S3 Vectors 資源上進行所有操作,請選擇**完整存取**。若要限制存取,請選擇**自訂**並輸入政策。如需詳細資訊,請參閱《 AWS PrivateLink 指南》中的[使用端點政策控制對 VPC 端點的存取](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。如果您未連接政策,預設政策會允許完整存取。
1. 選擇**建立端點**。
### 使用 AWS CLI
若要建立同時傳回 S3 向量 IPv4 和 IPv6 的新 VPC 端點,請使用下列範例 CLI 命令。如需詳細資訊,請參閱 [create-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html)。
```
aws ec2 create-vpc-endpoint \
--vpc-id vpc-12345678 \
--service-name com.amazonaws.region.s3vectors \
--vpc-endpoint-type Interface \
--subnet-ids subnet-12345678 subnet-87654321 \
--security-group-ids sg-12345678 \
--ip-address-type dualstack \
--private-dns-enabled
```
`--private-dns-enabled` 參數會啟用私有 DNS 功能。啟用時,對 的請求`s3vectors.region.api.aws`將透過您的 VPC 端點路由。
如需建立 VPC 端點的詳細資訊,請參閱[《VPC 使用者指南》中的建立 VPC 端點](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)。 **
## S3 Vectors 的 VPC 端點政策
與資源型政策類似,您可以將端點政策連接至 VPC 端點,以控制對向量索引和向量儲存貯體的存取。如需端點政策的詳細資訊,請參閱《 AWS PrivateLink 指南》中的[使用端點政策控制對 VPC 端點的存取](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。
### 範例 VPC 端點政策
下列範例 VPC 端點政策允許存取所有主體的所有 S3 Vectors 操作:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3vectors:*"
],
"Resource": "*"
}
]
}
```
下列範例 VPC 端點政策限制對特定向量儲存貯體的存取:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3vectors:GetVectorBucket",
"s3vectors:ListIndexes",
"s3vectors:GetIndex",
"s3vectors:QueryVectors",
"s3vectors:GetVectors"
],
"Resource": [
"arn:aws:s3vectors:us-west-2:111122223333:bucket/amzn-s3-demo-vector-bucket",
"arn:aws:s3vectors:us-west-2:111122223333:bucket/amzn-s3-demo-vector-bucket/*"
]
}
]
}
```
下列範例 VPC 端點政策僅允許在上班時間使用 `aws:CurrentTime` 條件金鑰進行存取:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3vectors:*",
"Resource": "*",
"Condition": {
"DateGreaterThan": {
"aws:CurrentTime": "08:00Z"
},
"DateLessThan": {
"aws:CurrentTime": "18:00Z"
}
}
}
]
}
```
## 為 VPC 端點設定 S3 Vectors 用戶端
搭配 S3 Vectors 使用 VPC 端點時,您可以將 S3 Vectors 用戶端設定為使用服務 DNS 名稱或 VPC 端點 DNS 名稱。
### 使用 AWS SDKs
------
#### [ SDK for Python ]
下列範例顯示如何在適用於 Python 的 SDK (Boto3) 中設定 S3 Vectors 用戶端以使用 VPC 端點:
```
import boto3
# Using service DNS name (requires private DNS feature enabled on VPC endpoint)
s3vectors_client = boto3.client(
's3vectors',
region_name='us-west-2',
endpoint_url='https://s3vectors.us-west-2.api.aws'
)
# Using VPC endpoint DNS name
s3vectors_client = boto3.client(
's3vectors',
region_name='us-west-2',
endpoint_url='https://vpce-12345678.s3vectors.us-west-2.vpce.amazonaws.com'
)
```
------
## 對 VPC 端點進行故障診斷
如果介面 VPC 端點發生問題,請考慮下列疑難排解步驟:
+ **DNS 解析**:驗證在使用私有 DNS 時,端點的 DNS 查詢是否解析為 VPC CIDR 範圍內的私有 IP 地址。
+ **安全群組**:確保與 VPC 端點相關聯的安全群組允許來自 VPC 資源的傳入 HTTPS 流量 (連接埠 443)。
+ **路由表**:確認您的子網路路由表沒有可能將流量從 VPC 端點重新導向的衝突路由。
+ **VPC 端點政策**:檢查您的 VPC 端點政策是否允許必要的 S3 Vectors 動作和資源。
+ **用戶端組態**:如果私有 DNS 功能已停用,請將 S3 Vectors 用戶端設定為使用 VPC 端點 DNS 名稱,而不是服務 DNS 名稱。
## 監控 VPC 端點用量
您可以透過 CloudTrail [NetworkActivity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-network-events-with-cloudtrail.html) 事件日誌監控 S3 Vectors VPC 端點使用情況。
如需 S3 向量記錄的詳細資訊,請參閱 [使用適用於 S3 向量的 AWS CloudTrail 記錄](s3-vectors-logging.md)。