aws vpc s3 endpoint cli синтаксис

Question

У меня есть конечная точка s3 vpc, но я не могу понять, что синтаксис api cli для экземпляра ec2 для взаимодействия с ведром.

"Resource": "arn:aws:s3:::MyBucketName"

от конфигурации страницы VPC

ENDPOINTID=vpce-dxxxxxxxSERVICE=com.amazonaws.eu-west-1.s3

s3 политика

{ "Version": "2012-10-17", "Id": "MyPolicy", "Statement": [  {   "Sid": "MySidId",   "Effect": "Allow",   "Principal": { 
       "AWS": "arn:aws:iam::xxxxxxxx:role/MyRole"   },   "Action": "s3:*",   "Resource": "arn:aws:s3:::MyBucketName"   } ] } 

ec2 роль политики

{ 
      "Sid": "MySidId", 
      "Effect": "Allow", 
      "Action": [ 
       "s3:ListBucket", 
       "s3:GetObject", 
       "s3:PutObject", 
       "s3:DeleteObject" 
      ], 
      "Resource": [ 
       "*" 
      ] 
     } 

описывают-префикс-листы

{ 
      "VpcEndpoints": [ 
       { 
        "PolicyDocument": "{\"Version\":\"2008-10-17\",\"Statement\":[{\"Sid\":\"\",\"Effect\":\"Allow\",\"Principal\":\"*\",\"Action\":\"*\",\"Resource\":\"*\"}]}", 
        "VpcId": "vpc-ec96cxxxx", 
        "State": "available", 
        "ServiceName": "com.amazonaws.eu-west-1.s3", 
        "RouteTableIds": [ 
         "rtb-87cexxxx", 
         "rtb-bbcexxxx" 
        ], 
        "VpcEndpointId": "vpce-d983xxxx", 
        "CreationTimestamp": "2016-01-05T13:28:41Z" 
       } 
      ] 
     } 

маршрут таблица rtb-bbcexxxx имеет правильный "PrefixListId": "pl-6da54xxx"

Я попытался следующие

aws s3 --profile prf1 --region eu-west-1 ls MyBucketName.com.amazonaws.eu-west-1.s3 
    aws s3 --profile prf1 --region eu-west-1 ls com.amazonaws.eu-west-1.s3.MyBucketName 
    aws s3 --profile prf1 --region eu-west-1 ls com.amazonaws.eu-west-1.s3/MyBucketName 

комбинации, но получить

A client error (NoSuchBucket) occurred when calling the ListObjects operation: The specified bucket does not exist 

Что такое верный синтаксис для решения этой конечной точки? это просто s3: // MyBucketName ??

ТНХ

Art

Answer 1

Это должно быть, да - ничего о том, как вы на самом деле доступ ведро должно измениться.

Связывание префикса конечной точки с подсетью по существу захватывает маршруты к общедоступным IP-адресам, возвращаемым DNS для области S3, так что трафик, который вы отправляете на S3, пересекает «конечную точку», а не отправляется через интернет-шлюз (igw-xxxxxxxx) - с вашей точки зрения, это просто изменение маршрутизации IP в инфраструктуре VPC, поэтому вам не нужно ничего делать, независимо от того, предоставили ли вы конечную точку S3 или нет.

Конечно, я подозреваю, что на самом деле это больше, чем просто «изменение таблицы маршрутов», но все остальное может происходить за кулисами, а остальная часть состоит из деталей реализации, которые являются внутренними для AWS, а не относящихся к тому, как услуга появляется пользователю.