VPC 终端节点策略的考点会经常出现在SAP认证考试中，会有一些题目涉及 访问S3 的终端节点的内容，然后让你设计控制S3存储桶的访问，这种场景是可以使用S3 存储桶策略来控制 从特定终端节点 或 特定 VPC 对存储桶进行访问。

好，我们开始今天的课程内容。

在创建终端节点时，可以通过配置终端节点策略，来控制对使用终端节点连接到的AWS服务的访问。通过在策略部分配置相应的策略内容，达到控制通过终端节点访问AWS服务的目的。

另外要注意，并非所有服务都支持终端节点策略。

终端节点策略使用JSON文档来控制服务的访问，我们看个策略的例子：

这是一个 控制Amazon SQS 服务访问的 VPC 终端节点策略，在这个策略中配置了以下内容：

• 可执行操作的委托人，为一个特定IAM用户。
• 可执行的操作，为sqs:SendMessage。
• 可执行操作的资源，为策略中的这个特定的资源。

这个终端节点策略是应用在终端节点上的，意味着只有这个特定的IAM用户，允许通过这个终端节点，访问这个特定的资源，且只可执行sqs:SendMessage动作。

注意，终端节点策略不会覆盖或取代 IAM 用户策略或服务特定策略，如IAM用户同样需要被授权访问SQS服务，您也同样可以在使用服务特定的策略在多加一层控制，如：SQS访问策略或者S3存储桶策略。

终端节点策略是一个单独策略，用于控制从终端节点对指定服务进行的访问，它提供了额外层面的保护，提供了VPC终端节点级别的访问控制。

需要注意，即使配置了上面的终端节点策略，IAM 用户仍可绕过这个终端节点，不通过终端节点而使用公有路由通过公网访问其他 Amazon SQS API 操作，如果访问都没有通过终端节点，自然终端节点策略就起不到作用了。

在这种情况下，就可以在配置一个SQS队列策略，内容为：如果不是来自 VPC 终端节点，则拒绝访问，强制让对SQS的访问都只能通过终端节点；然后在通过终端节点策略在做进一步的访问控制。

接下来我们看2个访问 Amazon S3 的终端节点策略，通过策略示例让大家更深入的理解终端节点策略的作用。

终端节点策略：仅允许访问指定存储桶的策略的示例

我们来看下，这个是通过配置终端节点策略，仅允许访问一个特定的存储桶，就是这个my_secure_bucket 的策略的示例。

这个策略允许任何人，仅可以对my_secure_bucket这个存储桶执行S3的Get和PutObject操作。仅可访问这个特定的存储桶，其他的存储桶不允许访问，如果您的 VPC 中有使用 S3 存储桶的其他 AWS 服务，这会非常有用。

只允许访问Amazon linux的存储库

我们来看另外一个终端节点策略，策略的内容为只允许访问Amazon linux的存储库。

当EC2的Amazon linux系统需要update时，实际上它们是从Amazon负责管理的S3上获取更新包的，这个终端节点策略允许您的EC2使用这个终端节点，通过AWS私有网络访问存储库进行系统的update。

S3存储桶策略基于VPC终端节点的一些常见的访问控制的应用

好，接下来的内容我们讨论下S3存储桶策略基于VPC终端节点的一些常见的访问控制的应用，注意这部分内容非常非常重要，会出现在AWS SAP认证考试中。

在使用终端节点访问S3存储桶的这个应用场景中，还可以使用S3存储桶策略，来控制从 特定终端节点 或 特定VPC 对存储桶的访问，这需要在S3存储桶策略中配置特定的Condition。

只允许从特定的终端节点访问存储桶，是通过Condition的配置 ，使用aws:sourceVpce 条件指定终端节点，后面指定终端节点ID，对应这个例子是3c4d这个终端节点。
Condition: “aws:sourceVpce”: “vpce-1a2b3c4d”

然后我们就可以配置存储桶策略，拒绝所有其他的访问只允许通过这个指定的终端节点访问存储桶，这样就可以通过存储桶策略将访问存储桶的权限只限于通过这个特定的终端节点。

如果您在同一 VPC 中配置了多个终端节点，并且您希望管理所有终端节点到 S3 存储桶的访问，这种情况可以使用 aws:sourceVpc 条件来限制对特定 VPC 的访问的存储桶策略。

但是要注意的是，aws:sourceVpc条件只适用于通过VPC终端节点使用AWS私有网络访问服务的环境，如我们在同一 VPC 中配置了多个终端节点，您希望在存储桶策略中管理所有终端节点的访问。

对于S3存储桶的访问控制，大家可能接触过通过存储桶策略的aws:SourceIp条件限制访问IP；但注意，对于通过 VPC 终端节点向 Amazon S3 发出的请求，是无法在存储桶策略中使用 aws:SourceIp 条件的，在这种场景下，做访问控制不能在策略中将aws:SourceIp配置为终端节点的私有IP地址。

aws:SourceIp 条件只能限制公有IP访问；所以要记住，如果您使用了VPC终端节点，您想基于不同的终端节点做访问限制，请在存储桶策略通过配置Condition指定 特定 VPC 或特定 VPC 终端节点来实现；

如果您是通过公有网络访问S3存储桶，可以使用aws:SourceIp来做来源IP的访问限制。

S3存储桶策略在VPC终端节点场景下应用的存储桶策略的示例

好，接下来看下S3存储桶策略在VPC终端节点场景下应用的存储桶策略的示例。

注意这两个示例都是在S3存储桶上配置的存储桶策略。

左边的策略的内容为仅允许从终端节点 vpce-1a2b3c4d 访问特定存储桶 my_secure_bucket 的 S3 存储桶策略的示例，是通过在策略中配置：禁止任何人对S3的特定存储桶的访问，仅允许这个特定的终端节点访问存储桶。

右边的策略是在存储桶策略上限制对特定VPC的访问。策略的内容为拒绝所有访问，仅允许 VPC vpc-111bbb22 访问 my_secure_bucket存储桶及其对象。

ok，这节课我们讨论了终端节点策略，以及在使用终端节点访问S3的场景下，通过S3的存储桶策略对访问进行控制。

终端节点策略：访问S3故障排查

大家知道还有IAM策略等对用户或者对资源访问控制的服务，所以当访问一个服务或资源时，这些访问控制的点都会决定是否能够成功访问到服务或资源。

那接下来我们就来讨论，如果一个EC2实例，通过网关终端节点使用私有网络访问S3存储桶的这个场景下，当访问出现问题时，可能是哪些节点的问题，也为故障排查提供一个思路。

那我们开始。
首先，要先检查实例的安全组，实例安全组的出站规则要有允许相应的访问出站，安全组不允许出站，访问肯定出不去；

然后，EC2通终端节点访问服务，需要检查对应VPC终端节点上的终端节点策略，是否允许EC2访问S3；

接下来，检查路由表，确认路由表中有通过网关终端节点访问S3的路由条目，如果没有对应的路由EC2就无法知道通过终端节点访问S3，自然就无法访问。

还需要确认VPC的DNS设置，需要启用DNS解析；这些我们前面的课时都讲过。

EC2的访问通过网关终端节点后，还需要确认S3的存储桶策略是否允许EC2访问存储桶。
最后 ，还有IAM权限。在大部分应用场景中，这台EC2可能会附加一个角色，要确认这个IAM角色是否允许访问S3存储桶。

好，大家可以看到，有很多组件和服务的配置会影响EC2访问S3存储桶，理解这些内容将会对于认证考试会很有帮助。

OK，我们今天的课时讨论了VPC终端节点策略的内容，希望本课时能够给大家带来帮助。下节课我们将对此部分进行实操演示。

希望此系列教程能为您通过 AWS解决方案架构师认证 Professional 认证考试带来帮助，如您有任何疑问，请联系我们：

• 如果您想获取本课程全部课时，请扫PPT的二维码加入。
• AWS爱好者的网址是www.iloveaws.cn，认证视频课程，免费的认证考试仿真题以及认证课程文章，都可以在网站找得到
• 可以通过扫码加入【AWS爱好者】微信公众号，查看原创的AWS知识点相关文章。
• 加入【AWS爱好者】微信群，和其他同学一起备考，以及探讨交流AWS相关知识。

我们今天的视频课程就到这里，感谢大家的观看，我们下一课程再见。

VPC 终端节点有两种类型：网关终端节点 和 接口终端节点，本节课时讨论网关终端节点。

我们开始今天的课程内容。

首先，什么是VPC终端节点？

我举个例子，看下下面的图，比如在AWS东京区域我们有一台EC2以及一个S3存储桶，如果EC2需要访问S3，比如上传一些数据，默认情况下，EC2是需要通过Internet网关然后通过Internet访问到S3。即便EC2和S3都是在同一区域，也需要通过Internet走公网来访问S3。通过Internet访问，无论是安全级别还是两者间的网络的品质都是没办法完全保障的。

而VPC 终端节点 使您能够将 VPC 通过AWS的私有网络连接到支持的 AWS 服务，而不需要通过internet。

如图中的橙色的线，同样是EC2访问S3，可以通过创建网关终端节点，使EC2访问S3通过AWS的私有网络。

终端节点是虚拟设备。它们是水平扩展、冗余和高度可用的 VPC 组件

使用终端节点，访问AWS服务无需 Internet 网关、NAT网关/实。VPC 中的实例无需公有 IP 地址便可与服务中的资源通信，所有的通信都是通过AWS的私有网络进行的。

我们这节课讨论的网关终端节点只支持S3和DynamoDB服务。对于其他的AWS服务可以通过接口终端节点访问，接口终端节点的内容我们在之后的课时讨论。

如果终端节点有问题，容易出问题的两个地方是 1.检查DNS解析配置， 2.检查路由表，确保路由表中有终端节点的路由。

VPC 终端节点有两种类型：网关终端节点 和 接口终端节点。

网关终端节点的一些重要知识点

网关终端节点，只支持S3和DynamoDB这两个服务，要使用网关终端节点，必须为每个VPC创建一个网关。

使用网关终端节点需要更新路由表，在其中创建到AWS服务的路由。这也意味着与路由表相关联的每个子网都可以访问终端节点。

网关终端节点是在VPC级别定义的。

使用网关终端节点，大致的流程是：
首先创建网关终端节点，选择要连接的服务，S3或者DynamoDB，比如我们选择S3。

然后选择创建网关终端节点的VPC，以及选择终端节点要使用的路由表。比如我们有一台EC2想要通过网关终端节点访问S3，就需要选择这台EC2所在子网的路由表，然后将自动向选定的路由表添加一个路由，将目标设定为S3服务的流量指向终端节点。

这样的话，这台EC2后面需要访问S3时，就会通过路由表，访问S3服务的流量将会通过终端节点，使用AWS私有的网络对S3服务进行访问。

为了让网关终端节点正常工作，必须在VPC中启用DNS解析。

无法将网关终端节点连接扩展到 VPC 之外。就是说VPC 中的 VPN 连接、VPC 对等连接、transit gateway、AWS Direct Connect 连接的另一端的资源，不能使用终端节点与终端节点服务中的资源进行通信。创建的网关终端节点，只能在创建的VPC内使用，其他的VPC，通过建立VCP对等连接，也是无法使用终端节点的，这一点要注意。

好，接下来是实操演示的内容，创建一个网关终端节点。

实操演示：创建一个网关终端节点

我先介绍下测试的环境。访问EC2管理控制台后，可以看到目前我们有两台已启动的EC2实例，名为server1和endpoints-test。

我们先看下endpoints-test这台实例，通过下方描述可以看到这台EC2实例没有公有IP地址和公有DNS；然后我们看下这台EC2所在的子网为fd2c，我们点击这个子网，看下子网的路由表。

可以看到这台EC2所在子网的路由表中只有一条本地的路由，没有指向互联网网关或者NAT网关/实例的路由，也就是说，这台名为endpoints-test的EC2实例是无法访问internet的。

如果在endpoints-test这台实例访问S3服务是肯定无法访问的。因为前面我们介绍过，默认情况下实例是通过internet访问AWS服务，而这台实例无法访问internet，自然就无法访问S3。

而在这个时候我们通过建立一个网关终端节点，即便这台实例无法访问internet，实例可通过终端节点，使用AWS的私有网络访问S3。

我们接下来就进行实操演示这部分内容。

我们先登录到这台endpoints-test实例上，因为没有公网地址，所以我们需要先登录server1这台实例，把它当成跳板机，然后在通过server1实例内网登录到endpoints-test这台实例上。所以server1的作用只是用作跳板机。

为了节省时间，我已经提前登录到了server1这台实例，登录endpoints-test实例的证书我也提前放在了server1上，我们现在就从server1登录到endpoints-test实例。

先复制下endpoints-test的内网ip地址，然后在server1上输入命令：
ssh -i jp_ec2.pem 172.31.103.136

好，可以看到我们现在已经成功ssh到了endpoints-test实例，我们可以尝试ping一下baidu，PING不通,这台实例是无法访问internet的。

我们在尝试下使用aws cli命令ls s3存储桶，输入命令：aws s3 ls
也没有任何返回，因为现在这台实例是在私有网络，路由表中也只有一条本地路由，无法访问internet，也无法和同区域的S3服务通信。

那接下来我们就开始创建一个网关终端节点，让这台实例通过网关终端节点访问S3服务。

访问VPC管理控制台，然后访问左侧的“终端节点”，创建终端节点。

服务类别选择“AWS服务”

然后服务名称，在这里可以看到VPC 终端节点有两种类型：网关终端节点 和 接口终端节点；网关终端节点目前只支持S3和DynamoDB这两个服务，其他的服务都是接口终端节点。

我们选择S3服务来做测试。

接下来需要选择VPC以及选择路由表。

路由表选择需要通过终端节点访问S3服务的EC2所在子网的路由表，我们看一下。
就是这个b376的这个路由表，我们勾选一下这个路由表，等我们创建完成后，会在选择的这个路由表添加一条规则，该规则包含目的地为S3服务，以此终端节点的 ID（如 vpce-12345678）为目标，这样的话与这个路由表关联的子网能够访问此终端节点，通过终端节点访问S3服务。

然后策略这里我们会在后面的课时讨论，这里先配置默认的“完全访问”，点击“创建终端节点”。

好，可以看到终端节点已经创建成功了。

接下来我们切换到EC2的控制台，看下endpoints-test这台实例的子网的路由表有什么变化。

可以看到路由表中刚创建终端节点后，自动添加了一个路由条目，表示访问S3服务都可以通过刚创建的终端节点访问。

那我们就测试下是不是这样。

切换到endpoints-test这台实例，然后再次输入aws s3 ls 命令。
可以看到列出了S3存储桶，也就是说这台实例通过创建的终端节点，目前可以访问S3服务了。

好，我们的上面实操演示，通过建立一个网关终端节点，即使EC2实例无法访问internet，没有公网的IP地址，这台实例也可以通过创建的终端节点，使用AWS的私有网络访问S3，对S3存储桶进行上传和下载等操作。

使用终端节点的优势我们前面介绍过，因为走的是AWS的私有网络，对于网络的质量以及安全性是要远远高于使用默认的internet访问的。

好的，我们今天的课时讨论了网关终端节点的内容，在实际组织环境中，很多组织都是在同一AWS区域同时使用EC2以及S3服务，但是很少有会用到网关终端节点，其实网关终端节点并没有什么额外的使用费用，且能提供两点间的AWS私有网络的品质及更高的安全保障，在架构设计中应当适当评估选择。

好，最后希望本课时能够给大家带来帮助。

希望此系列教程能为您通过 AWS解决方案架构师认证 Professional 认证考试带来帮助，如您有任何疑问，请联系我们：

• 如果您想获取本课程全部课时，请扫PPT的二维码加入。
• AWS爱好者的网址是www.iloveaws.cn，认证视频课程，免费的认证考试仿真题以及认证课程文章，都可以在网站找得到
• 可以通过扫码加入【AWS爱好者】微信公众号，查看原创的AWS知识点相关文章。
• 加入【AWS爱好者】微信群，和其他同学一起备考，以及探讨交流AWS相关知识。

我们今天的视频课程就到这里，感谢大家的观看，我们下一课程再见。