Como verificar se um endpoint da AWS VPC (S3) funciona?

Eu acho que a maneira direta é realmente investigar essas rotas.

Você pode rastrear a rota para s3 e ver se o IP interno do Gateway NAT está em algum lugar na saída (por exemplo, o primeiro salto).

Primeiro, verifique os IPs internos do Gateway NAT no console .

Saída de exemplo com o endpoint definido - nenhum IP de gateway mostrado. Isto é o que você quer ver.

$ traceroute -n -T -p 443 s3.amazonaws.com                                
traceroute to s3.amazonaws.com (52.216.204.93), 30 hops max, 60 byte packets
 1  * * *
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  52.216.204.93  0.662 ms  0.668 ms  0.637 ms

Exemplo de saída de um destino diferente, passando por NAT (veja o primeiro salto)

$ traceroute -n -T -p 443 serverfault.com
traceroute to serverfault.com (151.101.129.69), 30 hops max, 60 byte packets
 1  172.20.10.188  0.206 ms  0.147 ms  0.145 ms
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  100.65.13.49  0.956 ms 100.65.13.113  1.253 ms *
 8  52.93.28.209  1.083 ms 52.93.28.231  1.213 ms 52.93.28.235  1.151 ms
 9  100.100.4.38  1.770 ms 100.100.4.46  2.089 ms 100.100.4.36  1.723 ms
10  103.244.50.242  1.136 ms 100.100.4.44  1.702 ms  2.738 ms
11  151.101.129.69  1.013 ms 103.244.50.244  1.745 ms 151.101.129.69  1.142 ms

Encontrei um método para verificar o uso do VPC endpoint.

1. Faça login em uma instância do AWS EC2 na VPC
2. Configurar o cliente aws cli
3. correr aws ec2 describe-prefix-lists; para Windows PowerShell ,Get-EC2PrefixList

O resultado deve conter o ID da lista de prefixos de VPC endpoints no atributo PrefixListId.

Para verificação adicional, você pode aplicar a seguinte política a um bucket do S3:

{
  "Version": "2008-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Principal": "*",
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::mybucket"
      ],
      "Condition": {
        "StringNotEquals": {
          "aws:sourceVpc": [
            "vpc-121212"
          ]
        }
      }
    }
  ]
}

com seu vpc ID em vez de vpc-121212. Você só poderá acessar o bucket S3 da VPC fornecida

Você pode ativar o log do S3 e verificar se os arquivos estão sendo acessados ​​de seu IP privado em vez de público. Se o registro mostrar que IPs privados estão acessando os depósitos, você o configurou corretamente. Boa sorte!

Eu recomendaria iniciar a instância ec2 (com a função IAM permitida para listar os baldes s3) na sub-rede sem acesso à Internet.

Basicamente, apenas 2 regras ativas na tabela de rotas (seu intervalo de sub-rede VPC e endpoint s3).

Conecte-se à instância e execute o comando:

aws s3 ls /**

Ele deve falhar com o tempo limite porque o boto, por padrão, criará uma solicitação para o URL s3 global (s3.amazonaws.com).

export AWS_DEFAULT_REGION=us-east-1** ## your region here
aws s3 ls /**

deve listar seus baldes na região us-east-1 (o roteador vpc encaminhará sua solicitação para s3.us-east-1.amazonaws.com).

Sua instância encaminha pacotes destinados ao S3 para o gateway local e, a partir daí, o 'roteador' da VPC os encaminha para o endpoint S3. Nenhuma configuração ou conhecimento do cliente é necessário.

Você pode configurar o endpoint S3 com um conjunto muito restritivo de ACLs de forma que negue todas as solicitações e observe seu cliente receber a falha também.

A resposta de @m-glatki (que por algum motivo é a aceita) é factualmente incorreta.

Em primeiro lugar, você deve habilitar explicitamente uma interface ec2 VPC para poder realizar a aws ec2 describe-prefix-listschamada, caso contrário, você obterá um tempo limite.

Em segundo lugar, mesmo que você possa chamar essa API, ela não informará se você está roteando seu tráfego por meio desse endpoint. Ele apenas fornece detalhes sobre uma lista de prefixos (PL) específica na região atual.

O que você precisa fazer é associar um S3 VPC endpoint à tabela de rotas da sub-rede e garantir que sua instância do EC2 ou grupo de segurança do serviço permita conectividade de saída por meio desse endpoint (você deve estar bem com a regra de saída padrão "permitir todos"). Isso roteará o tráfego S3 por meio do endpoint, mesmo se você tiver um gateway NAT conectado a ele.

Você pode verificar se seu tráfego não é roteado por meio do NAT verificando seus logs cloudwatch associados (Consulte as métricas BytesOutToDestination , BytesOutToSource , BytesInFromDestination e BytesInFromSource )

Verifique também os logs do bucket S3 como @michael apontou corretamente.

Elaborando a solução @m-glatki, adicione uma política no bucket que restrinja o acesso S3 a um determinado VPC Endpoint:

{
    "Version": "2008-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::mybucket",
            "Condition": {
                "StringNotEquals": {
                    "aws:SourceVpce": "vpce-01ab2c3d4"
                }
            }
        }
    ]
}

Você só poderá listar o conteúdo do bucket de um processo que usa o VPC endpoint. Caso contrário, você receberá uma mensagem:

An error occurred (AccessDenied) when calling the ListObjectsV2 operation: Access Denied

Para obter o ID do VPC Endpoint, use este comando:aws ec2 describe-vpc-endpoints

Veja este link