danielmaionzup
commented
11 months ago Integração S3 Private Link com ambiente On-premises no ingestion mini batch:
No contexto de mini batch, realizamos a criação de um VPC Endpoint do tipo S3 Private Link para criar uma interface de comunicação com o S3 de forma segura e protegida. Para realizar o acesso ao bucket, é necessário uma IAM role que o cliente (on-prem) irá assumir para que seja feita operações de S3:Put para o bucket temp. Essa IAM role está sendo criada dentro do plugin do mini batch, sendo necessário a disponibilização desta service role para o cliente de origem.
Para realizar o assume desta service role, é necessário um IAM user para comunicação com a conta AWS de destino, que o cliente deve optar pela criação caso esteja trabalhando com contas AWS próprias.
Em cenários de Cloud Services onde o plugin estará executando no condomínio Stackspot, não será possível a criação de IAM user por diretrízes de segurança da ZUP. Então terá que optar pela solução fornecida por Stackspot de utilizar o Transit Gateway próprio para comunicação externa disponibilizado pela equipe de Cloud Services.
feature branch para review: https://github.com/stack-spot/supporting-content-dm-plugin-ingestion-minibatch/tree/feature/private-link
DOC: https://docs.google.com/document/d/17jNmwZATD9BpB0uF_COcaK7tWKrUzpfNFN-xy4YuXO4/edit