Erstellen von Zugriffspunkten, die auf eine Virtual Private Cloud beschränkt sind - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen von Zugriffspunkten, die auf eine Virtual Private Cloud beschränkt sind

Wenn Sie einen Zugriffspunkt erstellen, können Sie ihn über das Internet zugänglich machen, oder Sie können angeben, dass alle über diesen Zugriffspunkt eingehenden Anforderungen aus einer bestimmten Virtual Private Cloud (VPC) stammen müssen. Ein Zugangspunkt, der über das Internet zugänglich ist, soll einen Netzwerkursprung von Internet haben. Er kann von überall im Internet verwendet werden, vorbehaltlich anderer Zugriffsbeschränkungen für den Zugriffspunkt, den zugrunde liegenden Bucket und die zugehörige Ressourcen, z. B. die angeforderten Objekte. Ein Zugriffspunkt, auf den nur von einer angegebenen VPC aus zugegriffen werden kann, hat den Netzwerkursprung VPC. Amazon S3 weist jede Anforderung an den Zugriffspunkt zurück, die nicht von dieser VPC stammt.

Wichtig

Sie können den Netzwerkursprung eines Zugriffspunkts nur angeben, wenn Sie den Zugriffspunkt erstellen. Nachdem Sie den Zugriffspunkt erstellt haben, können Sie seinen Netzwerkursprung nicht mehr ändern.

Um einen Zugriffspunkt auf reinen VPC-Zugriff zu beschränken, fügen Sie den Parameter VpcConfiguration in die Anforderung zum Erstellen des Zugriffspunkts ein. Im Parameter VpcConfiguration geben Sie die VPC-ID an, die in der Lage sein soll, den Zugriffspunkt zu verwenden. Wenn eine Anfrage über den Zugriffspunkt erfolgt, muss die Anfrage von der VPC stammen, sonst lehnt Amazon S3 sie ab.

Sie können den Netzwerkursprung eines Access Points mithilfe von AWS CLI AWS SDKs, oder REST abrufen APIs. Wenn für einen Zugriffspunkt eine VPC-Konfiguration angegeben ist, lautet der Netzwerkursprung VPC. Andernfalls ist der Netzwerkursprung des Zugriffspunkts Internet.

Beispiel: Erstellen eines Zugriffspunkts, der auf VPC-Zugriff beschränkt ist

Im folgenden Beispiel wird ein Zugriffspunkt mit dem Namen example-vpc-ap für Bucket amzn-s3-demo-bucket in Konto 123456789012 erstellt, der den Zugriff nur von der VPC vpc-1a2b3c aus zulässt. Das Beispiel überprüft dann, ob der neue Zugriffspunkt den Netzwerkursprung VPC hat.

AWS CLI
aws s3control create-access-point --name example-vpc-ap --account-id 123456789012 --bucket amzn-s3-demo-bucket --vpc-configuration VpcId=vpc-1a2b3c
aws s3control get-access-point --name example-vpc-ap --account-id 123456789012

{
    "Name": "example-vpc-ap",
    "Bucket": "amzn-s3-demo-bucket",
    "NetworkOrigin": "VPC",
    "VpcConfiguration": {
        "VpcId": "vpc-1a2b3c"
    },
    "PublicAccessBlockConfiguration": {
        "BlockPublicAcls": true,
        "IgnorePublicAcls": true,
        "BlockPublicPolicy": true,
        "RestrictPublicBuckets": true
    },
    "CreationDate": "2019-11-27T00:00:00Z"
}

Um einen Zugriffspunkt mit einer VPC zu verwenden, müssen Sie die Zugriffsrichtlinie für Ihren VPC-Endpunkt ändern. VPC-Endpunkte ermöglichen den Datenfluss von Ihrer VPC zu Amazon S3. Sie verfügen über Zugriffssteuerungsrichtlinien, die kontrollieren, wie Ressourcen innerhalb der VPC mit Amazon S3 interagieren dürfen. Anforderungen von Ihrer VPC an Amazon S3 werden nur dann über einen Zugriffspunkt erfolgreich ausgeführt, wenn die VPC-Endpunktrichtlinie sowohl Zugriff auf den Zugriffspunkt als auch auf den zugrunde liegenden Bucket gewährt.

Anmerkung

Damit Ressourcen nur innerhalb einer VPC zugänglich sind, erstellen Sie unbedingt eine privat gehostete Zone für Ihren VPC-Endpunkt. Wenn Sie eine privat gehostete Zone verwenden möchten, ändern Sie Ihre VPC-Einstellungen so, dass die VPC-Netzwerkattribute enableDnsHostnames und enableDnsSupport auf true festgelegt sind.

In der folgenden Beispielrichtlinienanweisung wird ein VPC-Endpunkt so konfiguriert, dass Aufrufe von GetObject für einen Bucket mit dem Namen awsexamplebucket1 und einen Zugriffspunkt mit dem Namen example-vpc-ap zulässig sind.

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::awsexamplebucket1/*",
            "arn:aws:s3:us-west-2:123456789012:accesspoint/example-vpc-ap/object/*"
        ]
    }]
}
Anmerkung

Die "Resource"-Deklaration in diesem Beispiel verwendet einen Amazon-Ressourcennamen (ARN) zur Angabe des Zugriffspunkts. Weitere Informationen zum Access Point ARNs finden Sie unterVerwenden von Amazon S3 S3-Zugriffspunkten.

Weitere Informationen zu VPC-Endpunktrichtlinien finden Sie unter Verwenden von Endpoint-Richtlinien für Amazon S3 im VPC-Benutzerhandbuch.

Ein Tutorial zur Erstellung von Access Points mit VPC-Endpunkten finden Sie unter Verwaltung des Amazon S3 S3-Zugriffs mit VPC-Endpunkten und Access Points.