Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erstellen von Zugriffspunkten, die auf eine Virtual Private Cloud beschränkt sind
Wenn Sie einen Access Point erstellen, können Sie wählen, ob der Access Point über das Internet zugänglich ist, oder Sie können angeben, dass alle über diesen Access Point gestellten Anfragen aus einer bestimmten virtuellen privaten Cloud stammen müssen (VPC). Ein Zugangspunkt, der über das Internet zugänglich ist, soll einen Netzwerkursprung von Internet haben. Er kann von überall im Internet verwendet werden, vorbehaltlich anderer Zugriffsbeschränkungen für den Zugriffspunkt, den zugrunde liegenden Bucket und die zugehörige Ressourcen, z. B. die angeforderten Objekte. Ein Access Point, auf den nur von einem bestimmten Access Point aus zugegriffen werden kannVPC, VPC hat einen Netzwerkursprung von, und Amazon S3 lehnt alle Anfragen an den Access Point ab, die nicht von diesem VPC stammen.
Wichtig
Sie können den Netzwerkursprung eines Zugriffspunkts nur angeben, wenn Sie den Zugriffspunkt erstellen. Nachdem Sie den Zugriffspunkt erstellt haben, können Sie seinen Netzwerkursprung nicht mehr ändern.
Um einen Access Point auf den VPC reinen Zugriff zu beschränken, fügen Sie den VpcConfiguration Parameter der Anfrage zur Erstellung des Access Points bei. Im VpcConfiguration Parameter geben Sie die VPC ID an, mit der Sie den Access Point verwenden möchten. Wenn eine Anfrage über den Access Point gestellt wird, muss die Anfrage von dem stammen, VPC andernfalls lehnt Amazon S3 sie ab.
Sie können den Netzwerkursprung eines Access Points mithilfe von AWS CLI AWS SDKs, oder abrufen RESTAPIs. Wenn für einen Access Point eine VPC Konfiguration angegeben ist, lautet sein NetzwerkursprungVPC. Andernfalls ist der Netzwerkursprung des Zugriffspunkts Internet.
Beispiel: Erstellen Sie einen Access Point, der auf den VPC Zugriff beschränkt ist
Im folgenden Beispiel wird ein Access Point mit dem Namen example-vpc-ap Bucket amzn-s3-demo-bucket123456789012, der den Zugriff nur über den ermöglicht vpc-1a2b3cVPC. Das Beispiel überprüft dann, ob der neue Zugriffspunkt den Netzwerkursprung VPC hat.
Um einen Access Point mit a zu verwendenVPC, müssen Sie die Zugriffsrichtlinie für Ihren VPC Endpunkt ändern. VPCEndpunkte ermöglichen den Datenfluss von Ihnen VPC zu Amazon S3. Sie verfügen über Zugriffskontrollrichtlinien, die VPC kontrollieren, wie Ressourcen innerhalb von mit Amazon S3 interagieren dürfen. Anfragen von Ihnen VPC an Amazon S3 werden nur dann über einen Access Point erfolgreich ausgeführt, wenn die VPC Endpunktrichtlinie Zugriff sowohl auf den Access Point als auch auf den zugrunde liegenden Bucket gewährt.
Anmerkung
Um den Zugriff auf Ressourcen nur innerhalb eines zu ermöglichenVPC, stellen Sie sicher, dass Sie eine private, gehostete Zone für Ihren VPC Endpunkt einrichten. Um eine private gehostete Zone zu verwenden, ändern Sie Ihre VPC Einstellungen so, dass die VPCNetzwerkattribute enableDnsHostnames und enableDnsSupporttrue.
In der folgenden Beispiel-Richtlinienanweisung wird ein VPC Endpunkt so konfiguriert, dass Aufrufe GetObject für einen Bucket mit dem Namen awsexamplebucket1 und einen Access Point mit dem Namen example-vpc-ap möglich sind.
{ "Version": "2012-10-17", "Statement": [ { "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::awsexamplebucket1/*", "arn:aws:s3:us-west-2:123456789012:accesspoint/example-vpc-ap/object/*" ] }] }
Anmerkung
Die "Resource" Deklaration in diesem Beispiel verwendet einen Amazon-Ressourcennamen (ARN), um den Access Point zu spezifizieren. Weitere Informationen zum Access Point ARNs finden Sie unterVerwenden von Zugriffspunkten.
Weitere Informationen zu VPC Endpunktrichtlinien finden Sie unter Verwenden von Endpunktrichtlinien für Amazon S3 im VPCBenutzerhandbuch.
