Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Steuern des Zugriffs von VPC-Endpunkten mit Bucket-Richtlinien
Sie können Amazon S3 S3-Bucket-Richtlinien verwenden, um den Zugriff auf Buckets von bestimmten Virtual Private Cloud (VPC) -Endpunkten oder bestimmten VPCs aus zu kontrollieren. Dieser Abschnitt enthält Beispiel-Bucket-Richtlinien, mit denen Sie den Amazon S3 S3-Bucket-Zugriff von VPC-Endpunkten aus steuern können. Informationen zum Einrichten von VPC-Endpunkten finden Sie unter VPC-Endpunkte im VPC-Benutzerhandbuch.
Mit einer VPC können Sie AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk starten. Mit einem VPC-Endpunkt können Sie eine private Verbindung zwischen Ihrer VPC und einer anderen herstellen. AWS-Service Für diese private Verbindung ist kein Zugriff über das Internet, über eine VPN-Verbindung (Virtual Private Network), über eine NAT-Instanz oder über erforderlich. AWS Direct Connect
Ein Amazon VPC-Endpunkt für Amazon S3 ist eine logische Entität innerhalb einer VPC, die eine Verbindung nur zu Amazon S3 zulässt. Der VPC-Endpunkt leitet Anfragen an Amazon S3 weiter und die Antworten zurück an die VPC. VPC-Endpunkte steuern nur, wie Anfragen weitergeleitet werden. Die öffentlichen Endpunkte und DNS-Namen von Amazon S3 verwenden weiterhin VPC-Endpunkte. Wichtige Informationen zur Verwendung von VPC-Endpunkten mit Amazon S3 finden Sie unter Gateway-Endpunkte und Gateway-Endpunkte für Amazon S3 im VPC-Benutzerhandbuch.
VPC-Endpunkte für Amazon S3 bieten zwei Möglichkeiten, den Zugriff auf Ihre Amazon-S3-Daten zu steuern:
-
Sie können steuern, welche Anfragen, Benutzer oder Gruppen durch einen spezifischen VPC-Endpunkt erlaubt sind. Informationen zu dieser Art der Zugriffskontrolle finden Sie unter Steuern des Zugriffs auf VPC-Endpunkte mithilfe von Endpunktrichtlinien im VPC-Benutzerhandbuch.
-
Sie können steuern, welche VPCs oder VPC-Endpunkte Zugriff auf Ihre Buckets haben, indem Sie Amazon-S3-Bucket-Richtlinien verwenden. Beispiele für diese Art Zugriffssteuerung durch Bucket-Richtlinienfinden Sie in den folgenden Themen zur Zugriffsbeschränkung.
Themen
Wichtig
Wenn Sie die in diesem Abschnitt beschriebenen Amazon S3 S3-Bucket-Richtlinien für VPC-Endpunkte anwenden, können Sie Ihren Zugriff auf den Bucket unbeabsichtigt blockieren. Bucket-Berechtigungen, die den Bucket-Zugriff auf Verbindungen, die von Ihrem VPC-Endpunkt ausgehen, gezielt einschränken sollen, können alle Verbindungen zum Bucket blockieren. Informationen zur Behebung dieses Problems finden Sie unter Wie behebe ich meine Bucket-Richtlinie, wenn sie die falsche VPC- oder VPC-Endpunkt-ID hat?
Beschränken des Zugriffs auf einen bestimmten VPC-Endpunkt
Nachfolgend finden Sie ein Beispiel für eine Amazon-S3-Bucket-Richtlinie, die den Zugriff auf einen bestimmten Bucket einschränkt, awsexamplebucket1, nur vom VPC-Endpunkt mit der ID vpce-1a2b3c4d. Wenn der angegebene Endpunkt nicht verwendet wird, verweigert die Richtlinie jeglichen Zugriff auf den Bucket. Die aws:SourceVpce Bedingung gibt den Endpunkt an. Die aws:SourceVpce Bedingung erfordert keinen Amazon-Ressourcennamen (ARN) für die VPC-Endpunktressource, sondern nur die VPC-Endpunkt-ID. Weitere Informationen über die Verwendung von Bedingungen in einer Richtlinie finden Sie unter Beispiele für Bucket-Richtlinien mit Bedingungsschlüsseln.
Wichtig
-
Bevor Sie die folgende Beispielrichtlinie verwenden, ersetzen Sie die VPC-Endpunkt-ID durch einen geeigneten Wert für Ihren Anwendungsfall. Andernfalls können Sie nicht auf Ihren Bucket zugreifen.
-
Diese Richtlinie deaktiviert den Konsolenzugriff auf den angegebenen Bucket, da Konsolenanfragen nicht vom angegebenen VPC-Endpunkt stammen.
{ "Version": "2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Access-to-specific-VPCE-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::awsexamplebucket1", "arn:aws:s3:::awsexamplebucket1/*"], "Condition": { "StringNotEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" } } } ] }
Beschränkung des Zugriffs auf eine bestimmte VPC
Sie können eine Bucket-Richtlinie mit der aws:SourceVpc-Bedingung erstellen, die den Zugriff auf eine bestimmte VPC beschränkt. Dies ist hilfreich, wenn Sie mehrere VPC-Endpunkte innerhalb derselben VPC konfiguriert haben und den Zugriff auf Amazon-S3-Buckets für alle Endpunkte verwalten möchten. Nachfolgend finden Sie eine Beispielrichtlinie, die awsexamplebucket1 den Zugriff auf seine Objekte von Benutzern außerhalb der VPC vpc-111bbb22 verweigert. Wenn die angegebene VPC nicht verwendet wird, verweigert die Richtlinie jeglichen Zugriff auf den Bucket. Diese Anweisung gewährt keinen Zugriff auf den Bucket. Um Zugriff zu gewähren, müssen Sie eine separate Allow Erklärung hinzufügen. Für den vpc-111bbb22 Bedingungsschlüssel ist kein ARN für die VPC-Ressource erforderlich, sondern nur die VPC-ID.
Wichtig
-
Bevor Sie die folgende Beispielrichtlinie verwenden, ersetzen Sie die VPC-ID durch einen geeigneten Wert für Ihren Anwendungsfall. Andernfalls können Sie nicht auf Ihren Bucket zugreifen.
-
Diese Richtlinie deaktiviert den Konsolenzugriff auf den angegebenen Bucket, da Konsolenanfragen nicht von der angegebenen VPC stammen.
{ "Version": "2012-10-17", "Id": "Policy1415115909153", "Statement": [ { "Sid": "Access-to-specific-VPC-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::awsexamplebucket1", "arn:aws:s3:::awsexamplebucket1/*"], "Condition": { "StringNotEquals": { "aws:SourceVpc": "vpc-111bbb22" } } } ] }
