Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
(Beispiel) Beschränken Sie den Datenzugriff auf Ihre Amazon S3 S3-Daten mit VPC
Sie können a verwendenVPC, um den Zugriff auf Daten in Ihren Amazon S3 S3-Buckets einzuschränken. Zur weiteren Sicherheit können Sie Ihr Gerät VPC ohne Internetzugang konfigurieren und einen Endpunkt dafür erstellen AWS PrivateLink. Sie können den Zugriff auch einschränken, indem Sie ressourcenbasierte Richtlinien an den VPC Endpunkt oder den S3-Bucket anhängen.
Themen
Erstellen Sie einen Amazon S3 VPC S3-Endpunkt
Wenn Sie Ihr VPC Gerät ohne Internetzugang konfigurieren, müssen Sie einen Amazon S3 VPC S3-Endpunkt erstellen, damit Ihre Modellierungsanpassungsjobs auf die S3-Buckets zugreifen können, in denen Ihre Trainings- und Validierungsdaten gespeichert sind und in denen die Modellartefakte gespeichert werden.
Erstellen Sie den VPC S3-Endpunkt, indem Sie den Schritten unter Gateway-Endpunkt für Amazon S3 erstellen folgen.
Anmerkung
Wenn Sie nicht die DNS Standardeinstellungen für Ihre verwenden, müssen Sie sicherstellenVPC, dass die Speicherorte der Daten in Ihren Trainingsaufgaben aufgelöst werden, indem Sie die Routing-Tabellen URLs für die Endpunkte konfigurieren. Informationen zu VPC Endpunkt-Routing-Tabellen finden Sie unter Routing für Gateway-Endpunkte.
(Optional) Verwenden Sie IAM Richtlinien, um den Zugriff auf Ihre S3-Dateien einzuschränken
Sie können ressourcenbasierte Richtlinien verwenden, um den Zugriff auf Ihre S3-Dateien genauer zu kontrollieren. Sie können eine beliebige Kombination der folgenden Typen von ressourcenbasierten Richtlinien verwenden.
-
Endpunktrichtlinien — Sie können Endpunktrichtlinien an Ihren VPC Endpunkt anhängen, um den Zugriff über den VPC Endpunkt einzuschränken. Die standardmäßige Endpunktrichtlinie ermöglicht vollen Zugriff auf Amazon S3 für jeden Benutzer oder Dienst in IhremVPC. Bei der Erstellung oder nach der Erstellung des Endpunkts können Sie optional eine ressourcenbasierte Richtlinie an den Endpunkt anhängen, um Einschränkungen hinzuzufügen, z. B. dem Endpunkt nur den Zugriff auf einen bestimmten Bucket oder nur den Zugriff einer bestimmten IAM Rolle auf den Endpunkt zu erlauben. Beispiele finden Sie unter VPCEndpunktrichtlinie bearbeiten.
Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die Sie an Ihren VPC Endpunkt anhängen können, damit dieser nur auf den von Ihnen angegebenen Bucket zugreifen kann.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictAccessToTrainingBucket", "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket", "arn:aws:s3:::bucket/*" ] } ] } -
Bucket-Richtlinien — Sie können eine Bucket-Richtlinie an einen S3-Bucket anhängen, um den Zugriff darauf einzuschränken. Um eine Bucket-Richtlinie zu erstellen, folgen Sie den Schritten unter Bucket-Richtlinien verwenden. Um den Zugriff auf den Datenverkehr zu beschränkenVPC, der von Ihrem stammt, können Sie Bedingungsschlüssel verwenden, um die VPC sich selbst, einen VPC Endpunkt oder die IP-Adresse desVPC. Sie können die VpcSourceIp Bedingungsschlüssel aws: sourceVpce, aws: oder aws: verwenden. sourceVpc
Im Folgenden finden Sie eine Beispielrichtlinie, die Sie an einen S3-Bucket anhängen können, um den gesamten Datenverkehr zum Bucket zu verweigern, sofern er nicht von Ihrem stammtVPC.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictAccessToOutputBucket", "Effect": "Deny", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket", "arn:aws:s3:::bucket/*" ], "Condition": { "StringNotEquals": { "aws:sourceVpc": "your-vpc-id" } } } ] }Weitere Beispiele finden Sie unter Zugriffskontrolle mithilfe von Bucket-Richtlinien.
