Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sie können eine VPC verwenden, um den Zugriff auf Daten in Ihren Amazon S3 S3-Buckets einzuschränken. Zur weiteren Sicherheit können Sie Ihre VPC ohne Internetzugang konfigurieren und einen Endpunkt dafür erstellen. AWS PrivateLink Sie können den Zugriff auch einschränken, indem Sie ressourcenbasierte Richtlinien an den VPC-Endpunkt oder den S3-Bucket anhängen.
Themen
Erstellen eines Amazon S3 VPC-Endpunkts
Wenn Sie Ihre VPC ohne Internetzugang konfigurieren, müssen Sie einen Amazon S3 S3-VPC-Endpunkt erstellen, damit Ihre Modellanpassungsjobs auf die S3-Buckets zugreifen können, die Ihre Trainings- und Validierungsdaten speichern und die Modellartefakte speichern.
Erstellen Sie den S3-VPC-Endpunkt, indem Sie den Schritten unter Erstellen eines Gateway-Endpunkts für Amazon S3 folgen.
Anmerkung
Wenn Sie nicht die Standard-DNS-Einstellungen für Ihre VPC verwenden, müssen Sie sicherstellen, dass die Speicherorte der URLs Daten in Ihren Trainingsjobs aufgelöst werden, indem Sie die Endpunkt-Routing-Tabellen konfigurieren. Informationen zu VPC-Endpunkt-Routingtabellen finden Sie unter Routing für Gateway-Endpunkte.
(Optional) Verwenden Sie IAM-Richtlinien, um den Zugriff auf Ihre S3-Dateien einzuschränken
Sie können ressourcenbasierte Richtlinien verwenden, um den Zugriff auf Ihre S3-Dateien genauer zu kontrollieren. Sie können eine beliebige Kombination der folgenden Typen von ressourcenbasierten Richtlinien verwenden.
-
Endpunktrichtlinien — Sie können Ihrem VPC-Endpunkt Endpunktrichtlinien hinzufügen, um den Zugriff über den VPC-Endpunkt einzuschränken. Standardmäßig wird über die Endpunktrichtlinie allen Benutzern oder Services in Ihrer VPC Vollzugriff auf Amazon S3 gewährt. Bei der Erstellung oder nach der Erstellung des Endpunkts können Sie optional eine ressourcenbasierte Richtlinie an den Endpunkt anhängen, um Einschränkungen hinzuzufügen, z. B. dem Endpunkt nur den Zugriff auf einen bestimmten Bucket oder nur einer bestimmten IAM-Rolle den Zugriff auf den Endpunkt zu gestatten. Beispiele finden Sie unter Bearbeiten der VPC-Endpunktrichtlinie.
Im Folgenden finden Sie eine Beispielrichtlinie, die Sie an Ihren VPC-Endpunkt anhängen können, damit er nur auf den von Ihnen angegebenen Bucket zugreifen kann.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictAccessToTrainingBucket", "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket", "arn:aws:s3:::bucket/*" ] } ] } -
Bucket-Richtlinien — Sie können eine Bucket-Richtlinie an einen S3-Bucket anhängen, um den Zugriff darauf einzuschränken. Um eine Bucket-Richtlinie zu erstellen, folgen Sie den Schritten unter Bucket-Richtlinien verwenden. Um den Zugriff auf den Datenverkehr zu beschränken, der von Ihrer VPC kommt, können Sie Bedingungsschlüssel verwenden, um die VPC selbst, einen VPC-Endpunkt oder die IP-Adresse der VPC anzugeben. Sie können die Bedingungsschlüssel aws:sourceVPC, aws:sourceVpce oder aws: verwenden. VpcSourceIp
Im Folgenden finden Sie eine Beispielrichtlinie, die Sie an einen S3-Bucket anhängen können, um den gesamten Datenverkehr zum Bucket zu verweigern, sofern er nicht von Ihrer VPC stammt.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictAccessToOutputBucket", "Effect": "Deny", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket", "arn:aws:s3:::bucket/*" ], "Condition": { "StringNotEquals": { "aws:sourceVpc": "your-vpc-id" } } } ] }Weitere Beispiele finden Sie unter Zugriffskontrolle mithilfe von Bucket-Richtlinien.
