Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
(Ejemplo) Restricción del acceso a los datos de Amazon S3 mediante VPC
Puede usar una VPC para restringir el acceso a los datos de sus buckets de Amazon S3. Para una mayor seguridad, puede configurar la VPC sin acceso a internet y crear un punto de conexión para ella con AWS PrivateLink. También puede restringir el acceso asociando políticas basadas en recursos al punto de conexión de VPC o al bucket de S3.
Temas
Creación de un punto de conexión de VPC de Amazon S3
Si configura su VPC sin acceso a internet, debe crear un punto de conexión de VPC de Amazon S3 para permitir que los trabajos de personalización de modelos accedan a los buckets de S3 que almacenan sus datos de entrenamiento y validación y que almacenarán los artefactos del modelo.
Siga los pasos descritos en Creación de un punto de conexión de un gateway para Amazon S3 para crear el punto de conexión de VPC de puerta de enlace para S3.
nota
Si no utiliza la configuración de DNS predeterminada para su VPC, debe asegurarse de que las ubicaciones de los URLs datos de sus trabajos de entrenamiento se resuelvan configurando las tablas de rutas de los puntos finales. Para obtener más información sobre las tablas de enrutamiento de punto de conexión de VPC, consulte el enrutamiento de puntos de conexión de la puerta de enlace.
(Opcional) Uso de políticas de IAM para restringir el acceso a archivos de S3
Puede usar políticas basadas en recursos para controlar el acceso a sus archivos de S3 de forma más estricta. Puede usar cualquier combinación de los siguientes tipos de políticas basadas en recursos.
-
Políticas de punto de conexión: puede asociar políticas de punto de conexión a su punto de conexión de VPC para restringir el acceso a través del punto de conexión de VPC. La política de puntos de conexión predeterminada permite acceso completo a Amazon S3 a cualquier usuario o servicio de la VPC. Al crear el punto de conexión o después de crearlo, si lo desea, puede asociar una política basada en recursos al punto de conexión para añadir restricciones, por ejemplo, permitir que el punto de conexión solo acceda a un bucket específico o permitir que solo un rol de IAM específico acceda al punto de conexión. Para ver ejemplos, consulte Edit the VPC endpoint policy.
El siguiente es un ejemplo de política que puede asociar al punto de conexión de VPC para que solo pueda acceder al bucket que especifique.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictAccessToTrainingBucket", "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::
bucket
", "arn:aws:s3:::bucket/*
" ] } ] } -
Políticas de bucket: puede asociar una política de bucket a un bucket de S3 para restringir el acceso a dicho bucket. Para crear una política de bucket, siga los pasos que se indican en Políticas de buckets. Para restringir el acceso al tráfico que proviene de la VPC, puede usar claves de condición para especificar la propia VPC, un punto de conexión de VPC o la dirección IP de la VPC. Puede usar las claves de condición aws:SourceVPC, aws:SourceVpce o aws:. VpcSourceIp
El siguiente es un ejemplo de política que puede asociar a un bucket de S3 para denegar todo el tráfico al bucket, a menos que provenga de su VPC.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictAccessToOutputBucket", "Effect": "Deny", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::
bucket
", "arn:aws:s3:::bucket/*
" ], "Condition": { "StringNotEquals": { "aws:sourceVpc": "your-vpc-id
" } } } ] }Para ver más ejemplos, consulte Control access using bucket policies.