Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
(Ejemplo) Restrinja el acceso a los datos de Amazon S3 mediante VPC
Puede usar VPC a para restringir el acceso a los datos de sus buckets de Amazon S3. Para mayor seguridad, puede configurarlo VPC sin acceso a Internet y crear un punto final para él con AWS PrivateLink. También puede restringir el acceso adjuntando políticas basadas en recursos al VPC punto final o al bucket de S3.
Temas
Creación de un VPC punto de conexión Amazon S3
Si lo configura VPC sin acceso a Internet, debe crear un VPCpunto de conexión Amazon S3 para permitir que sus trabajos de personalización de modelos accedan a los depósitos de S3 que almacenan sus datos de entrenamiento y validación y que almacenarán los artefactos del modelo.
Cree el VPC punto de enlace S3 siguiendo los pasos que se indican en Crear un punto de enlace de puerta de enlace para Amazon S3.
nota
Si no utiliza la DNS configuración predeterminada para sus tareas de entrenamientoVPC, debe asegurarse de que las ubicaciones de los URLs datos en sus trabajos de entrenamiento se resuelvan configurando las tablas de rutas de los puntos finales. Para obtener información sobre las tablas VPC de rutas de puntos finales, consulte Enrutamiento para puntos finales de Gateway.
(Opcional) Utilice IAM políticas para restringir el acceso a los archivos de S3
Puede usar políticas basadas en recursos para controlar más estrictamente el acceso a sus archivos de S3. Puede usar cualquier combinación de los siguientes tipos de políticas basadas en recursos.
-
Políticas de punto final: puede adjuntar políticas de punto final a su VPC punto final para restringir el acceso a través del VPC punto final. La política de puntos de conexión predeterminada permite el acceso total a Amazon S3 para cualquier usuario o servicio de su empresaVPC. Al crear el punto de conexión o después de crearlo, puede adjuntar opcionalmente una política basada en los recursos al punto de conexión para añadir restricciones, por ejemplo, permitir que el punto de conexión solo acceda a un depósito específico o permitir que solo un IAM rol específico acceda al punto de conexión. Para ver ejemplos, consulte Editar la política de VPC puntos finales.
El siguiente es un ejemplo de política que puede adjuntar a su VPC punto final para permitir que solo acceda al bucket que especifique.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictAccessToTrainingBucket", "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket", "arn:aws:s3:::bucket/*" ] } ] } -
Políticas de bucket: puede adjuntar una política de bucket a un bucket de S3 para restringir el acceso a él. Para crear una política de bucket, sigue los pasos que se indican en Usar políticas de bucket. Para restringir el acceso al tráfico que proviene de ustedVPC, puede usar claves de condición para especificar el VPC propio tráfico, el VPC punto final o la dirección IP del mismoVPC. Puede usar las claves de VpcSourceIp condición aws: sourceVpce, aws: o aws:. sourceVpc
El siguiente es un ejemplo de política que puede adjuntar a un bucket de S3 para denegar todo el tráfico al bucket, a menos que provenga de su cuentaVPC.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictAccessToOutputBucket", "Effect": "Deny", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket", "arn:aws:s3:::bucket/*" ], "Condition": { "StringNotEquals": { "aws:sourceVpc": "your-vpc-id" } } } ] }Para ver más ejemplos, consulte Controlar el acceso mediante políticas de bucket.
