Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Création de points d'accès restreints à un virtual private cloud
Lorsque vous créez un point d'accès, vous pouvez choisir de le rendre accessible depuis Internet, ou vous pouvez spécifier que toutes les demandes effectuées via ce point d'accès doivent provenir d'un cloud privé virtuel spécifique (VPC). Un point d'accès accessible depuis Internet est dit avoir une origine réseau d'Internet
. Il peut être utilisé à partir de n'importe quel endroit sur Internet, sous réserve de toute autre restriction d'accès qui s'appliquent au point d'accès, au compartiment sous-jacent et aux ressources associées, telles que les objets demandés. Un point d'accès accessible uniquement à partir d'un point d'accès spécifié VPC possède une origine réseau deVPC
, et Amazon S3 rejette toute demande adressée au point d'accès qui ne provient pas de ce point d'accèsVPC.
Important
Vous ne pouvez spécifier l'origine réseau d'un point d'accès qu'au moment de la création du point d'accès. Après avoir créé le point d'accès, vous ne pouvez pas modifier son origine réseau.
Pour restreindre un point d'accès à un accès VPC uniquement, vous devez inclure le VpcConfiguration
paramètre dans la demande de création du point d'accès. Dans le VpcConfiguration
paramètre, vous spécifiez l'VPCID que vous souhaitez utiliser pour utiliser le point d'accès. Si une demande est faite via le point d'accès, elle doit provenir du, VPC sinon Amazon S3 la rejettera.
Vous pouvez récupérer l'origine réseau d'un point d'accès à l'aide de AWS CLI AWS SDKs, ou RESTAPIs. Si une VPC configuration est spécifiée pour un point d'accès, son origine réseau estVPC
. Sinon, l'origine réseau du point d'accès est Internet
.
Exemple : création d'un point d'accès dont l'VPCaccès est restreint
L'exemple suivant crée un point d'accès nommé example-vpc-ap
d'après le bucket
in account amzn-s3-demo-bucket
123456789012
qui autorise l'accès uniquement depuis le vpc-1a2b3c
VPC. L'exemple vérifie ensuite que le nouveau point d'accès a une origine réseau de VPC
.
Pour utiliser un point d'accès avec unVPC, vous devez modifier la politique d'accès de votre VPC point de terminaison. VPCles points de terminaison permettent au trafic de circuler entre vous VPC et Amazon S3. Ils ont des politiques de contrôle d'accès qui contrôlent la manière dont les ressources qu'ils contiennent VPC sont autorisées à interagir avec Amazon S3. Les demandes que vous envoyez VPC à Amazon S3 n'aboutissent via un point d'accès que si la politique du point de VPC terminaison autorise l'accès à la fois au point d'accès et au compartiment sous-jacent.
Note
Pour que les ressources soient accessibles uniquement au sein d'unVPC, assurez-vous de créer une zone hébergée privée pour votre VPC terminal. Pour utiliser une zone hébergée privée, modifiez vos VPC paramètres afin que les attributs enableDnsHostnames
du VPC réseau enableDnsSupport
soient définis surtrue
.
L'exemple de déclaration de politique suivant configure un VPC point de terminaison GetObject
pour autoriser les appels vers un bucket nommé awsexamplebucket1
et un point d'accès nomméexample-vpc-ap
.
{ "Version": "2012-10-17", "Statement": [ { "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::awsexamplebucket1/*", "arn:aws:s3:us-west-2:123456789012:accesspoint/example-vpc-ap/object/*" ] }] }
Note
Dans cet exemple, la "Resource"
déclaration utilise un Amazon Resource Name (ARN) pour spécifier le point d'accès. Pour plus d'informations sur le point d'accèsARNs, consultezUtilisation des points d'accès.
Pour plus d'informations sur les politiques relatives aux points de VPC terminaison, consultez la section Utilisation des politiques relatives aux points de terminaison pour Amazon S3 dans le guide de VPC l'utilisateur.