Création de points d’accès restreints à un virtual private cloud - Amazon Simple Storage Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création de points d’accès restreints à un virtual private cloud

Lorsque vous créez un point d’accès, vous pouvez choisir de rendre le point d’accès accessible à partir d’Internet, ou vous pouvez spécifier que toutes les demandes effectuées via ce point d’accès doivent provenir d’un virtual private cloud (VPC) spécifique. Un point d’accès accessible depuis Internet est dit avoir une origine réseau d’Internet. Il peut être utilisé à partir de n’importe quel endroit sur Internet, sous réserve de toute autre restriction d’accès qui s’appliquent au point d’accès, au compartiment sous-jacent et aux ressources associées, telles que les objets demandés. Un point d’accès accessible uniquement à partir d’un VPC spécifié a une origine réseau de VPC, et Amazon S3 rejette toute demande adressée au point d’accès qui ne provient pas de ce VPC.

Important

Vous ne pouvez spécifier l’origine réseau d’un point d’accès qu’au moment de la création du point d’accès. Après avoir créé le point d’accès, vous ne pouvez pas modifier son origine réseau.

Pour limiter un point d’accès à un accès VPC uniquement, vous devez inclure le paramètre VpcConfiguration à la demande de création du point d’accès. Dans le paramètre VpcConfiguration, vous spécifiez l’ID de VPC que vous souhaitez pouvoir utiliser avec le point d’accès. Si une demande est effectuée via le point d’accès, elle doit provenir du VPC, car Amazon S3 la rejettera dans le cas contraire.

Vous pouvez récupérer l'origine réseau d'un point d'accès à l'aide de AWS CLI AWS SDKs, ou REST APIs. Si un point d’accès a une configuration VPC spécifiée, son origine réseau est VPC. Sinon, l’origine réseau du point d’accès est Internet.

Exemple : créer un point d’accès restreint à l’accès VPC

L’exemple suivant crée un point d’accès nommé example-vpc-ap pour le compartiment amzn-s3-demo-bucket dans le compte 123456789012 qui autorise l’accès uniquement à partir du VPC vpc-1a2b3c. L’exemple vérifie ensuite que le nouveau point d’accès a une origine réseau de VPC.

AWS CLI
aws s3control create-access-point --name example-vpc-ap --account-id 123456789012 --bucket amzn-s3-demo-bucket --vpc-configuration VpcId=vpc-1a2b3c
aws s3control get-access-point --name example-vpc-ap --account-id 123456789012

{
    "Name": "example-vpc-ap",
    "Bucket": "amzn-s3-demo-bucket",
    "NetworkOrigin": "VPC",
    "VpcConfiguration": {
        "VpcId": "vpc-1a2b3c"
    },
    "PublicAccessBlockConfiguration": {
        "BlockPublicAcls": true,
        "IgnorePublicAcls": true,
        "BlockPublicPolicy": true,
        "RestrictPublicBuckets": true
    },
    "CreationDate": "2019-11-27T00:00:00Z"
}

Pour utiliser un point d’accès avec un VPC, vous devez modifier la stratégie d’accès pour votre point de terminaison d’un VPC. Les points de terminaison d’un VPC autorisent la circulation du trafic de votre VPC vers Amazon S3. Ils disposent de politiques de contrôle d’accès qui contrôlent la façon dont les ressources du VPC sont autorisées à interagir avec Amazon S3. Les demandes de votre VPC vers Amazon S3 ne réussissent via un point d’accès que si la politique de point de terminaison d’un VPC accorde l’accès au point d’accès et au compartiment sous-jacent.

Note

Pour rendre les ressources accessibles uniquement au sein d’un VPC, veillez à créer une zone hébergée privée pour votre point de terminaison de VPC. Pour utiliser une zone hébergée privée, modifiez les paramètres de votre VPC de sorte que les attributs de réseau VPC enableDnsHostnames et enableDnsSupport soient définis sur true.

L’exemple de déclaration de stratégie suivant configure un point de terminaison d’un VPC pour autoriser les appels à GetObject pour un compartiment nommé awsexamplebucket1 et un point d’accès nommé example-vpc-ap.

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::awsexamplebucket1/*",
            "arn:aws:s3:us-west-2:123456789012:accesspoint/example-vpc-ap/object/*"
        ]
    }]
}
Note

La déclaration "Resource" de cet exemple utilise un Amazon Resource Name (ARN) pour spécifier le point d’accès. Pour plus d'informations sur le point d'accès ARNs, consultezUtilisation des points d'accès Amazon S3.

Pour plus d’informations sur les stratégies de point de terminaison d’un VPC, consultez Stratégies de point de terminaison pour Amazon S3 dans le Guide de l’utilisateur Amazon Virtual Private Cloud.

Pour un didacticiel sur la création de points d'accès avec des points de terminaison VPC, consultez Gérer l'accès Amazon S3 avec des points de terminaison et des points d'accès VPC.