Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôle de l'accès à partir des points de terminaison d'un VPC avec des stratégies de compartiment
Vous pouvez utiliser les politiques relatives aux compartiments Amazon S3 pour contrôler l'accès aux compartiments à partir de points de terminaison de cloud privé virtuel (VPC) ou de VPC spécifiques. Cette section contient des exemples de politiques de compartiment que vous pouvez utiliser pour contrôler l'accès aux compartiments Amazon S3 à partir des points de terminaison VPC. Pour apprendre à configurer les points de terminaison d'un VPC, veuillez consulter Points de terminaison d'un VPC dans le Guide de l'utilisateur VPC.
Un VPC vous permet de lancer des AWS ressources dans un réseau virtuel que vous définissez. Un point de terminaison VPC vous permet de créer une connexion privée entre votre VPC et un autre. Service AWS Cette connexion privée ne nécessite pas d'accès via Internet, via une connexion de réseau privé virtuel (VPN), via une instance NAT ou via AWS Direct Connect.
Le point de terminaison d'un VPC pour Amazon S3 est une entité logique au sein d'un VPC qui permet uniquement une connexion à Amazon S3. Le point de terminaison d'un VPC achemine les demandes vers Amazon S3 et les réponses renvoyées au VPC. Les points de terminaison d'un VPC changent uniquement la manière dont les demandes sont acheminées . Les points de terminaison publics Amazon S3 et les noms DNS continuent de fonctionner avec les points de terminaison d'un VPC. Pour obtenir des informations importantes sur l'utilisation des points de terminaison VPC avec Amazon S3, consultez la section Points de terminaison de passerelle et points de terminaison de passerelle pour Amazon S3 dans le guide de l'utilisateur VPC.
Les points de terminaison d'un VPC pour Amazon S3 offrent deux façons de contrôler l'accès à vos données Amazon S3 :
-
Vous pouvez contrôler les demandes, les utilisateurs ou les groupes autorisés à traverser un point de terminaison d'un VPC spécifique. Pour plus d'informations sur ce type de contrôle d'accès, consultez la section Contrôle de l'accès aux points de terminaison VPC à l'aide de politiques relatives aux points de terminaison dans le Guide de l'utilisateur VPC.
-
Vous pouvez contrôler quels VPC ou points de terminaison d'un VPC ont accès à vos compartiments en utilisant des stratégies de compartiment Amazon S3. Pour obtenir des exemples de ce type de contrôle d'accès avec stratégie de compartiment, consultez les rubriques suivantes sur les restrictions d'accès.
Rubriques
Important
Lorsque vous appliquez les politiques de compartiment Amazon S3 pour les points de terminaison VPC décrites dans cette section, vous risquez de bloquer involontairement votre accès au compartiment. Les autorisations attribuées à un compartiment dans le but de restreindre l'accès aux connexions issues du point de terminaison de votre VPC peuvent bloquer toutes les connexions à ce compartiment. Pour plus d'informations sur la manière de résoudre ce problème, consultez Comment corriger ma politique de compartiment lorsque le VPC ou l'ID de point de terminaison du VPC est incorrect
Restriction de l'accès à un point de terminaison d'un VPC spécifique
Voici un exemple de stratégie de compartiment Amazon S3 qui restreint l'accès à un compartiment spécifique, awsexamplebucket1, uniquement à partir du point de terminaison d'un VPC doté de l'ID vpce-1a2b3c4d. Si le point de terminaison spécifié n'est pas utilisé, la politique refuse tout accès au compartiment. La aws:SourceVpce condition spécifie le point de terminaison. La aws:SourceVpce condition ne nécessite pas de nom de ressource Amazon (ARN) pour la ressource de point de terminaison du VPC, mais uniquement l'ID du point de terminaison du VPC. Pour plus d'informations sur l'utilisation de conditions dans une stratégie, consultez Exemples de politiques relatives aux compartiments utilisant des clés de condition.
Important
-
Avant d'utiliser l'exemple de stratégie suivant, remplacez l'ID de point de terminaison du VPC par une valeur appropriée pour votre cas d'utilisation. Dans le cas contraire, vous ne parviendrez pas à accéder à votre compartiment.
-
Cette politique désactive l'accès de la console au compartiment spécifié car les demandes de console ne proviennent pas du point de terminaison VPC spécifié.
{ "Version": "2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Access-to-specific-VPCE-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::awsexamplebucket1", "arn:aws:s3:::awsexamplebucket1/*"], "Condition": { "StringNotEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" } } } ] }
Restriction de l'accès à un VPC spécifique
Vous pouvez créer une stratégie de compartiment qui restreint l'accès à un VPC spécifique en utilisant la condition aws:SourceVpc. Ceci est utile si vous avez plusieurs points de terminaison d'un VPC configurés pour le même VPC et que vous voulez gérer l'accès à vos compartiments Amazon S3 pour tous vos points de terminaison. Voici un exemple de politique qui refuse l'accès à awsexamplebucket1 et ses objets à toute personne extérieure au VPC vpc-111bbb22. Si le VPC spécifié n'est pas utilisé, la politique refuse tout accès au compartiment. Cette instruction n'autorise pas l'accès au bucket. Pour autoriser l'accès, vous devez ajouter une Allow déclaration séparée. La clé de vpc-111bbb22 condition ne nécessite pas d'ARN pour la ressource VPC, uniquement l'ID du VPC.
Important
-
Avant d'utiliser l'exemple de stratégie suivant, remplacez l'ID du VPC par une valeur appropriée pour votre cas d'utilisation. Dans le cas contraire, vous ne parviendrez pas à accéder à votre compartiment.
-
Cette politique désactive l'accès de la console au compartiment spécifié car les demandes de console ne proviennent pas du VPC spécifié.
{ "Version": "2012-10-17", "Id": "Policy1415115909153", "Statement": [ { "Sid": "Access-to-specific-VPC-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::awsexamplebucket1", "arn:aws:s3:::awsexamplebucket1/*"], "Condition": { "StringNotEquals": { "aws:SourceVpc": "vpc-111bbb22" } } } ] }
