Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Vous pouvez utiliser un VPC pour restreindre l'accès aux données de vos compartiments Amazon S3. Pour plus de sécurité, vous pouvez configurer votre VPC sans accès à Internet et créer un point de terminaison pour celui-ci. AWS PrivateLink Vous pouvez également restreindre l'accès en attachant des politiques basées sur les ressources au point de terminaison VPC ou au compartiment S3.
Rubriques
Création d’un point de terminaison d’un VPC Amazon S3
Si vous configurez votre VPC sans accès à Internet, vous devez créer un point de terminaison Amazon S3 VPC pour permettre aux tâches de personnalisation de votre modèle d'accéder aux compartiments S3 qui stockent vos données d'entraînement et de validation et qui stockeront les artefacts du modèle.
Créez le point de terminaison VPC S3 en suivant les étapes de la section Créer un point de terminaison de passerelle pour Amazon S3.
Note
Si vous n'utilisez pas les paramètres DNS par défaut pour votre VPC, vous devez vous assurer que les URLs emplacements des données dans vos tâches de formation sont résolus en configurant les tables de routage des points de terminaison. Pour plus d'informations sur les tables de routage des points de terminaison VPC, consultez la section Routage des points de terminaison de passerelle.
(Facultatif) Utilisez les politiques IAM pour restreindre l'accès à vos fichiers S3
Vous pouvez utiliser des politiques basées sur les ressources pour contrôler plus étroitement l'accès à vos fichiers S3. Vous pouvez utiliser n'importe quelle combinaison des types de politiques basées sur les ressources suivants.
-
Politiques de point de terminaison : vous pouvez associer des politiques de point de terminaison à votre point de terminaison VPC afin de restreindre l'accès via le point de terminaison VPC. Par défaut, la politique de point de terminaison autorise un accès complet à Amazon S3 pour n’importe quel utilisateur ou service au sein de votre VPC. Lors de la création ou après avoir créé le point de terminaison, vous pouvez éventuellement associer une politique basée sur les ressources au point de terminaison pour ajouter des restrictions, par exemple autoriser uniquement le point de terminaison à accéder à un compartiment spécifique ou uniquement autoriser un rôle IAM spécifique à accéder au point de terminaison. Pour des exemples, consultez Modifier la politique de point de terminaison du VPC.
Voici un exemple de politique que vous pouvez associer à votre point de terminaison VPC pour lui permettre uniquement d'accéder au compartiment que vous spécifiez.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictAccessToTrainingBucket", "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket", "arn:aws:s3:::bucket/*" ] } ] } -
Politiques de compartiment : vous pouvez associer une politique de compartiment à un compartiment S3 pour en restreindre l'accès. Pour créer une politique de compartiment, suivez les étapes de la section Utilisation des politiques de compartiment. Pour restreindre l'accès au trafic provenant de votre VPC, vous pouvez utiliser des clés de condition pour spécifier le VPC lui-même, un point de terminaison du VPC ou l'adresse IP du VPC. Vous pouvez utiliser les clés de condition AWS:SourceVPC, AWS:SourceVPCE ou aws :. VpcSourceIp
Voici un exemple de politique que vous pouvez associer à un compartiment S3 pour refuser tout le trafic vers le compartiment, sauf s'il provient de votre VPC.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictAccessToOutputBucket", "Effect": "Deny", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket", "arn:aws:s3:::bucket/*" ], "Condition": { "StringNotEquals": { "aws:sourceVpc": "your-vpc-id" } } } ] }Pour plus d'exemples, voir Contrôler l'accès à l'aide de politiques de compartiment.
