(Exemple) Limitez l'accès aux données de votre Amazon S3 à l'aide de VPC - Amazon Bedrock

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

(Exemple) Limitez l'accès aux données de votre Amazon S3 à l'aide de VPC

Vous pouvez utiliser un VPC pour restreindre l'accès aux données de vos compartiments Amazon S3. Pour plus de sécurité, vous pouvez configurer votre appareil VPC sans accès à Internet et créer un point de terminaison pour celui-ci avec AWS PrivateLink. Vous pouvez également restreindre l'accès en attachant des politiques basées sur les ressources au VPC point de terminaison ou au compartiment S3.

Création d'un point de VPC terminaison Amazon S3

Si vous configurez votre VPC modèle sans accès à Internet, vous devez créer un point de VPCterminaison Amazon S3 pour permettre aux tâches de personnalisation de votre modèle d'accéder aux compartiments S3 qui stockent vos données de formation et de validation et qui stockeront les artefacts du modèle.

Créez le point de VPC terminaison S3 en suivant les étapes de la section Créer un point de terminaison de passerelle pour Amazon S3.

Note

Si vous n'utilisez pas les DNS paramètres par défaut pour votreVPC, vous devez vous assurer que les URLs emplacements des données dans vos tâches de formation sont résolus en configurant les tables de routage des points de terminaison. Pour plus d'informations sur les tables de routage des points de VPC terminaison, consultez la section Routage pour les points de terminaison Gateway.

(Facultatif) Utilisez IAM des politiques pour restreindre l'accès à vos fichiers S3

Vous pouvez utiliser des politiques basées sur les ressources pour contrôler plus étroitement l'accès à vos fichiers S3. Vous pouvez utiliser n'importe quelle combinaison des types de politiques basées sur les ressources suivants.

  • Politiques de point de terminaison : vous pouvez associer des politiques de point de terminaison à votre VPC point de terminaison afin de restreindre l'accès via le VPC point de terminaison. La politique de point de terminaison par défaut permet un accès complet à Amazon S3 pour tous les utilisateurs ou services de votre entrepriseVPC. Lors de la création ou après avoir créé le point de terminaison, vous pouvez éventuellement associer une politique basée sur les ressources au point de terminaison pour ajouter des restrictions, par exemple autoriser uniquement le point de terminaison à accéder à un compartiment spécifique ou uniquement autoriser un IAM rôle spécifique à accéder au point de terminaison. Pour des exemples, voir Modifier la politique du VPC point de terminaison.

    Voici un exemple de politique que vous pouvez associer à votre VPC point de terminaison pour lui permettre uniquement d'accéder au compartiment que vous spécifiez.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictAccessToTrainingBucket", "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket", "arn:aws:s3:::bucket/*" ] } ] }
  • Politiques de compartiment : vous pouvez associer une politique de compartiment à un compartiment S3 pour en restreindre l'accès. Pour créer une politique de compartiment, suivez les étapes de la section Utilisation des politiques de compartiment. Pour restreindre l'accès au trafic provenant de votreVPC, vous pouvez utiliser des clés de condition pour spécifier VPC lui-même, un VPC point de terminaison ou l'adresse IP duVPC. Vous pouvez utiliser les clés de VpcSourceIp condition aws : sourceVpce, aws : ou aws :. sourceVpc

    Voici un exemple de politique que vous pouvez associer à un compartiment S3 pour refuser tout le trafic vers le compartiment, sauf s'il provient de votreVPC.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictAccessToOutputBucket", "Effect": "Deny", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket", "arn:aws:s3:::bucket/*" ], "Condition": { "StringNotEquals": { "aws:sourceVpc": "your-vpc-id" } } } ] }

    Pour plus d'exemples, voir Contrôler l'accès à l'aide de politiques de compartiment.