Empêcher l'exfiltration de données dans un environnement privé VPC - Studio de recherche et d'ingénierie

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Empêcher l'exfiltration de données dans un environnement privé VPC

Pour empêcher les utilisateurs d'exfiltrer les données des compartiments S3 sécurisés vers leurs propres compartiments S3 de leur compte, vous pouvez associer un VPC point de terminaison pour sécuriser vos données privées. VPC Les étapes suivantes montrent comment créer un VPC point de terminaison pour le service S3 qui prend en charge l'accès aux compartiments S3 au sein de votre compte, ainsi qu'à tout compte supplémentaire doté de compartiments multicomptes.

  1. Ouvrez la VPC console Amazon :

    1. Connectez-vous à la console AWS de gestion.

    2. Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.

  2. Créez un VPC point de terminaison pour S3 :

    1. Dans le panneau de navigation de gauche, sélectionnez Points de terminaison.

    2. Choisissez Créer un point de terminaison.

    3. Pour Catégorie de service, assurez-vous que l’option services AWS est sélectionnée.

    4. Dans le champ Nom du service, entrez com.amazonaws.<region>.s3 (remplacez <region> par votre AWS région) ou recherchez « S3 ».

    5. Sélectionnez le service S3 dans la liste.

  3. Configurer les paramètres du point de terminaison :

    1. Pour VPC, sélectionnez l'VPCendroit où vous souhaitez créer le point de terminaison.

    2. Pour les sous-réseaux, sélectionnez les deux sous-réseaux privés utilisés pour les sous-réseaux lors du VDI déploiement.

    3. Pour Enable DNS name, assurez-vous que l'option est cochée. Cela permet de résoudre le DNS nom d'hôte privé sur les interfaces réseau du point de terminaison.

  4. Configurez la politique pour restreindre l'accès :

    1. Sous Politique, sélectionnez Personnaliser.

    2. Dans l'éditeur de règles, entrez une politique qui restreint l'accès aux ressources de votre compte ou d'un compte spécifique. Voici un exemple de politique (remplacez mybucket avec le nom de votre compartiment S3 et 111122223333 and 444455556666 avec le AWS compte approprié IDs auquel vous souhaitez avoir accès) : 

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::mybucket",
                "arn:aws:s3:::mybucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalAccount": [
                        "111122223333",   // Your Account ID
                        "444455556666"    // Another Account ID
                    ]
                }
            }
        }
    ]
}

  5. Créez le point de terminaison :

    1. Vérifiez vos paramètres.

    2. Choisissez Créer un point de terminaison.

  6. Vérifiez le point de terminaison :

    1. Une fois le point de terminaison créé, accédez à la section Points de terminaison de la VPC console.

    2. Sélectionnez le point de terminaison nouvellement créé.

    3. Vérifiez que l'état est disponible.

En suivant ces étapes, vous créez un VPC point de terminaison qui autorise un accès S3 limité aux ressources de votre compte ou à un ID de compte spécifié.