Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Points de terminaison de passerelle pour Amazon S3
Vous pouvez accéder à Amazon S3 depuis vos VPC VPC points de terminaison de passerelle. Après avoir créé le point de terminaison de la passerelle, vous pouvez l'ajouter en tant que cible dans votre table de routage pour le trafic destiné VPC à Amazon S3.
Il n'y a pas de frais supplémentaires pour l'utilisation de points de terminaison de passerelle.
Amazon S3 prend en charge les points de terminaison de passerelle et les points de terminaison d'interface. Avec un point de terminaison de passerelle, vous pouvez accéder à Amazon S3 depuis votre ordinateurVPC, sans avoir besoin d'une passerelle Internet ou d'un NAT appareilVPC, et sans frais supplémentaires. Toutefois, les points de terminaison de la passerelle n'autorisent pas l'accès depuis des réseaux locaux, depuis des réseaux homologues VPCs dans d'autres AWS régions ou via une passerelle de transit. Pour ces scénarios, vous devez utiliser un point de terminaison d'interface qui est disponible moyennant des frais supplémentaires. Pour plus d'informations, consultez la section Types de VPC points de terminaison pour Amazon S3 dans le guide de l'utilisateur d'Amazon S3.
Table des matières
Considérations
-
Le point de terminaison de passerelle est disponible uniquement dans la Région où vous l'avez créé. Veillez à créer votre point de terminaison de passerelle dans la même Région que vos compartiments S3.
-
Si vous utilisez les DNS serveurs Amazon, vous devez activer à la fois les DNSnoms d'hôte et DNS la résolution pour votreVPC. Si vous utilisez votre propre DNS serveur, assurez-vous que les demandes adressées à Amazon S3 sont correctement résolues vers les adresses IP gérées par AWS.
-
Les règles des groupes de sécurité pour les instances qui accèdent à Amazon S3 par le point de terminaison de passerelle doivent autoriser le trafic en provenance et à destination d’Amazon S3. Vous pouvez faire référence à l'ID de la liste de préfixes pour Amazon S3 dans les règles du groupe de sécurité.
-
Le réseau du sous-réseau ACL de vos instances qui accèdent à Amazon S3 via un point de terminaison de passerelle doit autoriser le trafic à destination et en provenance d'Amazon S3. Vous ne pouvez pas faire référence à des listes de préfixes dans ACL les règles du réseau, mais vous pouvez obtenir la plage d'adresses IP d'Amazon S3 à partir de la liste de préfixes d'Amazon S3.
-
Vérifiez si vous utilisez un système Service AWS qui nécessite l'accès à un compartiment S3. Par exemple, un service peut nécessiter l'accès à des compartiments contenant des fichiers journaux ou vous obliger à télécharger des pilotes ou des agents sur vos EC2 instances. Si tel est le cas, assurez-vous que votre politique de point de terminaison autorise la ressource Service AWS or à accéder à ces compartiments à l'aide de l'
s3:GetObjectaction. -
Vous ne pouvez pas utiliser
aws:SourceIpcette condition dans une politique d'identité ou une politique de compartiment pour les demandes adressées à Amazon S3 qui transitent par un point de VPC terminaison. Utilisez à la place la conditionaws:VpcSourceIp. Vous pouvez également utiliser des tables de routage pour contrôler quelles EC2 instances peuvent accéder à Amazon S3 via le VPC point de terminaison. -
Les points de terminaison de la passerelle prennent en charge uniquement IPv4 le trafic.
-
Les IPv4 adresses source des instances de vos sous-réseaux concernés telles que reçues par Amazon S3 passent d'IPv4adresses publiques à des IPv4 adresses privées dans votreVPC. Un point de terminaison change de route réseau et déconnecte TCP les connexions ouvertes. Les connexions précédentes qui utilisaient des IPv4 adresses publiques ne sont pas reprises. Nous vous recommandons de ne pas avoir de tâches importantes en cours d'exécution lorsque vous créez ou modifiez un point de terminaison ou de réaliser un test pour vous assurer que votre logiciel puisse automatiquement se reconnecter à Amazon S3 ; après l'interruption de la connexion.
-
Les connexions aux terminaux ne peuvent pas être étendues à partir d'unVPC. Les ressources situées de l'autre côté d'une VPN connexion, d'une connexion d'VPCappairage, d'une passerelle de transit ou d'une AWS Direct Connect connexion de votre part VPC ne peuvent pas utiliser un point de terminaison de passerelle pour communiquer avec Amazon S3.
-
Votre compte dispose d'un quota par défaut de 20 points de terminaison de passerelle par Région, qui est réglable. Il existe également une limite de 255 points de terminaison de passerelle par. VPC
Privé DNS
Vous pouvez configurer le mode privé DNS pour optimiser les coûts lorsque vous créez à la fois un point de terminaison de passerelle et un point de terminaison d'interface pour Amazon S3.
Route 53 Resolver
Amazon fournit un DNS serveur, appelé Route 53 Resolver, pour votreVPC. Le résolveur Route 53 résout automatiquement les noms de VPC domaine locaux et les enregistrements dans les zones hébergées privées. Cependant, vous ne pouvez pas utiliser le résolveur Route 53 depuis l'extérieur de votreVPC. Route 53 fournit des points de terminaison et des règles de résolution afin que vous puissiez utiliser le résolveur Route 53 depuis l'extérieur de votre. VPC Un point de terminaison de résolution entrant transmet les DNS requêtes du réseau local à Route 53 Resolver. Un point de terminaison sortant du résolveur transmet les DNS requêtes du résolveur Route 53 au réseau local.
Lorsque vous configurez le point de terminaison de votre interface pour qu'Amazon S3 utilise le mode privé DNS uniquement pour le point de terminaison de résolution entrant, nous créons un point de terminaison de résolution entrant. Le point de terminaison du résolveur entrant résout les DNS requêtes adressées à Amazon S3 depuis le site vers les adresses IP privées du point de terminaison de l'interface. Nous ajoutons également ALIAS des enregistrements pour le résolveur Route 53 à la zone hébergée publique d'Amazon S3, afin que les DNS requêtes provenant de votre VPC résolution soient envoyées aux adresses IP publiques Amazon S3, qui acheminent le trafic vers le point de terminaison de la passerelle.
Privé DNS
Si vous configurez le mode privé DNS pour le point de terminaison de votre interface pour Amazon S3, mais que vous ne configurez pas le mode privé DNS uniquement pour le point de terminaison entrant du résolveur, les demandes provenant de votre réseau local et de vous-même VPC utilisent le point de terminaison d'interface pour accéder à Amazon S3. Par conséquent, vous payez pour utiliser le point de terminaison de l'interface pour le trafic provenant duVPC, au lieu d'utiliser le point de terminaison de la passerelle sans frais supplémentaires.
Privé DNS uniquement pour le point de terminaison entrant du résolveur
Si vous configurez le mode privé DNS uniquement pour le point de terminaison entrant du résolveur, les demandes provenant de votre réseau local utilisent le point de terminaison de l'interface pour accéder à Amazon S3, et les demandes provenant de vous VPC utilisent le point de terminaison de passerelle pour accéder à Amazon S3. Par conséquent, vous optimisez vos coûts, car vous payez pour utiliser le point de terminaison d'interface uniquement pour le trafic qui ne peut pas utiliser le point de terminaison de passerelle.
Configurer le mode privé DNS
Vous pouvez configurer le mode privé DNS pour un point de terminaison d'interface pour Amazon S3 lorsque vous le créez ou après l'avoir créé. Pour plus d'informations, veuillez consulter Création d'un point de terminaison VPC (configurer pendant la création) ou Activation de noms DNS privés (configurer après la création).
Créer un point de terminaison de passerelle
Utilisez la procédure suivante pour créer un point de terminaison de passerelle qui se connecte à Amazon S3.
Pour créer un point de terminaison de passerelle à l'aide de la console
Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/
. -
Dans le panneau de navigation, choisissez Points de terminaison.
-
Choisissez Créer un point de terminaison.
-
Pour Service category (Catégorie de service), choisissez Services AWS.
-
Pour les services, ajoutez le filtre Type = Gateway et sélectionnez com.amazonaws.
region.s3. -
Pour VPC, sélectionnez le point de terminaison VPC dans lequel vous souhaitez créer le point de terminaison.
-
Pour Configure route tables (Configurer les tables de routage), sélectionnez les tables de routage qui seront utilisées par le point de terminaison. Nous ajoutons automatiquement un itinéraire qui dirige le trafic destiné au service vers l'interface réseau de point de terminaison.
-
Pour Policy, sélectionnez Accès complet pour autoriser toutes les opérations effectuées par tous les principaux sur toutes les ressources du VPC point de terminaison. Sinon, sélectionnez Personnalisé pour associer une politique de point de VPC terminaison qui contrôle les autorisations dont disposent les principaux pour effectuer des actions sur les ressources via le VPC point de terminaison.
-
(Facultatif) Pour ajouter une identification, choisissez Add new tag (Ajouter une identification) et saisissez la clé et la valeur de l’identification.
-
Choisissez Créer un point de terminaison.
Pour créer un point de terminaison de passerelle à l'aide de la ligne de commande
-
create-vpc-endpoint (AWS CLI)
-
New-EC2VpcEndpoint(Outils pour Windows PowerShell)
Contrôle de l'accès à l'aide de politiques de compartiment
Vous pouvez utiliser des politiques de compartiment pour contrôler l'accès aux compartiments à partir de points de terminaison spécifiquesVPCs, de plages d'adresses IP et. Comptes AWS Ces exemples supposent qu'il existe également des déclarations de politique générale qui autorisent l'accès requis pour vos cas d'utilisation.
Exemple : restriction de l'accès à un point de terminaison spécifique
Vous pouvez créer une politique de compartiment qui restreint l'accès à un point de terminaison spécifique à l'aide de la clé de sourceVpce condition aws :. La politique suivante refuse l'accès au compartiment spécifié à l'aide des actions spécifiées à moins que le point de terminaison de passerelle spécifié ne soit utilisé. Notez que cette politique bloque l'accès au compartiment spécifié à l'aide des actions spécifiées via la AWS Management Console.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow-access-to-specific-VPCE", "Effect": "Deny", "Principal": "*", "Action": ["s3:PutObject", "s3:GetObject", "s3:DeleteObject"], "Resource": ["arn:aws:s3:::bucket_name", "arn:aws:s3:::bucket_name/*"], "Condition": { "StringNotEquals": { "aws:sourceVpce": "vpce-1a2b3c4d" } } } ] }
Exemple : Restreindre l'accès à un domaine spécifique VPC
Vous pouvez créer une politique de compartiment qui restreint l'accès à des informations spécifiques à l'aide VPCs de la clé de sourceVpc condition aws :. Cela est utile si plusieurs points de terminaison sont configurés simultanémentVPC. La politique suivante refuse l'accès au compartiment spécifié en utilisant les actions spécifiées, sauf si la demande provient du compartiment spécifiéVPC. Notez que cette politique bloque l'accès au compartiment spécifié à l'aide des actions spécifiées via la AWS Management Console.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow-access-to-specific-VPC", "Effect": "Deny", "Principal": "*", "Action": ["s3:PutObject", "s3:GetObject", "s3:DeleteObject"], "Resource": ["arn:aws:s3:::example_bucket", "arn:aws:s3:::example_bucket/*"], "Condition": { "StringNotEquals": { "aws:sourceVpc": "vpc-111bbb22" } } } ] }
Exemple : restriction de l'accès à une plage d'adresses IP spécifique
Vous pouvez créer une politique qui restreint l'accès à des plages d'adresses IP spécifiques à l'aide de la clé de VpcSourceIp condition aws :. La politique suivante refuse l'accès au compartiment spécifié à l'aide des actions spécifiées à moins que la demande ne provienne de l'adresse IP spécifiée. Notez que cette politique bloque l'accès au compartiment spécifié à l'aide des actions spécifiées via la AWS Management Console.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow-access-to-specific-VPC-CIDR", "Effect": "Deny", "Principal": "*", "Action": ["s3:PutObject", "s3:GetObject", "s3:DeleteObject"], "Resource": ["arn:aws:s3:::bucket_name", "arn:aws:s3:::bucket_name/*"], "Condition": { "NotIpAddress": { "aws:VpcSourceIp": "172.31.0.0/16" } } } ] }
Exemple : restreindre l'accès aux compartiments d'un domaine spécifique Compte AWS
Vous pouvez créer une politique qui restreint l'accès aux compartiments S3 dans un Compte AWS spécifique en utilisant la clé de condition s3:ResourceAccount. La politique suivante refuse l'accès aux compartiments S3 à l'aide des actions spécifiées à moins qu'ils ne proviennent du Compte AWS spécifié.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow-access-to-bucket-in-specific-account", "Effect": "Deny", "Principal": "*", "Action": ["s3:GetObject", "s3:PutObject", "s3:DeleteObject"], "Resource": "arn:aws:s3:::*", "Condition": { "StringNotEquals": { "s3:ResourceAccount": "111122223333" } } } ] }
Association de tables de routage
Vous pouvez modifier les tables de routage qui sont associées au point de terminaison de passerelle. Lorsque vous associez une table de routage, nous ajoutons automatiquement un itinéraire qui dirige le trafic destiné au service vers l'interface réseau du point de terminaison. Lorsque vous dissociez une table de routage, nous supprimons automatiquement le point de terminaison de la table de routage.
Pour associer des tables de routage à l'aide de la console
Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/
. -
Dans le panneau de navigation, choisissez Points de terminaison.
-
Sélectionnez le point de terminaison de passerelle.
-
Choisissez Actions, Gérer les tables de routage.
-
Sélectionnez ou désélectionnez les tables de routage si nécessaire.
-
Choisissez Modify route tables (Modifier les tables de routage).
Pour associer des tables de routage à l'aide de la ligne de commande
-
modify-vpc-endpoint (AWS CLI)
-
Edit-EC2VpcEndpoint(Outils pour Windows PowerShell)
Modifier la politique du VPC point de terminaison
Vous pouvez modifier la politique de point de terminaison d'un point de terminaison de passerelle, qui contrôle l'accès à Amazon S3 depuis le VPC point de terminaison. La politique par défaut permet un accès complet. Pour de plus amples informations, veuillez consulter Politiques de point de terminaison.
Pour modifier la politique de point de terminaison à l'aide de la console
Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/
. -
Dans le panneau de navigation, choisissez Points de terminaison.
-
Sélectionnez le point de terminaison de passerelle.
-
Choisissez Actions, Manage policy (Gérer la politique).
-
Choisissez Full Access (Accès complet) pour autoriser un accès complet au service, ou choisissez Custom (Personnalisé) et joignez une politique personnalisée.
-
Choisissez Save (Enregistrer).
Voici des exemples de stratégies point de terminaison pour accéder à Amazon S3.
Exemple : restriction de l'accès à un compartiment spécifique
Vous pouvez créer une stratégie qui restreint l'accès uniquement à des compartiments S3 spécifiques. Ceci est utile si vous Services AWS en avez d'autres VPC qui utilisent des compartiments S3.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow-access-to-specific-bucket", "Effect": "Allow", "Principal": "*", "Action": [ "s3:ListBucket", "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucket_name", "arn:aws:s3:::bucket_name/*" ] } ] }
Exemple : restreindre l'accès à un IAM rôle spécifique
Vous pouvez créer une politique qui restreint l'accès à un IAM rôle spécifique. Vous devez utiliser aws:PrincipalArn pour accorder l'accès à un principal.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow-access-to-specific-IAM-role", "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "ArnEquals": { "aws:PrincipalArn": "arn:aws:iam::111122223333:role/role_name" } } } ] }
Exemple : restriction de l'accès aux utilisateurs dans un compte spécifique
Vous pouvez créer une politique qui restreint l'accès à un compte spécifique.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow-callers-from-specific-account", "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalAccount": "111122223333" } } } ] }
Suppression d'un point de terminaison de passerelle
Lorsque vous avez terminé avec un point de terminaison de passerelle, vous pouvez le supprimer. Lorsque vous supprimez un point de terminaison de passerelle, nous supprimons l'itinéraire du point de terminaison des tables de routage du sous-réseau.
Vous ne pouvez pas supprimer un point de terminaison de passerelle si le mode privé DNS est activé.
Pour supprimer un point de terminaison de passerelle à l'aide de la console
Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/
. -
Dans le panneau de navigation, choisissez Points de terminaison.
-
Sélectionnez le point de terminaison de passerelle.
-
Choisissez Actions, Supprimer les VPC points de terminaison.
-
À l’invite de confirmation, saisissez
delete. -
Sélectionnez Delete (Supprimer).
Pour supprimer un point de terminaison de passerelle à l'aide de la ligne de commande
-
delete-vpc-endpoints (AWS CLI)
-
Remove-EC2VpcEndpoint(Outils pour Windows PowerShell)
