Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Membuat titik akses terbatas pada cloud privat virtual
Saat membuat titik akses, Anda dapat memilih untuk membuat titik akses dapat diakses dari internet, atau Anda dapat menentukan bahwa semua permintaan yang dibuat melalui titik akses tersebut harus berasal dari cloud privat virtual (VPC) tertentu. Titik akses yang dapat diakses dari internet dikatakan memiliki asal jaringan dari Internet. Ini dapat digunakan dari mana saja di internet, dengan tunduk pada pembatasan akses lainnya yang berlaku untuk titik akses, bucket yang mendasarinya, dan sumber daya terkait, seperti objek yang diminta. Titik akses yang hanya dapat diakses dari VPC yang ditentukan memiliki asal jaringan VPC, dan Amazon S3 akan menolak permintaan apa pun yang diajukan ke titik akses yang tidak berasal dari VPC tersebut.
penting
Anda hanya dapat menentukan asal jaringan titik akses saat membuat titik akses. Setelah membuat titik akses, Anda tidak dapat mengubah asal jaringannya.
Untuk membatasi titik akses ke akses kustom VPC, Anda harus menyertakan parameter VpcConfiguration dengan permintaan untuk membuat titik akses. Dalam parameter VpcConfiguration, Anda menentukan ID VPC yang ingin Anda bisa gunakan titik aksesnya. Jika permintaan dibuat melalui titik akses, permintaan harus berasal dari VPC atau Amazon S3 akan menolaknya.
Anda dapat mengambil asal jaringan titik akses menggunakan AWS CLI, AWS SDKs, atau REST APIs. Jika titik akses memiliki konfigurasi VPC yang ditentukan, asal jaringannya adalah VPC. Jika tidak, asal jaringan titik aksesnya adalah Internet.
Contoh: Membuat titik akses yang dibatasi untuk akses VPC
Contoh berikut membuat titik akses yang bernama example-vpc-ap untuk bucket amzn-s3-demo-bucket123456789012 yang mengizinkan akses hanya dari VPC vpc-1a2b3c. Contoh tersebut kemudian memverifikasi bahwa titik akses yang baru memiliki asal jaringan VPC.
Untuk menggunakan titik akses dengan VPC, Anda harus mengubah kebijakan akses untuk titik akhir VPC Anda. Titik akhir VPC memungkinkan lalu lintas mengalir dari VPC Anda ke Amazon S3. Kebijakan kontrol akses yang mengontrol bagaimana sumber daya dalam VPC diizinkan untuk berinteraksi dengan Amazon S3. Permintaan dari VPC ke Amazon S3 hanya berhasil melalui titik akses jika kebijakan titik akhir VPC memberikan akses ke titik akses dan bucket yang mendasarinya.
catatan
Agar sumber daya hanya dapat diakses dalam VPC, pastikan untuk membuat zona yang di-hosting pribadi untuk titik akhir VPC Anda. Untuk menggunakan zona yang di-hosting pribadi, modifikasi pengaturan VPC Anda sehingga atribut jaringan VPC enableDnsHostnames dan enableDnsSupport diatur ke true.
Contoh pernyataan kebijakan berikut ini mengonfigurasi titik akhir VPC untuk mengizinkan panggilan ke GetObject untuk bucket bernama awsexamplebucket1 dan titik akses bernama example-vpc-ap.
{ "Version": "2012-10-17", "Statement": [ { "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::awsexamplebucket1/*", "arn:aws:s3:us-west-2:123456789012:accesspoint/example-vpc-ap/object/*" ] }] }
catatan
Pernyataan "Resource" di dalam contoh ini menggunakan Amazon Resource Name (ARN) untuk menentukan titik akses. Untuk informasi selengkapnya tentang titik akses ARNs, lihatMenggunakan titik akses Amazon S3.
Untuk informasi selengkapnya tentang kebijakan titik akhir VPC, lihat Menggunakan kebijakan titik akhir untuk Amazon S3 dalam Panduan Pengguna Amazon VPC.
Untuk tutorial tentang membuat titik akses dengan titik akhir VPC, lihat Mengelola akses Amazon S3 dengan titik akhir dan titik akses VPC
