Mengontrol akses dari VPC titik akhir dengan kebijakan bucket - Amazon Simple Storage Service
Membatasi akses ke titik akhir tertentu VPCMembatasi akses ke yang spesifik VPC

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengontrol akses dari VPC titik akhir dengan kebijakan bucket

Anda dapat menggunakan kebijakan bucket Amazon S3 untuk mengontrol akses ke bucket dari titik akhir virtual private cloud (VPC) tertentu atau spesifik. VPCs Bagian ini berisi contoh kebijakan bucket yang dapat Anda gunakan untuk mengontrol akses bucket Amazon S3 dari VPC titik akhir. Untuk mempelajari cara mengatur VPC titik akhir, lihat VPCTitik Akhir di VPCPanduan Pengguna.

A VPC memungkinkan Anda untuk meluncurkan AWS sumber daya ke jaringan virtual yang Anda tentukan. VPCEndpoint memungkinkan Anda untuk membuat koneksi pribadi antara Anda VPC dan yang lain Layanan AWS. Koneksi pribadi ini tidak memerlukan akses melalui internet, melalui koneksi jaringan pribadi virtual (VPN), melalui NAT instance, atau melalui AWS Direct Connect.

VPCTitik akhir untuk Amazon S3 adalah entitas logis dalam VPC a yang memungkinkan konektivitas hanya ke Amazon S3. VPCTitik akhir merutekan permintaan ke Amazon S3 dan merutekan respons kembali ke file. VPC VPCtitik akhir hanya mengubah cara permintaan dirutekan. Titik akhir dan DNS nama publik Amazon S3 akan terus bekerja dengan titik akhir. VPC Untuk informasi penting tentang penggunaan VPC titik akhir dengan Amazon S3, lihat titik akhir Gateway dan titik akhir Gateway untuk Amazon S3 di Panduan Pengguna. VPC

VPCtitik akhir untuk Amazon S3 menyediakan dua cara untuk mengontrol akses ke data Amazon S3 Anda:

  • Anda dapat mengontrol permintaan, pengguna, atau grup yang diizinkan melalui VPC titik akhir tertentu. Untuk informasi tentang jenis kontrol akses ini, lihat Mengontrol akses ke VPC titik akhir menggunakan kebijakan titik akhir di VPCPanduan Pengguna.

  • Anda dapat mengontrol VPC titik akhir VPCs atau titik akhir yang memiliki akses ke bucket Anda dengan menggunakan kebijakan bucket Amazon S3. Untuk contoh jenis kontrol akses kebijakan bucket seperti ini, lihat topik-topik yang membahas tentang pembatasan akses.

penting

Saat menerapkan kebijakan bucket Amazon S3 untuk VPC titik akhir yang dijelaskan di bagian ini, Anda dapat memblokir akses ke bucket secara tidak sengaja. Izin bucket yang dimaksudkan untuk secara khusus membatasi akses bucket ke koneksi yang berasal dari VPC titik akhir Anda dapat memblokir semua koneksi ke bucket. Untuk informasi tentang cara memperbaiki masalah ini, lihat Bagaimana cara memperbaiki kebijakan bucket saya jika memiliki ID yang salah VPC atau VPC endpoint? di pusat AWS Support pengetahuan.

Membatasi akses ke titik akhir tertentu VPC

Berikut ini adalah contoh kebijakan bucket Amazon S3 yang membatasi akses ke bucket tertentuawsexamplebucket1, hanya dari VPC titik akhir dengan ID. vpce-1a2b3c4d Jika titik akhir yang ditentukan tidak digunakan, kebijakan menolak semua akses ke bucket. aws:SourceVpceKondisi menentukan titik akhir. aws:SourceVpceKondisi ini tidak memerlukan Amazon Resource Name (ARN) untuk sumber daya VPC endpoint, hanya ID VPC endpoint. Untuk informasi lebih lanjut tentang penggunaan kondisi dalam kebijakan, lihat Contoh kebijakan bucket menggunakan tombol kondisi.

penting

  • Sebelum menggunakan contoh kebijakan berikut, ganti ID VPC endpoint dengan nilai yang sesuai untuk kasus penggunaan Anda. Jika tidak, Anda tidak akan dapat mengakses bucket Anda.

  • Kebijakan ini menonaktifkan akses konsol ke bucket yang ditentukan karena permintaan konsol tidak berasal dari titik akhir yang ditentukanVPC.

{
   "Version": "2012-10-17",
   "Id": "Policy1415115909152",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPCE-only",
       "Principal": "*",
       "Action": "s3:*",
       "Effect": "Deny",
       "Resource": ["arn:aws:s3:::awsexamplebucket1",
                    "arn:aws:s3:::awsexamplebucket1/*"],
       "Condition": {
         "StringNotEquals": {
           "aws:SourceVpce": "vpce-1a2b3c4d"
         }
       }
     }
   ]
}

Membatasi akses ke yang spesifik VPC

Anda dapat membuat kebijakan bucket yang membatasi akses ke spesifik VPC dengan menggunakan aws:SourceVpc kondisi tersebut. Ini berguna jika Anda memiliki beberapa VPC titik akhir yang dikonfigurasi secara samaVPC, dan Anda ingin mengelola akses ke bucket Amazon S3 untuk semua titik akhir Anda. Berikut ini adalah contoh kebijakan yang menolak akses ke awsexamplebucket1 dan objeknya dari siapa pun di luar VPCvpc-111bbb22. Jika yang ditentukan VPC tidak digunakan, kebijakan menolak semua akses ke bucket. Pernyataan ini tidak memberikan akses ke bucket. Untuk memberikan akses, Anda harus menambahkan Allow pernyataan terpisah. Kunci vpc-111bbb22 kondisi tidak memerlukan sumber ARN VPC daya, hanya VPC ID.

penting

  • Sebelum menggunakan contoh kebijakan berikut, ganti VPC ID dengan nilai yang sesuai untuk kasus penggunaan Anda. Jika tidak, Anda tidak akan dapat mengakses bucket Anda.

  • Kebijakan ini menonaktifkan akses konsol ke bucket yang ditentukan karena permintaan konsol tidak berasal dari yang ditentukan. VPC

{
   "Version": "2012-10-17",
   "Id": "Policy1415115909153",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPC-only",
       "Principal": "*",
       "Action": "s3:*",
       "Effect": "Deny",
       "Resource": ["arn:aws:s3:::awsexamplebucket1",
                    "arn:aws:s3:::awsexamplebucket1/*"],
       "Condition": {
         "StringNotEquals": {
           "aws:SourceVpc": "vpc-111bbb22"
         }
       }
     }
   ]
}