Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS PrivateLink untuk Amazon S3
Dengan AWS PrivateLink Amazon S3, Anda dapat menyediakan VPCtitik akhir antarmuka (titik akhir antarmuka) di cloud pribadi virtual Anda (). VPC Titik akhir ini dapat diakses langsung dari aplikasi yang ada di tempat di atas VPN dan AWS Direct Connect, atau di Wilayah AWS atas VPC peering yang berbeda.
Endpoint antarmuka diwakili oleh satu atau lebih antarmuka jaringan elastis (ENIs) yang diberi alamat IP pribadi dari subnet di Anda. VPC Permintaan ke Amazon S3 melalui titik akhir antarmuka tetap berada di jaringan Amazon. Anda juga dapat mengakses titik akhir antarmuka VPC dari aplikasi lokal melalui AWS Direct Connect atau AWS Virtual Private Network ()AWS VPN. Untuk informasi selengkapnya tentang cara menghubungkan Anda VPC dengan jaringan lokal, lihat Panduan AWS Direct Connect Pengguna dan Panduan AWS Site-to-Site VPN Pengguna.
Untuk informasi umum tentang titik akhir antarmuka, lihat VPCTitik akhir antarmuka (AWS PrivateLink) di Panduan.AWS PrivateLink
Topik
- Jenis VPC titik akhir untuk Amazon S3
- Pembatasan dan batasan AWS PrivateLink untuk Amazon S3
- Membuat titik VPC akhir
- Mengakses titik akhir antarmuka Amazon S3
- Pribadi DNS
- Mengakses bucket, titik akses, dan operasi API Kontrol Amazon S3 dari titik akhir antarmuka S3
- Memperbarui konfigurasi lokal DNS
- Membuat kebijakan VPC titik akhir untuk Amazon S3
Jenis VPC titik akhir untuk Amazon S3
Anda dapat menggunakan dua jenis VPC titik akhir untuk mengakses Amazon S3: titik akhir gateway dan titik akhir antarmuka (dengan menggunakan). AWS PrivateLinkTitik akhir gateway adalah gateway yang Anda tentukan dalam tabel rute untuk mengakses Amazon S3 dari jaringan VPC Anda melalui AWS jaringan. Endpoint antarmuka memperluas fungsionalitas titik akhir gateway dengan menggunakan alamat IP pribadi untuk merutekan permintaan ke Amazon S3 dari dalam VPC Anda, di tempat, atau dari VPC yang Wilayah AWS lain dengan VPC menggunakan peering atau. AWS Transit Gateway Untuk informasi lebih lanjut, lihat Apa itu VPC mengintip? dan Transit Gateway vs VPC mengintip.
Titik akhir antarmuka kompatibel dengan titik akhir gateway. Jika Anda memiliki titik akhir gateway yang ada diVPC, Anda dapat menggunakan kedua jenis titik akhir yang sama. VPC
Titik akhir gateway untuk Amazon S3 |
Titik akhir antarmuka untuk Amazon S3 |
---|---|
Dalam kedua kasus, lalu lintas jaringan Anda tetap berada di AWS jaringan. |
|
Gunakan alamat IP publik Amazon S3 |
Gunakan alamat IP pribadi dari Anda VPC untuk mengakses Amazon S3 |
Gunakan nama Amazon DNS S3 yang sama |
|
Jangan izinkan mengakses dari on-premise |
Izinkan mengakses dari on-premise |
Jangan izinkan akses dari yang lain Wilayah AWS |
Izinkan akses dari VPC yang lain Wilayah AWS dengan menggunakan VPC peering atau AWS Transit Gateway |
Tidak ditagih |
Ditagih |
Untuk informasi selengkapnya tentang titik akhir gateway, lihat VPCtitik akhir Gateway di Panduan.AWS PrivateLink
Pembatasan dan batasan AWS PrivateLink untuk Amazon S3
VPCbatasan berlaku AWS PrivateLink untuk Amazon S3. Untuk informasi selengkapnya, lihat Pertimbangan antarmuka titik akhir dan AWS PrivateLink kuota dalam AWS PrivateLink Panduan. Selain itu, larangan berikut juga berlaku.
AWS PrivateLink untuk Amazon S3 tidak mendukung yang berikut:
-
Menggunakan CopyObject atau UploadPartCopyantara ember di berbeda Wilayah AWS
-
Keamanan Lapisan Transportasi (TLS) 1.1
Membuat titik VPC akhir
Untuk membuat titik akhir VPC antarmuka, lihat Membuat VPC titik akhir di Panduan.AWS PrivateLink
Mengakses titik akhir antarmuka Amazon S3
Saat Anda membuat titik akhir antarmuka, Amazon S3 menghasilkan dua jenis nama S3 khusus titik akhir: Regional dan zonaDNS.
-
DNSNama Regional mencakup ID VPC titik akhir yang unik, pengenal layanan Wilayah AWS, dan
vpce.amazonaws.com
namanya. Misalnya, untuk ID VPC titik akhir
, DNS nama yang dihasilkan mungkin miripvpce-1a2b3c4d
dengan.vpce-1a2b3c4d-5e6f
.s3.us-east-1.vpce.amazonaws.com -
DNSNama Zonal mencakup Availability Zone—misalnya,.
Anda dapat menggunakan opsi ini jika arsitektur Anda mengisolasi Zona Ketersediaan. Contoh, Anda bisa menggunakannya untuk kontainer kesalahan atau untuk mengurangi biaya transfer data Regional.vpce-1a2b3c4d-5e6f
-us-east-1a.s3.us-east-1.vpce.amazonaws.com
DNSNama S3 khusus titik akhir dapat diselesaikan dari domain publik S3. DNS
Pribadi DNS
DNSOpsi pribadi untuk titik akhir VPC antarmuka menyederhanakan perutean lalu lintas S3 melalui VPC titik akhir dan membantu Anda memanfaatkan jalur jaringan dengan biaya terendah yang tersedia untuk aplikasi Anda. Anda dapat menggunakan DNS opsi pribadi untuk merutekan lalu lintas Regional S3 tanpa memperbarui klien S3 Anda untuk menggunakan DNS nama spesifik titik akhir dari titik akhir antarmuka Anda, atau mengelola infrastruktur. DNS Dengan mengaktifkan DNS nama pribadi, DNS kueri Regional S3 diselesaikan ke alamat IP pribadi AWS PrivateLink untuk titik akhir berikut:
-
Titik akhir bucket regional (misalnya,
s3.us-east-1.amazonaws.com
) -
Kontrol titik akhir (misalnya,
s3-control.us-east-1.amazonaws.com
) -
Titik akhir titik akses (misalnya,
s3-accesspoint.us-east-1.amazonaws.com
)
AWS PrivateLink untuk Amazon S3 tidak mendukung Menggunakan titik akhir tumpukan ganda Amazon S3. Jika Anda menggunakan nama dual-stack S3 sebagai DNS DNS nama pribadi, IPv6 lalu lintas Anda akan dihapus atau, jika cloud pribadi virtual Anda (VPC) memiliki gateway internet, IPv6 lalu lintas Anda akan diarahkan melalui gateway internet di Anda. VPC
Jika Anda memiliki titik akhir gateway di dalamVPC, Anda dapat secara otomatis merutekan VPC permintaan masuk ke titik akhir gateway S3 yang ada dan permintaan lokal melalui titik akhir antarmuka Anda. Pendekatan ini memungkinkan Anda untuk mengoptimalkan biaya jaringan Anda dengan menggunakan titik akhir gateway, yang tidak ditagih, untuk lalu lintas masuk Anda. VPC Aplikasi lokal Anda dapat digunakan AWS PrivateLink dengan bantuan titik akhir Resolver masuk. Amazon menyediakan DNS server, yang disebut Route 53 Resolver, untuk Anda. VPC Titik akhir Resolver masuk meneruskan DNS kueri dari jaringan lokal ke Resolver Route 53.
penting
Untuk memanfaatkan jalur jaringan dengan biaya terendah saat menggunakan Aktifkan pribadi DNS hanya untuk titik akhir masuk, titik akhir gateway harus ada di Anda. VPC Kehadiran titik akhir gateway membantu memastikan bahwa VPC lalu lintas masuk selalu merutekan melalui jaringan AWS pribadi saat opsi Aktifkan DNS hanya pribadi untuk titik akhir masuk dipilih. Anda harus mempertahankan titik akhir gateway ini sementara Anda memiliki opsi Aktifkan DNS hanya pribadi untuk titik akhir masuk yang dipilih. Jika Anda ingin menghapus titik akhir gateway Anda, Anda harus terlebih dahulu menghapus Aktifkan pribadi DNS hanya untuk titik akhir masuk.
Jika Anda ingin memperbarui titik akhir antarmuka yang ada ke Aktifkan pribadi DNS hanya untuk titik akhir masuk, konfirmasikan terlebih dahulu bahwa Anda VPC memiliki titik akhir gateway S3. Untuk informasi selengkapnya tentang titik akhir gateway dan mengelola DNS nama pribadi, lihat VPCtitik akhir Gateway dan Kelola DNS nama masing-masing dalam Panduan.AWS PrivateLink
Opsi Aktifkan DNS hanya pribadi untuk titik akhir masuk hanya tersedia untuk layanan yang mendukung titik akhir gateway.
Untuk informasi selengkapnya tentang membuat VPC titik akhir yang menggunakan Aktifkan pribadi DNS hanya untuk titik akhir masuk, lihat Membuat titik akhir antarmuka di Panduan.AWS PrivateLink
Menggunakan VPC konsol
Di konsol Anda memiliki dua opsi: Aktifkan DNS nama dan Aktifkan pribadi DNS hanya untuk titik akhir masuk. Aktifkan DNS nama adalah opsi yang didukung oleh AWS PrivateLink. Dengan menggunakan opsi Aktifkan DNS nama, Anda dapat menggunakan konektivitas pribadi Amazon ke Amazon S3, sambil membuat permintaan ke nama titik akhir DNS publik default. Ketika opsi ini diaktifkan, pelanggan dapat memanfaatkan jalur jaringan biaya terendah yang tersedia untuk aplikasi mereka.
Saat Anda mengaktifkan DNS nama pribadi pada titik akhir VPC antarmuka yang ada atau yang baru untuk Amazon S3, opsi Aktifkan hanya DNS pribadi untuk titik akhir masuk dipilih secara default. Jika opsi ini dipilih, aplikasi Anda hanya menggunakan titik akhir antarmuka untuk lalu lintas on-premise Anda. VPCLalu lintas masuk ini secara otomatis menggunakan titik akhir gateway berbiaya rendah. Atau, Anda dapat menghapus Aktifkan pribadi DNS hanya untuk titik akhir masuk untuk merutekan semua permintaan S3 melalui titik akhir antarmuka Anda.
Menggunakan AWS CLI
Jika Anda tidak menentukan nilai untuk PrivateDnsOnlyForInboundResolverEndpoint
, itu akan secara default diatur ke true
. Namun, sebelum Anda VPC menerapkan pengaturan Anda, ia melakukan pemeriksaan untuk memastikan bahwa Anda memiliki titik akhir gateway yang ada diVPC. Jika titik akhir gateway hadir diVPC, panggilan berhasil. Jika tidak, Anda akan melihat pesan kesalahan berikut ini:
Untuk disetel PrivateDnsOnlyForInboundResolverEndpoint ke true, VPC
vpce_id
harus memiliki titik akhir gateway untuk layanan tersebut.
Untuk titik akhir VPC Antarmuka baru
Gunakan dns-options
atribut private-dns-enabled
dan untuk mengaktifkan privat DNS melalui baris perintah. Opsi PrivateDnsOnlyForInboundResolverEndpoint
dalam atribut dns-options
harus diatur ke true
. Ganti
dengan informasi Anda sendiri.user input placeholders
aws ec2 create-vpc-endpoint \ --region
us-east-1
\ --service-names3-service-name
\ --vpc-idclient-vpc-id
\ --subnet-idsclient-subnet-id
\ --vpc-endpoint-type Interface \ --private-dns-enabled \ --ip-address-typeip-address-type
\ --dns-options PrivateDnsOnlyForInboundResolverEndpoint=true \ --security-group-idsclient-sg-id
Untuk titik VPC akhir yang ada
Jika Anda ingin menggunakan private DNS untuk VPC endpoint yang ada, gunakan perintah contoh berikut dan ganti
dengan informasi Anda sendiri.user input placeholders
aws ec2 modify-vpc-endpoint \ --region
us-east-1
\ --vpc-endpoint-idclient-vpc-id
\ --private-dns-enabled \ --dns-options PrivateDnsOnlyForInboundResolverEndpoint=false
Jika Anda ingin memperbarui VPC titik akhir yang ada untuk mengaktifkan privat DNS hanya untuk Inbound Resolver, gunakan contoh berikut dan ganti nilai sampel dengan milik Anda sendiri.
aws ec2 modify-vpc-endpoint \ --region
us-east-1
\ --vpc-endpoint-idclient-vpc-id
\ --private-dns-enabled \ --dns-options PrivateDnsOnlyForInboundResolverEndpoint=true
Mengakses bucket, titik akses, dan operasi API Kontrol Amazon S3 dari titik akhir antarmuka S3
Anda dapat menggunakan AWS CLI atau AWS SDKs untuk mengakses bucket, titik akses S3, dan operasi API Kontrol Amazon S3 melalui titik akhir antarmuka S3.
Gambar berikut menunjukkan tab Detail VPC konsol, tempat Anda dapat menemukan DNS nama VPC titik akhir. Dalam contoh ini, ID VPC endpoint (vpce-id) adalah vpce-0e25b8cdd720f900e
dan namanya adalah. DNS *.vpce-0e25b8cdd720f900e-argc85vg.s3.us-east-1.vpce.amazonaws.com
Saat menggunakan DNS nama untuk mengakses sumber daya, ganti *
dengan nilai yang sesuai. Nilai yang sesuai untuk digunakan sebagai pengganti *
adalah sebagai berikut:
-
bucket
-
accesspoint
-
control
Misalnya, untuk mengakses bucket, gunakan DNSnama seperti ini:
bucket.vpce-0e25b8cdd720f900e-argc85vg.s3.us-east-1.vpce.amazonaws.com
Untuk contoh cara menggunakan DNS nama untuk mengakses bucket, titik akses, dan operasi API Kontrol Amazon S3, lihat bagian AWS CLI contoh berikut dari dan. AWS SDKcontoh
Untuk informasi selengkapnya tentang cara melihat DNS nama spesifik titik akhir Anda, lihat Melihat konfigurasi DNS nama pribadi layanan titik akhir di Panduan Pengguna. VPC
AWS CLI contoh
Untuk mengakses bucket S3, titik akses S3, atau API operasi Kontrol Amazon S3 melalui titik akhir antarmuka S3 dalam AWS CLI perintah, gunakan parameter dan. --region
--endpoint-url
Contoh: Gunakan titik akhir URL untuk mencantumkan objek di bucket
Pada contoh berikut, ganti nama bucket
, Regionmy-bucket
, dan DNS nama ID VPC endpoint us-east-1
dengan informasi Anda sendiri.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com
aws s3 ls s3://
my-bucket
/ --regionus-east-1
--endpoint-url https://bucket.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com
Contoh: Gunakan endpoint URL untuk daftar objek dari titik akses
-
Metode 1 - Menggunakan Nama Sumber Daya Amazon (ARN) dari titik akses dengan titik akhir titik akses
Ganti ARN
, Wilayahus-east-1:123456789012:accesspoint/accesspointexamplename
, dan ID VPC endpointus-east-1
dengan informasi Anda sendiri.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com
aws s3api list-objects-v2 --bucket arn:aws:s3:
us-east-1:123456789012:accesspoint/accesspointexamplename
--regionus-east-1
--endpoint-url https://accesspoint.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com
Jika Anda tidak berhasil menjalankan perintah, perbarui AWS CLI ke versi terbaru dan coba lagi. Untuk informasi selengkapnya tentang petunjuk pemutsufiks, lihat Menginstal atau memperbarui versi terbaru AWS CLI dalam AWS Command Line Interface Panduan Pengguna.
-
Metode 2—Menggunakan alias titik akses dengan titik akhir bucket regional
Dalam contoh berikut, ganti alias access point
, Regionaccesspointexamplename-8tyekmigicmhun8n9kwpfur39dnw4use1a-s3alias
, dan VPC endpoint IDus-east-1
dengan informasi Anda sendiri.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com
aws s3api list-objects-v2 --bucket
accesspointexamplename-8tyekmigicmhun8n9kwpfur39dnw4use1a-s3alias
--regionus-east-1
--endpoint-url https://bucket.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com
-
Metode 3—Menggunakan alias titik akses dengan titik akhir titik akses
Pertama, untuk membuat titik akhir S3 dengan bucket yang disertakan sebagai bagian dari nama host, atur gaya pengalamatan
virtual
aws s3api
untuk digunakan. Untuk informasi selengkapnyaAWS configure
, lihat Pengaturan konfigurasi dan file kredensial di Panduan AWS Command Line Interface Pengguna.aws configure set default.s3.addressing_style virtual
Kemudian, dalam contoh berikut, ganti alias access point
, Regionaccesspointexamplename-8tyekmigicmhun8n9kwpfur39dnw4use1a-s3alias
, dan VPC endpoint IDus-east-1
dengan informasi Anda sendiri. Untuk informasi selengkapnya tentang alias titik akses, lihatMenggunakan alias gaya bucket untuk titik akses bucket S3 Anda.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com
aws s3api list-objects-v2 --bucket
accesspointexamplename-8tyekmigicmhun8n9kwpfur39dnw4use1a-s3alias
--regionus-east-1
--endpoint-url https://accesspoint.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com
Contoh: Gunakan endpoint URL untuk daftar pekerjaan dengan operasi kontrol S3 API
Dalam contoh berikut, ganti Region
, ID VPC endpointus-east-1
, dan ID akun vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com
dengan informasi Anda sendiri.12345678
aws s3control --region
us-east-1
--endpoint-url https://control.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com
list-jobs --account-id12345678
AWS SDKcontoh
Untuk mengakses bucket S3, titik akses S3, atau API operasi Kontrol Amazon S3 melalui titik akhir antarmuka S3 saat menggunakan AWS SDKs, perbarui ke versi terbaru. SDKs Kemudian konfigurasikan klien Anda untuk menggunakan titik akhir URL untuk mengakses bucket, access point, atau operasi Amazon S3 API Control melalui titik akhir antarmuka S3.
Memperbarui konfigurasi lokal DNS
Saat menggunakan DNS nama khusus titik akhir untuk mengakses titik akhir antarmuka Amazon S3, Anda tidak perlu memperbarui resolver lokal. DNS Anda dapat menyelesaikan DNS nama spesifik titik akhir dengan alamat IP pribadi titik akhir antarmuka dari domain Amazon S3 publik. DNS
Menggunakan titik akhir antarmuka untuk mengakses Amazon S3 tanpa titik akhir gateway atau gateway internet di VPC
Titik akhir antarmuka di Anda VPC dapat merutekan aplikasi dalam- dan VPC aplikasi lokal ke Amazon S3 melalui jaringan Amazon, seperti yang diilustrasikan dalam diagram berikut.
Diagram ini menggambarkan hal sebagai berikut:
-
Jaringan lokal Anda menggunakan AWS Direct Connect atau terhubung AWS VPN ke VPC A.
-
Aplikasi Anda lokal dan di VPC A menggunakan DNS nama khusus titik akhir untuk mengakses Amazon S3 melalui titik akhir antarmuka S3.
-
Aplikasi lokal mengirim data ke titik akhir antarmuka di VPC through AWS Direct Connect (atau AWS VPN). AWS PrivateLink memindahkan data dari titik akhir antarmuka ke Amazon S3 melalui AWS jaringan.
-
VPCAplikasi in- juga mengirim lalu lintas ke titik akhir antarmuka. AWS PrivateLink memindahkan data dari titik akhir antarmuka ke Amazon S3 melalui AWS jaringan.
Menggunakan titik akhir gateway dan titik akhir antarmuka bersama-sama dalam hal yang sama VPC untuk mengakses Amazon S3
Anda dapat membuat titik akhir antarmuka dan mempertahankan titik akhir gateway yang ada dalam hal yang samaVPC, seperti yang ditunjukkan diagram berikut. Dengan mengambil pendekatan ini, Anda mengizinkan VPC aplikasi masuk untuk terus mengakses Amazon S3 melalui titik akhir gateway, yang tidak ditagih. Kemudian, hanya aplikasi lokal Anda yang akan menggunakan titik akhir antarmuka untuk mengakses Amazon S3. Untuk mengakses Amazon S3 dengan cara ini, Anda harus memperbarui aplikasi lokal untuk menggunakan nama khusus titik akhir DNS untuk Amazon S3.
Diagram ini menggambarkan hal sebagai berikut:
-
Aplikasi lokal menggunakan DNS nama khusus titik akhir untuk mengirim data ke titik akhir antarmuka dalam through (or). VPC AWS Direct Connect AWS VPN AWS PrivateLink memindahkan data dari titik akhir antarmuka ke Amazon S3 melalui AWS jaringan.
-
Menggunakan nama Amazon S3 Regional default, VPC aplikasi in- mengirim data ke titik akhir gateway yang terhubung ke Amazon S3 melalui jaringan. AWS
Untuk informasi selengkapnya tentang titik akhir gateway, lihat VPCtitik akhir Gateway di VPCPanduan Pengguna.
Membuat kebijakan VPC titik akhir untuk Amazon S3
Anda dapat melampirkan kebijakan titik akhir ke VPC titik akhir yang mengontrol akses ke Amazon S3. Kebijakan titik akhir mencantumkan informasi berikut:
-
AWS Identity and Access Management (IAM) Prinsipal yang dapat melakukan tindakan
-
Tindakan-tindakan yang dapat dilakukan
-
Sumber daya yang padanya tindakan dapat dilakukan
Anda juga dapat menggunakan kebijakan bucket Amazon S3 untuk membatasi akses ke bucket tertentu dari VPC titik akhir tertentu dengan menggunakan aws:sourceVpce
kondisi dalam kebijakan bucket Anda. Contoh berikut menunjukkan kebijakan yang membatasi akses ke bucket atau titik akhir.
Topik
Contoh: Membatasi akses ke bucket tertentu dari titik akhir VPC
Anda dapat membuat kebijakan titik akhir yang membatasi akses ke bucket S3 Amazon tertentu saja. Jenis kebijakan ini berguna jika Anda memiliki orang lain Layanan AWS di ember VPC yang menggunakan Anda. Kebijakan bucket berikut hanya membatasi akses ke file
. Untuk menggunakan kebijakan titik akhir ini, ganti amzn-s3-demo-bucket1
dengan nama bucket Anda.amzn-s3-demo-bucket1
{ "Version": "2012-10-17", "Id": "Policy1415115909151", "Statement": [ { "Sid": "Access-to-specific-bucket-only", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject" ], "Effect": "Allow", "Resource": ["arn:aws:s3:::
", "arn:aws:s3:::
amzn-s3-demo-bucket1
/*"] } ] }
amzn-s3-demo-bucket1
Contoh: Membatasi akses ke bucket di akun tertentu dari titik akhir VPC
Anda dapat membuat kebijakan titik akhir yang membatasi akses hanya ke bucket S3 di bucket tertentu. Akun AWS Untuk mencegah klien dalam mengakses bucket yang tidak Anda miliki, gunakan pernyataan berikut dalam kebijakan endpoint Anda. VPC Contoh pernyataan berikut membuat kebijakan yang membatasi akses ke sumber daya yang dimiliki oleh satu Akun AWS ID,
.111122223333
{ "Statement": [ { "Sid": "Access-to-bucket-in-specific-account-only", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject" ], "Effect": "Deny", "Resource": "arn:aws:s3:::*", "Condition": { "StringNotEquals": { "aws:ResourceAccount": "
111122223333
" } } } ] }
catatan
Untuk menentukan Akun AWS ID sumber daya yang diakses, Anda dapat menggunakan kunci aws:ResourceAccount
atau s3:ResourceAccount
kunci dalam IAM kebijakan Anda. Namun, ketahuilah bahwa beberapa Layanan AWS mengandalkan akses ke bucket yang AWS dikelola. Oleh karena itu, menggunakan aws:ResourceAccount
atau s3:ResourceAccount
kunci dalam IAM kebijakan Anda juga dapat memengaruhi akses ke sumber daya ini.
Contoh: Membatasi akses ke VPC titik akhir tertentu dalam kebijakan bucket S3
Contoh: Membatasi akses ke VPC titik akhir tertentu dalam kebijakan bucket S3
Kebijakan bucket Amazon S3 berikut memungkinkan akses ke bucket tertentu
, hanya dari titik akhirVPC. amzn-s3-demo-bucket2
Kebijakan ini menolak semua akses ke bucket jika titik akhir yang ditentukan tidak digunakan. vpce-1a2b3c4d
aws:sourceVpce
Kondisi menentukan titik akhir dan tidak memerlukan Amazon Resource Name (ARN) untuk sumber daya VPC endpoint, hanya ID endpoint. Untuk menggunakan kebijakan bucket ini, ganti
dan amzn-s3-demo-bucket2
dengan nama bucket dan titik akhir Anda. vpce-1a2b3c4d
penting
-
Saat menerapkan kebijakan bucket Amazon S3 berikut untuk membatasi akses hanya ke VPC titik akhir tertentu, Anda dapat memblokir akses ke bucket tanpa bermaksud melakukannya. Kebijakan bucket yang dimaksudkan untuk secara khusus membatasi akses bucket ke koneksi yang berasal dari VPC titik akhir Anda dapat memblokir semua koneksi ke bucket. Untuk informasi tentang cara memperbaiki masalah ini, lihat Kebijakan bucket saya memiliki ID VPC titik akhir VPC atau salah. Bagaimana saya dapat memperbaiki kebijakan tersebut sehingga saya dapat mengakses bucket?
dalam AWS Support Pusat Pengetahuan. -
Sebelum menggunakan contoh kebijakan berikut, ganti ID VPC endpoint dengan nilai yang sesuai untuk kasus penggunaan Anda. Jika tidak, Anda tidak akan dapat mengakses bucket Anda.
-
Kebijakan ini menonaktifkan akses konsol ke bucket yang ditentukan, karena permintaan konsol tidak berasal dari titik akhir yang ditentukanVPC.
{ "Version": "2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Access-to-specific-VPCE-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::
", "arn:aws:s3:::
amzn-s3-demo-bucket2
"], "Condition": {"StringNotEquals": {"aws:sourceVpce": "
amzn-s3-demo-bucket2
/*vpce-1a2b3c4d
"}} } ] }
Untuk contoh kebijakan lainnya, lihat Titik akhir untuk Amazon S3 di Panduan Pengguna VPC.
Untuk informasi selengkapnya tentang VPC konektivitas, lihat opsi Network-to-VPC konektivitas di AWS whitepaper Opsi Konektivitas Amazon Virtual Private Cloud.