Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
(Contoh) Batasi akses data ke data Amazon S3 Anda menggunakan VPC
Anda dapat menggunakan a VPC untuk membatasi akses ke data di bucket Amazon S3 Anda. Untuk keamanan lebih lanjut, Anda dapat mengonfigurasi VPC tanpa akses internet dan membuat titik akhir untuk itu AWS PrivateLink. Anda juga dapat membatasi akses dengan melampirkan kebijakan berbasis sumber daya ke titik VPC akhir atau ke bucket S3.
Topik
Buat Endpoint Amazon S3 VPC
Jika Anda mengonfigurasi VPC tanpa akses internet, Anda perlu membuat VPCtitik akhir Amazon S3 untuk memungkinkan pekerjaan penyesuaian model Anda mengakses bucket S3 yang menyimpan data pelatihan dan validasi Anda dan yang akan menyimpan artefak model.
Buat VPC titik akhir S3 dengan mengikuti langkah-langkah di Buat titik akhir gateway untuk Amazon S3.
catatan
Jika Anda tidak menggunakan DNS pengaturan default untuk AndaVPC, Anda perlu memastikan bahwa URLs untuk lokasi data dalam pekerjaan pelatihan Anda diselesaikan dengan mengonfigurasi tabel rute titik akhir. Untuk informasi tentang tabel rute VPC titik akhir, lihat Perutean untuk titik akhir Gateway.
(Opsional) Gunakan IAM kebijakan untuk membatasi akses ke file S3 Anda
Anda dapat menggunakan kebijakan berbasis sumber daya untuk mengontrol akses ke file S3 Anda dengan lebih ketat. Anda dapat menggunakan kombinasi apa pun dari jenis kebijakan berbasis sumber daya berikut.
-
Kebijakan titik akhir — Anda dapat melampirkan kebijakan titik akhir ke titik VPC akhir Anda untuk membatasi akses melalui titik akhir. VPC Kebijakan endpoint default memungkinkan akses penuh ke Amazon S3 untuk setiap pengguna atau layanan di Anda. VPC Saat membuat atau setelah membuat titik akhir, Anda dapat melampirkan kebijakan berbasis sumber daya secara opsional ke titik akhir untuk menambahkan batasan, seperti hanya mengizinkan titik akhir mengakses bucket tertentu atau hanya mengizinkan peran tertentu untuk mengakses titik akhir. IAM Sebagai contoh, lihat Mengedit kebijakan VPC endpoint.
Berikut ini adalah contoh kebijakan yang dapat Anda lampirkan ke VPC titik akhir untuk hanya mengizinkannya mengakses bucket yang Anda tentukan.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictAccessToTrainingBucket", "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket", "arn:aws:s3:::bucket/*" ] } ] } -
Kebijakan bucket — Anda dapat melampirkan kebijakan bucket ke bucket S3 untuk membatasi akses ke bucket tersebut. Untuk membuat kebijakan bucket, ikuti langkah-langkah di Menggunakan kebijakan bucket. Untuk membatasi akses ke lalu lintas yang berasal dari AndaVPC, Anda dapat menggunakan tombol kondisi untuk menentukan itu VPC sendiri, VPC titik akhir, atau alamat IP dari. VPC Anda dapat menggunakan kunci VpcSourceIp kondisi aws: sourceVpc sourceVpce, aws:, atau aws:.
Berikut ini adalah contoh kebijakan yang dapat Anda lampirkan ke bucket S3 untuk menolak semua lalu lintas ke bucket kecuali itu berasal dari AndaVPC.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictAccessToOutputBucket", "Effect": "Deny", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket", "arn:aws:s3:::bucket/*" ], "Condition": { "StringNotEquals": { "aws:sourceVpc": "your-vpc-id" } } } ] }Untuk contoh selengkapnya, lihat Mengontrol akses menggunakan kebijakan bucket.
