Creazione di access point limitati a un cloud privato virtuale - Amazon Simple Storage Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di access point limitati a un cloud privato virtuale

Quando si crea un punto di accesso, è possibile scegliere di renderlo accessibile da Internet oppure specificare che tutte le richieste effettuate tramite tale punto di accesso devono provenire da uno specifico cloud privato virtuale (VPC). Un access point accessibile da Internet ha l'origine di rete Internet. Può essere utilizzato da qualsiasi punto di Internet, fatte salve altre limitazioni di accesso in vigore per l'access point, il bucket sottostante e le risorse correlate, come gli oggetti richiesti. Un punto di accesso accessibile solo da un determinato punto di accesso VPC ha un'origine di VPC rete di e Amazon S3 rifiuta qualsiasi richiesta effettuata al punto di accesso che non provenga da quella. VPC

Importante

Puoi specificare l'origine di rete di un access point solo quando crei l'access point. Dopo aver creato l'access point, non è più possibile modificare l'origine di rete.

Per limitare un punto di accesso al VPC solo accesso, includi il VpcConfiguration parametro nella richiesta di creazione del punto di accesso. Nel VpcConfiguration parametro, specificate l'VPCID con cui desiderate utilizzare il punto di accesso. Se viene effettuata una richiesta tramite il punto di accesso, la richiesta deve provenire da VPC o Amazon S3 la rifiuterà.

Puoi recuperare l'origine della rete di un punto di accesso utilizzando AWS CLI, AWS SDKs o. REST APIs Se per un punto di accesso è specificata una VPC configurazione, la sua origine di rete èVPC. In caso contrario, l'origine della rete dell'access point è Internet.

Esempio: creare un punto di accesso con VPC accesso limitato

L'esempio seguente crea un punto di accesso denominato example-vpc-ap bucket amzn-s3-demo-bucket in un account 123456789012 che consente l'accesso solo da. vpc-1a2b3c VPC L'esempio verifica quindi che il nuovo access point abbia l'origine di rete VPC.

AWS CLI
aws s3control create-access-point --name example-vpc-ap --account-id 123456789012 --bucket amzn-s3-demo-bucket --vpc-configuration VpcId=vpc-1a2b3c
aws s3control get-access-point --name example-vpc-ap --account-id 123456789012 { "Name": "example-vpc-ap", "Bucket": "amzn-s3-demo-bucket", "NetworkOrigin": "VPC", "VpcConfiguration": { "VpcId": "vpc-1a2b3c" }, "PublicAccessBlockConfiguration": { "BlockPublicAcls": true, "IgnorePublicAcls": true, "BlockPublicPolicy": true, "RestrictPublicBuckets": true }, "CreationDate": "2019-11-27T00:00:00Z" }

Per utilizzare un punto di accesso con aVPC, è necessario modificare la politica di accesso per l'VPCendpoint. VPCgli endpoint consentono al traffico di fluire dal tuo VPC ad Amazon S3. Dispongono di politiche di controllo degli accessi che controllano il VPC modo in cui le risorse al loro interno possono interagire con Amazon S3. Le tue richieste VPC ad Amazon S3 hanno successo solo tramite un punto di accesso se la policy dell'VPCendpoint concede l'accesso sia al punto di accesso che al bucket sottostante.

Nota

Per rendere le risorse accessibili solo all'interno di unVPC, assicurati di creare una zona ospitata privata per il tuo endpoint. VPC Per utilizzare una zona ospitata privata, modifica VPC le impostazioni in modo che gli attributi di VPC rete enableDnsHostnames e enableDnsSupport siano impostati su. true

L'esempio seguente di dichiarazione politica configura un VPC endpoint GetObject per consentire le chiamate verso un bucket denominato awsexamplebucket1 e un punto di accesso denominato. example-vpc-ap

{ "Version": "2012-10-17", "Statement": [ { "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::awsexamplebucket1/*", "arn:aws:s3:us-west-2:123456789012:accesspoint/example-vpc-ap/object/*" ] }] }
Nota

La "Resource" dichiarazione in questo esempio utilizza un Amazon Resource Name (ARN) per specificare il punto di accesso. Per ulteriori informazioni sul punto di accessoARNs, consultaUtilizzo degli access point.

Per ulteriori informazioni sulle politiche VPC degli endpoint, consulta Using endpoint policies for Amazon S3 nella VPC Guida per l'utente.