Controllo dell'accesso dagli endpoint VPC con policy di bucket - Amazon Simple Storage Service
Limitazione dell'accesso a un endpoint VPC specificoLimitazione dell'accesso a un VPC specifico

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controllo dell'accesso dagli endpoint VPC con policy di bucket

Puoi utilizzare le policy dei bucket di Amazon S3 per controllare l'accesso ai bucket da endpoint specifici del cloud privato virtuale (VPC) o VPC specifici. Questa sezione contiene esempi di policy relative ai bucket che puoi utilizzare per controllare l'accesso ai bucket Amazon S3 dagli endpoint VPC. Per informazioni su come configurare gli endpoint VPC, consulta Endpoint VPC nella Guida per l'utente di VPC.

Un VPC consente di avviare AWS risorse in una rete virtuale definita dall'utente. Un endpoint VPC ti consente di creare una connessione privata tra il tuo VPC e un altro. Servizio AWS Questa connessione privata non richiede l'accesso via Internet, tramite una connessione di rete privata virtuale (VPN), tramite un'istanza NAT o tramite. AWS Direct Connect

Un endpoint VPC per Amazon S3 è un'entità logica all'interno di un cloud privato virtuale che permette di connettersi esclusivamente ad Amazon S3. L'endpoint VPC instrada le richieste ad Amazon S3 e restituisce le risposte al VPC. Gli endpoint VPC cambiano solo la modalità di instradamento delle richieste. I nomi DNS e gli endpoint pubblici Amazon S3 continueranno a funzionare con gli endpoint VPC. Per informazioni importanti sull'utilizzo degli endpoint VPC con Amazon S3, consulta Endpoints Gateway e Gateway endpoints per Amazon S3 nella VPC User Guide.

Gli endpoint VPC per Amazon S3 offrono due modi per controllare l'accesso ai dati di Amazon S3:

  • È possibile controllare le richieste, gli utenti o i gruppi autorizzati tramite un endpoint VPC specifico. Per informazioni su questo tipo di controllo degli accessi, consulta Controllare l'accesso agli endpoint VPC utilizzando le politiche degli endpoint nella Guida per l'utente VPC.

  • È possibile controllare i VPC o gli endpoint VPC che hanno accesso ai bucket utilizzando le policy del bucket Amazon S3. Per alcuni esempi di questo tipo di controllo di accesso basato su policy di bucket, consulta i seguenti argomenti sulla limitazione dell'accesso.

Importante

Quando applichi le policy dei bucket di Amazon S3 per gli endpoint VPC descritte in questa sezione, potresti bloccare involontariamente l'accesso al bucket. Le autorizzazioni del bucket che hanno lo scopo di limitare l'accesso del bucket a connessioni originate dall'endpoint VPC possono bloccare tutte le connessioni al bucket. Per informazioni su come risolvere questo problema, vedi Come posso correggere la mia policy bucket quando ha un VPC o un ID endpoint VPC errato? nel Knowledge Center.AWS Support

Limitazione dell'accesso a un endpoint VPC specifico

Di seguito è riportato un esempio di policy del bucket Amazon S3 che limita l'accesso a un bucket specifico, awsexamplebucket1, solo dall'endpoint VPC con l'ID vpce-1a2b3c4d. Se l'endpoint specificato non viene utilizzato, la policy nega tutti gli accessi al bucket. La aws:SourceVpce condizione specifica l'endpoint. La aws:SourceVpce condizione non richiede un Amazon Resource Name (ARN) per la risorsa endpoint VPC, ma solo l'ID dell'endpoint VPC. Per ulteriori informazioni sull'utilizzo delle condizioni in una policy, consulta Esempi di policy Bucket che utilizzano chiavi condizionali.

Importante

  • Prima di utilizzare la policy di esempio seguente, sostituire l'ID endpoint VPC con un valore appropriato per il caso d'uso. In caso contrario, non sarà possibile accedere al bucket.

  • Questa policy disabilita l'accesso della console al bucket specificato perché le richieste della console non provengono dall'endpoint VPC specificato.

{
   "Version": "2012-10-17",
   "Id": "Policy1415115909152",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPCE-only",
       "Principal": "*",
       "Action": "s3:*",
       "Effect": "Deny",
       "Resource": ["arn:aws:s3:::awsexamplebucket1",
                    "arn:aws:s3:::awsexamplebucket1/*"],
       "Condition": {
         "StringNotEquals": {
           "aws:SourceVpce": "vpce-1a2b3c4d"
         }
       }
     }
   ]
}

Limitazione dell'accesso a un VPC specifico

Puoi creare una policy di bucket che limita l'accesso a uno specifico VPC utilizzando la condizione aws:SourceVpc. Ciò è utile se nello stesso VPC sono configurati più endpoint VPC e desideri gestire l'accesso ai bucket Amazon S3 per tutti gli endpoint. Di seguito è riportato un esempio di policy che nega l'accesso a awsexamplebucket1 e ai relativi oggetti da qualsiasi punto esterno al VPC vpc-111bbb22. Se il VPC specificato non viene utilizzato, la policy nega tutti gli accessi al bucket. Questa istruzione non concede l'accesso al bucket. Per concedere l'accesso, devi aggiungere un'Allowistruzione separata. La chiave di vpc-111bbb22 condizione non richiede un ARN per la risorsa VPC, ma solo l'ID VPC.

Importante

  • Prima di utilizzare la policy di esempio seguente, sostituire l'ID VPC con un valore appropriato per il caso d'uso. In caso contrario, non sarà possibile accedere al bucket.

  • Questa policy disabilita l'accesso della console al bucket specificato perché le richieste della console non provengono dal VPC specificato.

{
   "Version": "2012-10-17",
   "Id": "Policy1415115909153",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPC-only",
       "Principal": "*",
       "Action": "s3:*",
       "Effect": "Deny",
       "Resource": ["arn:aws:s3:::awsexamplebucket1",
                    "arn:aws:s3:::awsexamplebucket1/*"],
       "Condition": {
         "StringNotEquals": {
           "aws:SourceVpc": "vpc-111bbb22"
         }
       }
     }
   ]
}