Controllo dell'accesso dagli VPC endpoint con policy bucket - Amazon Simple Storage Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controllo dell'accesso dagli VPC endpoint con policy bucket

Puoi utilizzare le policy dei bucket di Amazon S3 per controllare l'accesso ai bucket da endpoint specifici del cloud privato virtuale (VPC) o specifici. VPCs Questa sezione contiene esempi di policy relative ai bucket che puoi utilizzare per controllare l'accesso ai bucket Amazon S3 dagli endpoint. VPC Per informazioni su come configurare gli endpoint, VPC consulta VPC Endpoints nella Guida per l'utente. VPC

A VPC consente di avviare AWS risorse in una rete virtuale definita dall'utente. Un VPC endpoint consente di creare una connessione privata tra l'utente VPC e un altro Servizio AWS. Questa connessione privata non richiede l'accesso su Internet, tramite una connessione di rete privata virtuale (VPN), tramite un'NATistanza o tramite AWS Direct Connect.

Un VPC endpoint per Amazon S3 è un'entità logica all'interno di VPC un che consente la connettività solo ad Amazon S3. L'VPCendpoint indirizza le richieste ad Amazon S3 e reindirizza le risposte a. VPC VPCgli endpoint cambiano solo il modo in cui vengono instradate le richieste. Gli endpoint e i DNS nomi pubblici di Amazon S3 continueranno a funzionare con gli endpoint. VPC Per informazioni importanti sull'utilizzo VPC degli endpoint con Amazon S3, consulta Endpoints Gateway e Gateway endpoints per Amazon S3 nella Guida per l'utente. VPC

VPCgli endpoint per Amazon S3 offrono due modi per controllare l'accesso ai dati di Amazon S3:

  • Puoi controllare le richieste, gli utenti o i gruppi consentiti tramite un endpoint specifico. VPC Per informazioni su questo tipo di controllo degli accessi, consulta Controllare l'accesso agli VPC endpoint utilizzando le policy degli endpoint nella Guida per l'VPCutente.

  • Puoi controllare quali VPCs o quali VPC endpoint hanno accesso ai tuoi bucket utilizzando le policy dei bucket di Amazon S3. Per alcuni esempi di questo tipo di controllo di accesso basato su policy di bucket, consulta i seguenti argomenti sulla limitazione dell'accesso.

Importante

Quando applichi le policy dei bucket di Amazon S3 per gli VPC endpoint descritte in questa sezione, potresti bloccare involontariamente l'accesso al bucket. Le autorizzazioni dei bucket, destinate specificamente a limitare l'accesso ai bucket alle connessioni provenienti dall'endpoint, possono bloccare tutte le connessioni al bucket. VPC Per informazioni su come risolvere questo problema, vedi Come posso correggere la mia policy bucket quando ha un ID o un endpoint ID errato? VPC VPC nel AWS Support Knowledge Center.

Limitazione dell'accesso a un endpoint specifico VPC

Di seguito è riportato un esempio di policy sui bucket di Amazon S3 che limita l'accesso a un bucket specificoawsexamplebucket1, solo dall'endpoint con l'VPCID. vpce-1a2b3c4d Se l'endpoint specificato non viene utilizzato, la policy nega tutti gli accessi al bucket. La aws:SourceVpce condizione specifica l'endpoint. La aws:SourceVpce condizione non richiede un Amazon Resource Name (ARN) per la risorsa VPC endpoint, ma solo l'ID dell'VPCendpoint. Per ulteriori informazioni sull'utilizzo delle condizioni in una policy, consulta Esempi di policy Bucket che utilizzano chiavi condizionali.

Importante
  • Prima di utilizzare la seguente politica di esempio, sostituisci l'ID dell'VPCendpoint con un valore appropriato per il tuo caso d'uso. In caso contrario, non sarà possibile accedere al bucket.

  • Questa policy disabilita l'accesso della console al bucket specificato perché le richieste della console non provengono dall'endpoint specificato. VPC

{ "Version": "2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Access-to-specific-VPCE-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::awsexamplebucket1", "arn:aws:s3:::awsexamplebucket1/*"], "Condition": { "StringNotEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" } } } ] }

Limitazione dell'accesso a uno specifico VPC

Puoi creare una policy sui bucket che limiti l'accesso a uno specifico VPC utilizzando la condizione. aws:SourceVpc Questa funzionalità è utile se disponi di più VPC endpoint configurati nello stesso VPC dispositivo e desideri gestire l'accesso ai bucket Amazon S3 per tutti gli endpoint. Di seguito è riportato un esempio di policy che nega l'accesso ai relativi oggetti a chiunque dall'awsexamplebucket1esterno. VPC vpc-111bbb22 Se il valore specificato VPC non viene utilizzato, la policy nega tutti gli accessi al bucket. Questa istruzione non concede l'accesso al bucket. Per concedere l'accesso, devi aggiungere un'Allowistruzione separata. La chiave di vpc-111bbb22 condizione non richiede un nome ARN per la VPC risorsa, ma solo l'VPCID.

Importante
  • Prima di utilizzare la seguente politica di esempio, sostituisci l'VPCID con un valore appropriato per il tuo caso d'uso. In caso contrario, non sarà possibile accedere al bucket.

  • Questa politica disabilita l'accesso della console al bucket specificato perché le richieste della console non provengono dal bucket specificato. VPC

{ "Version": "2012-10-17", "Id": "Policy1415115909153", "Statement": [ { "Sid": "Access-to-specific-VPC-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::awsexamplebucket1", "arn:aws:s3:::awsexamplebucket1/*"], "Condition": { "StringNotEquals": { "aws:SourceVpc": "vpc-111bbb22" } } } ] }