Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Puoi usare un VPC per limitare l'accesso ai dati nei tuoi bucket Amazon S3. Per una maggiore sicurezza, puoi configurare il tuo VPC senza accesso a Internet e creare un endpoint per esso. AWS PrivateLink Puoi anche limitare l'accesso collegando policy basate sulle risorse all'endpoint VPC o al bucket S3.
Argomenti
Creazione di un endpoint VPC Amazon S3
Se configuri il tuo VPC senza accesso a Internet, devi creare un endpoint VPC Amazon S3 per consentire ai processi di personalizzazione del modello di accedere ai bucket S3 che memorizzano i dati di formazione e convalida e che archiviano gli artefatti del modello.
Crea l'endpoint VPC S3 seguendo i passaggi riportati in Creare un endpoint gateway per Amazon S3.
Nota
Se non utilizzi le impostazioni DNS predefinite per il tuo VPC, devi assicurarti che URLs le quattro posizioni dei dati nei processi di formazione vengano risolte configurando le tabelle di routing degli endpoint. Per informazioni sulle tabelle di routing degli endpoint VPC, consulta Routing per endpoint Gateway.
(Facoltativo) Utilizza le policy IAM per limitare l'accesso ai tuoi file S3
Puoi utilizzare policy basate sulle risorse per controllare più strettamente l'accesso ai tuoi file S3. Puoi utilizzare qualsiasi combinazione dei seguenti tipi di politiche basate sulle risorse.
-
Policy degli endpoint: puoi allegare policy endpoint al tuo endpoint VPC per limitare l'accesso tramite l'endpoint VPC. La policy di endpoint predefinita consente l'accesso completo ad Amazon S3 da parte degli utenti o servizi nel tuo VPC. Durante la creazione o dopo la creazione dell'endpoint, puoi facoltativamente collegare all'endpoint una policy basata sulle risorse per aggiungere restrizioni, ad esempio consentire all'endpoint di accedere solo a un bucket specifico o consentire solo a un ruolo IAM specifico di accedere all'endpoint. Per esempi, consulta Modificare la policy degli endpoint VPC.
Di seguito è riportato un esempio di policy che puoi allegare al tuo endpoint VPC per consentirgli di accedere solo al bucket specificato.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictAccessToTrainingBucket", "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket", "arn:aws:s3:::bucket/*" ] } ] } -
Politiche bucket: puoi allegare una policy bucket a un bucket S3 per limitarne l'accesso. Per creare una bucket policy, segui i passaggi riportati in Utilizzo delle bucket policy. Per limitare l'accesso al traffico proveniente dal tuo VPC, puoi utilizzare le chiavi di condizione per specificare il VPC stesso, un endpoint VPC o l'indirizzo IP del VPC. Puoi utilizzare le chiavi di condizione aws:SourceVPC, aws:SourceVPCE o aws:. VpcSourceIp
Di seguito è riportato un esempio di policy che puoi allegare a un bucket S3 per negare tutto il traffico verso il bucket a meno che non provenga dal tuo VPC.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictAccessToOutputBucket", "Effect": "Deny", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket", "arn:aws:s3:::bucket/*" ], "Condition": { "StringNotEquals": { "aws:sourceVpc": "your-vpc-id" } } } ] }Per altri esempi, consulta Controllare l'accesso utilizzando le policy dei bucket.
