(例) を使用して Amazon S3 データへのデータアクセスを制限する VPC - Amazon Bedrock
Amazon S3 VPCエンドポイントを作成する(オプション) IAMポリシーを使用して S3 ファイルへのアクセスを制限する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

(例) を使用して Amazon S3 データへのデータアクセスを制限する VPC

を使用してVPC、Amazon S3 バケット内のデータへのアクセスを制限できます。セキュリティを強化するために、インターネットアクセスVPCなしで を設定し、 を使用してエンドポイントを作成できます。 AWS PrivateLink。 リソースベースのポリシーをVPCエンドポイントまたは S3 バケットにアタッチしてアクセスを制限することもできます。

Amazon S3 VPCエンドポイントを作成する

インターネットにアクセスVPCせずに を設定する場合は、Amazon S3 VPCエンドポイントを作成して、モデルカスタマイズジョブがトレーニングデータと検証データを保存し、モデルアーティファクトを保存する S3 バケットにアクセスできるようにする必要があります。

「Amazon S3 のゲートウェイVPCエンドポイントを作成する」の手順に従って S3 エンドポイントを作成します。 Amazon S3

注記

のDNSデフォルト設定を使用しない場合はVPC、エンドポイントルートテーブルを設定して、トレーニングジョブ内のデータURLsの場所の が解決されるようにする必要があります。VPC エンドポイントルートテーブルの詳細については、「ゲートウェイエンドポイントのルーティング」を参照してください。

(オプション) IAMポリシーを使用して S3 ファイルへのアクセスを制限する

リソースベースのポリシーを使用して、S3 ファイルへのアクセスをより厳密に制御できます。次のタイプのリソースベースのポリシーの任意の組み合わせを使用できます。

  • エンドポイントポリシー – エンドポイントポリシーをVPCエンドポイントにアタッチして、VPCエンドポイント経由のアクセスを制限できます。デフォルトのエンドポイントポリシーでは、 内の任意のユーザーまたはサービスに対して Amazon S3 へのフルアクセスを許可しますVPC。エンドポイントの作成中または作成後に、オプションでリソースベースのポリシーをエンドポイントにアタッチして、エンドポイントが特定のバケットにアクセスできるようにするか、特定のIAMロールのみがエンドポイントにアクセスできるようにするなどの制限を追加できます。例については、VPC「エンドポイントポリシーの編集」を参照してください。

    以下は、指定したバケットへのアクセスのみを許可するためにVPCエンドポイントにアタッチできるポリシーの例です。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictAccessToTrainingBucket",
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket",
                "arn:aws:s3:::bucket/*"
            ]
        }
    ]
}

  • バケットポリシー — バケットポリシーを S3 バケットにアタッチして、バケットポリシーへのアクセスを制限できます。バケットポリシーを作成するには、「バケットポリシーの使用」のステップに従います。からのトラフィックへのアクセスを制限するにはVPC、条件キーを使用して、 のVPCそれ自体、VPCエンドポイント、または IP アドレスを指定できますVPC。aws:sourceVpcaws:sourceVpce、または aws:VpcSourceIp 条件キーを使用できます。

    以下は、S3 バケットにアタッチして、 からのトラフィックでない限り、バケットへのすべてのトラフィックを拒否できるポリシーの例ですVPC。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictAccessToOutputBucket",
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket",
                "arn:aws:s3:::bucket/*"
            ],
            "Condition": {
                "StringNotEquals": {
                  "aws:sourceVpc": "your-vpc-id"
                }
            }
        }
    ]
}

    その他の例については、「バケットポリシー を使用してアクセスを制御する」を参照してください。