(例) VPC を使用して Amazon S3 データへのデータアクセスを制限する - Amazon Bedrock
Amazon S3 VPC エンドポイントを作成する(オプション) IAM ポリシーを使用して S3 ファイルへのアクセスを制限する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

(例) VPC を使用して Amazon S3 データへのデータアクセスを制限する

VPC を使用して、Amazon S3 バケット内のデータへのアクセスを制限できます。セキュリティを強化するために、インターネットアクセスなしで VPC を設定し、AWS PrivateLink で VPC のエンドポイントを作成することができます。リソースベースのポリシーを VPC エンドポイントまたは S3 バケットにアタッチすることで、アクセスを制限することもできます。

Amazon S3 VPC エンドポイントを作成する

インターネットアクセスなしで VPC を設定する場合は、モデルのカスタマイズジョブが、トレーニングデータと検証データを保存し、モデルアーティファクトを保存する S3 バケットにアクセスできるように、Amazon S3 VPC エンドポイントを作成する必要があります。

Create a gateway endpoint for Amazon S3」の手順に従って、S3 VPC エンドポイントを作成します。

注記

VPC にデフォルトの DNS 設定を使用しない場合は、エンドポイントルートテーブルを設定することで、トレーニングジョブのデータの場所の URL が解決されるようにする必要があります。VPC エンドポイントルートテーブルについては、 「Routing for Gateway endpoints」を参照してください。

(オプション) IAM ポリシーを使用して S3 ファイルへのアクセスを制限する

リソースベースのポリシーを使用して、S3 ファイルへのアクセスをより厳密に制御できます。次のタイプのリソースベースのポリシーのどの組み合わせでも使用できます。

  • エンドポイントポリシー – VPC エンドポイントにエンドポイントポリシーをアタッチして、VPC エンドポイントを介したアクセスを制限できます。デフォルトのエンドポイントポリシーでは、VPC のすべてのユーザーまたはサービスに対して Amazon S3 へのフルアクセスが許可されています。エンドポイントの作成中または作成後に、オプションでリソースベースのポリシーをエンドポイントにアタッチして、エンドポイントが特定のバケットにアクセスできるようにする、または特定の IAM ロールのみがエンドポイントにアクセスできるようにするなど、制限を追加できます。例については、「Edit the VPC endpoint policy」を参照してください。

    以下は、指定するバケットへのアクセスのみを許可するように VPC エンドポイントにアタッチできるポリシーの例です。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictAccessToTrainingBucket",
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket",
                "arn:aws:s3:::bucket/*"
            ]
        }
    ]
}

  • バケットポリシー – バケットポリシーを S3 バケットにアタッチして、そのバケットへのアクセスを制限できます。バケットポリシーを作成するには、「バケットポリシーの使用」の手順に従います。VPC からのトラフィックへのアクセスを制限するには、条件キーを使用して VPC 自体、VPC エンドポイント、または VPC の IP アドレスを指定します。aws:sourceVpcaws:sourceVpce、または aws:VpcSourceIp の条件キーを使用することができます。

    以下は、S3 バケットにアタッチできるポリシーの例で、VPC からでない限り、バケットへのすべてのトラフィックを拒否します。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictAccessToOutputBucket",
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket",
                "arn:aws:s3:::bucket/*"
            ],
            "Condition": {
                "StringNotEquals": {
                  "aws:sourceVpc": "your-vpc-id"
                }
            }
        }
    ]
}

    その他の例については、「Control access using bucket policies」を参照してください。