プライベートでのデータ流出の防止 VPC

ユーザーが安全な S3 バケットからアカウント内の独自の S3 バケットにデータを流出しないようにするには、VPCエンドポイントをアタッチしてプライベートを保護しますVPC。次の手順は、アカウント内の S3 バケットへのアクセスをサポートする S3 サービスのVPCエンドポイントを作成する方法と、クロスアカウントバケットを持つ追加のアカウントを作成する方法を示しています。

Amazon VPCコンソールを開きます。
1. AWS マネジメントコンソールにサインインします。
2. で Amazon https://console.aws.amazon.com/vpc/VPCコンソールを開きます。
S3 のVPCエンドポイントを作成する：
1. 左のナビゲーションペインで [エンドポイント] を選択します。
2. [Create Endpoint] (エンドポイントの作成) を選択します。
3. [Service category] (サービスカテゴリ) で、[AWS services] (AWS のサービス) が選択されていることを確認します。
4. サービス名 フィールドに、「S3」と入力します com.amazonaws.<region>.s3 ( AWS リージョン<region>に置き換えます）。
5. リストから S3 サービスを選択します。
エンドポイント設定の設定：
1. ではVPC、エンドポイントを作成する VPC を選択します。
2. サブネット の場合、デプロイ時にVDIサブネットに使用されるプライベートサブネットの両方を選択します。
3. Enable DNS name の場合、オプションがチェックされていることを確認します。これにより、プライベートDNSホスト名をエンドポイントネットワークインターフェイスに解決できます。

アクセスを制限するようにポリシーを設定します。

ポリシー で、カスタム を選択します。

ポリシーエディタで、アカウントまたは特定のアカウント内のリソースへのアクセスを制限するポリシーを入力します。ポリシーの例 (置き換える mybucket S3 バケット名および 111122223333 また、444455556666 アクセスIDsする適切な AWS アカウントを持つ )。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::mybucket",
                "arn:aws:s3:::mybucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalAccount": [
                        "111122223333",   // Your Account ID
                        "444455556666"    // Another Account ID
                    ]
                }
            }
        }
    ]
}

エンドポイントを作成します。
1. 設定を確認します。
2. [エンドポイントの作成] を選択します。
エンドポイントを検証する：
1. エンドポイントを作成したら、VPCコンソールのエンドポイントセクションに移動します。
2. 新しく作成したエンドポイントを選択します。
3. 状態が使用可能であることを確認します。

これらのステップに従って、アカウントまたは指定されたアカウント ID 内のリソースに制限された S3 アクセスを許可するVPCエンドポイントを作成します。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

クロスアカウントバケットアクセス

トラブルシューティング