(예) 다음을 사용하여 Amazon S3 데이터에 대한 데이터 액세스를 제한합니다. VPC - Amazon Bedrock

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

(예) 다음을 사용하여 Amazon S3 데이터에 대한 데이터 액세스를 제한합니다. VPC

를 사용하여 Amazon S3 버킷의 데이터에 대한 액세스를 제한할 수 있습니다. VPC 보안을 강화하기 위해 다음과 같이 인터넷에 액세스할 수 없도록 구성하고 이를 위한 엔드포인트를 생성할 수 있습니다. VPC AWS PrivateLink. 리소스 기반 정책을 VPC 엔드포인트 또는 S3 버킷에 연결하여 액세스를 제한할 수도 있습니다.

Amazon S3 VPC 엔드포인트 생성

인터넷에 액세스할 수 VPC 없도록 구성하는 경우 Amazon S3 VPC 엔드포인트를 생성하여 모델 사용자 지정 작업이 학습 및 검증 데이터를 저장하고 모델 아티팩트를 저장하는 S3 버킷에 액세스할 수 있도록 해야 합니다.

Amazon S3용 게이트웨이 VPC 엔드포인트 생성의 단계에 따라 S3 엔드포인트를 생성합니다.

참고

기본 DNS 설정을 사용하지 않는 경우VPC, 엔드포인트 라우팅 테이블을 구성하여 교육 작업의 데이터 위치가 확인되도록 해야 합니다. URLs VPC엔드포인트 라우팅 테이블에 대한 자세한 내용은 게이트웨이 엔드포인트 라우팅을 참조하십시오.

(선택 사항) IAM 정책을 사용하여 S3 파일에 대한 액세스를 제한합니다.

리소스 기반 정책을 사용하여 S3 파일에 대한 액세스를 보다 엄격하게 제어할 수 있습니다. 다음 유형의 리소스 기반 정책을 원하는 대로 조합하여 사용할 수 있습니다.

  • 엔드포인트 정책 - 엔드포인트에 엔드포인트 정책을 연결하여 VPC 엔드포인트를 통한 액세스를 제한할 수 있습니다. VPC 기본 엔드포인트 정책은 내 모든 사용자 또는 서비스에 대해 Amazon S3에 대한 전체 액세스를 허용합니다VPC. 엔드포인트를 생성하는 동안 또는 생성한 후에 선택적으로 리소스 기반 정책을 엔드포인트에 연결하여 엔드포인트가 특정 버킷에만 액세스하도록 허용하거나 특정 IAM 역할만 엔드포인트에 액세스하도록 허용하는 등의 제한을 추가할 수 있습니다. 예를 들어 VPC엔드포인트 정책 편집을 참조하십시오.

    다음은 지정한 버킷에만 액세스하도록 VPC 엔드포인트에 연결할 수 있는 예제 정책입니다.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictAccessToTrainingBucket", "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket", "arn:aws:s3:::bucket/*" ] } ] }
  • 버킷 정책 - S3 버킷에 버킷 정책을 연결하여 액세스를 제한할 수 있습니다. 버킷 정책을 생성하려면 버킷 정책 사용의 단계를 따르십시오. 에서 들어오는 트래픽에 대한 액세스를 제한하려면 조건 키를 사용하여 VPC 자체, VPC 엔드포인트 또는 IP 주소를 지정할 수 VPC 있습니다. VPC aws:sourceVpc, aws: 또는 aws: sourceVpce VpcSourceIp 조건 키를 사용할 수 있습니다.

    다음은 S3 버킷에 연결하여 사용자의 VPC 트래픽이 아닌 경우 해당 버킷으로 들어오는 모든 트래픽을 거부할 수 있는 예제 정책입니다.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictAccessToOutputBucket", "Effect": "Deny", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket", "arn:aws:s3:::bucket/*" ], "Condition": { "StringNotEquals": { "aws:sourceVpc": "your-vpc-id" } } } ] }

    더 많은 예는 버킷 정책을 사용한 액세스 제어를 참조하십시오.