As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
(Exemplo) Restrinja o acesso aos dados do Amazon S3 usando VPC
Você pode usar a VPC para restringir o acesso aos dados em seus buckets do Amazon S3. Para maior segurança, você pode configurar seu VPC sem acesso à Internet e criar um endpoint para ele com AWS PrivateLink. Você também pode restringir o acesso anexando políticas baseadas em recursos ao VPC endpoint ou ao bucket do S3.
Tópicos
Crie um endpoint Amazon S3 VPC
Se você configurar seu VPC sem acesso à Internet, precisará criar um VPCendpoint do Amazon S3 para permitir que seus trabalhos de personalização de modelos acessem os buckets do S3 que armazenam seus dados de treinamento e validação e que armazenarão os artefatos do modelo.
Crie o VPC endpoint S3 seguindo as etapas em Criar um endpoint de gateway para o Amazon S3.
nota
Se você não usar as DNS configurações padrão para o seuVPC, precisará garantir que os URLs locais dos dados em seus trabalhos de treinamento sejam resolvidos configurando as tabelas de rotas do endpoint. Para obter informações sobre tabelas de rotas de VPC endpoints, consulte Roteamento para endpoints do Gateway.
(Opcional) Use IAM políticas para restringir o acesso aos seus arquivos do S3
Você pode usar políticas baseadas em recursos para controlar mais rigorosamente o acesso aos seus arquivos do S3. Você pode usar qualquer combinação dos seguintes tipos de políticas baseadas em recursos.
-
Políticas de endpoint — Você pode anexar políticas de endpoint ao seu VPC endpoint para restringir o acesso por meio do endpoint. VPC A política de endpoint padrão permite acesso total ao Amazon S3 para qualquer usuário ou serviço em seu. VPC Ao criar ou depois de criar o endpoint, você pode, opcionalmente, anexar uma política baseada em recursos ao endpoint para adicionar restrições, como permitir que apenas o endpoint acesse um bucket específico ou permitir que apenas uma função específica acesse o endpoint. IAM Para ver exemplos, consulte Editar a política VPC de endpoint.
Veja a seguir um exemplo de política que você pode anexar ao seu VPC endpoint para permitir que ele acesse somente o bucket que você especificar.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictAccessToTrainingBucket", "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket", "arn:aws:s3:::bucket/*" ] } ] } -
Políticas de bucket — você pode anexar uma política de bucket a um bucket do S3 para restringir o acesso a ele. Para criar uma política de bucket, siga as etapas em Como usar políticas de bucket. Para restringir o acesso ao tráfego proveniente do seuVPC, você pode usar chaves de condição para especificar o VPC próprio, um VPC endpoint ou o endereço IP doVPC. Você pode usar as chaves de VpcSourceIp condição aws: sourceVpce, aws: ou aws:. sourceVpc
Veja a seguir um exemplo de política que você pode anexar a um bucket do S3 para negar todo o tráfego do bucket, a menos que ele venha do seuVPC.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictAccessToOutputBucket", "Effect": "Deny", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket", "arn:aws:s3:::bucket/*" ], "Condition": { "StringNotEquals": { "aws:sourceVpc": "your-vpc-id" } } } ] }Para ver mais exemplos, consulte Controle o acesso usando políticas de bucket.
