As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
(Exemplo) Restringir o acesso aos dados do Amazon S3 usando a VPC
É possível usar uma VPC para restringir o acesso aos dados nos buckets do Amazon S3. Para obter mais segurança, é possível configurar a VPC sem acesso à internet e criar um endpoint para ela com o AWS PrivateLink. Você também pode restringir o acesso anexando políticas baseadas em recurso ao endpoint da VPC ou ao bucket do S3.
Tópicos
Criar um endpoint da VPC para o Amazon S3
Se você configurar a VPC sem acesso à internet, será necessário criar um endpoint da VPC do Amazon S3 para permitir que as tarefas de personalização de modelos acessem os buckets do S3 que armazenam os dados de treinamento e de validação e que armazenarão os artefatos do modelo.
Crie o endpoint da VPC do S3 seguindo as etapas em Gateway endpoints for Amazon S3.
nota
Se você não usar essas definições padrão de DNS, verifique se os outros URLs dos locais dos dados nos trabalhos de treinamento podem ser resolvidos pela configuração da tabela de rotas do endpoint. Para obter informações sobre as tabelas de rotas do endpoint da VPC, consulte Roteamento para endpoints do gateway.
(Opcional) Usar as políticas do IAM para restringir o acesso aos arquivos do S3
É possível usar políticas baseadas em recurso para controlar mais rigorosamente o acesso aos arquivos do S3. É possível usar qualquer combinação dos tipos de política baseada em recurso a seguir.
-
Políticas de endpoint: é possível anexar políticas de endpoint ao endpoint da VPC para restringir o acesso por meio do endpoint da VPC. A política de endpoint padrão permite acesso total ao Amazon S3 para qualquer usuário ou serviço na VPC. Ao criar ou depois de criar o endpoint, é possível, opcionalmente, anexar uma política baseada em recurso ao endpoint para adicionar restrições, como permitir que apenas o endpoint acesse um bucket específico ou permitir que apenas um perfil específico do IAM acesse o endpoint. Para obter exemplos, consulte Editar a política de endpoint da VPC.
Veja a seguir um exemplo de política que você pode anexar ao endpoint da VPC para permitir que ele acesse somente o bucket especificado.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictAccessToTrainingBucket", "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket", "arn:aws:s3:::bucket/*" ] } ] } -
Políticas de bucket: é possível anexar uma política de bucket a um bucket do S3 para restringir o acesso a ele. Para criar uma política de bucket, siga as etapas em Usar políticas de bucket. Para restringir o acesso ao tráfego proveniente da VPC, é possível usar chaves de condição para especificar a própria VPC, um endpoint da VPC ou o endereço IP da VPC. É possível usar as chaves de condição aws:sourceVpc, aws:sourceVpce ou aws:VpcSourceIp.
Veja a seguir um exemplo de política que você pode anexar a um bucket do S3 para negar todo tráfego para o bucket, a menos que ele seja proveniente da sua VPC.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictAccessToOutputBucket", "Effect": "Deny", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket", "arn:aws:s3:::bucket/*" ], "Condition": { "StringNotEquals": { "aws:sourceVpc": "your-vpc-id" } } } ] }Para obter mais exemplos, consulte Controlar o acesso usando políticas de bucket.
