(示例)使用以下方法限制对您的 Amazon S3 数据的数据访问 VPC - Amazon Bedrock

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

(示例)使用以下方法限制对您的 Amazon S3 数据的数据访问 VPC

您可以使用VPC来限制访问您的 Amazon S3 存储桶中的数据。为了进一步提高安全性,您可以将您的配置VPC为无法访问互联网,然后使用为其创建终端节点 AWS PrivateLink。 您还可以通过将基于资源的策略附加到VPC终端节点或 S3 存储桶来限制访问权限。

创建 Amazon S3 VPC 终端节点

如果您将您的VPC配置为无法访问互联网,则需要创建一个 Amazon S3 VPC 终端节点,以允许您的模型自定义任务访问存储您的训练和验证数据以及存储模型工件的 S3 存储桶。

按照为 Amazon S3 创建网关VPC终端节点中的步骤创建 S3 终端节点

注意

如果您不使用默认DNS设置VPC,则需要通过配置终端节点路由表来确保训练作业中数据位置的解析。URLs有关VPC终端节点路由表的信息,请参阅网关终端节点路由

(可选)使用IAM策略限制对您的 S3 文件的访问

您可以使用基于资源的策略来更严格地控制对 S3 文件的访问。您可以使用以下类型的基于资源的策略的任意组合。

  • 终端节点策略-您可以将终端节点策略附加到您的VPC终端节点,以限制通过VPC终端节点进行访问。默认终端节点策略允许您中的任何用户或服务完全访问 Amazon S3 VPC。在创建终端节点时或创建终端节点之后,您可以选择将基于资源的策略附加到终端节点以添加限制,例如仅允许终端节点访问特定存储桶或仅允许特定IAM角色访问终端节点。有关示例,请参阅编辑终VPC端节点策略

    以下是您可以附加到VPC终端节点的示例策略,仅允许其访问您指定的存储桶。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictAccessToTrainingBucket", "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket", "arn:aws:s3:::bucket/*" ] } ] }
  • 存储桶策略-您可以将存储桶策略附加到 S3 存储桶以限制对其的访问。要创建存储桶策略,请按照使用存储桶策略中的步骤进行操作。要限制对来自您的流量的访问VPC,您可以使用条件键来指定VPC其本身、VPC终端节点或 IP 地址VPC。你可以使用 a ws: sourceVpc、a ws: sourceVpce 或 a ws: VpcSourceIp 条件键。

    以下是您可以附加到 S3 存储桶的策略示例,以拒绝所有流向该存储桶的流量,除非流量来自您的流量VPC。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictAccessToOutputBucket", "Effect": "Deny", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket", "arn:aws:s3:::bucket/*" ], "Condition": { "StringNotEquals": { "aws:sourceVpc": "your-vpc-id" } } } ] }

    有关更多示例,请参阅使用存储桶策略控制访问权限