本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用儲存貯體政策控制 VPC 端點的存取
您可以使用 Amazon S3 儲存貯體政策來控制從特定虛擬私有雲端 (VPC) 端點或特定 VPCs 存取儲存貯體。本節包含範例儲存貯體政策,可用來控制 VPC 端點的 Amazon S3 儲存貯體存取。若要了解如何設定 VPC 端點,請參閱 VPC 使用者指南中的 Word 端點。 VPC
VPC 可讓您在定義的虛擬網路中啟動 AWS 資源。VPC 端點可讓您在 VPC 與其他 之間建立私有連線 AWS 服務。此私有連線不需要透過網際網路、虛擬私有網路 (VPN) 連線、NAT 執行個體或透過 存取 AWS Direct Connect。
Amazon S3 的 VPC 端點是 VPC 內的邏輯實體,僅允許連線至 Amazon S3。VPC 端點會將請求路由至 Amazon S3,並將回應路由回 VPC。VPC 端點只會變更請求的路由方式。Amazon S3 公有端點和 DNS 名稱將繼續與 VPC 端點搭配使用。如需將 VPC 端點與 Amazon S3 搭配使用的重要資訊,請參閱 Word 使用者指南中的閘道端點和 Amazon S3 的閘道端點。 VPC
Amazon S3 的 VPC 端點提供兩種方法來控制對 Amazon S3 資料的存取:
-
您可以控制透過特定 VPC 端點允許的請求、使用者或群組。如需有關此類型存取控制的資訊,請參閱 VPC 使用者指南中的使用端點政策控制對 Word 端點的存取。 VPC
-
您可以使用 Amazon S3 儲存貯體政策來控制哪些 VPCs 或 VPC 端點可以存取您的儲存貯體。如需這類儲存貯體政策存取控制的範例,請參閱下列限制存取主題。
重要
將 Amazon S3 儲存貯體政策套用至本節所述的 VPC 端點時,您可能會無意中封鎖對儲存貯體的存取。儲存貯體許可,旨在特別限制儲存貯體存取來自 VPC 端點的連線,可能會封鎖所有連線至儲存貯體的連線。如需有關如何修正此問題的資訊,請參閱 AWS Support 知識中心中的當儲存貯體政策有錯誤的 VPC 或 VPC 端點 ID 時如何修正?
限制對特定 VPC 端點的存取
以下是 Amazon S3 儲存貯體政策的範例,該政策awsexamplebucket1
僅限制從 ID 為 的 VPC 端點存取特定儲存貯體 vpce-1a2b3c4d
。如果未使用指定的端點,政策會拒絕對儲存貯體的所有存取。aws:SourceVpce
條件會指定端點。此aws:SourceVpce
條件不需要 VPC 端點資源的 Amazon Resource Name (ARN),只需要 VPC 端點 ID。如需在政策中使用條件的詳細資訊,請參閱「使用條件索引鍵的儲存貯體政策範例」。
重要
-
使用下列範例政策之前,請將 VPC 端點 ID 取代為您的使用案例的適當值。否則,您將無法存取儲存貯體。
-
此政策會停用主控台對指定儲存貯體的存取,因為主控台請求並非源自指定的 VPC 端點。
{ "Version": "2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Access-to-specific-VPCE-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::
awsexamplebucket1
", "arn:aws:s3:::awsexamplebucket1
/*"], "Condition": { "StringNotEquals": { "aws:SourceVpce": "vpce-1a2b3c4d
" } } } ] }
限制對特定 VPC 的存取
您可以使用 aws:SourceVpc
條件建立儲存貯體政策,限制對特定 VPC 的存取。如果您在同一個 VPC 中設定了多個 VPC 端點,並且您想要管理所有端點對 Amazon S3 儲存貯體的存取,這很有用。以下是拒絕從 VPC 以外的任何人存取 awsexamplebucket1
及其物件的政策範例vpc-111bbb22
。如果未使用指定的 VPC,政策會拒絕對儲存貯體的所有存取。此陳述式不會授予儲存貯體的存取權。若要授予存取權,您必須新增單獨的Allow
陳述式。vpc-111bbb22
條件索引鍵不需要 ARN 作為 VPC 資源,只需要 VPC ID。
重要
-
使用下列範例政策之前,請將 VPC ID 取代為您的使用案例的適當值。否則,您將無法存取儲存貯體。
-
此政策會停用主控台對指定儲存貯體的存取,因為主控台請求並非源自指定的 VPC。
{ "Version": "2012-10-17", "Id": "Policy1415115909153", "Statement": [ { "Sid": "Access-to-specific-VPC-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::
awsexamplebucket1
", "arn:aws:s3:::awsexamplebucket1
/*"], "Condition": { "StringNotEquals": { "aws:SourceVpc": "vpc-111bbb22
" } } } ] }