使用儲存貯體政策控制VPC端點的存取 - Amazon Simple Storage Service
限制對特定VPC端點的存取限制對特定 的存取 VPC

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用儲存貯體政策控制VPC端點的存取

您可以使用 Amazon S3 儲存貯體政策來控制從特定虛擬私有雲端 (VPC) 端點或特定 存取儲存貯體VPCs。本節包含範例儲存貯體政策,可用來從VPC端點控制 Amazon S3 儲存貯體存取。若要了解如何設定VPC端點,請參閱 VPC 使用者指南 中的VPC端點

VPC 可讓您將 AWS 資源啟動至您定義的虛擬網路。VPC 端點可讓您在 VPC和其他 之間建立私有連線 AWS 服務。此私有連線不需要透過網際網路、虛擬私有網路 (VPN) 連線、NAT執行個體或 存取 AWS Direct Connect。

Amazon S3 的VPC端點是 內的邏輯實體VPC,僅允許連線至 Amazon S3。VPC 端點會將請求路由至 Amazon S3,並將回應路由回 VPC。VPC 端點只會變更請求的路由方式。Amazon S3 公有端點和DNS名稱將繼續使用VPC端點。如需搭配 Amazon S3 使用VPC端點的重要資訊,請參閱 VPC 使用者指南 中的閘道端點Amazon S3 閘道端點

VPC Amazon S3 的端點提供兩種方法來控制對 Amazon S3 資料的存取:

  • 您可以控制透過特定VPC端點允許的請求、使用者或群組。如需有關此存取控制類型的資訊,請參閱 VPC 使用者指南 中的使用VPC端點政策控制對端點的存取

  • 您可以使用 Amazon S3 儲存貯體政策來控制哪些 VPCs或 VPC 端點可以存取您的儲存貯體。如需這類儲存貯體政策存取控制的範例,請參閱下列限制存取主題。

重要

將 Amazon S3 儲存貯體政策套用至本節所述的VPC端點時,您可能會無意中封鎖對儲存貯體的存取。儲存貯體許可旨在特別限制儲存貯體對源自VPC端點之連線的存取,可能會封鎖對儲存貯體的所有連線。如需有關如何修正此問題的資訊,請參閱 AWS Support 知識中心 中的當儲存貯體政策有錯誤VPC或VPC端點 ID 時如何修正?

限制對特定VPC端點的存取

以下是 Amazon S3 儲存貯體政策的範例awsexamplebucket1,該政策限制只能從 ID 為 的VPC端點存取特定儲存貯體 vpce-1a2b3c4d。如果未使用指定的端點,政策會拒絕對儲存貯體的所有存取。aws:SourceVpce 條件會指定端點。aws:SourceVpce 條件不需要VPC端點資源的 Amazon Resource Name (ARN),只需要VPC端點 ID。如需在政策中使用條件的詳細資訊,請參閱「使用條件索引鍵的儲存貯體政策範例」。

重要

  • 使用下列範例政策之前,請將VPC端點 ID 取代為您的使用案例的適當值。否則,您將無法存取儲存貯體。

  • 此政策會停用主控台對指定儲存貯體的存取,因為主控台請求並非源自指定的VPC端點。

{
   "Version": "2012-10-17",
   "Id": "Policy1415115909152",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPCE-only",
       "Principal": "*",
       "Action": "s3:*",
       "Effect": "Deny",
       "Resource": ["arn:aws:s3:::awsexamplebucket1",
                    "arn:aws:s3:::awsexamplebucket1/*"],
       "Condition": {
         "StringNotEquals": {
           "aws:SourceVpce": "vpce-1a2b3c4d"
         }
       }
     }
   ]
}

限制對特定 的存取 VPC

您可以使用 aws:SourceVpc條件建立儲存貯體政策,限制對特定 VPC的存取。如果您在相同的 中設定了多個VPC端點VPC,並且想要管理所有端點對 Amazon S3 儲存貯體的存取,這很有用。以下是拒絕從 外部任何人存取 awsexamplebucket1及其物件的政策範例VPCvpc-111bbb22。如果VPC未使用指定的 ,政策會拒絕對儲存貯體的所有存取。此陳述式不會授予儲存貯體的存取權。若要授予存取權,您必須新增單獨的Allow陳述式。vpc-111bbb22 條件金鑰不需要 ARN 資源的 VPC,只需要 VPC ID。

重要

  • 使用下列範例政策之前,請將 VPC ID 取代為您的使用案例的適當值。否則,您將無法存取儲存貯體。

  • 此政策會停用主控台對指定儲存貯體的存取,因為主控台請求並非源自指定的 VPC。

{
   "Version": "2012-10-17",
   "Id": "Policy1415115909153",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPC-only",
       "Principal": "*",
       "Action": "s3:*",
       "Effect": "Deny",
       "Resource": ["arn:aws:s3:::awsexamplebucket1",
                    "arn:aws:s3:::awsexamplebucket1/*"],
       "Condition": {
         "StringNotEquals": {
           "aws:SourceVpc": "vpc-111bbb22"
         }
       }
     }
   ]
}