本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
(範例) 使用以下方式限制對 Amazon S3 資料的資料存取 VPC
您可以使用VPC來限制對 Amazon S3 儲存貯體中資料的存取。為了進一步的安全性,您VPC可以配置沒有 Internet 訪問權限的情況下,並為其創建端點 AWS PrivateLink。 您也可以將資源型政策附加到VPC端點或 S3 儲存貯體,以限制存取。
創建一個 Amazon S3 VPC 端點
如果您在沒VPC有網際網路存取權的情況下進行設定,則需要建立 Amazon S3 VPC 端點,以允許模型自訂任務存取 S3 儲存貯體,以存放您的訓練和驗證資料,並儲存模型成品。
按照為 Amazon S3 建立閘道VPC端點中的步驟建立 S3 端點。
注意
如果您不使用預DNS設設定VPC,則需要透過設定端點路由表來確保訓練工作中資料位置的解析。URLs如需VPC端點路由表的相關資訊,請參閱閘道端點的路由。
(選擇性) 使用IAM政策限制對 S3 檔案的存取
您可以使用以資源為基礎的政策來更嚴密地控制 S3 檔案的存取。您可以使用以下類型的以資源為基礎的策略的任意組合。
-
端點策略 — 您可以將端點策略附加到VPC端點,以限制通過VPC端點的訪問。預設端點政策允許您中的任何使用者或服務完整存取 Amazon S3 VPC。在建立端點時或建立端點之後,您可以選擇性地將資源型政策附加到端點以新增限制,例如僅允許端點存取特定值區,或僅允許特定IAM角色存取端點。如需範例,請參閱編輯VPC端點策略。
以下是您可以連接到VPC端點的示例策略,以僅允許其訪問您指定的存儲桶。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictAccessToTrainingBucket", "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket", "arn:aws:s3:::bucket/*" ] } ] } -
儲存貯體政策 — 您可以將儲存貯體政策附加到 S3 儲存貯體,以限制存取該儲存貯體。若要建立值區政策,請依照使用值區政策中的步驟執行。若要限制對來自您的流量的存取VPC,您可以使用條件金鑰來指定的VPC本身、VPC端點或 IP 位址VPC。您可以使用 aws: sourceVpc、aws: sourceVpce 或 aws: VpcSourceIp 條件金鑰。
以下是您可以附加到 S3 儲存貯體的範例政策,以拒絕儲存貯體的所有流量,除非它來自您的VPC.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictAccessToOutputBucket", "Effect": "Deny", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket", "arn:aws:s3:::bucket/*" ], "Condition": { "StringNotEquals": { "aws:sourceVpc": "your-vpc-id" } } } ] }如需更多範例,請參閱使用值區政策控制存取權。
