本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
(範例) 限制使用 VPC 存取 Amazon S3 資料的資料
您可以使用 VPC 來限制存取 Amazon S3 儲存貯體中的資料。為了進一步提高安全性,您可以設定 VPC,而不需要網際網路存取,並使用它建立端點 AWS PrivateLink。您也可以將資源型政策連接至 VPC 端點或 S3 儲存貯體,以限制存取。
建立 Amazon S3 VPC 端點
如果您在沒有網際網路存取的情況下設定 VPC,則需要建立 Amazon S3 VPC 端點,以允許模型自訂任務存取存放訓練和驗證資料的 S3 儲存貯體,並將存放模型成品。
遵循建立 Amazon S3 閘道端點的步驟來建立 S3 VPC 端點。 Amazon S3
注意
如果您不使用 VPC 的預設 DNS 設定,則需要透過設定端點路由表,確保訓練任務中資料位置的 URLs得以解析。如需 VPC 端點路由表的資訊,請參閱閘道端點的路由。
(選用) 使用 IAM 政策來限制對 S3 檔案的存取
您可以使用資源型政策來更緊密地控制對 S3 檔案的存取。您可以使用下列類型資源型政策的任意組合。
-
端點政策 – 您可以將端點政策連接至 VPC 端點,以限制透過 VPC 端點的存取。預設端點政策可讓 VPC 中的任何使用者或服務完整存取 Amazon S3。建立端點時或建立端點之後,您可以選擇將資源型政策連接至端點以新增限制,例如僅允許端點存取特定儲存貯體,或僅允許特定 IAM 角色存取端點。如需範例,請參閱編輯 VPC 端點政策。
以下是您可以連接到 VPC 端點的範例政策,只允許它存取您指定的儲存貯體。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictAccessToTrainingBucket", "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket", "arn:aws:s3:::bucket/*" ] } ] } -
儲存貯體政策 – 您可以將儲存貯體政策連接至 S3 儲存貯體,以限制其存取。若要建立儲存貯體政策,請遵循使用儲存貯體政策中的步驟。若要限制存取來自 VPC 的流量,您可以使用條件金鑰來指定 VPC 本身、VPC 端點或 VPC 的 IP 地址。您可以使用 aws:sourceVpc、aws:sourceVpce 或 aws:VpcSourceIp 條件金鑰。
以下是您可以連接到 S3 儲存貯體以拒絕所有流量到儲存貯體的範例政策,除非來自您的 VPC。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictAccessToOutputBucket", "Effect": "Deny", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket", "arn:aws:s3:::bucket/*" ], "Condition": { "StringNotEquals": { "aws:sourceVpc": "your-vpc-id" } } } ] }如需更多範例,請參閱使用儲存貯體政策控制存取。
