Amazon Simple Storage Service
Entwicklerhandbuch (API-Version 2006-03-01)

Beispiel für Bucket-Richtlinien für VPC-Endpunkte für Amazon S3

Sie können den Zugriff auf Buckets über bestimmte Amazon Virtual Private Cloud (Amazon VPC)-Endpunkte oder bestimmte VPCs über Amazon S3-Bucket-Richtlinien steuern. Dieser Abschnitt enthält exemplarische Bucket-Richtlinien, mit denen der Zugriff auf Amazon S3-Buckets von VPC-Endpunkten aus gesteuert werden kann. Informationen zum Einrichten von VPC-Endpunkten finden Sie unter VPC-Endpunkte im Amazon VPC Benutzerhandbuch.

Amazon VPC ermöglicht es Ihnen, AWS-Ressourcen in einem von Ihnen definierten virtuellen Netzwerk zu starten. Ein VPC-Endpunkt ermöglicht es Ihnen, eine private Verbindung zwischen Ihrer VPC und einem anderen AWS-Service herzustellen, ohne dass Sie über das Internet, über eine VPN-Verbindung, über eine NAT-Instance oder über AWS Direct Connect Zugang benötigen.

Ein VPC-Endpunkt für Amazon S3 ist eine logische Entity innerhalb einer VPC, die ausschließlich Verbindungen mit Amazon S3 zulässt. Der VPC-Endpunkt leitet Anforderungen an Amazon S3 weiter und die Antworten zurück an die VPC. VPC-Endpunkte verändern ausschließlich die Art der Weiterleitung von Anforderungen. Öffentliche Amazon S3-Endpunkte und DNS-Namen funktionieren für VPC-Endpunkte weiterhin. Wichtige Informationen zur Verwendung von Amazon VPC-Endpunkten mit Amazon S3 finden Sie unter VPC-Gateway-Endpunkte und Endpunkte für Amazon S3 im Amazon VPC Benutzerhandbuch.

VPC-Endpunkte für Amazon S3 unterstützen die Kontrolle des Zugriffs auf Ihre Amazon S3-Daten auf zwei Arten:

  • Sie können steuern, welche Anfragen, Benutzer oder Gruppen durch einen spezifischen VPC-Endpunkt erlaubt sind. Informationen zu dieser Art der Zugriffssteuerung finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten in der Amazon VPC Benutzerhandbuch.

  • Sie können steuern, welche VPCs oder VPC-Endpunkte Zugriff auf Ihre Buckets haben, indem Sie Amazon S3-Bucket-Richtlinien verwenden. Beispiele für diese Art Zugriffssteuerung durch Bucket-Richtlinienfinden Sie in den folgenden Themen zur Zugriffsbeschränkung.

Wichtig

Wenn Sie die in diesem Abschnitt beschriebenen Amazon S3-Bucket-Richtlinien für VPC-Endpunkte anwenden, können Sie Ihren Zugriff auf den Bucket blockieren, ohne dies zu beabsichtigen. Bucket-Berechtigungen, die den Bucket-Zugriff auf Verbindungen, die von Ihrem VPC-Endpunkt ausgehen, gezielt einschränken sollen, können alle Verbindungen zum Bucket blockieren. Informationen zur Behebung dieses Problems finden Sie unter Meine Bucket-Richtlinie hat die falsche VPC- oder VPC-Endpunkt-ID. Wie kann ich die Richtlinie so ändern, dass ich auf den Bucket zugreifen kann? im AWS Support Knowledge Center.

Beschränken des Zugriffs auf einen bestimmten VPC-Endpunkt

Das Folgende ist ein Beispiel für eine Amazon S3-Bucket-Richtlinie, die den Zugriff auf einen bestimmten Bucket (examplebucket) nur vom VPC-Endpunkt mit der ID vpce-1a2b3c4d aus beschränkt. Die Richtlinie lehnt sämtlichen Zugriff auf den Bucket ab, der nicht über den angegebenen Endpunkt erfolgt. Der Endpunkt wird über die aws:sourceVpce-Bedingung festgelegt. Die aws:sourceVpce-Bedingung erfordert keinen Amazon-Ressourcennamen (ARN) für die VPC-Endpunkt-Ressource, sondern nur die VPC-Endpunkt-ID. Weitere Informationen über die Verwendung von Bedingungen in einer Richtlinie finden Sie unter Angeben von Bedingungen in einer Richtlinie.

{ "Version": "2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Access-to-specific-VPCE-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::examplebucket", "arn:aws:s3:::examplebucket/*"], "Condition": { "StringNotEquals": { "aws:sourceVpce": "vpce-1a2b3c4d" } } } ] }

Beschränkung des Zugriffs auf eine bestimmte VPC

Sie können eine Bucket-Richtlinie mit der aws:sourceVpc-Bedingung erstellen, die den Zugriff auf eine bestimmte VPC beschränkt. Dies ist hilfreich, wenn Sie mehrere VPC-Endpunkte in der gleichen VPC konfiguriert haben und den Zugriff auf Ihre Amazon S3-Buckets für alle Ihre Endpunkte verwalten möchten. Nachfolgend finden Sie eine Beispielrichtlinie, die der VPC vpc-111bbb22 den Zugriff auf examplebucket und dessen Objekte gewährt. Die Richtlinie lehnt sämtlichen Zugriff auf den Bucket ab, der nicht über die angegebene VPC erfolgt. Für den vpc-111bbb22-Bedingungsschlüssel wird kein ARN für die VPC-Ressource benötigt, sondern nur die VPC-ID.

{ "Version": "2012-10-17", "Id": "Policy1415115909153", "Statement": [ { "Sid": "Access-to-specific-VPC-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::examplebucket", "arn:aws:s3:::examplebucket/*"], "Condition": { "StringNotEquals": { "aws:sourceVpc": "vpc-111bbb22" } } } ] }