Erstellen von Zugriffspunkten, die auf eine Virtual Private Cloud beschränkt sind - Amazon Simple Storage Service
Beispiel: Einen Access Point erstellen und auf eine VPC-ID beschränkenBeispiel: Erstellen Sie einen Access Point, der an ein FSx for OpenZFS-Volume angehängt ist, und beschränken Sie ihn auf eine VPC-ID

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen von Zugriffspunkten, die auf eine Virtual Private Cloud beschränkt sind

Wenn Sie einen Access Point erstellen, können Sie wählen, ob der Access Point über das Internet zugänglich sein soll, oder Sie können angeben, dass alle über diesen Access Point gestellten Anfragen von einer bestimmten Virtual Private Cloud (VPC) stammen müssen. Ein Zugangspunkt, der über das Internet zugänglich ist, soll einen Netzwerkursprung von Internet haben. Er kann von überall im Internet aus verwendet werden, sofern alle anderen Zugriffsbeschränkungen für den Access Point, die zugrunde liegende Datenquelle und zugehörige Ressourcen, wie z. B. die angeforderten Objekte, gelten. Ein Zugriffspunkt, auf den nur von einer angegebenen VPC aus zugegriffen werden kann, hat den Netzwerkursprung VPC. Amazon S3 weist jede Anforderung an den Zugriffspunkt zurück, die nicht von dieser VPC stammt.

Wichtig

Sie können den Netzwerkursprung eines Zugriffspunkts nur angeben, wenn Sie den Zugriffspunkt erstellen. Nachdem Sie den Zugriffspunkt erstellt haben, können Sie seinen Netzwerkursprung nicht mehr ändern.

Um einen Zugriffspunkt auf reinen VPC-Zugriff zu beschränken, fügen Sie den Parameter VpcConfiguration in die Anforderung zum Erstellen des Zugriffspunkts ein. Im Parameter VpcConfiguration geben Sie die VPC-ID an, die in der Lage sein soll, den Zugriffspunkt zu verwenden. Wenn eine Anfrage über den Zugriffspunkt erfolgt, muss die Anfrage von der VPC stammen, sonst lehnt Amazon S3 sie ab.

Sie können den Netzwerkursprung eines Access Points mithilfe von AWS CLI AWS SDKs, oder REST abrufen APIs. Wenn für einen Zugriffspunkt eine VPC-Konfiguration angegeben ist, lautet der Netzwerkursprung VPC. Andernfalls ist der Netzwerkursprung des Zugriffspunkts Internet.

Beispiel: Einen Access Point erstellen und auf eine VPC-ID beschränken

Im folgenden Beispiel wird ein Zugriffspunkt mit dem Namen example-vpc-ap für Bucket amzn-s3-demo-bucket in Konto 123456789012 erstellt, der den Zugriff nur von der VPC vpc-1a2b3c aus zulässt. Das Beispiel überprüft dann, ob der neue Zugriffspunkt den Netzwerkursprung VPC hat.

AWS CLI
aws s3control create-access-point --name example-vpc-ap --account-id 123456789012 --bucket amzn-s3-demo-bucket --vpc-configuration VpcId=vpc-1a2b3c
aws s3control get-access-point --name example-vpc-ap --account-id 123456789012

{
    "Name": "example-vpc-ap",
    "Bucket": "amzn-s3-demo-bucket",
    "NetworkOrigin": "VPC",
    "VpcConfiguration": {
        "VpcId": "vpc-1a2b3c"
    },
    "PublicAccessBlockConfiguration": {
        "BlockPublicAcls": true,
        "IgnorePublicAcls": true,
        "BlockPublicPolicy": true,
        "RestrictPublicBuckets": true
    },
    "CreationDate": "2019-11-27T00:00:00Z"
}

Um einen Zugriffspunkt mit einer VPC zu verwenden, müssen Sie die Zugriffsrichtlinie für Ihren VPC-Endpunkt ändern. VPC-Endpunkte ermöglichen den Datenfluss von Ihrer VPC zu Amazon S3. Sie verfügen über Zugriffssteuerungsrichtlinien, die kontrollieren, wie Ressourcen innerhalb der VPC mit Amazon S3 interagieren dürfen. Anforderungen von Ihrer VPC an Amazon S3 werden nur dann über einen Zugriffspunkt erfolgreich ausgeführt, wenn die VPC-Endpunktrichtlinie sowohl Zugriff auf den Zugriffspunkt als auch auf den zugrunde liegenden Bucket gewährt.

Anmerkung

Damit Ressourcen nur innerhalb einer VPC zugänglich sind, erstellen Sie unbedingt eine privat gehostete Zone für Ihren VPC-Endpunkt. Wenn Sie eine privat gehostete Zone verwenden möchten, ändern Sie Ihre VPC-Einstellungen so, dass die VPC-Netzwerkattribute enableDnsHostnames und enableDnsSupport auf true festgelegt sind.

In der folgenden Beispielrichtlinienanweisung wird ein VPC-Endpunkt so konfiguriert, dass Aufrufe von GetObject für einen Bucket mit dem Namen awsexamplebucket1 und einen Zugriffspunkt mit dem Namen example-vpc-ap zulässig sind.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::awsexamplebucket1/*",
            "arn:aws:s3:us-west-2:123456789012:accesspoint/example-vpc-ap/object/*"
        ]
    }]
}
Anmerkung

Die "Resource"-Deklaration in diesem Beispiel verwendet einen Amazon-Ressourcennamen (ARN) zur Angabe des Zugriffspunkts. Weitere Informationen zum Access Point finden Sie ARNs unterReferenzierung von Access Points im Stil von Access Points mit ARNs Aliasnamen oder virtuell gehostetem URIs.

Weitere Informationen zu VPC-Endpunktrichtlinien finden Sie unter Verwenden von Endpoint-Richtlinien für Amazon S3 im VPC-Benutzerhandbuch.

Ein Tutorial zur Erstellung von Access Points mit VPC-Endpunkten finden Sie unter Verwaltung des Amazon S3 S3-Zugriffs mit VPC-Endpunkten und Access Points.

Beispiel: Erstellen Sie einen Access Point, der an ein FSx for OpenZFS-Volume angehängt ist, und beschränken Sie ihn auf eine VPC-ID

Sie können mithilfe der FSx Amazon-Konsole oder API einen Access Point erstellen, der an ein FSx for OpenZFS-Volume angehängt AWS CLI wird. Nach dem Anhängen können Sie das S3-Objekt verwenden APIs , um von einer bestimmten VPC aus auf Ihre Dateidaten zuzugreifen.

Anweisungen zum Erstellen und Einschränken eines Access Points, der an ein FSx for OpenZFS-Volume angehängt ist, finden Sie unter Creating Access Points, die auf eine Virtual Private Cloud (VPC) beschränkt sind, im Benutzerhandbuch FSx für OpenZFS.