Steuern des Zugriffs von VPC-Endpunkten mit Bucket-Richtlinien - Amazon Simple Storage Service

Steuern des Zugriffs von VPC-Endpunkten mit Bucket-Richtlinien

Sie können Amazon-S3-Bucket-Richtlinien verwenden, um den Zugriff auf Buckets von bestimmten Virtual Private Cloud (VPC)-Endpunkten oder bestimmten VPCs aus zu steuern. Dieser Abschnitt enthält Beispiele für Bucket-Richtlinien, die für die Steuerung des Zugriffs auf Amazon-S3-Buckets von VPC-Endpunkten aus verwendet werden können. Informationen zum Einrichten von VPC-Endpunkten finden Sie unter VPC-Endpunkte im VPC-Benutzerhandbuch.

VPC ermöglicht es Ihnen, AWS-Ressourcen in einem von Ihnen definierten virtuellen Netzwerk zu starten. Ein Endpunkt ermöglicht Ihnen die Erstellung einer privaten Verbindung zwischen Ihrer VPC und einem anderen AWS-Service, ohne dass ein Zugriff über das Internet, eine VPN-Verbindung, eine NAT-Instance oder AWS Direct Connect erforderlich ist.

Ein Amazon VPC-Endpunkt für Amazon S3 ist eine logische Entität innerhalb einer VPC, die eine Verbindung nur zu Amazon S3 zulässt. Der VPC-Endpunkt leitet Anfragen an Amazon S3 weiter und die Antworten zurück an die VPC. VPC-Endpunkte steuern nur, wie Anfragen weitergeleitet werden. Die öffentlichen Endpunkte und DNS-Namen von Amazon S3 verwenden weiterhin VPC-Endpunkte. Wichtige Informationen zur Verwendung von VPC-Endpunkten mit Amazon S3 finden Sie unter Gateway VPC-Endpunkte und Endpunkte für Amazon S3 im VPC-Benutzerhandbuch.

VPC-Endpunkte für Amazon S3 bieten zwei Möglichkeiten, den Zugriff auf Ihre Amazon-S3-Daten zu steuern:

  • Sie können steuern, welche Anfragen, Benutzer oder Gruppen durch einen spezifischen VPC-Endpunkt erlaubt sind. Informationen zu dieser Art der Zugriffskontrolle finden Sie unter Kontrolle des Zugriffs auf Services mit VPC-Endpunkten im VPC-Benutzerhandbuch.

  • Sie können steuern, welche VPCs oder VPC-Endpunkte Zugriff auf Ihre Buckets haben, indem Sie Amazon-S3-Bucket-Richtlinien verwenden. Beispiele für diese Art Zugriffssteuerung durch Bucket-Richtlinienfinden Sie in den folgenden Themen zur Zugriffsbeschränkung.

Wichtig

Wenn Sie die in diesem Abschnitt beschriebenen Amazon-S3-Bucket-Richtlinien für VPC-Endpunkte anwenden, können Sie Ihren Zugriff auf den Bucket blockieren, ohne dies zu beabsichtigen. Bucket-Berechtigungen, die den Bucket-Zugriff auf Verbindungen, die von Ihrem VPC-Endpunkt ausgehen, gezielt einschränken sollen, können alle Verbindungen zum Bucket blockieren. Informationen zur Behebung dieses Problems finden Sie unter My bucket policy has the wrong VPC or VPC endpoint ID (Meine Bucket-Richtlinie hat die falsche VPC- oder VPC-Endpunkt-ID). Wie kann ich die Richtlinie so ändern, dass ich auf den Bucket zugreifen kann? im AWS Support Knowledge Center.

Beschränken des Zugriffs auf einen bestimmten VPC-Endpunkt

Nachfolgend finden Sie ein Beispiel für eine Amazon-S3-Bucket-Richtlinie, die den Zugriff auf einen bestimmten Bucket einschränkt, awsexamplebucket1, nur vom VPC-Endpunkt mit der ID vpce-1a2b3c4d. Die Richtlinie lehnt sämtlichen Zugriff auf den Bucket ab, der nicht über den angegebenen Endpunkt erfolgt. Der Endpunkt wird über die aws:SourceVpce-Bedingung festgelegt. Die aws:SourceVpce-Bedingung erfordert keinen Amazon-Ressourcennamen (ARN) für die VPC-Endpunkt-Ressource, sondern nur die VPC-Endpunkt-ID. Weitere Informationen über die Verwendung von Bedingungen in einer Richtlinie finden Sie unter Beispiele für Amazon-S3-Bedingungsschlüssel.

Wichtig
  • Bevor Sie die folgende Beispielrichtlinie verwenden, ersetzen Sie die VPC-Endpunkt-ID durch einen geeigneten Wert für Ihren Anwendungsfall. Andernfalls können Sie nicht auf Ihren Bucket zugreifen.

  • Diese Richtlinie deaktiviert den Konsolenzugriff auf den angegebenen Bucket, da Konsolenanforderungen nicht vom angegebenen VPC-Endpunkt stammen.

{ "Version": "2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Access-to-specific-VPCE-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::awsexamplebucket1", "arn:aws:s3:::awsexamplebucket1/*"], "Condition": { "StringNotEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" } } } ] }

Beschränkung des Zugriffs auf eine bestimmte VPC

Sie können eine Bucket-Richtlinie mit der aws:SourceVpc-Bedingung erstellen, die den Zugriff auf eine bestimmte VPC beschränkt. Dies ist hilfreich, wenn Sie mehrere VPC-Endpunkte innerhalb derselben VPC konfiguriert haben und den Zugriff auf Amazon-S3-Buckets für alle Endpunkte verwalten möchten. Nachfolgend finden Sie eine Beispielrichtlinie, die der VPC vpc-111bbb22 den Zugriff auf awsexamplebucket1 und dessen Objekte gewährt. Die Richtlinie lehnt sämtlichen Zugriff auf den Bucket ab, der nicht über die angegebene VPC erfolgt. Für den vpc-111bbb22-Bedingungsschlüssel wird kein ARN für die VPC-Ressource benötigt, sondern nur die VPC-ID.

Wichtig
  • Bevor Sie die folgende Beispielrichtlinie verwenden, ersetzen Sie die VPC-ID durch einen geeigneten Wert für Ihren Anwendungsfall. Andernfalls können Sie nicht auf Ihren Bucket zugreifen.

  • Diese Richtlinie deaktiviert den Konsolenzugriff auf den angegebenen Bucket, da Konsolenanforderungen nicht von der angegebenen VPC stammen.

{ "Version": "2012-10-17", "Id": "Policy1415115909153", "Statement": [ { "Sid": "Access-to-specific-VPC-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::awsexamplebucket1", "arn:aws:s3:::awsexamplebucket1/*"], "Condition": { "StringNotEquals": { "aws:SourceVpc": "vpc-111bbb22" } } } ] }