Steuern des Zugriffs von VPC Endpunkten aus mit Bucket-Richtlinien - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Steuern des Zugriffs von VPC Endpunkten aus mit Bucket-Richtlinien

Sie können Amazon S3 S3-Bucket-Richtlinien verwenden, um den Zugriff auf Buckets von bestimmten Virtual Private Cloud (VPC) -Endpunkten oder bestimmten zu kontrollieren. VPCs Dieser Abschnitt enthält Beispiel-Bucket-Richtlinien, mit denen Sie den Amazon S3 S3-Bucket-Zugriff von VPC Endpunkten aus steuern können. Informationen zum Einrichten von VPC Endpunkten finden Sie unter VPCEndgeräte im VPC Benutzerhandbuch.

A VPC ermöglicht Ihnen den Start AWS Ressourcen in ein von Ihnen definiertes virtuelles Netzwerk. Ein VPC Endpunkt ermöglicht es Ihnen, eine private Verbindung zwischen Ihrem VPC und einem anderen herzustellen AWS-Service. Für diese private Verbindung ist kein Zugriff über das Internet, über eine virtuelle private Netzwerkverbindung (VPN), über eine NAT Instanz oder über AWS Direct Connect.

Ein VPC Endpunkt für Amazon S3 ist eine logische Einheit innerhalb einerVPC, die nur Konnektivität zu Amazon S3 ermöglicht. Der VPC Endpunkt leitet Anfragen an Amazon S3 weiter und leitet Antworten zurück an denVPC. VPCEndpunkte ändern nur die Art und Weise, wie Anfragen weitergeleitet werden. Öffentliche Endpunkte und DNS Namen von Amazon S3 funktionieren weiterhin mit VPC Endpunkten. Wichtige Informationen zur Verwendung von VPC Endpunkten mit Amazon S3 finden Sie unter Gateway-Endpunkte und Gateway-Endpunkte für Amazon S3 im VPC Benutzerhandbuch.

VPCEndpunkte für Amazon S3 bieten zwei Möglichkeiten, den Zugriff auf Ihre Amazon S3 S3-Daten zu kontrollieren:

  • Sie können die Anfragen, Benutzer oder Gruppen steuern, die über einen bestimmten VPC Endpunkt zugelassen werden. Informationen zu dieser Art der Zugriffskontrolle finden Sie im Benutzerhandbuch unter Steuern des Zugriffs auf VPC Endgeräte mithilfe von VPC Endpunktrichtlinien.

  • Mithilfe der Amazon S3 S3-Bucket-Richtlinien können Sie kontrollieren, welche VPCs oder welche VPC Endpunkte Zugriff auf Ihre Buckets haben. Beispiele für diese Art Zugriffssteuerung durch Bucket-Richtlinienfinden Sie in den folgenden Themen zur Zugriffsbeschränkung.

Wichtig

Wenn Sie die in diesem Abschnitt beschriebenen Amazon S3 S3-Bucket-Richtlinien für VPC Endgeräte anwenden, können Sie Ihren Zugriff auf den Bucket unbeabsichtigt blockieren. Bucket-Berechtigungen, mit denen der Bucket-Zugriff speziell auf Verbindungen beschränkt werden soll, die von Ihrem VPC Endpunkt ausgehen, können alle Verbindungen zum Bucket blockieren. Informationen zur Behebung dieses Problems finden Sie unter Wie behebe ich meine Bucket-Richtlinie, wenn sie die falsche VPC oder die VPC Endpunkt-ID hat? in der AWS Support Wissenszentrum.

Beschränken des Zugriffs auf einen bestimmten Endpunkt VPC

Im Folgenden finden Sie ein Beispiel für eine Amazon S3 S3-Bucket-Richtlinie, die den Zugriff auf einen bestimmten Bucket nur von dem VPC Endpunkt mit der ID vpce-1a2b3c4d aus einschränkt. awsexamplebucket1 Wenn der angegebene Endpunkt nicht verwendet wird, verweigert die Richtlinie jeglichen Zugriff auf den Bucket. Die aws:SourceVpce Bedingung gibt den Endpunkt an. Die aws:SourceVpce Bedingung erfordert keinen Amazon-Ressourcennamen (ARN) für die VPC Endpunktressource, sondern nur die VPC Endpunkt-ID. Weitere Informationen über die Verwendung von Bedingungen in einer Richtlinie finden Sie unter Beispiele für Bucket-Richtlinien mit Bedingungsschlüsseln.

Wichtig
  • Bevor Sie die folgende Beispielrichtlinie verwenden, ersetzen Sie die VPC Endpunkt-ID durch einen für Ihren Anwendungsfall geeigneten Wert. Andernfalls können Sie nicht auf Ihren Bucket zugreifen.

  • Diese Richtlinie deaktiviert den Konsolenzugriff auf den angegebenen Bucket, da Konsolenanfragen nicht vom angegebenen VPC Endpunkt stammen.

{ "Version": "2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Access-to-specific-VPCE-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::awsexamplebucket1", "arn:aws:s3:::awsexamplebucket1/*"], "Condition": { "StringNotEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" } } } ] }

Beschränken Sie den Zugriff auf einen bestimmten VPC

Mithilfe der Bedingung können Sie eine Bucket-Richtlinie erstellen, die den Zugriff auf eine bestimmte VPC Kategorie einschränkt. aws:SourceVpc Dies ist nützlich, wenn Sie mehrere VPC Endgeräte auf demselben VPC Gerät konfiguriert haben und den Zugriff auf Ihre Amazon S3 S3-Buckets für all Ihre Endgeräte verwalten möchten. Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die Dritten den Zugriff auf awsexamplebucket1 und ihre Objekte verweigert. VPC vpc-111bbb22 Wenn die angegebene Option VPC nicht verwendet wird, verweigert die Richtlinie jeglichen Zugriff auf den Bucket. Diese Anweisung gewährt keinen Zugriff auf den Bucket. Um Zugriff zu gewähren, müssen Sie eine separate Allow Erklärung hinzufügen. Für den vpc-111bbb22 Bedingungsschlüssel ist kein ARN für die VPC Ressource erforderlich, sondern nur die VPC ID.

Wichtig
  • Bevor Sie die folgende Beispielrichtlinie verwenden, ersetzen Sie die VPC ID durch einen Wert, der Ihrem Anwendungsfall entspricht. Andernfalls können Sie nicht auf Ihren Bucket zugreifen.

  • Diese Richtlinie deaktiviert den Konsolenzugriff auf den angegebenen Bucket, da Konsolenanfragen nicht aus dem angegebenen VPC Bucket stammen.

{ "Version": "2012-10-17", "Id": "Policy1415115909153", "Statement": [ { "Sid": "Access-to-specific-VPC-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::awsexamplebucket1", "arn:aws:s3:::awsexamplebucket1/*"], "Condition": { "StringNotEquals": { "aws:SourceVpc": "vpc-111bbb22" } } } ] }