Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Steuern des Zugriffs von VPC-Endpunkten mit Bucket-Richtlinien
Sie können Amazon-S3-Bucket-Richtlinien verwenden, um den Zugriff auf Buckets von bestimmten Virtual Private Cloud (VPC)-Endpunkten oder bestimmten VPCs aus zu steuern. Dieser Abschnitt enthält Beispiele für Bucket-Richtlinien, die für die Steuerung des Zugriffs auf Amazon-S3-Buckets von VPC-Endpunkten aus verwendet werden können. Informationen zum Einrichten von VPC-Endpunkten finden Sie unter VPC-Endpunkte im VPC-Benutzerhandbuch.
Mit der VPC können Sie - AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk starten. Ein VPC-Endpunkt ermöglicht es Ihnen, eine private Verbindung zwischen Ihrer VPC und einem anderen - AWS Service herzustellen, ohne dass ein Zugriff über das Internet, über eine VPN-Verbindung, über eine NAT-Instance oder über erforderlich ist AWS Direct Connect.
Ein Amazon VPC-Endpunkt für Amazon S3 ist eine logische Entität innerhalb einer VPC, die eine Verbindung nur zu Amazon S3 zulässt. Der VPC-Endpunkt leitet Anfragen an Amazon S3 weiter und die Antworten zurück an die VPC. VPC-Endpunkte steuern nur, wie Anfragen weitergeleitet werden. Die öffentlichen Endpunkte und DNS-Namen von Amazon S3 verwenden weiterhin VPC-Endpunkte. Wichtige Informationen zur Verwendung von VPC-Endpunkten mit Amazon S3 finden Sie unter Gateway VPC-Endpunkte und Endpunkte für Amazon S3 im VPC-Benutzerhandbuch.
VPC-Endpunkte für Amazon S3 bieten zwei Möglichkeiten, den Zugriff auf Ihre Amazon-S3-Daten zu steuern:
-
Sie können steuern, welche Anfragen, Benutzer oder Gruppen durch einen spezifischen VPC-Endpunkt erlaubt sind. Informationen zu dieser Art der Zugriffskontrolle finden Sie unter Kontrolle des Zugriffs auf Services mit VPC-Endpunkten im VPC-Benutzerhandbuch.
-
Sie können steuern, welche VPCs oder VPC-Endpunkte Zugriff auf Ihre Buckets haben, indem Sie Amazon-S3-Bucket-Richtlinien verwenden. Beispiele für diese Art Zugriffssteuerung durch Bucket-Richtlinienfinden Sie in den folgenden Themen zur Zugriffsbeschränkung.
Themen
Wichtig
Wenn Sie die in diesem Abschnitt beschriebenen Amazon-S3-Bucket-Richtlinien für VPC-Endpunkte anwenden, können Sie Ihren Zugriff auf den Bucket blockieren, ohne dies zu beabsichtigen. Bucket-Berechtigungen, die den Bucket-Zugriff auf Verbindungen, die von Ihrem VPC-Endpunkt ausgehen, gezielt einschränken sollen, können alle Verbindungen zum Bucket blockieren. Informationen zur Behebung dieses Problems finden Sie unter My bucket policy has the wrong VPC or VPC endpoint ID (Meine Bucket-Richtlinie hat die falsche VPC- oder VPC-Endpunkt-ID). Wie kann ich die Richtlinie so ändern, dass ich auf den Bucket zugreifen kann? im
Beschränken des Zugriffs auf einen bestimmten VPC-Endpunkt
Nachfolgend finden Sie ein Beispiel für eine Amazon-S3-Bucket-Richtlinie, die den Zugriff auf einen bestimmten Bucket einschränkt, awsexamplebucket1, nur vom VPC-Endpunkt mit der ID vpce-1a2b3c4d. Die Richtlinie lehnt sämtlichen Zugriff auf den Bucket ab, der nicht über den angegebenen Endpunkt erfolgt. Der Endpunkt wird über die aws:SourceVpce-Bedingung festgelegt. Die aws:SourceVpce-Bedingung erfordert keinen Amazon-Ressourcennamen (ARN) für die VPC-Endpunkt-Ressource, sondern nur die VPC-Endpunkt-ID. Weitere Informationen über die Verwendung von Bedingungen in einer Richtlinie finden Sie unter Beispiele für Amazon-S3-Bedingungsschlüssel.
Wichtig
-
Bevor Sie die folgende Beispielrichtlinie verwenden, ersetzen Sie die VPC-Endpunkt-ID durch einen geeigneten Wert für Ihren Anwendungsfall. Andernfalls können Sie nicht auf Ihren Bucket zugreifen.
-
Diese Richtlinie deaktiviert den Konsolenzugriff auf den angegebenen Bucket, da Konsolenanforderungen nicht vom angegebenen VPC-Endpunkt stammen.
{ "Version": "2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Access-to-specific-VPCE-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::awsexamplebucket1", "arn:aws:s3:::awsexamplebucket1/*"], "Condition": { "StringNotEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" } } } ] }
Beschränkung des Zugriffs auf eine bestimmte VPC
Sie können eine Bucket-Richtlinie mit der aws:SourceVpc-Bedingung erstellen, die den Zugriff auf eine bestimmte VPC beschränkt. Dies ist hilfreich, wenn Sie mehrere VPC-Endpunkte innerhalb derselben VPC konfiguriert haben und den Zugriff auf Amazon-S3-Buckets für alle Endpunkte verwalten möchten. Nachfolgend finden Sie eine Beispielrichtlinie, die awsexamplebucket1 den Zugriff auf seine Objekte von Benutzern außerhalb der VPC vpc-111bbb22 verweigert. Die Richtlinie lehnt sämtlichen Zugriff auf den Bucket ab, der nicht über die angegebene VPC erfolgt. Diese Anweisung gewährt keinen Zugriff, dafür müssen Sie eine separate Allow-Anweisung hinzufügen. Für den vpc-111bbb22-Bedingungsschlüssel wird kein ARN für die VPC-Ressource benötigt, sondern nur die VPC-ID.
Wichtig
-
Bevor Sie die folgende Beispielrichtlinie verwenden, ersetzen Sie die VPC-ID durch einen geeigneten Wert für Ihren Anwendungsfall. Andernfalls können Sie nicht auf Ihren Bucket zugreifen.
-
Diese Richtlinie deaktiviert den Konsolenzugriff auf den angegebenen Bucket, da Konsolenanforderungen nicht von der angegebenen VPC stammen.
{ "Version": "2012-10-17", "Id": "Policy1415115909153", "Statement": [ { "Sid": "Access-to-specific-VPC-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::awsexamplebucket1", "arn:aws:s3:::awsexamplebucket1/*"], "Condition": { "StringNotEquals": { "aws:SourceVpc": "vpc-111bbb22" } } } ] }
