Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Steuern des Zugriffs von VPC-Endpunkten mit Bucket-Richtlinien
Sie können Amazon S3 S3-Bucket-Richtlinien verwenden, um den Zugriff auf Buckets von bestimmten oder bestimmten Virtual Private Cloud (VPC) -Endpunkten aus zu kontrollieren. VPCs Dieser Abschnitt enthält Beispiele für Bucket-Richtlinien, die Sie für die Steuerung des Zugriffs auf Amazon-S3-Buckets von VPC-Endpunkten aus verwenden können. Informationen zum Einrichten von VPC-Endpunkten finden Sie unter VPC-Endpunkte im VPC-Benutzerhandbuch.
Mit einer VPC können Sie AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk starten. Mithilfe eines VPC-Endpunkts können Sie eine private Verbindung zwischen Ihrer VPC und anderen AWS-Service-Services erstellen. Für diese private Verbindung ist kein Zugriff über das Internet, eine Virtual Private Network (VPN)-Verbindung, eine NAT-Instance oder AWS Direct Connect erforderlich.
Ein Amazon VPC-Endpunkt für Amazon S3 ist eine logische Entität innerhalb einer VPC, die eine Verbindung nur zu Amazon S3 zulässt. Der VPC-Endpunkt leitet Anfragen an Amazon S3 weiter und die Antworten zurück an die VPC. VPC-Endpunkte steuern nur, wie Anfragen weitergeleitet werden. Die öffentlichen Endpunkte und DNS-Namen von Amazon S3 verwenden weiterhin VPC-Endpunkte. Wichtige Informationen zur Verwendung von VPC-Endpunkten mit Amazon S3 finden Sie unter Gateway-Endpunkte und Gateway-Endpunkte für Amazon S3 im VPC-Benutzerhandbuch.
VPC-Endpunkte für Amazon S3 bieten zwei Möglichkeiten, den Zugriff auf Ihre Amazon-S3-Daten zu steuern:
-
Sie können steuern, welche Anfragen, Benutzer oder Gruppen durch einen spezifischen VPC-Endpunkt erlaubt sind. Informationen zu dieser Art der Zugriffssteuerung finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im VPC-Benutzerhandbuch.
-
Mithilfe der Amazon S3 S3-Bucket-Richtlinien können Sie kontrollieren, welche VPCs oder VPC-Endpunkte Zugriff auf Ihre Buckets haben. Beispiele für diese Art Zugriffssteuerung durch Bucket-Richtlinien finden Sie in den folgenden Themen zur Zugriffsbeschränkung.
Themen
Wichtig
Beim Anwenden der in diesem Abschnitt beschriebenen Amazon-S3-Bucket-Richtlinien für VPC-Endpunkte könnten Sie möglicherweise unbeabsichtigt Ihren Zugriff auf den Bucket blockieren. Bucket-Berechtigungen, die den Bucket-Zugriff auf Verbindungen, die von Ihrem VPC-Endpunkt ausgehen, gezielt einschränken sollen, können alle Verbindungen zum Bucket blockieren. Informationen zur Behebung dieses Problems finden Sie unter Wie behebe ich meine Bucket-Richtlinie, wenn sie die falsche VPC- oder VPC-Endpunkt-ID hat?
Beschränken des Zugriffs auf einen bestimmten VPC-Endpunkt
Nachfolgend finden Sie ein Beispiel für eine Amazon-S3-Bucket-Richtlinie, die den Zugriff auf einen bestimmten Bucket einschränkt, awsexamplebucket1, nur vom VPC-Endpunkt mit der ID vpce-1a2b3c4d. Wenn der angegebene Endpunkt nicht verwendet wird, verweigert die Richtlinie jeglichen Zugriff auf den Bucket. Die aws:SourceVpce-Bedingung gibt den Endpunkt an. Die aws:SourceVpce-Bedingung erfordert keinen Amazon-Ressourcennamen (ARN) für die VPC-Endpunkt-Ressource, sondern nur die VPC-Endpunkt-ID. Weitere Informationen über die Verwendung von Bedingungen in einer Richtlinie finden Sie unter Beispiele für Bucket-Richtlinien mit Bedingungsschlüsseln.
Wichtig
-
Bevor Sie die folgende Beispielrichtlinie verwenden, ersetzen Sie die VPC-Endpunkt-ID durch einen geeigneten Wert für Ihren Anwendungsfall. Andernfalls können Sie nicht auf Ihren Bucket zugreifen.
-
Diese Richtlinie deaktiviert den Konsolenzugriff auf den angegebenen Bucket, da Konsolenanforderungen nicht vom angegebenen VPC-Endpunkt stammen.
{ "Version": "2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Access-to-specific-VPCE-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::awsexamplebucket1", "arn:aws:s3:::awsexamplebucket1/*"], "Condition": { "StringNotEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" } } } ] }
Beschränkung des Zugriffs auf eine bestimmte VPC
Sie können eine Bucket-Richtlinie mit der aws:SourceVpc-Bedingung erstellen, die den Zugriff auf eine bestimmte VPC beschränkt. Dies ist hilfreich, wenn Sie mehrere VPC-Endpunkte innerhalb derselben VPC konfiguriert haben und den Zugriff auf Amazon-S3-Buckets für alle Endpunkte verwalten möchten. Nachfolgend finden Sie eine Beispielrichtlinie, die awsexamplebucket1 den Zugriff auf seine Objekte von Benutzern außerhalb der VPC vpc-111bbb22 verweigert. Wenn die angegebene VPC nicht verwendet wird, lehnt die Richtlinie sämtlichen Zugriff auf den Bucket ab. Diese Anweisung gewährt keinen Zugriff auf den Bucket. Um Zugriff zu gewähren, müssen Sie eine separate Allow-Anweisung hinzufügen. Für den vpc-111bbb22-Bedingungsschlüssel wird kein ARN für die VPC-Ressource benötigt, sondern nur die VPC-ID.
Wichtig
-
Bevor Sie die folgende Beispielrichtlinie verwenden, ersetzen Sie die VPC-ID durch einen geeigneten Wert für Ihren Anwendungsfall. Andernfalls können Sie nicht auf Ihren Bucket zugreifen.
-
Diese Richtlinie deaktiviert den Konsolenzugriff auf den angegebenen Bucket, da Konsolenanforderungen nicht von der angegebenen VPC stammen.
{ "Version": "2012-10-17", "Id": "Policy1415115909153", "Statement": [ { "Sid": "Access-to-specific-VPC-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::awsexamplebucket1", "arn:aws:s3:::awsexamplebucket1/*"], "Condition": { "StringNotEquals": { "aws:SourceVpc": "vpc-111bbb22" } } } ] }
