Crear puntos de acceso restringidos a una nube privada virtual
Al crear un punto de acceso, puede optar por hacer que sea accesible desde Internet o especificar que todas las solicitudes realizadas a través de ese punto de acceso deban originarse en una nube privada virtual (VPC) específica. Se dice que el origen de red de un punto de acceso que es accesible desde Internet es Internet. Se puede usar desde cualquier lugar de Internet, con sujeción a las restricciones de acceso en vigor para el punto de acceso, el bucket subyacente y los recursos relacionados, como los objetos solicitados. El origen de un punto de acceso al que solo se puede acceder desde una VPC es VPC. En este caso, Amazon S3 rechazará todas las solicitudes realizadas al punto de acceso cuando el origen de estas no sea esa misma VPC.
importante
Solo se puede especificar el origen de red de un punto de acceso en el momento de crearlo. Una vez creado el punto de acceso, ya no puede cambiar su origen de red.
Para restringir un punto de acceso de modo que sea solo VPC, incluya el parámetro VpcConfiguration con la solicitud de creación del punto de acceso. En el parámetro VpcConfiguration, especifique el ID de VPC que desee que el punto de acceso pueda utilizar. Si se realiza una solicitud a través del punto de acceso, la solicitud debe originarse en la VPC; de lo contrario, Amazon S3 la rechazará.
Puede recuperar el origen de red de un punto de acceso mediante la AWS CLI, los AWS SDK o las API de REST. Si para un punto de acceso se ha especificado una configuración de VPC, su origen de red es VPC. De lo contrario, el origen de red del punto de acceso es Internet.
Ejemplo: Crear un punto de acceso que tiene restringido al acceso de VPC
En el ejemplo siguiente se crea un punto de acceso denominado example-vpc-ap para el bucket example-bucket en la cuenta 123456789012, que permite el acceso únicamente desde la VPC vpc-1a2b3c. A continuación, el ejemplo comprueba que el origen de red del nuevo punto de acceso sea VPC.
Para utilizar un punto de acceso con una VPC, debe modificar la política de acceso para el punto de conexión de la VPC. Los puntos de enlace de la VPC permiten que el tráfico fluya desde su VPC hasta Amazon S3. Tienen políticas de control de acceso que controlan cómo pueden interactuar con Amazon S3 los recursos dentro de la VPC. Las solicitudes de la VPC a Amazon S3 solo se realizan correctamente a través de un punto de conexión de VPC si la política de punto de conexión de VPC concede acceso tanto al punto de conexión como al bucket subyacente.
nota
Para que los recursos estén accesibles solo dentro de una VPC, asegúrese de crear una zona alojada privada para el punto de conexión de VPC. Para usar una zona alojada privada, modifique la configuración de VPC, de modo que los atributos de red de VPC enableDnsHostnames y enableDnsSupport estén configurados para true.
En el siguiente ejemplo de una instrucción de política, se configura un punto de conexión de la VPC para permitir llamadas a GetObject para un bucket denominado awsexamplebucket1 y un punto de acceso denominado example-vpc-ap.
{ "Version": "2012-10-17", "Statement": [ { "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::awsexamplebucket1/*", "arn:aws:s3:us-west-2:123456789012:accesspoint/example-vpc-ap/object/*" ] }] }
nota
La declaración "Resource" de este ejemplo utiliza un nombre de recurso de Amazon (ARN) para especificar el punto de acceso. Para obtener más información acerca de los ARN de puntos de acceso, consulte Usar puntos de acceso.
Para obtener más información acerca de las políticas de punto de conexión de VPC, consulte Utilización de políticas de punto de conexión para Amazon S3 en la Guía del usuario de VPC.
