Restreindre l'accès à un point de VPC terminaison spécifique Restreindre l'accès à un VPC

Contrôle de l'accès depuis les VPC terminaux à l'aide de politiques relatives aux compartiments

Vous pouvez utiliser les politiques relatives aux compartiments Amazon S3 pour contrôler l'accès aux compartiments à partir de points de terminaison de cloud privé virtuel (VPC) spécifiques ou spécifiques. VPCs Cette section contient des exemples de politiques de compartiment que vous pouvez utiliser pour contrôler l'accès aux compartiments Amazon S3 depuis les VPC points de terminaison. Pour savoir comment configurer les points de VPC terminaison, consultez la section Points de VPCterminaison dans le guide de l'VPCutilisateur.

A vous VPC permet de lancer AWS des ressources dans un réseau virtuel que vous définissez. Un VPC point de terminaison vous permet de créer une connexion privée entre vous VPC et un autre Service AWS. Cette connexion privée ne nécessite pas d'accès via Internet, via une connexion de réseau privé virtuel (VPN), via une NAT instance ou via AWS Direct Connect.

Un VPC point de terminaison pour Amazon S3 est une entité logique au sein d'un VPC qui permet la connectivité uniquement à Amazon S3. Le VPC point de terminaison achemine les demandes vers Amazon S3 et redirige les réponses vers leVPC. VPCles points de terminaison modifient uniquement la façon dont les demandes sont acheminées. Les points de terminaison publics et les DNS noms Amazon S3 continueront de fonctionner avec les points de VPC terminaison. Pour obtenir des informations importantes sur l'utilisation des VPC points de terminaison avec Amazon S3, consultez la section Points de terminaison Gateway et points de terminaison Gateway pour Amazon S3 dans le guide de l'VPCutilisateur.

VPCles points de terminaison pour Amazon S3 permettent de contrôler l'accès à vos données Amazon S3 de deux manières :

Vous pouvez contrôler les demandes, les utilisateurs ou les groupes autorisés via un point de VPC terminaison spécifique. Pour plus d'informations sur ce type de contrôle d'accès, consultez la section Contrôle de l'accès aux VPC points de terminaison à l'aide des politiques relatives aux terminaux dans le Guide de VPC l'utilisateur.
Vous pouvez contrôler quels VPCs VPC points de terminaison ont accès à vos compartiments en utilisant les politiques relatives aux compartiments Amazon S3. Pour obtenir des exemples de ce type de contrôle d'accès avec stratégie de compartiment, consultez les rubriques suivantes sur les restrictions d'accès.

Rubriques

Restreindre l'accès à un point de VPC terminaison spécifique
Restreindre l'accès à un VPC

Important

Lorsque vous appliquez les politiques de compartiment Amazon S3 pour les VPC points de terminaison décrites dans cette section, vous risquez de bloquer involontairement votre accès au compartiment. Les autorisations de compartiment destinées à limiter spécifiquement l'accès au compartiment aux connexions provenant de votre VPC point de terminaison peuvent bloquer toutes les connexions au compartiment. Pour plus d'informations sur la manière de résoudre ce problème, consultez Comment corriger ma politique de compartiment lorsque l'identifiant VPC ou le point de VPC terminaison est incorrect ? dans le AWS Support Knowledge Center.

Restreindre l'accès à un point de VPC terminaison spécifique

Voici un exemple de politique de compartiment Amazon S3 qui restreint l'accès à un compartiment spécifiqueawsexamplebucket1, uniquement à partir du point de VPC terminaison doté de l'IDvpce-1a2b3c4d. Si le point de terminaison spécifié n'est pas utilisé, la politique refuse tout accès au compartiment. La aws:SourceVpce condition spécifie le point final. La aws:SourceVpce condition ne nécessite pas de nom de ressource Amazon (ARN) pour la ressource du VPC point de terminaison, uniquement l'ID du VPC point de terminaison. Pour plus d'informations sur l'utilisation de conditions dans une stratégie, consultez Exemples de politiques relatives aux compartiments utilisant des clés de condition.

Important

Avant d'utiliser l'exemple de politique suivant, remplacez l'ID du point de VPC terminaison par une valeur adaptée à votre cas d'utilisation. Dans le cas contraire, vous ne parviendrez pas à accéder à votre compartiment.
Cette politique désactive l'accès de la console au compartiment spécifié car les demandes de console ne proviennent pas du point de VPC terminaison spécifié.


{
   "Version": "2012-10-17",
   "Id": "Policy1415115909152",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPCE-only",
       "Principal": "*",
       "Action": "s3:*",
       "Effect": "Deny",
       "Resource": ["arn:aws:s3:::awsexamplebucket1",
                    "arn:aws:s3:::awsexamplebucket1/*"],
       "Condition": {
         "StringNotEquals": {
           "aws:SourceVpce": "vpce-1a2b3c4d"
         }
       }
     }
   ]
}

Restreindre l'accès à un VPC

Vous pouvez créer une politique de compartiment qui restreint l'accès à un élément spécifique VPC en utilisant aws:SourceVpc cette condition. Cela est utile si plusieurs VPC points de terminaison sont configurés simultanément VPC et que vous souhaitez gérer l'accès à vos compartiments Amazon S3 pour tous vos points de terminaison. Voici un exemple de politique qui refuse à quiconque extérieur l'accès à ses objets awsexamplebucket1 et à ses objets VPCvpc-111bbb22. Si le paramètre spécifié VPC n'est pas utilisé, la politique refuse tout accès au compartiment. Cette instruction n'autorise pas l'accès au bucket. Pour autoriser l'accès, vous devez ajouter une Allow déclaration séparée. La clé de vpc-111bbb22 condition ne nécessite pas un ARN pour la VPC ressource, uniquement l'VPCID.

Important

Avant d'utiliser l'exemple de politique suivant, remplacez l'VPCID par une valeur adaptée à votre cas d'utilisation. Dans le cas contraire, vous ne parviendrez pas à accéder à votre compartiment.
Cette politique désactive l'accès de la console au compartiment spécifié car les demandes de console ne proviennent pas du compartiment spécifiéVPC.


{
   "Version": "2012-10-17",
   "Id": "Policy1415115909153",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPC-only",
       "Principal": "*",
       "Action": "s3:*",
       "Effect": "Deny",
       "Resource": ["arn:aws:s3:::awsexamplebucket1",
                    "arn:aws:s3:::awsexamplebucket1/*"],
       "Condition": {
         "StringNotEquals": {
           "aws:SourceVpc": "vpc-111bbb22"
         }
       }
     }
   ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Ajout d'une stratégie de compartiment

Exemples de stratégie de compartiment