Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Membuat titik akses terbatas pada cloud privat virtual
Saat Anda membuat titik akses, Anda dapat memilih untuk membuat jalur akses dapat diakses dari internet, atau Anda dapat menentukan bahwa semua permintaan yang dibuat melalui titik akses tersebut harus berasal dari cloud pribadi virtual tertentu (VPC). Titik akses yang dapat diakses dari internet dikatakan memiliki asal jaringan dari Internet. Ini dapat digunakan dari mana saja di internet, dengan tunduk pada pembatasan akses lainnya yang berlaku untuk titik akses, bucket yang mendasarinya, dan sumber daya terkait, seperti objek yang diminta. Titik akses yang hanya dapat diakses dari yang ditentukan VPC memiliki asal jaringanVPC, dan Amazon S3 menolak permintaan apa pun yang dibuat ke titik akses yang tidak berasal dari itu. VPC
penting
Anda hanya dapat menentukan asal jaringan titik akses saat membuat titik akses. Setelah membuat titik akses, Anda tidak dapat mengubah asal jaringannya.
Untuk membatasi titik akses ke VPC -only access, Anda menyertakan VpcConfiguration parameter dengan permintaan untuk membuat titik akses. Dalam VpcConfiguration parameter, Anda menentukan VPC ID yang Anda inginkan untuk dapat menggunakan titik akses. Jika permintaan dibuat melalui jalur akses, permintaan harus berasal dari VPC atau Amazon S3 akan menolaknya.
Anda dapat mengambil asal jaringan titik akses menggunakan AWS CLI, AWS SDKs, atau RESTAPIs. Jika titik akses memiliki VPC konfigurasi yang ditentukan, asal jaringannya adalahVPC. Jika tidak, asal jaringan titik aksesnya adalah Internet.
Contoh: Buat titik akses yang dibatasi untuk VPC akses
Contoh berikut membuat titik akses bernama example-vpc-ap bucket example-bucket in account 123456789012 yang memungkinkan akses hanya dari file vpc-1a2b3cVPC. Contoh tersebut kemudian memverifikasi bahwa titik akses yang baru memiliki asal jaringan VPC.
Untuk menggunakan titik akses dengan aVPC, Anda harus mengubah kebijakan akses untuk VPC titik akhir Anda. VPCendpoint memungkinkan lalu lintas mengalir dari Amazon S3 Anda VPC ke Amazon. Mereka memiliki kebijakan kontrol akses yang mengontrol bagaimana sumber daya di dalamnya VPC diizinkan untuk berinteraksi dengan Amazon S3. Permintaan dari Amazon S3 Anda VPC hanya berhasil melalui titik akses jika kebijakan VPC titik akhir memberikan akses ke titik akses dan bucket yang mendasarinya.
catatan
Untuk membuat sumber daya hanya dapat diakses dalam aVPC, pastikan untuk membuat zona host pribadi untuk VPC titik akhir Anda. Untuk menggunakan zona host pribadi, ubah VPC pengaturan Anda sehingga atribut VPC jaringan enableDnsHostnames dan enableDnsSupport disetel ketrue.
Contoh pernyataan kebijakan berikut mengonfigurasi VPC titik akhir untuk mengizinkan panggilan ke GetObject bucket bernama awsexamplebucket1 dan titik akses bernama. example-vpc-ap
{ "Version": "2012-10-17", "Statement": [ { "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::awsexamplebucket1/*", "arn:aws:s3:us-west-2:123456789012:accesspoint/example-vpc-ap/object/*" ] }] }
catatan
"Resource"Deklarasi dalam contoh ini menggunakan Amazon Resource Name (ARN) untuk menentukan titik akses. Untuk informasi selengkapnya tentang titik aksesARNs, lihatMenggunakan titik akses.
Untuk informasi selengkapnya tentang kebijakan VPC titik akhir, lihat Menggunakan kebijakan titik akhir untuk Amazon S3 di VPC Panduan Pengguna.
