Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Creazione di access point limitati a un cloud privato virtuale
Quando crei un access point, puoi scegliere di rendere l'access point accessibile da Internet oppure specificare che tutte le richieste effettuate attraverso l'access point devono provenire da un cloud privato virtuale (VPC) specifico. Un access point accessibile da Internet ha l'origine di rete Internet. Può essere utilizzato da qualsiasi punto di Internet, fatte salve altre limitazioni di accesso in vigore per l'access point, il bucket sottostante e le risorse correlate, come gli oggetti richiesti. Un access point accessibile solo da un VPC specificato ha l'origine di rete VPC e Amazon S3 rifiuta qualsiasi richiesta fatta all'access point che non provenga da quel VPC.
Importante
Puoi specificare l'origine di rete di un access point solo quando crei l'access point. Dopo aver creato l'access point, non è più possibile modificare l'origine di rete.
Per limitare un access point all'accesso solo VPC, è necessario includere il parametro VpcConfiguration con la richiesta di creare l'access point. Nel parametro VpcConfiguration, specificare l'ID VPC che si desidera utilizzare l'access point. Se una richiesta viene effettuata tramite il punto di accesso, la richiesta deve provenire dal VPC o Amazon S3 la rifiuterà.
Puoi recuperare l'origine di rete di un punto di accesso utilizzando gli AWS SDK o AWS CLI le API REST. Se per un access point è specificata una configurazione VPC, la sua origine di rete è VPC. In caso contrario, l'origine della rete dell'access point è Internet.
Esempio: creazione di un punto di accesso limitato all'accesso VPC
Nell'esempio seguente viene creato un punto di accesso denominato example-vpc-ap per il bucket example-bucket nell'account 123456789012 che consente l'accesso solo dal VPC vpc-1a2b3c. L'esempio verifica quindi che il nuovo access point abbia l'origine di rete VPC.
Per utilizzare un access point con un VPC, è necessario modificare la policy di accesso per l'endpoint VPC. Gli endpoint VPC consentono al traffico di fluire dal VPC ad Amazon S3. Dispongono di policy di controllo dell'accesso che controllano il modo in cui le risorse all'interno del VPC possono interagire con Amazon S3. Le richieste dal VPC ad Amazon S3 hanno esito positivo solo tramite un punto di accesso se la policy dell'endpoint VPC concede l'accesso sia al punto di accesso che al bucket sottostante.
Nota
Per rendere le risorse accessibili solo all'interno di un VPC, assicurati di creare una zona ospitata privata per l'endpoint VPC. Per utilizzare una zona ospitata privata, modificare le impostazioni del VPC in modo che gli attributi di rete VPC enableDnsHostnames e enableDnsSupport siano impostati su true.
L'istruzione di policy di esempio riportata di seguito configura un endpoint VPC per consentire le chiamate a GetObject per un bucket denominato awsexamplebucket1 e un access point denominato example-vpc-ap.
{ "Version": "2012-10-17", "Statement": [ { "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::awsexamplebucket1/*", "arn:aws:s3:us-west-2:123456789012:accesspoint/example-vpc-ap/object/*" ] }] }
Nota
La dichiarazione "Resource" in questo esempio utilizza un Amazon Resource Name (ARN) per specificare l'access point. Per ulteriori informazioni sugli ARN dei punti di accesso, consulta la sezione Utilizzo degli access point.
Per ulteriori informazioni sulle policy degli endpoint VPC, consulta Utilizzo delle policy degli endpoint per Amazon S3 nella Guida per l'utente del VPC.
