Creazione di access point limitati a un cloud privato virtuale - Amazon Simple Storage Service

Creazione di access point limitati a un cloud privato virtuale

Quando crei un access point, puoi scegliere di rendere l'access point accessibile da Internet oppure specificare che tutte le richieste effettuate attraverso l'access point devono provenire da un cloud privato virtuale (VPC) specifico. Un access point accessibile da Internet ha l'origine di rete Internet. Può essere utilizzato da qualsiasi punto di Internet, fatte salve altre limitazioni di accesso in vigore per l'access point, il bucket sottostante e le risorse correlate, come gli oggetti richiesti. Un access point accessibile solo da un VPC specificato ha l'origine di rete VPC e Amazon S3 rifiuta qualsiasi richiesta fatta all'access point che non provenga da quel VPC.

Importante

Puoi specificare l'origine di rete di un access point solo quando crei l'access point. Dopo aver creato l'access point, non è più possibile modificare l'origine di rete.

Per limitare un access point all'accesso solo VPC, è necessario includere il parametro VpcConfiguration con la richiesta di creare l'access point. Nel parametro VpcConfiguration, specificare l'ID VPC che si desidera utilizzare l'access point. Se una richiesta viene effettuata tramite il punto di accesso, la richiesta deve provenire dal VPC o Amazon S3 la rifiuterà.

È possibile recuperare l'origine di rete di un access point utilizzando l'AWS CLI, gli SDK AWS o le REST API. Se per un access point è specificata una configurazione VPC, la sua origine di rete è VPC. In caso contrario, l'origine della rete dell'access point è Internet.

Esempio: creazione di un punto di accesso limitato all'accesso VPC

Nell'esempio seguente viene creato un punto di accesso denominato example-vpc-ap per il bucket example-bucket nell'account 123456789012 che consente l'accesso solo dal VPC vpc-1a2b3c. L'esempio verifica quindi che il nuovo access point abbia l'origine di rete VPC.

AWS CLI
aws s3control create-access-point --name example-vpc-ap --account-id 123456789012 --bucket example-bucket --vpc-configuration VpcId=vpc-1a2b3c
aws s3control get-access-point --name example-vpc-ap --account-id 123456789012 { "Name": "example-vpc-ap", "Bucket": "example-bucket", "NetworkOrigin": "VPC", "VpcConfiguration": { "VpcId": "vpc-1a2b3c" }, "PublicAccessBlockConfiguration": { "BlockPublicAcls": true, "IgnorePublicAcls": true, "BlockPublicPolicy": true, "RestrictPublicBuckets": true }, "CreationDate": "2019-11-27T00:00:00Z" }

Per utilizzare un access point con un VPC, è necessario modificare la policy di accesso per l'endpoint VPC. Gli endpoint VPC consentono al traffico di fluire dal VPC ad Amazon S3. Dispongono di policy di controllo dell'accesso che controllano il modo in cui le risorse all'interno del VPC possono interagire con Amazon S3. Le richieste dal VPC ad Amazon S3 hanno esito positivo solo tramite un punto di accesso se la policy dell'endpoint VPC concede l'accesso sia al punto di accesso che al bucket sottostante.

Nota

Per rendere le risorse accessibili solo all'interno di un VPC, assicurati di creare una zona ospitata privata per l'endpoint VPC. Per utilizzare una zona ospitata privata, modificare le impostazioni del VPC in modo che gli attributi di rete VPC enableDnsHostnames e enableDnsSupport siano impostati su true.

L'istruzione di policy di esempio riportata di seguito configura un endpoint VPC per consentire le chiamate a GetObject per un bucket denominato awsexamplebucket1 e un access point denominato example-vpc-ap.

{ "Version": "2012-10-17", "Statement": [ { "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::awsexamplebucket1/*", "arn:aws:s3:us-west-2:123456789012:accesspoint/example-vpc-ap/object/*" ] }] }
Nota

La dichiarazione "Resource" in questo esempio utilizza un Amazon Resource Name (ARN) per specificare l'access point. Per ulteriori informazioni sugli ARN dei punti di accesso, consulta la sezione Utilizzo degli access point.

Per ulteriori informazioni sulle policy degli endpoint VPC, consulta Utilizzo delle policy degli endpoint per Amazon S3 nella Guida per l'utente del VPC.