Controllo dell'accesso dagli endpoint VPC con policy di bucket - Amazon Simple Storage Service

Controllo dell'accesso dagli endpoint VPC con policy di bucket

È possibile utilizzare le policy del bucket Amazon S3 per controllare l'accesso ai bucket da endpoint Virtual Private Cloud (VPC) o da VPC specifici. Questa sezione contiene policy del bucket di esempio che è possibile utilizzare per controllare l'accesso ai bucket Amazon S3 dagli endpoint VPC. Per informazioni su come configurare gli endpoint VPC, consulta Endpoint VPC nella Guida per l'utente di VPC.

VPC consente di avviare le risorse AWS in una rete virtuale definita dall'utente. Un endpoint VPC consente di creare una connessione privata tra il VPC e un altro servizio AWS senza richiedere l'accesso via Internet, attraverso una connessione VPN, un'istanza NAT o AWS Direct Connect.

Un endpoint VPC per Amazon S3 è un'entità logica all'interno di un cloud privato virtuale che permette di connettersi esclusivamente ad Amazon S3. L'endpoint VPC instrada le richieste ad Amazon S3 e restituisce le risposte al VPC. Gli endpoint VPC cambiano solo la modalità di instradamento delle richieste. I nomi DNS e gli endpoint pubblici Amazon S3 continueranno a funzionare con gli endpoint VPC. Per informazioni importanti sull'utilizzo degli endpoint VPC con Amazon S3, consulta Endpoint VPC del gateway ed Endpoint per Amazon S3 nella Guida per l'utente di VPC.

Gli endpoint VPC per Amazon S3 offrono due modi per controllare l'accesso ai dati di Amazon S3:

  • È possibile controllare le richieste, gli utenti o i gruppi autorizzati tramite un endpoint VPC specifico. Per informazioni su questo tipo di controllo dell'accesso, consulta Controllo dell'accesso ai servizi con l'endpoint VPC nella Guida per l'utente di VPC.

  • È possibile controllare i VPC o gli endpoint VPC che hanno accesso ai bucket utilizzando le policy del bucket Amazon S3. Per alcuni esempi di questo tipo di controllo di accesso basato su policy di bucket, consulta i seguenti argomenti sulla limitazione dell'accesso.

Importante

Quando si applicano le policy del bucket Amazon S3 per gli endpoint VPC descritti in questa sezione, può capitare di bloccare involontariamente l'accesso al bucket. Le autorizzazioni del bucket che hanno lo scopo di limitare l'accesso del bucket a connessioni originate dall'endpoint VPC possono bloccare tutte le connessioni al bucket. Per informazioni su come risolvere questo problema, consulta La policy del bucket ha l'ID del VPC o dell'endpoint VPC sbagliato. Come posso correggere la policy in modo da poter accedere al bucket? nel Knowledge Center di AWS Support.

Limitazione dell'accesso a un endpoint VPC specifico

Di seguito è riportato un esempio di policy del bucket Amazon S3 che limita l'accesso a un bucket specifico, awsexamplebucket1, solo dall'endpoint VPC con l'ID vpce-1a2b3c4d. La policy nega l'accesso al bucket se l'endpoint specificato non è in uso. La condizione aws:SourceVpce è utilizzata per specificare l'endpoint. La condizione aws:SourceVpce non richiede un Amazon Resource Name (ARN) per la risorsa dell'endpoint VPC, ma solo l'ID dell'endpoint VPC. Per ulteriori informazioni sull'utilizzo delle condizioni in una policy, consulta Esempi di chiavi di condizioni di Amazon S3.

Importante
  • Prima di utilizzare la policy di esempio seguente, sostituire l'ID endpoint VPC con un valore appropriato per il caso d'uso. In caso contrario, non sarà possibile accedere al bucket.

  • Questa policy disabilita l'accesso alla console al bucket specificato in quanto le richieste della console non provengono dall'endpoint VPC specificato.

{ "Version": "2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Access-to-specific-VPCE-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::awsexamplebucket1", "arn:aws:s3:::awsexamplebucket1/*"], "Condition": { "StringNotEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" } } } ] }

Limitazione dell'accesso a un VPC specifico

Puoi creare una policy di bucket che limita l'accesso a uno specifico VPC utilizzando la condizione aws:SourceVpc. Ciò è utile se nello stesso VPC sono configurati più endpoint VPC e desideri gestire l'accesso ai bucket Amazon S3 per tutti gli endpoint. Di seguito è riportato un esempio di policy che consente a un VPC vpc-111bbb22 di accedere a awsexamplebucket1 e ai relativi oggetti. La policy nega l'accesso al bucket se il VPC specificato non è in uso. La chiave di condizione vpc-111bbb22 non richiede un Amazon Resource Name (ARN) per la risorsa VPC, ma solo l'ID del VPC.

Importante
  • Prima di utilizzare la policy di esempio seguente, sostituire l'ID VPC con un valore appropriato per il caso d'uso. In caso contrario, non sarà possibile accedere al bucket.

  • Questa policy disabilita l'accesso alla console al bucket specificato in quanto le richieste della console non provengono dal VPC specificato.

{ "Version": "2012-10-17", "Id": "Policy1415115909153", "Statement": [ { "Sid": "Access-to-specific-VPC-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::awsexamplebucket1", "arn:aws:s3:::awsexamplebucket1/*"], "Condition": { "StringNotEquals": { "aws:SourceVpc": "vpc-111bbb22" } } } ] }