AWS PrivateLink per Amazon S3
Con AWS PrivateLink per Amazon S3, puoi eseguire il provisioning di endpoint VPC di interfaccia (endpoint di interfaccia) nel tuo virtual private cloud (VPC). Puoi accedere a questi endpoint direttamente da applicazioni On-Premise su VPN e AWS Direct Connect, o in un'altra Regione AWS su peering di VPC.
Gli endpoint di interfaccia sono rappresentati da una o più interfacce di rete elastiche (ENI) a cui vengono assegnati indirizzi IP privati dalle sottoreti nel VPC. Le richieste ad Amazon S3 tramite gli endpoint di interfaccia rimangono nella rete Amazon. È inoltre possibile accedere agli endpoint di interfaccia nel VPC da applicazioni locali tramite AWS Direct Connect o AWS Virtual Private Network (AWS VPN). Per ulteriori informazioni su come connettere il VPC alla rete On-Premise, consulta la AWS Direct ConnectGuida per l'utente di e la AWS Site-to-Site VPNGuida per l'utente di .
Per informazioni sulla creazione di endpoint di interfaccia, consulta Endpoint VPC di interfaccia (AWS PrivateLink) nella Guida di AWS PrivateLink.
Argomenti
- Tipi di endpoint VPC per Amazon S3
- Restrizioni e limitazioni di AWS PrivateLink per Amazon S3
- Creazione di un endpoint VPC
- Accesso agli endpoint di interfaccia di Amazon S3
- DNS privato
- Accesso ai bucket, ai punti di accesso e alle operazioni API di controllo Amazon S3 dagli endpoint di interfaccia S3
- Aggiornamento di una configurazione DNS locale
- Creazione di una policy per l'endpoint VPC per Amazon S3
Tipi di endpoint VPC per Amazon S3
Puoi utilizzare due tipi di endpoint VPC per accedere ad Amazon S3: gli endpoint del gateway e gli endpoint di interfaccia mediante AWS PrivateLink. Un endpoint gateway è un gateway che viene specificato nella tabella di routing per accedere ad Amazon S3 dal VPC tramite la rete AWS. Gli endpoint di interfaccia estendono la funzionalità degli endpoint gateway utilizzando indirizzi IP privati per instradare le richieste ad Amazon S3 dall'interno del VPC, on-premise, o da una Regione AWS utilizzando il peering VPC o AWS Transit Gateway. Per ulteriori informazioni, consulta Che cos'è il peering di VPC? e Transit Gateway e peering di VPC.
Gli endpoint di interfaccia sono compatibili con gli endpoint gateway. Se disponi di un endpoint gateway nel VPC, puoi utilizzare entrambi i tipi di endpoint nello stesso VPC.
Endpoint gateway per Amazon S3 |
Endpoint di interfaccia per Amazon S3 |
---|---|
In entrambi i casi, il traffico di rete rimane sulla rete AWS. |
|
Uso di indirizzi IP pubblici di Amazon S3 |
Uso di indirizzi IP privati del tuo VPC per accedere ad Amazon S3 |
Uso degli stessi nomi DNS di Simple Storage Service (Amazon S3) |
Richiesta di nomi DNS di Simple Storage Service (Amazon S3) specifici per endpoint |
Non consente l'accesso da on-premise |
Consente l'accesso da On-Premise |
Non consente l'accesso da un'altra Regione AWS |
Consente l'accesso da un VPC in un'altra Regione AWS tramite peering VPC o AWS Transit Gateway |
Non fatturata |
Fatturata |
Per ulteriori informazioni sugli endpoint gateway, consulta Endpoint VPC gateway nella Guida di AWS PrivateLink.
Restrizioni e limitazioni di AWS PrivateLink per Amazon S3
Le limitazioni VPC si applicano a AWS PrivateLink per Amazon S3. Per ulteriori informazioni, consulta Considerazioni di un endpoint di interfaccia e Quote di AWS PrivateLink nella Guida di AWS PrivateLink. Inoltre, si applicano le limitazioni seguenti:
AWS PrivateLink per Amazon S3 non supporta quanto segue:
-
Utilizzo di CopyObject o UploadPartCopy tra bucket in Regioni AWS diverse
-
Transport Layer Security (TLS) 1.1
Creazione di un endpoint VPC
Per creare un endpoint di interfaccia VPC, consulta Creazione di un endpoint VPC nella Guida AWS PrivateLink.
Accesso agli endpoint di interfaccia di Amazon S3
Quando crei un endpoint di interfaccia, Amazon S3 genera due tipi di nomi DNS S3 specifici dell'endpoint: regionale e zonale.
-
I nomi DNS regionali includono un ID endpoint VPC univoco, un identificatore di servizio, la Regione AWS e il
vpce.amazonaws.com
con il relativo nome. Ad esempio, per l'ID endpoint VPC
, il nome DNS generato potrebbe essere simile avpce-1a2b3c4d
.vpce-1a2b3c4d-5e6f
.s3.us-east-1.vpce.amazonaws.com -
I nomi DNS zonali includono la zona di disponibilità, ad esempio
. Puoi utilizzare questa opzione se l'architettura isola le zone di disponibilità. Ad esempio, puoi utilizzarla per il contenimento degli errori o per ridurre i costi di trasferimento dei dati a livello regionale.vpce-1a2b3c4d-5e6f
-us-east-1a.s3.us-east-1.vpce.amazonaws.com
I nomi DNS S3 specifici degli endpoint possono essere risolti dal dominio DNS pubblico S3.
DNS privato
Le opzioni DNS private per gli endpoint di interfaccia VPC semplificano l'instradamento del traffico S3 sugli endpoint VPC e consentono di sfruttare il percorso di rete più economico disponibile per l'applicazione. Puoi utilizzare le opzioni DNS private per indirizzare il traffico regionale S3 senza aggiornare i client S3 per usare i nomi DNS specifici degli endpoint di interfaccia o gestire l'infrastruttura DNS. Con i nomi DNS privati abilitati, le query DNS regionali S3 si risolvono negli indirizzi IP privati di AWS PrivateLink dei seguenti endpoint:
-
Endpoint di bucket regionale (ad esempio,
s3.us-east-1.amazonaws.com
) -
Endpoint di controllo (ad esempio,
s3-control.us-east-1.amazonaws.com
) -
Endpoint di punto di accesso (ad esempio,
s3-accesspoint.us-east-1.amazonaws.com
)
Se hai un endpoint gateway nel tuo VPC, puoi indirizzare automaticamente le richieste in entrata nel VPC all'endpoint gateway S3 esistente e le richieste on-premise all'endpoint di interfaccia. Questo approccio consente di ottimizzare i costi di rete utilizzando gli endpoint gateway, che non vengono fatturati, per il traffico in entrata nel VPC. Le tue applicazioni on-premise possono usare AWS PrivateLink con l'aiuto dell'endpoint risolutore in entrata. Amazon fornisce un server DNS chiamato il Route 53 Resolver per il tuo VPC. Un endpoint del resolver in entrata inoltra le query DNS dalla rete on-premise al Route 53 Resolver.
Importante
Per sfruttare il percorso di rete più economico quando si utilizza Abilita DNS privato solo per gli endpoint in entrata, è necessario che nel cloud privato virtuale sia presente un endpoint gateway. La presenza di un endpoint gateway aiuta a garantire che il traffico in entrata nel VPC venga sempre indirizzato sulla rete privata AWS quando è selezionata l'opzione Abilita DNS privato solo per gli endpoint in entrata. È necessario mantenere questo endpoint gateway se è selezionata l'opzione Abilita DNS privato solo per gli endpoint in entrata. Se desideri eliminare l'endpoint gateway, devi prima deselezionare Abilita DNS privato solo per gli endpoint in entrata.
Se desideri aggiornare un endpoint di interfaccia esistente su Abilita DNS privato solo per gli endpoint in entrata verifica innanzitutto che il tuo VPC disponga di un endpoint gateway S3. Per ulteriori informazioni sugli endpoint gateway e sulla gestione dei nomi DNS privati, consulta rispettivamente Endpoint gateway del VPC e Gestione dei nomi DNS nella Guida di AWS PrivateLink.
L'opzione Abilita DNS privato solo per gli endpoint in entrata è disponibile solo per i servizi che supportano gli endpoint gateway.
Per ulteriori informazioni sulla creazione di un endpoint VPC che utilizza Abilita DNS privato solo per gli endpoint in entrata, consulta Creare un endpoint di interfaccia nella Guida di AWS PrivateLink.
Utilizzo della console VPC
Nella console sono disponibili due opzioni: Abilita nome DNS e Abilita DNS privato solo per gli endpoint in entrata. L'opzione Abilita nome DNS è supportata da AWS PrivateLink. Con l'opzione Abilita nome DNS puoi utilizzare la connettività privata di Amazon ad Amazon S3, effettuando richieste ai nomi DNS predefiniti degli endpoint pubblici. Quando questa opzione è abilitata, i clienti possono sfruttare il percorso di rete più economico disponibile per la loro applicazione.
Quando abiliti i nomi DNS privati su un endpoint di interfaccia VPC esistente o nuovo per Amazon S3, l'opzione Abilita DNS privato solo per gli endpoint in entrata è selezionata per impostazione predefinita. Se questa opzione è selezionata, le applicazioni utilizzano solo gli endpoint di interfaccia per il traffico on-premise. Il traffico VPC in entrata utilizza automaticamente gli endpoint gateway più economici. In alternativa, puoi deselezionare Abilita DNS privato solo per gli endpoint in entrata per indirizzare tutte le richieste S3 sull'endpoint di interfaccia.
Utilizzando la AWS CLI
Se non specifichi un valore per PrivateDnsOnlyForInboundResolverEndpoint
, viene usata l'impostazione predefinita true
. Tuttavia, prima che il cloud privato virtuale applichi le impostazioni, esegue un controllo per assicurarsi che nel cloud privato VPC sia presente un endpoint gateway. Se nel cloud privato virtuale è presente un endpoint gateway, la chiamata ha esito positivo. In caso contrario, viene visualizzato il seguente messaggio di errore:
Per impostare PrivateDnsOnlyForInboundResolverEndpoint su true, il VPC
vpce_id
deve disporre di un endpoint gateway per il servizio.
Per un nuovo endpoint di interfaccia VPC
Usa gli attributi private-dns-enabled
e dns-options
per abilitare il DNS privato tramite la linea di comando. L'opzione PrivateDnsOnlyForInboundResolverEndpoint
nell'attributo dns-options
deve essere impostata su true
. Sostituire
con le proprie informazioni.user input placeholders
aws ec2 create-vpc-endpoint \ --region
us-east-1
\ --service-names3-service-name
\ --vpc-idclient-vpc-id
\ --subnet-idsclient-subnet-id
\ --vpc-endpoint-type Interface \ --private-dns-enabled \ --ip-address-typeip-address-type
\ --dns-options PrivateDnsOnlyForInboundResolverEndpoint=true \ --security-group-idsclient-sg-id
Per un endpoint VPC esistente
Se desideri utilizzare il DNS privato per un endpoint VPC esistente, usa il seguente comando di esempio e sostituisci
con le tue specifiche informazioni.user input placeholders
aws ec2 modify-vpc-endpoint \ --region
us-east-1
\ --vpc-endpoint-idclient-vpc-id
\ --private-dns-enabled \ --dns-options PrivateDnsOnlyForInboundResolverEndpoint=false
Se desideri aggiornare un endpoint VPC esistente per abilitare il DNS privato solo per il risolutore in entrata, usa il seguente esempio e sostituisci i valori di esempio con le tue specifiche informazioni.
aws ec2 modify-vpc-endpoint \ --region
us-east-1
\ --vpc-endpoint-idclient-vpc-id
\ --private-dns-enabled \ --dns-options PrivateDnsOnlyForInboundResolverEndpoint=true
Accesso ai bucket, ai punti di accesso e alle operazioni API di controllo Amazon S3 dagli endpoint di interfaccia S3
Puoi utilizzare la AWS CLI o gli SDK AWS per accedere a bucket, punti di accesso S3 e operazioni API di controllo Amazon S3 tramite gli endpoint di interfaccia S3.
Nell'immagine seguente viene illustrata la scheda Dettagli della console VPC, in cui è possibile trovare il nome DNS di un endpoint VPC. In questo esempio, l'ID endpoint VPC (vpce-id) è vpce-0e25b8cdd720f900e
e il nome DNS è *.vpce-0e25b8cdd720f900e-argc85vg.s3.us-east-1.vpce.amazonaws.com
.

Quando utilizzi il nome DNS per accedere a una risorsa, sostituisci *
con il valore appropriato. I valori appropriati da utilizzare al posto di *
sono i seguenti:
-
bucket
-
accesspoint
-
control
Ad esempio, per accedere a un bucket, usa un nome DNS simile al seguente:
bucket.vpce-0e25b8cdd720f900e-argc85vg.s3.us-east-1.vpce.amazonaws.com
Per esempi di come utilizzare i nomi DNS per accedere a bucket, punti di accesso e operazioni API di controllo Amazon S3, consulta le sezioni Esempi di AWS CLI e Esempi di SDK AWS.
Per ulteriori informazioni su come visualizzare i nomi DNS specifici degli endpoint, consulta Visualizzazione della configurazione dei nomi DNS privati del servizio endpoint nella Guida per l'utente di VPC.
Esempi di AWS CLI
Utilizza i parametri --region
e --endpoint-url
nei comandi della AWS CLI per accedere ai bucket S3, ai punti di accesso S3 o alle operazioni API di controllo Amazon S3 tramite gli endpoint dell'interfaccia S3.
Esempio: utilizzo dell'URL dell'endpoint per elencare gli oggetti nel bucket
Nell'esempio seguente, sostituisci il nome bucket
, Regione my-bucket
e il nome DNS dell'ID endpoint VPC us-east-1
con le tue informazioni.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com
aws s3 ls s3://
my-bucket
/ --regionus-east-1
--endpoint-url https://bucket.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com
Esempio: utilizzo dell'URL dell'endpoint per elencare gli oggetti da un punto di accesso
-
Metodo 1: utilizzo del nome della risorsa Amazon (ARN) del punto di accesso con l'endpoint del punto di accesso
Sostituisci l'ARN
, la Regioneus-east-1:123456789012:accesspoint/accesspointexamplename
e l'ID endpoint VPCus-east-1
con le informazioni appropriate.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com
aws s3api list-objects-v2 --bucket arn:aws:s3:
us-east-1:123456789012:accesspoint/accesspointexamplename
--regionus-east-1
--endpoint-url https://accesspoint.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com
Se il comando non viene eseguito correttamente, aggiorna la AWS CLI alla versione più recente e riprova. Per ulteriori informazioni sulle istruzioni di aggiornamento, consulta Istruzioni per l'installazione o l'aggiornamento all'ultima versione della AWS CLI nella Guida per l'utente di AWS Command Line Interface.
-
Metodo 2: utilizzo dell'alias del punto di accesso con l'endpoint bucket regionale
Nell'esempio seguente, sostituisci l'alias del punto di accesso
, la Regioneaccesspointexamplename-8tyekmigicmhun8n9kwpfur39dnw4use1a-s3alias
e l'ID endpoint VPCus-east-1
con le informazioni appropriate.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com
aws s3api list-objects-v2 --bucket
accesspointexamplename-8tyekmigicmhun8n9kwpfur39dnw4use1a-s3alias
--regionus-east-1
--endpoint-url https://bucket.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com
-
Metodo 3: utilizzo dell'alias del punto di accesso con l'endpoint del punto di accesso
Innanzitutto, per creare un endpoint S3 con il bucket incluso come parte del nome host, imposta lo stile di indirizzamento su
virtual
peraws s3api
. Per ulteriori informazioni suAWS configure
, consulta File di configurazione e delle credenziali nella Guida per l'utente di AWS Command Line Interface.aws configure set default.s3.addressing_style virtual
Quindi, nell'esempio seguente, sostituisci l'alias del punto di accesso
, la Regioneaccesspointexamplename-8tyekmigicmhun8n9kwpfur39dnw4use1a-s3alias
e l'ID endpoint VPCus-east-1
con le informazioni appropriate. Per ulteriori informazioni sull'alias del punto di accesso, consulta Utilizzo di un alias in stile bucket per il punto di accesso del bucket S3.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com
aws s3api list-objects-v2 --bucket
accesspointexamplename-8tyekmigicmhun8n9kwpfur39dnw4use1a-s3alias
--regionus-east-1
--endpoint-url https://accesspoint.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com
Esempio: utilizzo dell'URL dell'endpoint per elencare i processi con un'operazione API di controllo S3
Nell'esempio seguente, sostituisci la Regione
, l'ID endpoint VPC us-east-1
e l'ID account vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com
con le informazioni appropriate.12345678
aws s3control --region
us-east-1
--endpoint-url https://control.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com
list-jobs --account-id12345678
Esempi di SDK AWS
Quando utilizzi gli SDK AWS, aggiornali alla versione più recente per accedere ai bucket S3, ai punti di accesso S3 o alle operazioni API di controllo Amazon S3 tramite gli endpoint di interfaccia S3. Quindi configura i client per utilizzare un URL endpoint per accedere a un bucket, un punto di accesso o un'operazione API di controllo Amazon S3 tramite gli endpoint di interfaccia S3.
Aggiornamento di una configurazione DNS locale
Quando si utilizzano nomi DNS specifici degli endpoint per accedere agli endpoint di interfaccia per Amazon S3, non è necessario aggiornare il resolver DNS locale. Puoi risolvere il nome DNS specifico dell'endpoint con l'indirizzo IP privato dell'endpoint di interfaccia dal dominio DNS Amazon S3 pubblico.
Utilizzo degli endpoint di interfaccia per accedere ad Amazon S3 senza un endpoint gateway o un gateway Internet nel VPC
Gli endpoint di interfaccia nel VPC possono instradare sia le applicazioni nel VPC che le applicazioni locali ad Amazon S3 sulla rete Amazon, come illustrato nel diagramma seguente.

Il diagramma illustra quanto segue:
-
La rete locale utilizza AWS Direct Connect o AWS VPN per connettersi a VPC A.
-
Le applicazioni in locale e in VPC A utilizzano nomi DNS specifici degli endpoint per accedere ad Amazon S3 tramite l'endpoint di interfaccia S3.
-
Le applicazioni On-Premise inviano dati all'endpoint di interfaccia nel VPC tramite AWS Direct Connect (oAWS VPN ). AWS PrivateLink sposta i dati dall'endpoint di interfaccia ad Amazon S3 sulla rete AWS.
-
Anche le applicazioni nel VPC inviano traffico all'endpoint di interfaccia. AWS PrivateLink sposta i dati dall'endpoint di interfaccia ad Amazon S3 sulla rete AWS.
Utilizzo di endpoint gateway e endpoint di interfaccia insieme nello stesso VPC per accedere ad Amazon S3
Puoi creare endpoint di interfaccia e mantenere l'endpoint gateway esistente nello stesso VPC, come illustrato nel diagramma seguente. Con questo approccio consenti alle applicazioni nel VPC di continuare ad accedere ad Amazon S3 tramite l'endpoint gateway senza essere fatturate. Quindi, solo le applicazioni on-premise utilizzerebbero gli endpoint di interfaccia per accedere ad Amazon S3. Per accedere ad Amazon S3 in questo modo, è necessario aggiornare le applicazioni On-Premise per utilizzare nomi DNS specifici degli endpoint per Amazon S3.

Il diagramma illustra quanto segue:
-
Le applicazioni On-Premise utilizzano nomi DNS specifici dell'endpoint per inviare dati all'endpoint di interfaccia nel VPC tramite AWS Direct Connect (o AWS VPN). AWS PrivateLink sposta i dati dall'endpoint di interfaccia ad Amazon S3 sulla rete AWS.
-
Utilizzando i nomi Amazon S3 regionali predefiniti, le applicazioni nel VPC inviano dati all'endpoint gateway che si connette ad Amazon S3 tramite la rete AWS.
Per ulteriori informazioni sugli endpoint gateway, consulta Endpoint VPC gateway nella Guida per l'utente di VPC.
Creazione di una policy per l'endpoint VPC per Amazon S3
Puoi allegare una policy di endpoint all'endpoint VPC che controlla l'accesso ad Amazon S3. Questa policy specifica le informazioni riportate di seguito:
-
Il principale AWS Identity and Access Management (IAM) che può eseguire operazioni
-
Le operazioni che possono essere eseguite
-
Le risorse sui cui si possono eseguire le azioni
Puoi utilizzare le policy del bucket di Amazon S3 anche per limitare l'accesso a bucket specifici da un endpoint VPC specifico utilizzando la condizione aws:sourceVpce
nella policy del bucket. Negli esempi seguenti vengono illustrate le policy che limitano l'accesso a un bucket o a un endpoint.
Argomenti
Esempio: limitazione dell'accesso a un bucket specifico da un endpoint VPC
Puoi creare una policy di endpoint che limita l'accesso solo a bucket Amazon S3 specifici. Questo tipo di policy è utile se hai altri Servizi AWS nel VPC che utilizzano i bucket. La seguente policy del bucket limita l'accesso solo a
. Per utilizzare questa policy di endpoint, sostituisci DOC-EXAMPLE-BUCKET1
con il nome del bucket.DOC-EXAMPLE-BUCKET1
{ "Version": "2012-10-17", "Id": "Policy1415115909151", "Statement": [ { "Sid": "Access-to-specific-bucket-only", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject" ], "Effect": "Allow", "Resource": ["arn:aws:s3:::
", "arn:aws:s3:::
DOC-EXAMPLE-BUCKET1
/*"] } ] }
DOC-EXAMPLE-BUCKET1
Esempio: limitazione dell'accesso ai bucket in un account specifico da un endpoint VPC
Puoi creare una policy di endpoint che limita l'accesso solo ai bucket S3 in un Account AWS specifico. Per impedire ai client nel VPC di accedere ai bucket di cui non sei proprietario, utilizza la seguente istruzione nella policy di endpoint. Nell'esempio seguente viene creata una policy che limita l'accesso alle risorse di proprietà di un singolo ID Account AWS,
.111122223333
{ "Statement": [ { "Sid": "Access-to-bucket-in-specific-account-only", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject" ], "Effect": "Deny", "Resource": "arn:aws:s3:::*", "Condition": { "StringNotEquals": { "aws:ResourceAccount": "
111122223333
" } } } ] }
Nota
Puoi utilizzare l'Account AWS o la chiave aws:ResourceAccount
nella policy IAM per specificare l'ID s3:ResourceAccount
della risorsa a cui stai accedendo. Tieni presente, tuttavia, che alcuni Servizi AWS si basano sull'accesso a bucket gestiti da AWS. Pertanto, l'utilizzo della chiave di condizione aws:ResourceAccount
o s3:ResourceAccount
nella policy IAM potrebbe anche influire sull'accesso a tali risorse.
Esempio: limitazione dell'accesso a un endpoint VPC specifico nella policy del bucket S3
Esempio: limitazione dell'accesso a un endpoint VPC specifico nella policy del bucket S3
La seguente policy del bucket Amazon S3 consente l'accesso a un bucket specifico,
, solo dall'endpoint VPC DOC-EXAMPLE-BUCKET2
. La policy nega l'accesso al bucket se l'endpoint specificato non è in uso. La condizione vpce-1a2b3c4d
aws:sourceVpce
viene utilizzata per specificare l'endpoint e non richiede un nome della risorsa Amazon (ARN) per la risorsa dell'endpoint VPC, ma solo l'ID dell'endpoint. Per utilizzare questa politica del bucket, sostituisci
e DOC-EXAMPLE-BUCKET2
con il nome e l'endpoint del bucket. vpce-1a2b3c4d
Importante
-
Quando applichi la seguente policy del bucket Amazon S3 per limitare l'accesso solo a determinati endpoint VPC, potresti senza volerlo bloccare l'accesso al bucket. Le policy del bucket che hanno lo scopo di limitare l'accesso del bucket a connessioni originate dall'endpoint VPC possono bloccare tutte le connessioni al bucket. Per informazioni su come risolvere questo problema, consulta La policy del bucket ha l'ID del VPC o dell'endpoint VPC sbagliato. Come posso correggere la policy in modo da poter accedere al bucket? nel
Knowledge Center di AWS Support. -
Prima di utilizzare la policy di esempio seguente, sostituire l'ID endpoint VPC con un valore appropriato per il caso d'uso. In caso contrario, non sarà possibile accedere al bucket.
-
Questa policy disabilita l'accesso alla console al bucket specificato in quanto le richieste della console non provengono dall'endpoint VPC specificato.
{ "Version": "2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Access-to-specific-VPCE-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::
", "arn:aws:s3:::
DOC-EXAMPLE-BUCKET2
"], "Condition": {"StringNotEquals": {"aws:sourceVpce": "
DOC-EXAMPLE-BUCKET2
/*vpce-1a2b3c4d
"}} } ] }
Per altri esempi di policy, consulta Endpoint per Amazon S3 nella Guida per l'utente di VPC.
Per maggiori informazioni sulla connettività VPC, consulta Opzioni di connettività da rete a VPC nel whitepaper AWS Opzioni di connettività di Amazon Virtual Private Cloud.