インターネットトラフィックのプライバシー
このトピックでは、Amazon S3 でサービスから他のロケーションまでの接続を保護する方法について説明します。
サービスとオンプレミスのクライアントおよびアプリケーションとの間のトラフィック
次の接続は、プライベートネットワークと AWS PrivateLink との間の接続を提供する AWS と組み合わせられます。
AWS Site−to−Site VPN 接続。詳細については、AWS Site-to-Site VPN とは何ですか? を参照してください。
AWS Direct Connect 接続。詳細については、AWS Direct Connect とは を参照してください。
ネットワークを経由した Amazon S3 へのアクセスは、AWS が発行する API を介して行われます。クライアントは Transport Layer Security (TLS) 1.2 をサポートしている必要があります。TLS 1.3 をお勧めします。クライアントは、Ephemeral Diffie-Hellman (DHE) や Elliptic Curve Diffie-Hellman Ephemeral (ECDHE) などの Perfect Forward Secrecy (PFS) を備えた暗号スイートもサポートする必要があります。これらのモードは、Java 7 以降など、最近のほとんどのシステムでサポートされています。また、リクエストには、IAM プリンシパルに関連付けられたアクセスキー ID およびシークレットアクセスキーによる署名が必要です。または、リクエストへの署名のために一時的にセキュリティ認証情報を生成する AWS Security Token Service (STS) を使用することもできます。
同じリージョン内の AWS リソース間のトラフィック
Amazon S3 の 仮想プライベートクラウド (VPC) エンドポイントは、Amazon S3 への接続のみを許可する VPC 内の論理エンティティです。VPC はリクエストを Amazon S3 にルーティングし、レスポンスを VPC にルーティングします。詳細については、VPC ユーザーガイドの VPC エンドポイント を参照してください。VPC エンドポイントから S3 バケットへのアクセスをコントロールするために使用できるバケットポリシーの例については、バケットポリシーを使用した VPC エンドポイントからのアクセスコントロール を参照してください。