Criar pontos de acesso restritos a uma nuvem privada virtual - Amazon Simple Storage Service

Criar pontos de acesso restritos a uma nuvem privada virtual

Ao criar um ponto de acesso, você pode optar por tornar o ponto de acesso acessível da Internet ou pode especificar que todas as solicitações feitas por meio desse ponto de acesso devem ser originadas de uma Virtual Private Cloud (VPC) específica. Considera-se que um ponto de acesso acessível da Internet tem uma origem de rede da Internet. Ele pode ser usado de qualquer lugar na Internet, sujeito a quaisquer outras restrições de acesso em vigor para o ponto de acesso, o bucket subjacente e os recursos relacionados, como os objetos solicitados. Um ponto de acesso acessível apenas de uma VPC especificada tem uma origem de rede de VPC, e o Amazon S3 rejeita qualquer solicitação feita ao ponto de acesso que não tenha origem nessa VPC.

Importante

Você só pode especificar a origem da rede de um ponto de acesso ao criá-lo. Depois de criar o ponto de acesso, não é possível alterar a origem da rede.

Para restringir um ponto de acesso ao acesso somente VPC, inclua o parâmetro VpcConfiguration com a solicitação para criar o ponto de acesso. No parâmetro VpcConfiguration, você especifica o ID da VPC que deseja usar o ponto de acesso. Se uma solicitação for feita por meio do ponto de acesso, ela deverá ser originada da VPC. Do contrário, o Amazon S3 a rejeitará.

Você pode recuperar a origem da rede de um ponto de acesso usando a AWS CLI, os AWS SDKs ou as APIs REST. Se um ponto de acesso tiver uma configuração de VPC especificada, sua origem de rede será VPC. Caso contrário, a origem da rede do ponto de acesso será Internet.

Exemplo: criar um ponto de acesso restrito ao acesso da VPC

O exemplo a seguir cria um ponto de acesso chamado example-vpc-ap para o bucket example-bucket na conta 123456789012 que permite acesso somente da VPC vpc-1a2b3c. O exemplo verifica se o novo ponto de acesso tem uma origem de rede da VPC.

AWS CLI
aws s3control create-access-point --name example-vpc-ap --account-id 123456789012 --bucket example-bucket --vpc-configuration VpcId=vpc-1a2b3c
aws s3control get-access-point --name example-vpc-ap --account-id 123456789012 { "Name": "example-vpc-ap", "Bucket": "example-bucket", "NetworkOrigin": "VPC", "VpcConfiguration": { "VpcId": "vpc-1a2b3c" }, "PublicAccessBlockConfiguration": { "BlockPublicAcls": true, "IgnorePublicAcls": true, "BlockPublicPolicy": true, "RestrictPublicBuckets": true }, "CreationDate": "2019-11-27T00:00:00Z" }

Para usar um ponto de acesso com uma VPC, é necessário modificar a política de acesso do endpoint da VPC especificado. Os VPC endpoints permitem que o tráfego flua da VPC para o Amazon S3. Os pontos de acesso têm políticas de controle de acesso que regulam como os recursos na VPC podem interagir com o Amazon S3. As solicitações da VPC ao Amazon S3 serão bem-sucedidas por meio de um ponto de acesso somente se a política do endpoint da VPC conceder acesso ao ponto de acesso e ao bucket subjacente.

nota

Para tornar os recursos acessíveis apenas em uma VPC, crie uma zona hospedada privada para o endpoint da VPC. Para usar uma zona hospedada privada, modifique suas configurações da VPC para que os atributos da rede de VPC enableDnsHostnames e enableDnsSupport sejam definidos como true.

O exemplo de instrução de política a seguir configura um VPC endpoint para permitir chamadas ao GetObject de um bucket denominado awsexamplebucket1 e um ponto de acesso chamado example-vpc-ap.

{ "Version": "2012-10-17", "Statement": [ { "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::awsexamplebucket1/*", "arn:aws:s3:us-west-2:123456789012:accesspoint/example-vpc-ap/object/*" ] }] }
nota

A declaração "Resource" neste exemplo usa um nome de recurso da Amazon (ARN) para especificar o ponto de acesso. Para obter mais informações sobre ARNs de ponto de acesso, consulte Usar pontos de acesso.

Para obter mais informações sobre políticas do endpoint da VPC, consulte Políticas de endpoint para o Amazon S3 no Guia do usuário da VPC.