Controlar o acesso a partir de VPC endpoints com políticas de bucket - Amazon Simple Storage Service
Restringir o acesso a um VPC endpoint específicoRestringir o acesso a uma VPC específica

Controlar o acesso a partir de VPC endpoints com políticas de bucket

Você pode usar políticas de bucket do Amazon S3 para controlar o acesso a buckets de VPC endpoints específicos ou VPCs específicas. Esta seção contém políticas de bucket de exemplo que podem ser usadas para controlar o acesso ao bucket do Amazon S3 de VPC endpoints. Para saber como configurar VPC endpoints, consulte VPC Endpoints no Guia do usuário da VPC.

A VPC permite executar os recursos da AWS em uma rede virtual definida por você. Um endpoint permite que você crie uma conexão privada entre sua VPC e outro produto da AWS sem exigir acesso pela Internet por meio de uma conexão VPN, de uma instância NAT ou do AWS Direct Connect.

Um endpoint de VPC para Amazon S3 é uma entidade lógica em uma VPC que oferece conectividade apenas ao Amazon S3. O VPC endpoint roteia as solicitações para o Amazon S3 e roteia as respostas de rotas de volta para a VPC. Os VPC endpoints alteram somente a forma como as solicitações são roteadas. Os endpoints públicos do Amazon S3 e os nomes de DNS continuarão funcionando com VPC endpoints. Para obter informações importantes sobre o uso de VPC endpoints com o Amazon S3, consulte VPC Endpoints de gateway e Endpoints para Amazon S3 no Guia do usuário da VPC.

Os VPC endpoints para Amazon S3 fornecem duas maneiras de controlar o acesso aos dados do Amazon S3:

  • É possível controlar as solicitações, os usuários ou os grupos permitidos por um VPC endpoint específico. Para obter informações sobre esse tipo de controle de acesso, consulte Controlar o acesso aos serviços com VPC Endpoints no Guia do usuário da VPC.

  • É possível controlar quais VPCs ou VPC endpoints têm acesso aos seus buckets usando as políticas de bucket do Amazon S3. Para obter exemplos desse tipo de controle de acesso de política de bucket, consulte os seguintes tópicos sobre restrição de acesso.

Importante

Ao aplicar políticas de bucket do Amazon S3 para os VPC endpoints descritos nesta seção, talvez você bloqueie o acesso ao bucket inadvertidamente. As permissões de bucket destinadas especificamente a limitar o acesso do bucket às conexões originadas do seu VPC endpoint podem bloquear todas as conexões ao bucket. Para obter informações sobre como corrigir esse problema, consulte Minha política de bucket tem o ID da VPC ou do endpoint da VPC incorreto. Como corrigir a política para que eu possa acessar o bucket? na Central de conhecimento do AWS Support.

Restringir o acesso a um VPC endpoint específico

O seguinte é um exemplo de um política de bucket do Amazon S3 que restringe o acesso a um bucket específico, awsexamplebucket1, somente no VPC endpoint com o ID vpce-1a2b3c4d. Essa política negará todo acesso ao bucket se o endpoint especificado não estiver sendo usado. A condição aws:SourceVpce é usada para especificar o endpoint. A condição aws:SourceVpce não requer um nome de recurso da Amazon (ARN) para o recurso do VPC endpoint, somente o ID do VPC endpoint. Para obter mais informações sobre o uso de condições em uma política, consulte Exemplos de chave de condição do Amazon S3.

Importante

  • Antes de usar a política de exemplo a seguir, substitua o ID do VPC endpoint por um valor apropriado para o caso de uso. Caso contrário, não será possível acessar o bucket.

  • Essa política desabilita o acesso do console ao bucket especificado, pois as solicitações do console não se originam do VPC endpoint especificado.

{
   "Version": "2012-10-17",
   "Id": "Policy1415115909152",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPCE-only",
       "Principal": "*",
       "Action": "s3:*",
       "Effect": "Deny",
       "Resource": ["arn:aws:s3:::awsexamplebucket1",
                    "arn:aws:s3:::awsexamplebucket1/*"],
       "Condition": {
         "StringNotEquals": {
           "aws:SourceVpce": "vpce-1a2b3c4d"
         }
       }
     }
   ]
}

Restringir o acesso a uma VPC específica

Você pode criar uma política de bucket que restringe o acesso a uma VPC específica usando a condição aws:SourceVpc. Isso será útil se você tiver vários VPC endpoints configurados na mesma VPC e desejar gerenciar o acesso aos buckets do Amazon S3 para todos os endpoints. Veja a seguir um exemplo de política que nega acesso a awsexamplebucket1 e seus objetos para qualquer pessoa de fora da VPC vpc-111bbb22. Essa política negará todo acesso ao bucket se o endpoint a VPC especificada não estiver sendo usada. Essa instrução não concede acesso. Para isso, você precisará adicionar uma instrução de permissão separada. A chave de condição vpc-111bbb22 não requer um ARN para o recurso da VPC, somente o ID da VPC.

Importante

  • Antes de usar a política de exemplo a seguir, substitua o ID da VPC por um valor apropriado para o caso de uso. Caso contrário, não será possível acessar o bucket.

  • Essa política desabilita o acesso do console ao bucket especificado, pois as solicitações do console não se originam da VPC especificada.

{
   "Version": "2012-10-17",
   "Id": "Policy1415115909153",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPC-only",
       "Principal": "*",
       "Action": "s3:*",
       "Effect": "Deny",
       "Resource": ["arn:aws:s3:::awsexamplebucket1",
                    "arn:aws:s3:::awsexamplebucket1/*"],
       "Condition": {
         "StringNotEquals": {
           "aws:SourceVpc": "vpc-111bbb22"
         }
       }
     }
   ]
}