本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
為僅限於虛擬私有雲端的一般用途儲存貯體建立存取點
當您為一般用途儲存貯體建立存取點時,您可以選擇從網際網路存取存取點,也可以指定透過該存取點提出的所有請求都必須來自特定的虛擬私有雲端 (VPC)。可從網際網路存取的存取點表示具有 Internet 的網路來源。可以從網際網路上的任何地方使用,受限於存取點、基礎儲存貯體和相關資源 (例如請求的物件) 既有的任何其他存取限制。只能從指定 VPC 存取的存取點具有 VPC 的網路原始伺服器,並且 Amazon S3 會拒絕對非源自該 VPC 的存取點進行的任何請求。
重要
您只能在建立存取點時指定存取點的網路來源。建立存取點之後,您便無法變更其網路來源。
若要將存取點限制在僅限 VPC 存取,請在建立存取點的請求中包含 VpcConfiguration 參數。在 VpcConfiguration 參數中,您可以指定要能夠使用存取點的 VPC ID。如果透過存取點發出要求,則要求必須來自 VPC,否則 Amazon S3 將拒絕該要求。
您可以使用、 AWS CLI AWS SDKs 或 REST APIs 來擷取存取點的網路原始伺服器。如果存取點已指定 VPC 組態,則其網路來源為 VPC。否則,存取點的網路來源為 Internet。
範例:建立限制 VPC 存取的存取點
下列範例會在帳戶 123456789012 中的儲存貯體 amzn-s3-demo-bucketexample-vpc-ap 的存取點,僅允許來自 vpc-1a2b3c VPC 的存取。然後,此範例會驗證新的存取點是否具有 VPC 的網路來源。
若要使用存取點搭配 VPC,您必須修改 VPC 端點的存取原則。VPC 端點會允許流量從您的 VPC 流向 Amazon S3。它們會具有存取控制政策,可控制如何允許 VPC 內的資源與 Amazon S3 互動。只有在 VPC 端點政策同時授予存取點和基礎儲存貯體的存取時,透過存取點從 VPC 到 Amazon S3 的請求才會成功。
注意
若要讓資源只能在 VPC 中存取,請務必為您的 VPC 端點建立私有託管區域。若要使用私有託管區域,請修改您的 VPC 設定以便 VPC 網路屬性、enableDnsHostnames 和 enableDnsSupport 設定為 true。
下列範例政策陳述式會設定 VPC 端點,以允許呼叫 GetObject 來取得名為 awsexamplebucket1 的儲存貯體和名為 example-vpc-ap 的存取點。
{ "Version": "2012-10-17", "Statement": [ { "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::awsexamplebucket1/*", "arn:aws:s3:us-west-2:123456789012:accesspoint/example-vpc-ap/object/*" ] }] }
注意
此範例中的 "Resource" 宣告使用 Amazon Resource Name (ARN) 來指定存取點。如需存取點 ARN 的更多資訊,請參閱 將 Amazon S3 存取點用於一般用途儲存貯體。
如需 VPC 端點政策的詳細資訊,請參閱《VPC 使用者指南》中的使用 Amazon S3 的端點政策。
如需使用 VPC 端點建立存取點的教學課程,請參閱使用 VPC 端點和存取點管理 Amazon S3 存取
