本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建立受限於 Virtual Private Cloud 的存取點
建立存取點時,您可以選擇從網際網路存取存取點,也可以指定透過該存取點提出的所有請求都必須來自特定的虛擬私有雲端 (VPC)。可從網際網路存取的存取點表示具有 Internet
的網路來源。可以從網際網路上的任何地方使用,受限於存取點、基礎儲存貯體和相關資源 (例如請求的物件) 既有的任何其他存取限制。只能從指定 VPC 存取的存取點具有 的網路原始伺服器VPC
,Amazon S3 會拒絕對非源自該 VPC 的存取點提出的任何請求。
重要
您只能在建立存取點時指定存取點的網路來源。建立存取點之後,您便無法變更其網路來源。
若要將存取點限制為僅限 VPC 存取,請在建立存取點的請求中包含 VpcConfiguration
參數。在 VpcConfiguration
參數中,您可以指定要使用存取點的 VPC ID。如果透過存取點提出請求,則請求必須源自 VPC,否則 Amazon S3 會拒絕該請求。
您可以使用 、 AWS CLI AWS SDKs 或 REST 擷取存取點的網路來源APIs。如果存取點已指定 VPC 組態,其網路原始伺服器為 VPC
。否則,存取點的網路來源為 Internet
。
範例:建立僅限 VPC 存取的存取點
下列範例會建立名為 example-vpc-ap
的 儲存貯體存取點amzn-s3-demo-bucket
123456789012
,僅允許從 VPC vpc-1a2b3c
存取。然後,此範例會驗證新的存取點是否具有 VPC
的網路來源。
若要將存取點與 VPC 搭配使用,您必須修改 VPC 端點的存取政策。VPC 端點允許流量從您的 VPC 流向 Amazon S3。它們具有存取控制政策,可控制如何允許 VPC 中的資源與 Amazon S3 互動。如果 VPC 端點政策同時授予存取點和基礎儲存貯體的存取權,則從 VPC 到 Amazon S3 的請求只會透過存取點成功。
注意
下列範例政策陳述式會設定 VPC 端點,以允許 呼叫名為 GetObject
的儲存貯體awsexamplebucket1
和名為 的存取點example-vpc-ap
。
{ "Version": "2012-10-17", "Statement": [ { "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::awsexamplebucket1/*", "arn:aws:s3:us-west-2:123456789012:accesspoint/example-vpc-ap/object/*" ] }] }
注意
此範例中的"Resource"
宣告使用 Amazon Resource Name (ARN) 來指定存取點。如需存取點 ARNs 的詳細資訊,請參閱 使用存取點。
如需 VPC 端點政策的詳細資訊,請參閱 Word 使用者指南中的使用 Amazon S3 的端點政策。 VPC