Erstellen von Zugriffspunkten, die auf eine Virtual Private Cloud beschränkt sind - Amazon Simple Storage Service
Beispiel: Erstellen eines Zugangspunkts, der auf VPC-Zugriff beschränkt istBeispiel: Einen Zugangspunkt, der an ein FSx für OpenZFS-Volume angeschlossen ist, erstellen und auf eine VPC-ID beschränken

Erstellen von Zugriffspunkten, die auf eine Virtual Private Cloud beschränkt sind

Wenn Sie einen Zugangspunkt erstellen, können Sie ihn über das Internet zugänglich machen, oder Sie können angeben, dass alle über diesen Zugangspunkt eingehenden Anforderungen aus einer bestimmten Virtual Private Cloud (VPC) stammen müssen. Ein Zugangspunkt, der über das Internet zugänglich ist, soll einen Netzwerkursprung von habe Internet. Er kann von überall im Internet verwendet werden, vorbehaltlich anderer Zugriffsbeschränkungen für den Zugangspunkt, den zugrunde liegende Datenquelle und die zugehörige Ressourcen, z. B. die angeforderten Objekte. Ein Zugriffspunkt, auf den nur von einer angegebenen VPC aus zugegriffen werden kann, hat den Netzwerkursprung VPC. Amazon S3 weist jede Anforderung an den Zugriffspunkt zurück, die nicht von dieser VPC stammt.

Wichtig

Sie können den Netzwerkursprung eines Zugriffspunkts nur angeben, wenn Sie den Zugriffspunkt erstellen. Nachdem Sie den Zugriffspunkt erstellt haben, können Sie seinen Netzwerkursprung nicht mehr ändern.

Um einen Zugriffspunkt auf reinen VPC-Zugriff zu beschränken, fügen Sie den Parameter VpcConfiguration in die Anforderung zum Erstellen des Zugriffspunkts ein. Im Parameter VpcConfiguration geben Sie die VPC-ID an, die in der Lage sein soll, den Zugriffspunkt zu verwenden. Wenn eine Anfrage über den Zugriffspunkt erfolgt, muss die Anfrage von der VPC stammen, sonst lehnt Amazon S3 sie ab.

Sie können den Netzwerkursprung eines Zugriffspunkts mithilfe der APIs AWS CLI, AWS SDKs oder REST-APIs abrufen. Wenn für einen Zugriffspunkt eine VPC-Konfiguration angegeben ist, lautet der Netzwerkursprung VPC. Andernfalls ist der Netzwerkursprung des Zugriffspunkts Internet.

Beispiel: Erstellen eines Zugangspunkts, der auf VPC-Zugriff beschränkt ist

Im folgenden Beispiel wird ein Zugriffspunkt mit dem Namen example-vpc-ap für Bucket amzn-s3-demo-bucket in Konto 123456789012 erstellt, der den Zugriff nur von der VPC vpc-1a2b3c aus zulässt. Das Beispiel überprüft dann, ob der neue Zugriffspunkt den Netzwerkursprung ha VPC.

AWS CLI
aws s3control create-access-point --name example-vpc-ap --account-id 123456789012 --bucket amzn-s3-demo-bucket --vpc-configuration VpcId=vpc-1a2b3c
aws s3control get-access-point --name example-vpc-ap --account-id 123456789012

{
    "Name": "example-vpc-ap",
    "Bucket": "amzn-s3-demo-bucket",
    "NetworkOrigin": "VPC",
    "VpcConfiguration": {
        "VpcId": "vpc-1a2b3c"
    },
    "PublicAccessBlockConfiguration": {
        "BlockPublicAcls": true,
        "IgnorePublicAcls": true,
        "BlockPublicPolicy": true,
        "RestrictPublicBuckets": true
    },
    "CreationDate": "2019-11-27T00:00:00Z"
}

Um einen Zugriffspunkt mit einer VPC zu verwenden, müssen Sie die Zugriffsrichtlinie für Ihren VPC-Endpunkt ändern. VPC-Endpunkte ermöglichen den Datenfluss von Ihrer VPC zu Amazon S3. Sie verfügen über Zugriffssteuerungsrichtlinien, die kontrollieren, wie Ressourcen innerhalb der VPC mit Amazon S3 interagieren dürfen. Anforderungen von Ihrer VPC an Amazon S3 werden nur dann über einen Zugriffspunkt erfolgreich ausgeführt, wenn die VPC-Endpunktrichtlinie sowohl Zugriff auf den Zugriffspunkt als auch auf den zugrunde liegenden Bucket gewährt.

Anmerkung

Damit Ressourcen nur innerhalb einer VPC zugänglich sind, erstellen Sie unbedingt eine privat gehostete Zone für Ihren VPC-Endpunkt. Wenn Sie eine privat gehostete Zone verwenden möchten, ändern Sie Ihre VPC-Einstellungen so, dass die VPC-Netzwerkattribute enableDnsHostnames und enableDnsSupport auf true festgelegt sind.

In der folgenden Beispielrichtlinienanweisung wird ein VPC-Endpunkt so konfiguriert, dass Aufrufe von GetObject für einen Bucket mit dem Namen awsexamplebucket1 und einen Zugriffspunkt mit dem Namen example-vpc-ap zulässig sind.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::awsexamplebucket1/*",
            "arn:aws:s3:us-west-2:123456789012:accesspoint/example-vpc-ap/object/*"
        ]
    }]
}
Anmerkung

Die "Resource"-Deklaration in diesem Beispiel verwendet einen Amazon-Ressourcennamen (ARN) zur Angabe des Zugriffspunkts. Weitere Informationen zu Zugriffspunkt-ARNs finden Sie unter Referenzierung von Zugangspunkten mit ARNs, Zugangspunkt-Aliasnamen oder URIs im Stil virtueller Hosts.

Weitere Informationen zu VPC-Endpunktrichtlinien finden Sie unter Verwenden von Endpoint-Richtlinien für Amazon S3 im VPC-Benutzerhandbuch.

Ein Tutorial zum Erstellen von Zugangspunkten mit VPC-Endpunkten finden Sie unter Verwalten des Amazon-S3-Zugriffs mit VPC-Endpunkten und Zugangspunkten.

Beispiel: Einen Zugangspunkt, der an ein FSx für OpenZFS-Volume angeschlossen ist, erstellen und auf eine VPC-ID beschränken

Sie können mithilfe der Amazon FSx-Konsole, AWS CLI oder API einen Zugangspunkt erstellen, der an ein FSx für OpenZFS-Volume angehängt wird. Sobald die Verbindung hergestellt ist, können Sie die S3-Objekt-APIs verwenden, um auf Ihre Dateidaten von einer bestimmten VPC aus zuzugreifen.

Anweisungen zum Erstellen und Einschränken eines Zugangspunkts, der an ein FSx for OpenZFS-Volume angeschlossen ist, finden Sie unter Erstellen von Zugangspunkten, die auf eine Virtual Private Cloud (VPC) beschränkt sind, im FSx für OpenZFS-Benutzerhandbuch.