Création de points d’accès restreints à un virtual private cloud - Amazon Simple Storage Service
Exemple : création d’un point d’accès et restriction de son accès à un ID de VPCExemple : création d’un point d’accès attaché à un volume FSx pour OpenZFS et restriction de son accès à un ID de VPC

Création de points d’accès restreints à un virtual private cloud

Lorsque vous créez un point d’accès, vous pouvez choisir de le rendre accessible à partir d’Internet, ou vous pouvez spécifier que toutes les demandes effectuées via ce point d’accès doivent provenir d’un cloud privé virtuel (VPC) spécifique. Un point d’accès accessible depuis Internet est dit avoir une origine réseau d’Internet. Il peut être utilisé depuis n’importe où sur Internet, sous réserve de toute autre restriction d’accès applicable au point d’accès, à la source de données sous-jacente et aux ressources associées, telles que les objets demandés. Un point d’accès accessible uniquement à partir d’un VPC spécifié a une origine réseau de VPC, et Amazon S3 rejette toute demande adressée au point d’accès qui ne provient pas de ce VPC.

Important

Vous ne pouvez spécifier l’origine réseau d’un point d’accès qu’au moment de la création du point d’accès. Après avoir créé le point d’accès, vous ne pouvez pas modifier son origine réseau.

Pour limiter un point d’accès à un accès VPC uniquement, vous devez inclure le paramètre VpcConfiguration à la demande de création du point d’accès. Dans le paramètre VpcConfiguration, vous spécifiez l’ID de VPC que vous souhaitez pouvoir utiliser avec le point d’accès. Si une demande est effectuée via le point d’accès, elle doit provenir du VPC, car Amazon S3 la rejettera dans le cas contraire.

Vous pouvez récupérer l’origine réseau d’un point d’accès à l’aide de AWS CLI, des kits AWS SDK ou des API REST. Si un point d’accès a une configuration VPC spécifiée, son origine réseau est VPC. Sinon, l’origine réseau du point d’accès est Internet.

Exemple : création d’un point d’accès et restriction de son accès à un ID de VPC

L’exemple suivant crée un point d’accès nommé example-vpc-ap pour le compartiment amzn-s3-demo-bucket dans le compte 123456789012 qui autorise l’accès uniquement à partir du VPC vpc-1a2b3c. L’exemple vérifie ensuite que le nouveau point d’accès a une origine réseau de VPC.

AWS CLI
aws s3control create-access-point --name example-vpc-ap --account-id 123456789012 --bucket amzn-s3-demo-bucket --vpc-configuration VpcId=vpc-1a2b3c
aws s3control get-access-point --name example-vpc-ap --account-id 123456789012

{
    "Name": "example-vpc-ap",
    "Bucket": "amzn-s3-demo-bucket",
    "NetworkOrigin": "VPC",
    "VpcConfiguration": {
        "VpcId": "vpc-1a2b3c"
    },
    "PublicAccessBlockConfiguration": {
        "BlockPublicAcls": true,
        "IgnorePublicAcls": true,
        "BlockPublicPolicy": true,
        "RestrictPublicBuckets": true
    },
    "CreationDate": "2019-11-27T00:00:00Z"
}

Pour utiliser un point d’accès avec un VPC, vous devez modifier la stratégie d’accès pour votre point de terminaison d’un VPC. Les points de terminaison d’un VPC autorisent la circulation du trafic de votre VPC vers Amazon S3. Ils disposent de politiques de contrôle d’accès qui contrôlent la façon dont les ressources du VPC sont autorisées à interagir avec Amazon S3. Les demandes de votre VPC vers Amazon S3 ne réussissent via un point d’accès que si la politique de point de terminaison d’un VPC accorde l’accès au point d’accès et au compartiment sous-jacent.

Note

Pour rendre les ressources accessibles uniquement au sein d’un VPC, veillez à créer une zone hébergée privée pour votre point de terminaison de VPC. Pour utiliser une zone hébergée privée, modifiez les paramètres de votre VPC de sorte que les attributs de réseau VPC enableDnsHostnames et enableDnsSupport soient définis sur true.

L’exemple de déclaration de stratégie suivant configure un point de terminaison d’un VPC pour autoriser les appels à GetObject pour un compartiment nommé awsexamplebucket1 et un point d’accès nommé example-vpc-ap.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::awsexamplebucket1/*",
            "arn:aws:s3:us-west-2:123456789012:accesspoint/example-vpc-ap/object/*"
        ]
    }]
}
Note

La déclaration "Resource" de cet exemple utilise un Amazon Resource Name (ARN) pour spécifier le point d’accès. Pour plus d’informations sur les ARN des points d’accès, consultez Référence aux points d’accès avec des ARN, des alias de point d’accès ou des URI de type hébergement virtuel.

Pour plus d’informations sur les stratégies de point de terminaison d’un VPC, consultez Stratégies de point de terminaison pour Amazon S3 dans le Guide de l’utilisateur Amazon Virtual Private Cloud.

Pour un didacticiel sur la création de points d’accès avec des points de terminaison d’un VPC, consultez Gestion des accès à Amazon S3 avec des points de terminaison d’un VPC et des points d’accès de VPC.

Exemple : création d’un point d’accès attaché à un volume FSx pour OpenZFS et restriction de son accès à un ID de VPC

Vous pouvez créer et attacher un point d’accès à un volume FSx pour OpenZFS à l’aide de la console Amazon FSx, de l’AWS CLI ou de l’API. Une fois qu’il est attaché, vous pouvez utiliser les API des objets S3 pour accéder aux données de vos fichiers situés dans le VPC spécifié.

Pour obtenir des instructions sur la création et la restriction d’un point d’accès attaché à un volume FSx pour OpenZFS, consultez Création de points d’accès restreints à un cloud privé virtuel (VPC) dans le Guide de l’utilisateur FSx pour OpenZFS.