Richtlinie für den Datenverkehr zwischen Netzwerken
In diesem Thema wird beschrieben, wie Amazon S3 Verbindungen vom Service zu anderen Speicherorten sichert.
Datenverkehr zwischen Service und lokalen Clients und Anwendungen
Die folgenden Verbindungen können kombiniert werden mit AWS PrivateLink zur Bereitstellung von Konnektivität zwischen Ihrem privaten Netzwerk und AWS:
AWS Site-to-Site VPN-Verbindung Weitere Informationen finden Sie unter Was ist AWS Site-to-Site VPN?
Direct Connect-Verbindung Weitere Informationen finden Sie unter Was ist Direct Connect?
Der Zugriff auf Amazon S3 über das Netzwerk erfolgt über AWS-veröffentlichte APIs. Clients müssen Transport Layer Security (TLS) 1.2 unterstützen. Wir empfehlen TLS 1.3. Clients müssen außerdem Cipher Suites mit PFS (Perfect Forward Secrecy) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman) unterstützen. Die meisten modernen Systemen wie Java 7 und höher unterstützen diese Modi. Außerdem müssen Sie die Anfragen mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel signieren, die einem IAM-Prinzipal zugeordnet sind. Sie können auch AWS Security Token Service (STS) verwenden um temporäre Sicherheitsanmeldeinformationen zu generieren.
Datenverkehr zwischen AWS-Ressourcen in derselben Region
Ein Virtual Private Cloud (VPC)-Endpunkt für Amazon S3 ist eine logische Einheit innerhalb einer VPC, die nur Konnektivität mit Amazon S3 ermöglicht. Die VPC leitet Anforderungen an Amazon S3 weiter und Antworten an die VPC zurück. Weitere Informationen finden Sie unter VPC-Endpunkte im Amazon VPC-Benutzerhandbuch. Dieser Abschnitt enthält Beispiele für Bucket-Richtlinien, die für die Steuerung des Zugriffs auf S3-Buckets von VPC-Endpunkten aus verwendet werden können. Siehe Steuern des Zugriffs von VPC-Endpunkten mit Bucket-Richtlinien.
