Verhinderung der Datenexfiltration in einer privaten VPC - Forschungs- und Ingenieurstudio

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verhinderung der Datenexfiltration in einer privaten VPC

Um zu verhindern, dass Benutzer Daten aus sicheren S3-Buckets in ihre eigenen S3-Buckets in ihrem Konto exfiltrieren, können Sie einen VPC-Endpunkt anhängen, um Ihre private VPC zu sichern. Die folgenden Schritte zeigen, wie Sie einen VPC-Endpunkt für den S3-Dienst erstellen, der den Zugriff auf S3-Buckets in Ihrem Konto sowie auf alle zusätzlichen Konten mit kontoübergreifenden Buckets unterstützt.

  1. Öffnen Sie die Amazon VPC-Konsole:

    1. Melden Sie sich bei der AWS Management Console an.

    2. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Erstellen Sie einen VPC-Endpunkt für S3:

    1. Wählen Sie im linken Navigationsbereich die Option Endpoints (Endpunkte) aus.

    2. Klicken Sie auf Endpunkt erstellen.

    3. Stellen Sie sicher, dass bei Servicekategorie die Option AWS Services ausgewählt ist.

    4. Geben Sie im Feld Dienstname „S3“ ein com.amazonaws.<region>.s3 (<region>ersetzen Sie es durch Ihre AWS Region) oder suchen Sie danach.

    5. Wählen Sie den S3-Dienst aus der Liste aus.

  3. Endpunkteinstellungen konfigurieren:

    1. Wählen Sie für VPC die VPC aus, in der Sie den Endpunkt erstellen möchten.

    2. Wählen Sie für Subnetze beide privaten Subnetze aus, die während der Bereitstellung für die VDI-Subnetze verwendet wurden.

    3. Stellen Sie sicher, dass die Option „DNS-Name aktivieren“ aktiviert ist. Dadurch kann der private DNS-Hostname in die Endpunkt-Netzwerkschnittstellen aufgelöst werden.

  4. Konfigurieren Sie die Richtlinie zur Zugriffsbeschränkung:

    1. Wählen Sie unter Richtlinie die Option Benutzerdefiniert aus.

    2. Geben Sie im Richtlinieneditor eine Richtlinie ein, die den Zugriff auf Ressourcen in Ihrem Konto oder einem bestimmten Konto einschränkt. Hier ist ein Beispiel für eine Richtlinie (mybucketersetzen Sie sie durch Ihren S3-Bucket-Namen 111122223333 und 444455556666 durch das entsprechende AWS Konto IDs , auf das Sie zugreifen möchten):

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::mybucket",
                "arn:aws:s3:::mybucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalAccount": [
                        "111122223333",   // Your Account ID
                        "444455556666"    // Another Account ID
                    ]
                }
            }
        }
    ]
}

  5. Erstellen Sie den Endpunkt:

    1. Überprüfen Sie die Einstellungen.

    2. Wählen Sie Endpunkt erstellen aus.

  6. Überprüfen Sie den Endpunkt:

    1. Sobald der Endpunkt erstellt wurde, navigieren Sie in der VPC-Konsole zum Abschnitt Endpoints.

    2. Wählen Sie den neu erstellten Endpunkt aus.

    3. Stellen Sie sicher, dass der Status verfügbar ist.

Indem Sie diese Schritte ausführen, erstellen Sie einen VPC-Endpunkt, der S3-Zugriff ermöglicht, der auf Ressourcen innerhalb Ihres Kontos oder einer bestimmten Konto-ID beschränkt ist.