AWS PrivateLink para Amazon S3

Con AWS PrivateLink para Amazon S3, puede aprovisionar puntos de enlace de la VPC de la interfaz (puntos de enlace de la interfaz) en su Virtual Private Cloud (VPC). A estos puntos de enlace se puede acceder directamente desde las aplicaciones que se encuentran en las instalaciones a través de la VPN y Direct Connect, o bien, en una Región de AWS diferente mediante la interconexión de VPC.

Los puntos de enlace de la interfaz se representan mediante una o más interfaces de red elásticas (elastic network interfaces, ENI) a las que se asignan direcciones IP privadas desde subredes de la VPC. Las solicitudes a Amazon S3 sobre puntos de conexión de la interfaz permanecen en la red de Amazon. Asimismo, puede acceder a los puntos de conexión de la interfaz en su VPC desde aplicaciones en las instalaciones a través de AWS Direct Connect oAWS Virtual Private Network (Site-to-Site VPN). Para obtener más información sobre cómo conectar la VPC a la red en las instalaciones, consulte la Guía del usuario de Direct Connect y la Guía del usuario de AWS Site-to-Site VPN.

Para obtener más información sobre los puntos de enlace de la interfaz, consulte Puntos de enlace de la VPC de la interfaz (AWS PrivateLink) en la Guía de AWS PrivateLink.

Tipos de puntos de enlace de la VPC para Amazon S3

Puede utilizar dos tipos de puntos de conexión de VPC para acceder a Amazon S3: puntos de conexión de la puerta de enlace y puntos de conexión de la interfaz (mediante AWS PrivateLink). Un punto de conexión de gateway es una gateway que se especifica en la tabla de enrutamiento para acceder a Amazon S3 desde su VPC a través de la red de AWS. Los puntos de conexión de la interfaz extienden la funcionalidad de los puntos de conexión de la puerta de enlace a través de direcciones IP privadas para enviar solicitudes a Amazon S3 desde su VPC, el sistema en las instalaciones u otra VPC en otra Región de AWS mediante la interconexión de VPC o AWS Transit Gateway. Para obtener más información, consulte ¿Qué es una interconexión de VPC? y Transit Gateway frente a interconexión de VPC.

Los puntos de enlace de la interfaz son compatibles con los puntos de enlace de gateway. Si tiene un punto de conexión de gateway existente en la VPC, puede utilizar ambos tipos de puntos de enlace en la misma VPC.

Para obtener más información, consulte Puntos de conexión de la puerta de enlace y puntos de conexión de VPC de interfaz en la Guía de AWS PrivateLink.

Restricciones y límites de AWS PrivateLink para Amazon S3

Los límites de VPC se aplican a AWS PrivateLink para Amazon S3. Para obtener más información, consulte Consideraciones de los puntos de conexión de la interfaz y Cuotas de AWS PrivateLink en la Guía de AWS PrivateLink. Además, se aplican las siguientes restricciones.

Los puntos de conexión de interfaz de Amazon S3 no admiten lo siguiente:

Creación de un punto de conexión de VPC

Para crear un punto de conexión de interfaz de VPC, consulte Crear un punto de conexión de VPC en la Guía de AWS PrivateLink. Para crear un punto de conexión de puerta de enlace de VPC, consulte Crear un punto de conexión de puerta de enlace en la Guía de AWS PrivateLink.

Acceso a los puntos de enlace de la interfaz de Amazon S3

Cuando se crea un punto de conexión de interfaz, Amazon S3 genera dos tipos de nombres DNS de S3 específicos del punto de conexión: regional y zonal.

Los nombres DNS S3 específicos de los puntos de enlace se pueden resolver desde el dominio DNS público de S3.

Los puntos de conexión de VPC para Amazon S3 admiten diferentes tipos de direcciones IP, incluidos: IPv4, IPv6 y pila doble. Consulte Tipos de direcciones IP para puntos de conexión de VPC y Tipos de IP de registros de DNS para puntos de conexión de VPC.

Tipos de direcciones IP para puntos de conexión de VPC

Los puntos de conexión de VPC para Amazon S3 admiten diferentes tipos de direcciones IP, incluidos:

El tipo de dirección IP que elija para el punto de conexión de VPC dependerá de los requisitos de red de las aplicaciones e infraestructura. Las consideraciones pueden incluir los esquemas de direcciones IP utilizados en la VPC, las redes en las instalaciones y la conectividad a través de Internet con Amazon S3. Para obtener más información, consulte los tipos de direcciones IP para los puntos de conexión de la interfaz y los puntos de conexión de puerta de enlace en la guía Amazon Virtual Private Cloud.

Tipos de IP de registros de DNS para puntos de conexión de VPC

Según el tipo de dirección IP, al llamar a un punto de conexión de VPC, el Servicio de AWS puede devolver registros A, registros AAAA o registros A y AAAA. Se pueden personalizar los tipos de registros que devuelve el servicio de AWS al modificar el tipo de IP del registro de DNS. En la siguiente tabla se muestran los tipos de IP de registro de DNS admitidos y los tipos de direcciones IP:

Configuración del tipo de IP de registro de DNS definido por el servicio para Amazon S3

Si crea un punto de conexión de puerta de enlace para Amazon S3 y configura el tipo de IP de registro de DNS como definido por el servicio y utiliza el punto de conexión de servicio regional (por ejemplo, s3.us-east-2.amazonaws.com), Amazon S3 devuelve registros de A a los clientes. Por el contrario, si crea un punto de conexión de puerta de enlace y utiliza un punto de conexión de servicio de doble pila (por ejemplo, s3.dualstack.us-east-2.amazonaws.com) y selecciona el tipo de IP de registro de DNS comoservice-defined, Amazon S3 devuelve los registros A y AAAA a los clientes.

Del mismo modo, si crea un punto de conexión de interfaz con el DNS privado habilitado y elige el tipo de registro de DNS definido por el servicio, para el punto de conexión del servicio regional (por ejemplo, s3.us-east-2.amazonaws.com), Amazon S3 devuelve los registros de A al cliente. Mientras que, para un punto de conexión de servicio de doble pila (como, s3.dualstack.us-east-2.amazonaws.com), Amazon S3 devuelve ambos registros A y AAAA. Para obtener más información, consulte el tipo de IP de registro de DNS para los puntos de conexión de la interfaz y puntos de conexión de la puerta de enlace en la Guía del usuario de la VPC.

En la siguiente tabla se muestran los tipos de IP de registro de DNS compatibles para puerta de enlace y puntos de conexión de la interfaz:

* Representa el tipo de IP del registro de DNS predeterminado.

Para habilitar la conectividad de IPv6 en una puerta de enlace de S3 o punto de conexión de interfaz existente, actualice el tipo de dirección IP del punto de conexión en Dualstack. Cuando se actualiza, Amazon S3 actualiza automáticamente las tablas de enrutamiento con direcciones IPv6 para los puntos de conexión de las puertas de enlace. A continuación, puede utilizar el punto de conexión del servicio de doble pila, por ejemplo, s3.dualstack.us-east-2.amazonaws.com, y Amazon S3 devolverá ambos registros A y AAAA para las consultas de DNS de S3 de doble pila. Si quiere usar IPV6 con el punto de conexión del servicio regional, por ejemplo, s3.us-east-2.amazonaws.com, modifique el tipo de dirección IP del punto de conexión a Dualstack y el tipo de IP del registro de DNS a Dualstack. A continuación, Amazon S3 devolverá ambos registros A y AAAA de las consultas de DNS regionales de S3.

DNS privado

Las opciones de DNS privado para los puntos de conexión de la interfaz de VPC simplifican el enrutamiento del tráfico de S3 a través de los puntos de conexión de VPC y le ayudan a aprovechar la ruta de red más económica disponible para su aplicación. Puede usar las opciones de DNS privadas para dirigir el tráfico de S3 regional sin actualizar sus clientes de S3 para que usen los nombres DNS específicos de los puntos de conexión de sus interfaces ni administrar la infraestructura de DNS. Con los nombres DNS privados habilitados, las consultas de DNS de S3 regional se resuelven en las direcciones IP privadas de AWS PrivateLink para los siguientes puntos de conexión:

Si tiene un punto de conexión de puerta de enlace en su VPC, puede dirigir automáticamente las solicitudes dentro de la VPC a través del punto de conexión de la puerta de enlace de S3 actual y las solicitudes en las instalaciones a través del punto de conexión de su interfaz. Este enfoque le permite optimizar sus costos de red mediante el uso de puntos de conexión de la puerta de enlace, que no se facturan, para el tráfico en la VPC. Sus aplicaciones en las instalaciones pueden utilizar AWS PrivateLink con la ayuda del punto de conexión de Resolver entrante. Amazon proporciona un servidor DNS, denominado Route 53 Resolver, para la VPC. Un punto de conexión de Resolver entrante reenvía las consultas de DNS desde la red local a Route 53 Resolver.

La opción Habilitar el DNS privado solo para los puntos de conexión entrantes solo está disponible para los servicios que admiten puntos de conexión de la puerta de enlace.

Para obtener más información sobre la creación de un punto de conexión de VPC que utilice Habilitar el DNS privado solo para los puntos de conexión entrantes, consulte Crear un punto de conexión de la interfaz en la Guía de AWS PrivateLink.

Uso de la consola de la VPC

En la consola, tiene dos opciones: Habilitar el nombre de DNS y Habilitar el DNS privado solo para los puntos de conexión entrantes. Habilitar el nombre de DNS es una opción admitida por AWS PrivateLink. Al utilizar la opción Habilitar el nombre de DNS, puede utilizar la conectividad privada de Amazon con Amazon S3 y, al mismo tiempo, realizar solicitudes a los nombres de DNS de puntos de conexión públicos predeterminados. Cuando esta opción está habilitada, los clientes pueden aprovechar la ruta de red más económica disponible para su aplicación.

Al habilitar los nombres DNS privados en un punto de conexión de la interfaz de VPC nuevo o existente para Amazon S3, se selecciona la opción Habilitar el DNS privado solo para los puntos de conexión entrantes de forma predeterminada. Si se selecciona esta opción, las aplicaciones utilizan únicamente los puntos de conexión de la interfaz para el tráfico en las instalaciones. Este tráfico dentro de la VPC utiliza automáticamente los puntos de conexión de la puerta de enlace más económicos. También puede desmarcar la opción Habilitar el DNS privado solo para puntos de conexión entrantes para dirigir todas las solicitudes de S3 a través del punto de conexión de la interfaz.

Uso de AWS CLI

Si no especifica un valor para PrivateDnsOnlyForInboundResolverEndpoint, el valor predeterminado es true. Sin embargo, antes de que la VPC aplique la configuración, realiza una comprobación para asegurarse de que haya un punto de conexión de la puerta de enlace presente en la VPC. Si hay un punto de conexión de la puerta de enlace en la VPC, la llamada se realiza correctamente. De lo contrario, si ve el siguiente mensaje de error:

Para configurar PrivateDnsOnlyForInboundResolverEndpoint en true, la VPC vpce_id debe tener un punto de conexión de la puerta de enlace para el servicio.

Para un nuevo punto de conexión de la interfaz de la VPC

Utilice los atributos private-dns-enabled y dns-options para habilitar el DNS privado a través de la línea de comandos. La opción PrivateDnsOnlyForInboundResolverEndpoint del atributo dns-options debe estar establecida en true. Sustituya user input placeholders por su propia información.

aws ec2 create-vpc-endpoint \
--region us-east-1 \
--service-name s3-service-name \
--vpc-id client-vpc-id \
--subnet-ids client-subnet-id \ 
--vpc-endpoint-type Interface  \
--private-dns-enabled  \
--ip-address-type ip-address-type \ 
--dns-options PrivateDnsOnlyForInboundResolverEndpoint=true \
--security-group-ids client-sg-id 
    

Para un punto de conexión de VPC existente

Si quiere usar un DNS privado para un punto de conexión de VPC existente, use el siguiente comando de ejemplo y reemplace user input placeholders con su información.

aws ec2 modify-vpc-endpoint \
--region us-east-1 \
--vpc-endpoint-id client-vpc-id \
--private-dns-enabled \
--dns-options PrivateDnsOnlyForInboundResolverEndpoint=false
    

Si desea actualizar un punto de conexión de VPC existente para habilitar el DNS privado solo para el Resolver entrante, utilice el siguiente ejemplo y sustituya los valores de ejemplo por los suyos.

aws ec2 modify-vpc-endpoint \
--region us-east-1 \
--vpc-endpoint-id client-vpc-id \
--private-dns-enabled \
--dns-options PrivateDnsOnlyForInboundResolverEndpoint=true
    

Acceder a buckets, puntos de acceso y operaciones de la API de control de Amazon S3 desde los puntos de conexión de la interfaz de S3

Puede utilizar la AWS CLI o los SDK de AWS para acceder a los buckets, los puntos de acceso de S3 y las operaciones de la API de control de Amazon S3 a través de los puntos de conexión de la interfaz de S3.

La siguiente imagen muestra la pestaña Details (Detalles) de la consola de la VPC, donde puede encontrar el nombre DNS de un punto de conexión de la VPC. En este ejemplo, el ID de punto de conexión de la VPC (vpce-id) es vpce-0e25b8cdd720f900e y el nombre DNS es *.vpce-0e25b8cdd720f900e-argc85vg.s3.us-east-1.vpce.amazonaws.com.

Cuando utilice el nombre de DNS para acceder a un recurso, sustituya * por el valor correspondiente. Los valores adecuados que se deben utilizar en lugar de * son los siguientes:

Por ejemplo, para acceder a un bucket, utilice un nombre de DNS como este:

bucket.vpce-0e25b8cdd720f900e-argc85vg.s3.us-east-1.vpce.amazonaws.com

Para ver ejemplos de cómo usar los nombres de DNS para acceder a los buckets, los puntos de acceso y las operaciones de la API de control de Amazon S3, consulte las siguientes secciones de AWS CLIEjemplos de y Ejemplos del SDK de AWS.

Para obtener más información acerca de cómo ver los nombres de DNS específicos de los puntos de conexión, consulte Visualización de la configuración de los nombres de DNS privados de servicio de los puntos de conexión en la Guía del usuario de VPC.

AWS CLIEjemplos de

Utilice los parámetros --region y --endpoint-url para acceder a los buckets de S3, los puntos de acceso S3 o las operaciones de la API de control de Amazon S3 a través de los puntos de conexión de la interfaz de S3 en los comandos AWS CLI.

Ejemplo: utilizar una URL del punto de conexión para enumerar objetos en su bucket

En el siguiente ejemplo, reemplace el nombre del bucket my-bucket, la región us-east-1 y el nombre de DNS del ID de punto de conexión de VPC vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com con su información.

aws s3 ls s3://my-bucket/ --region us-east-1 --endpoint-url https://bucket.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com

Ejemplo: utilizar una URL del punto de conexión para enumerar objetos de un punto de acceso

Ejemplo: utilizar una URL del punto de conexión para enumerar trabajos con una operación de la API de control de S3

En el siguiente ejemplo, reemplace la región us-east-1, el ID de punto de conexión de VPC vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com y el ID de cuenta 12345678 con su información.

aws s3control --region us-east-1 --endpoint-url https://control.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com list-jobs --account-id 12345678

Ejemplos del SDK de AWS

Para acceder a los buckets de S3, los puntos de acceso de S3 o las operaciones de la API de control de Amazon S3 a través de los puntos de conexión de la interfaz de S3 al utilizar los SDK de AWS, actualice sus SDK a la versión más actual. A continuación, configure sus clientes para que utilicen una URL de punto de conexión para acceder a un bucket, un punto de acceso o a operaciones de la API de control de Amazon S3 a través de los puntos de conexión de la interfaz de S3.

SDK for Python (Boto3)

Ejemplo: utilizar una URL de punto de conexión para acceder a un bucket de S3

En el siguiente ejemplo, reemplace la región us-east-1 y el ID de punto de conexión de VPC vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com con su información.

s3_client = session.client(
service_name='s3',
region_name='us-east-1',
endpoint_url='https://bucket.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com'
)

Ejemplo: utilizar una URL de punto de conexión para acceder a un punto de acceso S3

En el siguiente ejemplo, reemplace la región us-east-1 y el ID de punto de conexión de VPC vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com con su información.

ap_client = session.client(
service_name='s3',
region_name='us-east-1',
endpoint_url='https://accesspoint.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com'
)

Ejemplo: utilizar una URL de punto de conexión para acceder a la API de control S3

En el siguiente ejemplo, reemplace la región us-east-1 y el ID de punto de conexión de VPC vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com con su información.

control_client = session.client(
service_name='s3control',
region_name='us-east-1',
endpoint_url='https://control.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com'
)

SDK for Java 1.x

Ejemplo: utilizar una URL de punto de conexión para acceder a un bucket de S3

En el siguiente ejemplo, reemplace el ID de punto de conexión de VPC vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com con su información.

// bucket client
final AmazonS3 s3 = AmazonS3ClientBuilder.standard().withEndpointConfiguration(
        new AwsClientBuilder.EndpointConfiguration(
                "https://bucket.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com",
                Regions.DEFAULT_REGION.getName()
        )
).build();
List<Bucket> buckets = s3.listBuckets();

Ejemplo: utilizar una URL de punto de conexión para acceder a un punto de acceso S3

En el siguiente ejemplo, reemplace el ID de punto de conexión de VPC vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com y el ARN us-east-1:123456789012:accesspoint/prod con su información.

// accesspoint client
final AmazonS3 s3accesspoint = AmazonS3ClientBuilder.standard().withEndpointConfiguration(
        new AwsClientBuilder.EndpointConfiguration(
                "https://accesspoint.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com",
                Regions.DEFAULT_REGION.getName()
        )
).build();
ObjectListing objects = s3accesspoint.listObjects("arn:aws:s3:us-east-1:123456789012:accesspoint/prod");

Ejemplo: utilizar una URL de punto de conexión para acceder a una operación de la API de control de Amazon S3

En el siguiente ejemplo, reemplace el ID de punto de conexión de VPC vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com con su información.

// control client
final AWSS3Control s3control = AWSS3ControlClient.builder().withEndpointConfiguration(
        new AwsClientBuilder.EndpointConfiguration(
                "https://control.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com",
                Regions.DEFAULT_REGION.getName()
        )
).build();
final ListJobsResult jobs = s3control.listJobs(new ListJobsRequest());

SDK for Java 2.x

Ejemplo: utilizar una URL de punto de conexión para acceder a un bucket de S3

En el siguiente ejemplo, reemplace el ID de punto de conexión de VPC vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com y la región Region.US_EAST_1 con su información.

// bucket client
Region region = Region.US_EAST_1;
s3Client = S3Client.builder().region(region)
                   .endpointOverride(URI.create("https://bucket.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com"))
                   .build()

Ejemplo: utilizar una URL de punto de conexión para acceder a un punto de acceso S3

En el siguiente ejemplo, reemplace el ID de punto de conexión de VPC vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com y la región Region.US_EAST_1 con su información.

// accesspoint client
Region region = Region.US_EAST_1;
s3Client = S3Client.builder().region(region)
                   .endpointOverride(URI.create("https://accesspoint.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com"))
                   .build()

Ejemplo: utilizar una URL de punto de conexión para acceder a la API de control S3

En el siguiente ejemplo, reemplace el ID de punto de conexión de VPC vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com y la región Region.US_EAST_1 con su información.

// control client
Region region = Region.US_EAST_1;
s3ControlClient = S3ControlClient.builder().region(region)
                                 .endpointOverride(URI.create("https://control.vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com"))
                                 .build()

Actualización de una configuración DNS en las instalaciones

Al utilizar nombres DNS específicos de puntos de enlace para acceder a los puntos de enlace de la interfaz de Amazon S3, no es necesario actualizar la resolución DNS local. Puede resolver el nombre DNS específico del punto de conexión con la dirección IP privada del punto de conexión de la interfaz desde el dominio DNS público de Amazon S3.

Uso de puntos de enlace de interfaz para acceder a Amazon S3 sin un punto de conexión de gateway o una gateway de Internet en la VPC

Los puntos de enlace de interfaz de su VPC pueden dirigir tanto las aplicaciones en VPC como las aplicaciones locales a Amazon S3 a través de la red de Amazon, como se muestra en el siguiente diagrama.

En el siguiente diagrama se ilustra lo siguiente:

Uso de puntos de enlace de gateway y puntos de enlace de interfaz juntos en la misma VPC para acceder a Amazon S3

Puede crear puntos de enlace de interfaz y conservar el punto de conexión de gateway existente en la misma VPC, como se muestra en el siguiente diagrama. De este modo, permite que las aplicaciones de la VPC continúen accediendo a Amazon S3 a través del punto de conexión de la puerta de enlace, lo que no se factura. En ese caso, solo las aplicaciones en las instalaciones utilizarían puntos de conexión de la interfaz para acceder a Amazon S3. A fin de acceder a Amazon S3 de esta manera, debe actualizar las aplicaciones en las instalaciones para utilizar nombres de DNS específicos de puntos de conexión para Amazon S3.

En el siguiente diagrama se ilustra lo siguiente:

Para obtener más información acerca de los puntos de enlace de gateway, consulte Puntos de enlace de la VPC de gateway en la Guía del usuario de VPC.

Creación de una política de puntos de enlace de la VPC para Amazon S3

Puede asociar una política de puntos de enlace con su punto de conexión de la VPC que controla el acceso a Amazon S3. La política especifica la siguiente información:

También puede utilizar las políticas de bucket de Amazon S3 para restringir el acceso a buckets específicos desde un punto de conexión de VPC específico utilizando la condición aws:sourceVpce de su política de bucket. En los siguientes ejemplos se muestran políticas que restringen el acceso a un bucket o a un punto de conexión.

Ejemplo: restringir el acceso a un bucket específico desde un punto de conexión de la VPC

Puede crear una política de puntos de conexión que restrinja el acceso únicamente a buckets específicos de Amazon S3. Este tipo de política es útil si tiene otros Servicios de AWS en su VPC que utilicen buckets. La siguiente política de bucket restringe el acceso únicamente a amzn-s3-demo-bucket1. Para utilizar esta política de puntos de conexión, sustituya amzn-s3-demo-bucket1 por el nombre de su bucket.

JSON

{
  "Version":"2012-10-17",		 	 	 
  "Id": "Policy1415115909151",
  "Statement": [
    { "Sid": "Access-to-specific-bucket-only",
      "Principal": "*",
      "Action": [
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Effect": "Allow",
      "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket1",
                   "arn:aws:s3:::amzn-s3-demo-bucket1/*"]
    }
  ]
}

Ejemplo: restringir el acceso a los buckets a una cuenta específica desde un punto de conexión de la VPC

Puede crear una política de punto de conexión que restrinja el acceso solo a los buckets de S3 de una Cuenta de AWS específica. Para evitar que los clientes de su VPC accedan a los buckets que no posee, utilice la siguiente instrucción en su política de puntos de conexión. En el siguiente ejemplo de instrucción, se crea una política que restringe el acceso a los recursos pertenecientes a un único ID de Cuenta de AWS, 111122223333.

{
  "Statement": [
    {
      "Sid": "Access-to-bucket-in-specific-account-only",
      "Principal": "*",
      "Action": [
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Effect": "Deny",
      "Resource": "arn:aws:s3:::*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": "111122223333"
        }
      }
    }
  ]
}

Ejemplo: restringir el acceso a un punto de conexión de la VPC específico en la política de bucket de S3

La siguiente política de bucket de Amazon S3 permite el acceso a un bucket específico, amzn-s3-demo-bucket2, solo desde un punto de conexión de VPC vpce-1a2b3c4d. La política deniega todo el acceso al bucket si el punto de conexión especificado no se está utilizando. La condición aws:sourceVpce especifica el punto de conexión y no requiere un nombre de recurso de Amazon (ARN) para el recurso de punto de conexión de VPC, solo el ID de punto de conexión. Para utilizar esta política de buckets, sustituya amzn-s3-demo-bucket2 y vpce-1a2b3c4d por el nombre del bucket y el punto de conexión.

JSON

{
  "Version":"2012-10-17",		 	 	 
  "Id": "Policy1415115909152",
  "Statement": [
    { "Sid": "Access-to-specific-VPCE-only",
      "Principal": "*",
      "Action": "s3:*",
      "Effect": "Deny",
      "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket2",
                   "arn:aws:s3:::amzn-s3-demo-bucket2/*"],
      "Condition": {"StringNotEquals": {"aws:sourceVpce": "vpce-1a2b3c4d"}}
    }
  ]
}

Para obtener más ejemplos de políticas, consulte Puntos de enlace para Amazon S3 en la Guía del usuario de VPC.

Para obtener más información acerca de la conectividad de VPC, consulte Opciones de conectividad de red a VPC en el documento técnico de AWSOpciones de conectividad de Amazon Virtual Private Cloud.