Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configuración del acceso a la red para los puntos de acceso de Amazon S3
Cuando crea un punto de acceso Amazon S3 para un volumen de FSx for ONTAP, configura cómo se puede acceder al punto de acceso a través de la red y quién está autorizado a usarlo. Esta sección le ayuda a elegir la configuración de red y control de acceso adecuada para su entorno.
En esta sección se describen las capas de autorización de la red y de IAM, en concreto, el origen de la red del punto de acceso, los puntos de acceso, las políticas de puntos de acceso, las políticas de puntos de conexión de la VPC, las políticas de identidad de IAM y las políticas de control de servicios. Para obtener información sobre la autorización a nivel del sistema de archivos (permisos de usuario de UNIX y Windows), consulte. Identidad y autorización del usuario del sistema de archivos
Temas
Cómo evalúa Amazon S3 las solicitudes de puntos de acceso
Cuando se realiza una solicitud a través de un punto de acceso Amazon S3 adjunto a un volumen de FSx for ONTAP, la solicitud debe estar autorizada por todos los niveles siguientes:
Comprobación del origen de la red: si el punto de acceso tiene un origen de red de VPC, la solicitud debe llegar a través de un punto de enlace de VPC en la VPC enlazada. De lo contrario, se deniega la solicitud antes de que se lleve a cabo cualquier evaluación de la política.
Política de punto de enlace de VPC: si la solicitud atraviesa un punto de enlace de VPC, la política del punto de enlace debe permitir la acción en el recurso del punto de acceso.
política de punto de acceso: se evalúa la política de recursos de IAM del punto de acceso. Para el acceso desde la misma cuenta, la política de puntos de acceso o la política de identidad de la persona que llama pueden conceder el acceso. Para el acceso entre cuentas, ambas deben permitir el acceso.
Política de identidad de IAM: la política basada en la identidad del remitente solicitante se evalúa en función del recurso del punto de acceso.
Políticas de control de servicios (SCP): si la cuenta forma parte de una organización de AWS Organizations, todos los SCP aplicables deben permitir la acción.
La verificación del origen de la red se realiza antes de la evaluación de la política. Las capas restantes se evalúan juntas como parte de la decisión de autorización estándar de IAM: una denegación explícita en cualquier capa anula las instrucciones Allow de las demás capas.
Elegir un origen de red
Cuando crea un punto de acceso Amazon S3, elige un origen de red que determina cómo se puede llegar al punto de acceso. No puede cambiar el origen de la red después de la creación.
Origen de Internet
Un punto de acceso con origen en una red de Internet es similar a la forma en que se accede a los buckets S3 de forma predeterminada. Todas las solicitudes siguen necesitando credenciales y autorizaciones de IAM válidas; el origen de Internet no implica el acceso público o anónimo. Amazon S3 impone el bloqueo del acceso público en todos los puntos de acceso conectados a FSx para los volúmenes de ONTAP y no puede deshabilitar esta configuración.
Al proceder de Internet, las solicitudes autenticadas pueden proceder de cualquier parte: VPC, redes locales, otras AWS cuentas o la Internet pública. Usted controla qué personas autenticadas pueden llamar mediante la política de puntos de acceso y las políticas de identidad de IAM.
Con Internet Origin, usted controla el acceso mediante la política de puntos de acceso y las políticas de identidad de IAM. En el caso de las personas que llamen desde la misma cuenta, utilice instrucciones de denegación explícitas en la política de puntos de acceso para restringir el acceso; una Allow-only política no es suficiente porque la política de identidad de IAM de la persona que llama puede conceder el acceso de forma independiente. En el caso de las personas que llaman desde varias cuentas, la política de puntos de acceso debe permitir la solicitud de forma explícita, por lo que basta con omitir una autorización para bloquear el acceso.
Origen del VPC
Un punto de acceso con un origen de red de VPC está enlazado a una VPC específica y, de hecho, se comporta como una declaración de política de denegación explícita que rechaza cualquier solicitud que aws:SourceVpc no coincida con la VPC enlazada. Como una denegación explícita siempre anula cualquier permiso, ni siquiera una política de punto de acceso o una política de identidad de IAM completamente permisivas pueden conceder acceso a solicitudes ajenas a la VPC enlazada.
Las personas que llaman fuera de la VPC vinculada pueden seguir accediendo al punto de acceso si su tráfico se enruta a través de un punto de enlace de VPC en la VPC vinculada, por ejemplo, mediante interconexión de VPC o Transit Gateway a un punto de enlace de la interfaz Amazon S3 implementado en la VPC vinculada.
Diferencias clave
| Origen en Internet | Origen del VPC | |
|---|---|---|
| Aplicación de la red | Ninguno: el acceso está controlado únicamente por la política | Efectivamente, una denegación explícita para las solicitudes que no llegan a través de un punto final de VPC en la VPC enlazada |
| Multi-VPC access | Se admite mediante condiciones de política | Se admite si las personas que llaman se dirigen a través de un punto final de interfaz en la VPC enlazada (mediante interconexión de VPC o Transit Gateway) |
| Cambie el alcance del acceso | Actualice la política | Debe volver a crear el punto de acceso para cambiar la VPC enlazada |
| Se requiere un punto final de VPC | Solo si se utilizan condiciones aws:SourceVpc |
Sí, las solicitudes deben atravesar un punto final en la VPC enlazada |
Cómo funciona la aplicación de la normativa de origen de la VPC
Cuando un punto de acceso tiene un origen de red de VPC, se comporta de manera efectiva como si hubiera una declaración de política de denegación explícita que deniega todas las solicitudes cuando aws:SourceVpc no sea igual al ID de VPC especificado en el punto de acceso. VpcConfiguration Esta denegación se aplica a todos los principales, todas las acciones de Amazon S3 y todos los recursos del punto de acceso.
Como se trata de una denegación explícita, anula cualquier declaración de permiso, ya sea en la política de puntos de acceso, en la política de identidad de IAM de la persona que llama o en cualquier otra política.
En la práctica, esto significa:
Las solicitudes deben llegar a través de un punto de enlace de la VPC (puerta de enlace o interfaz) implementado en la VPC enlazada, ya que solo los puntos de enlace de la VPC rellenan el atributo de la solicitud.
aws:SourceVpcSe rechazan las solicitudes de otras VPC porque sus puntos de enlace de VPC se
aws:SourceVpcrellenan con un ID de VPC diferente.Las solicitudes de Internet se rechazan porque no
aws:SourceVpcestá presente en la solicitud.
Esta es también la razón por la que el mensaje de error de las solicitudes denegadas dice «denegación explícita en una política basada en recursos».
importante
No se puede cambiar el origen de la red de un punto de acceso después de su creación. Si necesita cambiar del origen de la VPC al origen de Internet (o viceversa), debe eliminar el punto de acceso y crear uno nuevo.
Origen de VPC frente a origen de Internet con una denegación explícita
Un punto de VPC-origin acceso y un punto de acceso originado en Internet con una Deny escrita manualmente StringNotEquals aws:SourceVpc obtienen un resultado similar: ambos deniegan solicitudes que no provienen de la VPC especificada. La diferencia clave es:
Origen de la VPC: la denegación está integrada en la configuración de VPC del punto de acceso. No puede eliminarlo accidentalmente ni configurarlo de forma incorrecta.
Origen en Internet con Deny: Usted mismo redacta y administra el Deny. Esto le da más flexibilidad (por ejemplo, permite múltiples VPC), pero también más responsabilidad: si la denegación no aparece o está mal configurada, la restricción no se aplica.
Uso de puntos de enlace de VPC con puntos de acceso de Amazon S3
Los puntos de acceso de Amazon S3 funcionan con ambos tipos de puntos de enlace de VPC para Amazon S3. El tipo de punto final que necesita depende de la ubicación de las personas que llaman.
Puntos de conexión de la puerta de enlace
Los puntos finales de las puertas de enlace son gratuitos y se basan en una tabla de rutas. Al crear un punto de enlace de puerta de enlace, se añade una ruta a las tablas de rutas especificadas que dirige el tráfico de Amazon S3 a través del punto de enlace. Esta ruta solo se aplica al tráfico que se origina en la VPC.
Utilice los puntos finales de Gateway para:
Instancias de Amazon EC2, funciones de Lambda, tareas de Amazon ECS y otros recursos informáticos de la VPC
Los puntos de enlace no enrutan el tráfico que ingresa a la VPC desde:
On-premises redes a través de VPN o Direct Connect
VPC interconectadas
Conexiones Transit Gateway
Para obtener más información, consulte los puntos de enlace de puerta de enlace para Amazon S3 en la Guía del usuario de Amazon VPC.
Puntos de enlace de interfaz
Los puntos finales de interfaz crean una interfaz de red elástica (ENI) con una dirección IP privada en la subred. El tráfico debe dirigirse de forma explícita al nombre DNS o a la IP privada del punto final.
Utilice los puntos finales de la interfaz para:
On-premises las personas que llaman acceden a Amazon S3 a través de VPN o Direct Connect
Cross-account las personas que llaman acceden a Amazon S3 mediante el emparejamiento de VPC
Cualquier escenario en el que el tráfico entre en la VPC desde fuera
Al utilizar un punto final de interfaz, las personas que llaman deben:
Utilice el
--endpoint-urlparámetro que apunta al nombre DNS del punto final de la interfaz, oConfigure el DNS para resolver los puntos de enlace de Amazon S3 en la IP privada del punto de enlace de la interfaz (mediante Route 53 Resolver o el reenvío de DNS local)
Los puntos de conexión de la interfaz tienen cargos por hora y por GB. Para más información, consulte Precios de AWS PrivateLink
Uso conjunto de ambos tipos de terminales
Puede implementar un punto final de puerta de enlace y un punto final de interfaz en la misma VPC. Esta configuración resulta útil cuando hay llamadas tanto en la VPC como en las instalaciones:
Punto final de puerta de enlace: gestiona el tráfico dentro de la VPC (gratuito, transparente)
Punto final de interfaz: gestiona el tráfico local que entra a través de VPN o Direct Connect (requiere configuración de DNS o
--endpoint-url)
Ambos tipos de punto final rellenan el aws:SourceVpc atributo con el ID de VPC, por lo que ambos cumplen la condición de denegación de origen de la VPC.
Políticas de punto de conexión de VPC
Las políticas de puntos de enlace de la VPC controlan a qué recursos de Amazon S3 se puede acceder a través del punto de enlace. De forma predeterminada, un punto de enlace de VPC permite todas las acciones de Amazon S3 en todos los recursos. Puede ajustar la política de puntos finales para permitir solo puntos de acceso específicos:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point", "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point/object/*" ] } ] }
Políticas de puntos de acceso
Los puntos de acceso Amazon S3 admiten políticas de recursos AWS Identity and Access Management (IAM) que le permiten controlar el uso del punto de acceso por recurso, usuario u otras condiciones. Para el acceso entre cuentas, tanto la política de puntos de acceso como la política de identidad de IAM de la persona que llama deben permitir la solicitud. Para el acceso desde la misma cuenta, la política de puntos de acceso o la política de identidad de IAM de la persona que llama pueden conceder el acceso de forma independiente. Para restringir las llamadas desde la misma cuenta, utilice instrucciones de denegación explícitas en la política del punto de acceso. Si la solicitud atraviesa un punto final de la VPC, la política de punto final de la VPC también debe permitir la solicitud.
Para obtener más información sobre las políticas de puntos de acceso, consulte Configuración de políticas de IAM para el uso de puntos de acceso en la Guía del usuario de Amazon Simple Storage Service.
Claves de condición para el control de acceso basado en la red
IAM proporciona claves de condición globales que puede usar en las políticas de puntos de acceso para controlar el acceso en función de las propiedades de red de la solicitud. Estas claves de condición se incluyen en el contexto de la solicitud solo en circunstancias específicas, como se describe en la siguiente tabla.
| Clave de condición | Disponibilidad. | Description (Descripción) |
|---|---|---|
aws:SourceVpc |
Se incluye en el contexto de la solicitud solo si el solicitante utiliza un punto final de VPC para realizar la solicitud. | Comprueba si la solicitud pasa por la VPC a la que está conectado el punto final de la VPC. Use esta clave para permitir el acceso solo a una VPC específica. |
aws:SourceVpce |
Se incluye en el contexto de la solicitud solo si el solicitante utiliza un punto final de VPC para realizar la solicitud. | El ID del punto final de la VPC a través del cual se realizó la solicitud. |
aws:VpcSourceIp |
Se incluye en el contexto de la solicitud solo si la solicitud se realiza mediante un punto final de VPC. | Compara la dirección IP desde la que se realizó una solicitud con la dirección IP que especificas en la política. Solo coincide si la solicitud se origina en la dirección IP especificada y pasa por un punto final de VPC. |
aws:SourceIp |
Se incluye en el contexto de la solicitud solo si la solicitud no atraviesa un punto final de la VPC. | La dirección IP pública de la persona que llama. No está disponible para las solicitudes realizadas a través de un punto de conexión de VPC. |
importante
aws:SourceIpy aws:VpcSourceIp se excluyen mutuamente. Cuando una solicitud atraviesa un punto final de la VPCaws:SourceIp, no está disponible; aws:VpcSourceIp úsala en su lugar. Cuando una solicitud proviene de Internet (no hay un punto final de VPC), no aws:VpcSourceIp está disponible; aws:SourceIp utilícela en su lugar.
importante
La clave aws:VpcSourceIp de condición distingue entre mayúsculas y minúsculas.
Para obtener más información sobre las claves de condición globales de IAM, consulte las claves de contexto de condición AWS globales en la Guía del usuario de IAM.
Ejemplos de escenarios de
Los siguientes escenarios de ejemplo muestran configuraciones comunes para los puntos de acceso de Amazon S3 conectados a FSx para los volúmenes de ONTAP. Cada escenario incluye el origen de la red recomendado, el tipo de punto de enlace de la VPC y la política de punto de acceso.
Acceso a una sola VPC
Caso de uso: las instancias de Amazon EC2, las funciones de Lambda o las tareas de Amazon ECS dentro de una sola VPC acceden al punto de acceso. No se necesita acceso externo.
Con origen de red de VPC:
La configuración de origen de la VPC deniega de manera efectiva las solicitudes aws:SourceVpc que no coinciden con la VPC enlazada. Se deniegan las solicitudes de otras VPC, de Internet o de redes locales. Puede utilizar un punto de conexión de VPC Gateway o Interface Amazon S3.
Ejemplo de política de punto de acceso (origen de VPC): con el origen de VPC, la restricción de red está integrada. La política de puntos de acceso solo necesita conceder los permisos deseados.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:role/my-app-role"}, "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point", "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point/object/*" ] } ] }
Con origen en la red de Internet:
Con Internet Origin, se restringe el acceso a la VPC mediante aws:SourceVpc las condiciones de la política de puntos de acceso (con una denegación explícita). Se requiere un punto de enlace de VPC para que aws:SourceVpc se rellene en la solicitud.
Ejemplo de política de punto de acceso (origen de Internet): la política incluye una condición de Permitir con una VPC y una denegación para las solicitudes que no provienen de la VPC.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:role/my-app-role"}, "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point", "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point/object/*" ], "Condition": { "StringEquals": {"aws:SourceVpc": "vpc-1a2b3c4d"} } }, { "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point", "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point/object/*" ], "Condition": { "StringNotEquals": {"aws:SourceVpc": "vpc-1a2b3c4d"} } } ] }
nota
Las instrucciones Permitir y Denegar son obligatorias en la política de puntos de acceso. Sin la declaración de denegación, es posible que la restricción de VPC no se aplique a todas las personas que llaman.
| Origen del VPC | Origen de Internet | |
|---|---|---|
| Aplicación de la red | Built-in Denegar | Policy-based (Permitir + Denegar) |
| Punto de conexión VPC | Necesario (puerta de enlace o interfaz) | Necesario (paraaws:SourceVpc) |
| política de puntos de acceso | Mínimo: Deny integrado gestiona la restricción | Debe incluir aws:SourceVpc Permitir + Denegar |
On-premises y acceso a VPC
Caso de uso: tanto los usuarios locales (mediante VPN o Direct Connect) como los recursos informáticos de la VPC acceden al punto de acceso. Todo el tráfico permanece privado.
importante
Los puntos de enlace de puerta de enlace no enrutan el tráfico que ingresa a la VPC desde las conexiones de VPN, Direct Connect o Transit Gateway. On-premises las personas que llamen deben utilizar un punto final de la interfaz Amazon S3. Para obtener más información, consulte Uso de puntos de enlace de VPC con puntos de acceso de Amazon S3.
Tanto el punto final de la puerta de enlace (tráfico dentro de la VPC) como el punto final de la interfaz (tráfico local) están en la misma VPC, por lo que ambos cumplen la condición de denegación de origen de la VPC.
| Origen del VPC | Origen de Internet | |
|---|---|---|
| In-VPC punto de conexión | Gateway (gratuito) | Gateway (paraaws:SourceVpc) |
| On-prem punto de conexión | Interfaz (requerida) | Interfaz (requerida) |
| On-prem DNS | Resolver Amazon S3 para la IP del punto final de la interfaz | Resolver Amazon S3 para la IP del punto final de la interfaz |
Multi-VPC acceso
Caso de uso: las personas que llaman desde varias VPC deben acceder al mismo punto de acceso. Por ejemplo, aplicaciones en VPC independientes dentro de la misma cuenta o VPC en cuentas diferentes que se conectan mediante el emparejamiento de VPC o Transit Gateway.
Existen dos enfoques para el acceso a varias VPC, dependiendo de si desea utilizar controles basados en políticas o la aplicación de la red de origen de la VPC.
Opción 1: origen de Internet con un punto final de puerta de enlace en cada VPC
Cada VPC tiene su propio punto de enlace Amazon S3 Gateway. Las personas que llaman en cada VPC acceden al punto de acceso a través de su punto de enlace de puerta de enlace local, que se aws:SourceVpc completa con la solicitud. La política de puntos de acceso restringe el acceso a los ID de VPC permitidos.
Origen de la red: Internet
Puntos de enlace de VPC: punto de enlace de Amazon S3 Gateway en cada VPC (gratuito, no se necesita ninguna configuración adicional)
política de puntos de acceso: permite
aws:SourceVpcenumerar todos los ID de VPC, además de denegar conStringNotEquals
nota
Las instrucciones de permitir y denegar son obligatorias en la política de puntos de acceso. Sin la declaración de denegación, es posible que la restricción de VPC no se aplique a todas las personas que llaman.
Esta opción es más sencilla de configurar, ya que cada VPC funciona de forma independiente, sin necesidad de interconexión de VPC ni de Transit Gateway. Para añadir o eliminar VPC, actualice la política de puntos de acceso.
Opción 2: origen de VPC con un punto final de interfaz centralizado
Una VPC aloja un punto final de la interfaz Amazon S3 y el punto de acceso se crea con el origen de la VPC enlazado a esa VPC. Otras VPC enrutan su tráfico de Amazon S3 al punto final de la interfaz mediante el emparejamiento de VPC o Transit Gateway. Como todas las solicitudes llegan a través de un punto final de la VPC enlazada, cumplen con la normativa de origen de la VPC.
Origen de la red: VPC (enlazada a la VPC que aloja el punto final de la interfaz)
Puntos de enlace de la VPC: punto de enlace de la interfaz Amazon S3 en la VPC enlazada
Conectividad: emparejamiento de VPC o Transit Gateway entre las otras VPC y la VPC vinculada
política de punto de acceso: mínima: la aplicación del origen de la VPC gestiona la restricción de la red
Configuración de las personas que llaman: las personas que llaman desde otras VPC deben usar
--endpoint-urlnuestra configuración de DNS para enrutar las solicitudes a través del punto final de la interfaz
Esta opción proporciona una aplicación más estricta porque la restricción de origen de la VPC no se puede eludir mediante cambios en la política. Sin embargo, requiere interconexión de VPC o conectividad con Transit Gateway, y el punto final de la interfaz tiene cargos por hora y por GB. Para obtener más información sobre los puntos de enlace de la interfaz, consulte AWS PrivateLinkAmazon S3 en la Guía del usuario de Amazon Simple Storage Service.
Solución de problemas de acceso a la red
Cuando se produce un error en una solicitud de punto de acceso de Amazon S3, el mensaje de error no suele indicar qué capa de autorización denegó la solicitud. Utilice la siguiente guía para diagnosticar problemas comunes.
AccessDenied con la expresión «negación explícita en una política basada en los recursos»
Este error puede provenir de varias fuentes. Realice las siguientes comprobaciones en orden:
1. Compruebe el origen de la VPC Denegar (solo puntos de VPC-origin acceso)
Si el punto de acceso tiene un origen de red de VPC, deniega de forma efectiva las solicitudes que aws:SourceVpc no coinciden con la VPC enlazada. Verifique lo siguiente:
Existe un punto final de la VPC (puerta de enlace o interfaz) en la VPC enlazada.
El tráfico de la persona que llama se enruta a través de ese punto final. Para las personas que llaman desde la VPC, compruebe que la tabla de rutas del punto final de Gateway esté asociada a la subred de la persona que llama. En el caso de las personas que llaman de forma local, compruebe que utilizan un punto de conexión de interfaz (los puntos de enlace de puerta de enlace no enrutan el tráfico de VPN o Direct Connect).
La persona que llama se encuentra en la VPC enlazada, no en una VPC interconectada. Las solicitudes de las VPC emparejadas se rechazan a menos que se enruten a través de un punto final de interfaz en la VPC enlazada.
2. Compruebe la política de puntos finales de la VPC
Si la solicitud atraviesa un punto final de la VPC, la política del punto final debe permitir la acción en el recurso del punto de acceso. La política de puntos finales predeterminada permite realizar todas las acciones en todos los recursos. Si ha definido el alcance de la política, compruebe que incluye el ARN del punto de acceso.
3. Consulte la política de puntos de acceso
Compruebe que la política del punto de acceso lo permita al principal solicitante. Compruebe si hay declaraciones de rechazo con condiciones que puedan coincidir con las de la solicitud.
4. Consulte la política de identidad de IAM de la persona que llama
El usuario o rol de IAM de la persona que llama debe tener permisos para realizar la acción de Amazon S3 en el ARN del punto de acceso.
5. Compruebe las políticas de control de servicios (SCP)
Si la cuenta forma parte de una organización de AWS Organizations, compruebe que ningún SCP deniegue las acciones de Amazon S3 en el punto de acceso.
On-premises las personas que llaman reciben, AccessDenied pero las que llaman desde VPC tienen éxito
Por lo general, esto significa que el tráfico local no se enruta a través de un punto final de VPC:
Los puntos de enlace de enlace no enrutan el tráfico local. El tráfico que ingresa a la VPC desde conexiones VPN, Direct Connect o Transit Gateway no se ve afectado por las rutas de punto final de Gateway. Cree un punto de conexión de la interfaz Amazon S3 para las personas que llamen de forma local.
Compruebe que el grupo de seguridad del punto final de la interfaz permita el HTTPS entrante (puerto 443) desde el CIDR local.
Compruebe que el DNS local resuelve los puntos de enlace de Amazon S3 en la IP privada del punto de enlace de la interfaz o que utilizan las personas que llaman.
--endpoint-url
Las condiciones de la política de puntos de acceso parecen no surtir efecto
Allow-only las políticas no restringen el acceso. Si utiliza condiciones (por ejemplo
aws:SourceVpc) únicamente en una sentencia de autorización sin la correspondiente denegación, la política de identidad de IAM de la persona que llama puede conceder el acceso de forma independiente. Añada una sentencia Deny explícita con la condición inversa.Distinción de mayúsculas y La clave de condición
aws:VpcSourceIpdistingue entre mayúsculas y minúsculas.Claves de condición que se excluyen mutuamente.
aws:SourceIpyaws:VpcSourceIpse excluyen mutuamente.aws:SourceIpno está disponible cuando la solicitud atraviesa un punto final de la VPC;aws:VpcSourceIputilícelo en su lugar. Por el contrario, noaws:VpcSourceIpestá disponible para solicitudes de Internet: utilízala.aws:SourceIpEsto se aplica a todas las políticas que utilizan estas claves de condición, incluidas las políticas de puntos de acceso, las políticas de puntos finales de VPC y las políticas de identidad de IAM.
