Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration de l'accès réseau pour les points d'accès Amazon S3
Lorsque vous créez un point d'accès Amazon S3 pour un volume FSx for ONTAP, vous configurez la manière dont le point d'accès peut être atteint via le réseau et les personnes autorisées à l'utiliser. Cette section vous aide à choisir la configuration de réseau et de contrôle d'accès adaptée à votre environnement.
Cette section couvre les couches d'autorisation réseau et IAM, en particulier l'origine réseau du point d'accès, les points de terminaison VPC, les politiques de point d'accès, les politiques de point de terminaison VPC, les politiques d'identité IAM et les politiques de contrôle des services. Pour plus d'informations sur les autorisations au niveau du système de fichiers (autorisations utilisateur UNIX et Windows), consultez. Identité et autorisation des utilisateurs du système de fichiers
Rubriques
Comment Amazon S3 évalue les demandes de point d'accès
Lorsqu'une demande est effectuée via un point d'accès Amazon S3 attaché à un volume FSx for ONTAP, la demande doit être autorisée par toutes les couches suivantes :
Vérification de l'origine du réseau — Si le point d'accès a une origine de réseau VPC, la demande doit arriver via un point de terminaison VPC dans le VPC lié. Dans le cas contraire, la demande est refusée avant toute évaluation de la politique.
Politique de point de terminaison VPC : si la demande traverse un point de terminaison VPC, la politique du point de terminaison doit autoriser l'action sur la ressource du point d'accès.
politique de point d'accès : la politique de ressources IAM du point d'accès est évaluée. Pour l'accès à un même compte, la politique du point d'accès ou la politique d'identité de l'appelant peuvent accorder l'accès. Pour l'accès entre comptes, les deux doivent être autorisés.
Politique d'identité IAM — La politique basée sur l'identité du principal demandeur est évaluée par rapport à la ressource du point d'accès.
Politiques de contrôle des services (SCP) — Si le compte fait partie d'une organisation AWS Organizations, tous les SCP applicables doivent autoriser l'action.
La vérification de l'origine du réseau a lieu avant l'évaluation de la politique. Les couches restantes sont évaluées ensemble dans le cadre de la décision d'autorisation IAM standard : un refus explicite dans une couche remplace les instructions Allow dans les autres couches.
Choix de l'origine du réseau
Lorsque vous créez un point d'accès Amazon S3, vous choisissez une origine réseau qui détermine la manière dont le point d'accès peut être atteint. Vous ne pouvez pas modifier l'origine du réseau après sa création.
Origine d'Internet
Un point d'accès provenant d'un réseau Internet est similaire à la manière dont les compartiments S3 sont accessibles par défaut. Toutes les demandes nécessitent toujours des informations d'identification et une autorisation IAM valides. L'origine Internet ne signifie pas un accès public ou anonyme. Amazon S3 applique le blocage de l'accès public à tous les points d'accès connectés à FSx pour les volumes ONTAP, et vous ne pouvez pas désactiver ce paramètre.
Avec l'origine Internet, les demandes authentifiées peuvent provenir de n'importe où : VPC, réseaux locaux, autres AWS comptes ou Internet public. Vous contrôlez quels appelants authentifiés sont autorisés à l'aide de la politique de point d'accès et des politiques d'identité IAM.
Avec Internet Origin, vous contrôlez l'accès à l'aide de la politique des points d'accès et des politiques d'identité IAM. Pour les appelants ayant le même compte, utilisez des instructions Deny explicites dans la politique du point d'accès pour restreindre l'accès. Une Allow-only politique n'est pas suffisante car la politique d'identité IAM de l'appelant peut accorder l'accès de manière indépendante. Pour les appels intercomptes, la politique du point d'accès doit explicitement autoriser la demande. L'omission d'une autorisation est donc suffisante pour bloquer l'accès.
Origine du VPC
Un point d'accès dont l'origine est un réseau VPC est lié à un VPC spécifique et se comporte efficacement comme une déclaration de politique de refus explicite rejetant toute demande aws:SourceVpc ne correspondant pas au VPC lié. Étant donné qu'un refus explicite remplace toujours toute autorisation, même une politique de point d'accès totalement permissive ou une politique d'identité IAM ne peuvent pas accorder l'accès aux demandes provenant de l'extérieur du VPC lié.
Les appelants extérieurs au VPC lié peuvent toujours accéder au point d'accès si leur trafic est acheminé via un point de terminaison VPC dans le VPC lié, par exemple via le peering VPC ou Transit Gateway vers un point de terminaison Amazon S3 Interface déployé dans le VPC lié.
Principales différences
| Origine d'Internet | Origine du VPC | |
|---|---|---|
| Mise en œuvre du réseau | Aucun : accès contrôlé uniquement par une politique | En fait, un refus explicite pour les demandes n'arrivant pas via un point de terminaison VPC dans le VPC lié |
| Multi-VPC accès | Soutenu par les conditions politiques | Pris en charge si les appelants passent par un point de terminaison d'interface dans le VPC lié (via le peering VPC ou Transit Gateway) |
| Modifier l'étendue d'accès | Mettre à jour la politique | Vous devez recréer le point d'accès pour modifier le VPC lié |
| Point de terminaison VPC requis | Uniquement en cas d'utilisation de aws:SourceVpc conditions |
Oui, les demandes doivent traverser un point de terminaison dans le VPC lié |
Comment fonctionne le contrôle de l'origine des VPC
Lorsqu'un point d'accès provient d'un réseau VPC, il se comporte effectivement comme s'il existait une déclaration de politique de refus explicite qui refuse toutes les demandes dont le montant aws:SourceVpc n'est pas égal à l'ID VPC spécifié dans celui du point d'accès. VpcConfiguration Ce refus s'applique à tous les principaux, à toutes les actions Amazon S3 et à toutes les ressources du point d'accès.
Comme il s'agit d'un refus explicite, il remplace toutes les instructions Allow, que ce soit dans la politique du point d'accès, dans la politique d'identité IAM de l'appelant ou dans toute autre politique.
Dans la pratique, cela signifie :
Les demandes doivent arriver via un point de terminaison VPC (passerelle ou interface) déployé dans le VPC lié, car seuls les points de terminaison VPC renseignent l'attribut de la demande.
aws:SourceVpcLes demandes provenant d'autres VPC sont refusées, car leurs points de terminaison VPC sont
aws:SourceVpcrenseignés avec un identifiant de VPC différent.Les demandes provenant d'Internet sont refusées, car elles
aws:SourceVpcne figurent pas sur la demande.
C'est également la raison pour laquelle le message d'erreur relatif aux demandes refusées indique « refus explicite dans une politique basée sur les ressources ».
Important
Vous ne pouvez pas modifier l'origine réseau d'un point d'accès après sa création. Si vous devez passer d'une origine VPC à une origine Internet (ou vice versa), vous devez supprimer le point d'accès et en créer un nouveau.
Origine du VPC par rapport à l'origine d'Internet avec un refus explicite
Un point d' VPC-origin accès et un point d'accès d'origine Internet avec un StringNotEquals aws:SourceVpc refus écrit manuellement obtiennent un résultat similaire : les deux refusent les demandes ne provenant pas du VPC spécifié. La principale différence est la suivante :
Origine du VPC : le refus est intégré à la configuration VPC du point d'accès. Vous ne pouvez pas le supprimer accidentellement ou le configurer de manière incorrecte.
Origine Internet avec Deny : vous rédigez et gérez vous-même le Deny. Cela vous donne plus de flexibilité (par exemple, en autorisant plusieurs VPC) mais également plus de responsabilités : si le refus est absent ou mal configuré, la restriction n'est pas appliquée.
Utilisation de points de terminaison VPC avec des points d'accès Amazon S3
Les points d'accès Amazon S3 fonctionnent avec les deux types de points de terminaison VPC pour Amazon S3. Le type de point de terminaison dont vous avez besoin dépend de l'endroit où se trouvent vos appelants.
Points de terminaison de passerelle
Les points de terminaison de la passerelle sont gratuits et basés sur des tables de routage. Lorsque vous créez un point de terminaison Gateway, un itinéraire est ajouté aux tables de routage spécifiées pour diriger le trafic Amazon S3 via le point de terminaison. Cet itinéraire s'applique uniquement au trafic provenant du VPC.
Utilisez les points de terminaison Gateway pour :
Instances Amazon EC2, fonctions Lambda, tâches Amazon ECS et autres ressources de calcul au sein du VPC
Les points de terminaison de la passerelle n'acheminent pas le trafic entrant dans le VPC depuis :
On-premises réseaux via VPN ou Direct Connect
VPC entre pairs
Connexions Transit Gateway
Pour plus d'informations, consultez la section Points de terminaison Gateway pour Amazon S3 dans le guide de l'utilisateur Amazon VPC.
Points de terminaison d'interface
Les points de terminaison d'interface créent une Elastic Network Interface (ENI) avec une adresse IP privée dans votre sous-réseau. Le trafic doit être explicitement dirigé vers le nom DNS ou l'adresse IP privée du point de terminaison.
Utilisez les points de terminaison de l'interface pour :
On-premises appelants accédant à Amazon S3 via VPN ou Direct Connect
Cross-account appelants accédant à Amazon S3 via le peering VPC
Tout scénario dans lequel le trafic entre dans le VPC depuis l'extérieur
Lors de l'utilisation d'un point de terminaison d'interface, les appelants doivent soit :
Utilisez le
--endpoint-urlparamètre pointant vers le nom DNS du point de terminaison de l'interface, ouConfigurer le DNS pour relier les points de terminaison Amazon S3 à l'adresse IP privée du point de terminaison de l'interface (à l'aide du résolveur Route 53 ou du transfert DNS sur site)
Les points de terminaison de l'interface sont facturés par heure et par Go. Pour en savoir plus, consultez Pricing AWS PrivateLink
Utilisation conjointe des deux types de point de terminaison
Vous pouvez déployer à la fois un point de terminaison de passerelle et un point de terminaison d'interface dans le même VPC. Cette configuration est utile lorsque vous avez à la fois des appelants au sein du VPC et des appelants locaux :
Point de terminaison de la passerelle : gère le trafic intra-VPC (gratuit, transparent)
Point de terminaison de l'interface : gère le trafic sur site entrant via VPN ou Direct Connect (nécessite une configuration DNS ou
--endpoint-url)
Les deux types de point de terminaison renseignent l'aws:SourceVpcattribut avec l'ID du VPC, de sorte que les deux répondent à la condition de refus d'origine du VPC.
Politiques de point de terminaison d’un VPC
Les politiques de point de terminaison VPC contrôlent les ressources Amazon S3 accessibles via le point de terminaison. Par défaut, un point de terminaison VPC autorise toutes les actions Amazon S3 sur toutes les ressources. Vous pouvez définir la politique des terminaux pour n'autoriser que des points d'accès spécifiques :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point", "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point/object/*" ] } ] }
Stratégies de point d’accès
Les points d'accès Amazon S3 prennent en charge les politiques de ressources Gestion des identités et des accès AWS (IAM) qui vous permettent de contrôler l'utilisation du point d'accès par ressource, par utilisateur ou selon d'autres conditions. Pour l'accès entre comptes, la politique du point d'accès et la politique d'identité IAM de l'appelant doivent autoriser la demande. Pour l'accès à un même compte, la politique du point d'accès ou la politique d'identité IAM de l'appelant peuvent accorder l'accès indépendamment. Pour limiter les appels du même compte, utilisez des instructions de refus explicites dans la politique du point d'accès. Si la demande traverse un point de terminaison VPC, la politique de point de terminaison du VPC doit également autoriser la demande.
Pour plus d'informations sur les politiques des points d'accès, consultez la section Configuration des politiques IAM pour l'utilisation des points d'accès dans le guide de l'utilisateur d'Amazon Simple Storage Service.
Clés de condition pour le contrôle d'accès basé sur le réseau
IAM fournit des clés de condition globales que vous pouvez utiliser dans les politiques de point d'accès pour contrôler l'accès en fonction des propriétés réseau de la demande. Ces clés de condition ne sont incluses dans le contexte de la demande que dans des circonstances spécifiques, comme décrit dans le tableau suivant.
| Clé de condition | Disponibilité | Description |
|---|---|---|
aws:SourceVpc |
Inclus dans le contexte de demande uniquement si le demandeur utilise un point de terminaison VPC pour effectuer la demande. | Vérifie si la demande passe par le VPC auquel le point de terminaison du VPC est attaché. Utilisez cette clé pour autoriser l'accès à un VPC spécifique uniquement. |
aws:SourceVpce |
Inclus dans le contexte de demande uniquement si le demandeur utilise un point de terminaison VPC pour effectuer la demande. | ID du point de terminaison VPC via lequel la demande a été effectuée. |
aws:VpcSourceIp |
Inclus dans le contexte de demande uniquement si la demande est faite à l'aide d'un point de terminaison VPC. | Compare l'adresse IP à partir de laquelle une demande a été faite avec l'adresse IP que vous spécifiez dans la politique. Correspond uniquement si la demande provient de l'adresse IP spécifiée et passe par un point de terminaison VPC. |
aws:SourceIp |
Inclus dans le contexte de demande uniquement si la demande ne traverse pas un point de terminaison VPC. | Adresse IP publique de l'appelant. Non disponible pour les demandes effectuées via un point de terminaison VPC. |
Important
aws:SourceIpet s'aws:VpcSourceIpexcluent mutuellement. Lorsqu'une demande traverse un point de terminaison VPC, elle n'est pas disponibleaws:SourceIp, utilisez-la à la place. aws:VpcSourceIp Lorsqu'une demande provient d'Internet (aucun point de terminaison VPC), elle n'aws:VpcSourceIpest pas disponible, aws:SourceIp utilisez-la à la place.
Important
La clé de condition distingue les aws:VpcSourceIp majuscules et minuscules.
Pour plus d'informations sur les clés de condition globales IAM, consultez la section clés contextuelles de condition AWS globales dans le guide de l'utilisateur d'IAM.
Exemples de scénarios
Les exemples de scénarios suivants présentent des configurations courantes pour les points d'accès Amazon S3 attachés à FSx pour les volumes ONTAP. Chaque scénario inclut l'origine réseau, le type de point de terminaison VPC et la politique de point d'accès recommandés.
Accès VPC unique
Cas d'utilisation : les instances Amazon EC2, les fonctions Lambda ou les tâches Amazon ECS au sein d'un seul VPC accèdent au point d'accès. Aucun accès externe n'est nécessaire.
Avec une origine de réseau VPC :
La configuration d'origine du VPC refuse effectivement les demandes qui aws:SourceVpc ne correspondent pas au VPC lié. Les demandes provenant d'autres VPC, d'Internet ou de réseaux locaux sont refusées. Vous pouvez utiliser un point de terminaison VPC Amazon S3 Gateway ou Interface.
Exemple de politique de point d'accès (origine VPC) : avec l'origine VPC, la restriction réseau est intégrée. La politique de point d'accès doit uniquement accorder les autorisations souhaitées.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:role/my-app-role"}, "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point", "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point/object/*" ] } ] }
Avec l'origine du réseau Internet :
Avec l'origine Internet, vous limitez l'accès au VPC en utilisant aws:SourceVpc les conditions de la politique du point d'accès (avec un refus explicite). Un point de terminaison VPC est requis pour qu'il aws:SourceVpc soit renseigné lors de la demande.
Exemple de politique de point d'accès (origine Internet) : la politique inclut à la fois une condition d'autorisation avec un VPC et un refus pour les demandes ne provenant pas du VPC.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:role/my-app-role"}, "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point", "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point/object/*" ], "Condition": { "StringEquals": {"aws:SourceVpc": "vpc-1a2b3c4d"} } }, { "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point", "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point/object/*" ], "Condition": { "StringNotEquals": {"aws:SourceVpc": "vpc-1a2b3c4d"} } } ] }
Note
Les instructions Allow et Deny sont toutes deux obligatoires dans la politique du point d'accès. Sans l'instruction Deny, la restriction VPC risque de ne pas être appliquée à tous les appelants.
| Origine du VPC | Origine d'Internet | |
|---|---|---|
| Mise en œuvre du réseau | Built-in Refuser | Policy-based (Autoriser + Refuser) |
| Point de terminaison d'un VPC | Nécessaire (passerelle ou interface) | Obligatoire (pouraws:SourceVpc) |
| politique relative aux points d'accès | Minimale : la fonction intégrée Deny gère les restrictions | Doit inclure aws:SourceVpc Autoriser + Refuser |
On-premises et accès VPC
Cas d'utilisation : les utilisateurs locaux (via VPN ou Direct Connect) et les ressources informatiques du VPC accèdent au point d'accès. Tout le trafic reste privé.
Important
Les points de terminaison de la passerelle n'acheminent pas le trafic entrant dans le VPC à partir de connexions VPN, Direct Connect ou Transit Gateway. On-premises les appelants doivent utiliser un point de terminaison de l'interface Amazon S3. Consultez Utilisation de points de terminaison VPC avec des points d'accès Amazon S3 pour plus de détails.
Le point de terminaison de la passerelle (trafic interne au VPC) et le point de terminaison de l'interface (trafic sur site) se trouvent dans le même VPC, de sorte que les deux répondent à la condition de refus d'origine du VPC.
| Origine du VPC | Origine d'Internet | |
|---|---|---|
| In-VPC point de terminaison | Gateway (gratuit) | Gateway (pouraws:SourceVpc) |
| On-prem point de terminaison | Interface (obligatoire) | Interface (obligatoire) |
| On-prem DNS | Résoudre l'adresse IP du point de terminaison Amazon S3 en interface | Résoudre l'adresse IP du point de terminaison Amazon S3 en interface |
Multi-VPC accès
Cas d'utilisation : les appelants utilisant plusieurs VPC doivent accéder au même point d'accès. Par exemple, des applications dans des VPC distincts au sein d'un même compte, ou des VPC appartenant à différents comptes connectés via le peering VPC ou Transit Gateway.
Il existe deux approches pour l'accès multiVPC, selon que vous souhaitez utiliser des contrôles basés sur des politiques ou l'application du réseau d'origine VPC.
Option 1 : origine Internet avec un point de terminaison de passerelle dans chaque VPC
Chaque VPC possède son propre point de terminaison Amazon S3 Gateway. Les appelants de chaque VPC accèdent au point d'accès via leur point de terminaison Gateway local, qui est aws:SourceVpc renseigné sur la demande. La politique des points d'accès restreint l'accès aux identifiants VPC autorisés.
Origine du réseau : Internet
Points de terminaison VPC : point de terminaison Amazon S3 Gateway dans chaque VPC (gratuit, aucune configuration supplémentaire requise)
politique de point d'accès : autoriser la
aws:SourceVpcliste de tous les identifiants VPC, plus un refus avecStringNotEquals
Note
Les instructions Allow et Deny sont toutes deux obligatoires dans la politique du point d'accès. Sans l'instruction Deny, la restriction VPC risque de ne pas être appliquée à tous les appelants.
Cette option est plus simple à configurer car chaque VPC fonctionne indépendamment. Aucun peering VPC ni Transit Gateway ne sont nécessaires. Pour ajouter ou supprimer des VPC, mettez à jour la politique du point d'accès.
Option 2 : origine VPC avec un point de terminaison d'interface centralisé
Un VPC héberge un point de terminaison de l'interface Amazon S3, et le point d'accès est créé avec une origine VPC liée à ce VPC. D'autres VPC acheminent leur trafic Amazon S3 vers le point de terminaison de l'interface via le peering VPC ou Transit Gateway. Comme toutes les demandes arrivent via un point de terminaison dans le VPC lié, elles satisfont aux exigences d'origine du VPC.
Origine du réseau : VPC (lié au VPC hébergeant le point de terminaison de l'interface)
Points de terminaison VPC : point de terminaison de l'interface Amazon S3 dans le VPC lié
Connectivité : peering VPC ou Transit Gateway entre les autres VPC et le VPC lié
politique de point d'accès : minimale : l'application de l'origine du VPC gère la restriction du réseau
Configuration de l'appelant : les appelants des autres VPC doivent utiliser
--endpoint-urlla configuration DNS pour acheminer les demandes via le point de terminaison de l'interface
Cette option permet une application plus stricte car la restriction d'origine des VPC ne peut pas être contournée par des modifications de politique. Cependant, cela nécessite un peering VPC ou une connectivité Transit Gateway, et le point de terminaison de l'interface est facturé par heure et par Go. Pour plus d'informations sur les points de terminaison de l'interface, consultez AWS PrivateLinkAmazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.
Résolution des problèmes d'accès au réseau
Lorsqu'une demande de point d'accès Amazon S3 échoue, le message d'erreur n'indique souvent pas quelle couche d'autorisation a refusé la demande. Utilisez les instructions suivantes pour diagnostiquer les problèmes courants.
AccessDenied avec « refus explicite dans une politique basée sur les ressources »
Cette erreur peut provenir de plusieurs sources. Effectuez les vérifications suivantes dans l'ordre :
1. Vérifiez le refus d'origine du VPC (points d'VPC-origin accès uniquement)
Si le point d'accès provient d'un réseau VPC, il refuse effectivement les demandes qui aws:SourceVpc ne correspondent pas au VPC lié. Vérifiez que :
Un point de terminaison VPC (passerelle ou interface) existe dans le VPC lié.
Le trafic de l'appelant passe par ce point de terminaison. Pour les appelants intégrés au VPC, vérifiez que la table de routage du point de terminaison Gateway est associée au sous-réseau de l'appelant. Pour les appelants locaux, vérifiez qu'ils utilisent un point de terminaison d'interface (les points de terminaison de passerelle n'acheminent pas le trafic VPN ou Direct Connect).
L'appelant se trouve dans le VPC lié, et non dans un VPC homologue. Les demandes provenant de VPC homologues sont refusées sauf si elles sont acheminées via un point de terminaison d'interface dans le VPC lié.
2. Vérifiez la politique de point de terminaison du VPC
Si la demande traverse un point de terminaison VPC, la politique du point de terminaison doit autoriser l'action sur la ressource du point d'accès. La politique de point de terminaison par défaut autorise toutes les actions sur toutes les ressources. Si vous avez défini le champ d'application de la politique, vérifiez qu'elle inclut l'ARN du point d'accès.
3. Vérifiez la politique des points d'accès
Vérifiez que la politique du point d'accès autorise le principal demandeur. Vérifiez les déclarations de refus contenant des conditions susceptibles de correspondre à la demande.
4. Vérifiez la politique d'identité IAM de l'appelant
Le rôle ou l'utilisateur IAM de l'appelant doit être autorisé à effectuer l'action Amazon S3 sur l'ARN du point d'accès.
5. Vérifiez les politiques de contrôle des services (SCP)
Si le compte fait partie d'une organisation AWS Organizations, vérifiez qu'aucun SCP ne refuse les actions Amazon S3 sur le point d'accès.
On-premises les appelants obtiennent, AccessDenied mais les appels intégrés au VPC réussissent
Cela signifie généralement que le trafic sur site n'est pas acheminé via un point de terminaison VPC :
Les points de terminaison de la passerelle n'acheminent pas le trafic local. Le trafic entrant dans le VPC à partir de connexions VPN, Direct Connect ou Transit Gateway n'est pas affecté par les itinéraires des points de terminaison de Gateway. Créez un point de terminaison d'interface Amazon S3 pour les appelants locaux.
Vérifiez que le groupe de sécurité du point de terminaison de l'interface autorise le protocole HTTPS entrant (port 443) depuis le CIDR local.
Vérifiez que le DNS local connecte les points de terminaison Amazon S3 à l'adresse IP privée du point de terminaison de l'interface, ou que les appelants utilisent.
--endpoint-url
Les conditions de la politique des points d'accès semblent n'avoir aucun effet
Allow-only les politiques ne limitent pas l'accès. Si vous utilisez des conditions (telles que
aws:SourceVpc) uniquement dans une instruction Allow sans refuser correspondant, la politique d'identité IAM de l'appelant peut accorder l'accès de manière indépendante. Ajoutez une instruction Deny explicite avec la condition inverse.Sensibilité majuscules et minuscules La clé de condition distingue les
aws:VpcSourceIpmajuscules et minuscules.Clés de condition mutuellement exclusives.
aws:SourceIpet s'aws:VpcSourceIpexcluent mutuellement.aws:SourceIpn'est pas disponible lorsque la demande traverse un point de terminaison VPC. Utilisez-le à la place.aws:VpcSourceIpInversement, n'aws:VpcSourceIpest pas disponible pour les requêtes Internet — utilisationaws:SourceIp. Cela s'applique à toutes les politiques qui utilisent ces clés de condition, y compris les politiques de point d'accès, les politiques de point de terminaison VPC et les politiques d'identité IAM.
