Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengkonfigurasi akses jaringan untuk jalur akses Amazon S3
Saat Anda membuat jalur akses Amazon S3 untuk FSx untuk volume ONTAP, Anda mengonfigurasi bagaimana titik akses dapat dicapai melalui jaringan dan siapa yang berwenang untuk menggunakannya. Bagian ini membantu Anda memilih konfigurasi jaringan dan kontrol akses yang tepat untuk lingkungan Anda.
Bagian ini mencakup lapisan otorisasi jaringan dan IAM — khususnya, asal jaringan titik akses, titik akhir VPC, kebijakan titik akses, kebijakan titik akhir VPC, kebijakan identitas IAM, dan kebijakan kontrol layanan. Untuk informasi tentang otorisasi tingkat sistem file (izin pengguna UNIX dan Windows), lihat. Identitas dan otorisasi pengguna sistem file
Topik
Bagaimana Amazon S3 mengevaluasi permintaan titik akses
Ketika permintaan dibuat melalui jalur akses Amazon S3 yang dilampirkan ke fsX untuk volume ONTAP, permintaan harus diotorisasi oleh semua lapisan berikut:
Pemeriksaan asal jaringan - Jika titik akses memiliki asal jaringan VPC, permintaan harus tiba melalui titik akhir VPC di VPC terikat. Jika tidak, permintaan ditolak sebelum evaluasi kebijakan terjadi.
Kebijakan titik akhir VPC — Jika permintaan melintasi titik akhir VPC, kebijakan titik akhir harus mengizinkan tindakan pada sumber daya titik akses.
kebijakan titik akses - Kebijakan sumber daya IAM titik akses dievaluasi. Untuk akses akun yang sama, kebijakan jalur akses atau kebijakan identitas pemanggil dapat memberikan akses. Untuk akses lintas akun, keduanya harus mengizinkan.
Kebijakan identitas IAM — Kebijakan berbasis identitas kepala sekolah yang meminta dievaluasi terhadap sumber daya titik akses.
Kebijakan kontrol layanan (SCP) — Jika akun merupakan bagian dari AWS organisasi Organizations, SCP yang berlaku harus mengizinkan tindakan tersebut.
Pemeriksaan asal jaringan terjadi sebelum evaluasi kebijakan. Lapisan yang tersisa dievaluasi bersama sebagai bagian dari keputusan otorisasi IAM standar - Penolakan eksplisit di lapisan apa pun mengesampingkan pernyataan Izinkan di lapisan lain.
Memilih asal jaringan
Saat Anda membuat jalur akses Amazon S3, Anda memilih asal jaringan yang menentukan bagaimana titik akses dapat dicapai. Anda tidak dapat mengubah asal jaringan setelah pembuatan.
Asal internet
Titik akses dengan asal jaringan internet mirip dengan bagaimana bucket S3 diakses secara default. Semua permintaan masih memerlukan kredensyal dan otorisasi IAM yang valid - asal internet tidak berarti akses publik atau anonim. Amazon S3 memberlakukan Blokir Akses Publik pada semua titik akses yang dilampirkan ke FSx untuk volume ONTAP, dan Anda tidak dapat menonaktifkan pengaturan ini.
Dengan asal internet, permintaan yang diautentikasi dapat datang dari mana saja — VPC, jaringan lokal, AWS akun lain, atau internet publik. Anda mengontrol penelepon yang diautentikasi yang diizinkan menggunakan kebijakan jalur akses dan kebijakan identitas IAM.
Dengan internet origin, Anda mengontrol akses menggunakan kebijakan jalur akses dan kebijakan identitas IAM. Untuk penelepon akun yang sama, gunakan pernyataan Deny eksplisit dalam kebijakan jalur akses untuk membatasi akses — kebijakan tidak cukup karena Allow-only kebijakan identitas IAM pemanggil dapat secara independen memberikan akses. Untuk penelepon lintas akun, kebijakan jalur akses harus secara eksplisit Izinkan permintaan, sehingga menghilangkan Izinkan sudah cukup untuk memblokir akses.
Asal VPC
Titik akses dengan asal jaringan VPC terikat ke VPC tertentu dan secara efektif berperilaku sebagai pernyataan kebijakan Tolak eksplisit yang menolak permintaan apa pun yang tidak aws:SourceVpc cocok dengan VPC terikat. Karena Deny eksplisit selalu mengganti Izinkan apa pun, bahkan kebijakan jalur akses yang sepenuhnya permisif atau kebijakan identitas IAM tidak dapat memberikan akses ke permintaan dari luar VPC terikat.
Penelepon di luar VPC terikat masih dapat mengakses titik akses jika lalu lintas mereka dirutekan melalui titik akhir VPC di VPC terikat — misalnya, melalui peering VPC atau Transit Gateway ke titik akhir Antarmuka Amazon S3 yang digunakan di VPC terikat.
Perbedaan utama
| Asal internet | Asal VPC | |
|---|---|---|
| Penegakan jaringan | Tidak ada — akses hanya dikendalikan oleh kebijakan | Secara efektif Tolak eksplisit untuk permintaan yang tidak tiba melalui titik akhir VPC di VPC terikat |
| Multi-VPC akses | Didukung melalui ketentuan kebijakan | Didukung jika penelepon merutekan melalui titik akhir Antarmuka di VPC terikat (melalui peering VPC atau Transit Gateway) |
| Ubah ruang lingkup akses | Perbarui kebijakan | Harus membuat ulang titik akses untuk mengubah VPC terikat |
| Diperlukan titik akhir VPC | Hanya jika menggunakan aws:SourceVpc kondisi |
Ya — permintaan harus melintasi titik akhir di VPC terikat |
Cara kerja penegakan asal VPC
Ketika titik akses memiliki asal jaringan VPC, secara efektif berperilaku seolah-olah ada pernyataan kebijakan Tolak eksplisit yang menolak semua permintaan di mana aws:SourceVpc tidak sama dengan ID VPC yang ditentukan dalam titik akses. VpcConfiguration Deny ini berlaku untuk semua prinsipal, semua tindakan Amazon S3, dan semua sumber daya dalam jalur akses.
Karena ini adalah Deny eksplisit, ini mengesampingkan pernyataan Izinkan apa pun — baik dalam kebijakan jalur akses, kebijakan identitas IAM pemanggil, atau kebijakan lainnya.
Dalam praktiknya, ini berarti:
Permintaan harus tiba melalui titik akhir VPC (Gateway atau Antarmuka) yang diterapkan di VPC terikat, karena hanya titik akhir VPC yang mengisi atribut pada permintaan.
aws:SourceVpcPermintaan dari VPC lain ditolak, karena titik akhir VPC mereka
aws:SourceVpcdiisi dengan ID VPC yang berbeda.Permintaan dari internet ditolak,
aws:SourceVpckarena tidak hadir atas permintaan.
Ini juga mengapa pesan kesalahan untuk permintaan yang ditolak mengatakan “penolakan eksplisit dalam kebijakan berbasis sumber daya.”
penting
Anda tidak dapat mengubah asal jaringan titik akses setelah pembuatan. Jika Anda perlu mengubah dari asal VPC ke asal internet (atau sebaliknya), Anda harus menghapus titik akses dan membuat yang baru.
Asal VPC vs. asal internet dengan Deny eksplisit
Titik VPC-origin akses dan titik akses internet-origin dengan StringNotEquals aws:SourceVpc Deny yang ditulis secara manual mencapai hasil yang serupa - keduanya menolak permintaan bukan dari VPC yang ditentukan. Perbedaan utamanya adalah:
Asal VPC: Deny dibangun ke dalam konfigurasi VPC titik akses. Anda tidak dapat secara tidak sengaja menghapusnya atau salah mengkonfigurasinya.
Asal internet dengan Deny: Anda menulis dan mengelola Deny sendiri. Ini memberi Anda lebih banyak fleksibilitas (misalnya, mengizinkan beberapa VPC) tetapi juga lebih banyak tanggung jawab — jika Deny hilang atau salah konfigurasi, pembatasan tidak diberlakukan.
Menggunakan titik akhir VPC dengan titik akses Amazon S3
Titik akses Amazon S3 bekerja dengan kedua jenis titik akhir VPC untuk Amazon S3. Jenis endpoint yang Anda butuhkan tergantung di mana penelepon Anda berada.
Titik akhir Gateway
Titik akhir Gateway gratis dan berbasis tabel rute. Saat Anda membuat titik akhir Gateway, rute ditambahkan ke tabel rute yang ditentukan yang mengarahkan lalu lintas Amazon S3 melalui titik akhir. Rute ini hanya berlaku untuk lalu lintas yang berasal dari VPC.
Gunakan titik akhir Gateway untuk:
Instans Amazon EC2, fungsi Lambda, tugas Amazon ECS, dan sumber daya komputasi lainnya dalam VPC
Titik akhir Gateway tidak merutekan lalu lintas yang memasuki VPC dari:
On-premises jaringan melalui VPN atau Direct Connect
VPC yang diintip
Koneksi Transit Gateway
Untuk informasi selengkapnya, lihat Titik akhir Gateway untuk Amazon S3 di Panduan Pengguna Amazon VPC.
Endpoint Antarmuka
Endpoint antarmuka membuat elastic network interface (ENI) dengan alamat IP pribadi di subnet Anda. Lalu lintas harus secara eksplisit diarahkan ke nama DNS titik akhir atau IP pribadi.
Gunakan titik akhir Antarmuka untuk:
On-premises penelepon mengakses Amazon S3 melalui VPN atau Direct Connect
Cross-account penelepon mengakses Amazon S3 melalui VPC peering
Skenario apa pun di mana lalu lintas memasuki VPC dari luar
Saat menggunakan titik akhir Antarmuka, penelepon harus:
Gunakan
--endpoint-urlparameter yang menunjuk ke nama DNS titik akhir Antarmuka, atauKonfigurasikan DNS untuk menyelesaikan titik akhir Amazon S3 ke IP pribadi titik akhir Antarmuka (menggunakan Route 53 Resolver atau penerusan DNS lokal)
Titik akhir antarmuka memiliki biaya per jam dan per GB. Untuk informasi selengkapnya, lihat harga AWS PrivateLink
Menggunakan kedua tipe titik akhir secara bersamaan
Anda dapat menerapkan titik akhir Gateway dan titik akhir Antarmuka di VPC yang sama. Konfigurasi ini berguna bila Anda memiliki penelepon dalam vPC dan pemanggil lokal:
Titik akhir Gateway: Menangani lalu lintas dalam vPC (gratis, transparan)
Titik akhir antarmuka: Menangani lalu lintas lokal yang masuk melalui VPN atau Direct Connect (memerlukan konfigurasi DNS atau)
--endpoint-url
Kedua tipe endpoint mengisi aws:SourceVpc atribut dengan ID VPC, sehingga keduanya memenuhi kondisi Deny asal VPC.
Kebijakan VPC endpoint
Kebijakan titik akhir VPC mengontrol sumber daya Amazon S3 mana yang dapat diakses melalui titik akhir. Secara default, titik akhir VPC memungkinkan semua tindakan Amazon S3 pada semua sumber daya. Anda dapat membuat cakupan kebijakan titik akhir untuk mengizinkan hanya titik akses tertentu:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point", "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point/object/*" ] } ] }
Kebijakan titik akses
Kebijakan sumber daya dukungan jalur akses Amazon S3 AWS Identity and Access Management (IAM) yang memungkinkan Anda mengontrol penggunaan titik akses berdasarkan sumber daya, pengguna, atau kondisi lainnya. Untuk akses lintas akun, kebijakan jalur akses dan kebijakan identitas IAM pemanggil harus mengizinkan permintaan tersebut. Untuk akses akun yang sama, baik kebijakan titik akses atau kebijakan identitas IAM pemanggil dapat secara independen memberikan akses — untuk membatasi penelepon akun yang sama, gunakan pernyataan Tolak eksplisit dalam kebijakan jalur akses. Jika permintaan melintasi titik akhir VPC, kebijakan titik akhir VPC juga harus mengizinkan permintaan tersebut.
Untuk informasi selengkapnya tentang kebijakan jalur akses, lihat Mengonfigurasi kebijakan IAM untuk menggunakan titik akses di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.
Kunci kondisi untuk kontrol akses berbasis jaringan
IAM menyediakan kunci kondisi global yang dapat Anda gunakan dalam kebijakan titik akses untuk mengontrol akses berdasarkan properti jaringan permintaan. Kunci kondisi ini disertakan dalam konteks permintaan hanya dalam keadaan tertentu, seperti yang dijelaskan dalam tabel berikut.
| Kunci syarat | Ketersediaan | Deskripsi |
|---|---|---|
aws:SourceVpc |
Termasuk dalam konteks permintaan hanya jika pemohon menggunakan titik akhir VPC untuk membuat permintaan. | Memeriksa apakah permintaan berjalan melalui VPC tempat titik akhir VPC dilampirkan. Gunakan tombol ini untuk mengizinkan akses hanya ke VPC tertentu. |
aws:SourceVpce |
Termasuk dalam konteks permintaan hanya jika pemohon menggunakan titik akhir VPC untuk membuat permintaan. | ID titik akhir VPC tempat permintaan dibuat. |
aws:VpcSourceIp |
Termasuk dalam konteks permintaan hanya jika permintaan dibuat menggunakan titik akhir VPC. | Membandingkan alamat IP dari mana permintaan dibuat dengan alamat IP yang Anda tentukan dalam kebijakan. Cocokkan hanya jika permintaan berasal dari alamat IP yang ditentukan dan melewati titik akhir VPC. |
aws:SourceIp |
Termasuk dalam konteks permintaan hanya jika permintaan tidak melintasi titik akhir VPC. | Alamat IP publik penelepon. Tidak tersedia untuk permintaan yang dibuat melalui titik akhir VPC. |
penting
aws:SourceIpdan aws:VpcSourceIp saling eksklusif. Saat permintaan melintasi titik akhir VPC, tidak tersedia — gunakan sebagai aws:SourceIp gantinya. aws:VpcSourceIp Ketika permintaan berasal dari internet (tidak ada titik akhir VPC), tidak aws:VpcSourceIp tersedia — gunakan sebagai gantinya. aws:SourceIp
penting
Kunci kondisi peka huruf aws:VpcSourceIp besar/kecil.
Untuk informasi selengkapnya tentang kunci kondisi global IAM, lihat kunci konteks kondisi AWS global di Panduan Pengguna IAM.
Contoh alur perencanaan
Contoh skenario berikut menunjukkan konfigurasi umum untuk jalur akses Amazon S3 yang dilampirkan ke fsX untuk volume ONTAP. Setiap skenario mencakup asal jaringan yang direkomendasikan, jenis titik akhir VPC, dan kebijakan titik akses.
Akses VPC tunggal
Kasus penggunaan: Instans Amazon EC2, fungsi Lambda, atau tugas Amazon ECS dalam satu VPC mengakses jalur akses. Tidak diperlukan akses eksternal.
Dengan asal jaringan VPC:
Konfigurasi asal VPC secara efektif menolak permintaan yang aws:SourceVpc tidak cocok dengan VPC terikat. Permintaan dari VPC lain, internet, atau jaringan lokal ditolak. Anda dapat menggunakan titik akhir VPC Gateway atau Antarmuka Amazon S3.
Contoh kebijakan titik akses (asal VPC): Dengan asal VPC, pembatasan jaringan dibangun. Kebijakan jalur akses hanya perlu memberikan izin yang diinginkan.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:role/my-app-role"}, "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point", "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point/object/*" ] } ] }
Dengan asal jaringan Internet:
Dengan internet origin, Anda membatasi akses ke VPC aws:SourceVpc menggunakan kondisi dalam kebijakan jalur akses (dengan penolakan eksplisit). Titik akhir VPC diperlukan sehingga aws:SourceVpc diisi berdasarkan permintaan.
Contoh kebijakan titik akses (internet origin): Kebijakan ini mencakup Izinkan dengan kondisi VPC dan Tolak untuk permintaan bukan dari VPC.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:role/my-app-role"}, "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point", "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point/object/*" ], "Condition": { "StringEquals": {"aws:SourceVpc": "vpc-1a2b3c4d"} } }, { "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point", "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point/object/*" ], "Condition": { "StringNotEquals": {"aws:SourceVpc": "vpc-1a2b3c4d"} } } ] }
catatan
Pernyataan Izinkan dan Tolak diperlukan dalam kebijakan jalur akses. Tanpa pernyataan Deny, pembatasan VPC mungkin tidak diberlakukan untuk semua penelepon.
| Asal VPC | Asal internet | |
|---|---|---|
| Penegakan jaringan | Built-in Menyangkal | Policy-based (Izinkan + Tolak) |
| Titik akhir VPC | Diperlukan (Gateway atau Antarmuka) | Diperlukan (untukaws:SourceVpc) |
| kebijakan titik akses | Minimal - bawaan Deny menangani pembatasan | Harus menyertakan aws:SourceVpc Izinkan + Tolak |
On-premises dan akses VPC
Kasus penggunaan: Baik pengguna lokal (melalui VPN atau Direct Connect) dan sumber daya komputasi dalam vPC mengakses titik akses. Semua lalu lintas tetap pribadi.
penting
Titik akhir Gateway tidak merutekan lalu lintas yang memasuki VPC dari koneksi VPN, Direct Connect, atau Transit Gateway. On-premises penelepon harus menggunakan titik akhir Antarmuka Amazon S3. Lihat Menggunakan titik akhir VPC dengan titik akses Amazon S3 untuk detail.
Baik titik akhir Gateway (lalu lintas dalam vPC) dan titik akhir Antarmuka (lalu lintas on-prem) berada dalam VPC yang sama, sehingga keduanya memenuhi kondisi Deny asal VPC.
| Asal VPC | Asal internet | |
|---|---|---|
| In-VPC titik akhir | Gateway (gratis) | Gateway (untukaws:SourceVpc) |
| On-prem titik akhir | Antarmuka (wajib) | Antarmuka (wajib) |
| On-prem DNS | Selesaikan Amazon S3 ke IP titik akhir Antarmuka | Selesaikan Amazon S3 ke IP titik akhir Antarmuka |
Multi-VPC akses
Kasus penggunaan: Penelepon di beberapa VPC perlu mengakses titik akses yang sama. Misalnya, aplikasi dalam VPC terpisah dalam akun yang sama, atau VPC di akun berbeda yang terhubung melalui peering VPC atau Transit Gateway.
Ada dua pendekatan untuk akses multi-VPC, tergantung pada apakah Anda ingin menggunakan kontrol berbasis kebijakan atau penegakan jaringan asal VPC.
Opsi 1: Asal Internet dengan titik akhir Gateway di setiap VPC
Setiap VPC memiliki endpoint Amazon S3 Gateway sendiri. Penelepon di setiap VPC mengakses titik akses melalui titik akhir Gateway lokal mereka, yang aws:SourceVpc terisi berdasarkan permintaan. Kebijakan jalur akses membatasi akses ke ID VPC yang diizinkan.
Asal jaringan: Internet
Titik akhir VPC: Titik akhir Amazon S3 Gateway di setiap VPC (gratis, tidak perlu konfigurasi tambahan)
kebijakan titik akses: Izinkan dengan
aws:SourceVpcmencantumkan semua ID VPC, ditambah Tolak denganStringNotEquals
catatan
Pernyataan Izinkan dan Tolak diperlukan dalam kebijakan jalur akses. Tanpa pernyataan Deny, pembatasan VPC mungkin tidak diberlakukan untuk semua penelepon.
Opsi ini lebih mudah diatur karena setiap VPC beroperasi secara independen — tidak diperlukan peering VPC atau Transit Gateway. Untuk menambah atau menghapus VPC, perbarui kebijakan jalur akses.
Opsi 2: Asal VPC dengan titik akhir Antarmuka terpusat
Satu VPC menghosting titik akhir Antarmuka Amazon S3, dan titik akses dibuat dengan asal VPC yang terikat pada VPC itu. VPC lain merutekan lalu lintas Amazon S3 mereka ke titik akhir Antarmuka melalui peering VPC atau Transit Gateway. Karena semua permintaan tiba melalui titik akhir di VPC terikat, permintaan tersebut memenuhi penegakan asal VPC.
Asal jaringan: VPC (terikat ke VPC yang menghosting titik akhir Antarmuka)
Titik akhir VPC: Titik akhir Antarmuka Amazon S3 di VPC terikat
Konektivitas: Pengintipan VPC atau Transit Gateway antara VPC lain dan VPC terikat
kebijakan titik akses: Minimal — penegakan asal VPC menangani pembatasan jaringan
Konfigurasi pemanggil: Penelepon di VPC lain harus menggunakan
--endpoint-urlatau konfigurasi DNS untuk merutekan permintaan melalui titik akhir Antarmuka
Opsi ini memberikan penegakan yang lebih kuat karena pembatasan asal VPC tidak dapat dilewati melalui perubahan kebijakan. Namun, ini memerlukan konektivitas peering VPC atau Transit Gateway, dan titik akhir Antarmuka memiliki biaya per jam dan per GB. Untuk informasi selengkapnya tentang titik akhir Antarmuka, lihat AWS PrivateLinkAmazon S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.
Memecahkan masalah akses jaringan
Ketika permintaan jalur akses Amazon S3 gagal, pesan kesalahan sering tidak menunjukkan lapisan otorisasi mana yang menolak permintaan tersebut. Gunakan panduan berikut untuk mendiagnosis masalah umum.
AccessDenied dengan “penolakan eksplisit dalam kebijakan berbasis sumber daya”
Kesalahan ini bisa berasal dari berbagai sumber. Kerjakan pemeriksaan berikut secara berurutan:
1. Periksa asal VPC Deny (hanya titik VPC-origin akses)
Jika titik akses memiliki asal jaringan VPC, secara efektif menolak permintaan yang aws:SourceVpc tidak cocok dengan VPC terikat. Verifikasi bahwa:
Titik akhir VPC (Gateway atau Antarmuka) ada di VPC terikat.
Lalu lintas penelepon merutekan melalui titik akhir itu. Untuk pemanggil dalam VPC, verifikasi tabel rute titik akhir Gateway dikaitkan dengan subnet pemanggil. Untuk penelepon lokal, verifikasi bahwa mereka menggunakan titik akhir Antarmuka (Titik akhir Gateway tidak merutekan lalu lintas VPN atau Direct Connect).
Penelepon berada di VPC terikat, bukan VPC yang diintip. Permintaan dari VPC peered ditolak kecuali dirutekan melalui titik akhir Antarmuka di VPC terikat.
2. Periksa kebijakan titik akhir VPC
Jika permintaan melintasi titik akhir VPC, kebijakan titik akhir harus mengizinkan tindakan pada sumber daya titik akses. Kebijakan endpoint default memungkinkan semua tindakan pada semua sumber daya. Jika Anda telah mencakup kebijakan, verifikasi itu termasuk titik akses ARN.
3. Periksa kebijakan jalur akses
Verifikasi bahwa kebijakan jalur akses memungkinkan prinsipal yang meminta. Periksa pernyataan Deny dengan kondisi yang mungkin cocok dengan permintaan.
4. Periksa kebijakan identitas IAM pemanggil
Peran IAM pemanggil atau pengguna harus memiliki izin untuk melakukan tindakan Amazon S3 pada titik akses ARN.
5. Periksa kebijakan kontrol layanan (SCP)
Jika akun merupakan bagian dari AWS organisasi Organizations, verifikasi bahwa tidak ada SCP yang menolak tindakan Amazon S3 pada titik akses.
On-premises penelepon mendapatkan AccessDenied tetapi penelepon dalam vPC berhasil
Ini biasanya berarti lalu lintas lokal tidak merutekan melalui titik akhir VPC:
Titik akhir Gateway tidak merutekan lalu lintas lokal. Lalu lintas yang memasuki VPC dari koneksi VPN, Direct Connect, atau Transit Gateway tidak terpengaruh oleh rute titik akhir Gateway. Buat titik akhir Antarmuka Amazon S3 untuk penelepon lokal.
Verifikasi grup keamanan titik akhir Antarmuka memungkinkan HTTPS masuk (port 443) dari CIDR lokal.
Verifikasi DNS lokal menyelesaikan titik akhir Amazon S3 ke IP pribadi titik akhir Antarmuka, atau yang digunakan penelepon.
--endpoint-url
Kondisi kebijakan titik akses tampaknya tidak berpengaruh
Allow-only Kebijakan tidak membatasi akses. Jika Anda menggunakan kondisi (seperti
aws:SourceVpc) hanya dalam pernyataan Izinkan tanpa Deny yang sesuai, kebijakan identitas IAM pemanggil dapat secara independen memberikan akses. Tambahkan pernyataan Deny eksplisit dengan kondisi terbalik.Sensitivitas kasus. Kunci kondisi peka huruf
aws:VpcSourceIpbesar/kecil.Kunci kondisi yang saling eksklusif.
aws:SourceIpdanaws:VpcSourceIpsaling eksklusif.aws:SourceIptidak tersedia saat permintaan melintasi titik akhir VPC — gunakan sebagai gantinya.aws:VpcSourceIpSebaliknya, tidakaws:VpcSourceIptersedia untuk permintaan internet — penggunaanaws:SourceIp. Ini berlaku untuk semua kebijakan yang menggunakan kunci kondisi ini, termasuk kebijakan titik akses, kebijakan titik akhir VPC, dan kebijakan identitas IAM.
