Creazione di un endpoint VPC Amazon S3 (Facoltativo) Utilizzo delle policy IAM per limitare l’accesso ai file S3

(Esempio) Limitazione dell’accesso ai dati di Amazon S3 utilizzando VPC

Puoi utilizzare una VPC per limitare l’accesso ai dati nei bucket Amazon S3. Per una maggiore sicurezza, puoi configurare il VPC senza accesso a Internet e creare un endpoint per la stessa con AWS PrivateLink. Puoi anche limitare l’accesso collegando policy basate sulle risorse all’endpoint VPC o al bucket S3.

Argomenti

Creazione di un endpoint VPC Amazon S3
(Facoltativo) Utilizzo delle policy IAM per limitare l’accesso ai file S3

Creazione di un endpoint VPC Amazon S3

Se configuri il VPC senza accesso a Internet, devi creare un endpoint VPC Amazon S3 per consentire ai lavori di personalizzazione del modello di accedere ai bucket S3 che memorizzano i dati di formazione e convalida e che archivieranno gli artefatti del modello.

Crea l’endpoint VPC S3 seguendo i passaggi indicati in Creazione di un endpoint gateway per Amazon S3.

Nota

Se non utilizzi le impostazioni DNS predefinite per il tuo VPC, devi assicurarti che URLs le quattro posizioni dei dati nei processi di formazione vengano risolte configurando le tabelle di routing degli endpoint. Per informazioni sulle tabelle di routing degli endpoint VPC, consulta Routing per endpoint gateway.

(Facoltativo) Utilizzo delle policy IAM per limitare l’accesso ai file S3

Puoi utilizzare policy basate sulle risorse per controllare in modo più rigoroso l’accesso ai file S3. Puoi utilizzare qualsiasi combinazione dei seguenti tipi di policy basate sulle risorse.

Policy di endpoint: puoi collegare policy di endpoint all’endpoint VPC per limitare l’accesso tramite l’endpoint VPC. La policy di endpoint predefinita consente l’accesso completo ad Amazon S3 da parte di utenti o servizi nel VPC. Durante o dopo la creazione dell’endpoint, puoi facoltativamente collegare all’endpoint una policy basata sulle risorse per aggiungere restrizioni, ad esempio consentire all’endpoint di accedere solo a un bucket specifico o consentire solo a un ruolo IAM specifico di accedere all’endpoint. Per esempi, consulta Modifica della policy degli endpoint VPC.

Di seguito è riportato un esempio di policy che puoi collegare all’endpoint VPC per consentirgli di accedere solo al bucket specificato.
JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "RestrictAccessToTrainingBucket", "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket", "arn:aws:s3:::bucket/*" ] } ] }
Policy di bucket: puoi collegare una policy di bucket a un bucket S3 per limitarne l’accesso. Per creare una policy di bucket, segui le fasi descritte in Utilizzo delle policy di bucket. Per limitare l’accesso al traffico proveniente dal VPC, puoi utilizzare le chiavi di condizione per specificare il VPC stesso, un endpoint VPC o l’indirizzo IP del VPC. Puoi utilizzare le chiavi di condizione aws:SourceVPC, aws:SourceVPCE o aws:. VpcSourceIp

Di seguito è riportato un esempio di policy che puoi collegare a un bucket S3 per rifiutare tutto il traffico verso il bucket a meno che non provenga dal tuo VPC.
JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "RestrictAccessToOutputBucket", "Effect": "Deny", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket", "arn:aws:s3:::bucket/*" ], "Condition": { "StringNotEquals": { "aws:sourceVpc": "vpc-11223344556677889" } } } ] }
Per altri esempi, consulta Controllo dell’accesso utilizzando policy di bucket.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Utilizzare AWS PrivateLink per creare una connessione privata

Gestione dell’identità e degli accessi