Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione dell'accesso alla rete per i punti di accesso Amazon S3
Quando crei un punto di accesso Amazon S3 per un volume FSx for ONTAP, configuri come raggiungere il punto di accesso sulla rete e chi è autorizzato a utilizzarlo. Questa sezione ti aiuta a scegliere la configurazione di rete e controllo degli accessi più adatta al tuo ambiente.
Questa sezione tratta i livelli di autorizzazione della rete e di IAM, in particolare l'origine della rete del punto di accesso, gli endpoint VPC, le politiche dei punti di accesso, le politiche degli endpoint VPC, le politiche di identità IAM e le politiche di controllo dei servizi. Per informazioni sull'autorizzazione a livello di file system (autorizzazioni utente UNIX e Windows), vedere. Identità e autorizzazione dell'utente del file system
Argomenti
In che modo Amazon S3 valuta le richieste dei punti di accesso
Quando una richiesta viene effettuata tramite un punto di accesso Amazon S3 collegato a un volume FSx for ONTAP, la richiesta deve essere autorizzata da tutti i seguenti livelli:
Controllo dell'origine della rete: se il punto di accesso ha un'origine di rete VPC, la richiesta deve arrivare tramite un endpoint VPC nel VPC associato. In caso contrario, la richiesta viene rifiutata prima che venga effettuata una valutazione delle politiche.
Policy degli endpoint VPC: se la richiesta attraversa un endpoint VPC, la policy dell'endpoint deve consentire l'azione sulla risorsa del punto di accesso.
policy del punto di accesso: viene valutata la policy delle risorse IAM del punto di accesso. Per l'accesso allo stesso account, è possibile concedere l'accesso sia la politica del punto di accesso che la politica sull'identità del chiamante. Per l'accesso su più account, entrambi devono consentirlo.
Politica di identità IAM: la politica basata sull'identità del principale richiedente viene valutata rispetto alla risorsa del punto di accesso.
Policy di controllo dei servizi (SCP): se l'account fa parte di un'organizzazione AWS Organizations, tutti gli SCP applicabili devono consentire l'azione.
Il controllo dell'origine della rete avviene prima della valutazione delle politiche. I livelli rimanenti vengono valutati insieme come parte della decisione di autorizzazione IAM standard: un Deny esplicito in qualsiasi livello ha la precedenza sulle istruzioni Allow negli altri livelli.
Scelta di un'origine di rete
Quando crei un punto di accesso Amazon S3, scegli un'origine di rete che determina come raggiungere il punto di accesso. Non è possibile modificare l'origine della rete dopo la creazione.
Origine di Internet
Un punto di accesso con un'origine di rete Internet è simile a come si accede ai bucket S3 per impostazione predefinita. Tutte le richieste richiedono comunque credenziali e autorizzazioni IAM valide: l'origine di Internet non significa accesso pubblico o anonimo. Amazon S3 applica Block Public Access su tutti i punti di accesso collegati ai volumi FSx for ONTAP e non è possibile disabilitare questa impostazione.
Con l'origine da Internet, le richieste autenticate possono provenire da qualsiasi luogo: VPC, reti locali, altri AWS account o Internet pubblico. Puoi controllare quali chiamanti autenticati sono autorizzati utilizzando la policy del punto di accesso e le policy di identità IAM.
Con Internet Origin, controlli l'accesso utilizzando la policy del punto di accesso e le policy di identità IAM. Per i chiamanti che utilizzano lo stesso account, utilizza le istruzioni Deny esplicite nella policy del punto di accesso per limitare l'accesso: una politica non è sufficiente perché la Allow-only politica di identità IAM del chiamante può concedere l'accesso in modo indipendente. Per i chiamanti con più account, la policy del punto di accesso deve consentire esplicitamente la richiesta, quindi omettere un Consenti è sufficiente per bloccare l'accesso.
Origine VPC
Un punto di accesso con un'origine di rete VPC è associato a un VPC specifico e si comporta efficacemente come un'esplicita dichiarazione di politica Deny che rifiuta qualsiasi richiesta che non corrisponde al VPC associato. aws:SourceVpc Poiché un rifiuto esplicito ha sempre la precedenza su qualsiasi opzione Allow, anche una policy del punto di accesso completamente permissiva o una policy di identità IAM non può concedere l'accesso alle richieste provenienti dall'esterno del VPC associato.
I chiamanti esterni al VPC associato possono comunque accedere al punto di accesso se il loro traffico viene instradato attraverso un endpoint VPC nel VPC associato, ad esempio tramite peering VPC o Transit Gateway verso un endpoint dell'interfaccia Amazon S3 distribuito nel VPC associato.
Differenze principali
| Origine di Internet | Origine VPC | |
|---|---|---|
| Applicazione della rete | Nessuno: accesso controllato solo da policy | Effettivamente un rifiuto esplicito per le richieste che non arrivano tramite un endpoint VPC nel VPC associato |
| Multi-VPC accesso | Supportato tramite condizioni politiche | Supportato se i chiamanti effettuano il routing attraverso un endpoint di interfaccia nel VPC associato (tramite peering VPC o Transit Gateway) |
| Modifica l'ambito di accesso | Aggiorna la politica | È necessario ricreare il punto di accesso per modificare il VPC associato |
| È richiesto un endpoint VPC | Solo se si utilizzano condizioni aws:SourceVpc |
Sì, le richieste devono attraversare un endpoint nel VPC associato |
Come funziona l'applicazione dell'origine dei VPC
Quando un punto di accesso ha un'origine di rete VPC, si comporta in effetti come se esistesse un'esplicita dichiarazione di rifiuto che nega tutte le richieste se aws:SourceVpc non è uguale all'ID VPC specificato nel punto di accesso. VpcConfiguration Questa negazione si applica a tutti i principali, a tutte le azioni di Amazon S3 e a tutte le risorse all'interno del punto di accesso.
Poiché si tratta di un tipo Deny esplicito, ha la precedenza su qualsiasi istruzione Allow, che si tratti della politica del punto di accesso, della politica di identità IAM del chiamante o di qualsiasi altra politica.
In pratica, ciò significa:
Le richieste devono arrivare tramite un endpoint VPC (gateway o interfaccia) distribuito nel VPC associato, poiché solo gli endpoint VPC popolano l'attributo nella richiesta.
aws:SourceVpcLe richieste provenienti da altri VPC vengono rifiutate, perché i relativi endpoint VPC sono
aws:SourceVpcpopolati con un ID VPC diverso.Le richieste provenienti da Internet vengono rifiutate perché
aws:SourceVpcnon sono presenti nella richiesta.
Questo è anche il motivo per cui il messaggio di errore relativo alle richieste negate riporta la dicitura «rifiuto esplicito in una politica basata sulle risorse».
Importante
Non è possibile modificare l'origine della rete di un punto di accesso dopo la creazione. Se è necessario passare dall'origine VPC all'origine Internet (o viceversa), è necessario eliminare il punto di accesso e crearne uno nuovo.
Origine VPC e origine Internet con un rifiuto esplicito
Un punto di VPC-origin accesso e un punto di accesso di origine Internet con un StringNotEquals aws:SourceVpc Deny scritto manualmente ottengono un risultato simile: entrambi negano le richieste che non provengono dal VPC specificato. La differenza fondamentale è la seguente:
Origine VPC: Deny è integrato nella configurazione VPC del punto di accesso. Non è possibile rimuoverlo accidentalmente o configurarlo erroneamente.
Origine su Internet con Deny: scrivi e gestisci tu stesso Deny. Ciò offre una maggiore flessibilità (ad esempio, la possibilità di utilizzare più VPC) ma anche una maggiore responsabilità: se l'opzione Deny è assente o non è configurata correttamente, la restrizione non viene applicata.
Utilizzo di endpoint VPC con punti di accesso Amazon S3
Gli access point Amazon S3 funzionano con entrambi i tipi di endpoint VPC per Amazon S3. Il tipo di endpoint di cui hai bisogno dipende da dove si trovano i chiamanti.
Endpoint gateway
Gli endpoint del gateway sono gratuiti e basati su tabelle di routing. Quando si crea un endpoint Gateway, viene aggiunta una route alle tabelle di route specificate che indirizza il traffico Amazon S3 attraverso l'endpoint. Questo percorso si applica solo al traffico proveniente dal VPC.
Utilizza gli endpoint Gateway per:
Istanze Amazon EC2, funzioni Lambda, attività Amazon ECS e altre risorse di elaborazione all'interno del VPC
Gli endpoint del gateway non instradano il traffico che entra nel VPC da:
On-premises reti tramite VPN o Direct Connect
VPC peer-to-peer
Connessioni Transit Gateway
Per ulteriori informazioni, consulta Endpoint Gateway per Amazon S3 nella Amazon VPC User Guide.
Endpoint di interfaccia
Gli endpoint di interfaccia creano un'interfaccia di rete elastica (ENI) con un indirizzo IP privato nella sottorete. Il traffico deve essere indirizzato in modo esplicito al nome DNS o all'IP privato dell'endpoint.
Usa gli endpoint dell'interfaccia per:
On-premises chiamanti che accedono ad Amazon S3 tramite VPN o Direct Connect
Cross-account chiamanti che accedono ad Amazon S3 tramite peering VPC
Qualsiasi scenario in cui il traffico entra nel VPC dall'esterno
Quando si utilizza un endpoint di interfaccia, i chiamanti devono:
Utilizza il
--endpoint-urlparametro che punta al nome DNS dell'endpoint dell'interfaccia oppureConfigura il DNS per risolvere gli endpoint Amazon S3 sull'IP privato dell'endpoint di interfaccia (utilizzando Route 53 Resolver o l'inoltro DNS locale)
Gli endpoint di interfaccia hanno tariffe orarie e per GB. Per ulteriori informazioni, consultare Prezzi di AWS PrivateLink
Utilizzo congiunto di entrambi i tipi di endpoint
È possibile implementare sia un endpoint Gateway che un endpoint Interface nello stesso VPC. Questa configurazione è utile quando si dispone sia di chiamanti in-VPC che di chiamanti locali:
Endpoint gateway: gestisce il traffico in-VPC (gratuito, trasparente)
Endpoint di interfaccia: gestisce il traffico locale in ingresso tramite VPN o Direct Connect (richiede la configurazione DNS o)
--endpoint-url
Entrambi i tipi di endpoint popolano l'aws:SourceVpcattributo con l'ID VPC, quindi entrambi soddisfano la condizione VPC origin Deny.
Policy di endpoint VPC
Le policy degli endpoint VPC controllano a quali risorse Amazon S3 è possibile accedere tramite l'endpoint. Per impostazione predefinita, un endpoint VPC consente tutte le azioni di Amazon S3 su tutte le risorse. Puoi definire l'ambito della policy degli endpoint in modo da consentire solo punti di accesso specifici:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point", "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point/object/*" ] } ] }
Policy del punto di accesso
I punti di accesso Amazon S3 supportano politiche di risorse AWS Identity and Access Management (IAM) che consentono di controllare l'uso del punto di accesso in base alla risorsa, all'utente o ad altre condizioni. Per l'accesso tra account diversi, sia la policy del punto di accesso che la policy di identità IAM del chiamante devono consentire la richiesta. Per l'accesso allo stesso account, la politica del punto di accesso o la politica di identità IAM del chiamante possono concedere l'accesso in modo indipendente: per limitare i chiamanti dello stesso account, utilizza istruzioni Deny esplicite nella politica del punto di accesso. Se la richiesta attraversa un endpoint VPC, anche la policy dell'endpoint VPC deve consentire la richiesta.
Per ulteriori informazioni sulle policy dei punti di accesso, consulta Configurazione delle policy IAM per l'utilizzo degli access point nella Amazon Simple Storage Service User Guide.
Chiavi condizionali per il controllo degli accessi basato sulla rete
IAM fornisce chiavi di condizione globali che è possibile utilizzare nelle politiche dei punti di accesso per controllare l'accesso in base alle proprietà di rete della richiesta. Queste chiavi di condizione sono incluse nel contesto della richiesta solo in circostanze specifiche, come descritto nella tabella seguente.
| Chiave di condizione | Disponibilità | Description |
|---|---|---|
aws:SourceVpc |
Incluso nel contesto della richiesta solo se il richiedente utilizza un endpoint VPC per effettuare la richiesta. | Verifica se la richiesta viaggia attraverso il VPC a cui è collegato l'endpoint VPC. Usa questa chiave per consentire l'accesso solo a un VPC specifico. |
aws:SourceVpce |
Incluso nel contesto della richiesta solo se il richiedente utilizza un endpoint VPC per effettuare la richiesta. | L'ID dell'endpoint VPC tramite il quale è stata effettuata la richiesta. |
aws:VpcSourceIp |
Incluso nel contesto della richiesta solo se la richiesta viene effettuata utilizzando un endpoint VPC. | Confronta l'indirizzo IP da cui è stata effettuata una richiesta con l'indirizzo IP specificato nella policy. Corrisponde solo se la richiesta proviene dall'indirizzo IP specificato e passa attraverso un endpoint VPC. |
aws:SourceIp |
Incluso nel contesto della richiesta solo se la richiesta non attraversa un endpoint VPC. | L'indirizzo IP pubblico del chiamante. Non disponibile per le richieste effettuate tramite un endpoint VPC. |
Importante
aws:SourceIpe si aws:VpcSourceIp escludono a vicenda. Quando una richiesta attraversa un endpoint VPC, non aws:SourceIp è disponibile, utilizzala invece. aws:VpcSourceIp Quando una richiesta proviene da Internet (nessun endpoint VPC), non aws:VpcSourceIp è disponibile, utilizzala invece. aws:SourceIp
Importante
La chiave di condizione aws:VpcSourceIp fa distinzione tra maiuscole e minuscole.
Per ulteriori informazioni sulle chiavi di condizione globali IAM, consulta le chiavi di contesto delle condizioni AWS globali nella Guida per l'utente IAM.
Scenari di esempio
Gli scenari di esempio seguenti mostrano configurazioni comuni per i punti di accesso Amazon S3 collegati ai volumi FSx for ONTAP. Ogni scenario include l'origine di rete consigliata, il tipo di endpoint VPC e la policy del punto di accesso.
Accesso VPC singolo
Caso d'uso: istanze Amazon EC2, funzioni Lambda o attività Amazon ECS all'interno di un singolo VPC per accedere al punto di accesso. Non è necessario alcun accesso esterno.
Con origine di rete VPC:
La configurazione di origine del VPC nega efficacemente le richieste aws:SourceVpc che non corrispondono al VPC associato. Le richieste provenienti da altri VPC, da Internet o da reti locali vengono negate. Puoi utilizzare un endpoint VPC Gateway o Interface Amazon S3.
Esempio di policy del punto di accesso (origine VPC): con l'origine VPC, la restrizione di rete è integrata. La politica del punto di accesso deve solo concedere le autorizzazioni desiderate.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:role/my-app-role"}, "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point", "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point/object/*" ] } ] }
Con origine dalla rete Internet:
Con Internet Origin, si limita l'accesso al VPC utilizzando aws:SourceVpc le condizioni della policy del punto di accesso (con un rifiuto esplicito). È necessario un endpoint VPC in modo che aws:SourceVpc venga compilato sulla richiesta.
Esempio di policy sui punti di accesso (origine Internet): la policy include sia una condizione Allow with a VPC sia una condizione Deny per le richieste non provenienti dal VPC.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:role/my-app-role"}, "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point", "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point/object/*" ], "Condition": { "StringEquals": {"aws:SourceVpc": "vpc-1a2b3c4d"} } }, { "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point", "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point/object/*" ], "Condition": { "StringNotEquals": {"aws:SourceVpc": "vpc-1a2b3c4d"} } } ] }
Nota
Entrambe le istruzioni Allow e Deny sono obbligatorie nella policy del punto di accesso. Senza l'istruzione Deny, la restrizione VPC potrebbe non essere applicata a tutti i chiamanti.
| Origine VPC | Origine di Internet | |
|---|---|---|
| Applicazione della rete | Built-in Negare | Policy-based (Consenti + Nega) |
| Endpoint VPC | Obbligatorio (gateway o interfaccia) | Obbligatorio (peraws:SourceVpc) |
| politica del punto di accesso | Minimo: la restrizione integrata di Deny gestisce la gestione | Deve includere aws:SourceVpc Allow + Deny |
On-premises e accesso VPC
Caso d'uso: sia gli utenti locali (tramite VPN o Direct Connect) che le risorse di elaborazione in-VPC accedono al punto di accesso. Tutto il traffico rimane privato.
Importante
Gli endpoint del gateway non instradano il traffico che entra nel VPC dalle connessioni VPN, Direct Connect o Transit Gateway. On-premises i chiamanti devono utilizzare un endpoint dell'interfaccia Amazon S3. Per informazioni dettagliate, vedi Utilizzo di endpoint VPC con punti di accesso Amazon S3.
Sia l'endpoint Gateway (traffico in-VPC) che l'endpoint Interface (traffico on-premise) si trovano nello stesso VPC, quindi entrambi soddisfano la condizione VPC origin Deny.
| Origine VPC | Origine di Internet | |
|---|---|---|
| In-VPC endpoint | Gateway (gratuito) | Gateway (peraws:SourceVpc) |
| On-prem endpoint | Interfaccia (richiesta) | Interfaccia (richiesta) |
| On-prem DNS | Scegli Amazon S3 per interfacciare l'IP dell'endpoint | Scegli Amazon S3 per interfacciare l'IP dell'endpoint |
Multi-VPC accesso
Caso d'uso: i chiamanti in più VPC devono accedere allo stesso punto di accesso. Ad esempio, applicazioni in VPC separati all'interno dello stesso account o VPC in account diversi collegati tramite peering VPC o Transit Gateway.
Esistono due approcci per l'accesso multi-VPC, a seconda che si desideri utilizzare controlli basati su policy o l'applicazione della rete di origine VPC.
Opzione 1: origine Internet con un endpoint Gateway in ogni VPC
Ogni VPC ha il proprio endpoint Amazon S3 Gateway. I chiamanti di ogni VPC accedono al punto di accesso tramite l'endpoint Gateway locale, che viene aws:SourceVpc compilato in base alla richiesta. La politica del punto di accesso limita l'accesso agli ID VPC consentiti.
Origine della rete: Internet
Endpoint VPC: endpoint Amazon S3 Gateway in ogni VPC (gratuito, non è necessaria alcuna configurazione aggiuntiva)
politica dei punti di accesso: consente di
aws:SourceVpcelencare tutti gli ID VPC, più un rifiuto conStringNotEquals
Nota
Entrambe le istruzioni Allow e Deny sono obbligatorie nella policy del punto di accesso. Senza l'istruzione Deny, la restrizione VPC potrebbe non essere applicata a tutti i chiamanti.
Questa opzione è più semplice da configurare perché ogni VPC funziona in modo indipendente: non è richiesto alcun peering VPC o Transit Gateway. Per aggiungere o rimuovere VPC, aggiorna la politica dei punti di accesso.
Opzione 2: origine VPC con un endpoint di interfaccia centralizzato
Un VPC ospita un endpoint dell'interfaccia Amazon S3 e il punto di accesso viene creato con l'origine VPC associata a quel VPC. Altri VPC indirizzano il traffico Amazon S3 all'endpoint Interface tramite peering VPC o Transit Gateway. Poiché tutte le richieste arrivano tramite un endpoint nel VPC associato, soddisfano l'applicazione dell'origine del VPC.
Origine della rete: VPC (associato al VPC che ospita l'endpoint dell'interfaccia)
Endpoint VPC: endpoint dell'interfaccia Amazon S3 nel VPC associato
Connettività: peering VPC o Transit Gateway tra gli altri VPC e il VPC associato
policy del punto di accesso: minima: l'applicazione dell'origine VPC gestisce la restrizione della rete
Configurazione del chiamante: i chiamanti in altri VPC devono utilizzare la configurazione DNS
--endpoint-urlo per instradare le richieste attraverso l'endpoint dell'interfaccia
Questa opzione offre un'applicazione più efficace perché la restrizione all'origine del VPC non può essere aggirata modificando le politiche. Tuttavia, richiede il peering VPC o la connettività Transit Gateway e l'endpoint Interface prevede tariffe orarie e per GB. Per ulteriori informazioni sugli endpoint dell'interfaccia, consulta Amazon S3 nella Guida AWS PrivateLink per l'utente di Amazon Simple Storage Service.
Risoluzione dei problemi di accesso alla rete
Quando una richiesta del punto di accesso Amazon S3 fallisce, il messaggio di errore spesso non indica quale livello di autorizzazione ha negato la richiesta. Utilizza le seguenti linee guida per diagnosticare problemi comuni.
AccessDenied con «rifiuto esplicito in una politica basata sulle risorse»
Questo errore può provenire da più fonti. Esegui i seguenti controlli nell'ordine:
1. Verifica l'origine del VPC Deny (solo punti di VPC-origin accesso)
Se il punto di accesso ha un'origine di rete VPC, nega efficacemente le richieste che aws:SourceVpc non corrispondono al VPC associato. Verificare che:
Nel VPC associato esiste un endpoint VPC (gateway o interfaccia).
Il traffico del chiamante viene instradato attraverso quell'endpoint. Per i chiamanti in-VPC, verifica che la tabella di routing dell'endpoint Gateway sia associata alla sottorete del chiamante. Per i chiamanti locali, verifica che stiano utilizzando un endpoint Interface (gli endpoint Gateway non instradano il traffico VPN o Direct Connect).
Il chiamante si trova nel VPC associato, non in un VPC peer-to-peer. Le richieste provenienti da VPC peering vengono negate a meno che non vengano instradate attraverso un endpoint di interfaccia nel VPC associato.
2. Controlla la policy degli endpoint VPC
Se la richiesta attraversa un endpoint VPC, la policy dell'endpoint deve consentire l'azione sulla risorsa del punto di accesso. La policy predefinita per gli endpoint consente tutte le azioni su tutte le risorse. Se hai definito l'ambito della policy, verifica che includa l'ARN del punto di accesso.
3. Controlla la politica sui punti di accesso
Verifica che la politica del punto di accesso consenta il principale richiedente. Controlla le dichiarazioni Deny con condizioni che potrebbero corrispondere alla richiesta.
4. Controlla la politica di identità IAM del chiamante
Il ruolo o l'utente IAM del chiamante deve disporre delle autorizzazioni per eseguire l'azione Amazon S3 sull'ARN del punto di accesso.
5. Verifica le politiche di controllo del servizio (SCP)
Se l'account fa parte di un'organizzazione AWS Organizations, verifica che nessun SCP neghi le azioni di Amazon S3 sul punto di accesso.
On-premises i chiamanti ricevono AccessDenied ma i chiamanti in-VPC hanno successo
Ciò significa in genere che il traffico locale non viene instradato attraverso un endpoint VPC:
Gli endpoint del gateway non instradano il traffico locale. Il traffico che entra nel VPC dalle connessioni VPN, Direct Connect o Transit Gateway non è influenzato dai percorsi degli endpoint del gateway. Crea un endpoint dell'interfaccia Amazon S3 per i chiamanti locali.
Verifica che il gruppo di sicurezza dell'endpoint Interface consenta l'accesso a HTTPS (porta 443) in entrata dal CIDR locale.
Il DNS locale di Verify risolve gli endpoint Amazon S3 sull'IP privato dell'endpoint di interfaccia o utilizzato dai chiamanti.
--endpoint-url
Le condizioni relative alle policy relative ai punti di accesso sembrano non avere alcun effetto
Allow-only le politiche non limitano l'accesso. Se si utilizzano condizioni (ad esempio
aws:SourceVpc) solo in un'istruzione Allow senza un corrispondente valore Deny, la policy di identità IAM del chiamante può concedere l'accesso in modo indipendente. Aggiungi un'istruzione Deny esplicita con la condizione inversa.Sensibilità alle maiuscole. Il tasto di condizione
aws:VpcSourceIpfa distinzione tra maiuscole e minuscole.Chiavi di condizione che si escludono a vicenda.
aws:SourceIpe siaws:VpcSourceIpescludono a vicenda.aws:SourceIpnon è disponibile quando la richiesta attraversa un endpoint VPC: usala invece.aws:VpcSourceIpAl contrario, nonaws:VpcSourceIpè disponibile per le richieste Internet: utilizzo.aws:SourceIpQuesto vale per tutte le policy che utilizzano queste chiavi di condizione, incluse le policy dei punti di accesso, le policy degli endpoint VPC e le policy di identità IAM.
