

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Prevenzione dell'esfiltrazione dei dati in un VPC privato
<a name="S3-buckets-preventing-exfiltration"></a>

Per impedire agli utenti di esfiltrare i dati dai bucket S3 sicuri nei propri bucket S3 del proprio account, puoi collegare un endpoint VPC per proteggere il tuo VPC privato. I passaggi seguenti mostrano come creare un endpoint VPC per il servizio S3 che supporti l'accesso ai bucket S3 all'interno del tuo account, nonché a qualsiasi account aggiuntivo con bucket tra account. 

1. Apri la console Amazon VPC:

   1. Accedi alla console di AWS gestione. 

   1. Apri la console Amazon VPC all'indirizzo. [https://console.aws.amazon.com/vpcconsole/](https://console.aws.amazon.com/vpcconsole)

1. Crea un endpoint VPC per S3:

   1. Nel riquadro di navigazione a sinistra, scegli **Endpoints** (Endpoint).

   1. Scegliere **Create Endpoint** (Crea endpoint).

   1. In **Categoria servizio**, assicurati che **Servizi AWS ** sia selezionato. 

   1. Nel campo **Service Name**, inserisci `com.amazonaws.{{<region>}}.s3` (sostituisci `{{<region>}}` con la tua AWS regione) o cerca «S3".

   1. Seleziona il servizio S3 dall'elenco.

1. Configura le impostazioni degli endpoint: 

   1. Per **VPC**, seleziona il VPC in cui desideri creare l'endpoint.

   1. Per le **sottoreti**, seleziona entrambe le sottoreti private utilizzate per le sottoreti VDI durante la distribuzione.

   1. Per **Abilita nome DNS**, assicurati che l'opzione sia selezionata. Ciò consente di risolvere il nome host DNS privato nelle interfacce di rete degli endpoint.

1. Configura la politica per limitare l'accesso: 

   1. In **Policy**, scegli **Personalizzato**.

   1. Nell'editor delle politiche, inserisci una politica che limiti l'accesso alle risorse all'interno del tuo account o di un account specifico. Ecco un esempio di politica (sostituiscila {{amzn-s3-demo-bucket}} con il nome del tuo bucket S3 {{111122223333}} e {{444455556666}} con gli ID dell' AWS account appropriati a cui desideri avere accesso): 
**Nota**  
Questa policy di esempio utilizza `s3:*` e non limita le operazioni del piano di controllo S3, come la configurazione della notifica degli eventi, la replica o l'inventario. Queste operazioni potrebbero consentire l'invio di metadati degli oggetti (come i nomi dei bucket e le chiavi degli oggetti) a destinazioni tra più account. Se questo è un problema, aggiungi dichiarazioni Deny esplicite per le azioni pertinenti del piano di controllo S3 nella policy degli endpoint VPC.

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Effect": "Allow",
                  "Principal": "*",
                  "Action": "s3:*",
                  "Resource": [
                      "arn:aws:s3:::{{amzn-s3-demo-bucket}}",
                      "arn:aws:s3:::{{amzn-s3-demo-bucket}}/*"
                  ],
                  "Condition": {
                      "StringEquals": {
                          "aws:PrincipalAccount": [
                              "{{111122223333}}",
                              "{{444455556666}}"
                          ]
                      }
                  }
              }
          ]
      }
      ```

------

1. Crea l'endpoint:

   1. Verificare le impostazioni.

   1. Seleziona **Crea endpoint**.

1. Verifica l'endpoint:

   1. Una volta creato l'endpoint, vai alla sezione **Endpoints** nella console VPC.

   1. Seleziona l'endpoint appena creato.

   1. Verifica che lo **stato** sia **disponibile.**

Seguendo questi passaggi, crei un endpoint VPC che consente l'accesso a S3 limitato alle risorse all'interno del tuo account o a un ID account specificato.