Criar pontos de acesso restritos a uma nuvem privada virtual - Amazon Simple Storage Service
Exemplo: criar e restringir um ponto de acesso a um ID de VPCExemplo: criar e restringir um ponto de acesso anexado a um volume do FSx para OpenZFS a um ID de VPC

Criar pontos de acesso restritos a uma nuvem privada virtual

Ao criar um ponto de acesso, você pode optar por tornar o ponto de acesso acessível pela internet ou pode especificar que todas as solicitações feitas por meio desse ponto de acesso devem ser originadas de uma nuvem privada virtual (VPC) específica. Considera-se que um ponto de acesso acessível da Internet tem uma origem de rede da Internet. Ele pode ser usado de qualquer lugar na internet e está sujeito a quaisquer outras restrições de acesso em vigor para o ponto de acesso, a fonte de dados subjacente e os recursos relacionados, como os objetos solicitados. Um ponto de acesso acessível apenas de uma VPC especificada tem uma origem de rede de VPC, e o Amazon S3 rejeita qualquer solicitação feita ao ponto de acesso que não tenha origem nessa VPC.

Importante

Você só pode especificar a origem da rede de um ponto de acesso ao criá-lo. Depois de criar o ponto de acesso, não é possível alterar a origem da rede.

Para restringir um ponto de acesso ao acesso somente VPC, inclua o parâmetro VpcConfiguration com a solicitação para criar o ponto de acesso. No parâmetro VpcConfiguration, você especifica o ID da VPC que deseja usar o ponto de acesso. Se uma solicitação for feita por meio do ponto de acesso, ela deverá ser originada da VPC. Do contrário, o Amazon S3 a rejeitará.

Você pode recuperar a origem da rede de um ponto de acesso usando a AWS CLI, os AWS SDKs ou as APIs REST. Se um ponto de acesso tiver uma configuração de VPC especificada, sua origem de rede será VPC. Caso contrário, a origem da rede do ponto de acesso será Internet.

Exemplo: criar e restringir um ponto de acesso a um ID de VPC

O exemplo a seguir cria um ponto de acesso chamado example-vpc-ap para o bucket amzn-s3-demo-bucket na conta 123456789012 que permite acesso somente da VPC vpc-1a2b3c. O exemplo verifica se o novo ponto de acesso tem uma origem de rede da VPC.

AWS CLI
aws s3control create-access-point --name example-vpc-ap --account-id 123456789012 --bucket amzn-s3-demo-bucket --vpc-configuration VpcId=vpc-1a2b3c
aws s3control get-access-point --name example-vpc-ap --account-id 123456789012

{
    "Name": "example-vpc-ap",
    "Bucket": "amzn-s3-demo-bucket",
    "NetworkOrigin": "VPC",
    "VpcConfiguration": {
        "VpcId": "vpc-1a2b3c"
    },
    "PublicAccessBlockConfiguration": {
        "BlockPublicAcls": true,
        "IgnorePublicAcls": true,
        "BlockPublicPolicy": true,
        "RestrictPublicBuckets": true
    },
    "CreationDate": "2019-11-27T00:00:00Z"
}

Para usar um ponto de acesso com uma VPC, é necessário modificar a política de acesso do endpoint da VPC especificado. Os VPC endpoints permitem que o tráfego flua da VPC para o Amazon S3. Os pontos de acesso têm políticas de controle de acesso que regulam como os recursos na VPC podem interagir com o Amazon S3. As solicitações da VPC ao Amazon S3 serão bem-sucedidas por meio de um ponto de acesso somente se a política do endpoint da VPC conceder acesso ao ponto de acesso e ao bucket subjacente.

nota

Para tornar os recursos acessíveis apenas em uma VPC, crie uma zona hospedada privada para o endpoint da VPC. Para usar uma zona hospedada privada, modifique suas configurações da VPC para que os atributos da rede de VPC enableDnsHostnames e enableDnsSupport sejam definidos como true.

O exemplo de instrução de política a seguir configura um VPC endpoint para permitir chamadas ao GetObject de um bucket denominado awsexamplebucket1 e um ponto de acesso chamado example-vpc-ap.

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::awsexamplebucket1/*",
            "arn:aws:s3:us-west-2:123456789012:accesspoint/example-vpc-ap/object/*"
        ]
    }]
}
nota

A declaração "Resource" neste exemplo usa um nome de recurso da Amazon (ARN) para especificar o ponto de acesso. Para obter mais informações sobre ARNs de ponto de acesso, consulte Fazer referência a pontos de acesso com ARNs, aliases de ponto de acesso ou URIs de estilo de hospedagem virtual.

Para obter mais informações sobre políticas do endpoint da VPC, consulte Políticas de endpoint para o Amazon S3 no Guia do usuário da VPC.

Para ver um tutorial sobre como criar pontos de acesso com endpoints da VPC, consulte Managing Amazon S3 access with VPC endpoints and access points.

Exemplo: criar e restringir um ponto de acesso anexado a um volume do FSx para OpenZFS a um ID de VPC

É possível criar um ponto de acesso que é anexado a um volume do FSx para OpenZFS usando o console do Amazon FSx, a AWS CLI ou a API. Depois de anexado, você pode usar as APIs de objeto do S3 para acessar seus dados de arquivo de uma VPC especificada.

Para ter instruções sobre como criar e restringir um ponto de acesso anexado a um volume do FSx para OpenZFS, consulte Creating access points restricted to a virtual private cloud (VPC) no Guia do usuário do FSx para OpenZFS.