防止私有 VPC 中的数据泄露 - 研究与工程工作室

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

防止私有 VPC 中的数据泄露

为防止用户将数据从安全 S3 存储桶泄露到自己账户中的 S3 存储桶中,您可以附加 VPC 终端节点来保护您的私有 VPC。以下步骤说明如何为 S3 服务创建 VPC 终端节点,该终端节点支持访问您的账户中的 S3 存储桶以及任何其他拥有跨账户存储桶的账户。

  1. 打开亚马逊 VPC 控制台:

    1. 登录 AWS 管理控制台。

    2. 打开 Amazon VPC 控制台,网址为 https://console.aws.amazon.com/vpc/

  2. 为 S3 创建 VPC 终端节点:

    1. 在左侧导航窗格中,选择终端节点

    2. 选择 Create Endpoint(创建端点)。

    3. 对于服务类别,请确保选中 AWS 服务

    4. 在 “服务名称” 字段中,输入com.amazonaws.<region>.s3<region>用您 AWS 所在的地区替换)或搜索 “S3”。

    5. 从列表中选择 S3 服务。

  3. 配置端点设置:

    1. 对于 VPC,请选择要在其中创建终端节点的 VPC。

    2. 对于子网,请选择部署期间用于 VDI 子网的两个私有子网。

    3. 对于 “启用 DNS 名称”,请确保选中该选项。这允许将私有 DNS 主机名解析到端点网络接口。

  4. 将策略配置为限制访问:

    1. 在 “策略” 下,选择 “自定义”。

    2. 在策略编辑器中,输入限制访问您的账户或特定账户内资源的策略。以下是策略示例(mybucket替换为您的 S3 存储桶444455556666名称111122223333和您想要访问 IDs 的相应 AWS 账户):

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::mybucket",
                "arn:aws:s3:::mybucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalAccount": [
                        "111122223333",   // Your Account ID
                        "444455556666"    // Another Account ID
                    ]
                }
            }
        }
    ]
}

  5. 创建终端节点:

    1. 检视您的设置。

    2. 选择创建端点

  6. 验证端点:

    1. 创建终端节点后,在 VPC 控制台中导航至 “终端节点” 部分。

    2. 选择新创建的端点。

    3. 验证 “状态” 是否为 “可用”。

按照这些步骤操作,您可以创建一个允许 S3 访问的 VPC 终端节点,但仅限于您的账户或指定账户 ID 中的资源。