本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
(範例) 使用 VPC 存取限制對 Amazon S3 資料的資料存取權
您可以使用 VPC 來限制對 Amazon S3 儲存貯體中資料的存取權。為了進一步提高安全性,您可以在未存取網際網路的狀況下設定 VPC,並使用 AWS PrivateLink為其建立端點。您也可以透過將資源型政策連接至 VPC 端點或 S3 儲存貯體,來限制存取。
建立 Amazon S3 VPC 端點
如果您在沒有存取網際網路的情況下設定 VPC,則需要建立 Amazon S3 VPC 端點,以允許模型自訂任務存取 S3 儲存貯體,其中會存放訓練和驗證資料並將存放模型成品。
遵循為 Amazon S3 建立閘道端點中的步驟,建立 S3 VPC 端點。
注意
如果您未將預設的 DNS 設定用於 VPC,則必須透過設定端點路由表,來確保訓練任務中資料位置的 URL 可解析。如需 VPC 端點路由表的相關資訊,請參閱閘道端點的路由。
(選用) 使用 IAM 政策來限制對 S3 檔案的存取
您可以使用資源型政策更緊密地控制對 S3 檔案的存取。您可以使用下列類型資源型政策的任意組合。
-
端點政策 – 您可以將端點政策連接至 VPC 端點,以透過 VPC 端點限制存取權。預設端點政策可讓 VPC 中的任何使用者或服務完整存取 Amazon S3。在建立端點時或之後,您可以選擇將資源型政策連接至端點以新增限制,例如僅允許端點存取特定儲存貯體,或僅允許特定 IAM 角色存取端點。如需範例,請參閱編輯 VPC 端點政策。
以下是您可以連接到 VPC 端點的範例政策,以僅允許其存取您指定的儲存貯體。
-
儲存貯體政策 – 您可以將儲存貯體政策連接至 S3 儲存貯體,以限制對其的存取權。若要建立儲存貯體政策,請遵循使用儲存貯體政策中的步驟。若要限制存取來自 VPC 的流量,您可以使用條件金鑰來指定 VPC 本身、VPC 端點或 VPC 的 IP 位址。您可以使用 aws:sourceVpc、aws:sourceVpce 或 aws:VpcSourceIp 條件金鑰。
以下是您可以連接到 S3 儲存貯體的範例政策,以拒絕所有流到儲存貯體的流量,除非流量來自您的 VPC。
如需更多範例,請參閱使用儲存貯體政策控制存取。
