本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# (範例) 使用 VPC 存取限制對 Amazon S3 資料的資料存取權
<a name="vpc-s3"></a>

您可以使用 VPC 來限制對 Amazon S3 儲存貯體中資料的存取權。為了進一步提高安全性，您可以在未存取網際網路的狀況下設定 VPC，並使用 AWS PrivateLink為其建立端點。您也可以透過將資源型政策連接至 VPC 端點或 S3 儲存貯體，來限制存取。

**Topics**
+ [建立 Amazon S3 VPC 端點](#vpc-s3-create)
+ [(選用) 使用 IAM 政策來限制對 S3 檔案的存取](#vpc-policy-rbp)

## 建立 Amazon S3 VPC 端點
<a name="vpc-s3-create"></a>

如果您在沒有存取網際網路的情況下設定 VPC，則需要建立 [Amazon S3 VPC 端點](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html)，以允許模型自訂任務存取 S3 儲存貯體，其中會存放訓練和驗證資料並將存放模型成品。

遵循[為 Amazon S3 建立閘道端點](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#create-gateway-endpoint-s3)中的步驟，建立 S3 VPC 端點。

**注意**  
如果您未將預設的 DNS 設定用於 VPC，則必須透過設定端點路由表，來確保訓練任務中資料位置的 URL 可解析。如需 VPC 端點路由表的相關資訊，請參閱[閘道端點的路由](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing)。

## (選用) 使用 IAM 政策來限制對 S3 檔案的存取
<a name="vpc-policy-rbp"></a>

您可以使用[資源型政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)更緊密地控制對 S3 檔案的存取。您可以使用下列類型資源型政策的任意組合。
+ **端點政策** – 您可以將端點政策連接至 VPC 端點，以透過 VPC 端點限制存取權。預設端點政策可讓 VPC 中的任何使用者或服務完整存取 Amazon S3。在建立端點時或之後，您可以選擇將資源型政策連接至端點以新增限制，例如僅允許端點存取特定儲存貯體，或僅允許特定 IAM 角色存取端點。如需範例，請參閱[編輯 VPC 端點政策](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#edit-vpc-endpoint-policy-s3)。

  以下是您可以連接到 VPC 端點的範例政策，以僅允許其存取您指定的儲存貯體。

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Sid": "RestrictAccessToTrainingBucket",
              "Effect": "Allow",
              "Principal": "*",
              "Action": [
                  "s3:GetObject",
                  "s3:ListBucket"
              ],
              "Resource": [
                  "arn:aws:s3:::bucket",
                  "arn:aws:s3:::bucket/*"
              ]
          }
      ]
  }
  ```

------
+ **儲存貯體政策** – 您可以將儲存貯體政策連接至 S3 儲存貯體，以限制對其的存取權。若要建立儲存貯體政策，請遵循[使用儲存貯體政策](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)中的步驟。若要限制存取來自 VPC 的流量，您可以使用條件金鑰來指定 VPC 本身、VPC 端點或 VPC 的 IP 位址。您可以使用 [aws：sourceVpc](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpc)、[aws：sourceVpce](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpce) 或 [aws：VpcSourceIp](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpcsourceip) 條件金鑰。

  以下是您可以連接到 S3 儲存貯體的範例政策，以拒絕所有流到儲存貯體的流量，除非流量來自您的 VPC。

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Sid": "RestrictAccessToOutputBucket",
              "Effect": "Deny",
              "Principal": "*",
              "Action": [
                  "s3:GetObject",
                  "s3:PutObject",
                  "s3:ListBucket"
              ],
              "Resource": [
                  "arn:aws:s3:::bucket",
                  "arn:aws:s3:::bucket/*"
              ],
              "Condition": {
                  "StringNotEquals": {
                      "aws:sourceVpc": "vpc-11223344556677889"
                  }
              }
          }
      ]
  }
  ```

------

  如需更多範例，請參閱[使用儲存貯體政策控制存取](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#bucket-policies-s3)。