本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建立受限於 Virtual Private Cloud 的存取點
建立存取點時,您可以選擇從網際網路存取存取點,也可以指定透過該存取點提出的所有請求都必須來自特定的 Amazon Virtual Private Cloud。可從網際網路存取的存取點表示具有 Internet 的網路來源。它可以在網際網路的任何位置使用,但需遵守存取點、基礎儲存貯體或 Amazon FSx 磁碟區以及請求的物件等相關資源的任何其他存取限制。只能從指定的 Amazon VPC 存取的存取點具有 的網路原始伺服器VPC,Amazon S3 會拒絕對非源自該 Amazon VPC 的存取點提出的任何請求。
重要
您只能在建立存取點時指定存取點的網路來源。建立存取點之後,您便無法變更其網路來源。
若要將存取點限制為僅限 Amazon VPC 的存取,請在建立存取點的請求中包含 VpcConfiguration 參數。在 VpcConfiguration 參數中,您可以指定要使用存取點的 Amazon VPC ID。如果透過存取點提出請求,則請求必須源自 Amazon VPC,否則 Amazon S3 會拒絕該請求。
您可以使用、 AWS CLI AWS SDKs 或 REST APIs 擷取存取點的網路原始伺服器。如果存取點已指定 Amazon VPC 組態,其網路原始伺服器為 VPC。否則,存取點的網路來源為 Internet。
範例:建立僅限 Amazon VPC 存取的存取點
下列範例會為 帳戶中example-vpc-ap的儲存貯amzn-s3-demo-bucket體建立名為 的存取點123456789012,僅允許從 Amazon VPC vpc-1a2b3c 存取。然後,此範例會驗證新的存取點是否具有 VPC 的網路來源。
若要搭配 Amazon VPC 使用存取點,您必須修改 Amazon VPC 端點的存取政策。Amazon VPC 端點允許流量從您的 Amazon VPC 流向 Amazon S3。它們具有存取控制政策,可控制如何允許 Amazon VPC 中的資源與 Amazon S3 互動。如果 Amazon VPC 端點政策同時授予存取點和基礎儲存貯體的存取權,則從 Amazon VPC 到 Amazon S3 的請求只會透過存取點成功。
注意
若要讓 資源只能在 Amazon VPC 內存取,請務必為您的 Amazon VPC 端點建立私有託管區域。若要使用私有託管區域,請修改 Amazon VPC 設定,讓 Amazon VPC 網路屬性 enableDnsHostnames和 enableDnsSupport 設定為 true。
下列範例政策陳述式會設定 Amazon VPC 端點,以允許呼叫 GetObject和名為 的存取點example-vpc-ap。
注意
此範例中的 Resource 宣告使用 Amazon Resource Name (ARN) 來指定存取點。
如需 Amazon VPC 端點政策的詳細資訊,請參閱《Amazon VPC 使用者指南》中的 Amazon S3 閘道端點。
