防止私有 VPC 中的資料外洩 - 研究與工程 Studio

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

防止私有 VPC 中的資料外洩

若要防止使用者將資料從安全的 S3 儲存貯體滲透到其帳戶中自己的 S3 儲存貯體,您可以連接 VPC 端點來保護您的私有 VPC。下列步驟說明如何為 S3 服務建立 VPC 端點,以支援存取您帳戶中的 S3 儲存貯體,以及具有跨帳戶儲存貯體的任何其他帳戶。

  1. 開啟 Amazon VPC 主控台:

    1. 登入 AWS 管理主控台。

    2. 開啟位於 https://https://console.aws.amazon.com/vpc/ 的 Amazon VPC 主控台。

  2. 建立 S3 的 VPC 端點:

    1. 在左側導覽窗格中選擇 Endpoints (端點)。

    2. 選擇建立端點

    3. 請確定在 Service category (服務類別) 欄位,您已選擇 AWS services (AWS 服務)。

    4. 服務名稱欄位中,輸入 com.amazonaws.<region>.s3(<region>取代您的 AWS 區域) 或搜尋 "S3"。

    5. 從清單中選擇 S3 服務。

  3. 設定端點設定:

    1. 針對 VPC,選取您要建立端點的 VPC。

    2. 針對子網路,選取部署期間用於 VDI 子網路的兩個私有子網路。

    3. 針對啟用 DNS 名稱,請確定已勾選 選項。這可讓私有 DNS 主機名稱解析為端點網路介面。

  4. 設定政策以限制存取:

    1. 政策下,選擇自訂

    2. 在政策編輯器中,輸入限制存取您帳戶或特定帳戶內資源的政策。以下是範例政策 (將 mybucket 取代為您的 S3 儲存貯體名稱,並將 111122223333444455556666 取代為您想要存取的適當 AWS 帳戶 IDs):

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::mybucket",
                "arn:aws:s3:::mybucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalAccount": [
                        "111122223333",   // Your Account ID
                        "444455556666"    // Another Account ID
                    ]
                }
            }
        }
    ]
}

  5. 建立端點:

    1. 檢閱您的設定。

    2. 選擇建立端點

  6. 驗證端點:

    1. 建立端點後,導覽至 VPC 主控台中的端點區段。

    2. 選取新建立的端點。

    3. 驗證狀態是否可用

遵循以下步驟,您可以建立 VPC 端點,允許 S3 存取僅限於您帳戶或指定帳戶 ID 內的資源。