Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

Wie kann ich meine Amazon VPC so konfigurieren, dass sie sich privat mit meinem S3-Bucket verbindet, ohne eine Authentifizierung zu verwenden?

Lesedauer: 3 Minute
0

Ich möchte eine private Verbindung von meiner Amazon Virtual Private Cloud (Amazon VPC) zu einem Amazon Simple Storage Service (Amazon S3)-Bucket herstellen. Ich möchte jedoch keine Authentifizierung verwenden, z. B. Anmeldeinformationen für AWS Identity and Access Management (IAM). Wie erstelle ich diese Art von privater Verbindung?

Kurzbeschreibung

Sie können privat ohne Authentifizierung auf einen S3-Bucket zugreifen, wenn Sie von einer Amazon Virtual Private Cloud (Amazon VPC) aus auf den Bucket zugreifen. Stellen Sie jedoch sicher, dass der verwendete VPC-Endpunkt auf Amazon S3 verweist.

Gehen Sie wie folgt vor, um den VPC-Endpunktzugriff auf den S3-Bucket einzurichten:

1.Erstellen Sie einen VPC-Endpunkt für Amazon S3.

2.Fügen Sie eine Bucket-Richtlinie hinzu, die den Zugriff vom VPC-Endpunkt aus ermöglicht.

Behebung

Bevor Sie beginnen, müssen Sie eine VPC erstellen, von der aus Sie auf den Bucket zugreifen.

Erstellen Sie einen VPC-Endpunkt für Amazon S3

1.Öffnen Sie die Amazon VPC-Konsole.

2.Stellen Sie mithilfe der Regionsauswahl in der Navigationsleiste die AWS-Region auf dieselbe Region wie die Ihres S3-Buckets ein.

3.Wählen Sie im Navigationsbereich Endpoints.

4.Wählen Sie Create Endpoint.

5.Stellen Sie sicher, dass für die Service category „AWS services“ ausgewählt ist.

6.Wählen Sie als Service Name den Dienstnamen „s3" und den Typ „Gateway“. Der Dienstname in der Region USA Ost (Nord-Virginia) lautet beispielsweise com.amazonaws.us-east-1.s3.

7.Wählen Sie für VPC Ihre VPC.

8.Wählen Sie unter Configure route tables die Routing-Tabellen aus, die auf den zugehörigen Subnetzen basieren, von denen aus Sie auf den Endpunkt zugreifen möchten.

9.Vergewissern Sie sich, dass für Policy Full Access ausgewählt ist.

10.Wählen Sie Create endpoint.

11.Notieren Sie sich die VPC-Endpunkt-ID. Sie benötigen diese Endpunkt-ID für einen späteren Schritt.

Fügen Sie eine Bucket-Richtlinie hinzu, die den Zugriff vom VPC-Endpunkt aus ermöglicht

Aktualisieren Sie Ihre Bucket-Richtlinie mit einer Bedingung, die Benutzern den Zugriff auf den S3-Bucket ermöglicht, wenn die Anfrage von dem VPC-Endpunkt stammt, den Sie erstellt haben.

Um diesen Benutzern das Herunterladen von Objekten ( s3:GetObject) zu ermöglichen, verwenden Sie eine Bucket-Richtlinie wie diese:

{
   "Version": "2012-10-17",
   "Id": "Policy1415115909152",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPCE-only",
       "Principal": "*",
       "Action": "s3:GetObject",
       "Effect": "Allow",
       "Resource": ["arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"],
       "Condition": {
         "StringEquals": {
           "aws:sourceVpce": "vpce-1a2b3c4d"
         }
       }
     }
   ]
}

Stellen Sie sicher, dass Sie für den Wert von aws:sourceVpce die VPC-Endpunkt-ID des Endpunktes eingeben, den Sie zuvor erstellt haben.

**Wichtig:**Diese Richtlinie ermöglicht den Zugriff vom VPC-Endpunkt aus, verweigert jedoch nicht jeglichen Zugriff von außerhalb des Endpunktes. Wenn ein Benutzer mit demselben Konto authentifiziert wird, ermöglicht diese Richtlinie dem Benutzer dennoch, von außerhalb des VPC-Endpunkts auf den Bucket zuzugreifen. Verwenden Sie für eine restriktivere Bucket-Richtlinie eine Richtlinie, die ausdrücklich den Zugriff auf Anfragen von außerhalb des Endpunktes verweigert.

Verwandte Informationen

Gateway-Endpunkte für Amazon S3

Themen
Speicher
Tags
Amazon Simple Storage Service
Sprache
Deutsch

Ähnliche Videos

Sehen Sie sich Rumaisas Video an, um mehr zu erfahren (3:04)
Sehen Sie sich Rumaisas Video an, um mehr zu erfahren (3:04)
AWS OFFICIAL
AWS OFFICIALAktualisiert vor 2 Jahren

Relevanter Inhalt