¿Cómo puedo configurar mi Amazon VPC para que se conecte de forma privada a mi bucket de S3 sin utilizar la autenticación?
Quiero crear una conexión privada desde mi instancia de Amazon Virtual Private Cloud (Amazon VPC) a un bucket de Amazon Simple Storage Service (Amazon S3). Sin embargo, no quiero usar la autenticación, como las credenciales de AWS Identity and Access Management (IAM). ¿Cómo creo este tipo de conexión privada?
Breve descripción
Puede acceder a un bucket de S3 de forma privada sin autenticación cuando accede al bucket desde una instancia de Amazon Virtual Private Cloud (Amazon VPC). Sin embargo, asegúrese de que el punto de conexión de VPC utilizado apunte a Amazon S3.
Siga estos pasos para configurar el acceso de los puntos de conexión de VPC al bucket de S3:
1. Cree un punto de conexión de VPC para Amazon S3.
2. Añada una política de bucket que permita el acceso desde el punto de conexión de VPC.
Resolución
Antes de empezar, debe crear la VPC desde la que accederá al bucket.
Creación de un punto de conexión de la VPC para Amazon S3
1. Abra la consola de Amazon VPC.
2. Con el selector de regiones de la barra de navegación, defina la región de AWS en la misma región que su bucket de S3.
3. En el panel de navegación, seleccione Puntos de conexión.
4. Elija Crear punto de conexión.
5. En Categoría de servicio, compruebe que esté seleccionada la opción «Servicios de AWS».
6. En Nombre del servicio, seleccione el nombre del servicio «s3» y el tipo «Gateway». Por ejemplo, el nombre del servicio en la región Este de EE. UU. (Norte de Virginia) es com.amazonaws.us-east-1.s3.
7. En VPC, seleccione su VPC.
8. En Configurar las tablas de ruteo, seleccione las tablas de enrutamiento en función de las subredes asociadas desde las que desee acceder al punto de conexión.
9. En Política, compruebe que esté seleccionada la opción Acceso completo.
10. Elija Crear punto de conexión.
11. Anote el ID del punto de conexión de VPC. Necesitará este identificador de punto de conexión en un paso posterior.
Adición de una política de bucket que permita el acceso desde el punto de conexión de VPC
Actualice su política de bucket con una condición que permita a los usuarios acceder al bucket de S3 cuando la solicitud provenga del punto de conexión de VPC que ha creado.
Para permitir que esos usuarios descarguen objetos (s3:GetObject), utilice una política de bucket como esta:
{
"Version": "2012-10-17",
"Id": "Policy1415115909152",
"Statement": [
{
"Sid": "Access-to-specific-VPCE-only",
"Principal": "*",
"Action": "s3:GetObject",
"Effect": "Allow",
"Resource": ["arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"],
"Condition": {
"StringEquals": {
"aws:sourceVpce": "vpce-1a2b3c4d"
}
}
}
]
}
Para el valor de aws:sourceVpce, asegúrese de introducir el ID del punto de conexión de VPC del punto de conexión que creó anteriormente.
Importante: Esta política permite el acceso desde el punto de conexión de VPC, pero no deniega todos los accesos desde fuera del punto de conexión. Si se autentica un usuario desde la misma cuenta, esta política sigue permitiendo al usuario acceder al bucket desde fuera del punto de conexión de VPC. Si desea una política de bucket más restrictiva, utilice una política que deniegue explícitamente el acceso a cualquier solicitud que provenga de fuera del punto de conexión.
Información relacionada
Contenido relevante
- OFICIAL DE AWSActualizada hace un año
- OFICIAL DE AWSActualizada hace un año
- OFICIAL DE AWSActualizada hace 2 años
- OFICIAL DE AWSActualizada hace 7 meses