Comment configurer mon Amazon VPC pour me connecter en privé à partir d'un compartiment S3 sans utiliser l'authentification ?
Je souhaite créer une connexion privée à partir de mon Amazon Virtual Private Cloud (Amazon VPC) vers un compartiment Amazon Simple Storage Service (Amazon S3). Cependant, je ne souhaite pas utiliser l'authentification, comme les informations d'identification AWS Identity and Access Management (IAM). Comment créer ce type de connexion privée ?
Brève description
Vous pouvez accéder de façon privée à un compartiment S3 sans authentification lorsque vous y accédez à partir d'un Amazon Virtual Private Cloud (Amazon VPC). Cependant, assurez-vous que le point de terminaison d'un VPC utilisé pointe vers Amazon S3.
Procédez comme suit pour configurer l'accès au point de terminaison d'un VPC au compartiment S3 :
1. Créez un point de terminaison d'un VPC pour Amazon S3.
2. Ajoutez une stratégie de compartiment qui autorise l'accès depuis le point de terminaison d'un VPC.
Résolution
Avant de commencer, vous devez créer un VPC à partir duquel vous allez accéder au compartiment.
Créer un point de terminaison d'un VPC pour Amazon S3
1. Ouvrez la console Amazon VPC.
2. À l'aide du sélecteur de région dans la barre de navigation, définissez la région AWS sur la même région que votre compartiment S3.
3. Dans le volet de navigation, sélectionnez Points de terminaison.
4. Choisissez Créer un point de terminaison.
5. Pour Catégorie de services, assurez-vous que « services AWS » est sélectionné.
6. Pour Nom du service, sélectionnez le nom de service « s3 » et le type « Passerelle ». Par exemple, le nom du service dans la région USA Est (Virginie du Nord) est com.amazonaws.us-east-1.s3.
7. Pour VPC, sélectionnez votre VPC.
8. Pour Configurer les tables de routage, sélectionnez les tables de routage basées sur les sous-réseaux associés auxquels vous souhaitez accorder l'accès à partir du point de terminaison.
9. Pour Stratégie, assurez-vous de sélectionner Accès complet.
10. Choisissez Créer un point de terminaison.
11. Notez l'ID du point de terminaison d'un VPC. Vous aurez besoin de cet ID de point de terminaison pour une étape ultérieure.
Ajouter une stratégie de compartiment qui autorise l'accès depuis le point de terminaison d'un VPC
Mettez à jour votre stratégie de compartiment en ajoutant une condition qui permet aux utilisateurs d'accéder au compartiment S3 lorsque la demande provient du point de terminaison d'un VPC que vous avez créé.
Pour permettre à ces utilisateurs de télécharger des objets ( s3:GetObject), vous pouvez utiliser une stratégie de compartiment comme celle-ci :
{
"Version": "2012-10-17",
"Id": "Policy1415115909152",
"Statement": [
{
"Sid": "Access-to-specific-VPCE-only",
"Principal": "*",
"Action": "s3:GetObject",
"Effect": "Allow",
"Resource": ["arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"],
"Condition": {
"StringEquals": {
"aws:sourceVpce": "vpce-1a2b3c4d"
}
}
}
]
}
Pour la valeur d'aws:sourceVpce, assurez-vous de saisir l'ID de point de terminaison d'un VPC du point de terminaison que vous avez précédemment créé.
Important : cette stratégie autorise l'accès depuis le point de terminaison d'un VPC, mais elle n'empêche pas l'accès depuis l'extérieur du point de terminaison. Si un utilisateur du même compte est authentifié, cette politique lui permet toujours d'accéder au compartiment depuis l'extérieur du point de terminaison d'un VPC. Si vous avez besoin d'une politique de compartiment plus restrictive, utilisez-en une qui refuse explicitement l'accès à toutes les demandes provenant de l'extérieur du point de terminaison.
Informations connexes
Gateway endpoints for Amazon S3 (Points de terminaison pour Amazon S3)
Contenus pertinents
- demandé il y a un an
- demandé il y a 10 mois
- demandé il y a 3 mois
- demandé il y a 9 mois
- AWS OFFICIELA mis à jour il y a 10 mois
- AWS OFFICIELA mis à jour il y a un an
- AWS OFFICIELA mis à jour il y a 2 ans