For the most recent update on ongoing service disruptions affecting the AWS Middle East (UAE) Region (ME-CENTRAL-1), refer to the AWS Health Dashboard. For information on AWS Service migration, see How do I migrate my services to another region?
Come posso consentire solo a specifici endpoint VPC o indirizzi IP di accedere al mio bucket Amazon S3?
Desidero consentire il traffico proveniente solo da specifici endpoint o indirizzi IP di Amazon Virtual Private Cloud (Amazon VPC) verso il mio bucket Amazon Simple Storage Service (Amazon S3).
Risoluzione
Utilizza una policy di bucket per specificare gli endpoint VPC, gli indirizzi IP privati o gli indirizzi IP pubblici che possono accedere al bucket S3.
Attenzione: i seguenti esempi di policy di bucket negano esplicitamente l'accesso a determinate richieste al di fuori degli endpoint VPC o degli indirizzi IP consentiti. Valuta le policy del bucket per determinare se influiscono sulle richieste relative alla console.
Se la policy nega l'accesso a tutte le azioni S3, ti ritrovi escluso dal bucket. Prima di salvare la policy del bucket, esaminala. Se ti ritrovi escluso da un bucket, consulta Come posso riottenere l'accesso al mio bucket Amazon S3 dopo aver negato accidentalmente l'accesso a tutti?
Limita l'accesso a specifici endpoint VPC
Per consentire il traffico proveniente solo dagli endpoint VPC specificati, utilizza la chiave aws:SourceVpce nella policy del bucket. Il seguente esempio di policy di bucket nega le autorizzazioni di caricamento nel bucket a meno che la richiesta di caricamento non provenga dagli endpoint VPC vpce-1111111 o vpce-2222222:
{ "Id": "VPCe", "Version": "2012-10-17", "Statement": [ { "Sid": "VPCe", "Action": "s3:PutObject", "Effect": "Deny", "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET", "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*" ], "Condition": { "StringNotEquals": { "aws:SourceVpce": [ "vpce-1111111", "vpce-2222222" ] } }, "Principal": "*" } ] }
Nota: sostituisci DOC-EXAMPLE-BUCKET con il nome del tuo bucket.
Per utilizzare la policy precedente con la condizione aws:sourceVpce, crea un endpoint VPC gateway per Amazon S3. Collega l'endpoint gateway alla tabella di routing della sottorete dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). L'endpoint deve trovarsi nella stessa Regione AWS del bucket.
Limita l'accesso a specifici indirizzi IP privati
Per consentire il traffico proveniente solo dagli indirizzi IP privati specificati, utilizza la chiave aws:VpcSourceIp nella policy del bucket. Il seguente esempio di policy di bucket nega le autorizzazioni di caricamento nel bucket a meno che la richiesta di caricamento non provenga dagli indirizzi IP privati 10.1.1.1/32 o 172.1.1.1/32:
{ "Id": "VpcSourceIp", "Version": "2012-10-17", "Statement": [ { "Sid": "VpcSourceIp", "Action": "s3:PutObject", "Effect": "Deny", "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET", "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*" ], "Condition": { "NotIpAddress": { "aws:VpcSourceIp": [ "10.1.1.1/32", "172.1.1.1/32" ] } }, "Principal": "*" } ] }
Nota: sostituisci DOC-EXAMPLE-BUCKET con il nome del tuo bucket.
Per utilizzare la policy precedente con la condizione aws:VpcSourceIP, crea un endpoint VPC gateway per Amazon S3. Collega l'endpoint gateway alla tabella di routing della sottorete dell'istanza EC2. L'endpoint deve trovarsi nella stessa Regione del bucket.
Limita l'accesso a specifici indirizzi IP pubblici o a un intervallo di indirizzi IP
Per consentire il traffico proveniente solo dagli indirizzi IP pubblici o dall'intervallo di indirizzi IP specificati, utilizza la chiave aws:SourceIp nella policy del bucket. Il seguente esempio di policy di bucket nega le autorizzazioni di caricamento nel bucket a meno che la richiesta di caricamento non provenga dagli indirizzi IP pubblici 11.11.11.11/32 o 22.22.22.22/32:
{ "Id": "SourceIP", "Version": "2012-10-17", "Statement": [ { "Sid": "SourceIP", "Action": "s3:PutObject", "Effect": "Deny", "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET", "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*" ], "Condition": { "NotIpAddress": { "aws:SourceIp": [ "11.11.11.11/32", "22.22.22.22/32" ] } }, "Principal": "*" } ] }
Nota: sostituisci DOC-EXAMPLE-BUCKET con il nome del tuo bucket.
Il seguente esempio di policy di bucket nega le autorizzazioni di caricamento nel bucket a meno che la richiesta di caricamento non provenga dagli intervalli di indirizzi IP pubblici 192.168.0.0/24 o 172.16.0.0/24.
{ "Id": "SourceIP", "Version": "2012-10-17", "Statement": [ { "Sid": "SourceIP", "Action": "s3:PutObject", "Effect": "Deny", "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET", "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*" ], "Condition": { "NotIpAddress": { "aws:SourceIp": [ "192.168.0.0/24", "172.16.0.0/24" ] } }, "Principal": "*" } ] }
Nota: sostituisci DOC-EXAMPLE-BUCKET con il nome del tuo bucket.
Il seguente blocco Condition consente a entità AWS Identity and Access Management (AWS IAM) specifiche nello stesso account AWS di accedere al bucket con la chiave aws:PrincipalArn:
"Condition": { "ArnNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/role-name", "arn:aws:iam::123456789012:user/user-name", "arn:aws:iam::123456789012:root" ] } }
Nota: per consentire agli utenti di utilizzare endpoint VPC o indirizzi IP per eseguire azioni S3 sul bucket, concedi esplicitamente autorizzazioni a livello di utente. Puoi modificare una policy IAM o un'altra istruzione nella policy del bucket per concedere autorizzazioni a livello di utente.
Limita l'accesso per tutti i bucket S3
Per limitare l'accesso a tutti i bucket S3 dell'account, configura una policy di controllo dei servizi tramite AWS Organizations.
- Argomenti
- Storage
- Lingua
- Italiano
