Come faccio a configurare il mio Amazon VPC affinché si connetta privatamente al mio bucket S3 senza utilizzare forme di autenticazione?

3 minuti di lettura

Vorrei creare una connessione privata tra il mio Amazon Virtual Private Cloud (Amazon VPC) e un bucket Amazon Simple Storage Service (Amazon S3). Tuttavia, preferirei non utilizzare forme di autenticazione come le credenziali di AWS Identity and Access Management (IAM). Come posso fare?

Breve descrizione

Amazon Virtual Private Cloud (Amazon VPC) consente di accedere privatamente e senza autenticazioni a un bucket S3. Tuttavia, assicurati che l'endpoint VPC utilizzato punti ad Amazon S3.

Per configurare l'accesso dell'endpoint VPC al bucket S3, segui questi passaggi:

1. Crea un endpoint VPC per Amazon S3.

2. Aggiungi una policy del bucket che consenta l'accesso dall'endpoint VPC.

Risoluzione

Prima di iniziare, è necessario creare un VPC dal quale accedere al bucket.

Come creare un endpoint VPC per Amazon S3

1. Apri la console Amazon VPC.

2. Nella barra di navigazione, scegli la stessa regione AWS associata al bucket S3.

3. Dal pannello di navigazione, seleziona Endpoint.

4. Scegli Crea Endpoint.

5. Per Categoria di servizio, verifica che sia selezionato "Servizi AWS".

6. Per Nome del servizio, scegli il nome del servizio "s3" e il tipo di "Gateway". Ad esempio, per la regione Stati Uniti orientali (Virginia settentrionale) il nome del servizio sarebbe com.amazonaws.us-east-1.s3.

7. Per VPC, seleziona il proprio VPC.

8. Per Configura le tabelle di routing, seleziona le tabelle in base alle sottoreti associate da cui si auspica l'accesso all'endpoint.

9. In corrispondenza di Policy, verifica che sia selezionato Accesso completo.

10. Scegli Crea endpoint.

11. Annota l'ID dell'endpoint VPC. Questo dato servirà in un passaggio successivo.

Aggiungi una policy di bucket che consenta l'accesso dall'endpoint VPC

Aggiungi alla policy di bucket una condizione che consenta agli utenti di accedere al bucket S3 quando la richiesta proviene dall'endpoint VPC creato.

Per consentire a questi utenti di scaricare oggetti (s3:getObject), utilizza una policy di bucket come questa:

{
   "Version": "2012-10-17",
   "Id": "Policy1415115909152",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPCE-only",
       "Principal": "*",
       "Action": "s3:GetObject",
       "Effect": "Allow",
       "Resource": ["arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"],
       "Condition": {
         "StringEquals": {
           "aws:sourceVpce": "vpce-1a2b3c4d"
         }
       }
     }
   ]
}

Per il valore di aws:sourceVpce, inserisci l'ID dell'endpoint VPC creato in precedenza.

**Importante:**questa policy consente l'accesso dall'endpoint VPC, ma non blocca quelli che non provengono dall'endpoint. Un utente associato allo stesso account che abbia effettuato l'autenticazione potrà quindi accedere al bucket dal di fuori dell'endpoint. Per garantire condizioni più restrittive è necessario utilizzare una policy che neghi esplicitamente l'accesso a qualsiasi richiesta che non provenga dall'endpoint.

Informazioni correlate

Endpoint gateway per Amazon S3

Argomenti

Archiviazione

Tag

Amazon Simple Storage Service

Lingua

Italiano

Video correlati

Guarda il video di Rumaisa per saperne di più (3:04)

AWS UFFICIALEAggiornata 2 anni fa

Contenuto pertinente

Come posso connettermi al mio Amazon VPC?
AWS UFFICIALEAggiornata 10 mesi fa
Come posso risolvere i problemi di connettività quando uso gli endpoint di interfaccia VPC per connettermi al mio bucket Amazon S3?
AWS UFFICIALEAggiornata 7 mesi fa
Come posso risolvere i problemi di connettività quando utilizzo il gateway NAT sul mio Amazon VPC privato?
AWS UFFICIALEAggiornata 6 mesi fa
Come posso limitare l'accesso al mio bucket Amazon S3 utilizzando endpoint VPC o indirizzi IP specifici?
AWS UFFICIALEAggiornata 2 anni fa