Como posso configurar meu Amazon VPC para conectar-me de forma privada ao meu bucket do S3 sem usar autenticação?

3 minuto de leitura

Quero criar uma conexão privada da minha Amazon Virtual Private Cloud (Amazon VPC) com um bucket do Amazon Simple Storage Service (Amazon S3). No entanto, não quero usar autenticação, como as credenciais do AWS Identity and Access Management (IAM). Como faço para criar esse tipo de conexão privada?

Breve descrição

Você pode acessar um bucket do S3 de forma privada sem autenticação ao acessar o bucket de uma Amazon Virtual Private Cloud (Amazon VPC). No entanto, certifique-se de que o endpoint da VPC usado aponte para o Amazon S3.

Siga estas etapas para configurar o acesso do endpoint da VPC ao bucket do S3:

1. Crie um endpoint da VPC para o Amazon S3.

2. Adicione uma política de bucket que permita o acesso a partir do endpoint da VPC.

Resolução

Antes de começar, você deve criar uma VPC a partir da qual acessará o bucket.

Crie um endpoint da VPC para o Amazon S3

1. Abra o console da Amazon VPC.

2. Usando o seletor de Região na barra de navegação, defina a região da AWS como a mesma região do seu bucket do S3.

3. No painel de navegação, escolha Endpoints.

4. Escolha Criar endpoint.

5. Na categoria Serviço, verifique se a opção “Serviços da AWS” está selecionada.

6. Em Nome do serviço, selecione o nome do serviço “s3” e o tipo “Gateway”. Por exemplo, o nome do serviço na região Leste dos EUA (Norte da Virgínia) é com.amazonaws.us-east-1.s3.

7. Em VPC, selecione sua VPC.

8. Em Configurar tabelas de rotas, selecione as tabelas de rotas com base nas sub-redes associadas a partir das quais você deseja acessar o endpoint.

9. Em Política, verifique se a opção Acesso total está selecionada.

10. Escolha Criar endpoint.

11. Observe o ID do endpoint da VPC. Você precisará desse ID de endpoint para uma etapa posterior.

Adicione uma política de bucket que permita o acesso a partir do endpoint da VPC

Atualize sua política de bucket com uma condição que permite que os usuários acessem o bucket do S3 quando a solicitação for do endpoint da VPC que você criou.

Para permitir que esses usuários baixem objetos (s3:GetObject), use uma política de bucket como esta:

{
   "Version": "2012-10-17",
   "Id": "Policy1415115909152",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPCE-only",
       "Principal": "*",
       "Action": "s3:GetObject",
       "Effect": "Allow",
       "Resource": ["arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"],
       "Condition": {
         "StringEquals": {
           "aws:sourceVpce": "vpce-1a2b3c4d"
         }
       }
     }
   ]
}

No valor de aws:sourceVpce, insira o ID do endpoint da VPC do endpoint que você criou anteriormente.

Importante: essa política permite o acesso a partir do endpoint da VPC, mas não nega todo o acesso de fora do endpoint. Se um usuário da mesma conta for autenticado, essa política ainda permitirá que o usuário acesse o bucket de fora do endpoint da VPC. Para uma política de bucket mais restritiva, use uma política que negue explicitamente o acesso a qualquer solicitação de fora do endpoint.

Informações relacionadas

Endpoints de gateway do Amazon S3

Tópicos

Armazenamento

Vídeos relacionados

Assista ao vídeo de Rumaisa para saber mais (3:04)

AWS OFICIALAtualizada há 2 anos

Conteúdo relevante

Posso enviar logs de acesso ao servidor sobre um bucket do Amazon S3 para o mesmo bucket?
AWS OFICIALAtualizada há 6 meses
Como posso proteger os arquivos no meu bucket do Amazon S3?
AWS OFICIALAtualizada há 2 anos
Por que não consigo acessar meu bucket do S3 ao usar o navegador de arquivos Hue do S3 no Amazon EMR?
AWS OFICIALAtualizada há 2 anos
Como limito o acesso ao meu bucket do Amazon S3 a um certo endpoint da VPC ou a um endereço IP em específico?
AWS OFICIALAtualizada há 2 anos