Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!
Como faço para usar endpoints da VPC para acessar buckets Amazon S3 a partir de instâncias do EC2?
Eu quero usar endpoints da VPC para acessar de forma privada o meu bucket Amazon Simple Storage Service (Amazon S3) a partir de uma instância Amazon Elastic Compute Cloud (Amazon EC2).
Resolução
Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Solução de problemas da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.
Configure endpoints da VPC para acessar com segurança buckets S3 a partir de instâncias EC2
É possível usar tanto um endpoint de interface quanto um endpoint de gateway, sem um gateway da internet ou dispositivo NAT, para acessar o Amazon S3.
Para criar e configurar um endpoint de gateway S3, consulte Criar um endpoint de gateway.
Para criar um endpoint de interface S3, consulte Criar um endpoint da VPC. Se você usar um endpoint de interface para se conectar ao bucket do S3, deverá passar o parâmetro URL do endpoint nos ambientes AWS CLI ou AWS SDK. Se você se conectar através de HTTP(S), deverá usar o URL do endpoint de interface como o nome do host. Para mais informações, consulte Acessando buckets, pontos de acesso e operações da API do Amazon S3 Control a partir de endpoints de interface S3.
Exemplo de URL de endpoint de interface para um endpoint de bucket do S3:
your-resource-name.vpce-0e25b8cdd720f900e-argc85vg.s3.us-east-1.vpce.amazonaws.com
Observação: Substitua your-resource-name pelo nome do seu recurso.
Para confirmar a conexão com o bucket do S3, execute o comando ls da AWS CLI.
aws s3 ls s3://doc-example-bucket --endpoint-url https://bucket.vpce-0e25b8cdd720f900e-argc85vg.s3.us-east-1.vpce.amazonaws.com
Observação: Substitua doc-example-bucket pelo nome do seu bucket.
Restrinja o acesso público e use perfis do IAM para garantir o acesso ao bucket do S3
Se você não conectar seu bucket para originar do seu endpoint da VPC, receberá um erro de Access denied. Para forçar conexões privadas VPC ao seu bucket do S3, anexe a seguinte política de bucket do AWS Identity and Access Management (AWS IAM):
{ "Version": "2012-10-17", "Id": "DenyNonVPCeAccess", "Statement": [ { "Sid": "Access-to-specific-VPCE-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::doc-example-bucket", "arn:aws:s3:::doc-example-bucket/*"], "Condition": { "StringNotEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" } } } ] }
Observação: Substitua doc-example-bucket pelo nome do seu bucket.
Solucione problemas de conectividade entre instâncias EC2 e buckets S3 com endpoints da VPC
Se você enfrentar um erro de timeout de conexão do endpoint da VPC, use o VPC Reachability Analyzer para analisar o caminho da conexão. Para mais informações, consulte Getting started with Reachability Analyzer.
Certifique-se de passar o recurso de endpoint correto na URL ao usar o endpoint de interface VPC. Verifique se o grupo de segurança do endpoint da interface permite tráfego de entrada na porta 443.
Informações relacionadas
Controlar o acesso a partir de VPC endpoints com políticas de bucket
Conteúdo relevante
- feita há um mês
- feita há um mês
- feita há um mês
- feita há 2 meses