ConsiderazioniDNS privatoCrea un endpoint gatewayControllo dell'accesso tramite le policy di bucketAssociazione delle tabelle di instradamentoModifica della policy di endpoint VPCEliminazione di un endpoint gateway

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Endpoint gateway per Amazon S3

Puoi accedere ad Amazon S3 dal tuo VPC utilizzando gli endpoint VPC del gateway. Dopo aver creato l'endpoint gateway, puoi aggiungerlo come destinazione nella tabella di instradamento per il traffico in transito dal VPC ad Amazon S3.

L'utilizzo di endpoint gateway non comporta costi supplementari.

Amazon S3 supporta sia gli endpoint gateway che gli endpoint di interfaccia. Con un endpoint gateway, puoi accedere ad Amazon S3 dal tuo VPC senza richiedere un gateway Internet o un dispositivo NAT per il tuo VPC e senza costi aggiuntivi. Tuttavia, gli endpoint gateway non consentono l'accesso da reti locali, da VPC peer in altre AWS regioni o tramite un gateway di transito. Per questi casi, è necessario utilizzare un endpoint di interfaccia, disponibile a un costo aggiuntivo. Per ulteriori informazioni, consulta Tipi di endpoint VPC per Amazon S3 nella Guida per l'utente di Amazon S3.

Considerazioni

  • Un endpoint gateway è disponibile solo nella regione in cui è stato creato. Assicurati di creare l'endpoint gateway nella stessa regione dei bucket S3.

  • Se utilizzi i server Amazon DNS, devi abilitare i nomi host DNS e la risoluzione DNS per il VPC. In alternativa, se utilizzi un server DNS, assicurati che le richieste destinate ad Amazon S3 vengano risolte correttamente negli indirizzi IP gestiti da AWS.

  • Le regole per i gruppi di sicurezza per le istanze che accedono ad Amazon S3 tramite l'endpoint gateway devono consentire il traffico da e verso Amazon S3. Puoi fare riferimento all'ID dell'elenco dei prefissi per Amazon S3 nelle regole del gruppo di sicurezza.

  • L'ACL di rete per la sottorete per le istanze che accedono ad Amazon S3 tramite l'endpoint gateway devono consentire il traffico da e verso Amazon S3. Non è possibile fare riferimento agli elenchi di prefissi nelle regole ACL di rete, ma è possibile ottenere gli intervalli di indirizzi IP per Amazon S3 dal relativo elenco di prefissi.

  • Verifica se stai utilizzando un bucket S3 Servizio AWS che richiede l'accesso a un bucket S3. Ad esempio, un servizio potrebbe richiedere l'accesso a bucket che contengono file di log o potrebbe richiedere il download di driver o agenti sulle istanze EC2. In tal caso, assicurati che la policy dell'endpoint consenta alla risorsa Servizio AWS o di accedere a questi bucket utilizzando l'azione. s3:GetObject

  • Non è possibile utilizzare la condizione aws:SourceIp in una policy di identità o in una policy di bucket per le richieste ad Amazon S3 che attraversano un endpoint VPC. Utilizza invece la condizione aws:VpcSourceIp. In alternativa, puoi utilizzare le tabelle di routing per controllare quali istanze EC2 possono accedere ad Amazon S3 tramite l'endpoint VPC.

  • Gli endpoint gateway supportano solo il traffico IPv4.

  • Gli indirizzi IPv4 di origine delle istanze nelle sottoreti interessate, come ricevuti da Amazon S3, passano da indirizzi IPv4 pubblici a indirizzi IPv4 privati nel VPC. Un endpoint cambia i percorsi di rete E disconnette le connessioni TCP aperte. Le connessioni precedenti che utilizzavano indirizzi IPv4 pubblici non vengono ripristinate. Ti consigliamo di non eseguire attività critiche quando crei o modifichi un endpoint; oppure di verificare che il software utilizzato sia in grado di riconnettersi automaticamente ad Amazon S3 dopo l'interruzione della connessione.

  • Le connessioni endpoint non possono essere Estese all'esterno di un VPC. Le risorse sull'altro lato di una connessione VPN, di una connessione peering VPC, di un gateway di transito o di una AWS Direct Connect connessione nel tuo VPC non possono utilizzare un endpoint gateway per comunicare con Amazon S3.

  • Il tuo account ha una quota predefinita, ma modificabile, di 20 endpoint gateway per regione. Esiste inoltre un limite di 255 endpoint gateway per VPC.

DNS privato

Puoi configurare un DNS privato per ottimizzare i costi quando crei sia un endpoint gateway che un endpoint di interfaccia per Amazon S3.

Route 53 Resolver

Amazon fornisce un server DNS chiamato il Route 53 Resolver per il tuo VPC. Il Route 53 Resolver risolve automaticamente i nomi di dominio VPC locali e i record in zone ospitate private. Tuttavia, non puoi utilizzare il Route 53 Resolver dall'esterno del tuo VPC. Route 53 fornisce gli endpoint e le regole del resolver in modo da poter utilizzare il Route 53 Resolver dall'esterno del VPC. Un endpoint del resolver in entrata inoltra le query DNS dalla rete on-premise al Route 53 Resolver. Un endpoint del resolver in uscita inoltra le query DNS dal Resolver Route 53 alla rete on-premise.

Quando configuri l'endpoint di interfaccia per Amazon S3 per utilizzare il DNS privato solo per l'endpoint del resolver in entrata, creiamo un endpoint del resolver in entrata. L'endpoint del resolver in entrata risolve le query DNS verso Amazon S3 dagli indirizzi IP on-premise a quelli privati dell'endpoint di interfaccia. Aggiungiamo anche i record ALIAS per il Resolver Route 53 alla zona ospitata pubblica per Amazon S3, in modo che le query DNS provenienti dal tuo VPC vengano risolte verso gli indirizzi IP pubblici di Amazon S3, che indirizzano il traffico verso l'endpoint del gateway.

DNS privato

Se configuri il DNS privato per l'endpoint di interfaccia per Amazon S3 ma non configuri il DNS privato solo per l'endpoint del resolver in entrata, le richieste provenienti sia dalla rete on-premise che dal VPC utilizzano l'endpoint di interfaccia per accedere ad Amazon S3. Pertanto, paghi per utilizzare l'endpoint dell'interfaccia per il traffico proveniente dal VPC, anziché utilizzare l'endpoint gateway senza costi aggiuntivi.

Routing delle richieste Amazon S3 con entrambi i tipi di endpoint.
DNS privato solo per l'endpoint del resolver in entrata

Se configuri il DNS privato solo per l'endpoint del resolver in entrata, le richieste provenienti dalla rete on-premise utilizzano l'endpoint di interfaccia per accedere ad Amazon S3 e le richiese provenienti dal tuo VPC utilizzano l'endpoint del gateway per accedere ad Amazon S3. Pertanto, ottimizzi i costi, perché paghi per utilizzare l'endpoint dell'interfaccia solo per il traffico che non può utilizzare l'endpoint del gateway.

Routing delle richieste Amazon S3 con DNS privato e un endpoint Resolver in ingresso.
Configura il DNS privato

Puoi configurare il DNS privato per un endpoint di interfaccia per Amazon S3 quando lo crei o dopo averlo creato. Per ulteriori informazioni, vedere Creare un endpoint VPC (configurazione durante la creazione) o Abilitazione dei nomi DNS privati (configurazione dopo la creazione).

Crea un endpoint gateway

Utilizza la procedura seguente per creare un endpoint gateway che si connette ad Amazon S3.

Per creare un endpoint gateway tramite la console

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel pannello di navigazione, seleziona Endpoints (Endpoint).

  3. Seleziona Crea endpoint.

  4. Per Service category (Categoria servizio), scegli Servizi AWS.

  5. Per i servizi, aggiungi il filtro Type = Gateway e seleziona com.amazonaws. regione 3.s3.

  6. In VPC, seleziona un VPC in cui creare l'endpoint.

  7. In Route tables (Tabelle di instradamento), seleziona le tabelle di instradamento che devono essere utilizzate dall'endpoint. Viene aggiunta automaticamente una route che indirizza il traffico destinato per il servizio all'interfaccia di rete dell'endpoint.

  8. Per Policy, seleziona Full access (Accesso completo) per consentire tutte le operazioni da parte di tutti i principali su tutte le risorse dell'endpoint VPC. In caso contrario, seleziona Custom (Personalizza) per allegare una policy dell'endpoint VPC in grado di verificare le autorizzazioni di cui dispongono i principali per eseguire operazioni sulle risorse dell'endpoint VPC.

  9. (Facoltativo) Per aggiungere un tag, scegliere Add new tag (Aggiungi nuovo tag) e immettere la chiave e il valore del tag.

  10. Seleziona Crea endpoint.

Per creare un endpoint gateway utilizzando la riga di comando

Controllo dell'accesso tramite le policy di bucket

Puoi utilizzare le policy dei bucket per controllare l'accesso ai bucket da endpoint, VPC, intervalli di indirizzi IP specifici e. Account AWS Questi esempi presuppongono che vi siano anche dichiarazioni di policy che consentono l'accesso richiesto per i casi d'uso.

Esempio: limitazione dell'accesso a uno specifico endpoint

Puoi creare una policy di bucket che limita l'accesso a un endpoint specifico utilizzando la chiave di condizione aws:sourceVpce. La policy seguente nega l'accesso al bucket specificato utilizzando le azioni specificate a meno che non si utilizzi l'endpoint gateway specificato. Tieni presente che questa policy blocca l'accesso al bucket specificato utilizzando le azioni specificate tramite AWS Management Console.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow-access-to-specific-VPCE",
      "Effect": "Deny",
      "Principal": "*",
      "Action": ["s3:PutObject", "s3:GetObject", "s3:DeleteObject"],
      "Resource": ["arn:aws:s3:::bucket_name",
                   "arn:aws:s3:::bucket_name/*"],
      "Condition": {
        "StringNotEquals": {
          "aws:sourceVpce": "vpce-1a2b3c4d"
        }
      }
    }
  ]
}
Esempio: limitazione dell'accesso a uno specifico VPC

Puoi creare una policy di bucket che limita l'accesso a VPC specifici utilizzando la chiave di condizione aws:sourceVpc. Questa operazione è utile se si dispone di più endpoint configurati nello stesso VPC. La policy seguente nega l'accesso al bucket specificato utilizzando le azioni specificate a meno che non si utilizzi il VPC specificato. Tieni presente che questa policy blocca l'accesso al bucket specificato utilizzando le azioni specificate tramite AWS Management Console.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow-access-to-specific-VPC",
      "Effect": "Deny",
      "Principal": "*",
      "Action": ["s3:PutObject", "s3:GetObject", "s3:DeleteObject"],
      "Resource": ["arn:aws:s3:::example_bucket",
                   "arn:aws:s3:::example_bucket/*"],
      "Condition": {
        "StringNotEquals": {
          "aws:sourceVpc": "vpc-111bbb22"
        }
      }
    }
  ]
}
Esempio: limitazione dell'accesso a un intervallo di indirizzi IP specifici

Puoi creare una policy che limiti l'accesso a intervalli di indirizzi IP specifici utilizzando la chiave di condizione aws: Ip. VpcSource La policy seguente nega l'accesso al bucket specificato utilizzando le azioni specificate a meno che non si utilizzi l'indirizzo IP specificato. Tieni presente che questa policy blocca l'accesso al bucket specificato utilizzando le azioni specificate tramite AWS Management Console.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow-access-to-specific-VPC-CIDR",
      "Effect": "Deny",
      "Principal": "*",
      "Action": ["s3:PutObject", "s3:GetObject", "s3:DeleteObject"],
      "Resource": ["arn:aws:s3:::bucket_name",
                   "arn:aws:s3:::bucket_name/*"],
      "Condition": {
        "NotIpAddress": {
          "aws:VpcSourceIp": "172.31.0.0/16"
        }
      }
    }
  ]
}
Esempio: limita l'accesso ai bucket in uno specifico Account AWS

Puoi creare una policy che limita l'accesso ai bucket S3 in un Account AWS specifico utilizzando la chiave di condizione s3:ResourceAccount. La policy seguente nega l'accesso ai bucket S3 utilizzando le azioni specificate a meno che non appartengano a Account AWS specificato.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow-access-to-bucket-in-specific-account",
      "Effect": "Deny",
      "Principal": "*",
      "Action": ["s3:GetObject", "s3:PutObject", "s3:DeleteObject"],
      "Resource": "arn:aws:s3:::*",
      "Condition": {
        "StringNotEquals": {
          "s3:ResourceAccount": "111122223333"
        }
      }
    }
  ]
}

Associazione delle tabelle di instradamento

Puoi modificare le tabelle di instradamento associate all'endpoint gateway. Quando associ una tabella di instradamento, viene aggiunta automaticamente una route che indirizza il traffico destinato per il servizio all'interfaccia di rete dell'endpoint. Quando dissoci una tabella di instradamento, la route dell'endpoint viene rimossa automaticamente.

Per associare le tabelle di instradamento utilizzando la console

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel pannello di navigazione, seleziona Endpoints (Endpoint).

  3. Seleziona l'endpoint gateway.

  4. Selezionare Actions (Operazioni), Manage route tables (Gestisci tabelle di routing).

  5. Seleziona o deseleziona le tabelle di instradamento in base alle esigenze.

  6. Scegli Modify route tables (Modifica le tabelle di routing).

Per associare le tabelle di instradamento utilizzando la riga di comando

Modifica della policy di endpoint VPC

Puoi modificare la policy di endpoint per un endpoint gateway, che controlla l'accesso ad Amazon S3 dal VPC, tramite l'endpoint. La policy predefinita consente l'accesso completo. Per ulteriori informazioni, consulta Policy di endpoint.

Per modificare la policy di endpoint usando la console

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel pannello di navigazione, seleziona Endpoints (Endpoint).

  3. Seleziona l'endpoint gateway.

  4. Scegli Actions (Operazioni), Manage policy (Gestisci policy).

  5. Scegli Full Access (Accesso completo) per consentire l'accesso completo al servizio oppure scegli Custom (Personalizzato) e specifica una policy personalizzata.

  6. Selezionare Salva.

Di seguito sono riportati esempi di policy dell'endpoint per accedere ad Amazon S3.

Esempio: limitazione dell'accesso a uno specifico bucket

Puoi creare una policy che limita l'accesso solo a specifici bucket S3. Ciò è utile se Servizi AWS nel tuo VPC ne hai altri che utilizzano bucket S3.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow-access-to-specific-bucket",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
         "s3:ListBucket",
         "s3:GetObject",
         "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucket_name",
        "arn:aws:s3:::bucket_name/*"
      ]
    }
  ]
}
Esempio: limitazione dell'accesso a un ruolo IAM specifico

Puoi creare una policy che limita l'accesso a un ruolo IAM specifico. Devi utilizzare aws:PrincipalArn per concedere l'accesso a un principale.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow-access-to-specific-IAM-role",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "ArnEquals": {
          "aws:PrincipalArn": "arn:aws:iam::111122223333:role/role_name"
        }
      }
    }
  ]
}
Esempio: limitazione dell'accesso agli utenti in un account specifico

Puoi creare una policy che limita l'accesso a un account specifico.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow-callers-from-specific-account",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalAccount": "111122223333"
        }
      }
    }
  ]
}

Eliminazione di un endpoint gateway

Quando un endpoint gateway non è più necessario, è possibile eliminarlo. L'eliminazione di un endpoint gateway comporta la rimozione della route dell'endpoint dalle tabelle di instradamento della sottorete.

Non è possibile eliminare un endpoint gateway se è abilitato il DNS privato.

Per eliminare un endpoint gateway usando la console

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel pannello di navigazione, seleziona Endpoints (Endpoint).

  3. Seleziona l'endpoint gateway.

  4. Seleziona Actions (Operazioni), Delete VPC endpoints (Eliminazione di endpoint VPC).

  5. Quando viene richiesta la conferma, immetti delete.

  6. Scegli Elimina.

Per eliminare un endpoint gateway usando la riga di comando