Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Konfiguration des Netzwerkzugriffs für Amazon S3 S3-Zugriffspunkte
Wenn Sie einen Amazon S3 S3-Zugriffspunkt für ein FSx for ONTAP-Volume erstellen, konfigurieren Sie, wie der Access Point über das Netzwerk erreicht werden kann und wer berechtigt ist, ihn zu verwenden. Dieser Abschnitt hilft Ihnen bei der Auswahl der richtigen Netzwerk- und Zugriffskontrollkonfiguration für Ihre Umgebung.
Dieser Abschnitt behandelt die Netzwerk- und IAM-Autorisierungsebenen, insbesondere den Netzwerkursprung des Access Points, VPC-Endpunkte, Zugriffspunktrichtlinien, VPC-Endpunktrichtlinien, IAM-Identitätsrichtlinien und Dienststeuerungsrichtlinien. Informationen zur Autorisierung auf Dateisystemebene (UNIX- und Windows-Benutzerberechtigungen) finden Sie unter. Benutzeridentität und Autorisierung des Dateisystems
Themen
Wie Amazon S3 Access Point-Anfragen auswertet
Wenn eine Anfrage über einen Amazon S3 S3-Zugangspunkt gestellt wird, der an ein FSx for ONTAP-Volume angeschlossen ist, muss die Anfrage von allen folgenden Ebenen autorisiert werden:
Überprüfung des Netzwerkursprungs — Wenn der Access Point einen VPC-Netzwerkursprung hat, muss die Anfrage über einen VPC-Endpunkt in der gebundenen VPC ankommen. Wenn nicht, wird die Anfrage abgelehnt, bevor die Richtlinie bewertet wird.
VPC-Endpunktrichtlinie — Wenn die Anfrage einen VPC-Endpunkt durchläuft, muss die Richtlinie des Endpunkts die Aktion auf der Access Point-Ressource zulassen.
Zugriffspunktrichtlinie — Die IAM-Ressourcenrichtlinie des Access Points wird bewertet. Für den Zugriff auf dasselbe Konto kann entweder die Zugriffspunktrichtlinie oder die Identitätsrichtlinie des Anrufers den Zugriff gewähren. Für kontoübergreifenden Zugriff müssen beide den Zugriff zulassen.
IAM-Identitätsrichtlinie — Die identitätsbasierte Richtlinie des anfragenden Prinzipals wird anhand der Zugriffspunktressource bewertet.
Service Control Policies (SCPs) — Wenn das Konto Teil einer AWS Organizations ist, müssen alle entsprechenden SCPs die Aktion zulassen.
Die Überprüfung der Herkunft des Netzwerks erfolgt vor der Bewertung der Richtlinie. Die verbleibenden Ebenen werden im Rahmen der standardmäßigen IAM-Autorisierungsentscheidung gemeinsam bewertet. Eine explizite Ablehnung auf einer beliebigen Ebene hat Vorrang vor Zulassungsanweisungen auf anderen Ebenen.
Auswahl eines Netzwerkursprungs
Wenn Sie einen Amazon S3 S3-Zugriffspunkt erstellen, wählen Sie einen Netzwerkursprung, der bestimmt, wie der Access Point erreicht werden kann. Sie können den Netzwerkursprung nach der Erstellung nicht ändern.
Herkunft aus dem Internet
Ein Access Point mit einem Internet-Netzwerkursprung ähnelt dem standardmäßigen Zugriff auf S3-Buckets. Alle Anfragen erfordern weiterhin gültige IAM-Anmeldeinformationen und Autorisierung — Herkunft aus dem Internet bedeutet nicht öffentlichen oder anonymen Zugriff. Amazon S3 erzwingt Block Public Access auf allen Access Points, die an FSx für ONTAP-Volumes angeschlossen sind, und Sie können diese Einstellung nicht deaktivieren.
Da sie aus dem Internet stammen, können authentifizierte Anfragen von überall kommen — von VPCs, lokalen Netzwerken, anderen AWS Konten oder dem öffentlichen Internet. Mithilfe der Zugriffspunktrichtlinie und der IAM-Identitätsrichtlinien steuern Sie, welche authentifizierten Anrufer zugelassen werden.
Bei Verwendung von Internet Origin steuern Sie den Zugriff mithilfe der Zugriffspunktrichtlinien und der IAM-Identitätsrichtlinien. Verwenden Sie für Anrufer mit demselben Konto explizite Deny-Anweisungen in der Zugriffspunktrichtlinie, um den Zugriff einzuschränken. Eine Allow-only Richtlinie ist nicht ausreichend, da die IAM-Identitätsrichtlinie des Anrufers den Zugriff unabhängig gewähren kann. Bei kontoübergreifenden Anrufern muss die Zugriffspunktrichtlinie die Anfrage ausdrücklich zulassen, sodass das Auslassen der Option Zulassen ausreicht, um den Zugriff zu blockieren.
VPC-Ursprung
Ein Access Point mit einem VPC-Netzwerkursprung ist an eine bestimmte VPC gebunden und verhält sich quasi wie eine explizite Deny-Policy-Anweisung, die jede Anfrage ablehnt, die aws:SourceVpc nicht mit der gebundenen VPC übereinstimmt. Da eine explizite Ablehnung immer alle Zulassungen außer Kraft setzt, kann selbst eine vollständig zulässige Zugriffspunktrichtlinie oder IAM-Identitätsrichtlinie keinen Zugriff auf Anfragen von außerhalb der gebundenen VPC gewähren.
Anrufer außerhalb der gebundenen VPC können weiterhin auf den Access Point zugreifen, wenn ihr Datenverkehr über einen VPC-Endpunkt in der gebundenen VPC geleitet wird — beispielsweise über VPC-Peering oder Transit Gateway zu einem Amazon S3 S3-Schnittstellen-Endpunkt, der in der gebundenen VPC bereitgestellt wird.
Die wichtigsten Unterschiede:
| Herkunft aus dem Internet | VPC-Ursprung | |
|---|---|---|
| Durchsetzung im Netzwerk | Keine — der Zugriff wird nur durch Richtlinien gesteuert | Effektiv eine explizite Ablehnung für Anfragen, die nicht über einen VPC-Endpunkt in der gebundenen VPC eingehen |
| Multi-VPC Zugriff | Wird gemäß den Versicherungsbedingungen unterstützt | Wird unterstützt, wenn Anrufer über einen Interface-Endpunkt in der gebundenen VPC weiterleiten (über VPC-Peering oder Transit Gateway) |
| Zugriffsbereich ändern | Aktualisieren Sie die Richtlinie | Der Access Point muss neu erstellt werden, um die gebundene VPC zu ändern |
| VPC-Endpunkt erforderlich | Nur wenn Bedingungen verwendet werden aws:SourceVpc |
Ja — Anfragen müssen einen Endpunkt in der gebundenen VPC passieren |
So funktioniert die VPC-Ursprungsdurchsetzung
Wenn ein Access Point einen VPC-Netzwerkursprung hat, verhält er sich effektiv so, als ob es eine ausdrückliche Deny-Policy-Anweisung gäbe, die alle Anfragen ablehnt, die aws:SourceVpc nicht der VPC-ID entsprechen, die in der des Access Points angegeben ist. VpcConfiguration Diese Ablehnung gilt für alle Principals, alle Amazon S3 S3-Aktionen und alle Ressourcen innerhalb des Access Points.
Da es sich um eine ausdrückliche Ablehnung handelt, setzt sie alle Allow-Anweisungen außer Kraft — unabhängig davon, ob es sich um die Zugriffspunkt-Richtlinie, die IAM-Identitätsrichtlinie des Anrufers oder eine andere Richtlinie handelt.
In der Praxis bedeutet das:
Anfragen müssen über einen VPC-Endpunkt (Gateway oder Interface) eingehen, der in der gebundenen VPC bereitgestellt wird, da nur VPC-Endpunkte das Attribut in der
aws:SourceVpcAnfrage auffüllen.Anfragen von anderen VPCs werden abgelehnt, da ihre VPC-Endpoints
aws:SourceVpcmit einer anderen VPC-ID aufgefüllt werden.Anfragen aus dem Internet werden abgelehnt, da sie in der Anfrage nicht enthalten
aws:SourceVpcsind.
Aus diesem Grund lautet die Fehlermeldung für abgelehnte Anfragen auch „explizite Ablehnung in einer ressourcenbasierten Richtlinie“.
Wichtig
Sie können den Netzwerkursprung eines Access Points nach der Erstellung nicht ändern. Wenn Sie vom VPC-Ursprung zum Internet-Ursprung (oder umgekehrt) wechseln müssen, müssen Sie den Access Point löschen und einen neuen erstellen.
VPC-Ursprung vs. Internet-Ursprung mit expliziter Ablehnung
Ein VPC-origin Access Point und ein Access Point mit Internet-Ursprung und manuell geschriebenem StringNotEquals aws:SourceVpc Deny erzielen ein ähnliches Ergebnis — beide lehnen Anfragen ab, die nicht von der angegebenen VPC stammen. Der entscheidende Unterschied ist:
VPC-Ursprung: Deny ist in die VPC-Konfiguration des Access Points integriert. Sie können ihn nicht versehentlich entfernen oder falsch konfigurieren.
Internet-Herkunft mit Deny: Du schreibst und verwaltest Deny selbst. Das gibt Ihnen mehr Flexibilität (indem Sie beispielsweise mehrere VPCs zulassen), aber auch mehr Verantwortung — wenn die Option Deny fehlt oder falsch konfiguriert ist, wird die Einschränkung nicht durchgesetzt.
Verwendung von VPC-Endpunkten mit Amazon S3 S3-Zugriffspunkten
Amazon S3-Zugriffspunkte funktionieren mit beiden Arten von VPC-Endpunkten für Amazon S3. Welchen Endpunkttyp Sie benötigen, hängt davon ab, wo sich Ihre Anrufer befinden.
Gateway-Endpunkte
Gateway-Endpunkte sind kostenlos und basieren auf Routing-Tabellen. Wenn Sie einen Gateway-Endpunkt erstellen, wird den angegebenen Routentabellen eine Route hinzugefügt, die den Amazon S3 S3-Verkehr durch den Endpunkt leitet. Diese Route gilt nur für Datenverkehr, der aus der VPC stammt.
Verwenden Sie Gateway-Endpunkte für:
Amazon EC2 EC2-Instances, Lambda-Funktionen, Amazon ECS-Aufgaben und andere Rechenressourcen innerhalb der VPC
Gateway-Endpunkte leiten keinen Datenverkehr weiter, der in die VPC eingeht von:
On-premises Netzwerke über VPN oder Direct Connect
Gepeerte VPCs
Transit Gateway Gateway-Verbindungen
Weitere Informationen finden Sie unter Gateway-Endpunkte für Amazon S3 im Amazon VPC-Benutzerhandbuch.
Schnittstellenendpunkte
Schnittstellenendpunkte erstellen ein elastic network interface (ENI) mit einer privaten IP-Adresse in Ihrem Subnetz. Der Datenverkehr muss explizit an den DNS-Namen oder die private IP des Endpunkts weitergeleitet werden.
Verwenden Sie Interface-Endpunkte für:
On-premises Anrufer, die über VPN oder Direct Connect auf Amazon S3 zugreifen
Cross-account Anrufer, die über VPC-Peering auf Amazon S3 zugreifen
Jedes Szenario, in dem der Verkehr von außen in die VPC gelangt
Bei Verwendung eines Interface-Endpunkts müssen Anrufer entweder:
Verwenden Sie den
--endpoint-urlParameter, der auf den DNS-Namen des Interface-Endpunkts verweist, oderDNS so konfigurieren, dass Amazon S3 S3-Endpunkte auf die private IP des Interface-Endpunkts aufgelöst werden (mithilfe von Route 53 Resolver oder lokaler DNS-Weiterleitung)
Für Schnittstellenendpunkte fallen Gebühren pro Stunde und pro GB an. Weitere Informationen finden Sie unter AWS PrivateLink Preise
Beide Endpunkttypen zusammen verwenden
Sie können sowohl einen Gateway-Endpunkt als auch einen Interface-Endpunkt in derselben VPC bereitstellen. Diese Konfiguration ist nützlich, wenn Sie sowohl interne VPC-Anrufer als auch lokale Anrufer haben:
Gateway-Endpunkt: Verarbeitet internen VPC-Verkehr (kostenlos, transparent)
Schnittstellenendpunkt: Verarbeitet lokalen Datenverkehr, der über VPN oder Direct Connect eingeht (erfordert DNS-Konfiguration oder
--endpoint-url)
Beide Endpunkttypen füllen das aws:SourceVpc Attribut mit der VPC-ID auf, sodass beide die Bedingung „VPC origin Deny“ erfüllen.
VPC-Endpunktrichtlinien
VPC-Endpunktrichtlinien steuern, auf welche Amazon S3 S3-Ressourcen über den Endpunkt zugegriffen werden kann. Standardmäßig erlaubt ein VPC-Endpunkt alle Amazon S3 S3-Aktionen auf allen Ressourcen. Sie können die Endpunktrichtlinie so einschränken, dass nur bestimmte Zugriffspunkte zugelassen werden:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point", "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point/object/*" ] } ] }
Zugangspunktrichtlinien
Amazon S3 Access Points unterstützen Ressourcenrichtlinien AWS Identity and Access Management (IAM), mit denen Sie die Nutzung des Access Points nach Ressourcen, Benutzern oder anderen Bedingungen steuern können. Für einen kontoübergreifenden Zugriff müssen sowohl die Zugriffspunktrichtlinie als auch die IAM-Identitätsrichtlinie des Anrufers die Anfrage zulassen. Für den Zugriff auf dasselbe Konto können entweder die Zugriffspunktrichtlinie oder die IAM-Identitätsrichtlinie des Anrufers den Zugriff unabhängig voneinander gewähren. Um Anrufer mit demselben Konto einzuschränken, verwenden Sie explizite Deny-Anweisungen in der Zugriffspunktrichtlinie. Wenn die Anfrage einen VPC-Endpunkt durchläuft, muss die VPC-Endpunktrichtlinie die Anfrage ebenfalls zulassen.
Weitere Informationen zu Zugriffspunktrichtlinien finden Sie unter Konfiguration von IAM-Richtlinien für die Verwendung von Access Points im Amazon Simple Storage Service-Benutzerhandbuch.
Bedingungsschlüssel für die netzwerkbasierte Zugriffskontrolle
IAM stellt globale Bedingungsschlüssel bereit, die Sie in Zugriffspunktrichtlinien verwenden können, um den Zugriff auf der Grundlage der Netzwerkeigenschaften der Anfrage zu steuern. Diese Bedingungsschlüssel sind nur unter bestimmten Umständen im Anforderungskontext enthalten, wie in der folgenden Tabelle beschrieben.
| Bedingungsschlüssel | Verfügbarkeit | Description |
|---|---|---|
aws:SourceVpc |
Nur im Anforderungskontext enthalten, wenn der Anforderer einen VPC-Endpunkt verwendet, um die Anfrage zu stellen. | Überprüft, ob die Anfrage die VPC durchläuft, an die der VPC-Endpunkt angehängt ist. Verwenden Sie diesen Schlüssel, um nur den Zugriff auf eine bestimmte VPC zuzulassen. |
aws:SourceVpce |
Nur im Anforderungskontext enthalten, wenn der Anforderer einen VPC-Endpunkt verwendet, um die Anfrage zu stellen. | Die ID des VPC-Endpunkts, über den die Anfrage gestellt wurde. |
aws:VpcSourceIp |
Nur im Anforderungskontext enthalten, wenn die Anfrage über einen VPC-Endpunkt gestellt wird. | Vergleicht die IP-Adresse, von der aus eine Anfrage gestellt wurde, mit der IP-Adresse, die Sie in der Richtlinie angeben. Stimmt nur überein, wenn die Anfrage von der angegebenen IP-Adresse stammt und einen VPC-Endpunkt durchläuft. |
aws:SourceIp |
Nur im Anforderungskontext enthalten, wenn die Anfrage keinen VPC-Endpunkt durchläuft. | Die öffentliche IP-Adresse des Anrufers. Nicht verfügbar für Anfragen, die über einen VPC-Endpunkt gestellt wurden. |
Wichtig
aws:SourceIpund schließen aws:VpcSourceIp sich gegenseitig aus. Wenn eine Anfrage einen VPC-Endpunkt durchläuft, aws:SourceIp ist sie nicht verfügbar — verwenden Sie aws:VpcSourceIp sie stattdessen. Wenn eine Anfrage aus dem Internet kommt (kein VPC-Endpunkt), nicht verfügbar aws:VpcSourceIp ist, verwenden Sie aws:SourceIp sie stattdessen.
Wichtig
Beim Bedingungsschlüssel aws:VpcSourceIp wird zwischen Groß- und Kleinschreibung unterschieden.
Weitere Informationen zu globalen IAM-Bedingungsschlüsseln finden Sie unter AWS Globale Bedingungskontextschlüssel im IAM-Benutzerhandbuch.
Beispielszenarien
Die folgenden Beispielszenarien zeigen gängige Konfigurationen für Amazon S3 S3-Zugriffspunkte, die an FSx für ONTAP-Volumes angeschlossen sind. Jedes Szenario umfasst den empfohlenen Netzwerkursprung, den VPC-Endpunkttyp und die Zugriffspunktrichtlinie.
Einzelner VPC-Zugriff
Anwendungsfall: Amazon EC2 EC2-Instances, Lambda-Funktionen oder Amazon ECS-Aufgaben innerhalb einer einzigen VPC greifen auf den Access Point zu. Kein externer Zugriff erforderlich.
Mit VPC-Netzwerkursprung:
Die VPC-Ursprungskonfiguration lehnt effektiv Anfragen ab, die aws:SourceVpc nicht mit der gebundenen VPC übereinstimmen. Anfragen von anderen VPCs, dem Internet oder lokalen Netzwerken werden abgelehnt. Sie können entweder einen Gateway- oder einen Interface Amazon S3 S3-VPC-Endpunkt verwenden.
Beispiel für eine Zugriffspunktrichtlinie (VPC-Ursprung): Bei VPC-Ursprung ist die Netzwerkeinschränkung integriert. Die Zugriffspunktrichtlinie muss nur die gewünschten Berechtigungen gewähren.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:role/my-app-role"}, "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point", "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point/object/*" ] } ] }
Mit Ursprung im Internet-Netzwerk:
Mit Internet-Ursprung schränken Sie den Zugriff auf die VPC mithilfe der aws:SourceVpc Bedingungen in der Zugriffspunktrichtlinie ein (mit einer ausdrücklichen Ablehnung). Ein VPC-Endpunkt ist erforderlich, damit er in der Anfrage aufgefüllt aws:SourceVpc wird.
Beispiel für eine Zugriffspunktrichtlinie (Herkunft aus dem Internet): Die Richtlinie umfasst sowohl die Option Zulassen mit VPC-Bedingung als auch die Option Verweigern für Anfragen, die nicht von der VPC stammen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:role/my-app-role"}, "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point", "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point/object/*" ], "Condition": { "StringEquals": {"aws:SourceVpc": "vpc-1a2b3c4d"} } }, { "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point", "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point/object/*" ], "Condition": { "StringNotEquals": {"aws:SourceVpc": "vpc-1a2b3c4d"} } } ] }
Anmerkung
Sowohl die Anweisungen „Zulassen“ als auch „Verweigern“ sind in der Zugriffspunktrichtlinie erforderlich. Ohne die Deny-Anweisung kann die VPC-Beschränkung möglicherweise nicht für alle Anrufer durchgesetzt werden.
| VPC-Ursprung | Herkunft aus dem Internet | |
|---|---|---|
| Durchsetzung im Netzwerk | Built-in Leugnen | Policy-based (Zulassen + Ablehnen) |
| VPC-Endpunkt | Erforderlich (Gateway oder Schnittstelle) | Erforderlich (füraws:SourceVpc) |
| Zugriffspunkt-Richtlinie | Minimal — Die integrierte Option „Deny“ behandelt Einschränkungen | Muss aws:SourceVpc Allow + Deny beinhalten |
On-premises und VPC-Zugriff
Anwendungsfall: Sowohl lokale Benutzer (über VPN oder Direct Connect) als auch interne VPC-Computing-Ressourcen greifen auf den Access Point zu. Der gesamte Datenverkehr bleibt privat.
Wichtig
Gateway-Endpunkte leiten keinen Datenverkehr weiter, der über VPN-, Direct Connect- oder Transit Gateway Gateway-Verbindungen in die VPC eingeht. On-premises Anrufer müssen einen Amazon S3 Interface-Endpunkt verwenden. Details dazu finden Sie unter Verwendung von VPC-Endpunkten mit Amazon S3 S3-Zugriffspunkten.
Sowohl der Gateway-Endpunkt (interner VPC-Verkehr) als auch der Schnittstellenendpunkt (lokaler Verkehr) befinden sich in derselben VPC, sodass beide die VPC-Origin-Deny-Bedingung erfüllen.
| VPC-Ursprung | Herkunft aus dem Internet | |
|---|---|---|
| In-VPC Endpunkt | Gateway (kostenlos) | Gateway (füraws:SourceVpc) |
| On-prem Endpunkt | Schnittstelle (erforderlich) | Schnittstelle (erforderlich) |
| On-prem DNS | Amazon S3 auf Schnittstellen-Endpunkt-IP auflösen | Amazon S3 auf Schnittstellen-Endpunkt-IP auflösen |
Multi-VPC Zugriff
Anwendungsfall: Anrufer in mehreren VPCs müssen auf denselben Access Point zugreifen. Zum Beispiel Anwendungen in separaten VPCs innerhalb desselben Kontos oder VPCs in verschiedenen Konten, die über VPC-Peering oder Transit Gateway verbunden sind.
Es gibt zwei Ansätze für den Zugriff auf mehrere VPCs, je nachdem, ob Sie richtlinienbasierte Kontrollen oder die Durchsetzung des VPC-Ursprungsnetzwerks verwenden möchten.
Option 1: Internet-Ursprung mit einem Gateway-Endpunkt in jeder VPC
Jede VPC hat ihren eigenen Amazon S3 Gateway-Endpunkt. Anrufer in jeder VPC greifen über ihren lokalen Gateway-Endpunkt auf den Access Point zu, der die Anfrage fülltaws:SourceVpc. Die Zugriffspunktrichtlinie schränkt den Zugriff auf die erlaubten VPC-IDs ein.
Herkunft des Netzwerks: Internet
VPC-Endpunkte: Amazon S3 Gateway-Endpunkt in jeder VPC (kostenlos, keine zusätzliche Konfiguration erforderlich)
Zugriffspunktrichtlinie: Zulassen mit
aws:SourceVpcAuflistung aller VPC-IDs, plus Verweigern mitStringNotEquals
Anmerkung
In der Zugriffspunktrichtlinie sind sowohl die Anweisungen Allow als auch Deny erforderlich. Ohne die Deny-Anweisung kann die VPC-Beschränkung möglicherweise nicht für alle Anrufer durchgesetzt werden.
Diese Option ist einfacher einzurichten, da jede VPC unabhängig arbeitet — es ist kein VPC-Peering oder Transit Gateway erforderlich. Um VPCs hinzuzufügen oder zu entfernen, aktualisieren Sie die Zugriffspunktrichtlinie.
Option 2: VPC-Ursprung mit zentralisiertem Schnittstellenendpunkt
Eine VPC hostet einen Amazon S3 Interface-Endpunkt, und der Access Point wird so erstellt, dass der VPC-Ursprung an diese VPC gebunden ist. Andere VPCs leiten ihren Amazon S3 S3-Verkehr über VPC-Peering oder Transit Gateway an den Interface-Endpunkt weiter. Da alle Anfragen über einen Endpunkt in der gebundenen VPC eingehen, erfüllen sie die VPC-Ursprungsbestimmungen.
Netzwerkursprung: VPC (an die VPC gebunden, die den Interface-Endpunkt hostet)
VPC-Endpunkte: Amazon S3 S3-Schnittstellen-Endpunkt in der gebundenen VPC
Konnektivität: VPC-Peering oder Transit Gateway zwischen den anderen VPCs und der gebundenen VPC
Zugriffspunktrichtlinie: Minimal — die VPC-Ursprungsdurchsetzung kümmert sich um die Netzwerkeinschränkung
Anruferkonfiguration: Anrufer in anderen VPCs müssen unsere DNS-Konfiguration verwenden
--endpoint-url, um Anfragen über den Schnittstellenendpunkt weiterzuleiten
Diese Option bietet eine stärkere Durchsetzung, da die VPC-Ursprungsbeschränkung nicht durch Richtlinienänderungen umgangen werden kann. Es erfordert jedoch VPC-Peering oder Transit Gateway Gateway-Konnektivität, und für den Interface-Endpunkt fallen Gebühren pro Stunde und pro GB an. Weitere Informationen zu Interface-Endpunkten finden Sie unter AWS PrivateLinkAmazon S3 im Amazon Simple Storage Service-Benutzerhandbuch.
Behebung von Problemen mit dem Netzwerkzugriff
Wenn eine Amazon S3 S3-Zugriffspunktanfrage fehlschlägt, gibt die Fehlermeldung oft nicht an, welche Autorisierungsebene die Anfrage abgelehnt hat. Verwenden Sie die folgenden Anleitungen, um häufig auftretende Probleme zu diagnostizieren.
AccessDenied mit „expliziter Ablehnung in einer ressourcenbasierten Richtlinie“
Dieser Fehler kann aus mehreren Quellen stammen. Führen Sie die folgenden Prüfungen der Reihe nach durch:
1. Überprüfen Sie den VPC-Ursprung Deny (nur VPC-origin Access Points)
Wenn der Access Point einen VPC-Netzwerkursprung hat, lehnt er effektiv Anfragen ab, die aws:SourceVpc nicht mit der gebundenen VPC übereinstimmen. Vergewissern Sie sich, dass folgende Bedingungen erfüllt sind:
In der gebundenen VPC ist ein VPC-Endpunkt (Gateway oder Interface) vorhanden.
Der Datenverkehr des Anrufers wird über diesen Endpunkt geleitet. Stellen Sie bei In-VPC-Anrufern sicher, dass die Routing-Tabelle des Gateway-Endpunkts dem Subnetz des Anrufers zugeordnet ist. Stellen Sie bei Anrufern vor Ort sicher, dass sie einen Interface-Endpunkt verwenden (Gateway-Endpunkte leiten keinen VPN- oder Direct Connect-Verkehr weiter).
Der Anrufer befindet sich in der gebundenen VPC, nicht in einer Peer-VPC. Anfragen von gepeerten VPCs werden verweigert, sofern sie nicht über einen Schnittstellenendpunkt in der gebundenen VPC weitergeleitet werden.
2. Überprüfen Sie die VPC-Endpunktrichtlinie
Wenn die Anfrage einen VPC-Endpunkt durchläuft, muss die Richtlinie des Endpunkts die Aktion auf der Access Point-Ressource zulassen. Die standardmäßige Endpunktrichtlinie erlaubt alle Aktionen auf allen Ressourcen. Wenn Sie den Geltungsbereich der Richtlinie festgelegt haben, stellen Sie sicher, dass sie den Zugriffspunkt-ARN enthält.
3. Überprüfen Sie die Zugriffspunktrichtlinie
Stellen Sie sicher, dass die Zugriffspunktrichtlinie den anfragenden Principal zulässt. Suchen Sie nach Deny-Anweisungen mit Bedingungen, die möglicherweise mit der Anfrage übereinstimmen.
4. Überprüfen Sie die IAM-Identitätsrichtlinie des Anrufers
Die IAM-Rolle oder der IAM-Benutzer des Anrufers muss über die Berechtigungen verfügen, um die Amazon S3 S3-Aktion auf dem Access Point-ARN auszuführen.
5. Überprüfen Sie die Service Control Policies (SCPs)
Wenn das Konto Teil einer AWS Organisationsorganisation ist, stellen Sie sicher, dass keine SCPs Amazon S3 S3-Aktionen auf dem Access Point verweigern.
On-premises Anrufer erhalten, AccessDenied aber In-VPC-Anrufer sind erfolgreich
Dies bedeutet in der Regel, dass der lokale Datenverkehr nicht über einen VPC-Endpunkt geleitet wird:
Gateway-Endpunkte leiten keinen lokalen Datenverkehr weiter. Der Datenverkehr, der über VPN-, Direct Connect- oder Transit Gateway Gateway-Verbindungen in die VPC eingeht, wird von Gateway-Endpunktrouten nicht beeinflusst. Erstellen Sie einen Amazon S3 Interface-Endpunkt für lokale Anrufer.
Stellen Sie sicher, dass die Sicherheitsgruppe des Interface-Endpunkts eingehendes HTTPS (Port 443) vom lokalen CIDR zulässt.
Stellen Sie sicher, dass das lokale DNS Amazon S3 S3-Endpunkte auf die private IP des Interface-Endpunkts auflöst oder die von Anrufern verwendet wird.
--endpoint-url
Die Richtlinienbedingungen für Access Points scheinen keine Auswirkungen zu haben
Allow-only Richtlinien schränken den Zugriff nicht ein. Wenn Sie Bedingungen (wie
aws:SourceVpc) nur in einer Allow-Anweisung ohne entsprechende Deny-Anweisung verwenden, kann die IAM-Identitätsrichtlinie des Anrufers den Zugriff unabhängig gewähren. Fügen Sie eine explizite Deny-Anweisung mit der umgekehrten Bedingung hinzu.Berücksichtigung von Groß- und Kleinschreibung Beim Bedingungsschlüssel
aws:VpcSourceIpwird zwischen Groß- und Kleinschreibung unterschieden.Sich gegenseitig ausschließende Bedingungsschlüssel.
aws:SourceIpund schließenaws:VpcSourceIpsich gegenseitig aus.aws:SourceIpist nicht verfügbar, wenn die Anfrage einen VPC-Endpunkt durchquert — verwenden Sieaws:VpcSourceIpstattdessen. Umgekehrtaws:VpcSourceIpist es nicht für Internetanfragen verfügbar — verwenden.aws:SourceIpDies gilt für alle Richtlinien, die diese Bedingungsschlüssel verwenden, einschließlich Zugriffspunktrichtlinien, VPC-Endpunktrichtlinien und IAM-Identitätsrichtlinien.