Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verhinderung der Datenexfiltration in einer privaten VPC
Um zu verhindern, dass Benutzer Daten aus sicheren S3-Buckets in ihre eigenen S3-Buckets in ihrem Konto exfiltrieren, können Sie einen VPC-Endpunkt anhängen, um Ihre private VPC zu sichern. Die folgenden Schritte zeigen, wie Sie einen VPC-Endpunkt für den S3-Dienst erstellen, der den Zugriff auf S3-Buckets in Ihrem Konto sowie auf alle zusätzlichen Konten mit kontoübergreifenden Buckets unterstützt.
1. Öffnen Sie die Amazon VPC-Konsole:
1. Melden Sie sich bei der AWS Management Console an.
1. Öffnen Sie die Amazon VPC-Konsole unter [ https://console.aws.amazon.com/vpcconsole/](https://console.aws.amazon.com/vpcconsole).
1. Erstellen Sie einen VPC-Endpunkt für S3:
1. Wählen Sie im linken Navigationsbereich die Option **Endpoints** (Endpunkte) aus.
1. Klicken Sie auf **Endpunkt erstellen**.
1. Stellen Sie sicher, dass bei **Servicekategorie** die Option **AWS Services** ausgewählt ist.
1. Geben Sie im Feld **Dienstname** „S3“ ein `com.amazonaws..s3` (``ersetzen Sie es durch Ihre AWS Region) oder suchen Sie danach.
1. Wählen Sie den S3-Dienst aus der Liste aus.
1. Endpunkteinstellungen konfigurieren:
1. Wählen Sie für **VPC** die VPC aus, in der Sie den Endpunkt erstellen möchten.
1. Wählen Sie für **Subnetze** beide privaten Subnetze aus, die während der Bereitstellung für die VDI-Subnetze verwendet wurden.
1. Stellen Sie sicher, dass die **Option „DNS-Name aktivieren**“ aktiviert ist. Dadurch kann der private DNS-Hostname in die Endpunkt-Netzwerkschnittstellen aufgelöst werden.
1. Konfigurieren Sie die Richtlinie zur Zugriffsbeschränkung:
1. Wählen Sie unter **Richtlinie** die Option **Benutzerdefiniert** aus.
1. Geben Sie im Richtlinieneditor eine Richtlinie ein, die den Zugriff auf Ressourcen in Ihrem Konto oder einem bestimmten Konto einschränkt. Hier ist ein Beispiel für eine Richtlinie (*amzn-s3-demo-bucket*ersetzen Sie sie durch Ihren S3-Bucket-Namen *111122223333* und *444455556666* durch das entsprechende AWS Konto IDs , auf das Sie zugreifen möchten):
**Anmerkung**
Diese Beispielrichtlinie verwendet `s3:*` Operationen der S3-Steuerungsebene wie Konfiguration, Replikation oder Inventarisierung bei Ereignisbenachrichtigungen und schränkt diese nicht ein. Diese Operationen könnten es ermöglichen, Objektmetadaten (wie Bucket-Namen und Objektschlüssel) an kontoübergreifende Ziele zu senden. Wenn dies ein Problem darstellt, fügen Sie der VPC-Endpunktrichtlinie explizite Deny-Anweisungen für die entsprechenden Aktionen der S3-Steuerungsebene hinzu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:PrincipalAccount": [
"111122223333",
"444455556666"
]
}
}
}
]
}
```
------
1. Erstellen Sie den Endpunkt:
1. Überprüfen Sie die Einstellungen.
1. Wählen Sie **Endpunkt erstellen** aus.
1. Überprüfen Sie den Endpunkt:
1. Sobald der Endpunkt erstellt wurde, navigieren Sie in der VPC-Konsole zum Abschnitt **Endpoints**.
1. Wählen Sie den neu erstellten Endpunkt aus.
1. Stellen Sie sicher, dass der **Status** **verfügbar** ist.
Indem Sie diese Schritte ausführen, erstellen Sie einen VPC-Endpunkt, der S3-Zugriff ermöglicht, der auf Ressourcen innerhalb Ihres Kontos oder einer bestimmten Konto-ID beschränkt ist.