Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mencegah eksfiltrasi data dalam VPC pribadi
<a name="S3-buckets-preventing-exfiltration"></a>

Untuk mencegah pengguna mengeksfiltrasi data dari bucket S3 aman ke bucket S3 mereka sendiri di akun mereka, Anda dapat melampirkan titik akhir VPC untuk mengamankan VPC pribadi Anda. Langkah-langkah berikut menunjukkan cara membuat titik akhir VPC untuk layanan S3 yang mendukung akses ke bucket S3 di dalam akun Anda, serta akun tambahan apa pun yang memiliki bucket lintas akun. 

1. Buka Konsol VPC Amazon:

   1. Masuk ke Konsol AWS Manajemen. 

   1. Buka konsol VPC Amazon di. [ https://console.aws.amazon.com/vpcconsole/](https://console.aws.amazon.com/vpcconsole)

1. Buat Endpoint VPC untuk S3:

   1. Pada panel navigasi kiri, pilih **Titik Akhir**.

   1. Pilih **Buat Titik Akhir**.

   1. Untuk **kategori Layanan**, pastikan bahwa **AWS layanan** dipilih. 

   1. Di bidang **Nama Layanan**, masukkan `com.amazonaws.<region>.s3` (ganti `<region>` dengan AWS wilayah Anda) atau cari “S3".

   1. Pilih layanan S3 dari daftar.

1. Konfigurasikan Pengaturan Titik Akhir: 

   1. Untuk **VPC**, pilih VPC tempat Anda ingin membuat titik akhir.

   1. Untuk **Subnet**, pilih kedua subnet pribadi yang digunakan untuk Subnet VDI selama penerapan.

   1. Untuk **Aktifkan nama DNS**, pastikan opsi dicentang. Ini memungkinkan nama host DNS pribadi diselesaikan ke antarmuka jaringan titik akhir.

1. Konfigurasikan Kebijakan untuk Membatasi Akses: 

   1. Di bawah **Kebijakan**, pilih **Kustom**.

   1. Di editor kebijakan, masukkan kebijakan yang membatasi akses ke sumber daya dalam akun Anda atau akun tertentu. Berikut adalah contoh kebijakan (ganti *amzn-s3-demo-bucket* dengan nama bucket S3 Anda dan *111122223333* dan *444455556666* dengan AWS akun yang sesuai IDs yang ingin Anda akses): 
**catatan**  
Kebijakan contoh ini menggunakan `s3:*` dan tidak membatasi operasi bidang kontrol S3 seperti konfigurasi pemberitahuan peristiwa, replikasi, atau inventaris. Operasi ini dapat memungkinkan metadata objek (seperti nama bucket dan kunci objek) dikirim ke tujuan lintas akun. Jika ini menjadi perhatian, tambahkan pernyataan Deny eksplisit untuk tindakan bidang kontrol S3 yang relevan dalam kebijakan titik akhir VPC.

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Effect": "Allow",
                  "Principal": "*",
                  "Action": "s3:*",
                  "Resource": [
                      "arn:aws:s3:::amzn-s3-demo-bucket",
                      "arn:aws:s3:::amzn-s3-demo-bucket/*"
                  ],
                  "Condition": {
                      "StringEquals": {
                          "aws:PrincipalAccount": [
                              "111122223333",
                              "444455556666"
                          ]
                      }
                  }
              }
          ]
      }
      ```

------

1. Buat Endpoint:

   1. Meninjau pengaturan Anda.

   1. Pilih **Buat titik akhir**.

1. Verifikasi Endpoint:

   1. Setelah titik akhir dibuat, navigasikan ke bagian **Endpoints** di konsol VPC.

   1. Pilih endpoint yang baru dibuat.

   1. Verifikasi bahwa **Negara** **Tersedia**.

Dengan mengikuti langkah-langkah ini, Anda membuat titik akhir VPC yang memungkinkan akses S3 yang dibatasi untuk sumber daya dalam akun Anda atau ID akun tertentu.