View a markdown version of this page

Prevenzione dell'esfiltrazione dei dati in un VPC privato - Studio di ricerca e ingegneria

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prevenzione dell'esfiltrazione dei dati in un VPC privato

Per impedire agli utenti di esfiltrare i dati dai bucket S3 sicuri nei propri bucket S3 del proprio account, puoi collegare un endpoint VPC per proteggere il tuo VPC privato. I passaggi seguenti mostrano come creare un endpoint VPC per il servizio S3 che supporti l'accesso ai bucket S3 all'interno del tuo account, nonché a qualsiasi account aggiuntivo con bucket tra account.

  1. Apri la console Amazon VPC:

    1. Accedi alla console di AWS gestione.

    2. Apri la console Amazon VPC all'indirizzo. https://console.aws.amazon.com/vpcconsole/

  2. Crea un endpoint VPC per S3:

    1. Nel riquadro di navigazione a sinistra, scegli Endpoints (Endpoint).

    2. Scegliere Create Endpoint (Crea endpoint).

    3. In Categoria servizio, assicurati che Servizi AWS sia selezionato.

    4. Nel campo Service Name, inserisci com.amazonaws.<region>.s3 (sostituisci <region> con la tua AWS regione) o cerca «S3".

    5. Seleziona il servizio S3 dall'elenco.

  3. Configura le impostazioni degli endpoint:

    1. Per VPC, seleziona il VPC in cui desideri creare l'endpoint.

    2. Per le sottoreti, seleziona entrambe le sottoreti private utilizzate per le sottoreti VDI durante la distribuzione.

    3. Per Abilita nome DNS, assicurati che l'opzione sia selezionata. Ciò consente di risolvere il nome host DNS privato nelle interfacce di rete degli endpoint.

  4. Configura la politica per limitare l'accesso:

    1. In Policy, scegli Personalizzato.

    2. Nell'editor delle politiche, inserisci una politica che limiti l'accesso alle risorse all'interno del tuo account o di un account specifico. Ecco un esempio di politica (sostituiscila amzn-s3-demo-bucket con il nome del tuo bucket S3 111122223333 e 444455556666 con l' AWS account appropriato a IDs cui desideri avere accesso):

      Nota

      Questa policy di esempio utilizza s3:* e non limita le operazioni del piano di controllo S3, come la configurazione della notifica degli eventi, la replica o l'inventario. Queste operazioni potrebbero consentire l'invio di metadati degli oggetti (come i nomi dei bucket e le chiavi degli oggetti) a destinazioni tra più account. Se questo è un problema, aggiungi dichiarazioni Deny esplicite per le azioni pertinenti del piano di controllo S3 nella policy degli endpoint VPC.

      JSON
      {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalAccount": [
                        "111122223333",
                        "444455556666"
                    ]
                }
            }
        }
    ]
}

  5. Crea l'endpoint:

    1. Verificare le impostazioni.

    2. Seleziona Crea endpoint.

  6. Verifica l'endpoint:

    1. Una volta creato l'endpoint, vai alla sezione Endpoints nella console VPC.

    2. Seleziona l'endpoint appena creato.

    3. Verifica che lo stato sia disponibile.

Seguendo questi passaggi, crei un endpoint VPC che consente l'accesso a S3 limitato alle risorse all'interno del tuo account o a un ID account specificato.