

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Prevenzione dell'esfiltrazione dei dati in un VPC privato
<a name="S3-buckets-preventing-exfiltration"></a>

Per impedire agli utenti di esfiltrare i dati dai bucket S3 sicuri nei propri bucket S3 del proprio account, puoi collegare un endpoint VPC per proteggere il tuo VPC privato. I passaggi seguenti mostrano come creare un endpoint VPC per il servizio S3 che supporti l'accesso ai bucket S3 all'interno del tuo account, nonché a qualsiasi account aggiuntivo con bucket tra account. 

1. Apri la console Amazon VPC:

   1. Accedi alla console di AWS gestione. 

   1. Apri la console Amazon VPC all'indirizzo. [ https://console.aws.amazon.com/vpcconsole/](https://console.aws.amazon.com/vpcconsole)

1. Crea un endpoint VPC per S3:

   1. Nel riquadro di navigazione a sinistra, scegli **Endpoints** (Endpoint).

   1. Scegliere **Create Endpoint** (Crea endpoint).

   1. In **Categoria servizio**, assicurati che **Servizi AWS ** sia selezionato. 

   1. Nel campo **Service Name**, inserisci `com.amazonaws.<region>.s3` (sostituisci `<region>` con la tua AWS regione) o cerca «S3".

   1. Seleziona il servizio S3 dall'elenco.

1. Configura le impostazioni degli endpoint: 

   1. Per **VPC**, seleziona il VPC in cui desideri creare l'endpoint.

   1. Per le **sottoreti**, seleziona entrambe le sottoreti private utilizzate per le sottoreti VDI durante la distribuzione.

   1. Per **Abilita nome DNS**, assicurati che l'opzione sia selezionata. Ciò consente di risolvere il nome host DNS privato nelle interfacce di rete degli endpoint.

1. Configura la politica per limitare l'accesso: 

   1. In **Policy**, scegli **Personalizzato**.

   1. Nell'editor delle politiche, inserisci una politica che limiti l'accesso alle risorse all'interno del tuo account o di un account specifico. Ecco un esempio di politica (sostituiscila *amzn-s3-demo-bucket* con il nome del tuo bucket S3 *111122223333* e *444455556666* con l' AWS account appropriato a IDs cui desideri avere accesso): 
**Nota**  
Questa policy di esempio utilizza `s3:*` e non limita le operazioni del piano di controllo S3, come la configurazione della notifica degli eventi, la replica o l'inventario. Queste operazioni potrebbero consentire l'invio di metadati degli oggetti (come i nomi dei bucket e le chiavi degli oggetti) a destinazioni tra più account. Se questo è un problema, aggiungi dichiarazioni Deny esplicite per le azioni pertinenti del piano di controllo S3 nella policy degli endpoint VPC.

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Effect": "Allow",
                  "Principal": "*",
                  "Action": "s3:*",
                  "Resource": [
                      "arn:aws:s3:::amzn-s3-demo-bucket",
                      "arn:aws:s3:::amzn-s3-demo-bucket/*"
                  ],
                  "Condition": {
                      "StringEquals": {
                          "aws:PrincipalAccount": [
                              "111122223333",
                              "444455556666"
                          ]
                      }
                  }
              }
          ]
      }
      ```

------

1. Crea l'endpoint:

   1. Verificare le impostazioni.

   1. Seleziona **Crea endpoint**.

1. Verifica l'endpoint:

   1. Una volta creato l'endpoint, vai alla sezione **Endpoints** nella console VPC.

   1. Seleziona l'endpoint appena creato.

   1. Verifica che lo **stato** sia **disponibile.**

Seguendo questi passaggi, crei un endpoint VPC che consente l'accesso a S3 limitato alle risorse all'interno del tuo account o a un ID account specificato.