

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Evitando a exfiltração de dados em uma VPC privada
<a name="S3-buckets-preventing-exfiltration"></a>

Para evitar que os usuários extraiam dados de buckets S3 seguros para seus próprios buckets S3 em suas contas, você pode anexar um VPC endpoint para proteger sua VPC privada. As etapas a seguir mostram como criar um VPC endpoint para o serviço S3 que ofereça suporte ao acesso aos buckets do S3 em sua conta, bem como a quaisquer contas adicionais que tenham buckets entre contas. 

1. Abra o console da Amazon VPC:

   1. Faça login no AWS Management Console. 

   1. Abra o console da Amazon VPC em. [ https://console.aws.amazon.com/vpcconsole/](https://console.aws.amazon.com/vpcconsole)

1. Crie um VPC Endpoint para S3:

   1. No painel de navegação à esquerda, escolha **Endpoints**.

   1. Escolha **Criar endpoint**.

   1. Em **Service category** (Categoria de serviços), certifique-se de que a opção **serviços AWS ** esteja selecionada. 

   1. No campo **Nome do serviço**, insira `com.amazonaws.<region>.s3` (`<region>`substitua pela sua AWS região) ou pesquise por “S3".

   1. Selecione o serviço S3 na lista.

1. Defina as configurações do endpoint: 

   1. Em **VPC**, selecione a VPC na qual você deseja criar o endpoint.

   1. Para **sub-redes**, selecione as duas sub-redes privadas usadas para as sub-redes VDI durante a implantação.

   1. Em **Habilitar nome DNS**, verifique se a opção está marcada. Isso permite que o nome do host DNS privado seja resolvido nas interfaces de rede do endpoint.

1. Configure a política para restringir o acesso: 

   1. Em **Política**, escolha **Personalizado**.

   1. No editor de políticas, insira uma política que restrinja o acesso aos recursos em sua conta ou em uma conta específica. Aqui está um exemplo de política (*amzn-s3-demo-bucket*substitua pelo nome do bucket do S3 *111122223333* e *444455556666* pela AWS conta apropriada IDs que você deseja acessar): 
**nota**  
Este exemplo de política usa `s3:*` e não restringe as operações do plano de controle do S3, como configuração de notificação de eventos, replicação ou inventário. Essas operações podem permitir que metadados de objetos (como nomes de buckets e chaves de objetos) sejam enviados para destinos entre contas. Se isso for uma preocupação, adicione declarações de negação explícitas para as ações relevantes do plano de controle do S3 na política de endpoint da VPC.

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Effect": "Allow",
                  "Principal": "*",
                  "Action": "s3:*",
                  "Resource": [
                      "arn:aws:s3:::amzn-s3-demo-bucket",
                      "arn:aws:s3:::amzn-s3-demo-bucket/*"
                  ],
                  "Condition": {
                      "StringEquals": {
                          "aws:PrincipalAccount": [
                              "111122223333",
                              "444455556666"
                          ]
                      }
                  }
              }
          ]
      }
      ```

------

1. Crie o endpoint:

   1. Examine suas configurações.

   1. Escolha **Criar endpoint**.

1. Verifique o endpoint:

   1. Depois que o endpoint for criado, navegue até a seção **Endpoints** no console da VPC.

   1. Selecione o endpoint recém-criado.

   1. Verifique se o **estado** está **disponível**.

Seguindo essas etapas, você cria um VPC endpoint que permite acesso ao S3 restrito aos recursos da sua conta ou a um ID de conta especificado.