本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 防止私有 VPC 中的数据泄露
为防止用户将数据从安全 S3 存储桶泄露到自己账户中的 S3 存储桶中,您可以附加 VPC 终端节点来保护您的私有 VPC。以下步骤说明如何为 S3 服务创建 VPC 终端节点,该终端节点支持访问您的账户中的 S3 存储桶以及任何其他拥有跨账户存储桶的账户。
1. 打开亚马逊 VPC 控制台:
1. 登录到 AWS 管理控制台。
1. 打开亚马逊 VPC 控制台,网址为[ https://console.aws.amazon.com/vpcconsole/](https://console.aws.amazon.com/vpcconsole)。
1. 为 S3 创建 VPC 终端节点:
1. 在左侧导航窗格中,选择**终端节点**。
1. 选择**创建端点**。
1. 对于**服务类别**,请确保选中 **AWS 服务**。
1. 在 “**服务名称**” 字段中,输入`com.amazonaws..s3`(``用您 AWS 所在的地区替换)或搜索 “S3”。
1. 从列表中选择 S3 服务。
1. 配置端点设置:
1. 对于 **VPC**,选择要在其中创建端点的 VPC。
1. 对于**子网**,请选择部署期间用于 VDI 子网的两个私有子网。
1. 对于**启用 DNS 名称**,请确保选中该选项。这允许将私有 DNS 主机名解析到端点网络接口。
1. 将策略配置为限制访问:
1. 在 “**策略**” 下,选择 “**自定义**”。
1. 在策略编辑器中,输入限制访问您的账户或特定账户内资源的策略。以下是策略示例(*amzn-s3-demo-bucket*替换为您的 S3 存储桶*444455556666*名称*111122223333*和您想要访问 IDs 的相应 AWS 账户):
**注意**
此示例策略使用`s3:*`但不限制 S3 控制平面操作,例如事件通知配置、复制或清单。这些操作可能允许将对象元数据(例如存储桶名称和对象密钥)发送到跨账户目的地。如果存在问题,请在 VPC 终端节点策略中为相关 S3 控制平面操作添加明确的拒绝语句。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:PrincipalAccount": [
"111122223333",
"444455556666"
]
}
}
}
]
}
```
------
1. 创建终端节点:
1. 检视您的设置。
1. 选择**创建端点**。
1. 验证终端节点:
1. 创建终端节点后,在 VPC 控制台中导航至 “**终端节点**” 部分。
1. 选择新创建的端点。
1. 验证**状态**是否为**可用**。
按照这些步骤操作,您可以创建一个允许 S3 访问的 VPC 终端节点,但仅限于您的账户或指定账户 ID 中的资源。