View a markdown version of this page

防止私有 VPC 中的資料洩漏 - 研究與工程 Studio

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

防止私有 VPC 中的資料洩漏

若要防止使用者將資料從安全的 S3 儲存貯體滲透到其帳戶中自己的 S3 儲存貯體,您可以連接 VPC 端點來保護您的私有 VPC。下列步驟說明如何為 S3 服務建立 VPC 端點,以支援存取您帳戶中的 S3 儲存貯體,以及具有跨帳戶儲存貯體的任何其他帳戶。

  1. 開啟 Amazon VPC 主控台:

    1. 登入 AWS 管理主控台。

    2. 開啟位於 https://https://console.aws.amazon.com/vpcconsole/ 的 Amazon VPC 主控台。

  2. 建立 S3 的 VPC 端點:

    1. 在左側導覽窗格中選擇 Endpoints (端點)。

    2. 選擇建立端點

    3. 請確定在 Service category (服務類別) 欄位,您已選擇 AWS services (AWS 服務)。

    4. 服務名稱欄位中,輸入 com.amazonaws.<region>.s3(<region>取代您的 AWS 區域) 或搜尋 "S3"。

    5. 從清單中選擇 S3 服務。

  3. 設定端點設定:

    1. 針對 VPC,選取您要建立端點的 VPC。

    2. 針對子網路,選取部署期間用於 VDI 子網路的兩個私有子網路。

    3. 針對啟用 DNS 名稱,請確定已勾選 選項。這可讓私有 DNS 主機名稱解析為端點網路介面。

  4. 設定政策以限制存取:

    1. 政策下,選擇自訂

    2. 在政策編輯器中,輸入限制存取您帳戶或特定帳戶內資源的政策。以下是範例政策 (將 amzn-s3-demo-bucket 取代為您的 S3 儲存貯體名稱,並將 111122223333444455556666 取代為您想要存取的適當 AWS 帳戶 IDs):

      注意

      此範例政策使用 s3:* 且不限制 S3 控制平面操作,例如事件通知組態、複寫或庫存。這些操作可以允許將物件中繼資料 (例如儲存貯體名稱和物件金鑰) 傳送至跨帳戶目的地。如果這是問題,請在 VPC 端點政策中新增相關 S3 控制平面動作的明確拒絕陳述式。

      JSON
      {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalAccount": [
                        "111122223333",
                        "444455556666"
                    ]
                }
            }
        }
    ]
}

  5. 建立端點:

    1. 檢閱您的設定。

    2. 選擇建立端點

  6. 驗證端點:

    1. 建立端點後,導覽至 VPC 主控台中的端點區段。

    2. 選取新建立的端點。

    3. 驗證狀態是否可用

透過遵循這些步驟,您可以建立 VPC 端點,允許 S3 存取僅限於您帳戶或指定帳戶 ID 內的資源。