本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 防止私有 VPC 中的資料洩漏
若要防止使用者將資料從安全的 S3 儲存貯體滲透到其帳戶中自己的 S3 儲存貯體,您可以連接 VPC 端點來保護您的私有 VPC。下列步驟說明如何為 S3 服務建立 VPC 端點,以支援存取您帳戶中的 S3 儲存貯體,以及具有跨帳戶儲存貯體的任何其他帳戶。
1. 開啟 Amazon VPC 主控台:
1. 登入 AWS 管理主控台。
1. 開啟位於 https://[https://console.aws.amazon.com/vpcconsole/ 的 Amazon VPC ](https://console.aws.amazon.com/vpcconsole)主控台。
1. 建立 S3 的 VPC 端點:
1. 在左側導覽窗格中選擇 **Endpoints** (端點)。
1. 選擇**建立端點**。
1. 請確定在 **Service category** (服務類別) 欄位,您已選擇 **AWS services** (AWS 服務)。
1. 在**服務名稱**欄位中,輸入 `com.amazonaws..s3`(``取代您的 AWS 區域) 或搜尋 "S3"。
1. 從清單中選擇 S3 服務。
1. 設定端點設定:
1. 針對 **VPC**,選取您要建立端點的 VPC。
1. 針對**子網路**,選取部署期間用於 VDI 子網路的兩個私有子網路。
1. 針對**啟用 DNS 名稱**,請確定已勾選 選項。這可讓私有 DNS 主機名稱解析為端點網路介面。
1. 設定政策以限制存取:
1. 在**政策**下,選擇**自訂**。
1. 在政策編輯器中,輸入限制存取您帳戶或特定帳戶內資源的政策。以下是範例政策 (將 *amzn-s3-demo-bucket* 取代為您的 S3 儲存貯體名稱,並將 *111122223333* 和 *444455556666* 取代為您想要存取的適當 AWS 帳戶 IDs):
**注意**
此範例政策使用 `s3:*` 且不限制 S3 控制平面操作,例如事件通知組態、複寫或庫存。這些操作可以允許將物件中繼資料 (例如儲存貯體名稱和物件金鑰) 傳送至跨帳戶目的地。如果這是問題,請在 VPC 端點政策中新增相關 S3 控制平面動作的明確拒絕陳述式。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:PrincipalAccount": [
"111122223333",
"444455556666"
]
}
}
}
]
}
```
------
1. 建立端點:
1. 檢閱您的設定。
1. 選擇**建立端點**。
1. 驗證端點:
1. 建立端點後,導覽至 VPC 主控台中的**端點**區段。
1. 選取新建立的端點。
1. 驗證**狀態**是否**可用**。
透過遵循這些步驟,您可以建立 VPC 端點,允許 S3 存取僅限於您帳戶或指定帳戶 ID 內的資源。