Comment me connecter en privé à partir d'un Amazon VPC à mon compartiment Amazon S3 sans utiliser l'authentification ?

Date de la dernière mise à jour : 20/05/2021

Je souhaite créer une connexion privée à partir de mon Amazon Virtual Private Cloud (Amazon VPC) vers un compartiment Amazon Simple Storage Service (Amazon S3). Cependant, je ne souhaite pas utiliser l'authentification, comme les informations d'identification AWS Identity and Access Management (IAM). Comment créer ce type de connexion privée ?

Brève description

Vous pouvez accéder de façon privée à un compartiment S3 sans authentification lorsque vous y accédez à partir d'un Amazon Virtual Private Cloud (Amazon VPC) doté d'un point de terminaison Amazon S3.

Procédez comme suit pour configurer l'accès au point de terminaison d'un VPC au compartiment S3 :

1.    Créez un point de terminaison d'un VPC pour Amazon S3.

2.    Ajoutez une stratégie de compartiment qui autorise l'accès depuis le point de terminaison d'un VPC.

Résolution

Avant de commencer, vous devez créer un VPC à partir duquel vous allez accéder au compartiment.

Créer un point de terminaison d'un VPC pour Amazon S3

1.    Ouvrez la console Amazon VPC.

2.    À l'aide du sélecteur de région dans la barre de navigation, définissez la région AWS sur la même région que votre VPC.

3.    Dans le volet de navigation, sélectionnez Points de terminaison.

4.    Choisissez Créer un point de terminaison.

5.    Pour Catégorie de services, assurez-vous que « services AWS » est sélectionné.

6.    Pour Nom du service, sélectionnez le nom de service « s3 » et le type « Passerelle ». Par exemple, le nom du service dans la région USA Est (Virginie du Nord) est com.amazonaws.us-east-1.s3.

7.    Pour VPC, sélectionnez votre VPC.

8.    Pour Configurer les tables de routage, sélectionnez les tables de routage basées sur les sous-réseaux associés auxquels vous souhaitez accorder l'accès à partir du point de terminaison.

9.    Pour Stratégie, assurez-vous de sélectionner Accès complet.

10.    Choisissez Créer un point de terminaison.

11.    Notez l'ID du point de terminaison d'un VPC. Vous aurez besoin de cet ID de point de terminaison pour une étape ultérieure.

Ajouter une stratégie de compartiment qui autorise l'accès depuis le point de terminaison d'un VPC

Mettez à jour votre stratégie de compartiment en ajoutant une condition qui permet aux utilisateurs d'accéder au compartiment S3 lorsque la demande provient du point de terminaison d'un VPC que vous avez créé. Pour permettre à ces utilisateurs de télécharger des objets ( S3:getObject), vous pouvez utiliser une stratégie de compartiment comme celle-ci :

{
   "Version": "2012-10-17",
   "Id": "Policy1415115909152",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPCE-only",
       "Principal": "*",
       "Action": "s3:GetObject",
       "Effect": "Allow",
       "Resource": ["arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"],
       "Condition": {
         "StringEquals": {
           "aws:sourceVpce": "vpce-1a2b3c4d"
         }
       }
     }
   ]
}

Pour la valeur de AWS:SourceVpce, assurez-vous d'entrer l'ID de point de terminaison d'un VPC du point de terminaison que vous avez précédemment créé.

Important : cette stratégie autorise l'accès depuis le point de terminaison d'un VPC, mais elle n'empêche pas l'accès depuis l'extérieur du point de terminaison. Si un utilisateur du même compte est authentifié, cette stratégie lui permet toujours d'accéder au compartiment depuis l'extérieur du point de terminaison VPC. Si vous avez besoin d'une stratégie de compartiment plus restrictive, utilisez-en une qui refuse explicitement l'accès à toutes les demandes provenant de l'extérieur du point de terminaison.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?