Beispiele für Bucket-Richtlinien
Mit Bucket-Richtlinien von S3 on Outposts können Sie den Zugriff auf Objekte in Ihren Buckets von S3 on Outposts sichern, sodass nur Benutzer mit den entsprechenden Berechtigungen darauf zugreifen können. Sie können sogar verhindern, dass authentifizierte Benutzer ohne die entsprechenden Berechtigungen auf Ihre Ressourcen von S3 on Outposts zugreifen.
Dieser Abschnitt veranschaulicht Beispiele für typische Anwendungsfälle für Bucket-Richtlinien von S3 on Outposts. Wenn Sie diese Richtlinien testen möchten, ersetzen Sie die user input
placeholders
Wenn Sie einer Gruppe von Objekten Berechtigungen erteilen oder verweigern möchten, können Sie Platzhalterzeichen für (*) Amazon-Ressourcennamen (ARNs) und andere Werte verwenden. Sie können beispielsweise den Zugriff auf Gruppen von Objekten steuern, die mit einem gemeinsamen Präfixbeginnen oder mit einer bestimmten Erweiterung wie .html enden.
Weitere Informationen zur AWS Identity and Access Management (IAM)-Richtliniensprache finden Sie unter Einrichten von IAM mit S3 on Outposts.
Anmerkung
Beim Testen von s3outposts-Berechtigungen unter Verwendung der Amazon-S3-Konsole müssen Sie zusätzliche Berechtigungen erteilen, die die Konsole benötigt, wie etwa s3outposts:createendpoint und s3outposts:listendpoints.
Zusätzliche Ressourcen für die Erstellung von Bucket-Richtlinien
-
Eine Liste der IAM-Richtlinienaktionen, -Ressourcen und -Bedingungsschlüssel, die Sie beim Erstellen einer Bucket-Richtlinie von S3 on Outposts verwenden können, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3 on Outposts.
-
Anleitungen zur Erstellung einer Richtlinie von S3 on Outposts finden Sie unter Hinzufügen oder Bearbeiten einer Bucket-Richtlinie für einen Amazon-S3-on-Outposts-Bucket.
Verwalten des Zugriffs auf einen Bucket von Amazon S3 on Outposts basierend auf spezifischen IP-Adressen
Eine Bucket-Richtlinie ist eine auf Ressourcen basierende AWS Identity and Access Management-(IAM)-Richtlinie, die Sie verwenden können, um Zugriffsberechtigungen für Ihren Bucket und die darin enthaltenen Objekte zu erteilen. Nur der Bucket-Eigentümer kann einem Bucket eine Richtlinie zuordnen. Die dem Bucket zugeordneten Berechtigungen gelten für alle Objekte im Bucket, die dem Bucket-Eigentümer gehören. Bucket-Richtlinien sind auf eine Größe von 20 KB beschränkt. Weitere Informationen finden Sie unter Bucket-Richtlinie.
Beschränken des Zugriffs auf bestimmte IP-Adressen
Im folgenden Beispiel wird allen Benutzern die Berechtigung zum Ausführen von S3-in-Outposts-Operationen an Objekten in festgelegten Buckets verweigert, es sei denn, die Anforderung stammt aus dem in der Bedingung angegebenen IP-Adressbereich.
Anmerkung
Wenn Sie den Zugriff auf eine bestimmte IP-Adresse beschränken, geben Sie unbedingt auch an, welche VPC-Endpunkte, VPC-Quell-IP-Adressen oder externen IP-Adressen auf den Bucket von S3 on Outposts zugreifen können. Andernfalls verlieren Sie möglicherweise den Zugriff auf den Bucket, wenn Ihre Richtlinie allen Benutzern die Ausführung von s3outposts-Operationen an Objekten in Ihrem Bucket von S3 on Outposts verweigert, ohne dass bereits die entsprechenden Berechtigungen vorhanden sind.
Die Condition-Anweisung dieser Richtlinie identifiziert 192.0.2.0/24
Der Condition-Block verwendet die Bedingungen NotIpAddress und den Bedingungsschlüssel aws:SourceIp, wobei es sich um einen AWS-übergreifenden Bedingungsschlüssel handelt. Der aws:SourceIp-Bedingungsschlüssel kann nur für öffentliche IP-Adressbereiche verwendet werden. Weitere Informationen zu diesen Bedingungsschlüsseln finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für S3 on Outposts. Die aws:SourceIp-IPv4-Werte verwenden die CIDR-Standardnotation. Weitere Informationen finden Sie in der Referenz zu IAM-JSON-Richtlinienelementen im IAM-Benutzerhandbuch.
Warnung
Ersetzen Sie vor der Verwendung dieser Richtlinie von S3 on Outposts den 192.0.2.0/24
{ "Version": "2012-10-17", "Id": "S3OutpostsPolicyId1", "Statement": [ { "Sid": "IPAllow", "Effect": "Deny", "Principal": "*", "Action": "s3-outposts:*", "Resource": [ "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/accesspoint/EXAMPLE-ACCESS-POINT-NAME", "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/" ], "Condition": { "NotIpAddress": { "aws:SourceIp": "amzn-s3-demo-bucket192.0.2.0/24" } } } ] }
Zulassen von IPv4- und IPv6-Adressen
Wenn Sie mit der Verwendung von IPv6-Adressen beginnen, empfehlen wir, dass Sie alle Richtlinien Ihrer Organisation zusätzlich zu Ihren bereits vorhandenen IPv4-Adressbereichen auf Ihre IPv6-Adressbereiche aktualisieren. Auf diese Weise können Sie sicherstellen, dass die Richtlinien auch während der Umstellung auf IPv6 weiterhin funktionieren.
Das folgende Beispiel für eine Bucket-Richtlinie von S3 on Outposts zeigt, wie Sie IPv4- und IPv6-Adressbereiche kombinieren können, um alle gültigen IP-Adressen in Ihrer Organisation abzudecken. Die Beispielrichtlinie erteilt Zugriff auf die IP-Adressen 192.0.2.12001:DB8:1234:5678::1203.0.113.12001:DB8:1234:5678:ABCD::1
Der aws:SourceIp-Bedingungsschlüssel kann nur für öffentliche IP-Adressbereiche verwendet werden. Die IPv6-Werte für aws:SourceIp müssen im CIDR-Standardformat angegeben werden. Für IPv6 unterstützen wir die Verwendung von :: zur Darstellung eines Bereichs von Nullen (z. B. 2001:DB8:1234:5678::/64). Weitere Informationen finden Sie unter IP-Adressen-Bedingungsoperatoren im IAM-Benutzerhandbuch.
Warnung
Ersetzen Sie die IP-Adressbereiche in diesem Beispiel durch geeignete Werte für Ihren Anwendungsfall, bevor Sie diese Richtlinie von S3 on Outposts verwenden. Andernfalls verlieren Sie möglicherweise die Möglichkeit, auf Ihren Bucket zuzugreifen.
