Beispiele für Bucket-Richtlinien - Amazon S3 on Outposts
Beschränken des Zugriffs auf bestimmte IP-Adressen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiele für Bucket-Richtlinien

Mit Bucket-Richtlinien von S3 on Outposts können Sie den Zugriff auf Objekte in Ihren Buckets von S3 on Outposts sichern, sodass nur Benutzer mit den entsprechenden Berechtigungen darauf zugreifen können. Sie können sogar verhindern, dass authentifizierte Benutzer ohne die entsprechenden Berechtigungen auf Ihre Ressourcen von S3 on Outposts zugreifen.

Dieser Abschnitt veranschaulicht Beispiele für typische Anwendungsfälle für Bucket-Richtlinien von S3 on Outposts. Wenn Sie diese Richtlinien testen möchten, ersetzen Sie die user input placeholders durch Ihre eigenen Informationen (z. B. Ihren Bucket-Namen).

Um einer Gruppe von Objekten Berechtigungen zu gewähren oder zu verweigern, können Sie Platzhalterzeichen (*) in Amazon-Ressourcennamen (ARNs) und anderen Werten verwenden. Sie können beispielsweise den Zugriff auf Gruppen von Objekten steuern, die mit einem gemeinsamen Präfixbeginnen oder mit einer bestimmten Erweiterung wie .html enden.

Weitere Informationen zur AWS Identity and Access Management (IAM-) Richtliniensprache finden Sie unter. Einrichten von IAM mit S3 on Outposts

Anmerkung

Beim Testen von s3outposts-Berechtigungen unter Verwendung der Amazon-S3-Konsole müssen Sie zusätzliche Berechtigungen erteilen, die die Konsole benötigt, wie etwa s3outposts:createendpoint und s3outposts:listendpoints.

Zusätzliche Ressourcen für die Erstellung von Bucket-Richtlinien

Verwalten des Zugriffs auf einen Bucket von Amazon S3 on Outposts basierend auf spezifischen IP-Adressen

Eine Bucket-Richtlinie ist eine ressourcenbasierte AWS Identity and Access Management (IAM) -Richtlinie, mit der Sie Zugriffsberechtigungen für Ihren Bucket und die darin enthaltenen Objekte gewähren können. Nur der Bucket-Eigentümer kann einem Bucket eine Richtlinie zuordnen. Die dem Bucket zugeordneten Berechtigungen gelten für alle Objekte im Bucket, die dem Bucket-Eigentümer gehören. Bucket-Richtlinien sind auf eine Größe von 20 KB beschränkt. Weitere Informationen finden Sie unter Bucket-Richtlinie.

Beschränken des Zugriffs auf bestimmte IP-Adressen

Im folgenden Beispiel wird allen Benutzern die Berechtigung zum Ausführen von S3-in-Outposts-Operationen an Objekten in festgelegten Buckets verweigert, es sei denn, die Anforderung stammt aus dem in der Bedingung angegebenen IP-Adressbereich.

Anmerkung

Wenn Sie den Zugriff auf eine bestimmte IP-Adresse beschränken, geben Sie unbedingt auch an, welche VPC-Endpunkte, VPC-Quell-IP-Adressen oder externen IP-Adressen auf den Bucket von S3 on Outposts zugreifen können. Andernfalls verlieren Sie möglicherweise den Zugriff auf den Bucket, wenn Ihre Richtlinie allen Benutzern die Ausführung von s3outposts-Operationen an Objekten in Ihrem Bucket von S3 on Outposts verweigert, ohne dass bereits die entsprechenden Berechtigungen vorhanden sind.

In der Condition Erklärung dieser Richtlinie wird 192.0.2.0/24 der Bereich der zulässigen IP-Adressen der Version 4 (IPv4) angegeben.

Der Condition Block verwendet die NotIpAddress Bedingung und den aws:SourceIp Bedingungsschlüssel, bei dem es sich um einen AWS breiten Bedingungsschlüssel handelt. Der aws:SourceIp-Bedingungsschlüssel kann nur für öffentliche IP-Adressbereiche verwendet werden. Weitere Informationen zu diesen Bedingungsschlüsseln finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für S3 on Outposts. Die aws:SourceIp IPv4 Werte verwenden die Standard-CIDR-Notation. Weitere Informationen finden Sie in der Referenz zu IAM-JSON-Richtlinienelementen im IAM-Benutzerhandbuch.

Warnung

Ersetzen Sie vor der Verwendung dieser Richtlinie von S3 on Outposts den 192.0.2.0/24-IP-Adressbereich in diesem Beispiel durch einen geeigneten Wert für Ihren Anwendungsfall. Andernfalls verlieren Sie die Möglichkeit, auf Ihren Bucket zuzugreifen.

{
    "Version": "2012-10-17",
    "Id": "S3OutpostsPolicyId1",
    "Statement": [
        {
            "Sid": "IPAllow",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3-outposts:*",
            "Resource": [
                "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/accesspoint/EXAMPLE-ACCESS-POINT-NAME",
                "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/amzn-s3-demo-bucket"
            ],
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": "192.0.2.0/24"
                }
            }
        }
    ]
}

Erlaube sowohl als IPv4 auch Adressen IPv6

Wenn Sie anfangen, IPv6 Adressen zu verwenden, empfehlen wir Ihnen, alle Richtlinien Ihrer Organisation mit Ihren IPv6 Adressbereichen zusätzlich zu Ihren bestehenden IPv4 Bereichen zu aktualisieren. Auf diese Weise können Sie sicherstellen, dass die Richtlinien auch bei der Umstellung auf funktionieren IPv6.

Die folgende Beispiel-Bucket-Richtlinie für S3 on Outposts zeigt, wie Sie Bereiche kombinieren IPv4 und IPv6 adressieren können, um alle gültigen IP-Adressen Ihres Unternehmens abzudecken. Die Beispielrichtlinie erteilt Zugriff auf die IP-Adressen 192.0.2.1 und 2001:DB8:1234:5678::1 und verweigert den Zugriff auf die Adressen 203.0.113.1 und 2001:DB8:1234:5678:ABCD::1.

Der aws:SourceIp-Bedingungsschlüssel kann nur für öffentliche IP-Adressbereiche verwendet werden. Die IPv6 Werte für aws:SourceIp müssen im CIDR-Standardformat vorliegen. Für IPv6 unterstützen wir die Verwendung :: zur Darstellung eines Bereichs von Nullen (z. B.2001:DB8:1234:5678::/64). Weitere Informationen finden Sie unter IP-Adressen-Bedingungsoperatoren im IAM-Benutzerhandbuch.

Warnung

Ersetzen Sie die IP-Adressbereiche in diesem Beispiel durch geeignete Werte für Ihren Anwendungsfall, bevor Sie diese Richtlinie von S3 on Outposts verwenden. Andernfalls verlieren Sie möglicherweise die Möglichkeit, auf Ihren Bucket zuzugreifen.

{
    "Id": "S3OutpostsPolicyId2",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowIPmix",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3outposts:*",
            "Resource": [            
                "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/amzn-s3-demo-bucket",
                        "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "2001:DB8:1234:5678::/64"
                    ]
                },
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "203.0.113.0/24",
                        "2001:DB8:1234:5678:ABCD::/80"
                    ]
                }
            }
        }
    ]
}