Restriction de l’accès à des adresses IP spécifiques

Exemples de politique de compartiment

Grâce aux politiques de compartiments S3 sur Outposts, vous pouvez sécuriser l’accès aux objets de vos compartiments S3 sur Outposts, afin que seuls les utilisateurs disposant des autorisations appropriées puissent y accéder. Vous pouvez même empêcher les utilisateurs authentifiés ne disposant pas des autorisations appropriées d’accéder à vos ressources S3 sur Outposts.

Cette section présente des exemples de cas d’utilisation standard de politiques de compartiments S3 sur Outposts. Pour tester ces politiques, remplacez user input placeholders par vos propres informations (comme le nom de votre compartiment).

Pour accorder ou refuser des autorisations à un ensemble d'objets, vous pouvez utiliser des caractères génériques (*) dans Amazon Resource Names (ARNs) et d'autres valeurs. Par exemple, vous pouvez contrôler l’accès aux groupes d’objets qui commencent par un préfixecourant ou se terminent par une extension donnée, comme .html.

Pour plus d'informations sur le langage de politique AWS Identity and Access Management (IAM), consultezConfiguration d’IAM avec S3 sur Outposts.

Note

Lors du test des autorisations s3outposts à l’aide de la console Amazon S3, vous devez accorder les autorisations supplémentaires requises par la console, telles que s3outposts:createendpoint, s3outposts:listendpoints, etc.

Ressources supplémentaires pour créer des politiques de compartiment

Pour obtenir la liste des actions, des ressources et des clés de condition de politique IAM que vous pouvez utiliser lors de la création d’une politique de compartiment S3 sur Outposts, consultez Actions, ressources et clés de condition pour Amazon S3 sur Outposts.
Pour obtenir des conseils sur la création de votre politique S3 sur Outposts, consultez Ajout ou modification d'une politique de compartiment pour un compartiment Amazon S3 on Outposts..

Rubriques

Gestion de l’accès à un compartiment Amazon S3 sur Outposts en fonction d’adresses IP spécifiques

Gestion de l’accès à un compartiment Amazon S3 sur Outposts en fonction d’adresses IP spécifiques

Une politique de compartiment est une politique basée sur les ressources AWS Identity and Access Management (IAM) que vous pouvez utiliser pour accorder des autorisations d'accès à votre compartiment et aux objets qu'il contient. Seul le propriétaire du compartiment peut associer une politique à un compartiment. Les autorisations attachées au compartiment s’appliquent à tous les objets du compartiment appartenant au compte propriétaire du compartiment. Les politiques de compartiment sont limitées à une taille de 20 Ko. Pour de plus amples informations, veuillez consulter Politique de compartiment.

Restriction de l’accès à des adresses IP spécifiques

L’exemple suivant interdit à tous les utilisateurs d’effectuer des opérations S3 sur Outposts sur les objets des compartiments spécifiés, sauf si la demande provient de la plage d’adresses IP spécifiée.

Note

Lorsque vous limitez l’accès à une adresse IP spécifique, veillez à spécifier également les points de terminaison de VPC, les adresses IP sources de VPC ou les adresses IP externes qui peuvent accéder au compartiment S3 sur Outposts. Dans le cas contraire, vous risquez de perdre l’accès au compartiment si votre politique interdit à tous les utilisateurs d’effectuer des opérations s3outposts sur les objets de votre compartiment S3 sur Outposts sans que les autorisations appropriées ne soient déjà en place.

La Condition déclaration de cette politique s'identifie 192.0.2.0/24 comme la plage d'adresses IP autorisées version 4 (IPv4).

Le Condition bloc utilise la NotIpAddress condition et la clé de aws:SourceIp condition, qui est une clé AWS de condition large. La clé de condition aws:SourceIp ne peut être utilisée que pour les plages d’adresses IP publiques. Pour plus d’informations sur ces clés de condition, consultez Actions, ressources et clés de condition pour S3 sur Outposts. Les aws:SourceIp IPv4 valeurs utilisent la notation CIDR standard. Pour plus d’informations, consultez Références des éléments de politique JSON IAM dans le Guide de l’utilisateur IAM.

Avertissement

Avant d’employer cette politique S3 sur Outposts, remplacez la plage d’adresses IP 192.0.2.0/24 de cet exemple par une valeur appropriée pour votre cas d’utilisation. Dans le cas contraire, vous perdrez la possibilité d’accéder à votre compartiment.


{
    "Version": "2012-10-17",
    "Id": "S3OutpostsPolicyId1",
    "Statement": [
        {
            "Sid": "IPAllow",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3-outposts:*",
            "Resource": [
                "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/accesspoint/EXAMPLE-ACCESS-POINT-NAME",
                "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/amzn-s3-demo-bucket"
            ],
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": "192.0.2.0/24"
                }
            }
        }
    ]
}

Autoriser à la fois IPv4 et IPv6 les adresses

Lorsque vous commencez à utiliser IPv6 des adresses, nous vous recommandons de mettre à jour toutes les politiques de votre organisation avec vos plages d' IPv6 adresses en plus de vos IPv4 plages existantes. Cela vous aidera à faire en sorte que les politiques continuent de fonctionner pendant la transition vers IPv6.

L'exemple de politique de compartiment S3 on Outposts suivant montre comment combiner des plages IPv4 d' IPv6 adresses pour couvrir toutes les adresses IP valides de votre organisation. Dans cet exemple, la politique autorise l’accès aux exemples d’adresses IP 192.0.2.1 et 2001:DB8:1234:5678::1 et le refuse aux adresses 203.0.113.1 et 2001:DB8:1234:5678:ABCD::1.

La clé de condition aws:SourceIp ne peut être utilisée que pour les plages d’adresses IP publiques. Les IPv6 valeurs pour aws:SourceIp doivent être au format CIDR standard. En IPv6 effet, nous prenons en charge l'utilisation :: pour représenter une plage de 0 (par exemple,2001:DB8:1234:5678::/64). Pour plus d’informations, consultez Opérateurs de condition d’adresse IP dans le guide de l’utilisateur IAM.

Avertissement

Remplacez les plages d’adresses IP de cet exemple par des valeurs appropriées pour votre cas d’utilisation avant d’employer cette politique S3 sur Outposts. Dans le cas contraire, vous pourriez perdre la possibilité d’accéder à votre compartiment.


{
    "Id": "S3OutpostsPolicyId2",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowIPmix",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3outposts:*",
            "Resource": [            
                "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/amzn-s3-demo-bucket",
                        "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "2001:DB8:1234:5678::/64"
                    ]
                },
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "203.0.113.0/24",
                        "2001:DB8:1234:5678:ABCD::/80"
                    ]
                }
            }
        }
    ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Suppression d'une politique de compartiment

Affichage des compartiments