Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Contoh kebijakan bucket
Dengan kebijakan bucket S3 on Outposts, Anda dapat mengamankan akses ke objek di bucket S3 di Outposts, sehingga hanya pengguna dengan izin yang sesuai yang dapat mengaksesnya. Anda bahkan dapat mencegah pengguna yang diautentikasi tanpa izin yang sesuai untuk mengakses sumber daya S3 Anda di Outposts.
Bagian ini menyajikan contoh kasus penggunaan umum untuk kebijakan bucket S3 pada Outposts. Untuk menguji kebijakan ini, ganti user input
placeholders
Untuk memberikan atau menolak izin ke sekumpulan objek, Anda dapat menggunakan karakter wildcard (*) di Amazon Resource Names (ARNs) dan nilai lainnya. Misalnya, Anda dapat mengendalikan akses ke kelompok objek yang dimulai dengan prefiks umum atau diakhiri dengan ekstensi tertentu, seperti .html.
Untuk informasi selengkapnya tentang bahasa kebijakan AWS Identity and Access Management (IAM), lihatMengatur IAM dengan S3 di Outposts.
catatan
Saat menguji s3outpostsizin menggunakan konsol Amazon S3, Anda harus memberikan izin tambahan yang diperlukan konsol, s3outposts:createendpoint seperti,, dan s3outposts:listendpoints sebagainya.
Sumber daya tambahan untuk membuat kebijakan bucket
-
Untuk daftar tindakan kebijakan IAM, sumber daya, dan kunci kondisi yang dapat Anda gunakan saat membuat kebijakan bucket S3 di Outposts, lihat Kunci tindakan, sumber daya, dan kondisi untuk Amazon S3 di Outposts.
-
Untuk panduan cara membuat kebijakan S3 tentang Outposts Anda, lihat. Menambahkan atau mengedit kebijakan bucket untuk bucket Amazon S3 di Outposts
Mengelola akses ke bucket Amazon S3 di Outposts berdasarkan alamat IP tertentu
Kebijakan bucket adalah kebijakan berbasis sumber daya AWS Identity and Access Management (IAM) yang dapat Anda gunakan untuk memberikan izin akses ke bucket dan objek di dalamnya. Hanya pemilik bucket yang dapat mengaitkan kebijakan dengan bucket. Izin yang dipasang pada bucket berlaku untuk semua objek di bucket yang dimiliki oleh pemilik bucket. Kebijakan bucket dibatasi hingga ukuran 20 KB. Untuk informasi selengkapnya, lihat Kebijakan bucket.
Membatasi akses ke suatu Wilayah tertentu
Contoh berikut menyangkal semua pengguna melakukan operasi S3 pada Outposts pada objek dalam bucket yang ditentukan kecuali permintaan tersebut berasal dari rentang alamat IP yang ditentukan.
catatan
Saat membatasi akses ke alamat IP tertentu, pastikan Anda juga menentukan titik akhir VPC, alamat IP sumber VPC, atau alamat IP eksternal yang dapat mengakses bucket S3 on Outposts. Jika tidak, Anda mungkin kehilangan akses ke bucket jika kebijakan Anda menolak semua pengguna melakukan s3outpostsoperasi apa pun pada objek di bucket S3 di Outposts tanpa izin yang tepat.
ConditionPernyataan kebijakan ini mengidentifikasi 192.0.2.0/24
ConditionBlok menggunakan NotIpAddress kondisi dan kunci aws:SourceIp kondisi, yang merupakan kunci kondisi AWS lebar. Kunci kondisi aws:SourceIp hanya dapat digunakan untuk rentang alamat IP publik. Untuk informasi selengkapnya tentang kunci kondisi ini, lihat Tindakan, sumber daya, dan kunci kondisi untuk S3 di Outposts. aws:SourceIp IPv4 Nilai menggunakan notasi CIDR standar. Untuk informasi selengkapnya, lihat referensi elemen kebijakan IAM JSON di Panduan Pengguna IAM.
Awas
Sebelum menggunakan kebijakan S3 on Outposts ini, ganti 192.0.2.0/24
{ "Version": "2012-10-17", "Id": "S3OutpostsPolicyId1", "Statement": [ { "Sid": "IPAllow", "Effect": "Deny", "Principal": "*", "Action": "s3-outposts:*", "Resource": [ "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/accesspoint/EXAMPLE-ACCESS-POINT-NAME", "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/" ], "Condition": { "NotIpAddress": { "aws:SourceIp": "amzn-s3-demo-bucket192.0.2.0/24" } } } ] }
Izinkan keduanya IPv4 dan IPv6 alamat
Saat Anda mulai menggunakan IPv6 alamat, sebaiknya Anda memperbarui semua kebijakan organisasi dengan rentang IPv6 alamat selain IPv4 rentang yang ada. Melakukan hal ini akan membantu memastikan bahwa kebijakan terus berfungsi saat Anda melakukan transisi IPv6.
Kebijakan bucket contoh S3 on Outposts berikut menunjukkan cara IPv4 mencampur IPv6 dan rentang alamat untuk mencakup semua alamat IP valid organisasi Anda. Kebijakan contoh memungkinkan akses ke alamat IP contoh 192.0.2.12001:DB8:1234:5678::1203.0.113.12001:DB8:1234:5678:ABCD::1
Kunci kondisi aws:SourceIp hanya dapat digunakan untuk rentang alamat IP publik. IPv6 Nilai untuk aws:SourceIp harus dalam format CIDR standar. Untuk IPv6, kami mendukung penggunaan :: untuk mewakili rentang 0 (misalnya,2001:DB8:1234:5678::/64). Untuk informasi selengkapnya, lihat operator kondisi alamat IP di Panduan Pengguna IAM.
Awas
Ganti rentang alamat IP dalam contoh ini dengan nilai yang sesuai untuk kasus penggunaan Anda sebelum menggunakan kebijakan S3 on Outposts ini. Jika tidak, Anda mungkin kehilangan kemampuan untuk mengakses bucket Anda.
{ "Id": "S3OutpostsPolicyId2", "Version": "2012-10-17", "Statement": [ { "Sid": "AllowIPmix", "Effect": "Allow", "Principal": "*", "Action": "s3outposts:*", "Resource": [ "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/", "arn:aws:aws:s3-outposts:amzn-s3-demo-bucketregion:111122223333:outpost/OUTPOSTS-ID/bucket//*" ], "Condition": { "IpAddress": { "aws:SourceIp": [ "amzn-s3-demo-bucket192.0.2.0/24", "2001:DB8:1234:5678::/64" ] }, "NotIpAddress": { "aws:SourceIp": [ "203.0.113.0/24", "2001:DB8:1234:5678:ABCD::/80" ] } } } ] }
