Contoh kebijakan bucket - Amazon S3 on Outposts

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Contoh kebijakan bucket

Dengan kebijakan bucket S3 on Outposts, Anda dapat mengamankan akses ke objek di bucket S3 di Outposts, sehingga hanya pengguna dengan izin yang sesuai yang dapat mengaksesnya. Anda bahkan dapat mencegah pengguna yang diautentikasi tanpa izin yang sesuai untuk mengakses sumber daya S3 Anda di Outposts.

Bagian ini menyajikan contoh kasus penggunaan umum untuk kebijakan bucket S3 pada Outposts. Untuk menguji kebijakan ini, ganti user input placeholders dengan informasi Anda sendiri (seperti nama bucket Anda).

Untuk memberikan atau menolak izin ke sekumpulan objek, Anda dapat menggunakan karakter wildcard (*) di Amazon Resource Names (ARNs) dan nilai lainnya. Misalnya, Anda dapat mengendalikan akses ke kelompok objek yang dimulai dengan prefiks umum atau diakhiri dengan ekstensi tertentu, seperti .html.

Untuk informasi selengkapnya tentang bahasa kebijakan AWS Identity and Access Management (IAM), lihatMengatur IAM dengan S3 di Outposts.

catatan

Saat menguji s3outpostsizin menggunakan konsol Amazon S3, Anda harus memberikan izin tambahan yang diperlukan konsol, s3outposts:createendpoint seperti,, dan s3outposts:listendpoints sebagainya.

Sumber daya tambahan untuk membuat kebijakan bucket

Mengelola akses ke bucket Amazon S3 di Outposts berdasarkan alamat IP tertentu

Kebijakan bucket adalah kebijakan berbasis sumber daya AWS Identity and Access Management (IAM) yang dapat Anda gunakan untuk memberikan izin akses ke bucket dan objek di dalamnya. Hanya pemilik bucket yang dapat mengaitkan kebijakan dengan bucket. Izin yang dipasang pada bucket berlaku untuk semua objek di bucket yang dimiliki oleh pemilik bucket. Kebijakan bucket dibatasi hingga ukuran 20 KB. Untuk informasi selengkapnya, lihat Kebijakan bucket.

Membatasi akses ke suatu Wilayah tertentu

Contoh berikut menyangkal semua pengguna melakukan operasi S3 pada Outposts pada objek dalam bucket yang ditentukan kecuali permintaan tersebut berasal dari rentang alamat IP yang ditentukan.

catatan

Saat membatasi akses ke alamat IP tertentu, pastikan Anda juga menentukan titik akhir VPC, alamat IP sumber VPC, atau alamat IP eksternal yang dapat mengakses bucket S3 on Outposts. Jika tidak, Anda mungkin kehilangan akses ke bucket jika kebijakan Anda menolak semua pengguna melakukan s3outpostsoperasi apa pun pada objek di bucket S3 di Outposts tanpa izin yang tepat.

ConditionPernyataan kebijakan ini mengidentifikasi 192.0.2.0/24 sebagai rentang alamat IP versi 4 (IPv4) IP yang diizinkan.

ConditionBlok menggunakan NotIpAddress kondisi dan kunci aws:SourceIp kondisi, yang merupakan kunci kondisi AWS lebar. Kunci kondisi aws:SourceIp hanya dapat digunakan untuk rentang alamat IP publik. Untuk informasi selengkapnya tentang kunci kondisi ini, lihat Tindakan, sumber daya, dan kunci kondisi untuk S3 di Outposts. aws:SourceIp IPv4 Nilai menggunakan notasi CIDR standar. Untuk informasi selengkapnya, lihat referensi elemen kebijakan IAM JSON di Panduan Pengguna IAM.

Awas

Sebelum menggunakan kebijakan S3 on Outposts ini, ganti 192.0.2.0/24 rentang alamat IP dalam contoh ini dengan nilai yang sesuai untuk kasus penggunaan Anda. Jika tidak, Anda akan kehilangan kemampuan untuk mengakses bucket Anda.

{ "Version": "2012-10-17", "Id": "S3OutpostsPolicyId1", "Statement": [ { "Sid": "IPAllow", "Effect": "Deny", "Principal": "*", "Action": "s3-outposts:*", "Resource": [ "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/accesspoint/EXAMPLE-ACCESS-POINT-NAME", "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/amzn-s3-demo-bucket" ], "Condition": { "NotIpAddress": { "aws:SourceIp": "192.0.2.0/24" } } } ] }

Izinkan keduanya IPv4 dan IPv6 alamat

Saat Anda mulai menggunakan IPv6 alamat, sebaiknya Anda memperbarui semua kebijakan organisasi dengan rentang IPv6 alamat selain IPv4 rentang yang ada. Melakukan hal ini akan membantu memastikan bahwa kebijakan terus berfungsi saat Anda melakukan transisi IPv6.

Kebijakan bucket contoh S3 on Outposts berikut menunjukkan cara IPv4 mencampur IPv6 dan rentang alamat untuk mencakup semua alamat IP valid organisasi Anda. Kebijakan contoh memungkinkan akses ke alamat IP contoh 192.0.2.1dan 2001:DB8:1234:5678::1dan menolak akses ke alamat 203.0.113.1dan 2001:DB8:1234:5678:ABCD::1.

Kunci kondisi aws:SourceIp hanya dapat digunakan untuk rentang alamat IP publik. IPv6 Nilai untuk aws:SourceIp harus dalam format CIDR standar. Untuk IPv6, kami mendukung penggunaan :: untuk mewakili rentang 0 (misalnya,2001:DB8:1234:5678::/64). Untuk informasi selengkapnya, lihat operator kondisi alamat IP di Panduan Pengguna IAM.

Awas

Ganti rentang alamat IP dalam contoh ini dengan nilai yang sesuai untuk kasus penggunaan Anda sebelum menggunakan kebijakan S3 on Outposts ini. Jika tidak, Anda mungkin kehilangan kemampuan untuk mengakses bucket Anda.

{ "Id": "S3OutpostsPolicyId2", "Version": "2012-10-17", "Statement": [ { "Sid": "AllowIPmix", "Effect": "Allow", "Principal": "*", "Action": "s3outposts:*", "Resource": [ "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/amzn-s3-demo-bucket", "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/amzn-s3-demo-bucket/*" ], "Condition": { "IpAddress": { "aws:SourceIp": [ "192.0.2.0/24", "2001:DB8:1234:5678::/64" ] }, "NotIpAddress": { "aws:SourceIp": [ "203.0.113.0/24", "2001:DB8:1234:5678:ABCD::/80" ] } } } ] }