Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Contoh kebijakan bucket
Dengan kebijakan bucket S3 on Outposts, Anda dapat mengamankan akses ke objek di bucket S3 di Outposts, sehingga hanya pengguna dengan izin yang sesuai yang dapat mengaksesnya. Anda bahkan dapat mencegah pengguna yang diautentikasi tanpa izin yang sesuai untuk mengakses sumber daya S3 Anda di Outposts.
Bagian ini menyajikan contoh kasus penggunaan umum untuk kebijakan bucket S3 pada Outposts. Untuk menguji kebijakan ini, ganti
dengan informasi Anda sendiri (seperti nama bucket Anda). user input
placeholders
Untuk memberikan atau menolak izin ke sekumpulan objek, Anda dapat menggunakan karakter wildcard (*
) di Amazon Resource Names (ARNs) dan nilai lainnya. Misalnya, Anda dapat mengendalikan akses ke kelompok objek yang dimulai dengan prefiks umum atau diakhiri dengan ekstensi tertentu, seperti .html
.
Untuk informasi selengkapnya tentang bahasa kebijakan AWS Identity and Access Management (IAM), lihatMengatur IAM dengan S3 di Outposts.
catatan
Saat menguji s3outpostsizin menggunakan konsol Amazon S3, Anda harus memberikan izin tambahan yang diperlukan konsol, s3outposts:createendpoint
seperti,, dan s3outposts:listendpoints
sebagainya.
Sumber daya tambahan untuk membuat kebijakan bucket
-
Untuk daftar tindakan kebijakan IAM, sumber daya, dan kunci kondisi yang dapat Anda gunakan saat membuat kebijakan bucket S3 di Outposts, lihat Kunci tindakan, sumber daya, dan kondisi untuk Amazon S3 di Outposts.
-
Untuk panduan cara membuat kebijakan S3 tentang Outposts Anda, lihat. Menambahkan atau mengedit kebijakan bucket untuk bucket Amazon S3 di Outposts
Mengelola akses ke bucket Amazon S3 di Outposts berdasarkan alamat IP tertentu
Kebijakan bucket adalah kebijakan berbasis sumber daya AWS Identity and Access Management (IAM) yang dapat Anda gunakan untuk memberikan izin akses ke bucket dan objek di dalamnya. Hanya pemilik bucket yang dapat mengaitkan kebijakan dengan bucket. Izin yang dipasang pada bucket berlaku untuk semua objek di bucket yang dimiliki oleh pemilik bucket. Kebijakan bucket dibatasi hingga ukuran 20 KB. Untuk informasi selengkapnya, lihat Kebijakan bucket.
Membatasi akses ke suatu Wilayah tertentu
Contoh berikut menyangkal semua pengguna melakukan operasi S3 pada Outposts pada objek dalam bucket yang ditentukan kecuali permintaan tersebut berasal dari rentang alamat IP yang ditentukan.
catatan
Saat membatasi akses ke alamat IP tertentu, pastikan Anda juga menentukan titik akhir VPC, alamat IP sumber VPC, atau alamat IP eksternal yang dapat mengakses bucket S3 on Outposts. Jika tidak, Anda mungkin kehilangan akses ke bucket jika kebijakan Anda menolak semua pengguna melakukan s3outpostsoperasi apa pun pada objek di bucket S3 di Outposts tanpa izin yang tepat.
Condition
Pernyataan kebijakan ini mengidentifikasi
sebagai rentang alamat IP versi 4 (IPv4) IP yang diizinkan. 192.0.2.0/24
Condition
Blok menggunakan NotIpAddress
kondisi dan kunci aws:SourceIp
kondisi, yang merupakan kunci kondisi AWS lebar. Kunci kondisi aws:SourceIp
hanya dapat digunakan untuk rentang alamat IP publik. Untuk informasi selengkapnya tentang kunci kondisi ini, lihat Tindakan, sumber daya, dan kunci kondisi untuk S3 di Outposts. aws:SourceIp
IPv4 Nilai menggunakan notasi CIDR standar. Untuk informasi selengkapnya, lihat referensi elemen kebijakan IAM JSON di Panduan Pengguna IAM.
Awas
Sebelum menggunakan kebijakan S3 on Outposts ini, ganti
rentang alamat IP dalam contoh ini dengan nilai yang sesuai untuk kasus penggunaan Anda. Jika tidak, Anda akan kehilangan kemampuan untuk mengakses bucket Anda.192.0.2.0/24
{ "Version": "2012-10-17", "Id": "S3OutpostsPolicyId1", "Statement": [ { "Sid": "IPAllow", "Effect": "Deny", "Principal": "*", "Action": "s3-outposts:*", "Resource": [ "arn:aws:aws:s3-outposts:
region
:111122223333
:outpost/OUTPOSTS-ID
/accesspoint/EXAMPLE-ACCESS-POINT-NAME
", "arn:aws:aws:s3-outposts:region
:111122223333
:outpost/OUTPOSTS-ID
/bucket/" ], "Condition": { "NotIpAddress": { "aws:SourceIp": "
amzn-s3-demo-bucket
192.0.2.0/24
" } } } ] }
Izinkan keduanya IPv4 dan IPv6 alamat
Saat Anda mulai menggunakan IPv6 alamat, sebaiknya Anda memperbarui semua kebijakan organisasi dengan rentang IPv6 alamat selain IPv4 rentang yang ada. Melakukan hal ini akan membantu memastikan bahwa kebijakan terus berfungsi saat Anda melakukan transisi IPv6.
Kebijakan bucket contoh S3 on Outposts berikut menunjukkan cara IPv4 mencampur IPv6 dan rentang alamat untuk mencakup semua alamat IP valid organisasi Anda. Kebijakan contoh memungkinkan akses ke alamat IP contoh
dan 192.0.2.1
dan menolak akses ke alamat 2001:DB8:1234:5678::1
dan 203.0.113.1
.2001:DB8:1234:5678:ABCD::1
Kunci kondisi aws:SourceIp
hanya dapat digunakan untuk rentang alamat IP publik. IPv6 Nilai untuk aws:SourceIp
harus dalam format CIDR standar. Untuk IPv6, kami mendukung penggunaan ::
untuk mewakili rentang 0 (misalnya,2001:DB8:1234:5678::/64
). Untuk informasi selengkapnya, lihat operator kondisi alamat IP di Panduan Pengguna IAM.
Awas
Ganti rentang alamat IP dalam contoh ini dengan nilai yang sesuai untuk kasus penggunaan Anda sebelum menggunakan kebijakan S3 on Outposts ini. Jika tidak, Anda mungkin kehilangan kemampuan untuk mengakses bucket Anda.
{ "Id": "S3OutpostsPolicyId2", "Version": "2012-10-17", "Statement": [ { "Sid": "AllowIPmix", "Effect": "Allow", "Principal": "*", "Action": "s3outposts:*", "Resource": [ "arn:aws:aws:s3-outposts:
region
:111122223333
:outpost/OUTPOSTS-ID
/bucket/", "arn:aws:aws:s3-outposts:
amzn-s3-demo-bucket
region
:111122223333
:outpost/OUTPOSTS-ID
/bucket//*" ], "Condition": { "IpAddress": { "aws:SourceIp": [ "
amzn-s3-demo-bucket
192.0.2.0/24
", "2001:DB8:1234:5678::/64
" ] }, "NotIpAddress": { "aws:SourceIp": [ "203.0.113.0/24
", "2001:DB8:1234:5678:ABCD::/80
" ] } } } ] }