Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengatur IAM dengan S3 di Outposts
AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengendalikan siapa saja yang dapat diautentikasi (masuk) dan diizinkan (memiliki izin) untuk menggunakan sumber daya Amazon S3 di Outposts. IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan. Secara default, pengguna tidak memiliki izin untuk sumber daya dan operasi S3 di Outposts. Untuk memberikan izin akses bagi sumber daya dan operasi API S3 di Outposts, Anda dapat menggunakan IAM untuk membuat pengguna, grup, atau peran dan melampirkan izin.
Untuk memberikan akses, menambahkan izin ke pengguna, grup, atau peran Anda:
-
Pengguna dan grup di AWS IAM Identity Center:
Buat rangkaian izin. Ikuti instruksi di Buat rangkaian izin di Panduan Pengguna AWS IAM Identity Center .
-
Pengguna yang dikelola di IAM melalui penyedia identitas:
Buat peran untuk federasi identitas. Ikuti instruksi dalam Buat peran untuk penyedia identitas pihak ketiga (federasi) dalam Panduan Pengguna IAM.
-
Pengguna IAM:
-
Buat peran yang dapat diambil pengguna Anda. Ikuti instruksi dalam Buat peran untuk pengguna IAM dalam Panduan Pengguna IAM.
-
(Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti instruksi dalam Menambahkan izin ke pengguna (konsol) dalam Panduan Pengguna IAM.
-
Selain kebijakan berbasis identitas IAM, S3 di Outposts mendukung kebijakan bucket dan titik akses. Kebijakan bucket dan titik akses adalah kebijakan berbasis sumber daya yang dilampirkan ke sumber daya S3 di Outposts.
-
Kebijakan bucket dilampirkan pada bucket dan mengizinkan atau menolak permintaan ke bucket serta objek di dalamnya berdasarkan elemen dalam kebijakan.
-
Sebaliknya, kebijakan titik akses dilampirkan ke titik akses dan memungkinkan atau menolak permintaan ke titik akses.
Kebijakan titik akses bekerja dengan kebijakan bucket yang dilampirkan pada bucket yang mendasari S3 di Outposts. Agar aplikasi atau pengguna dapat mengakses objek di bucket S3 di Outposts melalui titik akses S3 di Outposts, kebijakan titik akses dan kebijakan bucket harus mengizinkan permintaan tersebut.
Pembatasan yang Anda sertakan dalam kebijakan titik akses hanya berlaku untuk permintaan yang dibuat melalui titik akses tersebut. Misalnya, jika titik akses dilampirkan ke bucket, Anda tidak dapat menggunakan kebijakan titik akses untuk mengizinkan atau menolak permintaan yang dibuat langsung ke bucket. Namun, pembatasan yang Anda terapkan pada kebijakan bucket dapat mengizinkan atau menolak permintaan yang dibuat langsung ke bucket atau melalui titik akses.
Dalam kebijakan IAM atau kebijakan berbasis sumber daya, Anda menentukan tindakan S3 di Outposts mana yang diizinkan atau ditolak. Tindakan S3 di Outposts sesuai dengan operasi API S3 di Outposts tertentu. Tindakan S3 di Outposts menggunakan prefiks namespace s3-outposts:. Permintaan yang dibuat ke S3 on Outposts mengontrol API dalam dan permintaan Wilayah AWS yang dibuat ke titik akhir API objek di Outpost diautentikasi dengan menggunakan IAM dan diotorisasi terhadap awalan namespace. s3-outposts: Untuk bekerja dengan S3 di Outposts, konfigurasikan pengguna IAM Anda dan izinkan mereka terhadap namespace IAM s3-outposts:.
Untuk informasi lebih lanjut, lihat Tindakan, sumber daya, dan kunci syarat untuk Amazon S3 di Outposts di Referensi Otorisasi Layanan.
catatan
-
Daftar kontrol akses (ACLs) tidak didukung oleh S3 di Outposts.
-
S3 di Outposts adalah default bagi pemilik bucket sebagai pemilik objek, untuk membantu memastikan bahwa pemilik bucket tidak dapat dicegah untuk mengakses atau menghapus objek.
-
S3 di Outposts selalu mengaktifkan Blokir Akses Publik S3 untuk membantu memastikan objek tidak pernah memiliki akses publik.
Untuk informasi tentang pengaturan IAM untuk S3 di Outposts, lihat topik berikut.
Topik
Pengguna utama kebijakan S3 di Outposts
Saat membuat kebijakan berbasis sumber daya untuk memberikan akses ke bucket S3 di Outposts, Anda harus menggunakan elemen Principal tersebut untuk menentukan orang atau aplikasi yang dapat membuat permintaan tindakan atau operasi pada sumber daya tersebut. Untuk kebijakan S3 di Outposts, Anda dapat menggunakan salah satu pengguna utama berikut:
-
Sebuah Akun AWS
-
Pengguna IAM
-
Peran IAM
-
Semua pengguna utama, dengan menentukan karakter wildcard (*) dalam kebijakan yang menggunakan elemen
Conditionuntuk membatasi akses ke rentang IP tertentu
penting
Anda tidak dapat menulis kebijakan untuk bucket S3 di Outposts yang menggunakan karakter wildcard (*) dalam elemen Principal kecuali jika kebijakan tersebut juga menyertakan Condition yang membatasi akses ke rentang alamat IP tertentu. Pembatasan ini membantu memastikan tidak ada akses publik ke bucket S3 di Outposts Anda. Sebagai contoh, lihat Contoh kebijakan untuk S3 di Outposts.
Untuk informasi selengkapnya tentang elemen Principal, lihat elemen kebijakan JSON AWS : Pengguna utama dalam Panduan Pengguna IAM.
Sumber daya ARNs untuk S3 di Outposts
Amazon Resource Names (ARNs) untuk S3 di Outposts berisi ID Outpost selain Wilayah AWS tempat Outpost berada, ID, Akun AWS dan nama resource. Untuk mengakses dan melakukan tindakan pada bucket dan objek Outposts Anda, Anda harus menggunakan salah satu format ARN yang ditunjukkan pada tabel berikut.
partition
-
aws– Wilayah AWS -
aws-us-gov— AWS GovCloud (US) Daerah
Tabel berikut menunjukkan S3 pada Outposts format ARN.
| ARN Amazon S3 di Outposts | Format ARN | Contoh |
|---|---|---|
| ARN Bucket | arn: |
arn: |
| Titik Akses ARN | arn: |
arn: |
| ARN objek | arn: |
arn: |
| ARN objek titik akses S3 di Outposts (digunakan dalam kebijakan) | arn: |
arn: |
| ARN S3 di Outposts | arn: |
arn: |
Contoh kebijakan untuk S3 di Outposts
contoh : S3 tentang kebijakan bucket Outposts dengan kepala sekolah Akun AWS
Kebijakan bucket berikut menggunakan Akun AWS prinsipal untuk memberikan akses ke bucket S3 di Outposts. Untuk menggunakan kebijakan bucket ini, ganti user
input placeholders
{ "Version":"2012-10-17", "Id":"ExampleBucketPolicy1", "Statement":[ { "Sid":"statement1", "Effect":"Allow", "Principal":{ "AWS":"123456789012" }, "Action":"s3-outposts:*", "Resource":"arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outposts-bucket" } ] }
contoh : kebijakan bucket S3 pada Outposts dengan pengguna utama wildcard (*) dan kunci syarat untuk membatasi akses ke rentang alamat IP tertentu
Kebijakan bucket berikut menggunakan pengguna utama wildcard (*) dengan syarat aws:SourceIp untuk membatasi akses ke rentang alamat IP tertentu. Untuk menggunakan kebijakan bucket ini, ganti user input
placeholders
{ "Version": "2012-10-17", "Id": "ExampleBucketPolicy2", "Statement": [ { "Sid": "statement1", "Effect": "Allow", "Principal": { "AWS" : "*" }, "Action":"s3-outposts:*", "Resource":"arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outposts-bucket", "Condition" : { "IpAddress" : { "aws:SourceIp": "192.0.2.0/24" }, "NotIpAddress" : { "aws:SourceIp": "198.51.100.0/24" } } } ] }
Izin untuk titik akhir S3 di Outposts
S3 di Outposts memerlukan izinnya sendiri di IAM untuk mengelola tindakan titik akhir S3 di Outposts.
catatan
-
Untuk titik akhir yang menggunakan jenis akses kumpulan alamat IP (kumpulan CoIP) milik pelanggan, Anda juga harus memiliki izin untuk bekerja dengan alamat IP dari kumpulan CoIP Anda, seperti yang dijelaskan dalam tabel berikut.
-
Untuk akun bersama yang mengakses S3 di Outposts dengan AWS Resource Access Manager menggunakan, pengguna di akun bersama ini tidak dapat membuat titik akhir mereka sendiri di subnet bersama. Apabila pengguna di akun bersama ingin mengelola titik akhir mereka sendiri, akun bersama harus membuat subnetnya sendiri di Outpost. Untuk informasi selengkapnya, lihat Berbagi S3 di Outposts dengan menggunakan AWS RAM.
Tabel berikut menunjukkan S3 pada izin IAM terkait titik akhir Outposts.
| Tindakan | Izin IAM |
|---|---|
CreateEndpoint |
Untuk titik akhir yang menggunakan jenis akses kumpulan alamat IP (kumpulan CoIP) milik pelanggan on-premise, izin tambahan berikut diperlukan:
|
DeleteEndpoint |
Untuk titik akhir yang menggunakan jenis akses kumpulan alamat IP (kumpulan CoIP) milik pelanggan on-premise, izin tambahan berikut diperlukan:
|
ListEndpoints |
|
catatan
Anda dapat menggunakan tag sumber daya dalam kebijakan IAM untuk mengelola izin.
Peran yang ditautkan dengan layanan untuk S3 di Outposts
S3 di Outposts menggunakan peran yang ditautkan dengan layanan IAM untuk membuat beberapa sumber daya jaringan atas nama Anda. Untuk informasi selengkapnya, lihat Menggunakan Peran Terkait Layanan untuk Amazon S3 di Outposts.
