Mengatur IAM dengan S3 di Outposts - Amazon S3 on Outposts

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengatur IAM dengan S3 di Outposts

AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengendalikan siapa saja yang dapat diautentikasi (masuk) dan diizinkan (memiliki izin) untuk menggunakan sumber daya Amazon S3 di Outposts. IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan. Secara default, pengguna tidak memiliki izin untuk sumber daya dan operasi S3 di Outposts. Untuk memberikan izin akses bagi sumber daya dan operasi API S3 di Outposts, Anda dapat menggunakan IAM untuk membuat pengguna, grup, atau peran dan melampirkan izin.

Untuk memberikan akses, menambahkan izin ke pengguna, grup, atau peran Anda:

Selain kebijakan berbasis identitas IAM, S3 di Outposts mendukung kebijakan bucket dan titik akses. Kebijakan bucket dan titik akses adalah kebijakan berbasis sumber daya yang dilampirkan ke sumber daya S3 di Outposts.

  • Kebijakan bucket dilampirkan pada bucket dan mengizinkan atau menolak permintaan ke bucket serta objek di dalamnya berdasarkan elemen dalam kebijakan.

  • Sebaliknya, kebijakan titik akses dilampirkan ke titik akses dan memungkinkan atau menolak permintaan ke titik akses.

Kebijakan titik akses bekerja dengan kebijakan bucket yang dilampirkan pada bucket yang mendasari S3 di Outposts. Agar aplikasi atau pengguna dapat mengakses objek di bucket S3 di Outposts melalui titik akses S3 di Outposts, kebijakan titik akses dan kebijakan bucket harus mengizinkan permintaan tersebut.

Pembatasan yang Anda sertakan dalam kebijakan titik akses hanya berlaku untuk permintaan yang dibuat melalui titik akses tersebut. Misalnya, jika titik akses dilampirkan ke bucket, Anda tidak dapat menggunakan kebijakan titik akses untuk mengizinkan atau menolak permintaan yang dibuat langsung ke bucket. Namun, pembatasan yang Anda terapkan pada kebijakan bucket dapat mengizinkan atau menolak permintaan yang dibuat langsung ke bucket atau melalui titik akses.

Dalam kebijakan IAM atau kebijakan berbasis sumber daya, Anda menentukan tindakan S3 di Outposts mana yang diizinkan atau ditolak. Tindakan S3 di Outposts sesuai dengan operasi API S3 di Outposts tertentu. Tindakan S3 di Outposts menggunakan prefiks namespace s3-outposts:. Permintaan yang dibuat ke S3 on Outposts mengontrol API dalam dan permintaan Wilayah AWS yang dibuat ke titik akhir API objek di Outpost diautentikasi dengan menggunakan IAM dan diotorisasi terhadap awalan namespace. s3-outposts: Untuk bekerja dengan S3 di Outposts, konfigurasikan pengguna IAM Anda dan izinkan mereka terhadap namespace IAM s3-outposts:.

Untuk informasi lebih lanjut, lihat Tindakan, sumber daya, dan kunci syarat untuk Amazon S3 di Outposts di Referensi Otorisasi Layanan.

catatan
  • Daftar kontrol akses (ACLs) tidak didukung oleh S3 di Outposts.

  • S3 di Outposts adalah default bagi pemilik bucket sebagai pemilik objek, untuk membantu memastikan bahwa pemilik bucket tidak dapat dicegah untuk mengakses atau menghapus objek.

  • S3 di Outposts selalu mengaktifkan Blokir Akses Publik S3 untuk membantu memastikan objek tidak pernah memiliki akses publik.

Untuk informasi tentang pengaturan IAM untuk S3 di Outposts, lihat topik berikut.

Pengguna utama kebijakan S3 di Outposts

Saat membuat kebijakan berbasis sumber daya untuk memberikan akses ke bucket S3 di Outposts, Anda harus menggunakan elemen Principal tersebut untuk menentukan orang atau aplikasi yang dapat membuat permintaan tindakan atau operasi pada sumber daya tersebut. Untuk kebijakan S3 di Outposts, Anda dapat menggunakan salah satu pengguna utama berikut:

  • Sebuah Akun AWS

  • Pengguna IAM

  • Peran IAM

  • Semua pengguna utama, dengan menentukan karakter wildcard (*) dalam kebijakan yang menggunakan elemen Condition untuk membatasi akses ke rentang IP tertentu

penting

Anda tidak dapat menulis kebijakan untuk bucket S3 di Outposts yang menggunakan karakter wildcard (*) dalam elemen Principal kecuali jika kebijakan tersebut juga menyertakan Condition yang membatasi akses ke rentang alamat IP tertentu. Pembatasan ini membantu memastikan tidak ada akses publik ke bucket S3 di Outposts Anda. Sebagai contoh, lihat Contoh kebijakan untuk S3 di Outposts.

Untuk informasi selengkapnya tentang elemen Principal, lihat elemen kebijakan JSON AWS : Pengguna utama dalam Panduan Pengguna IAM.

Sumber daya ARNs untuk S3 di Outposts

Amazon Resource Names (ARNs) untuk S3 di Outposts berisi ID Outpost selain Wilayah AWS tempat Outpost berada, ID, Akun AWS dan nama resource. Untuk mengakses dan melakukan tindakan pada bucket dan objek Outposts Anda, Anda harus menggunakan salah satu format ARN yang ditunjukkan pada tabel berikut.

partitionNilai dalam ARN mengacu pada sekelompok. Wilayah AWS Masing-masing Akun AWS dicakup ke satu partisi. Berikut ini adalah partisi yang didukung:

  • aws – Wilayah AWS

  • aws-us-gov— AWS GovCloud (US) Daerah

Tabel berikut menunjukkan S3 pada Outposts format ARN.

ARN Amazon S3 di Outposts Format ARN Contoh
ARN Bucket arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id/bucket/bucket_name arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904/bucket/amzn-s3-demo-bucket1
Titik Akses ARN arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id/accesspoint/accesspoint_name arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904/accesspoint/access-point-name
ARN objek arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id/bucket/bucket_name/object/object_key arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904/bucket/amzn-s3-demo-bucket1/object/myobject
ARN objek titik akses S3 di Outposts (digunakan dalam kebijakan) arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id/accesspoint/accesspoint_name/object/object_key arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904/accesspoint/access-point-name/object/myobject
ARN S3 di Outposts arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904

Contoh kebijakan untuk S3 di Outposts

contoh : S3 tentang kebijakan bucket Outposts dengan kepala sekolah Akun AWS

Kebijakan bucket berikut menggunakan Akun AWS prinsipal untuk memberikan akses ke bucket S3 di Outposts. Untuk menggunakan kebijakan bucket ini, ganti user input placeholders dengan informasi Anda sendiri.

{ "Version":"2012-10-17", "Id":"ExampleBucketPolicy1", "Statement":[ { "Sid":"statement1", "Effect":"Allow", "Principal":{ "AWS":"123456789012" }, "Action":"s3-outposts:*", "Resource":"arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outposts-bucket" } ] }
contoh : kebijakan bucket S3 pada Outposts dengan pengguna utama wildcard (*) dan kunci syarat untuk membatasi akses ke rentang alamat IP tertentu

Kebijakan bucket berikut menggunakan pengguna utama wildcard (*) dengan syarat aws:SourceIp untuk membatasi akses ke rentang alamat IP tertentu. Untuk menggunakan kebijakan bucket ini, ganti user input placeholders dengan informasi Anda sendiri.

{ "Version": "2012-10-17", "Id": "ExampleBucketPolicy2", "Statement": [ { "Sid": "statement1", "Effect": "Allow", "Principal": { "AWS" : "*" }, "Action":"s3-outposts:*", "Resource":"arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outposts-bucket", "Condition" : { "IpAddress" : { "aws:SourceIp": "192.0.2.0/24" }, "NotIpAddress" : { "aws:SourceIp": "198.51.100.0/24" } } } ] }

Izin untuk titik akhir S3 di Outposts

S3 di Outposts memerlukan izinnya sendiri di IAM untuk mengelola tindakan titik akhir S3 di Outposts.

catatan
  • Untuk titik akhir yang menggunakan jenis akses kumpulan alamat IP (kumpulan CoIP) milik pelanggan, Anda juga harus memiliki izin untuk bekerja dengan alamat IP dari kumpulan CoIP Anda, seperti yang dijelaskan dalam tabel berikut.

  • Untuk akun bersama yang mengakses S3 di Outposts dengan AWS Resource Access Manager menggunakan, pengguna di akun bersama ini tidak dapat membuat titik akhir mereka sendiri di subnet bersama. Apabila pengguna di akun bersama ingin mengelola titik akhir mereka sendiri, akun bersama harus membuat subnetnya sendiri di Outpost. Untuk informasi selengkapnya, lihat Berbagi S3 di Outposts dengan menggunakan AWS RAM.

Tabel berikut menunjukkan S3 pada izin IAM terkait titik akhir Outposts.

Tindakan Izin IAM
CreateEndpoint

s3-outposts:CreateEndpoint

ec2:CreateNetworkInterface

ec2:DescribeNetworkInterfaces

ec2:DescribeVpcs

ec2:DescribeSecurityGroups

ec2:DescribeSubnets

ec2:CreateTags

iam:CreateServiceLinkedRole

Untuk titik akhir yang menggunakan jenis akses kumpulan alamat IP (kumpulan CoIP) milik pelanggan on-premise, izin tambahan berikut diperlukan:

s3-outposts:CreateEndpoint

ec2:DescribeCoipPools

ec2:GetCoipPoolUsage

ec2:AllocateAddress

ec2:AssociateAddress

ec2:DescribeAddresses

ec2:DescribeLocalGatewayRouteTableVpcAssociations

DeleteEndpoint

s3-outposts:DeleteEndpoint

ec2:DeleteNetworkInterface

ec2:DescribeNetworkInterfaces

Untuk titik akhir yang menggunakan jenis akses kumpulan alamat IP (kumpulan CoIP) milik pelanggan on-premise, izin tambahan berikut diperlukan:

s3-outposts:DeleteEndpoint

ec2:DisassociateAddress

ec2:DescribeAddresses

ec2:ReleaseAddress

ListEndpoints

s3-outposts:ListEndpoints

catatan

Anda dapat menggunakan tag sumber daya dalam kebijakan IAM untuk mengelola izin.

Peran yang ditautkan dengan layanan untuk S3 di Outposts

S3 di Outposts menggunakan peran yang ditautkan dengan layanan IAM untuk membuat beberapa sumber daya jaringan atas nama Anda. Untuk informasi selengkapnya, lihat Menggunakan Peran Terkait Layanan untuk Amazon S3 di Outposts.