Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Melakukan blok akses publik ke penyimpanan Amazon S3 Anda
<a name="access-control-block-public-access"></a>

Fitur Akses Publik Blok Amazon S3 menyediakan pengaturan untuk titik akses, bucket, akun, dan AWS Organizations untuk membantu Anda mengelola akses publik ke sumber daya Amazon S3. Secara bawaan, bucket baru, titik akses, dan objek baru tidak mengizinkan akses publik. Namun, pengguna dapat memodifikasi kebijakan bucket, kebijakan titik akses, atau izin objek untuk memungkinkan akses publik. Pengaturan S3 Blokir Akses Publik menolak kebijakan-kebijakan dan izin tersebut sehingga Anda dapat membatasi akses publik ke sumber daya. 

Dengan S3 Block Public Access, administrator organisasi, administrator akun, dan pemilik bucket dapat dengan mudah menyiapkan kontrol terpusat untuk membatasi akses publik ke sumber daya Amazon S3 mereka yang diberlakukan terlepas dari cara sumber daya dibuat.

Anda dapat mengelola pengaturan Blokir Akses Publik di beberapa tingkatan: tingkat organisasi (menggunakan AWS Organizations), tingkat akun, dan tingkat bucket dan titik akses. Untuk petunjuk tentang mengonfigurasi akses blok publik, lihat [Mengonfigurasi blokir akses publik](#configuring-block-public-access).

Saat Amazon S3 menerima permintaan untuk mengakses bucket atau objek, itu akan menentukan apakah akun dari bucket atau pemilik bucket menerapkan blokir akses publik. Jika akun merupakan bagian dari kebijakan AWS Organizations dengan Blokir Akses Publik, Amazon S3 juga memeriksa pengaturan tingkat organisasi. Jika permintaan tersebut dibuat melalui titik akses, maka Amazon S3 juga memeriksa pengaturan blokir akses publik untuk titik akses tersebut. Jika ada pengaturan blokir akses publik yang sudah ada yang melarang akses yang diminta tersebut, maka Amazon S3 akan menolak permintaan tersebut. 

Blokir Akses Publik Amazon S3 menyediakan empat pengaturan. Pengaturan ini bersifat independen dan dapat digunakan dalam kombinasi apa pun. Setiap pengaturan dapat diterapkan ke titik akses, bucket, atau seluruh Akun AWS. Di tingkat organisasi, keempat pengaturan diterapkan bersama sebagai kebijakan terpadu - Anda tidak dapat memilih pengaturan individual secara terperinci. Jika pengaturan blokir akses publik untuk titik akses, bucket, atau akun berbeda, maka Amazon S3 akan menerapkan kombinasi yang paling ketat dari pengaturan titik akses, bucket, dan akun. Pengaturan tingkat akun secara otomatis mewarisi kebijakan tingkat organisasi saat ada, dan S3 mengambil kebijakan yang paling ketat antara pengaturan tingkat ember dan tingkat akun yang efektif. Misalnya, jika organisasi Anda mengaktifkan kebijakan Blokir Akses Publik, tetapi bucket tertentu menonaktifkan Blokir Akses Publik di tingkat bucket, bucket akan tetap dilindungi karena S3 menerapkan pengaturan tingkat organisasi/akun yang lebih ketat. Sebaliknya, jika kebijakan organisasi Anda dinonaktifkan tetapi bucket mengaktifkan Blokir Akses Publik, bucket tersebut tetap dilindungi oleh setelan tingkat ember. 

Saat Amazon S3 mengevaluasi apakah suatu operasi dilarang oleh setelan blokir akses publik, Amazon S3 menolak permintaan apa pun yang melanggar kebijakan organisasi (yang memberlakukan pengaturan BPA akun) atau titik akses, bucket, atau setelan akun.

**penting**  
Akses publik diberikan ke bucket dan objek melalui daftar kontrol akses (ACLs), kebijakan titik akses, kebijakan bucket, atau semua. Untuk membantu memastikan bahwa semua titik akses Amazon S3, bucket, dan objek Anda diblokir akses publiknya, kami menyarankan Anda untuk mengaktifkan keempat pengaturan guna memblokir akses publik untuk akun Anda. Untuk organisasi yang mengelola beberapa akun, pertimbangkan untuk menggunakan kebijakan Blokir Akses Publik tingkat organisasi untuk kontrol terpusat. Selain itu, kami menyarankan Anda juga mengaktifkan keempat pengaturan untuk setiap bucket agar sesuai dengan AWS Security Hub Foundational Security Best Practices control S3.8. Pengaturan ini memblokir akses publik untuk semua bucket dan titik akses saat ini dan mendatang.   
Sebelum menerapkan pengaturan ini, verifikasi bahwa aplikasi Anda akan bekerja dengan baik tanpa akses publik. Jika Anda memerlukan beberapa tingkat akses publik ke bucket atau objek Anda—misalnya, untuk menjadi host situs web statis seperti yang dijelaskan di [Hosting situs web statis menggunakan Amazon S3](WebsiteHosting.md)—Anda dapat menyesuaikan pengaturan individual agar sesuai dengan kasus penggunaan penyimpanan Anda.  
Mengaktifkan Blokir Akses Publik membantu melindungi sumber daya Anda dengan mencegah akses publik diberikan melalui kebijakan sumber daya atau daftar kontrol akses (ACLs) yang langsung dilampirkan ke sumber daya S3. Selain mengaktifkan Blokir Akses Publik, periksa kebijakan berikut dengan cermat untuk mengonfirmasi bahwa kebijakan tersebut tidak memberikan akses publik:  
Kebijakan berbasis identitas yang dilampirkan pada AWS prinsipal terkait (misalnya, peran IAM)
Kebijakan berbasis sumber daya yang dilampirkan pada AWS sumber daya terkait (misalnya, kunci (KMS AWS Key Management Service ))

**catatan**  
Anda dapat mengaktifkan blokir pengaturan akses publik hanya untuk organisasi, titik akses, bucket, dan Akun AWS. Amazon S3 tidak mendukung pengaturan blokir akses publik secara per-objek.
Saat Anda menerapkan pengaturan blokir akses publik ke akun, pengaturan berlaku untuk semua Wilayah AWS secara global. Pengaturan tersebut mungkin tidak berlaku di semua Wilayah secara langsung atau bersamaan, tetapi pada akhirnya akan menyebar ke semua Wilayah.
Bila Anda menerapkan kebijakan blokir akses publik tingkat organisasi, kebijakan tersebut secara otomatis menyebar ke akun anggota yang dipilih dan mengganti setelan tingkat akun.

**Topics**
+ [Pengaturan blokir akses publik](#access-control-block-public-access-options)
+ [Mengelola blok akses publik di tingkat organisasi](#access-control-block-public-access-organization-level)
+ [Melakukan operasi akses publik blok pada titik akses](#access-control-block-public-access-examples-access-point)
+ [Arti “publik”](#access-control-block-public-access-policy-status)
+ [Menggunakan IAM Access Analyzer untuk S3 untuk meninjau bucket publik](#access-analyzer-public-info)
+ [Izin](#access-control-block-public-access-permissions)
+ [Mengonfigurasi blokir akses publik](#configuring-block-public-access)
+ [Mengonfigurasi pengaturan blokir akses publik untuk akun Anda](configuring-block-public-access-account.md)
+ [Mengonfigurasi pengaturan blokir akses publik untuk bucket S3 Anda](configuring-block-public-access-bucket.md)

## Pengaturan blokir akses publik
<a name="access-control-block-public-access-options"></a>

S3 Blokir Akses Publik menyediakan empat pengaturan. Anda dapat menerapkan pengaturan ini dalam kombinasi apa pun ke titik akses individu, bucket, atau seluruh Akun AWS. Di tingkat organisasi, Anda hanya dapat mengaktifkan atau menonaktifkan keempat pengaturan bersama-sama menggunakan pendekatan “semua” atau “tidak ada” - kontrol terperinci atas pengaturan individual tidak tersedia. Jika Anda menerapkan pengaturan tersebut ke sebuah akun, pengaturan tersebut akan berlaku untuk semua bucket dan titik akses yang dimiliki oleh akun tersebut. Pengaturan tingkat akun secara otomatis mewarisi dari kebijakan organisasi saat ada. Demikian pula, jika Anda menerapkan pengaturan tersebut pada bucket, maka pengaturan tersebut berlaku untuk semua titik akses yang terkait dengan bucket tersebut.

Warisan dan penegakan kebijakan bekerja sebagai berikut:
+ Kebijakan tingkat organisasi secara otomatis berlaku untuk akun anggota, menegakkan pengaturan tingkat akun yang ada
+ Setelan tingkat akun mewarisi dari kebijakan organisasi saat ada, atau menggunakan setelan yang dikonfigurasi secara lokal saat tidak ada kebijakan organisasi
+ Pengaturan tingkat ember beroperasi secara independen tetapi tunduk pada pembatasan penegakan hukum. S3 menerapkan kombinasi yang paling ketat di semua level yang berlaku - pengaturan tingkat organisasi/akun dan tingkat ember. Ini berarti bucket mewarisi perlindungan dasar dari akunnya (yang mungkin dikelola organisasi), tetapi S3 akan menerapkan konfigurasi mana pun yang lebih ketat antara pengaturan bucket dan pengaturan efektif akun.

Tabel berikut berisi pengaturan-pengaturan yang tersedia.


| Nama | Deskripsi | 
| --- | --- | 
| BlockPublicAcls |  Mengatur opsi ini menjadi `TRUE` akan menyebabkan perilaku berikut ini: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/AmazonS3/latest/userguide/access-control-block-public-access.html) Saat pengaturan ini disetel ke`TRUE`, operasi yang ditentukan gagal (baik dilakukan melalui REST API, AWS CLI, atau AWS SDKs). Namun, kebijakan yang ada dan ACLs untuk bucket dan objek tidak dimodifikasi. Pengaturan ini memungkinkan Anda untuk melindungi dari akses publik sekaligus memungkinkan Anda untuk mengaudit, menyempurnakan, atau mengubah kebijakan dan ACLs yang sudah ada untuk ember dan objek Anda.  Titik akses tidak ACLs terkait dengan mereka. Jika Anda menerapkan pengaturan ini ke titik akses, maka pengaturan bertindak sebagai jalur ke bucket yang mendasarinya. Jika titik akses mengaktifkan pengaturan ini, maka permintaan yang dibuat melalui titik akses tersebut akan tetap berfungsi seolah-olah bucket yang mendasari akan mengaktifkan pengaturan ini, terlepas dari apakah bucket benar-benar mengaktifkan pengaturan tersebut atau tidak.   | 
| IgnorePublicAcls |  Menyetel opsi ini untuk `TRUE` menyebabkan Amazon S3 mengabaikan semua publik ACLs di ember dan objek apa pun yang dikandungnya. Pengaturan ini memungkinkan Anda untuk memblokir akses publik yang diberikan dengan aman ACLs sambil tetap mengizinkan `PutObject` panggilan yang menyertakan ACL publik (sebagai lawan dari`BlockPublicAcls`, yang menolak `PutObject` panggilan yang menyertakan ACL publik). Mengaktifkan pengaturan ini tidak memengaruhi persistensi yang ada ACLs dan tidak ACLs mencegah publik baru disetel.  Titik akses tidak ACLs terkait dengan mereka. Jika Anda menerapkan pengaturan ini ke titik akses, maka pengaturan bertindak sebagai jalur ke bucket yang mendasarinya. Jika titik akses mengaktifkan pengaturan ini, maka permintaan yang dibuat melalui titik akses tersebut akan tetap berfungsi seolah-olah bucket yang mendasari akan mengaktifkan pengaturan ini, terlepas dari apakah bucket benar-benar mengaktifkan pengaturan tersebut atau tidak.   | 
| BlockPublicPolicy |  Menyetel opsi ini ke `TRUE` bucket menyebabkan Amazon S3 menolak panggilan `PutBucketPolicy` jika kebijakan bucket yang ditentukan mengizinkan akses publik. Menyetel opsi ini ke `TRUE` bucket juga menyebabkan Amazon S3 menolak panggilan ke `PutAccessPointPolicy` semua titik akses akun yang sama pada bucket jika kebijakan yang ditentukan mengizinkan akses publik.  Menyetel opsi ini ke `TRUE` titik akses menyebabkan Amazon S3 menolak panggilan ke `PutAccessPointPolicy` dan `PutBucketPolicy` yang dilakukan melalui titik akses jika kebijakan yang ditentukan (baik untuk titik akses atau bucket yang mendasarinya) mengizinkan akses publik. Anda dapat menggunakan pengaturan ini untuk memungkinkan pengguna mengelola kebijakan titik akses dan bucket tanpa mengizinkan mereka membagikan bucket atau objek yang dimuatnya secara publik. Mengaktifkan pengaturan ini tidak memengaruhi kebijakan titik akses atau bucket yang sudah ada.  Untuk menggunakan pengaturan ini secara efektif, kami menyarankan Anda menerapkannya di level *akun*. Kebijakan bucket dapat memungkinkan pengguna untuk mengubah pengaturan blokir akses publik bucket. Oleh karena itu, pengguna yang memiliki izin untuk mengubah kebijakan bucket dapat memasukkan kebijakan yang memungkinkan mereka menonaktifkan pengaturan blokir akses publik untuk bucket tersebut. Jika pengaturan ini diaktifkan untuk seluruh akun, bukannya untuk bucket tertentu, Amazon S3 memblokir kebijakan publik bahkan jika pengguna mengubah kebijakan bucket untuk menonaktifkan pengaturan ini.   | 
| RestrictPublicBuckets |  Menyetel opsi ini untuk `TRUE` membatasi akses ke titik akses atau bucket dengan kebijakan publik hanya untuk prinsipal AWS layanan dan pengguna resmi dalam akun pemilik bucket dan akun pemilik jalur akses. Pengaturan ini memblokir semua akses lintas akun ke titik akses atau bucket (kecuali oleh prinsipal AWS layanan), sambil tetap memungkinkan pengguna di dalam akun untuk mengelola titik akses atau bucket. Mengaktifkan pengaturan ini tidak memengaruhi kebijakan titik akses atau bucket yang sudah ada, kecuali bahwa Amazon S3 memblokir akses publik dan akses lintas akun yang berasal dari setiap titik akses publik atau kebijakan bucket, termasuk delegasi non-publik ke akun tertentu.  | 

**penting**  
Panggilan ke `GetBucketAcl` dan `GetObjectAcl` selalu mengembalikan izin efektif untuk bucket atau objek yang ditentukan. Sebagai contoh, anggaplah sebuah bucket memiliki ACL yang memberikan akses publik, tetapi bucket tersebut juga mengaktifkan pengaturan `IgnorePublicAcls`. Dalam hal ini, `GetBucketAcl` mengembalikan ACL yang mencerminkan izin akses yang diterapkan Amazon S3, bukan ACL aktual yang terkait dengan bucket.
Blokir setelan akses publik tidak mengubah kebijakan yang ada atau ACLs. Oleh karena itu, menghapus pengaturan blokir akses publik akan menyebabkan bucket atau objek yang memiliki kebijakan publik atau ACL dapat diakses oleh publik lagi. 

## Mengelola blok akses publik di tingkat organisasi
<a name="access-control-block-public-access-organization-level"></a>

Akses publik blok tingkat organisasi menggunakan AWS Organizations kebijakan untuk mengelola kontrol akses publik S3 secara terpusat di seluruh organisasi Anda. Saat diaktifkan, kebijakan ini secara otomatis berlaku untuk akun yang dipilih dan mengganti setelan tingkat akun individual.

Untuk informasi tambahan tentang memblokir akses publik di tingkat organisasi, lihat [kebijakan S3](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_s3.html) di *panduan AWS Organizations pengguna*.

## Melakukan operasi akses publik blok pada titik akses
<a name="access-control-block-public-access-examples-access-point"></a>

Untuk melakukan memblokir operasi akses publik pada titik akses, gunakan AWS CLI layanan ini`s3control`. 

**penting**  
Anda tidak dapat mengubah pengaturan akses publik blok titik akses setelah membuat titik akses. Anda dapat menentukan blokir pengaturan akses publik untuk titik akses hanya saat membuat titik akses.

## Arti “publik”
<a name="access-control-block-public-access-policy-status"></a>

### ACLs
<a name="public-acls"></a>

Amazon S3 menganggap ACL ember atau objek bersifat publik jika memberikan izin kepada anggota dari `AllUsers` atau grup `AuthenticatedUsers` yang telah ditentukan sebelumnya. Untuk informasi lebih lanjut tentang grup yang telah ditentukan sebelumnya, lihat [Grup Amazon S3 yang sudah ditentukan sebelumnya](acl-overview.md#specifying-grantee-predefined-groups).

### Kebijakan bucket
<a name="public-bucket-policies"></a>

Saat mengevaluasi kebijakan bucket, Amazon S3 memulai dengan mengasumsikan bahwa kebijakan tersebut bersifat publik. Itu kemudian mengevaluasi kebijakan tersebut untuk menentukan apakah kebijakan tersebut memenuhi syarat sebagai non-publik. Agar dianggap non-publik, suatu kebijakan bucket harus memberikan akses hanya ke nilai-nilai tetap (nilai yang tidak mengandung wildcard atau [Variabel AWS Identity and Access Management Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)) untuk satu atau lebih berikut ini:
+  AWS Prinsipal, pengguna, peran, atau prinsipal layanan (mis.`aws:PrincipalOrgID`)
+ Satu set blok Classless Inter-Domain Routings (CIDR), menggunakan. `aws:SourceIp` Untuk informasi lebih lanjut tentang CIDR, lihat [RFC 4632](http://www.rfc-editor.org/rfc/rfc4632.txt) di situs web Editor RFC.
**catatan**  
Kebijakan bucket yang memberikan akses yang dikondisikan pada kunci kondisi `aws:SourceIp` dengan rentang IP yang sangat luas (misalnya, 0.0.0.0/1) dievaluasi sebagai “publik.” Ini termasuk nilai yang lebih luas daripada `/8` untuk IPv4 dan `/32` untuk IPv6 (tidak termasuk rentang RFC1918 pribadi). Blokir akses publik akan menolak kebijakan “publik” ini dan mencegah akses lintas akun ke bucket yang sudah menggunakan kebijakan “publik” ini.
+ `aws:SourceArn`
+ `aws:SourceVpc`
+ `aws:SourceVpce`
+ `aws:SourceOwner`
+ `aws:SourceAccount`
+ `aws:userid`, di luar dari pola "`AROLEID:*`"
+ `s3:DataAccessPointArn`
**catatan**  
Saat digunakan dalam kebijakan bucket, nilai ini dapat berisi wildcard untuk nama titik akses tanpa membuat kebijakan menjadi publik, selama ID akun diperbaiki. Misalnya, memungkinkan akses ke `arn:aws:s3:us-west-2:123456789012:accesspoint/*` akan mengizinkan akses ke setiap titik akses yang terkait dengan akun `123456789012` di Wilayah `us-west-2`, tanpa membuat kebijakan bucket menjadi publik. Perilaku ini berbeda untuk kebijakan titik akses. Untuk informasi selengkapnya, lihat [Titik Akses](#access-control-block-public-access-policy-status-access-points).
+ `s3:DataAccessPointAccount`

Untuk informasi lebih lanjut tentang kebijakan bucket, lihat [Kebijakan Bucket untuk Amazon S3](bucket-policies.md).

**catatan**  
Saat menggunakan [kunci konteks multivalued](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-single-vs-multi-valued-context-keys.html), Anda harus menggunakan `ForAllValues` atau `ForAnyValue` mengatur operator.

**Example : Kebijakan bucket publik**  
Menurut aturan ini, contoh kebijakan-kebijakan berikut ini dianggap publik.  

```
{
		"Principal": "*", 
		"Resource": "*", 
		"Action": "s3:PutObject", 
		"Effect": "Allow" 
	}
```

```
{
		"Principal": "*", 
		"Resource": "*", 
		"Action": "s3:PutObject", 
		"Effect": "Allow", 
		"Condition": { "StringLike": {"aws:SourceVpc": "vpc-*"}}
	}
```
Anda dapat membuat kebijakan-kebijakan ini non-publik dengan memasukkan kunci kondisi yang tercantum sebelumnya, dengan menggunakan nilai tetap. Misalnya, Anda dapat membuat kebijakan terakhir sebelumnya menjadi non-publik dengan mengatur `aws:SourceVpc` dengan nilai tetap, seperti berikut ini.  

```
{
		"Principal": "*", 
		"Resource": "*", 
		"Action": "s3:PutObject", 
		"Effect": "Allow", 
		"Condition": {"StringEquals": {"aws:SourceVpc": "vpc-91237329"}}
	}
```

### Cara Amazon S3 mengevaluasi kebijakan bucket yang berisi pemberian akses publik dan non-publik
<a name="access-control-block-public-access-policy-example"></a>

Contoh ini menunjukkan bagaimana Amazon S3 mengevaluasi kebijakan bucket yang berisi pemberian akses, baik publik maupun non-publik.

Anggaplah bucket memiliki kebijakan yang memberikan akses ke serangkaian pengguna utama tetap. Berdasarkan peraturan yang dijelaskan sebelumnya, kebijakan ini tidak boleh dibuat menjadi publik. Dengan demikian, jika Anda mengaktifkan pengaturan `RestrictPublicBuckets`, maka kebijakan tetap berlaku sebagaimana yang tertulis, karena `RestrictPublicBuckets` hanya berlaku untuk bucket yang memiliki kebijakan publik. Namun, jika Anda menambahkan pernyataan publik pada kebijakan tersebut, `RestrictPublicBuckets` berpengaruh pada bucket. Ini hanya memungkinkan kepala AWS layanan dan pengguna resmi akun pemilik bucket untuk mengakses bucket.

Sebagai contoh, anggaplah bahwa sebuah bucket yang dimiliki "Akun-1" memiliki kebijakan yang memuat hal-hal berikut:

1. Pernyataan yang memberikan akses ke AWS CloudTrail (yang merupakan prinsipal AWS layanan)

1. Pernyataan yang memberikan akses ke akun “Akun-2”

1. Pernyataan yang memberikan akses ke publik, misalnya dengan menentukan `"Principal": "*"` tanpa membatasi `Condition`

Kebijakan ini memenuhi kualifikasi sebagai kebijakan bersifat publik karena pernyataan ketiga. Dengan kebijakan ini diberlakukan dan `RestrictPublicBuckets` diaktifkan, Amazon S3 mengizinkan akses hanya dengan. CloudTrail Meskipun pernyataan 2 tidak bersifat publik, Amazon S3 nonaktifkan akses oleh "Akun-2." Hal ini karena pernyataan 3 menjadikan kebijakan tersebut bersifat publik, sehingga `RestrictPublicBuckets` berlaku. Oleh karena itu, Amazon S3 menonaktifkan akses lintas akun, meskipun kebijakan tersebut mendelegasikan akses ke akun tertentu, yakni “Akun-2.” Tetapi jika Anda menghapus pernyataan 3 dari kebijakan tersebut, maka kebijakan tersebut tidak akan memenuhi syarat sebagai kebijakan bersifat publik, dan `RestrictPublicBuckets` tidak lagi berlaku. Dengan demikian, “Akun-2” mendapatkan kembali akses ke bucket, bahkan jika Anda membiarkan `RestrictPublicBuckets` tetap aktif.

### Titik Akses
<a name="access-control-block-public-access-policy-status-access-points"></a>

Amazon S3 mengevaluasi pengaturan blokir akses publik dengan sedikit berbeda untuk titik akses dibandingkan dengan bucket. Aturan yang diterapkan Amazon S3 untuk menentukan kapan kebijakan titik akses publik biasanya sama dengan titik akses untuk bucket, kecuali dalam situasi berikut:
+ Titik akses yang memiliki asal jaringan VPC selalu dianggap sebagai non-publik, terlepas dari konten kebijakan titik aksesnya.
+ Kebijakan titik akses yang memberikan akses ke serangkaian titik akses dengan menggunakan `s3:DataAccessPointArn` dianggap bersifat publik. Perhatikan bahwa perilaku ini berbeda dengan perilaku untuk kebijakan bucket. Misalnya, kebijakan bucket yang memberikan akses ke nilai `s3:DataAccessPointArn` yang sesuai dengan `arn:aws:s3:us-west-2:123456789012:accesspoint/*` tidak dianggap publik. Namun demikian, pernyataan yang sama dalam kebijakan titik akses akan menjadikan titik akses tersebut menjadi publik.

## Menggunakan IAM Access Analyzer untuk S3 untuk meninjau bucket publik
<a name="access-analyzer-public-info"></a>

Anda dapat menggunakan IAM Access Analyzer for S3 untuk meninjau bucket dengan kebijakan bucket ACLs, bucket, atau access point yang memberikan akses publik. IAM Access Analyzer for S3 memberi tahu Anda tentang bucket yang dikonfigurasi untuk memungkinkan akses ke siapa pun di internet atau lainnya Akun AWS, termasuk Akun AWS di luar organisasi Anda. Untuk setiap bucket publik atau bucket bersama, Anda akan menerima temuan yang melaporkan sumber dan tingkat akses publik atau akses bersama. 

Pada Penganalisis Akses untuk S3, Anda dapat memblokir semua akses publik ke bucket dengan sekali klik. Anda juga dapat menelusuri pengaturan izin tingkat bucket untuk mengonfigurasi tingkat akses granular. Untuk kasus penggunaan tertentu dan terverifikasi yang memerlukan akses publik atau akses bersama, Anda dapat menyatakan dan mencatat maksud Anda untuk bucket agar tetap sebagai bucket dengan akses publik atau akses bersama dengan mengarsipkan temuan untuk bucket tersebut.

Dalam kasus yang jarang terjadi, IAM Access Analyzer untuk S3 dan Amazon S3 memblokir evaluasi akses publik mungkin berbeda pada apakah bucket bersifat publik. Perilaku ini terjadi karena Amazon S3 memblokir akses publik melakukan validasi pada keberadaan tindakan selain mengevaluasi akses publik. Misalkan kebijakan bucket berisi `Action` pernyataan yang mengizinkan akses publik untuk tindakan yang tidak didukung oleh Amazon S3 (misalnya,`s3:NotASupportedAction`). Dalam hal ini, Amazon S3 memblokir akses publik mengevaluasi bucket sebagai publik karena pernyataan seperti itu berpotensi membuat bucket publik jika tindakan tersebut kemudian didukung. Jika Amazon S3 memblokir akses publik dan IAM Access Analyzer untuk S3 berbeda dalam evaluasinya, kami sarankan untuk meninjau kebijakan bucket dan menghapus tindakan yang tidak didukung.

Untuk informasi selengkapnya tentang IAM Access Analyzer untuk Amazon S3, lihat [Meninjau akses bucket menggunakan IAM Access Analyzer untuk S3](access-analyzer.md).

## Izin
<a name="access-control-block-public-access-permissions"></a>

Untuk menggunakan fitur-fitur yang dimiliki Blokir Akses Publik Amazon S3, Anda harus memiliki izin-izin berikut.


| Operasi | Izin yang diperlukan | 
| --- | --- | 
| GETstatus kebijakan bucket | s3:GetBucketPolicyStatus | 
| GETbucket Blokir pengaturan Akses Publik | s3:GetBucketPublicAccessBlock | 
| PUTbucket Blokir pengaturan Akses Publik | s3:PutBucketPublicAccessBlock | 
| DELETEbucket Blokir pengaturan Akses Publik | s3:PutBucketPublicAccessBlock | 
| GETakun Blokir pengaturan Akses Publik | s3:GetAccountPublicAccessBlock | 
| PUTakun Blokir pengaturan Akses Publik | s3:PutAccountPublicAccessBlock | 
| DELETEakun Blokir pengaturan Akses Publik | s3:PutAccountPublicAccessBlock | 
| PUTtitik akses Blokir pengaturan Akses Publik | s3:CreateAccessPoint | 

**catatan**  
`DELETE`Operasi memerlukan izin yang sama dengan `PUT` operasi. Tidak ada izin terpisah untuk `DELETE` operasi.

## Mengonfigurasi blokir akses publik
<a name="configuring-block-public-access"></a>

Untuk informasi selengkapnya tentang mengonfigurasi blokir akses publik untuk bucket Amazon S3, dan titik akses Anda, lihat topik berikut: Akun AWS
+ [Mengonfigurasi pengaturan blokir akses publik untuk akun Anda](configuring-block-public-access-account.md)
+ [Mengonfigurasi pengaturan blokir akses publik untuk bucket S3 Anda](configuring-block-public-access-bucket.md)
+ [Melakukan operasi akses publik blok pada titik akses](#access-control-block-public-access-examples-access-point)

# Mengonfigurasi pengaturan blokir akses publik untuk akun Anda
<a name="configuring-block-public-access-account"></a>

**penting**  
Jika akun Anda dikelola oleh kebijakan Blokir Akses Publik tingkat organisasi, Anda tidak dapat mengubah pengaturan tingkat akun ini. Kebijakan tingkat organisasi mengesampingkan konfigurasi tingkat akun. Untuk informasi selengkapnya tentang opsi manajemen terpusat, lihat [kebijakan S3](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_s3.html) di panduan *AWS Organizations pengguna*.

Akses Publik Blok Amazon S3 menyediakan pengaturan untuk titik akses, bucket, organisasi, dan akun untuk membantu Anda mengelola akses publik ke sumber daya Amazon S3. Secara default, bucket, titik akses, dan objek yang baru tidak mengizinkan akses publik. Untuk informasi selengkapnya, lihat [Melakukan blok akses publik ke penyimpanan Amazon S3 Anda](access-control-block-public-access.md).

**catatan**  
Pengaturan tingkat akun mengesampingkan pengaturan pada objek individual. Mengkonfigurasi akun Anda untuk memblokir akses publik akan mengesampingkan pengaturan akses publik yang dibuat ke objek individual dalam akun Anda. Ketika kebijakan tingkat organisasi aktif, pengaturan tingkat akun secara otomatis mewarisi dari kebijakan organisasi dan tidak dapat dimodifikasi secara langsung.

Anda dapat menggunakan konsol S3,, AWS CLI AWS SDKs, dan REST API untuk mengonfigurasi setelan blokir akses publik untuk semua bucket di akun Anda jika tidak dikelola oleh kebijakan organisasi. Untuk informasi selengkapnya, lihat bagian di bawah ini.

Untuk mengonfigurasi pengaturan blokir akses publik untuk bucket Anda, lihat [Mengonfigurasi pengaturan blokir akses publik untuk bucket S3 Anda](configuring-block-public-access-bucket.md). Untuk informasi lebih lanjut tentang titik akses, lihat [Melakukan operasi akses publik blok pada titik akses](access-control-block-public-access.md#access-control-block-public-access-examples-access-point).

## Menggunakan konsol S3
<a name="block-public-access-account"></a>

Blokir akses publik Amazon S3 mencegah aplikasi dari pengaturan apa pun yang memungkinkan akses publik ke data dalam S3 bucket. Bagian ini menjelaskan cara mengedit pengaturan blokir akses publik untuk semua bucket S3 di Akun AWS Anda. Untuk informasi lebih lanjut tentang pemblokiran akses publik, lihat [Melakukan blok akses publik ke penyimpanan Amazon S3 Anda](access-control-block-public-access.md).

**Untuk mengedit blokir setelan akses publik untuk semua bucket S3 di Akun AWS**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon S3 di. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

1. Pilih **Blokir pengaturan Akses Publik untuk akun ini**.

1. Memilih **Edit** untuk mengubah pengaturan blokir akses publik untuk semua bucket di Akun AWS Anda.

1. Pilih pengaturan yang ingin Anda ubah, lalu pilih **Simpan perubahan**.

1. Saat Anda diminta untuk mengonfirmasi, masukkan **confirm**. Kemudian, pilih **Konfirmasi** untuk menyimpan perubahan Anda.

Jika Anda menerima pesan galat yang mengatakan, “Akun ini tidak mengizinkan perubahan pada pengaturan Akses Publik Blok S3 tingkat akunnya karena kebijakan Akses Publik Blok S3 organisasi berlaku,” akun Anda dikelola oleh kebijakan tingkat organisasi. Hubungi administrator organisasi Anda untuk mengubah pengaturan ini.

## Menggunakan AWS CLI
<a name="access-control-block-public-access-examples-cli"></a>

Anda dapat menggunakan Blokir Akses Publik Amazon S3 melalui AWS CLI. Untuk informasi selengkapnya tentang pengaturan dan penggunaan AWS CLI, lihat [Apa itu AWS Command Line Interface?](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) 

**Akun**
+ Untuk melakukan operasi blokir akses publik pada akun, gunakan AWS CLI layanan `s3control`. Operasi tingkat akun yang menggunakan layanan ini adalah sebagai berikut:
  + `PutPublicAccessBlock`(untuk akun)
  + `GetPublicAccessBlock`(untuk akun)
  + `DeletePublicAccessBlock`(untuk akun)

**catatan**  
`PutPublicAccessBlock`dan `DeletePublicAccessBlock` operasi akan mengembalikan kesalahan “Akses Ditolak” saat akun dikelola oleh kebijakan tingkat organisasi. `GetPublicAccessBlock`Operasi tingkat akun akan mengembalikan kebijakan tingkat organisasi yang dipaksakan jika ada.

Untuk informasi dan contoh tambahan, lihat [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/put-public-access-block.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/put-public-access-block.html)di *AWS CLI Referensi*.

## Menggunakan AWS SDKs
<a name="access-control-block-public-access-examples-sdk"></a>

------
#### [ Java ]

Contoh berikut menunjukkan kepada Anda cara menggunakan Amazon S3 Block Public Access dengan AWS SDK untuk Java untuk menempatkan konfigurasi blok akses publik pada akun Amazon S3.

**catatan**  
`PutPublicAccessBlock`dan `DeletePublicAccessBlock` operasi akan gagal dengan kesalahan “Akses Ditolak” jika akun dikelola oleh kebijakan tingkat organisasi.

```
AWSS3ControlClientBuilder controlClientBuilder = AWSS3ControlClientBuilder.standard();
controlClientBuilder.setRegion(<region>);
controlClientBuilder.setCredentials(<credentials>);
					
AWSS3Control client = controlClientBuilder.build();
client.putPublicAccessBlock(new PutPublicAccessBlockRequest()
		.withAccountId(<account-id>)
		.withPublicAccessBlockConfiguration(new PublicAccessBlockConfiguration()
				.withIgnorePublicAcls(<value>)
				.withBlockPublicAcls(<value>)
				.withBlockPublicPolicy(<value>)
				.withRestrictPublicBuckets(<value>)));
```

**penting**  
Contoh ini hanya berkaitan dengan operasi tingkat akun, yang menggunakan kelas pelanggan `AWSS3Control`. Untuk operasi tingkat bucket, lihat contoh sebelumnya.

------
#### [ Other SDKs ]

Untuk informasi tentang menggunakan yang lain AWS SDKs, lihat [Mengembangkan dengan Amazon S3 menggunakan](https://docs.aws.amazon.com/AmazonS3/latest/API/sdk-general-information-section.html) Referensi API Amazon *S3 AWS SDKs di Amazon S3*.

------

## Penggunaan API REST
<a name="access-control-block-public-access-examples-api"></a>

Untuk informasi tentang menggunakan Amazon S3 Blokir Akses Publik melalui REST APIs, lihat topik berikut di Referensi *API Amazon Simple Storage Service*.
+ Operasi tingkat akun
  + [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html)- Gagal ketika akun dikelola oleh kebijakan organisasi
  + [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetPublicAccessBlock.html)- Mengembalikan konfigurasi yang efektif termasuk kebijakan organisasi.
  + [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeletePublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeletePublicAccessBlock.html)- Gagal ketika akun dikelola oleh kebijakan organisasi.

Anda akan melihat pesan galat berikut untuk operasi terbatas: “Akun ini tidak mengizinkan perubahan pada pengaturan Akses Publik Blok S3 tingkat akunnya karena kebijakan Akses Publik Blok S3 organisasi berlaku.”

# Mengonfigurasi pengaturan blokir akses publik untuk bucket S3 Anda
<a name="configuring-block-public-access-bucket"></a>

Akses Publik Blok Amazon S3 menyediakan pengaturan untuk titik akses, bucket, organisasi, dan akun untuk membantu Anda mengelola akses publik ke sumber daya Amazon S3. Secara default, bucket, titik akses, dan objek yang baru tidak mengizinkan akses publik. Untuk informasi selengkapnya, lihat [Melakukan blok akses publik ke penyimpanan Amazon S3 Anda](access-control-block-public-access.md).

**catatan**  
Pengaturan Akses Publik Blok Tingkat Bucket bekerja bersama kebijakan tingkat organisasi dan akun. S3 menerapkan pengaturan yang paling ketat antara konfigurasi tingkat ember dan tingkat akun yang efektif (yang dapat ditegakkan oleh kebijakan organisasi jika ada).

Anda dapat menggunakan konsol S3,, AWS CLI AWS SDKs, dan REST API untuk memberikan akses publik ke satu atau beberapa bucket. Anda juga dapat memblokir akses publik ke bucket yang sudah publik. Untuk informasi selengkapnya, lihat bagian di bawah ini.

Untuk mengonfigurasi pengaturan blokir akses publik untuk setiap bucket di akun Anda, lihat [Mengonfigurasi pengaturan blokir akses publik untuk akun Anda](configuring-block-public-access-account.md). *Untuk manajemen terpusat di seluruh organisasi, lihat [kebijakan S3](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_s3.html) di panduan pengguna.AWS Organizations *

Untuk informasi tentang konfigurasi blokir akses publik untuk titik akses, lihat [Melakukan operasi akses publik blok pada titik akses](access-control-block-public-access.md#access-control-block-public-access-examples-access-point).

# Menggunakan konsol S3
<a name="block-public-access-bucket"></a>

Blokir akses publik Amazon S3 mencegah aplikasi dari pengaturan apa pun yang memungkinkan akses publik ke data dalam S3 bucket. Bagian ini menjelaskan cara mengedit pengaturan Blokir Akses Publik untuk satu bucket S3 atau lebih. Untuk informasi tentang memblokir akses publik menggunakan AWS CLI, AWS SDKs, dan Amazon S3 REST APIs, lihat. [Melakukan blok akses publik ke penyimpanan Amazon S3 Anda](access-control-block-public-access.md)

Anda dapat melihat apakah bucket dapat diakses publik dari daftar **Bucket**, di kolom **IAM Access** Analyzer. Untuk informasi selengkapnya, lihat [Meninjau akses bucket menggunakan IAM Access Analyzer untuk S3](access-analyzer.md).

Jika Anda melihat `Error` saat Anda mencantumkan bucket dan pengaturan akses publiknya, Anda mungkin tidak memiliki izin yang diperlukan. Periksa untuk memastikan Anda memiliki izin berikut yang ditambahkan ke pengguna atau kebijakan peran Anda:

```
s3:GetAccountPublicAccessBlock
s3:GetBucketPublicAccessBlock
s3:GetBucketPolicyStatus
s3:GetBucketLocation
s3:GetBucketAcl
s3:ListAccessPoints
s3:ListAllMyBuckets
```

Dalam beberapa kasus yang jarang terjadi, permintaan juga dapat gagal karena gangguan Wilayah AWS .

**Untuk mengedit pengaturan blokir akses publik Amazon S3 untuk satu bucket S3**

Ikuti langkah-langkah ini jika Anda perlu mengubah pengaturan akses publik untuk bucket S3 tunggal.

1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon S3 di. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

1. Di daftar **Bucket**, memilih nama bucket yang Anda inginkan.

1. Pilih **Izin**.

1. Pilih **Edit** di samping **Blokir akses publik (pengaturan bucket)** untuk mengubah pengaturan akses publik untuk bucket. Untuk informasi selengkapnya tentang empat Peraturan Blokir Akses Publik Amazon S3, lihat [Pengaturan blokir akses publik](access-control-block-public-access.md#access-control-block-public-access-options).

1. Pilih salah satu pengaturan, lalu pilih **Simpan perubahan**.

1. Saat Anda diminta untuk mengonfirmasi, masukkan **confirm**. Kemudian, pilih **Konfirmasi** untuk menyimpan perubahan Anda.

**penting**  
Meskipun Anda menonaktifkan pengaturan Blokir Akses Publik tingkat ember, bucket Anda mungkin masih dilindungi oleh kebijakan tingkat akun atau tingkat organisasi. S3 selalu menerapkan kombinasi pengaturan yang paling ketat di semua tingkatan.

Anda juga dapat mengubah setelan Akses Publik Blok Amazon S3 saat membuat bucket. Untuk informasi selengkapnya, lihat [Membuat bucket tujuan umum](create-bucket-overview.md). 

## Menggunakan AWS CLI
<a name="configuring-block-public-access-bucket-cli"></a>

Untuk memblokir akses publik pada bucket atau untuk menghapus blok akses publik, gunakan AWS CLI layanan ini`s3api`. Operasi tingkat bucket yang menggunakan layanan ini adalah sebagai berikut:
+ `PutPublicAccessBlock`(untuk ember)
+ `GetPublicAccessBlock`(untuk ember)
+ `DeletePublicAccessBlock`(untuk ember)
+ `GetBucketPolicyStatus`

Untuk informasi dan contoh selengkapnya, lihat [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-public-access-block.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-public-access-block.html) di *Referensi AWS CLI *.

**catatan**  
Operasi tingkat ember ini tidak dibatasi oleh kebijakan tingkat organisasi. Namun, perilaku akses publik yang efektif masih akan diatur oleh kombinasi pengaturan bucket, akun, dan organisasi yang paling ketat. Untuk informasi selengkapnya tentang hierarki dan interaksi kebijakan, lihat[Menggunakan konsol S3](block-public-access-bucket.md).

## Menggunakan AWS SDKs
<a name="configuring-block-public-access-bucket-sdk"></a>

------
#### [ Java ]

```
AmazonS3 client = AmazonS3ClientBuilder.standard()
	  .withCredentials(<credentials>)
	  .build();

client.setPublicAccessBlock(new SetPublicAccessBlockRequest()
		.withBucketName(<bucket-name>)
		.withPublicAccessBlockConfiguration(new PublicAccessBlockConfiguration()
				.withBlockPublicAcls(<value>)
				.withIgnorePublicAcls(<value>)
				.withBlockPublicPolicy(<value>)
				.withRestrictPublicBuckets(<value>)));
```

**penting**  
Contoh ini hanya berkaitan dengan operasi tingkat bucket, yang menggunakan kelas pelanggan `AmazonS3`. Untuk operasi tingkat akun, lihat contoh berikut.

------
#### [ Other SDKs ]

Untuk informasi tentang menggunakan yang lain AWS SDKs, lihat [Mengembangkan dengan Amazon S3 menggunakan](https://docs.aws.amazon.com/AmazonS3/latest/API/sdk-general-information-section.html) Referensi API Amazon *S3 AWS SDKs di Amazon S3*.

------

## Penggunaan API REST
<a name="configuring-block-public-access-bucket-api"></a>

Untuk informasi tentang menggunakan Amazon S3 Blokir Akses Publik melalui REST APIs, lihat topik berikut di Referensi *API Amazon Simple Storage Service*.
+ Operasi tingkat bucket
  + [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html)
  + [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetPublicAccessBlock.html)
  + [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeletePublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeletePublicAccessBlock.html)
  + [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicyStatus.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicyStatus.html)