Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan tag dengan S3 Access Points untuk bucket tujuan umum
AWS Tag adalah pasangan nilai kunci yang menyimpan metadata tentang sumber daya, dalam hal ini Titik Akses Amazon S3. Anda dapat menandai titik akses saat Anda membuatnya atau mengelola tag pada titik akses yang ada. Untuk informasi umum tentang tag, lihatPenandaan untuk alokasi biaya atau kontrol akses berbasis atribut (ABAC).
catatan
Tidak ada biaya tambahan untuk menggunakan tag pada titik akses di luar tarif permintaan API S3 standar. Untuk informasi selengkapnya, lihat Harga Amazon S3
Cara umum untuk menggunakan tag dengan titik akses
Kontrol akses berbasis atribut (ABAC) memungkinkan Anda untuk menskalakan izin akses dan memberikan akses ke titik akses berdasarkan tag mereka. Untuk informasi selengkapnya tentang ABAC di Amazon S3, lihat Menggunakan tag untuk ABAC.
ABAC untuk Titik Akses S3
Poin Akses Amazon S3 mendukung kontrol akses berbasis atribut (ABAC) menggunakan tag. Gunakan kunci kondisi berbasis tag di AWS organisasi, IAM, dan kebijakan Access Points Anda. Untuk perusahaan, ABAC di Amazon S3 mendukung otorisasi di beberapa akun. AWS
Dalam kebijakan IAM Anda, Anda dapat mengontrol akses ke titik akses berdasarkan tag titik akses dengan menggunakan kunci kondisi global berikut:
-
aws:ResourceTag/key-name-
Gunakan kunci ini untuk membandingkan pasangan nilai kunci tag yang Anda tentukan dalam kebijakan dengan pasangan nilai kunci yang dilampirkan ke sumber daya. Misalnya, Anda dapat meminta agar akses ke sumber daya hanya diperbolehkan jika sumber daya memiliki kunci tanda yang dilampirkan
Deptdengan nilaiMarketing. Untuk informasi selengkapnya, lihat Mengontrol akses ke AWS sumber daya.
-
-
aws:RequestTag/key-name-
Gunakan kunci ini untuk membandingkan pasangan nilai kunci tanda yang diteruskan dalam permintaan dengan pasangan tanda yang Anda sebutkan dalam kebijakan. Misalnya, Anda dapat memeriksa apakah permintaan tersebut menyertakan kunci tanda
Deptdan memiliki nilaiAccounting. Untuk informasi selengkapnya, lihat Mengontrol akses selama AWS permintaan. Anda dapat menggunakan kunci kondisi ini untuk membatasi pasangan nilai kunci tag mana yang dapat diteruskan selama operasiTagResourcedanCreateAccessPointAPI.
-
-
aws:TagKeys-
Gunakan kunci ini untuk membandingkan kunci tanda dalam permintaan dengan kunci yang Anda sebutkan dalam kebijakan. Sebaiknya saat Anda menggunakan kebijakan untuk mengontrol akses menggunakan tag, gunakan tombol
aws:TagKeyskondisi untuk menentukan kunci tag apa yang diizinkan. Misalnya kebijakan dan informasi selengkapnya, lihat Mengontrol akses berdasarkan kunci tag. Anda dapat membuat titik akses dengan tag. Untuk mengizinkan penandaan selama operasiCreateAccessPointAPI, Anda harus membuat kebijakan yang mencakups3:CreateAccessPointtindakans3:TagResourcedan tindakan. Anda kemudian dapat menggunakan kunciaws:TagKeyskondisi untuk menerapkan menggunakan tag tertentu dalamCreateAccessPointpermintaan.
-
-
s3:AccessPointTag/tag-key-
Gunakan kunci kondisi ini untuk memberikan izin ke data tertentu melalui titik akses menggunakan tag. Saat menggunakan
aws:ResourceTag/tag-keydalam kebijakan IAM, baik titik akses maupun bucket tempat titik akses harus memiliki tag yang sama seperti keduanya dipertimbangkan selama otorisasi. Jika Anda ingin mengontrol akses ke data Anda secara khusus melalui tag titik akses saja, Anda dapat menggunakan kuncis3:AccessPointTag/tag-keykondisi.
-
Contoh kebijakan ABAC untuk titik akses
Lihat contoh kebijakan ABAC berikut untuk Titik Akses Amazon S3.
1.1 - Kebijakan IAM untuk membuat atau memodifikasi bucket dengan tag tertentu
Dalam kebijakan IAM ini, pengguna atau peran dengan kebijakan ini hanya dapat membuat titik akses jika mereka menandai titik akses dengan kunci tag project dan nilai tag Trinity dalam permintaan pembuatan titik akses. Mereka juga dapat menambahkan atau memodifikasi tag pada titik akses yang ada selama TagResource permintaan menyertakan pasangan nilai kunci tag. project:Trinity
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateAccessPointWithTags", "Effect": "Allow", "Action": [ "s3:CreateAccessPoint", "s3:TagResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/project": [ "Trinity" ] } } } ] }
1.2 - Kebijakan Access Point untuk membatasi operasi pada titik akses menggunakan tag
Dalam kebijakan Access Point ini, prinsipal IAM (pengguna dan peran) dapat melakukan operasi menggunakan GetObject tindakan pada titik akses hanya jika nilai tag titik akses cocok dengan nilai project tag prinsipal. project
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowObjectOperations", "Effect": "Allow", "Principal": { "AWS": "111122223333" }, "Action": "s3:GetObject", "Resource": "arn:aws::s3:region:111122223333:accesspoint/", "Condition": { "StringEquals": { "aws:ResourceTag/project": "${aws:PrincipalTag/project}" } } } ] }my-access-point
1.3 - Kebijakan IAM untuk memodifikasi tag pada sumber daya yang ada mempertahankan tata kelola penandaan
Dalam kebijakan IAM ini, prinsipal IAM (pengguna atau peran) dapat memodifikasi tag pada titik akses hanya jika nilai tag titik akses cocok dengan nilai project tag prinsipal. project Hanya empat tagproject,environment,owner, dan cost-center ditentukan dalam tombol aws:TagKeys kondisi yang diizinkan untuk titik akses ini. Ini membantu menegakkan tata kelola tag, mencegah modifikasi tag yang tidak sah, dan menjaga skema penandaan tetap konsisten di seluruh titik akses Anda.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnforceTaggingRulesOnModification", "Effect": "Allow", "Action": [ "s3:TagResource" ], "Resource": "arn:aws::s3:region:111122223333:accesspoint/", "Condition": { "StringEquals": { "aws:ResourceTag/project": "${aws:PrincipalTag/project}" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "my-access-pointproject", "environment", "owner", "cost-center" ] } } } ] }
1.4 - Menggunakan kunci AccessPointTag kondisi s3:
Dalam kebijakan IAM ini, pernyataan kondisi memungkinkan akses ke data bucket jika titik akses memiliki kunci tag Environment dan nilai Production tag.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToSpecificAccessPoint", "Effect": "Allow", "Action": "*", "Resource": "arn:aws::s3:region:111122223333:accesspoint/", "Condition": { "StringEquals": { "s3:AccessPointTag/Environment": "Production" } } } ] }my-access-point
1.5 - Menggunakan kebijakan delegasi bucket
Di Amazon S3, Anda dapat mendelegasikan akses ke atau mengontrol kebijakan bucket S3 Anda ke AWS akun lain atau ke pengguna atau peran tertentu AWS Identity and Access Management (IAM) di akun lain. Kebijakan bucket delegasi memberikan izin akun, pengguna, atau peran lain ini ke bucket Anda dan objeknya. Untuk informasi selengkapnya, lihat Delegasi izin.
Jika menggunakan kebijakan bucket delegasi, seperti berikut ini:
{ "Version": "2012-10-17", "Statement": { "Principal": {"AWS": "*"}, "Effect": "Allow", "Action": ["s3:*"], "Resource":["arn:aws::s3:::/*", "arn:aws::s3:::amzn-s3-demo-bucketamzn-s3-demo-bucket"], "Condition": { "StringEquals" : { "s3:DataAccessPointAccount" : "111122223333" } } } }
Dalam kebijakan IAM berikut, pernyataan kondisi mengizinkan akses ke data bucket jika titik akses memiliki kunci tag Environment dan nilai Production tag.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToSpecificAccessPoint", "Effect": "Allow", "Action": "*", "Resource": "arn:aws::s3:region:111122223333:accesspoint/", "Condition": { "StringEquals": { "s3:AccessPointTag/Environment": "Production" } } } ] }my-access-point
Bekerja dengan tag untuk titik akses untuk ember tujuan umum
Anda dapat menambahkan atau mengelola tag untuk titik akses menggunakan Konsol Amazon S3, Antarmuka Baris AWS Perintah (CLI), atau menggunakan S3 APIs: AWS SDKs,, dan. TagResourceUntagResourceListTagsForResource Untuk informasi selengkapnya, lihat:
Topik
