View a markdown version of this page

Kebijakan berbasis identitas IAM untuk bucket direktori - Amazon Simple Storage Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kebijakan berbasis identitas IAM untuk bucket direktori

Sebelum Anda dapat membuat bucket direktori, Anda harus memberikan izin yang diperlukan untuk peran AWS Identity and Access Management (IAM) atau pengguna Anda. Kebijakan contoh ini memungkinkan akses ke operasi API CreateSession (untuk digunakan dengan operasi API titik akhir [tingkat objek] Zona) dan semua operasi API titik akhir Regional (tingkat bucket). Kebijakan ini memungkinkan operasi API CreateSession untuk digunakan dengan semua bucket direktori, tetapi operasi API titik akhir Regional hanya diizinkan untuk digunakan dengan bucket direktori yang ditentukan. Untuk menggunakan kebijakan contoh ini, ganti user input placeholders dengan informasi Anda sendiri.

catatan

Sebagai praktik terbaik, berikan hanya izin yang diperlukan untuk melakukan tugas (hak istimewa paling sedikit). Hapus tindakan apa pun dari kebijakan ini yang tidak diperlukan untuk kasus penggunaan Anda. Untuk daftar lengkap tindakan S3 Express One Zone, lihat Tindakan, sumber daya, dan kunci kondisi untuk S3 Express One Zone di Referensi Otorisasi Layanan.

contoh— Identity-based kebijakan untuk akses bucket direktori
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowRegionalEndpointAPIs",
            "Effect": "Allow",
            "Action": [
                "s3express:CreateBucket",
                "s3express:DeleteBucket",
                "s3express:DeleteBucketPolicy",
                "s3express:GetBucketPolicy",
                "s3express:PutBucketPolicy",
                "s3express:GetEncryptionConfiguration",
                "s3express:PutEncryptionConfiguration",
                "s3express:GetLifecycleConfiguration",
                "s3express:PutLifecycleConfiguration",
                "s3express:GetInventoryConfiguration",
                "s3express:PutInventoryConfiguration",
                "s3express:GetMetricsConfiguration",
                "s3express:PutMetricsConfiguration"
            ],
            "Resource": "arn:aws:s3express:region:account-id:bucket/bucket-base-name--zone-id--x-s3"
        },
        {
            "Sid": "AllowListAndCreateSession",
            "Effect": "Allow",
            "Action": [
                "s3express:ListAllMyDirectoryBuckets",
                "s3express:CreateSession"
            ],
            "Resource": "*"
        }
    ]
}

Kebijakan ini memiliki dua pernyataan:

  • Pernyataan pertama memberikan izin untuk operasi API titik akhir Regional (tingkat ember) pada bucket direktori tertentu. Anda dapat menghapus tindakan yang tidak Anda perlukan untuk kasus penggunaan Anda.

  • Pernyataan kedua memberikan izin untuk ListAllMyDirectoryBuckets dan. CreateSession Tindakan ini tidak mendukung izin tingkat sumber daya, jadi memang demikian. Resource "*" CreateSessionIzin ini memungkinkan semua operasi API titik akhir Zonal (tingkat objek), sepertiPutObject,, dan. GetObject DeleteObject