Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Bagaimana File S3 bekerja dengan IAM
Halaman ini menjelaskan cara kerja AWS Identity and Access Management (IAM) dengan File S3 dan bagaimana Anda dapat menggunakan kebijakan IAM untuk mengontrol akses ke sistem file Anda.
File S3 menggunakan IAM untuk dua jenis kontrol akses yang berbeda:
Akses API — Mengontrol siapa yang dapat membuat, mengelola, dan menghapus sumber daya File S3 seperti sistem file, target pemasangan, dan titik akses. Anda mengontrol akses ini menggunakan kebijakan berbasis identitas yang dilampirkan pada pengguna, grup, atau peran IAM.
Akses klien — Mengontrol apa yang dapat dilakukan klien (sumber daya komputasi yang Anda pasang) dengan sistem file setelah mereka terhubung, seperti membaca, menulis, atau mengakses file sebagai pengguna root. Anda mengontrol akses ini menggunakan kombinasi kebijakan berbasis sumber daya, kebijakan berbasis identitas, titik akses, dan izin POSIX.
Menggunakan IAM, Anda dapat mengizinkan klien untuk melakukan tindakan tertentu pada sistem file, termasuk akses read-only, write, dan root. Izin “izinkan” pada suatu tindakan baik dalam kebijakan identitas IAM atau kebijakan sumber daya sistem file memungkinkan akses untuk tindakan tersebut. Izin tidak perlu diberikan baik dalam identitas maupun kebijakan sumber daya.
Kebijakan bucket S3 pada bucket S3 yang ditautkan juga mengatur akses dari sumber daya komputasi dan sistem file ke bucket S3. Anda juga harus memastikan bahwa kebijakan bucket bucket sumber Anda tidak menolak akses dari sumber daya komputasi atau sistem file Anda. Untuk detail selengkapnya, lihat Kebijakan Bucket untuk Amazon S3.
Kebijakan berbasis identitas
Kebijakan berbasis identitas adalah kebijakan JSON yang Anda lampirkan ke pengguna, grup, atau peran IAM. Anda dapat memberikan izin ini dengan menulis kebijakan khusus atau dengan melampirkan kebijakan AWS terkelola. Untuk informasi selengkapnya tentang kebijakan terkelola yang tersedia untuk akses API dan akses klien, lihat kebijakan AWS terkelola untuk File Amazon S3.
File S3 juga mengoptimalkan kinerja baca dengan memungkinkan klien membaca data file langsung dari bucket S3 sumber. Saat memasang sistem file S3 di sumber daya komputasi, Anda harus menambahkan kebijakan sebaris ke peran IAM sumber daya komputasi yang memberikan izin untuk membaca objek dari bucket S3 yang ditentukan. Helper mount menggunakan izin ini untuk membaca data S3. Untuk detail lebih lanjut tentang kebijakan ini, lihatPeran IAM untuk melampirkan sistem file Anda untuk menghitung sumber daya AWS.
Kebijakan berbasis sumber daya
Kebijakan sistem file adalah kebijakan berbasis sumber daya IAM yang Anda lampirkan langsung ke sistem file untuk mengontrol akses klien. Anda dapat menggunakan kebijakan sistem file untuk memberikan atau menolak izin bagi klien untuk melakukan operasi seperti pemasangan, penulisan, dan akses root.
Sistem file memiliki kebijakan sistem file kosong (default) atau persis satu kebijakan eksplisit. Kebijakan sistem file S3 memiliki batas 20.000 karakter. Untuk informasi tentang membuat dan mengelola kebijakan sistem file, lihatMembuat kebijakan sistem file.
Tindakan File S3 untuk klien
Anda dapat menentukan tindakan berikut dalam kebijakan sistem file untuk mengontrol akses klien:
| Tindakan | Deskripsi |
|---|---|
s3files:ClientMount |
Menyediakan akses read-only ke sistem file. |
s3files:ClientWrite |
Memberikan izin menulis pada sistem file. |
s3files:ClientRootAccess |
Menyediakan penggunaan pengguna root saat mengakses sistem file. |
Kunci kondisi File S3 untuk klien
Anda dapat menggunakan tombol kondisi berikut dalam Condition elemen kebijakan sistem file untuk lebih menyempurnakan kontrol akses:
| Kunci syarat | Deskripsi | Operator |
|---|---|---|
s3files:AccessPointArn |
ARN dari titik akses File S3 yang terhubung dengan klien. | String |
Contoh kebijakan sistem file
Contoh: Berikan akses hanya-baca
Kebijakan sistem berkas berikut hanya memberikan izin ClientMount (hanya-baca) ke peran IAM. ReadOnly Ganti 111122223333 dengan ID AWS akun Anda.
{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ReadOnly" }, "Action": [ "s3files:ClientMount" ] } ] }
Contoh: Berikan akses ke titik akses File S3
Kebijakan sistem file berikut menggunakan elemen kondisi untuk memberikan akses penuh titik akses tertentu ke sistem file saat pemasangan melalui titik akses yang ditentukan. Ganti titik akses ARN dan ID akun dengan nilai Anda. Untuk informasi selengkapnya, lihat Membuat titik akses untuk sistem file S3.
{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::555555555555:role/S3FilesAccessPointFullAccess" }, "Action": [ "s3files:Client*" ], "Condition": { "StringEquals": { "s3files:AccessPointArn": "arn:partition:s3files:region:account-id:file-system/fs-1234567890/access-point/fsap-0987654321" } } } ] }
Izin POSIX
Setelah otorisasi IAM berhasil, File S3 memberlakukan izin POSIX standar (Unix-style) pada tingkat file dan direktori. Izin POSIX mengontrol akses berdasarkan ID pengguna (UID), ID grup (GID), dan bit izin (baca, tulis, jalankan) yang terkait dengan setiap file dan direktori. Titik akses dapat menerapkan identitas pengguna POSIX tertentu untuk semua permintaan, menyederhanakan manajemen akses untuk kumpulan data bersama. Untuk informasi selengkapnya, lihat Membuat titik akses untuk sistem file S3.
Grup keamanan
Grup keamanan bertindak sebagai firewall tingkat jaringan yang mengontrol lalu lintas antara sumber daya komputasi Anda dan target pemasangan sistem file. Untuk detail tentang mengonfigurasi grup keamanan untuk memulai File S3, lihat. Grup keamanan
