Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengelola akses titik akses
Anda dapat mengonfigurasi setiap titik akses S3 dengan izin dan kontrol jaringan yang berbeda yang diterapkan S3 untuk setiap permintaan yang dibuat menggunakan jalur akses tersebut. Kebijakan sumber daya dukungan titik akses S3 AWS Identity and Access Management (IAM) yang dapat Anda gunakan untuk mengontrol penggunaan titik akses menurut sumber daya, pengguna, atau kondisi lainnya. Untuk aplikasi atau pengguna untuk mengakses file melalui titik akses, baik titik akses dan volume yang mendasarinya harus mengizinkan permintaan. Untuk informasi selengkapnya, lihat Kebijakan jalur akses IAM.
Jalur akses Amazon S3 FSx untuk ONTAP menggunakan model otorisasi lapisan ganda yang menggabungkan izin AWS IAM dengan izin tingkat sistem file. Pendekatan ini memastikan bahwa permintaan akses data diotorisasi dengan benar pada tingkat AWS layanan dan tingkat sistem file yang mendasarinya.
Agar aplikasi atau pengguna berhasil mengakses data melalui titik akses, kebijakan jalur akses S3 dan yang mendasari FSx volume ONTAP harus mengizinkan permintaan tersebut.
Topik
Identitas dan otorisasi pengguna sistem file
Saat Anda membuat jalur akses S3 untuk volume ONTAP, Anda menentukan identitas sistem file yang akan digunakan untuk mengotorisasi semua permintaan sistem file yang dibuat melalui titik akses tersebut. FSx Identitas sistem file ini menentukan tingkat akses apa yang diberikan ke file dan direktori yang mendasari berdasarkan model izin sistem file. Pengguna sistem file adalah akun pengguna pada sistem FSx file Amazon yang mendasarinya. Jika pengguna sistem file memiliki akses hanya-baca, maka hanya permintaan baca yang dibuat menggunakan titik akses yang diotorisasi, dan permintaan tulis diblokir. Jika pengguna sistem file memiliki akses baca-tulis, maka permintaan baca dan tulis ke volume terlampir yang dibuat menggunakan titik akses diotorisasi.
Identitas sistem file dapat menjadi salah satu dari dua jenis:
Identitas UNIX — Gunakan identitas UNIX (nama pengguna) saat mengakses volume dengan gaya keamanan UNIX
Windows Identity — Gunakan identitas Windows (domain dan nama pengguna) saat mengakses volume dengan gaya keamanan NTFS.
Saat Anda menentukan identitas UNIX atau Windows, semua operasi API S3 yang dilakukan melalui titik akses diotorisasi menggunakan izin pengguna tersebut pada sistem file.
Identitas sistem file yang Anda kaitkan dengan titik akses menentukan tingkat akses ke file dan direktori. Misalnya, jika Anda mengaitkan titik akses dengan identitas UNIX root (UID 0), yang biasanya memiliki izin akses file penuh pada sistem file, maka semua operasi file akan diotorisasi. Sebaliknya, jika Anda mengaitkan titik akses dengan identitas pengguna terbatas, operasi file akan terbatas pada apa yang dapat diakses pengguna berdasarkan model izin sistem file.
Anda harus menggunakan jenis identitas sistem file UNIX untuk volume dengan gaya keamanan UNIX dan tipe identitas Windows untuk volume dengan gaya keamanan NTFS. Penyelarasan ini memastikan bahwa model otorisasi cocok dengan konfigurasi keamanan volume.
Untuk volume gaya keamanan UNIX, sistem file menggunakan mode-bit atau NFSv4 ACLs untuk mengontrol akses. Untuk volume gaya keamanan NTFS, sistem file menggunakan Windows ACLs untuk mengontrol akses.
penting
Melampirkan titik akses S3 ke volume FSx untuk ONTAP tidak mengubah perilaku volume saat volume diakses langsung melalui NFS atau SMB. Semua operasi yang ada terhadap volume akan terus bekerja seperti sebelumnya. Pembatasan yang Anda sertakan dalam kebijakan jalur akses S3 hanya berlaku untuk permintaan yang dibuat menggunakan jalur akses.
Otorisasi permintaan API S3
Saat Anda membuat permintaan API S3 melalui titik akses yang dilampirkan ke volume NetApp ONTAP FSx untuk, Amazon S3 mengevaluasi izin IAM dari prinsipal panggilan terhadap kebijakan sumber daya IAM titik akses. Penelepon utama IAM harus memiliki izin yang diperlukan yang diberikan melalui kebijakan berbasis identitas mereka, dan kebijakan sumber daya jalur akses juga harus mengizinkan tindakan yang diminta.
Amazon S3 mengevaluasi semua kebijakan yang relevan—termasuk kebijakan pengguna, kebijakan titik akses, kebijakan titik akhir VPC, dan kebijakan kontrol layanan—untuk menentukan apakah akan mengizinkan permintaan tersebut.
Anda juga dapat mengonfigurasi titik akses S3 untuk hanya menerima permintaan dari virtual private cloud (VPC) tertentu untuk membatasi akses data. Untuk informasi selengkapnya, lihat Membuat titik akses terbatas pada cloud privat virtual.
Blokir Akses Publik S3
Titik akses Amazon S3 yang dilampirkan ke volume ONTAP secara otomatis dikonfigurasi dengan akses publik blok diaktifkan, yang tidak dapat Anda ubah. FSx
Kebijakan jalur akses IAM
Kebijakan sumber daya dukungan jalur akses Amazon S3 AWS Identity and Access Management (IAM) yang memungkinkan Anda mengontrol penggunaan titik akses berdasarkan sumber daya, pengguna, atau kondisi lainnya. Agar aplikasi atau pengguna dapat mengakses objek melalui titik akses, baik titik akses dan sumber data yang mendasarinya harus mengizinkan permintaan tersebut.
s3:PutAccessPointPolicyIzin diperlukan untuk membuat kebijakan jalur akses opsional.
Setelah Anda melampirkan jalur akses S3 ke FSx volume Amazon, semua operasi yang ada terhadap volume akan terus berfungsi seperti sebelumnya. Pembatasan yang Anda sertakan dalam kebijakan titik akses hanya berlaku untuk permintaan yang dibuat melalui titik akses tersebut. Untuk informasi selengkapnya, lihat Mengonfigurasi kebijakan IAM untuk menggunakan titik akses di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.
Anda dapat mengonfigurasi kebijakan titik akses saat membuat titik akses yang dilampirkan ke volume FSx untuk ONTAP menggunakan FSx konsol Amazon. Untuk menambahkan, memodifikasi, atau menghapus kebijakan titik akses pada titik akses S3 yang ada, Anda dapat menggunakan konsol S3, CLI, atau API.
