Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Pengaturan administrator
Sebelum pengguna dapat membuat integrasi Amazon S3 dan basis pengetahuan, administrator Amazon Quick harus menyelesaikan tugas penyiapan berikut.
Berikan Amazon Akses cepat ke ember Amazon S3
Berikan Amazon Akses cepat ke bucket Amazon S3 yang dibutuhkan organisasi Anda. Ini berlaku apakah bucket berada di akun yang sama atau AWS akun yang berbeda.
-
Di konsol admin Amazon Quick, di bawah Izin, pilih AWS sumber daya.
-
Di bawah Izinkan akses dan penemuan otomatis untuk sumber daya ini, pilih kotak centang Amazon S3.
-
Pilih Pilih ember S3.
-
Dalam dialog Select Amazon S3 bucket, pilih tab yang cocok dengan lokasi bucket Anda:
-
Bucket S3 yang Ditautkan ke Akun Cepat — Pilih bucket dari daftar yang ingin diakses Amazon Quick. Bucket yang dipilih memiliki izin hanya-baca secara default.
-
Bucket S3 yang Dapat Anda Akses Di Seluruh AWS — Untuk bucket lintas akun, pastikan pemilik akun telah mengotorisasi akun Anda. Pilih Gunakan bucket yang berbeda, masukkan nama bucket, dan pilih Add S3 bucket.
-
-
(Opsional) Untuk bucket lintas akun, pilih Batasi akses bucket ke pembuat basis pengetahuan untuk membatasi akses sehingga hanya pengguna yang membuat basis pengetahuan yang dapat menggunakan bucket.
-
Pilih Selesai.
Bucket yang dipilih sekarang dapat diakses oleh pengguna selama pembuatan basis pengetahuan.
Siapkan peran IAM dan pengaturan kebijakan
Integrasi Amazon S3 menggunakan AWS otentikasi untuk mengakses bucket Amazon S3 Anda. Siapkan konfigurasi peran dan kebijakan IAM Anda sebelum pengguna menyiapkan integrasi.
Izin IAM yang diperlukan
Pastikan AWS akun Anda memiliki izin minimum berikut untuk bucket Amazon S3:
s3:GetObject— Baca objek dari ember.s3:ListBucket— Daftar isi ember.s3:GetBucketLocation— Dapatkan informasi wilayah bucket.s3:GetObjectVersion— Dapatkan versi objek.s3:ListBucketVersions— Daftar versi bucket.
Konfigurasikan izin bucket Amazon S3 untuk akses lintas akun
Jika Anda mengakses bucket Amazon S3 di akun AWS lain, Anda harus mengonfigurasi kebijakan IAM di akun sumber. AWS
Untuk mengonfigurasi izin bucket Amazon S3 untuk akses lintas akun
-
Masuk ke Konsol AWS Manajemen untuk akun yang berisi bucket Amazon S3.
-
Buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/
-
Pilih bucket yang ingin Anda berikan akses.
-
Pilih tab Izin, lalu pilih Kebijakan Bucket.
-
Tambahkan kebijakan bucket dengan elemen berikut:
Version- Setel ke “2012-10-17"Statement— Array yang berisi pernyataan kebijakan dengan:Sid— "AllowQuickSuiteS3Access”Effect— “Izinkan”Principal— AWS ARN untuk peran layanan Amazon Quick di akun Anda. Misalnya, kepala sekolah akan terlihat seperti ini:"Principal": { "AWS": "arn:aws:iam::<quick_account_id>:role/service-role/aws-quicksight-service-role-v0" }Action— Array izin Amazon S3: s3:, s3:, s3:GetObject, s3:ListBucket, s3:, s3: GetBucketLocation GetObjectVersion ListBucketVersionsResource— “*” (berlaku untuk kunci saat ini), jalur bucket Amazon S3 akan terlihat seperti berikut:"Resource": [ "arn:aws:s3:::bucket_name"]
-
Pilih Simpan perubahan.
Konfigurasikan izin kunci KMS (jika bucket Anda menggunakan enkripsi)
Jika bucket Amazon S3 Anda menggunakan enkripsi AWS KMS, selesaikan langkah-langkah berikut.
Untuk mengonfigurasi izin kunci KMS
-
Buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms
. -
Pilih tombol KMS yang digunakan untuk mengenkripsi bucket Amazon S3 Anda.
-
Pilih Kebijakan kunci, lalu pilih Edit.
-
Tambahkan pernyataan ke kebijakan kunci dengan elemen struktural berikut:
Sid– "AllowQuickSuiteKMSAccess"Effect— “Izinkan”Principal— AWS ARN untuk peran layanan Amazon Quick di akun Anda. Misalnya, kepala sekolah akan terlihat seperti ini:"Principal": { "AWS": "arn:aws:iam::<quick_account_id>:role/service-role/aws-quicksight-service-role-v0" }Action— Array izin KMS: kms: Dekripsi, kms: DescribeKeyResource— “*” (berlaku untuk kunci saat ini), jalur bucket Amazon S3 akan terlihat seperti berikut:"Resource": [ "arn:aws:s3:::bucket_name"]
-
Pilih Simpan perubahan.
-
Tunggu 2-3 menit hingga perubahan kebijakan menyebar.
Konfigurasikan akses VPC untuk Konektor Amazon S3 di Amazon Quick
Izin VPC memastikan Amazon Quick hanya dapat mengakses bucket Amazon S3 Anda melalui koneksi titik akhir VPC atau VPC yang aman.
Perubahan kebijakan yang diperlukan
Tambahkan pernyataan ini ke kebijakan akses bucket Anda untuk memungkinkan Amazon Quick mengakses bucket Anda melalui titik akhir VPC:
{ "Sid": "Allow-Quick-access" , "Principal": "arn:aws:iam::Quick Account:role/service-role/aws-quicksight-service-role-v0", "Action": "s3:*", "Effect": "Allow", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ], "Condition": { "Null": { "aws:SourceVpce": "false" } } }
-
Ganti
amzn-s3-demo-bucketdengan nama bucket Anda. -
Ganti
Quick Accountdengan akun Amazon Quick Anda.
"aws:SourceVpce": "false"Kondisi ini memastikan Amazon Quick hanya dapat mengakses bucket Anda melalui titik akhir VPC, menjaga persyaratan keamanan Anda.
Tolak kebijakan
Jika bucket Anda memiliki kebijakan yang membatasi lalu lintas ke titik akhir VPC atau VPC tertentu melalui Kebijakan Tolak, Anda harus membalikkan kebijakan ini karena kebijakan penolakan lebih diutamakan daripada kebijakan izin.
Contoh:
{ "Version":"2012-10-17" , "Id": "Policy1415115909152", "Statement": [ { "Sid": "Access-to-specific-VPCE-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*"], "Condition": { "StringNotEquals": { "aws:SourceVpce": "vpce-0abcdef1234567890" } } } ] }
Harus dibalik menjadi:
{ "Version":"2012-10-17" , "Id": "Policy1415115909152", "Statement": [ { "Sid": "Access-to-specific-VPCE-only", "Principal": "*", "Action": "s3:*", "Effect": "Allow", "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*"], "Condition": { "StringEquals": { "aws:SourceVpce": "vpce-0abcdef1234567890" } } } ] }
Praktik terbaik
Batasi akses ke peran Cepat Amazon Anda
Kebijakan akses harus menegakkan bahwa penelepon adalah ARN peran Cepat Amazon Anda atau, setidaknya, akun Amazon Quick Anda. Ini memastikan bahwa meskipun memungkinkan lalu lintas VPC, panggilan hanya datang dari sumber yang diharapkan.
Rekomendasi keamanan
-
Batasi kebijakan untuk peran Cepat Amazon Anda untuk sebagian besar lalu lintas aman
-
Tinjau kebijakan bucket Anda secara teratur untuk memastikan kebijakan tersebut mengikuti prinsip hak istimewa yang paling rendah
Batasi akses bucket Amazon S3 dengan penetapan kebijakan IAM
Anda dapat mengontrol bucket Amazon S3 mana yang dapat digunakan pengguna Amazon Quick Anda untuk membuat basis pengetahuan dengan membuat kebijakan IAM dan menetapkannya ke pengguna, grup, atau semua pengguna tertentu melalui penetapan kebijakan Amazon Quick IAM. Ini memungkinkan Anda untuk membatasi siapa yang dapat membuat basis pengetahuan terhadap ember tertentu, termasuk basis pengetahuan ACL yang sadar.
catatan
Kebijakan IAM yang ditetapkan melalui Amazon Quick lebih diutamakan daripada AWS kebijakan tingkat sumber daya. Untuk memastikan persyaratan akses Anda terpenuhi, konfigurasikan kebijakan IAM Anda dengan tepat.
Misalnya, Anda dapat menetapkan kebijakan pembatasan untuk pengguna tertentu yang memerlukan akses ke bucket yang sadar ACL, sambil menetapkan kebijakan yang lebih luas ke semua pengguna untuk bucket non-ACL.
Langkah 1: Buat kebijakan akses Amazon S3 di IAM
Buat kebijakan IAM di konsol AWS IAM yang menentukan bucket Amazon S3 mana yang dapat diakses pengguna untuk pembuatan basis pengetahuan. Contoh kebijakan berikut memberikan akses ke dua bucket tertentu:
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": "arn:aws:s3:::*" }, { "Action": [ "s3:ListBucket" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket-1", "arn:aws:s3:::amzn-s3-demo-bucket-2" ] }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket-1/*", "arn:aws:s3:::amzn-s3-demo-bucket-2/*" ] }, { "Action": [ "s3:ListBucketMultipartUploads", "s3:GetBucketLocation" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket-1", "arn:aws:s3:::amzn-s3-demo-bucket-2" ] }, { "Action": [ "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket-1/*", "arn:aws:s3:::amzn-s3-demo-bucket-2/*" ] } ] }
Ganti amzn-s3-demo-bucket-1 dan amzn-s3-demo-bucket-2 dengan nama bucket Amazon S3 yang ingin Anda berikan aksesnya.
Langkah 2: Tetapkan kebijakan di Amazon Quick
Setelah membuat kebijakan IAM, tetapkan ke pengguna atau grup Amazon Quick.
-
Di konsol admin Cepat Amazon, di bawah Izin, pilih penetapan kebijakan IAM.
-
Pilih Tambahkan tugas baru.
-
Masukkan nama untuk tugas.
-
Pada halaman Pilih kebijakan IAM, cari dan pilih kebijakan IAM yang Anda buat di Langkah 1. Pilih Berikutnya.
-
Pada halaman Tetapkan pengguna dan grup, pilih salah satu dari berikut ini:
-
Pilih Tetapkan ke semua pengguna dan grup untuk menerapkan kebijakan ini ke semua pengguna saat ini dan yang akan datang.
-
Cari dan pilih pengguna atau grup tertentu untuk menetapkan kebijakan.
Pilih Berikutnya.
-
-
Pada halaman Tinjau dan aktifkan perubahan, verifikasi detail tugas Anda, lalu pilih Simpan dan aktifkan.
Pengguna yang tidak secara eksplisit diberikan akses melalui penetapan kebijakan IAM tidak akan dapat mengakses bucket Amazon S3 terbatas untuk membuat integrasi atau basis pengetahuan.
