Esempi di policy di bucket
Con le policy di bucket S3 su Outposts, è possibile proteggere l'accesso agli oggetti nei bucket S3 su Outposts, in modo che solo gli utenti con le autorizzazioni appropriate possano accedervi. È possibile persino impedire agli utenti autenticati senza le autorizzazioni appropriate di accedere alle risorse S3 su Outposts.
Questa sezione include esempi di casi d'uso tipici per le policy di bucket S3 su Outposts. Per testare queste policy, sostituisci user input
placeholders
Per concedere o negare le autorizzazioni per un insieme di oggetti, puoi utilizzare caratteri jolly (*) nei nomi delle risorse Amazon (ARN) e altri valori. Ad esempio, puoi controllare l'accesso a gruppi di oggetti che iniziano con un prefisso comune o terminano con una determinata estensione, come .html.
Per informazioni sul linguaggio delle policy AWS Identity and Access Management (IAM), consulta Configurazione di IAM con S3 su Outposts.
Nota
Per testare le autorizzazioni s3outposts utilizzando la console di Amazon S3, è necessario concedere le autorizzazioni aggiuntive richieste dalla console, ovvero s3outposts:createendpoint, s3outposts:listendpoints e così via.
Risorse aggiuntive per la creazione di policy bucket
-
Per un elenco di operazioni, risorse e chiavi di condizione della policy IAM che è possibile utilizzare durante la creazione di una policy bucket S3 su Outposts, consulta Operazioni, risorse e chiavi di condizione per Amazon S3 su Outposts.
-
Per istruzioni sulla creazione della policy S3 su Outposts, consulta Aggiunta o modifica di una policy di un bucket Amazon S3 su Outposts.
Gestione dell'accesso a un bucket Amazon S3 su Outposts in base a indirizzi IP specifici
Una policy di bucket è una policy AWS Identity and Access Management (IAM) basata su risorse che puoi utilizzare per concedere autorizzazioni di accesso al bucket e agli oggetti che contiene. Solo il proprietario del bucket può associare una policy a un bucket. Le autorizzazioni allegate a un bucket si applicano a tutti gli oggetti del bucket di proprietà del proprietario del bucket. Le policy di bucket sono limitate a dimensioni di 20 KB. Per ulteriori informazioni, consulta Policy del bucket.
Limitare l'accesso a indirizzi IP specifici
L'esempio seguente impedisce a tutti gli utenti di eseguire operazioni di S3 su Outposts sugli oggetti nei bucket specificati, a meno che la richiesta non provenga dall'intervallo di indirizzi IP specificato.
Nota
Quando si limita l'accesso a un indirizzo IP specifico, assicurarsi di specificare anche quali endpoint VPC, indirizzi IP di origine VPC o indirizzi IP esterni possono accedere al bucket S3 su Outposts. In caso contrario, si potrebbe perdere l'accesso al bucket se la policy impedisce a tutti gli utenti sprovvisti delle autorizzazioni appropriate di eseguire operazioni s3outposts sugli oggetti del bucket S3 su Outposts.
L'istruzione Condition di questa policy identifica 192.0.2.0/24
Il blocco Condition utilizza la condizione NotIpAddress e la chiave di condizione aws:SourceIp, che è una chiave di condizione valida per tutto AWS. La chiave di condizione aws:SourceIp può essere utilizzata solo per intervalli di indirizzi IP pubblici. Per ulteriori informazioni sulle chiavi di condizione, consulta Operazioni, risorse e chiavi di condizione per S3 su Outposts. I valori IPv4 aws:SourceIp utilizzano la notazione CIDR standard. Per ulteriori informazioni, consulta Documentazione di riferimento degli elementi delle policy JSON IAM nella Guida per l'utente di IAM.
avvertimento
Prima di utilizzare questa policy S3 su Outposts, sostituire l'intervallo di indirizzi IP 192.0.2.0/24
{ "Version": "2012-10-17", "Id": "S3OutpostsPolicyId1", "Statement": [ { "Sid": "IPAllow", "Effect": "Deny", "Principal": "*", "Action": "s3-outposts:*", "Resource": [ "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/accesspoint/EXAMPLE-ACCESS-POINT-NAME", "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/" ], "Condition": { "NotIpAddress": { "aws:SourceIp": "amzn-s3-demo-bucket192.0.2.0/24" } } } ] }
Consentire entrambi gli indirizzi IPv4 e IPv6
Quando inizi a utilizzare gli indirizzi IPv6, è consigliabile aggiornare tutte le policy dell'organizzazione con gli intervalli di indirizzi IPv6 in aggiunta agli intervalli di indirizzi IPv4 esistenti. Ciò contribuirà a garantire che le policy continuino a funzionare durante la transizione a IPv6.
Nella policy del bucket S3 su Outposts di esempio seguente viene mostrato come combinare gli intervalli di indirizzi IPv4 e IPv6 per coprire tutti gli indirizzi IP validi dell'organizzazione. La policy di esempio permette l'accesso agli indirizzi IP di esempio 192.0.2.12001:DB8:1234:5678::1203.0.113.12001:DB8:1234:5678:ABCD::1
La chiave di condizione aws:SourceIp può essere utilizzata solo per intervalli di indirizzi IP pubblici. I valori IPv6 per aws:SourceIp devono essere nel formato CIDR standard. Per IPv6 è supportato l'utilizzo di :: per rappresentare un intervallo di zeri (0), ad esempio 2001:DB8:1234:5678::/64. Per ulteriori informazioni, consulta Operatori di condizione con indirizzo IP nella Guida per l'utente di IAM.
avvertimento
Sostituire gli intervalli di indirizzi IP in questo esempio con valori appropriati per il proprio caso d'uso prima di utilizzare questa policy S3 su Outposts. In caso contrario, si potrebbe perdere la possibilità di accedere al bucket.
