Limitazione dell'accesso a indirizzi IP specifici

Esempi di policy di bucket

Con le policy di bucket S3 su Outposts, è possibile proteggere l'accesso agli oggetti nei bucket S3 su Outposts, in modo che solo gli utenti con le autorizzazioni appropriate possano accedervi. È possibile persino impedire agli utenti autenticati senza le autorizzazioni appropriate di accedere alle risorse S3 su Outposts.

Questa sezione include esempi di casi d'uso tipici per le policy di bucket S3 su Outposts. Per testare queste policy, sostituisci user input placeholders con le tue informazioni (come il nome del bucket).

Per concedere o negare le autorizzazioni a un insieme di oggetti, puoi utilizzare caratteri jolly () * in Amazon Resource Names (ARNs) e altri valori. Ad esempio, puoi controllare l'accesso a gruppi di oggetti che iniziano con un prefisso comune o terminano con una determinata estensione, come .html.

Per ulteriori informazioni sul linguaggio di policy AWS Identity and Access Management (IAM), consulta. Configurazione di IAM con S3 su Outposts

Nota

Per testare le autorizzazioni s3outposts utilizzando la console di Amazon S3, è necessario concedere le autorizzazioni aggiuntive richieste dalla console, ovvero s3outposts:createendpoint, s3outposts:listendpoints e così via.

Risorse aggiuntive per la creazione di policy bucket

Per un elenco di operazioni, risorse e chiavi di condizione della policy IAM che è possibile utilizzare durante la creazione di una policy bucket S3 su Outposts, consulta Operazioni, risorse e chiavi di condizione per Amazon S3 su Outposts.
Per istruzioni sulla creazione della policy S3 su Outposts, consulta Aggiunta o modifica di una policy di un bucket Amazon S3 su Outposts.

Argomenti

Gestione dell'accesso a un bucket Amazon S3 su Outposts in base a indirizzi IP specifici

Gestione dell'accesso a un bucket Amazon S3 su Outposts in base a indirizzi IP specifici

Una bucket policy è una policy basata sulle risorse AWS Identity and Access Management (IAM) che puoi utilizzare per concedere le autorizzazioni di accesso al tuo bucket e agli oggetti in esso contenuti. Solo il proprietario del bucket può associare una policy a un bucket. Le autorizzazioni allegate a un bucket si applicano a tutti gli oggetti del bucket di proprietà del proprietario del bucket. Le policy di bucket sono limitate a dimensioni di 20 KB. Per ulteriori informazioni, consulta Policy del bucket.

Limitare l'accesso a indirizzi IP specifici

L'esempio seguente impedisce a tutti gli utenti di eseguire operazioni di S3 su Outposts sugli oggetti nei bucket specificati, a meno che la richiesta non provenga dall'intervallo di indirizzi IP specificato.

Nota

Quando si limita l'accesso a un indirizzo IP specifico, assicurarsi di specificare anche quali endpoint VPC, indirizzi IP di origine VPC o indirizzi IP esterni possono accedere al bucket S3 su Outposts. In caso contrario, si potrebbe perdere l'accesso al bucket se la policy impedisce a tutti gli utenti sprovvisti delle autorizzazioni appropriate di eseguire operazioni s3outposts sugli oggetti del bucket S3 su Outposts.

La Condition dichiarazione di questa policy identifica 192.0.2.0/24 l'intervallo di indirizzi IP consentiti nella versione 4 (). IPv4

Il Condition blocco utilizza la NotIpAddress condizione e la chiave aws:SourceIp condition, che è una chiave di condizione AWS ampia. La chiave di condizione aws:SourceIp può essere utilizzata solo per intervalli di indirizzi IP pubblici. Per ulteriori informazioni sulle chiavi di condizione, consulta Operazioni, risorse e chiavi di condizione per S3 su Outposts. I aws:SourceIp IPv4 valori utilizzano la notazione CIDR standard. Per ulteriori informazioni, consulta Documentazione di riferimento degli elementi delle policy JSON IAM nella Guida per l'utente di IAM.

avvertimento

Prima di utilizzare questa policy S3 su Outposts, sostituire l'intervallo di indirizzi IP 192.0.2.0/24 riportato in questo esempio con un valore appropriato per il proprio caso d'uso. In caso contrario, si perderà la possibilità di accedere al proprio bucket.


{
    "Version": "2012-10-17",
    "Id": "S3OutpostsPolicyId1",
    "Statement": [
        {
            "Sid": "IPAllow",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3-outposts:*",
            "Resource": [
                "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/accesspoint/EXAMPLE-ACCESS-POINT-NAME",
                "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/amzn-s3-demo-bucket"
            ],
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": "192.0.2.0/24"
                }
            }
        }
    ]
}

Consenti entrambi gli indirizzi IPv4 IPv6

Quando inizi a utilizzare IPv6 gli indirizzi, ti consigliamo di aggiornare tutte le politiche della tua organizzazione con gli intervalli di IPv6 indirizzi in aggiunta agli IPv4 intervalli esistenti. Ciò contribuirà a garantire che le politiche continuino a funzionare durante la transizione a IPv6.

Il seguente esempio di bucket policy di S3 on Outposts mostra come IPv4 combinare IPv6 intervalli di indirizzi per coprire tutti gli indirizzi IP validi dell'organizzazione. La policy di esempio permette l'accesso agli indirizzi IP di esempio 192.0.2.1 e 2001:DB8:1234:5678::1 e lo nega agli indirizzi 203.0.113.1 e 2001:DB8:1234:5678:ABCD::1.

La chiave di condizione aws:SourceIp può essere utilizzata solo per intervalli di indirizzi IP pubblici. I IPv6 valori di aws:SourceIp devono essere in formato CIDR standard. Infatti IPv6, supportiamo l'utilizzo :: per rappresentare un intervallo di 0 (ad esempio,2001:DB8:1234:5678::/64). Per ulteriori informazioni, consulta Operatori di condizione con indirizzo IP nella Guida per l'utente di IAM.

avvertimento

Sostituire gli intervalli di indirizzi IP in questo esempio con valori appropriati per il proprio caso d'uso prima di utilizzare questa policy S3 su Outposts. In caso contrario, si potrebbe perdere la possibilità di accedere al bucket.


{
    "Id": "S3OutpostsPolicyId2",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowIPmix",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3outposts:*",
            "Resource": [            
                "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/amzn-s3-demo-bucket",
                        "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "2001:DB8:1234:5678::/64"
                    ]
                },
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "203.0.113.0/24",
                        "2001:DB8:1234:5678:ABCD::/80"
                    ]
                }
            }
        }
    ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Eliminazione di una policy del bucket

Elenco di bucket