# Exemplos de políticas de bucket
Com as políticas de bucket do S3 no Outposts, você pode proteger o acesso a objetos em seus buckets do S3 no Outposts, para que somente usuários com as permissões apropriadas possam acessá-los. Você pode até mesmo impedir que usuários autenticados sem as permissões apropriadas acessem seus recursos do S3 no Outposts.
Esta seção apresenta exemplos de casos de uso típicos de políticas de bucket do S3 no Outposts. Para testar essas políticas, substitua `user input placeholders` por suas informações (como o nome do seu bucket).
Para conceder ou negar permissões para um conjunto de objetos, você pode usar caracteres curinga (`*`) em nomes de recursos da Amazon (ARNs) e outros valores. Por exemplo, você pode controlar o acesso a grupos de objetos que começam com um [prefixo](https://docs.aws.amazon.com/general/latest/gr/glos-chap.html#keyprefix) ou termine com uma determinada extensão, como `.html`.
Para obter mais informações sobre a linguagem da política do AWS Identity and Access Management (IAM), consulte [Configurar o IAM com o S3 on Outposts](S3OutpostsIAM.md).
**nota**
Ao testar as permissões [https://docs.aws.amazon.com/cli/latest/reference/s3outposts/](https://docs.aws.amazon.com/cli/latest/reference/s3outposts/) usando o console do Amazon S3, você deve conceder permissões adicionais exigidas pelo console, como `s3outposts:createendpoint`, `s3outposts:listendpoints` e assim por diante.
**Recursos adicionais para criar políticas de bucket**
+ Para conferir uma lista de ações, recursos e chaves de condição de políticas do IAM que você pode usar ao criar uma política de bucket do S3 no Outposts, consulte [Actions, resources, and condition keys for Amazon S3 on Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3onoutposts.html).
+ Para obter orientação sobre como criar uma política do S3 no Outposts, consulte [Adicionar ou editar uma política para um bucket do Amazon S3 on Outposts](S3OutpostsBucketPolicyEdit.md).
**Topics**
+ [Gerenciar o acesso a um bucket do Amazon S3 no Outposts com base em endereços IP específicos](#S3OutpostsBucketPolicyManageIPaccess)
## Gerenciar o acesso a um bucket do Amazon S3 no Outposts com base em endereços IP específicos
Uma política de bucket é baseada em recursos do AWS Identity and Access Management (IAM) que você pode usar para conceder permissões de acesso ao bucket e aos objetos nele contidos. Só o proprietário do bucket pode associar uma política a um bucket. As permissões anexadas ao bucket se aplicam a todos os objetos do bucket que pertencem ao proprietário do bucket. As políticas de bucket são limitadas a 20 KB. Para obter mais informações, consulte [Política de bucket](S3onOutposts.md#S3OutpostsBucketPolicies).
### Restringir o acesso a endereços IP específicos
O exemplo a seguir impede que todos os usuários executem [operações do S3 no Outposts](https://docs.aws.amazon.com/AmazonS3/latest/userguide/S3OutpostsWorkingBuckets.html) em objetos nos buckets especificados, a menos que a solicitação tenha origem no intervalo de endereços IP especificado.
**nota**
Ao restringir o acesso a um endereço IP específico, especifique quais endpoints da VPC, endereços IP de origem da VPC ou endereços IP externos podem acessar o bucket do S3 no Outposts. Caso contrário, você poderá perder o acesso ao bucket se a sua política negar aos usuários a execução de qualquer operação [https://docs.aws.amazon.com/cli/latest/reference/s3outposts/](https://docs.aws.amazon.com/cli/latest/reference/s3outposts/) em objetos no bucket do S3 no Outposts sem as permissões adequadas já em vigor.
A instrução `Condition` dessa política identifica *`192.0.2.0/24`* como o intervalo de endereços IP versão 4 (IPv4) permitidos.
O bloco `Condition` usa a condição `NotIpAddress` e a chave de condição `aws:SourceIp`, que é uma chave de condição que abrange toda a AWS. A chave de condição `aws:SourceIp` só pode ser usada para intervalos de endereços IP públicos. Para obter mais informações sobre essas chaves de condição, consulte [Actions, resources, and condition keys for S3 on Outposts](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazons3onoutposts.html). Os valores IPv4 `aws:SourceIp` usam a notação CIDR padrão. Para obter mais informações, consulte [Referência de elementos de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Conditions_IPAddress) no *Guia do usuário do IAM*.
**Atenção**
Antes de usar essa política do S3 no Outposts, substitua o intervalo de endereços IP *`192.0.2.0/24`* desse exemplo por um valor apropriado para o seu caso de uso. Caso contrário, você perderá a capacidade de acessar o bucket.
```
1. {
2. "Version": "2012-10-17",
3. "Id": "S3OutpostsPolicyId1",
4. "Statement": [
5. {
6. "Sid": "IPAllow",
7. "Effect": "Deny",
8. "Principal": "*",
9. "Action": "s3-outposts:*",
10. "Resource": [
11. "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/accesspoint/EXAMPLE-ACCESS-POINT-NAME",
12. "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/amzn-s3-demo-bucket"
13. ],
14. "Condition": {
15. "NotIpAddress": {
16. "aws:SourceIp": "192.0.2.0/24"
17. }
18. }
19. }
20. ]
21. }
```
### Permitir endereços IPv4 e IPv6
Ao começar a usar os endereços IPv6, recomendamos que você atualize todas as políticas da sua organização com os intervalos de endereços IPv6 além dos intervalos de IPv4 existentes. Isso ajudará a garantir que as políticas continuem funcionando à medida que você faz a transição para IPv6.
O exemplo de política de bucket do S3 no Outposts a seguir mostra como misturar intervalos de endereços IPv4 e IPv6 para cobrir todos os endereços IP válidos de sua organização. A política de exemplo permite acesso aos endereços IP *`192.0.2.1`* e *`2001:DB8:1234:5678::1`* e nega acesso aos endereços *`203.0.113.1`* e *`2001:DB8:1234:5678:ABCD::1`*.
A chave de condição `aws:SourceIp` só pode ser usada para intervalos de endereços IP públicos. Os valores de IPv6 para `aws:SourceIp` devem estar em formato CIDR padrão. Para IPv6, oferecemos suporte ao uso de `::` para representar um intervalo de IPv6 (por exemplo `2001:DB8:1234:5678::/64`). Para obter mais informações, consulte [Operadores de condição de endereço IP](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IPAddress) no *Guia do usuário do IAM*.
**Atenção**
Substitua os intervalos de endereços IP neste exemplo por valores apropriados para o seu caso de uso antes de usar esta política do S3 no Outposts. Caso contrário, você pode perder a capacidade de acessar seu bucket.
------
#### [ JSON ]
****
```
{
"Id": "S3OutpostsPolicyId2",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowIPmix",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"s3-outposts:GetObject",
"s3-outposts:PutObject",
"s3-outposts:ListBucket"
],
"Resource": [
"arn:aws:s3-outposts:us-east-1:111122223333:outpost/op-01ac5d28a6a232904/bucket/amzn-s3-demo-bucket",
"arn:aws:s3-outposts:us-east-1:111122223333:outpost/op-01ac5d28a6a232904/bucket/amzn-s3-demo-bucket/*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"2001:DB8:1234:5678::/64"
]
},
"NotIpAddress": {
"aws:SourceIp": [
"203.0.113.0/24",
"2001:DB8:1234:5678:ABCD::/80"
]
}
}
}
]
}
```
------