Permissões
Os pontos de acesso multirregionais do Amazon S3 podem simplificar o acesso a dados para buckets do Amazon S3 em várias Regiões da AWS. Os pontos de acesso multirregionais são endpoints globais que você pode usar para realizar operações de objeto de acesso a dados no Amazon S3, como GetObject e PutObject. Cada ponto de acesso multirregional pode ter permissões e controles de rede distintos para todas as solicitações feitas por meio do endpoint global.
Cada ponto de acesso multirregional também pode impor uma política de acesso personalizada que funciona em conjunto com a política de bucket anexada ao bucket subjacente. Para que uma solicitação entre contas seja bem-sucedida, as seguintes políticas devem permitir a operação:
-
A política de ponto de acesso multirregional
-
A política subjacente do AWS Identity and Access Management (IAM)
-
A política de bucket subjacente (para onde a solicitação é encaminhada)
nota
Para solicitações na mesma conta, somente a política do IAM subjacente, que concede o acesso apropriado, é necessária.
Você pode configurar qualquer política de ponto de acesso multirregional para aceitar solicitações somente de usuários ou grupos específicos do IAM. Para obter um exemplo de como fazer isso, consulte o Exemplo 2 em Exemplos de políticas de pontos de acesso multirregionais. Você pode configurar a política de ponto de acesso multirregional para aceitar solicitações somente de uma nuvem privada virtual (VPC) para restringir o acesso a dados do Amazon S3 a uma rede privada.
Por exemplo, suponha que você faça uma solicitação de GetObject por meio de um ponto de acesso multirregional usando um usuário chamado AppDataReader em sua conta da AWS. Para ajudar a garantir que a solicitação não será negada, o usuário AppDataReader deve receber a permissão s3:GetObject do ponto de acesso multirregional e de cada bucket subjacente ao ponto de acesso multirregional. O AppDataReader não será capaz de recuperar dados de todo bucket que não conceder essa permissão.
Importante
Delegar o controle de acesso de um bucket a uma política de ponto de acesso multirregional não altera o comportamento do bucket quando o bucket é acessado diretamente por meio de seu nome ou do nome do recurso da Amazon (ARN). Todas as operações feitas diretamente no bucket continuarão a funcionar como antes. As restrições que você incluir em uma política de ponto de acesso multirregional se aplicam somente às solicitações feitas por meio desse ponto de acesso multirregional.
Como gerenciar o acesso público a um ponto de acesso multirregional
Os pontos de acesso multirregionais oferecem suporte a configurações de bloqueio de acesso público para cada ponto de acesso multirregional. Ao criar um ponto de acesso multirregional, você pode especificar configurações do bloqueio de acesso público que se aplicam a esse ponto de acesso multirregional.
nota
Todas as configurações de bloqueio de acesso público ativadas em Bloquear acesso público para esta conta (em sua própria conta) ou Bloquear configurações públicas para buckets externos ainda se aplicam, mesmo que as configurações independentes de bloqueio de acesso público para seu ponto de acesso multirregional estejam desativadas.
Para qualquer solicitação feita por meio de um ponto de acesso multirregional, o Amazon S3 avaliará as configurações de Bloqueio de Acesso Público para:
-
O ponto de acesso multirregional
-
Os buckets subjacentes (incluindo buckets externos)
-
A conta que detém o ponto de acesso multirregional
-
A conta que detém os buckets subjacentes (incluindo contas externas)
Se qualquer uma dessas configurações indicar que a solicitação deve ser bloqueada, o Amazon S3 rejeitará a solicitação. Para obter mais informações sobre o recurso de bloqueio de acesso público do Amazon S3, consulte Bloquear o acesso público ao armazenamento do Amazon S3.
Importante
Por padrão, todas as configurações de Bloqueio de Acesso Público são habilitadas para pontos de acesso multirregionais. Você deve desativar explicitamente todas as configurações que não deseja aplicar a um ponto de acesso multirregional.
Você não pode alterar as configurações de bloqueio de acesso público de um ponto de acesso multirregional após a criação dele.
Visualizar configurações de Bloqueio de Acesso Público para um ponto de acesso multirregional
Como visualizar as configurações de Bloqueio de Acesso Público para um ponto de acesso multirregional
-
Faça login no AWS Management Console e abra o console do Amazon S3 em https://console.aws.amazon.com/s3/
. -
No painel de navegação esquerdo, escolha Multi-Region Access Points (Pontos de acesso multirregionais).
-
Escolha o nome do ponto de acesso multirregional que você deseja revisar.
-
Escolha a aba Permissões.
-
Em Block Public Access settings for this Multi-Region Access Point (Configurações do Bloqueio de Acesso Público para este ponto de acesso multirregional), revise as configurações de Bloqueio de Acesso Público que você deseja aplicar ao ponto de acesso multirregional.
nota
Não é possível editar as configurações de Bloqueio de Acesso Público após a criação do ponto de acesso multirregional. Portanto, se você quiser bloquear o acesso público, certifique-se de que suas aplicações funcionem corretamente sem acesso público antes de criar um ponto de acesso multirregional.
Como usar uma política de ponto de acesso multirregional
O exemplo de política de ponto de acesso multirregional a seguir concede a um usuário do IAM acesso para listar e baixar arquivos do ponto de acesso multirregional. Para usar esse exemplo de política, substitua os user
input placeholders
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "AWS":"arn:aws:iam::123456789012:user/JohnDoe" }, "Action":[ "s3:ListBucket", "s3:GetObject" ], "Resource":[ "arn:aws:s3::111122223333:accesspoint/MultiRegionAccessPoint_alias", "arn:aws:s3::111122223333:accesspoint/MultiRegionAccessPoint_alias/object/*" ] } ] }
Para associar sua política de ponto de acesso multirregional ao ponto de acesso multirregional especificado usando a AWS Command Line Interface (AWS CLI), use o comando put-multi-region-access-point-policy a seguir. Para usar esse exemplo de comando, substitua os user input
placeholdersput-multi-region-access-point-policy substitui qualquer política existente associada ao ponto de acesso multirregional especificado.
Para consultar os resultados da operação anterior, use o seguinte comando:
Para recuperar sua política de ponto de acesso multirregional, use o seguinte comando:
Editar a política de ponto de acesso multirregional
A política de ponto de acesso multirregional (escrita em JSON) fornece acesso de armazenamento aos buckets do Amazon S3 que são usados com esse ponto de acesso multirregional. Você pode permitir ou negar que entidades principais específicas realizem várias ações em seu ponto de acesso multirregional. Quando uma solicitação é roteada para um bucket por meio do ponto de acesso multirregional, as políticas de acesso tanto do ponto de acesso multirregional como do bucket se aplicam. A política de acesso mais restritiva sempre tem precedência.
nota
Se um bucket contiver objetos pertencentes a outras contas, a política de ponto de acesso multirregional não se aplicará aos objetos que pertencem a outras Contas da AWS.
Depois que você aplicar uma política de ponto de acesso multirregional, esta política não poderá ser excluída. Você poderá editar a política ou criar uma política que substitua a existente.
Como editar a política de ponto de acesso multirregional
-
Faça login no AWS Management Console e abra o console do Amazon S3 em https://console.aws.amazon.com/s3/
. -
No painel de navegação esquerdo, escolha Multi-Region Access Points (Pontos de acesso multirregionais).
-
Escolha o nome do ponto de acesso multirregional para o qual deseja editar a política.
-
Escolha a aba Permissões.
-
Role para baixo até a seção Multi-Region Access Point policy (Política de ponto de acesso multirregional). Escolha Edit (Editar) para atualizar a política (em JSON).
-
A página Edit Multi-Region Access Point policy (Editar política de ponto de acesso multirregional) é exibida. Você pode inserir a política diretamente no campo de texto ou escolher Add statement (Adicionar instrução) para selecionar elementos de política em uma lista suspensa.
nota
O console exibe automaticamente o nome do recurso da Amazon (ARN) do ponto de acesso multirregional, que você pode usar na política. Para conferir exemplos de políticas de pontos de acesso multirregionais, consulte Exemplos de políticas de pontos de acesso multirregionais.
Exemplos de políticas de pontos de acesso multirregionais
Os pontos de acesso multirregionais do Amazon S3 são compatíveis com políticas de recursos do AWS Identity and Access Management (IAM). Você pode usar essas políticas para controlar o uso do ponto de acesso multirregional por recurso, usuário ou outras condições. Para que uma aplicação ou um usuário possa acessar objetos por meio de um ponto de acesso multirregional, tanto o ponto de acesso multirregional quanto o bucket subjacente devem permitir o mesmo acesso.
Para permitir o mesmo acesso ao ponto de acesso multirregional e ao bucket subjacente, faça o seguinte:
-
(Recomendado) Para simplificar os controles de acesso ao usar um ponto de acesso multirregional do Amazon S3, delegue o controle de acesso do bucket do Amazon S3 ao ponto de acesso multirregional. Para obter um exemplo de como fazer isso, consulte o Exemplo 1 desta seção.
-
Adicione as mesmas permissões contidas na política de ponto de acesso multirregional à política do bucket subjacente.
Importante
Delegar o controle de acesso de um bucket a uma política de ponto de acesso multirregional não altera o comportamento do bucket quando o bucket é acessado diretamente por meio de seu nome ou do nome do recurso da Amazon (ARN). Todas as operações feitas diretamente no bucket continuarão a funcionar como antes. As restrições que você incluir em uma política de ponto de acesso multirregional se aplicam somente às solicitações feitas por meio desse ponto de acesso multirregional.
exemplo 1: Delegar acesso a pontos de acesso multirregionais específicos em sua política de bucket (para a mesma conta ou por outras contas)
O exemplo de política de bucket a seguir concede acesso total a um ponto de acesso multirregional específico. Isso significa que todo acesso a esse bucket é controlado pelas políticas anexadas ao ponto de acesso multirregional. Recomendamos configurar seus buckets dessa maneira para todos os casos de uso que não exigem acesso direto ao bucket. Você pode usar essa estrutura de política de bucket para pontos de acesso multirregionais na mesma conta ou em outra.
{ "Version": "2012-10-17", "Statement" : [ { "Effect": "Allow", "Principal" : { "AWS": "*" }, "Action" : "*", "Resource" : [ "Bucket ARN", "Bucket ARN/*"], "Condition": { "StringEquals" : { "s3:DataAccessPointArn" : "MultiRegionAccessPoint_ARN" } } }] }
nota
Se houver vários pontos de acesso multirregionais aos quais você está concedendo acesso, liste cada ponto de acesso multirregional.
exemplo 2: Conceder acesso a um ponto de acesso multirregional em sua política de ponto de acesso multirregional
A política de ponto de acesso multirregional a seguir permite que a conta 123456789012MultiRegionAccessPoint_ARN
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS":"arn:aws:iam::123456789012:user/JohnDoe" }, "Action":[ "s3:ListBucket", "s3:GetObject" ], "Resource":[ "MultiRegionAccessPoint_ARN", "MultiRegionAccessPoint_ARN/object/*" ] } ] }
exemplo 3: Política de ponto de acesso mutirregional que permite a listagem de buckets
A política de ponto de acesso multirregional a seguir permite que a conta 123456789012MultiRegionAccessPoint_ARN
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:user/JohnDoe" }, "Action": "s3:ListBucket", "Resource": "MultiRegionAccessPoint_ARN" } ] }
