本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon S3 策略
Amazon S3 策略允许您集中管理组织中各个账户的 Amazon S3 资源的大规模配置。Amazon S3 策略目前支持用于阻止公共访问的设置。
您可以使用 Amazon S3 策略来指定是启用还是禁用所有四个阻止公共访问设置,该规范将适用于选定账户中的所有 Amazon S3 资源。您可以使用 Amazon S3 策略中的 “阻止公共访问” 设置,在整个组织中实施一致的安全态势,并消除管理个人账户配置的运营开销。
工作原理
当您将 Amazon S3 策略附加到组织实体时,它会定义适用于该范围内账户内所有 Amazon S3 资源的设置。这些配置会覆盖账户级别的设置,允许您集中管理 Amazon S3 设置。
Amazon S3 策略可以应用于整个组织、组织单位 (OUs) 或个人账户。加入组织的账户将根据其在组织层次结构中的位置自动继承任何 Amazon S3 政策。
分离行为:如果解除了 Amazon S3 政策,账户会自动恢复到之前的账户级别配置。Amazon S3 保留原始账户级别设置以实现无缝恢复。
主要特征
-
统一控制:所有四个阻止公共访问设置(BlockPublicAcls BlockPublicPolicy、 IgnorePublicAcls、、 RestrictPublicBuckets)都作为单个配置一起控制
-
自动继承:新账户根据其组织位置自动继承策略
-
覆盖保护:当组织策略处于活动状态时,防止账户级别的修改
-
无缝恢复:取消策略后,原始账户设置会被保留和恢复
先决条件
在使用 Amazon S3 策略之前,请确保您已具备以下条件:
-
处于全功能模式的 AWS 组织
-
管理 AWS Organizations 策略的权限(组织:CreatePolicyAttachPolicy、组织:等)
-
为您的组织启用的 Amazon S3 策略类型
