View a markdown version of this page

Amazon S3 策略语法和示例 - AWS Organizations
Amazon S3 策略语法包括以下元素

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon S3 策略语法和示例

Amazon S3 策略是一个按照 JSON 规则构造的纯文本文件。Amazon S3 策略的语法遵循所有声明性策略类型的语法。有关更多信息,请参阅 了解声明式策略继承。本主题重点介绍如何将该通用语法应用于 Amazon S3 策略的具体要求以及它们帮助管理的阻止公共访问设置。

以下 Amazon S3 策略示例显示了基本策略语法:

{
    "s3_attributes": {
        "public_access_block_configuration": {
            "@@assign": "all"
        }
    }
}

Amazon S3 策略语法包括以下元素

s3_attributes

Amazon S3 策略配置的顶级密钥。

public_access_block_configuration

定义组织的 “阻止公共访问” 行为。

@@assign

接受以下两个值之一的赋值运算符:

  • "all"-在组织级别启用所有四个 Amazon S3 阻止公共访问设置

  • "none"-在组织级别禁用所有四个 Amazon S3 阻止公共访问设置

Amazon S3 阻止公共访问有四种控制公共访问的设置:

  1. BlockPublicAcls-Amazon S3 将阻止应用于新添加的存储桶或对象的公共访问权限,并阻止为现有存储桶和对象创建新的公共访问控制列表 (ACL)。此设置不会更改允许公众使用 ACL 访问 Amazon S3 资源的任何现有权限。

  2. BlockPublicPolicy-Amazon S3 将阻止新的存储桶和接入点策略,这些策略授予对存储桶和对象的公开访问权限。此设置不会更改任何允许公众访问 Amazon S3 资源的现有策略。

  3. IgnorePublicAcls-Amazon S3 将忽略所有向存储桶和对象授予公共访问权限的 ACL。

  4. RestrictPublicBuckets-Amazon S3 将忽略存储桶或访问点的公有和跨账户访问权限,其策略授予对存储桶和对象的公开访问权限。

设置@@assign为时"all",所有四项设置都将在组织级别合并启用,从而提供全面保护,防止组织中所有账户的公开访问。如果您想在账户级别管理 Amazon S3 阻止公共访问权限,则应在组织级别禁用 S3 策略类型