Beschränkung des Zugriffs auf bestimmte IP-Adressen

Beispiele für Bucket-Richtlinien

Mit den Bucket-Richtlinien von S3 on Outposts können Sie den Zugriff auf Objekte in Ihren S3 on Outposts-Buckets sichern, sodass nur Benutzer mit den entsprechenden Berechtigungen darauf zugreifen können. Sie können sogar verhindern, dass authentifizierte Benutzer ohne die entsprechenden Berechtigungen auf Ihre S3 on Outposts zugreifen.

In diesem Abschnitt werden Beispiele für typische Anwendungsfälle für die Bucket-Richtlinien von S3 on Outposts vorgestellt. Wenn Sie diese Richtlinien testen möchten, ersetzen Sie die user input placeholders durch Ihre eigenen Informationen (z. B. Ihren Bucket-Namen).

Um einer Gruppe von Objekten Berechtigungen zu gewähren oder zu verweigern, können Sie Platzhalterzeichen (*) in Amazon-Ressourcennamen (ARNs) und anderen Werten verwenden. Sie können beispielsweise den Zugriff auf Gruppen von Objekten steuern, die mit einem gemeinsamen Präfixbeginnen oder mit einer bestimmten Erweiterung wie .html enden.

Weitere Informationen zur Richtliniensprache AWS Identity and Access Management (IAM) finden Sie unterEinrichtung IAM mit S3 auf Outposts.

Anmerkung

Beim Testen s3outpostsWenn Sie die Amazon S3 S3-Konsole verwenden, müssen Sie zusätzliche Berechtigungen erteilen, die für die Konsole erforderlich sind s3outposts:createendpoints3outposts:listendpoints, z. B., usw.

Zusätzliche Ressourcen für die Erstellung von Bucket-Richtlinien

Eine Liste der IAM Richtlinienaktionen, Ressourcen und Bedingungsschlüssel, die Sie bei der Erstellung einer Bucket-Richtlinie für S3 on Outposts verwenden können, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3 on Outposts.
Anleitungen zur Erstellung Ihrer Richtlinie für S3 on Outposts finden Sie unterHinzufügen oder Bearbeiten einer Bucket-Richtlinie für einen Amazon-S3-on-Outposts-Bucket.

Themen

Verwaltung des Zugriffs auf einen Amazon S3 on Outposts-Bucket auf der Grundlage bestimmter IP-Adressen

Verwaltung des Zugriffs auf einen Amazon S3 on Outposts-Bucket auf der Grundlage bestimmter IP-Adressen

Eine Bucket-Richtlinie ist eine ressourcenbasierte AWS Identity and Access Management (IAM) Richtlinie, mit der Sie Zugriffsberechtigungen für Ihren Bucket und die darin enthaltenen Objekte gewähren können. Nur der Bucket-Eigentümer kann einem Bucket eine Richtlinie zuordnen. Die dem Bucket zugeordneten Berechtigungen gelten für alle Objekte im Bucket, die dem Bucket-Eigentümer gehören. Bucket-Richtlinien sind auf eine Größe von 20 KB beschränkt. Weitere Informationen finden Sie unter Bucket-Richtlinie.

Beschränken des Zugriffs auf bestimmte IP-Adressen

Im folgenden Beispiel wird allen Benutzern die Ausführung von S3 on Outposts-Vorgängen an Objekten in den angegebenen Buckets verweigert, es sei denn, die Anfrage stammt aus dem angegebenen IP-Adressbereich.

Anmerkung

Wenn Sie den Zugriff auf eine bestimmte IP-Adresse einschränken, stellen Sie sicher, dass Sie auch angeben, welche VPC Endpunkte, VPC Quell-IP-Adressen oder externen IP-Adressen auf den S3 on Outposts-Bucket zugreifen können. Andernfalls verlieren Sie möglicherweise den Zugriff auf den Bucket, wenn Ihre Richtlinie allen Benutzern die Ausführung von Buckets verweigert s3outpostsOperationen an Objekten in Ihrem S3 on Outposts-Bucket, ohne dass die entsprechenden Berechtigungen bereits vorhanden sind.

Die Condition Erklärung dieser Richtlinie identifiziert 192.0.2.0/24 als Bereich der zulässigen IP-Adressen der Version 4 (IPv4).

Der Condition Block verwendet die NotIpAddress Bedingung und den aws:SourceIp Bedingungsschlüssel, bei dem es sich um einen AWS breiten Bedingungsschlüssel handelt. Der aws:SourceIp-Bedingungsschlüssel kann nur für öffentliche IP-Adressbereiche verwendet werden. Weitere Informationen zu diesen Bedingungsschlüsseln finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für S3 auf Outposts. Die aws:SourceIp IPv4 Werte verwenden die CIDR Standardnotation. Weitere Informationen finden Sie in der Referenz zu den IAM JSON Richtlinienelementen im IAMBenutzerhandbuch.

Warnung

Bevor Sie diese S3 on Outposts verwenden, ersetzen Sie die 192.0.2.0/24 IP-Adressbereich in diesem Beispiel durch einen für Ihren Anwendungsfall geeigneten Wert. Andernfalls verlieren Sie die Möglichkeit, auf Ihren Bucket zuzugreifen.


{
    "Version": "2012-10-17",
    "Id": "S3OutpostsPolicyId1",
    "Statement": [
        {
            "Sid": "IPAllow",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3outposts:*",
            "Resource": [
                "arn:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/accesspoint/EXAMPLE-ACCESS-POINT-NAME"
                "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/DOC-EXAMPLE-BUCKET"
            ],
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": "192.0.2.0/24"
                }
            }
        }
    ]
}

Erlaube IPv4 sowohl IPv6 Adressen als auch

Wenn Sie anfangen, IPv6 Adressen zu verwenden, empfehlen wir Ihnen, alle Richtlinien Ihrer Organisation mit Ihren IPv6 Adressbereichen zusätzlich zu Ihren bestehenden IPv4 Bereichen zu aktualisieren. Auf diese Weise können Sie sicherstellen, dass die Richtlinien auch bei der Umstellung auf funktionierenIPv6.

Die folgende Beispiel-Bucket-Richtlinie für S3 on Outposts zeigt, wie Sie Bereiche kombinieren IPv4 und IPv6 adressieren können, um alle gültigen IP-Adressen Ihres Unternehmens abzudecken. Die Beispielrichtlinie ermöglicht den Zugriff auf die Beispiel-IP-Adressen 192.0.2.1 and 2001:DB8: 1234:5678: :1 und verweigert den Zugriff auf die Adressen 203.0.113.1 and 2001:: 1234:5678: :1 DB8 ABCD.

Der aws:SourceIp-Bedingungsschlüssel kann nur für öffentliche IP-Adressbereiche verwendet werden. Die IPv6 Werte für aws:SourceIp müssen im Standardformat vorliegen. CIDR Für IPv6 unterstützen wir die Verwendung :: zur Darstellung eines Bereichs von Nullen (z. B.2001:DB8:1234:5678::/64). Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Operatoren für IP-Adressbedingungen.

Warnung

Ersetzen Sie die IP-Adressbereiche in diesem Beispiel durch entsprechende Werte für Ihren Anwendungsfall, bevor Sie diese Richtlinie für S3 on Outposts verwenden. Andernfalls verlieren Sie möglicherweise die Möglichkeit, auf Ihren Bucket zuzugreifen.


{
    "Id": "S3OutpostsPolicyId2",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowIPmix",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3outposts:*",
            "Resource": [            
                "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/DOC-EXAMPLE-BUCKET",
                        "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/DOC-EXAMPLE-BUCKET/*"
            ],
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "2001:DB8:1234:5678::/64"
                    ]
                },
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "203.0.113.0/24",
                        "2001:DB8:1234:5678:ABCD::/80"
                    ]
                }
            }
        }
    ]
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Löschen einer Bucket-Richtlinie

Auflisten von Buckets