Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de stratégie de compartiment
Grâce aux politiques de compartiment S3 on Outposts, vous pouvez sécuriser l'accès aux objets de vos compartiments S3 on Outposts, afin que seuls les utilisateurs disposant des autorisations appropriées puissent y accéder. Vous pouvez même empêcher les utilisateurs authentifiés ne disposant pas des autorisations appropriées d'accéder à vos ressources S3 on Outposts.
Cette section présente des exemples de cas d'utilisation typiques des politiques de compartiment S3 on Outposts. Pour tester ces politiques, remplacez
par vos propres informations (comme le nom de votre compartiment). user input
placeholders
Pour accorder ou refuser des autorisations à un ensemble d'objets, vous pouvez utiliser des caractères génériques (*
) dans Amazon Resource Names (ARNs) et d'autres valeurs. Par exemple, vous pouvez contrôler l'accès aux groupes d'objets qui commencent par un préfixe courant ou se terminent par une extension donnée, comme .html
.
Pour plus d'informations sur le langage de politique AWS Identity and Access Management (IAM), consultezConfiguration IAM avec S3 sur Outposts.
Note
Lors du test s3outpostsautorisations en utilisant la console Amazon S3, vous devez accorder les autorisations supplémentaires requises par la console s3outposts:createendpoint
s3outposts:listendpoints
, telles que,, etc.
Ressources supplémentaires pour créer des politiques de compartiment
-
Pour obtenir la liste des actions IAM politiques, des ressources et des clés de condition que vous pouvez utiliser lors de la création d'une politique de bucket S3 on Outposts, consultez Actions, ressources et clés de condition pour Amazon S3 on Outposts.
-
Pour obtenir des conseils sur la création de votre politique S3 on Outposts, consultez. Ajout ou modification d'une politique de compartiment pour un compartiment Amazon S3 on Outposts.
Gestion de l'accès à un bucket Amazon S3 on Outposts en fonction d'adresses IP spécifiques
Une politique de compartiment est une politique basée sur les ressources AWS Identity and Access Management (IAM) que vous pouvez utiliser pour accorder des autorisations d'accès à votre compartiment et aux objets qu'il contient. Seul le propriétaire du compartiment peut associer une stratégie à un compartiment. Les autorisations attachées au compartiment s'appliquent à tous les objets du compartiment appartenant au compte propriétaire du compartiment. Les stratégies de compartiment sont limitées à une taille de 20 Ko. Pour de plus amples informations, veuillez consulter Politique de compartiment.
Restriction de l'accès à des adresses IP spécifiques
L'exemple suivant interdit à tous les utilisateurs d'effectuer des opérations S3 on Outposts sur des objets dans les compartiments spécifiés, sauf si la demande provient de la plage d'adresses IP spécifiée.
Note
Lorsque vous limitez l'accès à une adresse IP spécifique, assurez-vous de spécifier également quels VPC points de terminaison, adresses IP VPC sources ou adresses IP externes peuvent accéder au compartiment S3 on Outposts. Dans le cas contraire, vous risquez de perdre l'accès au bucket si votre politique interdit à tous les utilisateurs d'en effectuer une s3outpostsopérations sur des objets de votre compartiment S3 on Outposts sans que les autorisations appropriées ne soient déjà en place.
La Condition
déclaration de cette politique identifie
comme plage d'adresses IP autorisées version 4 (IPv4). 192.0.2.0/24
Le Condition
bloc utilise la NotIpAddress
condition et la clé de aws:SourceIp
condition, qui est une clé AWS de condition large. La clé de condition aws:SourceIp
ne peut être utilisée que pour les plages d'adresses IP publiques. Pour plus d'informations sur ces clés de condition, consultez Actions, ressources et clés de condition pour S3 on Outposts. Les aws:SourceIp
IPv4 valeurs utilisent la CIDR notation standard. Pour plus d'informations, voir IAMJSONla référence aux éléments de politique dans le guide de IAM l'utilisateur.
Avertissement
Avant d'utiliser cette politique S3 on Outposts, remplacez
Dans cet exemple, plage d'adresses IP avec une valeur adaptée à votre cas d'utilisation. Dans le cas contraire, vous ne pourrez plus accéder à votre bucket.192.0.2.0/24
{ "Version": "2012-10-17", "Id": "S3OutpostsPolicyId1", "Statement": [ { "Sid": "IPAllow", "Effect": "Deny", "Principal": "*", "Action": "s3outposts:*", "Resource": [ "arn:aws:s3-outposts:
region
:111122223333
:outpost/OUTPOSTS-ID
/accesspoint/EXAMPLE-ACCESS-POINT-NAME
" "arn:aws:aws:s3-outposts:region
:111122223333
:outpost/OUTPOSTS-ID
/bucket/DOC-EXAMPLE-BUCKET
" ], "Condition": { "NotIpAddress": { "aws:SourceIp": "192.0.2.0/24
" } } } ] }
Autoriser à la fois IPv4 et IPv6 les adresses
Lorsque vous commencez à utiliser IPv6 des adresses, nous vous recommandons de mettre à jour toutes les politiques de votre organisation avec vos plages d'IPv6adresses en plus de vos IPv4 plages existantes. Cela vous aidera à faire en sorte que les politiques continuent de fonctionner pendant la transition versIPv6.
L'exemple de politique de compartiment S3 on Outposts suivant montre comment combiner des plages IPv4 d'IPv6adresses pour couvrir toutes les adresses IP valides de votre organisation. L'exemple de politique permet d'accéder aux exemples d'adresses IP
and 192.0.2.1
et refuse l'accès aux adresses 2001 DB8 : 1234:5678:1
and 203,0.113.1
.2001 DB8 : 1234:5678 : :1 ABCD
La clé de condition aws:SourceIp
ne peut être utilisée que pour les plages d'adresses IP publiques. Les IPv6 valeurs pour aws:SourceIp
doivent être au CIDR format standard. En IPv6 effet, nous prenons en charge l'utilisation ::
pour représenter une plage de 0 (par exemple,2001:DB8:1234:5678::/64
). Pour plus d'informations, consultez la section Opérateurs de condition d'adresse IP dans le Guide de IAM l'utilisateur.
Avertissement
Remplacez les plages d'adresses IP de cet exemple par des valeurs adaptées à votre cas d'utilisation avant d'utiliser cette politique S3 on Outposts. Dans le cas contraire, vous pourriez perdre la possibilité d'accéder à votre compartiment.
{ "Id": "S3OutpostsPolicyId2", "Version": "2012-10-17", "Statement": [ { "Sid": "AllowIPmix", "Effect": "Allow", "Principal": "*", "Action": "s3outposts:*", "Resource": [ "arn:aws:aws:s3-outposts:
region
:111122223333
:outpost/OUTPOSTS-ID
/bucket/DOC-EXAMPLE-BUCKET
", "arn:aws:aws:s3-outposts:region
:111122223333
:outpost/OUTPOSTS-ID
/bucket/DOC-EXAMPLE-BUCKET
/*" ], "Condition": { "IpAddress": { "aws:SourceIp": [ "192.0.2.0/24
", "2001:DB8:1234:5678::/64
" ] }, "NotIpAddress": { "aws:SourceIp": [ "203.0.113.0/24
", "2001:DB8:1234:5678:ABCD::/80
" ] } } } ] }