Exemples de stratégie de compartiment - Amazon S3 on Outposts

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemples de stratégie de compartiment

Grâce aux politiques de compartiment S3 on Outposts, vous pouvez sécuriser l'accès aux objets de vos compartiments S3 on Outposts, afin que seuls les utilisateurs disposant des autorisations appropriées puissent y accéder. Vous pouvez même empêcher les utilisateurs authentifiés ne disposant pas des autorisations appropriées d'accéder à vos ressources S3 on Outposts.

Cette section présente des exemples de cas d'utilisation typiques des politiques de compartiment S3 on Outposts. Pour tester ces politiques, remplacez user input placeholders par vos propres informations (comme le nom de votre compartiment).

Pour accorder ou refuser des autorisations à un ensemble d'objets, vous pouvez utiliser des caractères génériques (*) dans Amazon Resource Names (ARNs) et d'autres valeurs. Par exemple, vous pouvez contrôler l'accès aux groupes d'objets qui commencent par un préfixe courant ou se terminent par une extension donnée, comme .html.

Pour plus d'informations sur le langage de politique AWS Identity and Access Management (IAM), consultezConfiguration IAM avec S3 sur Outposts.

Note

Lors du test s3outpostsautorisations en utilisant la console Amazon S3, vous devez accorder les autorisations supplémentaires requises par la console s3outposts:createendpoints3outposts:listendpoints, telles que,, etc.

Ressources supplémentaires pour créer des politiques de compartiment

Gestion de l'accès à un bucket Amazon S3 on Outposts en fonction d'adresses IP spécifiques

Une politique de compartiment est une politique basée sur les ressources AWS Identity and Access Management (IAM) que vous pouvez utiliser pour accorder des autorisations d'accès à votre compartiment et aux objets qu'il contient. Seul le propriétaire du compartiment peut associer une stratégie à un compartiment. Les autorisations attachées au compartiment s'appliquent à tous les objets du compartiment appartenant au compte propriétaire du compartiment. Les stratégies de compartiment sont limitées à une taille de 20 Ko. Pour de plus amples informations, veuillez consulter Politique de compartiment.

Restriction de l'accès à des adresses IP spécifiques

L'exemple suivant interdit à tous les utilisateurs d'effectuer des opérations S3 on Outposts sur des objets dans les compartiments spécifiés, sauf si la demande provient de la plage d'adresses IP spécifiée.

Note

Lorsque vous limitez l'accès à une adresse IP spécifique, assurez-vous de spécifier également quels VPC points de terminaison, adresses IP VPC sources ou adresses IP externes peuvent accéder au compartiment S3 on Outposts. Dans le cas contraire, vous risquez de perdre l'accès au bucket si votre politique interdit à tous les utilisateurs d'en effectuer une s3outpostsopérations sur des objets de votre compartiment S3 on Outposts sans que les autorisations appropriées ne soient déjà en place.

La Condition déclaration de cette politique identifie 192.0.2.0/24 comme plage d'adresses IP autorisées version 4 (IPv4).

Le Condition bloc utilise la NotIpAddress condition et la clé de aws:SourceIp condition, qui est une clé AWS de condition large. La clé de condition aws:SourceIp ne peut être utilisée que pour les plages d'adresses IP publiques. Pour plus d'informations sur ces clés de condition, consultez Actions, ressources et clés de condition pour S3 on Outposts. Les aws:SourceIp IPv4 valeurs utilisent la CIDR notation standard. Pour plus d'informations, voir IAMJSONla référence aux éléments de politique dans le guide de IAM l'utilisateur.

Avertissement

Avant d'utiliser cette politique S3 on Outposts, remplacez 192.0.2.0/24 Dans cet exemple, plage d'adresses IP avec une valeur adaptée à votre cas d'utilisation. Dans le cas contraire, vous ne pourrez plus accéder à votre bucket.

{ "Version": "2012-10-17", "Id": "S3OutpostsPolicyId1", "Statement": [ { "Sid": "IPAllow", "Effect": "Deny", "Principal": "*", "Action": "s3outposts:*", "Resource": [ "arn:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/accesspoint/EXAMPLE-ACCESS-POINT-NAME" "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/DOC-EXAMPLE-BUCKET" ], "Condition": { "NotIpAddress": { "aws:SourceIp": "192.0.2.0/24" } } } ] }

Autoriser à la fois IPv4 et IPv6 les adresses

Lorsque vous commencez à utiliser IPv6 des adresses, nous vous recommandons de mettre à jour toutes les politiques de votre organisation avec vos plages d'IPv6adresses en plus de vos IPv4 plages existantes. Cela vous aidera à faire en sorte que les politiques continuent de fonctionner pendant la transition versIPv6.

L'exemple de politique de compartiment S3 on Outposts suivant montre comment combiner des plages IPv4 d'IPv6adresses pour couvrir toutes les adresses IP valides de votre organisation. L'exemple de politique permet d'accéder aux exemples d'adresses IP 192.0.2.1 and 2001 DB8 : 1234:5678:1 et refuse l'accès aux adresses 203,0.113.1 and 2001 DB8 : 1234:5678 : :1 ABCD.

La clé de condition aws:SourceIp ne peut être utilisée que pour les plages d'adresses IP publiques. Les IPv6 valeurs pour aws:SourceIp doivent être au CIDR format standard. En IPv6 effet, nous prenons en charge l'utilisation :: pour représenter une plage de 0 (par exemple,2001:DB8:1234:5678::/64). Pour plus d'informations, consultez la section Opérateurs de condition d'adresse IP dans le Guide de IAM l'utilisateur.

Avertissement

Remplacez les plages d'adresses IP de cet exemple par des valeurs adaptées à votre cas d'utilisation avant d'utiliser cette politique S3 on Outposts. Dans le cas contraire, vous pourriez perdre la possibilité d'accéder à votre compartiment.

{ "Id": "S3OutpostsPolicyId2", "Version": "2012-10-17", "Statement": [ { "Sid": "AllowIPmix", "Effect": "Allow", "Principal": "*", "Action": "s3outposts:*", "Resource": [ "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/DOC-EXAMPLE-BUCKET", "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/DOC-EXAMPLE-BUCKET/*" ], "Condition": { "IpAddress": { "aws:SourceIp": [ "192.0.2.0/24", "2001:DB8:1234:5678::/64" ] }, "NotIpAddress": { "aws:SourceIp": [ "203.0.113.0/24", "2001:DB8:1234:5678:ABCD::/80" ] } } } ] }