Restreindre l'accès à des adresses IP spécifiques

Exemples de stratégie de compartiment

Grâce aux politiques de compartiment S3 on Outposts, vous pouvez sécuriser l'accès aux objets de vos compartiments S3 on Outposts, afin que seuls les utilisateurs disposant des autorisations appropriées puissent y accéder. Vous pouvez même empêcher les utilisateurs authentifiés ne disposant pas des autorisations appropriées d'accéder à vos ressources S3 on Outposts.

Cette section présente des exemples de cas d'utilisation typiques des politiques de compartiment S3 on Outposts. Pour tester ces politiques, remplacez user input placeholders par vos propres informations (comme le nom de votre compartiment).

Pour accorder ou refuser des autorisations à un ensemble d'objets, vous pouvez utiliser des caractères génériques (*) dans les noms Amazon Resource Name (ARN) et d'autres valeurs. Par exemple, vous pouvez contrôler l'accès aux groupes d'objets qui commencent par un préfixe courant ou se terminent par une extension donnée, comme .html.

Pour en savoir plus sur le langage de politique AWS Identity and Access Management (IAM), consultez Configuration IAM avec S3 sur Outposts.

Note

Lorsque vous testez s3outpostsles autorisations à l'aide de la console Amazon S3, vous devez accorder les autorisations supplémentaires requises par la console s3outposts:createendpoints3outposts:listendpoints, telles que,, etc.

Ressources supplémentaires pour créer des politiques de compartiment

Pour obtenir la liste des actions de politique IAM, des ressources et des clés de condition que vous pouvez utiliser lors de la création d'une politique de bucket S3 on Outposts, consultez Actions, ressources et clés de condition pour Amazon S3 on Outposts.
Pour obtenir des conseils sur la création de votre politique S3 on Outposts, consultez. Ajout ou modification d'une politique de compartiment pour un compartiment Amazon S3 on Outposts.

Rubriques

Gestion de l'accès à un bucket Amazon S3 on Outposts en fonction d'adresses IP spécifiques

Gestion de l'accès à un bucket Amazon S3 on Outposts en fonction d'adresses IP spécifiques

Une stratégie de compartiment est une stratégie AWS Identity and Access Management (IAM) basée sur les ressources que vous pouvez utiliser pour accorder des autorisations d'accès à votre compartiment et aux objets qu'il contient. Seul le propriétaire du compartiment peut associer une stratégie à un compartiment. Les autorisations attachées au compartiment s'appliquent à tous les objets du compartiment appartenant au compte propriétaire du compartiment. Les stratégies de compartiment sont limitées à une taille de 20 Ko. Pour plus d’informations, consultez Politique de compartiment.

Restriction de l'accès à des adresses IP spécifiques

L'exemple suivant interdit à tous les utilisateurs d'effectuer des opérations S3 on Outposts sur des objets dans les compartiments spécifiés, sauf si la demande provient de la plage d'adresses IP spécifiée.

Note

Lorsque vous limitez l'accès à une adresse IP spécifique, assurez-vous de spécifier également quels points de terminaison VPC, adresses IP source VPC ou adresses IP externes peuvent accéder au compartiment S3 on Outposts. Dans le cas contraire, vous risquez de perdre l'accès au compartiment si votre politique interdit à tous les utilisateurs d'effectuer s3outpostsdes opérations sur des objets de votre compartiment S3 on Outposts sans que les autorisations appropriées ne soient déjà en place.

La Condition déclaration de cette politique identifie 192.0.2.0/24la plage d'adresses IP de version 4 (IPv4) autorisées.

Le bloc Condition utilise la condition NotIpAddress et la clé de condition aws:SourceIp, qui est une clé de condition à l'échelle d'AWS. La clé de condition aws:SourceIp ne peut être utilisée que pour les plages d'adresses IP publiques. Pour plus d'informations sur ces clés de condition, consultez Actions, ressources et clés de condition pour S3 on Outposts. Les valeurs IPv4 aws:SourceIp font appel à la notation CIDR standard. Pour plus d'informations, consultez la référence aux éléments de politique IAM JSON dans le guide de l'utilisateur IAM.

Avertissement

Avant d'utiliser cette politique S3 on Outposts, remplacez la plage d'adresses 192.0.2.0/24IP dans cet exemple par une valeur adaptée à votre cas d'utilisation. Dans le cas contraire, vous ne pourrez plus accéder à votre bucket.


{
    "Version": "2012-10-17",
    "Id": "S3OutpostsPolicyId1",
    "Statement": [
        {
            "Sid": "IPAllow",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3outposts:*",
            "Resource": [
                "arn:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/accesspoint/EXAMPLE-ACCESS-POINT-NAME"
                "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/DOC-EXAMPLE-BUCKET"
            ],
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": "192.0.2.0/24"
                }
            }
        }
    ]
}

Autoriser les adresses IPv4 et IPv6

Lorsque vous commencez à utiliser des adresses IPv6, nous vous recommandons de mettre à jour toutes les stratégies de votre organisation en y incluant des plages d'adresses IPv6, en plus des plages IPv4 existantes. Cela permettra de s'assurer que les politiques continuent de fonctionner pendant la transition vers IPv6.

L'exemple de politique de compartiment S3 on Outposts suivant montre comment combiner des plages d'adresses IPv4 et IPv6 pour couvrir toutes les adresses IP valides de votre organisation. Dans cet exemple, la politique autorise l'accès aux exemples d'adresses IP 192.0.2.1 et 2001:DB8:1234:5678::1 et le refuse aux adresses 203.0.113.1 et 2001:DB8:1234:5678:ABCD::1.

La clé de condition aws:SourceIp ne peut être utilisée que pour les plages d'adresses IP publiques. Les valeurs IPv6 pour aws:SourceIp doivent être au format CIDR standard. Pour IPv6, nous prenons en charge l'utilisation de :: pour représenter une plage de zéros (par exemple : 2001:DB8:1234:5678::/64). Pour en savoir plus, consultez Opérateurs de condition d'adresse IP dans le guide de l'utilisateur IAM.

Avertissement

Remplacez les plages d'adresses IP de cet exemple par des valeurs adaptées à votre cas d'utilisation avant d'utiliser cette politique S3 on Outposts. Dans le cas contraire, vous pourriez perdre la possibilité d'accéder à votre compartiment.


{
    "Id": "S3OutpostsPolicyId2",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowIPmix",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3outposts:*",
            "Resource": [            
                "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/DOC-EXAMPLE-BUCKET",
                        "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/DOC-EXAMPLE-BUCKET/*"
            ],
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "2001:DB8:1234:5678::/64"
                    ]
                },
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "203.0.113.0/24",
                        "2001:DB8:1234:5678:ABCD::/80"
                    ]
                }
            }
        }
    ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Suppression d'une politique de compartiment

Affichage des compartiments