Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menyiapkan IAM dengan S3 di Outposts
AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. IAMadministrator mengontrol siapa yang dapat diautentikasi (masuk) dan diberi wewenang (memiliki izin) untuk menggunakan Amazon S3 pada sumber daya Outposts. IAMadalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan. Secara default, pengguna tidak memiliki izin untuk sumber daya dan operasi S3 di Outposts. Untuk memberikan izin akses untuk S3 pada sumber daya dan API operasi Outposts, Anda dapat menggunakan IAM untuk membuat pengguna, grup, atau peran dan melampirkan izin.
Untuk memberikan akses, menambahkan izin ke pengguna, grup, atau peran Anda:
-
Pengguna dan grup di AWS IAM Identity Center:
Buat rangkaian izin. Ikuti instruksi di Buat rangkaian izin di Panduan Pengguna AWS IAM Identity Center .
-
Pengguna yang dikelola IAM melalui penyedia identitas:
Buat peran untuk federasi identitas. Ikuti petunjuk dalam Membuat peran untuk penyedia identitas pihak ketiga (federasi) di Panduan IAM Pengguna.
-
IAMpengguna:
-
Buat peran yang dapat diambil pengguna Anda. Ikuti petunjuk dalam Membuat peran bagi IAM pengguna di Panduan IAM Pengguna.
-
(Tidak disarankan) Pasang kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk di Menambahkan izin ke pengguna (konsol) di Panduan IAM Pengguna.
-
Selain kebijakan IAM berbasis identitas, S3 on Outposts mendukung kebijakan bucket dan access point. Kebijakan bucket dan titik akses adalah kebijakan berbasis sumber daya yang dilampirkan ke sumber daya S3 di Outposts.
-
Kebijakan bucket dilampirkan pada bucket dan mengizinkan atau menolak permintaan ke bucket serta objek di dalamnya berdasarkan elemen dalam kebijakan.
-
Sebaliknya, kebijakan titik akses dilampirkan ke titik akses dan memungkinkan atau menolak permintaan ke titik akses.
Kebijakan titik akses bekerja dengan kebijakan bucket yang dilampirkan pada bucket yang mendasari S3 di Outposts. Agar aplikasi atau pengguna dapat mengakses objek di bucket S3 di Outposts melalui titik akses S3 di Outposts, kebijakan titik akses dan kebijakan bucket harus mengizinkan permintaan tersebut.
Pembatasan yang Anda sertakan dalam kebijakan titik akses hanya berlaku untuk permintaan yang dibuat melalui titik akses tersebut. Misalnya, jika titik akses dilampirkan ke bucket, Anda tidak dapat menggunakan kebijakan titik akses untuk mengizinkan atau menolak permintaan yang dibuat langsung ke bucket. Namun, pembatasan yang Anda terapkan pada kebijakan bucket dapat mengizinkan atau menolak permintaan yang dibuat langsung ke bucket atau melalui titik akses.
Dalam IAM kebijakan atau kebijakan berbasis sumber daya, Anda menentukan tindakan S3 pada Outposts mana yang diizinkan atau ditolak. S3 pada tindakan Outposts sesuai dengan S3 tertentu pada API operasi Outposts. Tindakan S3 di Outposts menggunakan prefiks namespace s3-outposts:. Permintaan yang dibuat ke API kontrol S3 on Outposts dalam dan permintaan Wilayah AWS yang dibuat ke titik akhir API objek di Outpost diautentikasi dengan IAM menggunakan dan diotorisasi terhadap awalan namespace. s3-outposts: Untuk bekerja dengan S3 di Outposts, konfigurasikan pengguna IAM Anda dan otorisasi mereka terhadap namespace. s3-outposts: IAM
Untuk informasi lebih lanjut, lihat Tindakan, sumber daya, dan kunci syarat untuk Amazon S3 di Outposts di Referensi Otorisasi Layanan.
catatan
-
Daftar kontrol akses (ACLs) tidak didukung oleh S3 di Outposts.
-
S3 di Outposts adalah default bagi pemilik bucket sebagai pemilik objek, untuk membantu memastikan bahwa pemilik bucket tidak dapat dicegah untuk mengakses atau menghapus objek.
-
S3 di Outposts selalu mengaktifkan Blokir Akses Publik S3 untuk membantu memastikan objek tidak pernah memiliki akses publik.
Untuk informasi selengkapnya tentang pengaturan IAM untuk S3 di Outposts, lihat topik berikut.
Topik
Pengguna utama kebijakan S3 di Outposts
Saat membuat kebijakan berbasis sumber daya untuk memberikan akses ke bucket S3 di Outposts, Anda harus menggunakan elemen Principal tersebut untuk menentukan orang atau aplikasi yang dapat membuat permintaan tindakan atau operasi pada sumber daya tersebut. Untuk kebijakan S3 di Outposts, Anda dapat menggunakan salah satu pengguna utama berikut:
-
Sebuah Akun AWS
-
Seorang IAM pengguna
-
IAMPeran
-
Semua pengguna utama, dengan menentukan karakter wildcard (*) dalam kebijakan yang menggunakan elemen
Conditionuntuk membatasi akses ke rentang IP tertentu
penting
Anda tidak dapat menulis kebijakan untuk bucket S3 di Outposts yang menggunakan karakter wildcard (*) dalam elemen Principal kecuali jika kebijakan tersebut juga menyertakan Condition yang membatasi akses ke rentang alamat IP tertentu. Pembatasan ini membantu memastikan tidak ada akses publik ke bucket S3 di Outposts Anda. Sebagai contoh, lihat Contoh kebijakan untuk S3 di Outposts.
Untuk informasi selengkapnya tentang Principal elemen, lihat elemen AWS JSON kebijakan: Principal dalam Panduan IAM Pengguna.
Sumber daya ARNs untuk S3 di Outposts
Amazon Resource Names (ARNs) untuk S3 di Outposts berisi ID Outpost selain Wilayah AWS tempat Outpost berada, ID, Akun AWS dan nama resource. Untuk mengakses dan melakukan tindakan pada bucket dan objek Outposts Anda, Anda harus menggunakan salah satu ARN format yang ditunjukkan pada tabel berikut.
partition
-
aws– Wilayah AWS -
aws-us-gov— AWS GovCloud (US) Daerah
Tabel berikut menunjukkan S3 pada format ARN Outposts.
| Amazon S3 di Outposts ARN | ARNformat | Contoh |
|---|---|---|
| Ember ARN | arn: |
arn: |
| Titik akses ARN | arn: |
arn: |
| Objek ARN | arn: |
arn: |
| S3 pada ARN objek titik akses Outposts (digunakan dalam kebijakan) | arn: |
arn: |
| S3 di Outposts ARN | arn: |
arn: |
Contoh kebijakan untuk S3 di Outposts
contoh : S3 tentang kebijakan bucket Outposts dengan kepala sekolah Akun AWS
Kebijakan bucket berikut menggunakan Akun AWS prinsipal untuk memberikan akses ke bucket S3 di Outposts. Untuk menggunakan kebijakan bucket ini, ganti user
input placeholders
{ "Version":"2012-10-17", "Id":"ExampleBucketPolicy1", "Statement":[ { "Sid":"statement1", "Effect":"Allow", "Principal":{ "AWS":"123456789012" }, "Action":"s3-outposts:*", "Resource":"arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outposts-bucket" } ] }
contoh : kebijakan bucket S3 pada Outposts dengan pengguna utama wildcard (*) dan kunci syarat untuk membatasi akses ke rentang alamat IP tertentu
Kebijakan bucket berikut menggunakan pengguna utama wildcard (*) dengan syarat aws:SourceIp untuk membatasi akses ke rentang alamat IP tertentu. Untuk menggunakan kebijakan bucket ini, ganti user input
placeholders
{ "Version": "2012-10-17", "Id": "ExampleBucketPolicy2", "Statement": [ { "Sid": "statement1", "Effect": "Allow", "Principal": { "AWS" : "*" }, "Action":"s3-outposts:*", "Resource":"arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outposts-bucket", "Condition" : { "IpAddress" : { "aws:SourceIp": "192.0.2.0/24" }, "NotIpAddress" : { "aws:SourceIp": "198.51.100.0/24" } } } ] }
Izin untuk titik akhir S3 di Outposts
S3 di Outposts memerlukan izinnya sendiri untuk mengelola S3 IAM pada tindakan titik akhir Outposts.
catatan
-
Untuk titik akhir yang menggunakan jenis akses kumpulan alamat IP (kumpulan CoIP) milik pelanggan, Anda juga harus memiliki izin untuk bekerja dengan alamat IP dari kumpulan CoIP Anda, seperti yang dijelaskan dalam tabel berikut.
-
Untuk akun bersama yang mengakses S3 di Outposts dengan AWS Resource Access Manager menggunakan, pengguna di akun bersama ini tidak dapat membuat titik akhir mereka sendiri di subnet bersama. Apabila pengguna di akun bersama ingin mengelola titik akhir mereka sendiri, akun bersama harus membuat subnetnya sendiri di Outpost. Untuk informasi selengkapnya, lihat Berbagi S3 di Outposts dengan menggunakan AWS RAM.
Tabel berikut menunjukkan S3 tentang izin terkait titik akhir OutpostsIAM.
| Tindakan | IAMizin |
|---|---|
CreateEndpoint |
Untuk titik akhir yang menggunakan jenis akses kumpulan alamat IP (kumpulan CoIP) milik pelanggan on-premise, izin tambahan berikut diperlukan:
|
DeleteEndpoint |
Untuk titik akhir yang menggunakan jenis akses kumpulan alamat IP (kumpulan CoIP) milik pelanggan on-premise, izin tambahan berikut diperlukan:
|
ListEndpoints |
|
catatan
Anda dapat menggunakan tag sumber daya dalam IAM kebijakan untuk mengelola izin.
Peran yang ditautkan dengan layanan untuk S3 di Outposts
S3 di Outposts IAM menggunakan peran terkait layanan untuk membuat beberapa sumber daya jaringan atas nama Anda. Untuk informasi selengkapnya, lihat Menggunakan Peran Terkait Layanan untuk Amazon S3 di Outposts.
