Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Izin

PDF
RSS
Mode fokus
Izin - Amazon Simple Storage Service
Mengelola akses publik ke Titik Akses Multi-WilayahMelihat setelan Blokir Akses Publik untuk Titik Akses Multi-WilayahMenggunakan kebijakan Titik Akses Multi-WilayahMengedit kebijakan Titik Akses Multi-WilayahContoh kebijakan Titik Akses Multi-Wilayah

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Poin Akses Multi-Wilayah Amazon S3 dapat menyederhanakan akses data untuk bucket Amazon S3 dalam beberapa kali. Wilayah AWS Titik Akses Multi-Wilayah diberi nama titik akhir global yang dapat Anda gunakan untuk melakukan operasi objek akses data Amazon S3, seperti GetObject dan PutObject. Setiap Titik Akses Multi-Wilayah dapat memiliki izin dan kendali jaringan yang berbeda untuk setiap permintaan yang dibuat melalui titik akhir global.

Setiap Titik Akses Multi-Wilayah juga dapat memberlakukan kebijakan akses khusus yang bekerja bersama dengan kebijakan bucket yang melekat pada bucket yang mendasarinya. Agar permintaan lintas akun berhasil, kebijakan berikut harus mengizinkan operasi:

  • Kebijakan Titik Akses Multi-Wilayah

  • Kebijakan yang mendasari AWS Identity and Access Management (IAM)

  • Kebijakan bucket yang mendasarinya (tempat permintaan dirutekan)

catatan

Untuk permintaan akun yang sama, hanya kebijakan IAM yang mendasari, yang memberikan akses yang sesuai, yang diperlukan.

Anda dapat mengonfigurasi kebijakan Titik Akses Multi-Wilayah untuk menerima permintaan hanya dari pengguna IAM atau grup tertentu. Untuk contoh cara melakukannya, lihat Contoh 2 di Contoh kebijakan Titik Akses Multi-Wilayah. Untuk membatasi akses data Amazon S3 ke jaringan privat, Anda dapat mengonfigurasi kebijakan Titik Akses Multi-Wilayah untuk menerima permintaan hanya dari cloud privat virtual (VPC).

Misalnya, Anda membuat GetObject permintaan melalui Titik Akses Multi-Wilayah dengan menggunakan pengguna yang dipanggil AppDataReader di AWS akun Anda. Untuk memastikan bahwa permintaan tidak akan ditolak, pengguna AppDataReader harus diberikan izin s3:GetObject oleh Titik Akses Multi-Wilayah dan oleh setiap bucket yang mendasari Titik Akses Multi-Wilayah. AppDataReader tidak akan dapat mengambil data dari bucket mana pun yang tidak memberikan izin ini.

penting

Mendelegasikan kontrol akses untuk bucket ke kebijakan Titik Akses Multi-Wilayah tidak mengubah perilaku bucket saat bucket diakses langsung melalui nama bucket atau Amazon Resource Name (ARN). Semua operasi yang dilakukan langsung terhadap bucket akan terus bekerja seperti sebelumnya. Pembatasan yang Anda sertakan dalam kebijakan Titik Akses Multi-Wilayah hanya berlaku untuk permintaan yang dibuat melalui Titik Akses Multi-Wilayah tersebut.

Mengelola akses publik ke Titik Akses Multi-Wilayah

Titik Akses Multi-Wilayah mendukung pengaturan Blokir Akses Publik independen untuk setiap Titik Akses Multi-Wilayah. Saat Anda membuat Titik Akses Multi-Wilayah, Anda dapat menentukan pengaturan Blokir Akses Publik yang berlaku untuk Titik Akses Multi-Wilayah tersebut.

catatan

Setelan Blokir Akses Publik apa pun yang diaktifkan di bawah pengaturan Blokir Akses Publik untuk akun ini (di akun Anda sendiri) atau Blokir Pengaturan Publik untuk bucket eksternal tetap berlaku meskipun pengaturan Blokir Akses Publik independen untuk Titik Akses Multi-Wilayah Anda dinonaktifkan.

Untuk setiap permintaan yang dibuat melalui Titik Akses Multi-Wilayah, Amazon S3 mengevaluasi pengaturan Blokir Akses Publik untuk:

  • Titik Akses Multi-Wilayah

  • Bucket yang mendasarinya (termasuk bucket eksternal)

  • Akun yang memiliki Titik Akses Multi-Wilayah

  • Akun yang memiliki bucket yang mendasarinya (termasuk akun eksternal)

Jika salah satu pengaturan ini menunjukkan bahwa permintaan tersebut harus diblokir, Amazon S3 menolak permintaan tersebut. Untuk informasi selengkapnya tentang fitur Blokir Akses Publik Amazon S3, lihat Melakukan blok akses publik ke penyimpanan Amazon S3 Anda.

penting

Secara default, semua pengaturan Blokir Akses Publik diaktifkan untuk Titik Akses Multi-Wilayah. Anda harus secara eksplisit menonaktifkan pengaturan apa pun yang tidak ingin Anda terapkan ke Titik Akses Multi-Wilayah.

Anda tidak dapat mengubah pengaturan Blokir Akses Publik untuk Titik Akses Multi-Wilayah setelah dibuat.

Melihat setelan Blokir Akses Publik untuk Titik Akses Multi-Wilayah

Untuk melihat pengaturan Blokir Akses Publik untuk Titik Akses Multi-Wilayah

  1. Masuk ke AWS Management Console dan buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/

  2. Di panel navigasi kiri, pilih Titik Akses Multi-Wilayah.

  3. Pilih nama Titik Akses Multi-Wilayah yang ingin Anda tinjau.

  4. Pilih tab Izin.

  5. Di bawah pengaturan Blokir Akses Publik untuk Titik Akses Multi-Wilayah ini, tinjau pengaturan Blokir Akses Publik untuk Titik Akses Multi-Wilayah Anda.

    catatan

    Anda tidak dapat mengedit pengaturan Blokir Akses Publik setelah Titik Akses Multi-Wilayah dibuat. Oleh karena itu, jika Anda ingin memblokir akses publik, pastikan aplikasi Anda berfungsi dengan benar tanpa akses publik sebelum Anda membuat Titik Akses Multi-Wilayah.

Menggunakan kebijakan Titik Akses Multi-Wilayah

Contoh kebijakan Titik Akses Multi-Wilayah berikut memberikan akses pengguna IAM untuk membuat daftar dan mengunduh file dari Titik Akses Multi-Wilayah Anda. Untuk menggunakan kebijakan contoh ini, ganti user input placeholders dengan informasi Anda sendiri.

 {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::123456789012:user/JohnDoe" 
         },
         "Action":[
            "s3:ListBucket",
            "s3:GetObject"
         ],
         "Resource":[
            "arn:aws:s3::111122223333:accesspoint/MultiRegionAccessPoint_alias",
            "arn:aws:s3::111122223333:accesspoint/MultiRegionAccessPoint_alias/object/*"
         ]
      }
   ]
}

Untuk mengaitkan kebijakan Titik Akses Multi-Wilayah Anda dengan Titik Akses Multi-Wilayah yang telah ditentukan menggunakan AWS Command Line Interface (AWS CLI), gunakan perintah put-multi-region-access-point-policy berikut. Untuk menggunakan contoh perintah ini, ganti user input placeholders dengan informasi Anda sendiri. Setiap Titik Akses Multi-Wilayah hanya dapat memiliki satu kebijakan, sehingga permintaan yang dibuat untuk tindakan put-multi-region-access-point-policy tersebut akan menggantikan kebijakan yang ada yang terkait dengan Titik Akses Multi-Wilayah yang telah ditentukan.

AWS CLI
aws s3control put-multi-region-access-point-policy
--account-id 111122223333
--details { "Name": "amzn-s3-demo-bucket-MultiRegionAccessPoint", "Policy": "{ \"Version\": \"2012-10-17\", \"Statement\": { \"Effect\": \"Allow\", \"Principal\": { \"AWS\": \"arn:aws:iam::111122223333:root\" }, \"Action\": [\"s3:ListBucket\", \"s3:GetObject\"], \"Resource\": [ \"arn:aws:s3::111122223333:accesspoint/MultiRegionAccessPoint_alias", \"arn:aws:s3::111122223333:accesspoint/MultiRegionAccessPoint_alias/object/*\" ] } }" }
anchor
aws s3control put-multi-region-access-point-policy
--account-id 111122223333
--details { "Name": "amzn-s3-demo-bucket-MultiRegionAccessPoint", "Policy": "{ \"Version\": \"2012-10-17\", \"Statement\": { \"Effect\": \"Allow\", \"Principal\": { \"AWS\": \"arn:aws:iam::111122223333:root\" }, \"Action\": [\"s3:ListBucket\", \"s3:GetObject\"], \"Resource\": [ \"arn:aws:s3::111122223333:accesspoint/MultiRegionAccessPoint_alias", \"arn:aws:s3::111122223333:accesspoint/MultiRegionAccessPoint_alias/object/*\" ] } }" }

Jika Anda ingin mengetahui hasil dari operasi sebelumnya, gunakan perintah berikut ini:

AWS CLI
aws s3control describe-multi-region-access-point-operation
--account-id 111122223333
--request-token-arn requestArn
anchor
aws s3control describe-multi-region-access-point-operation
--account-id 111122223333
--request-token-arn requestArn

Untuk mengambil kebijakan Titik Akses Multi-Wilayah, gunakan perintah berikut:

AWS CLI
aws s3control get-multi-region-access-point-policy
--account-id 111122223333
--name=amzn-s3-demo-bucket-MultiRegionAccessPoint
anchor
aws s3control get-multi-region-access-point-policy
--account-id 111122223333
--name=amzn-s3-demo-bucket-MultiRegionAccessPoint

Mengedit kebijakan Titik Akses Multi-Wilayah

Kebijakan Titik Akses Multi-Wilayah (ditulis dalam JSON) menyediakan akses penyimpanan ke bucket Amazon S3 yang digunakan dengan Titik Akses Multi-Wilayah ini. Anda dapat mengizinkan atau menolak pengguna utama tertentu untuk melakukan berbagai tindakan pada Titik Akses Multi-Wilayah. Ketika permintaan dirutekan ke bucket melalui Titik Akses Multi-Wilayah, maka kebijakan akses untuk Titik Akses Multi-Wilayah dan bucket akan diberlakukan. Kebijakan akses yang lebih ketat selalu diutamakan.

catatan

Jika bucket berisi objek yang dimiliki oleh akun lain, kebijakan Titik Akses Multi-Wilayah tidak berlaku untuk objek yang dimiliki oleh orang lain Akun AWS.

Setelah Anda menerapkan kebijakan Titik Akses Multi-Wilayah, kebijakan tersebut tidak dapat dihapus. Anda dapat mengedit kebijakan atau membuat kebijakan baru yang menimpa kebijakan yang sudah ada.

Untuk mengedit kebijakan Titik Akses Multi-Wilayah

  1. Masuk ke AWS Management Console dan buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/

  2. Di panel navigasi kiri, pilih Titik Akses Multi-Wilayah.

  3. Pilih nama Titik Akses Multi-Wilayah yang ingin Anda edit kebijakannya.

  4. Pilih tab Izin.

  5. Gulir ke bawah ke bagian kebijakan Titik Akses Multi-Wilayah. Pilih Edit untuk memperbarui kebijakan (di JSON).

  6. Halaman kebijakan Edit Titik Akses Multi-Wilayah akan muncul. Anda dapat memasukkan kebijakan langsung ke bidang teks atau memilih Tambahkan pernyataan untuk memilih elemen kebijakan dari daftar dropdown.

    catatan

    Konsol akan secara otomatis menampilkan Titik Akses Multi-Wilayah Amazon Resource Name (ARN), yang dapat Anda gunakan di dalam kebijakan. Misalnya kebijakan Titik Akses Multi-Wilayah, lihat Contoh kebijakan Titik Akses Multi-Wilayah.

Contoh kebijakan Titik Akses Multi-Wilayah

Kebijakan sumber daya dukungan AWS Identity and Access Management (IAM) Amazon S3 Multi-Region Access Points (IAM). Anda dapat menggunakan kebijakan ini untuk mengontrol penggunaan Titik Akses Multi-Wilayah berdasarkan sumber daya, pengguna, atau ketentuan lainnya. Agar aplikasi atau pengguna dapat mengakses objek melalui Titik Akses Multi-Wilayah, baik Titik Akses Multi-Wilayah maupun bucket yang mendasarinya harus mengizinkan akses yang sama.

Untuk mengizinkan akses yang sama ke Titik Akses Multi-Wilayah dan bucket yang mendasarinya, lakukan salah satu hal berikut:

  • (Disarankan) Untuk menyederhanakan kontrol akses saat menggunakan Titik Akses Multi-Wilayah Amazon S3, delegasikan kontrol akses untuk bucket Amazon S3 ke Titik Akses Multi-Wilayah. Untuk contoh cara melakukannya, lihat Contoh 1 di bagian ini.

  • Tambahkan izin yang sama yang terdapat dalam kebijakan Titik Akses Multi-Wilayah ke kebijakan bucket yang mendasarinya.

penting

Mendelegasikan kontrol akses untuk bucket ke kebijakan Titik Akses Multi-Wilayah tidak mengubah perilaku bucket saat bucket diakses langsung melalui nama bucket atau Amazon Resource Name (ARN). Semua operasi yang dilakukan langsung terhadap bucket akan terus bekerja seperti sebelumnya. Pembatasan yang Anda sertakan dalam kebijakan Titik Akses Multi-Wilayah hanya berlaku untuk permintaan yang dibuat melalui Titik Akses Multi-Wilayah tersebut.

contoh 1–Mendelegasikan akses ke Titik Akses Multi-Wilayah tertentu dalam kebijakan bucket Anda (untuk akun atau lintas akun yang sama)

Contoh kebijakan bucket berikut memberikan akses bucket penuh ke Titik Akses Multi-Wilayah tertentu. Ini berarti bahwa semua akses ke bucket ini dikontrol oleh kebijakan yang terdapat pada Titik Akses Multi-Wilayah. Kami menyarankan Anda untuk mengonfigurasi bucket dengan cara ini untuk semua kasus penggunaan yang tidak memerlukan akses langsung ke bucket. Anda dapat menggunakan struktur kebijakan bucket ini untuk Titik Akses Multi-Wilayah di akun yang sama atau di akun lain.

{
    "Version": "2012-10-17",
    "Statement" : [
    {
        "Effect": "Allow",
        "Principal" : { "AWS": "*" },
        "Action" : "*",
        "Resource" : [ "Bucket ARN", "Bucket ARN/*"],
        "Condition": {
            "StringEquals" : { "s3:DataAccessPointArn" : "MultiRegionAccessPoint_ARN" }
        }
    }]
}
catatan

Jika ada beberapa Titik Akses Multi-Wilayah yang Anda berikan akses, pastikan untuk mencantumkan setiap Titik Akses Multi-Wilayah.

contoh 2–Memberikan akses akun ke Titik Akses Multi-Wilayah dalam kebijakan Titik Akses Multi-Wilayah Anda

Kebijakan Titik Akses Multi-Wilayah berikut memungkinkan izin 123456789012 akun untuk mencantumkan dan membaca objek yang terdapat dalam Titik Akses Multi-Wilayah yang ditentukan oleh MultiRegionAccessPoint_ARN.

{
  "Version":"2012-10-17",
  "Statement": [
    {
       "Effect": "Allow",
       "Principal": {
          "AWS":"arn:aws:iam::123456789012:user/JohnDoe"
       },
       "Action":[
          "s3:ListBucket",
          "s3:GetObject"
       ],
       "Resource":[ 
          "MultiRegionAccessPoint_ARN",
          "MultiRegionAccessPoint_ARN/object/*"
       ]
     }
  ]
}
contoh 3–Kebijakan Titik Akses Multi-Wilayah yang memungkinkan pembuatan daftar bucket

Kebijakan Titik Akses Multi-Wilayah berikut memungkinkan izin 123456789012 akun untuk mencantumkan objek yang terdapat dalam Titik Akses Multi-Wilayah yang ditentukan oleh MultiRegionAccessPoint_ARN.

{
   "Version":"2012-10-17",
   "Statement": [
      {
       "Effect": "Allow",
       "Principal": {
        "AWS": "arn:aws:iam::123456789012:user/JohnDoe"
        },
        "Action": "s3:ListBucket",
        "Resource": "MultiRegionAccessPoint_ARN"
       }
    ]
}

Di halaman ini

Related resources

Amazon S3 Referensi API
AWS CLI perintah untuk Amazon S3
SDKs & Alat 

Related resources

Amazon S3 Referensi API
AWS CLI perintah untuk Amazon S3
SDKs & Alat 
PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.