Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Manajemen Akses
Di AWS, sumber daya adalah entitas yang dapat Anda gunakan. Di Amazon Simple Storage Service (S3), bucket dan objek adalah sumber daya Amazon S3 asli. Setiap pelanggan S3 kemungkinan memiliki ember dengan benda-benda di dalamnya. Karena fitur baru ditambahkan ke S3, sumber daya tambahan juga ditambahkan, tetapi tidak setiap pelanggan menggunakan sumber daya khusus fitur ini. Untuk informasi selengkapnya tentang sumber daya Amazon S3, lihat. Sumber daya S3
Secara default, semua sumber daya Amazon S3 bersifat pribadi. Secara default, pengguna root dari Akun AWS yang menciptakan sumber daya (pemilik sumber daya) dan pengguna IAM dalam akun itu dengan izin yang diperlukan dapat mengakses sumber daya yang mereka buat. Pemilik sumber daya memutuskan siapa lagi yang dapat mengakses sumber daya dan tindakan yang diizinkan dilakukan orang lain pada sumber daya. S3 memiliki berbagai alat manajemen akses yang dapat Anda gunakan untuk memberi orang lain akses ke sumber daya S3 Anda.
Bagian berikut memberi Anda gambaran umum tentang sumber daya S3, alat manajemen akses S3 yang tersedia, dan kasus penggunaan terbaik untuk setiap alat manajemen akses. Daftar di bagian ini bertujuan untuk menjadi komprehensif dan mencakup semua sumber daya S3, alat manajemen akses, dan kasus penggunaan manajemen akses umum. Pada saat yang sama, bagian ini dirancang untuk menjadi direktori yang mengarahkan Anda ke detail teknis yang Anda inginkan. Jika Anda memiliki pemahaman yang baik tentang beberapa topik berikut, Anda dapat melompat ke bagian yang berlaku untuk Anda.
Topik
- Sumber daya S3
- Identitas
- Alat manajemen akses
- Tindakan
- Kasus penggunaan manajemen akses
- Pemecahan masalah manajemen akses
- Identity and Access Management untuk Amazon S3
- Mengelola akses dengan S3 Access Grants
- Mengelola Akses dengan ACL
- Melakukan blok akses publik ke penyimpanan Amazon S3 Anda
- Meninjau akses bucket menggunakan IAM Access Analyzer untuk S3
- Memverifikasi kepemilikan bucket dengan syarat pemilik bucket
- Mengontrol kepemilikan objek dan menonaktifkan ACL untuk bucket Anda
Sumber daya S3
Sumber daya Amazon S3 asli adalah ember dan objek yang dikandungnya. Karena fitur baru ditambahkan ke S3, sumber daya baru juga ditambahkan. Berikut ini adalah daftar lengkap sumber daya S3 dan fitur-fiturnya masing-masing.
| Jenis sumber daya | Fitur Amazon S3 | Deskripsi |
|---|---|---|
|
|
Fitur inti |
Bucket adalah kontainer untuk objek. Untuk menyimpan objek di S3, buat bucket lalu unggah satu atau beberapa objek ke bucket. Untuk informasi selengkapnya, lihat Membuat, mengonfigurasi, dan bekerja dengan bucket Amazon S3. |
|
|
Objek dapat berupa file dan metadata apa pun yang menggambarkan file itu. Ketika sebuah objek ada di ember, Anda dapat membukanya, mengunduhnya, dan memindahkannya. Untuk informasi selengkapnya, lihat Mengunggah, mengunduh, dan bekerja dengan objek di Amazon S3. |
|
|
|
Titik Akses |
Titik Akses diberi nama titik akhir jaringan yang dilampirkan ke bucket yang dapat Anda gunakan untuk melakukan operasi objek Amazon S3, seperti dan. |
|
|
|
Object Lambda Access Point adalah titik akses untuk bucket yang juga terkait dengan fungsi Lambda. Dengan Object Lambda Access Point, Anda dapat menambahkan kode Anda sendiri ke Amazon |
|
|
|
Titik Akses Multi-Wilayah menyediakan titik akhir global yang dapat digunakan aplikasi untuk memenuhi permintaan dari bucket Amazon S3 yang berlokasi di beberapa Wilayah. AWS Anda dapat menggunakan Titik Akses Multi-Wilayah untuk membangun aplikasi multi-Wilayah dengan arsitektur yang sama dengan yang digunakan di satu Wilayah, dan kemudian menjalankan aplikasi tersebut di mana saja di seluruh dunia. Alih-alih mengirim permintaan melalui internet publik yang padat, permintaan aplikasi yang dibuat ke titik akhir global Multi-Region Access Point secara otomatis merutekan melalui jaringan AWS global ke bucket Amazon S3 terdekat. Untuk informasi selengkapnya, lihat Titik Akses Multi-Wilayah di Amazon S3. |
|
|
Operasi Batch S3 |
Pekerjaan adalah sumber daya dari fitur Operasi Batch S3. Anda dapat menggunakan Operasi Batch S3 untuk melakukan operasi batch skala besar pada daftar objek Amazon S3 yang Anda tentukan. Amazon S3 melacak kemajuan pekerjaan operasi batch, mengirimkan pemberitahuan, dan menyimpan laporan penyelesaian terperinci dari semua tindakan, memberi Anda pengalaman yang sepenuhnya dikelola, dapat diaudit, dan tanpa server. Untuk informasi selengkapnya, lihat Melakukan operasi batch berskala besar pada objek Amazon S3. |
|
|
Lensa Penyimpanan S3 |
Konfigurasi Lensa Penyimpanan S3 mengumpulkan metrik penyimpanan di seluruh organisasi dan data pengguna di seluruh akun. S3 Storage Lens memberi admin satu tampilan penggunaan dan aktivitas penyimpanan objek di ratusan, atau bahkan ribuan, akun dalam suatu organisasi, dengan detail untuk menghasilkan wawasan di berbagai tingkat agregasi. Untuk informasi selengkapnya, lihat Menilai aktivitas penyimpanan dan penggunaan Anda dengan Amazon S3 Storage Lens. |
|
|
Grup Lensa Penyimpanan S3 menggabungkan metrik dengan menggunakan filter khusus berdasarkan metadata objek. Grup Lensa Penyimpanan S3 membantu Anda menyelidiki karakteristik data Anda, seperti distribusi objek berdasarkan usia, jenis file yang paling umum, dan banyak lagi. Untuk informasi selengkapnya, lihat Bekerja dengan grup Lensa Penyimpanan. |
|
|
|
Pemberian Akses S3 |
Instance S3 Access Grants adalah wadah untuk hibah S3 yang Anda buat. Dengan S3 Access Grants, Anda dapat membuat hibah ke data Amazon S3 untuk identitas IAM dalam akun Anda, identitas IAM di akun lain (lintas akun), dan identitas direktori yang ditambahkan dari direktori perusahaan Anda. AWS IAM Identity Center Untuk informasi selengkapnya tentang Hibah Akses S3, lihat. Mengelola akses dengan S3 Access Grants |
|
|
Lokasi Access Grants adalah bucket, awalan dalam bucket, atau objek yang Anda daftarkan di instans S3 Access Grants. Anda harus mendaftarkan lokasi dalam instance S3 Access Grants sebelum Anda dapat membuat hibah ke lokasi tersebut. Kemudian, dengan S3 Access Grants, Anda dapat memberikan akses ke bucket, awalan, atau objek untuk identitas IAM dalam akun Anda, identitas IAM di akun lain (lintas akun), dan identitas direktori yang ditambahkan dari direktori perusahaan Anda. AWS IAM Identity Center Untuk informasi selengkapnya tentang Hibah Akses S3, lihat Mengelola akses dengan S3 Access Grants |
|
|
|
Hibah Akses adalah hibah individu untuk data Amazon S3 Anda. Dengan S3 Access Grants, Anda dapat membuat hibah ke data Amazon S3 untuk identitas IAM dalam akun Anda, identitas IAM di akun lain (lintas akun), dan identitas direktori yang ditambahkan dari direktori perusahaan Anda. AWS IAM Identity Center Untuk informasi selengkapnya tentang Hibah Akses S3, lihat Mengelola akses dengan S3 Access Grants |
Bucket
Ada dua jenis bucket Amazon S3: ember tujuan umum dan ember direktori.
-
Bucket tujuan umum adalah jenis bucket S3 asli dan direkomendasikan untuk sebagian besar kasus penggunaan dan pola akses. Bucket tujuan umum juga memungkinkan objek yang disimpan di semua kelas penyimpanan, kecuali S3 Express One Zone. Untuk informasi selengkapnya tentang kelas penyimpanan S3, lihatMenggunakan kelas penyimpanan Amazon S3.
-
Bucket direktori menggunakan kelas penyimpanan S3 Express One Zone, yang direkomendasikan jika aplikasi Anda peka terhadap kinerja dan mendapat manfaat dari milidetik dan latensi satu digit.
PUTGETLihat informasi selengkapnya di Ember direktori, Apa itu S3 Express One Zone?, dan AWS Identity and Access Management (IAM) untuk S3 Express One Zone.
Mengkategorikan sumber daya S3
Amazon S3 menyediakan fitur untuk mengkategorikan dan mengatur sumber daya S3 Anda. Mengkategorikan sumber daya Anda tidak hanya berguna untuk mengaturnya, tetapi Anda juga dapat menetapkan aturan manajemen akses berdasarkan kategori sumber daya. Secara khusus, awalan dan penandaan adalah dua fitur organisasi penyimpanan yang dapat Anda gunakan saat mengatur izin manajemen akses.
catatan
Informasi berikut berlaku untuk ember tujuan umum. Bucket direktori tidak mendukung penandaan, dan mereka memiliki batasan awalan. Untuk informasi selengkapnya, lihat AWS Identity and Access Management (IAM) untuk S3 Express One Zone.
Awalan - Awalan di Amazon S3 adalah string karakter di awal nama kunci objek yang digunakan untuk mengatur objek yang disimpan di bucket S3 Anda. Anda dapat menggunakan karakter pembatas, seperti garis miring maju (
/), untuk menunjukkan akhir awalan dalam nama kunci objek. Misalnya, Anda mungkin memiliki nama kunci objek yang dimulai denganengineering/awalan atau nama kunci objek yang dimulai denganmarketing/campaigns/awalan. Menggunakan delimeter di akhir awalan Anda, seperti karakter garis miring maju/mengemulasi folder dan konvensi penamaan file. Namun, di S3, awalan adalah bagian dari nama kunci objek. Dalam bucket S3 tujuan umum, tidak ada hierarki folder yang sebenarnya.Amazon S3 mendukung pengorganisasian dan pengelompokan objek dengan menggunakan awalan mereka. Anda juga dapat mengelola akses ke objek dengan awalan mereka. Misalnya, Anda dapat membatasi akses hanya ke objek dengan nama yang dimulai dengan awalan tertentu.
Untuk informasi selengkapnya, lihat Organisasi objek menggunakan prefiks. Konsol S3 menggunakan konsep folder, yang, dalam bucket tujuan umum, pada dasarnya adalah awalan yang telah ditambahkan ke nama kunci objek. Untuk informasi selengkapnya, lihat Mengatur objek di konsol Amazon S3 dengan menggunakan folder.
Tag - Setiap tag adalah pasangan nilai kunci yang Anda tetapkan ke sumber daya. Misalnya, Anda dapat menandai beberapa sumber daya dengan tag
topicCategory=engineering. Anda dapat menggunakan penandaan untuk membantu alokasi biaya, pengkategorian dan pengorganisasian, dan kontrol akses. Bucket tagging hanya digunakan untuk alokasi biaya. Anda dapat menandai objek, Lensa Penyimpanan S3, pekerjaan, dan Hibah Akses S3 untuk keperluan pengorganisasian atau untuk kontrol akses. Di S3 Access Grants, Anda juga dapat menggunakan penandaan untuk alokasi biaya. Sebagai contoh mengendalikan akses ke sumber daya dengan menggunakan tag mereka, Anda hanya dapat berbagi objek yang memiliki tag tertentu atau kombinasi tag.Untuk informasi selengkapnya, lihat Mengontrol akses ke AWS sumber daya menggunakan tag sumber daya di Panduan Pengguna IAM.
Identitas
Di Amazon S3, pemilik sumber daya adalah identitas yang menciptakan sumber daya, seperti ember atau objek. Secara default, hanya pengguna root akun yang membuat sumber daya dan identitas IAM dalam akun yang memiliki izin yang diperlukan dapat mengakses sumber daya S3. Pemilik sumber daya dapat memberikan identitas lain akses ke sumber daya S3 mereka.
Identitas yang tidak memiliki sumber daya dapat meminta akses ke sumber daya tersebut. Permintaan ke sumber daya diautentikasi atau tidak diautentikasi. Permintaan yang diautentikasi harus menyertakan nilai tanda tangan yang mengautentikasi pengirim permintaan, tetapi permintaan yang tidak diautentikasi tidak memerlukan tanda tangan. Kami menyarankan Anda memberikan akses hanya kepada pengguna yang diautentikasi. Untuk informasi lebih lanjut tentang autentikasi permintaan, lihat Membuat permintaan.
penting
Kami menyarankan agar Anda tidak menggunakan kredensyal pengguna Akun AWS root untuk membuat permintaan yang diautentikasi. Sebagai gantinya, buat peran IAM dan berikan akses penuh kepada peran tersebut. Kami merujuk ke pengguna dengan peran ini sebagai pengguna administrator. Anda dapat menggunakan kredensyal yang ditetapkan ke peran administrator, bukan kredensyal pengguna Akun AWS root, untuk berinteraksi AWS dan melakukan tugas, seperti membuat bucket, membuat pengguna, dan memberikan izin. Untuk informasi selengkapnya, lihat kredensyal pengguna Akun AWS root dan kredensyal pengguna IAM di Referensi Umum AWS, dan lihat Praktik terbaik keamanan di IAM di Panduan Pengguna IAM.
Identitas mengakses data Anda di Amazon S3 dapat menjadi salah satu dari yang berikut:
Akun AWS pemilik
Akun AWS Yang menciptakan sumber daya. Misalnya, akun yang membuat ember. Akun ini memiliki sumber daya. Untuk informasi selengkapnya, lihat pengguna root AWS akun.
Identitas IAM di akun pemilik yang sama Akun AWS
Saat menyiapkan akun untuk anggota tim baru yang memerlukan akses S3, Akun AWS pemilik dapat menggunakan AWS Identity and Access Management (IAM) untuk membuat pengguna, grup, dan peran. Akun AWS Pemilik kemudian dapat berbagi sumber daya dengan identitas IAM ini. Pemilik akun juga dapat menentukan izin untuk memberikan identitas IAM, yang memungkinkan atau menolak tindakan yang dapat dilakukan pada sumber daya bersama.
Identitas IAM memberikan peningkatan kemampuan, termasuk kemampuan untuk meminta pengguna memasukkan kredensi login sebelum mengakses sumber daya bersama. Dengan menggunakan identitas IAM, Anda dapat menerapkan bentuk otentikasi multi-faktor IAM (MFA) untuk mendukung fondasi identitas yang kuat. Praktik terbaik IAM adalah membuat peran untuk manajemen akses alih-alih memberikan izin kepada setiap pengguna individu. Anda menetapkan pengguna individu ke peran yang sesuai. Untuk informasi selengkapnya, lihat Praktik terbaik keamanan di IAM.
Pemilik AWS akun lain dan identitas IAM mereka (akses lintas akun)
Akun AWS Pemilik juga dapat memberikan pemilik AWS akun lain, atau identitas IAM milik AWS akun lain, akses ke sumber daya.
catatan
Delegasi izin — Jika Akun AWS memiliki sumber daya, ia dapat memberikan izin tersebut kepada yang lain. Akun AWS Akun itu kemudian dapat mendelegasikan izin tersebut, atau sebagian dari mereka, kepada pengguna di akun yang sama. Ini disebut sebagai delegasi izin. Tetapi akun yang menerima izin dari akun lain tidak dapat mendelegasikan izin tersebut “lintas akun” ke akun lain. Akun AWS
Pengguna anonim (akses publik)
Akun AWS Pemilik dapat membuat sumber daya publik. Membuat sumber daya publik secara teknis berbagi sumber daya dengan pengguna anonim. Bucket yang dibuat sejak April 2023 memblokir semua akses publik secara default, kecuali jika Anda mengubah pengaturan ini. Kami menyarankan Anda mengatur bucket untuk memblokir akses publik, dan Anda hanya memberikan akses ke pengguna yang diautentikasi. Untuk informasi lebih lanjut tentang pemblokiran akses publik, lihat Melakukan blok akses publik ke penyimpanan Amazon S3 Anda.
Layanan AWS
Pemilik sumber daya dapat memberikan akses AWS layanan lain ke sumber daya Amazon S3. Misalnya, Anda dapat memberikan s3:PutObject izin AWS CloudTrail layanan untuk menulis file log ke bucket Anda. Untuk informasi selengkapnya, lihat Menyediakan akses ke AWS layanan.
Identitas direktori perusahaan
Pemilik sumber daya dapat memberikan pengguna atau peran dari direktori perusahaan Anda akses ke sumber daya S3 dengan menggunakan S3 Access Grants. Untuk informasi selengkapnya tentang menambahkan direktori perusahaan Anda AWS IAM Identity Center, lihat Apa itu Pusat Identitas IAM? .
Pemilik ember atau sumber daya
Akun AWS Yang Anda gunakan untuk membuat bucket dan mengunggah objek memiliki sumber daya tersebut. Pemilik bucket dapat memberikan izin lintas akun kepada orang lain Akun AWS (atau pengguna di akun lain) untuk mengunggah objek.
Ketika pemilik bucket mengizinkan akun lain untuk mengunggah objek ke bucket, pemilik bucket, secara default, memiliki semua objek yang diunggah ke bucket mereka. Namun, jika pengaturan bucket yang dipaksakan oleh pemilik Bucket dan pemilik Bucket dinonaktifkan, Akun AWS yang mengunggah objek memiliki objek tersebut, dan pemilik bucket tidak memiliki izin pada objek yang dimiliki oleh akun lain, dengan pengecualian berikut:
-
Pemilik bucket membayar tagihan. Pemilik bucket dapat menolak akses ke objek apa pun, atau menghapus objek apa pun di dalam bucket, tanpa memandang siapa yang memilikinya.
-
Pemilik bucket dapat mengarsipkan objek apa pun atau mengembalikan objek yang diarsipkan, terlepas dari siapa yang memilikinya. Pengarsipan mengacu pada kelas penyimpanan yang digunakan untuk menyimpan objek. Untuk informasi selengkapnya, lihat Mengelola siklus hidup penyimpanan Anda.
Alat manajemen akses
Amazon S3 menyediakan beragam fitur dan alat keamanan. Berikut ini adalah daftar lengkap fitur dan alat ini. Anda tidak memerlukan semua alat manajemen akses ini, tetapi Anda harus menggunakan satu atau lebih untuk memberikan akses ke sumber daya Amazon S3 Anda. Aplikasi yang tepat dari alat-alat ini dapat membantu memastikan bahwa sumber daya Anda hanya dapat diakses oleh pengguna yang dituju.
Alat manajemen akses yang paling umum digunakan adalah kebijakan akses. Kebijakan akses dapat berupa kebijakan berbasis sumber daya yang dilampirkan ke AWS sumber daya, seperti kebijakan bucket untuk bucket. Kebijakan akses juga dapat berupa kebijakan berbasis identitas yang dilampirkan pada identitas AWS Identity and Access Management (IAM), seperti pengguna, grup, atau peran IAM. Tulis kebijakan akses untuk memberikan Akun AWS izin kepada pengguna, grup, dan peran IAM untuk melakukan operasi pada sumber daya. Misalnya, Anda dapat memberikan PUT Object izin kepada yang lain Akun AWS sehingga akun lain dapat mengunggah objek ke bucket Anda.
Kebijakan akses menjelaskan siapa yang memiliki akses ke hal-hal apa. Saat Amazon S3 menerima permintaan, Amazon S3 harus mengevaluasi semua kebijakan akses untuk menentukan apakah akan mengotorisasi atau menolak permintaan tersebut. Untuk informasi lebih lanjut tentang cara Amazon S3 mengevaluasi kebijakan ini, lihat Bagaimana Amazon S3 Mengotorisasi Permintaan.
Berikut ini adalah alat manajemen akses yang tersedia di Amazon S3.
Kebijakan bucket Amazon S3 adalah kebijakan berbasis sumber daya berformat JSON AWS Identity and Access Management (IAM) yang dilampirkan ke bucket tertentu. Gunakan kebijakan bucket untuk memberikan izin identitas lain Akun AWS atau IAM untuk bucket dan objek di dalamnya. Banyak kasus penggunaan manajemen akses S3 dapat dipenuhi dengan menggunakan kebijakan bucket. Dengan kebijakan bucket, Anda dapat mempersonalisasi akses bucket untuk membantu memastikan bahwa hanya identitas yang telah Anda setujui yang dapat mengakses sumber daya dan melakukan tindakan di dalamnya. Untuk informasi selengkapnya, lihat Kebijakan bucket untuk Amazon S3.
Berikut ini adalah contoh kebijakan bucket. Anda mengekspresikan kebijakan bucket dengan menggunakan file JSON. Kebijakan contoh ini memberikan izin baca peran IAM ke semua objek di bucket. Ini berisi satu pernyataan bernamaBucketLevelReadPermissions, yang memungkinkan s3:GetObject tindakan (izin baca) pada objek dalam ember bernamaDOC-EXAMPLE-BUCKET1. Dengan menetapkan peran IAM sebagaiPrincipal, kebijakan ini memberikan akses ke setiap pengguna IAM dengan peran ini. Untuk menggunakan kebijakan contoh ini, ganti user
input placeholders
{ "Version":"2012-10-17", "Statement": [ { "Sid":"BucketLevelReadPermissions", "Effect":"Allow", "Principal": { "AWS": "arn:aws:iam::123456789101:role/s3-role" }, "Action":["s3:GetObject"], "Resource":["arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*"] }] }
catatan
Saat membuat kebijakan, hindari penggunaan karakter wildcard (*) di elemen Principal karena penggunaan karakter wildcard memungkinkan siapa pun mengakses sumber daya Amazon S3 Anda. Sebagai gantinya, secara eksplisit mencantumkan pengguna atau grup yang diizinkan mengakses bucket, atau mencantumkan kondisi yang harus dipenuhi dengan menggunakan klausa kondisi dalam kebijakan. Selain itu, daripada menyertakan karakter wildcard untuk tindakan pengguna atau grup Anda, berikan mereka izin khusus jika berlaku.
Kebijakan pengguna berbasis identitas atau IAM adalah jenis kebijakan AWS Identity and Access Management (IAM). Kebijakan berbasis identitas adalah kebijakan berformat JSON yang dilampirkan ke pengguna, grup, atau peran IAM di akun Anda. AWS Anda dapat menggunakan kebijakan berbasis identitas untuk memberikan akses identitas IAM ke bucket atau objek Anda. Anda dapat membuat pengguna, grup, dan peran IAM di akun Anda dan melampirkan kebijakan akses kepada mereka. Anda kemudian dapat memberikan akses ke AWS sumber daya, termasuk sumber daya Amazon S3. Untuk informasi selengkapnya, lihat Kebijakan berbasis identitas untuk Amazon S3.
Berikut ini adalah contoh kebijakan berbasis identitas. Kebijakan contoh memungkinkan peran IAM terkait untuk melakukan enam tindakan (izin) Amazon S3 yang berbeda pada bucket dan objek di dalamnya. Jika Anda melampirkan kebijakan ini ke peran IAM di akun Anda dan menetapkan peran tersebut ke beberapa pengguna IAM Anda, pengguna dengan peran ini akan dapat melakukan tindakan ini pada sumber daya (bucket) yang ditentukan dalam kebijakan Anda. Untuk menggunakan kebijakan contoh ini, ganti user input placeholders
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AssignARoleActions", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:ListBucket", "s3:DeleteObject", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*", "arn:aws:s3:::DOC-EXAMPLE-BUCKET1" ] }, { "Sid": "AssignARoleActions2", "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": "*" } ] }
Gunakan Hibah Akses S3 untuk membuat hibah akses ke data Amazon S3 Anda untuk kedua identitas di direktori identitas perusahaan, sepertiActive Directory, dan identitas (IAM). AWS Identity and Access Management S3 Access Grants membantu Anda mengelola izin data dalam skala besar. Selain itu, S3 Access Grants mencatat identitas pengguna akhir dan aplikasi yang digunakan untuk mengakses data S3 di. AWS CloudTrail Ini memberikan riwayat audit terperinci hingga identitas pengguna akhir untuk semua akses ke data di bucket S3 Anda. Untuk informasi selengkapnya, lihat Mengelola akses dengan S3 Access Grants.
Titik Akses Amazon S3 menyederhanakan pengelolaan akses data dalam skala besar untuk aplikasi yang menggunakan kumpulan data bersama di S3. Access Points diberi nama endpoint jaringan yang dilampirkan ke bucket. Anda dapat menggunakan titik akses untuk melakukan operasi objek S3 dalam skala besar, seperti mengunggah dan mengambil objek. Bucket dapat memiliki hingga 10.000 titik akses yang terpasang, dan untuk setiap titik akses, Anda dapat menerapkan izin dan kontrol jaringan yang berbeda untuk memberi Anda kontrol terperinci atas akses ke objek S3 Anda. Poin Akses S3 dapat dikaitkan dengan bucket di akun yang sama atau di akun tepercaya lainnya. Kebijakan Access Points adalah kebijakan berbasis sumber daya yang dievaluasi bersama dengan kebijakan bucket yang mendasarinya. Untuk informasi selengkapnya, lihat Mengelola akses data dengan titik akses Amazon S3.
ACL adalah daftar hibah yang mengidentifikasi penerima hibah dan izin yang diberikan. ACL memberikan izin baca atau tulis dasar kepada yang lain. Akun AWS ACL menggunakan skema XML kustom Amazon S3. ACL adalah jenis kebijakan AWS Identity and Access Management (IAM). Objek ACL digunakan untuk mengelola akses ke objek, dan bucket ACL digunakan untuk mengelola akses ke bucket. Dengan kebijakan bucket, ada satu kebijakan untuk seluruh bucket, tetapi ACL objek ditentukan untuk setiap objek. Kami menyarankan agar Anda mematikan ACL, kecuali dalam keadaan yang tidak biasa di mana Anda harus mengontrol akses secara individual untuk setiap objek. Untuk informasi selengkapnya tentang penggunaan ACL, lihat Mengontrol kepemilikan objek dan menonaktifkan ACL untuk bucket Anda.
Awas
Mayoritas kasus penggunaan modern di Amazon S3 tidak memerlukan penggunaan ACL.
Berikut ini adalah contoh bucket ACL. Hibah di ACL menunjukkan pemilik bucket yang memiliki izin kontrol penuh.
<?xml version="1.0" encoding="UTF-8"?> <AccessControlPolicy xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> <Owner> <ID>Owner-Canonical-User-ID</ID> <DisplayName>owner-display-name</DisplayName> </Owner> <AccessControlList> <Grant> <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="Canonical User"> <ID>Owner-Canonical-User-ID</ID> <DisplayName>display-name</DisplayName> </Grantee> <Permission>FULL_CONTROL</Permission> </Grant> </AccessControlList> </AccessControlPolicy>
Untuk mengelola akses ke objek Anda, Anda harus menjadi pemilik objek. Anda dapat menggunakan setelan tingkat ember Kepemilikan Objek untuk mengontrol kepemilikan objek yang diunggah ke bucket. Juga, gunakan Object Ownership untuk mengaktifkan ACL. Secara default, Kepemilikan Objek disetel ke setelan diberlakukan pemilik Bucket dan semua ACL dimatikan. Saat ACL dimatikan, pemilik bucket memiliki semua objek di bucket dan secara eksklusif mengelola akses ke data. Untuk mengelola akses, pemilik bucket menggunakan kebijakan atau alat manajemen akses lainnya, tidak termasuk ACL. Untuk informasi selengkapnya, lihat Mengontrol kepemilikan objek dan menonaktifkan ACL untuk bucket Anda.
Object Ownership memiliki tiga pengaturan yang dapat Anda gunakan untuk mengontrol kepemilikan objek yang diunggah ke bucket dan mengaktifkan ACL:
ACL dimatikan
-
Pemilik bucket diberlakukan (default) — ACL dimatikan, dan pemilik bucket secara otomatis memiliki dan memiliki kontrol penuh atas setiap objek di bucket. ACL tidak memengaruhi izin ke data di bucket S3. Bucket menggunakan kebijakan secara eksklusif untuk menentukan kontrol akses.
ACL dihidupkan
-
Pemilik bucket yang dipilih—Pemilik bucket memiliki dan diberikan kendali penuh atas objek baru yang ditulis akun lain ke bucket dengan ACL
bucket-owner-full-controlyang dibatasi. -
Penulis objek — Akun AWS Yang mengunggah objek memiliki objek, memiliki kontrol penuh atasnya, dan dapat memberikan pengguna lain akses ke sana melalui ACL.
Praktik terbaik tambahan
Pertimbangkan untuk menggunakan pengaturan dan alat bucket berikut untuk membantu melindungi data saat transit dan saat istirahat, keduanya sangat penting dalam menjaga integritas dan aksesibilitas data Anda:
Blokir Akses Publik - Jangan matikan pengaturan tingkat ember default Blokir Akses Publik. Pengaturan ini memblokir akses publik ke data Anda secara default. Untuk informasi lebih lanjut tentang pemblokiran akses publik, lihat Melakukan blok akses publik ke penyimpanan Amazon S3 Anda.
Pembuatan Versi S3 — Untuk integritas data, Anda dapat menerapkan setelan bucket S3 Versioning, yang membuat versi objek Anda saat Anda melakukan pembaruan, alih-alih menimpa mereka. Anda dapat menggunakan S3 Versioning untuk mempertahankan, mengambil, dan memulihkan versi sebelumnya, jika diperlukan. Untuk informasi tentang Penentuan Versi S3, lihat Menggunakan Penentuan Versi dalam bucket S3.
S3 Object Lock - S3 Object Lock adalah pengaturan lain yang dapat Anda terapkan untuk mencapai integritas data. Fitur ini dapat mengimplementasikan model write-once-read-many (WORM) untuk menyimpan objek secara abadi. Untuk informasi tentang Kunci Objek, lihat Menggunakan Kunci Objek S3.
Enkripsi objek — Amazon S3 menawarkan beberapa opsi enkripsi objek yang melindungi data saat transit dan saat istirahat. Enkripsi sisi server mengenkripsi objek Anda sebelum menyimpannya di disk di pusat datanya dan kemudian mendekripsi saat Anda mengunduh objek. Jika Anda mengautentikasi permintaan Anda dan Anda memiliki izin akses, tidak ada perbedaan dalam cara Anda mengakses objek terenkripsi atau tidak terenkripsi. Untuk informasi selengkapnya, lihat Melindungi data dengan enkripsi di sisi klien. S3 mengenkripsi objek yang baru diunggah secara default. Untuk informasi selengkapnya, lihat Mengatur perilaku enkripsi di sisi server default untuk bucket Amazon S3. Enkripsi sisi klien adalah tindakan mengenkripsi data sebelum mengirimkannya ke Amazon S3. Untuk informasi selengkapnya, lihat Melindungi data menggunakan enkripsi di sisi klien.
Metode penandatanganan — Signature Version 4 adalah proses menambahkan informasi otentikasi ke AWS permintaan yang dikirim oleh HTTP. Untuk keamanan, sebagian besar permintaan AWS harus ditandatangani dengan kunci akses, yang terdiri dari ID kunci akses dan kunci akses rahasia. Kedua kunci ini umumnya disebut sebagai kredensial keamanan Anda. Untuk informasi selengkapnya, lihat Permintaan Autentikasi (Tanda Tangan AWS Versi 4) dan Proses penandatanganan Tanda Tangan Versi 4.
Tindakan
Untuk daftar lengkap izin dan kunci kondisi S3, lihat Kunci tindakan, sumber daya, dan kondisi untuk Amazon S3 di Referensi Otorisasi Layanan.
Tindakan
Tindakan AWS Identity and Access Management (IAM) untuk Amazon S3 adalah kemungkinan tindakan yang dapat dilakukan pada bucket atau objek S3. Anda memberikan tindakan ini ke identitas sehingga mereka dapat bertindak berdasarkan sumber daya S3 Anda. Contoh tindakan S3 adalah s3:GetObject membaca objek dalam ember, dan s3:PutObject menulis objek ke ember.
Kunci syarat
Selain tindakan, kunci kondisi IAM dibatasi untuk memberikan akses hanya ketika suatu kondisi terpenuhi. Kunci kondisi bersifat opsional.
catatan
Dalam kebijakan akses berbasis sumber daya, seperti kebijakan bucket, atau dalam kebijakan berbasis identitas, Anda dapat menentukan hal berikut:
Tindakan atau serangkaian tindakan dalam
Actionelemen pernyataan kebijakan.Dalam
Effectelemen pernyataan kebijakan, Anda dapat menentukanAllowuntuk memberikan tindakan yang tercantum, atau Anda dapat menentukanDenyuntuk memblokir tindakan yang tercantum. Untuk lebih mempertahankan praktik hak istimewa terkecil,Denypernyataan dalamEffectelemen kebijakan akses harus seluas mungkin, danAllowpernyataan harus sesempit mungkin.Denyefek yang dipasangkan dengans3:*tindakan adalah cara lain yang baik untuk menerapkan praktik terbaik opt-in untuk identitas yang termasuk dalam pernyataan kondisi kebijakan.Kunci kondisi dalam
Conditionelemen pernyataan kebijakan.
Kasus penggunaan manajemen akses
Amazon S3 menyediakan pemilik sumber daya dengan berbagai alat untuk memberikan akses. Alat manajemen akses S3 yang Anda gunakan bergantung pada sumber daya S3 yang ingin Anda bagikan, identitas yang Anda berikan akses, dan tindakan yang ingin Anda izinkan atau tolak. Anda mungkin ingin menggunakan satu atau kombinasi alat manajemen akses S3 untuk mengelola akses ke sumber daya S3 Anda.
Dalam kebanyakan kasus, Anda dapat menggunakan kebijakan akses untuk mengelola izin. Kebijakan akses dapat berupa kebijakan berbasis sumber daya, yang dilampirkan ke sumber daya, seperti bucket, atau sumber daya Amazon S3 lainnya (). Sumber daya S3 Kebijakan akses juga dapat berupa kebijakan berbasis identitas, yang dilampirkan ke pengguna, grup, atau peran AWS Identity and Access Management (IAM) di akun Anda. Anda mungkin menemukan bahwa kebijakan bucket berfungsi lebih baik untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat Kebijakan bucket untuk Amazon S3. Atau, dengan AWS Identity and Access Management (IAM), Anda dapat membuat pengguna, grup, dan peran IAM dalam diri Anda Akun AWS dan mengelola akses mereka ke bucket dan objek melalui kebijakan berbasis identitas. Untuk informasi selengkapnya, lihat Kebijakan berbasis identitas untuk Amazon S3.
Untuk membantu Anda menavigasi opsi manajemen akses ini, berikut ini adalah kasus penggunaan pelanggan Amazon S3 yang umum dan rekomendasi untuk masing-masing alat manajemen akses S3.
Semua alat manajemen akses dapat memenuhi kasus penggunaan dasar ini. Kami merekomendasikan alat manajemen akses berikut untuk kasus penggunaan ini:
Kebijakan bucket — Jika Anda ingin memberikan akses ke satu bucket atau sejumlah kecil bucket, atau jika izin akses bucket Anda serupa dari bucket ke bucket, gunakan kebijakan bucket. Dengan kebijakan bucket, Anda mengelola satu kebijakan untuk setiap bucket. Untuk informasi selengkapnya, lihat Kebijakan bucket untuk Amazon S3.
Kebijakan berbasis identitas — Jika Anda memiliki jumlah bucket yang sangat besar dengan izin akses berbeda untuk setiap bucket, dan hanya beberapa peran pengguna yang harus dikelola, Anda dapat menggunakan kebijakan IAM untuk pengguna, grup, atau peran. Kebijakan IAM juga merupakan pilihan yang baik jika Anda mengelola akses pengguna ke AWS sumber daya lain, serta sumber daya Amazon S3. Untuk informasi selengkapnya, lihat Contoh 1: Pemilik bucket yang memberikan izin bucket kepada penggunanya.
Hibah Akses S3 — Anda dapat menggunakan Hibah Akses S3 untuk memberikan akses ke bucket, awalan, atau objek S3 Anda. S3 Access Grants memungkinkan Anda menentukan berbagai izin tingkat objek dalam skala besar; sedangkan, kebijakan bucket dibatasi hingga 20 KB. Untuk informasi selengkapnya, lihat Memulai S3 Access Grants.
Access Points — Anda dapat menggunakan Access Points, yang diberi nama endpoint jaringan yang dilampirkan ke bucket. Bucket dapat memiliki hingga 10.000 titik akses yang terpasang, dan untuk setiap titik akses, Anda dapat menerapkan izin dan kontrol jaringan yang berbeda untuk memberi Anda kontrol terperinci atas akses ke objek S3 Anda. Untuk informasi selengkapnya, lihat Mengelola akses data dengan titik akses Amazon S3.
Untuk memberikan izin kepada orang lain Akun AWS, Anda harus menggunakan kebijakan bucket atau salah satu alat manajemen akses yang disarankan berikut ini. Anda tidak dapat menggunakan kebijakan akses berbasis identitas untuk kasus penggunaan ini. Untuk informasi selengkapnya tentang pemberian akses lintas akun, lihat Bagaimana cara menyediakan akses lintas akun ke objek yang ada di bucket Amazon S3?
Kami merekomendasikan alat manajemen akses berikut untuk kasus penggunaan ini:
Kebijakan bucket — Dengan kebijakan bucket, Anda mengelola satu kebijakan untuk setiap bucket. Untuk informasi selengkapnya, lihat Kebijakan bucket untuk Amazon S3.
Hibah Akses S3 — Anda dapat menggunakan Hibah Akses S3 untuk memberikan izin lintas akun ke bucket, awalan, atau objek S3 Anda. Anda dapat menggunakan S3 Access Grants untuk menentukan berbagai izin tingkat objek pada skala; sedangkan, kebijakan bucket dibatasi hingga 20 KB dalam ukuran. Untuk informasi selengkapnya, lihat Memulai S3 Access Grants.
Access Points — Anda dapat menggunakan Access Points, yang diberi nama endpoint jaringan yang dilampirkan ke bucket. Bucket dapat memiliki hingga 10.000 titik akses yang terpasang, dan untuk setiap titik akses, Anda dapat menerapkan izin dan kontrol jaringan yang berbeda untuk memberi Anda kontrol terperinci atas akses ke objek S3 Anda. Untuk informasi selengkapnya, lihat Mengelola akses data dengan titik akses Amazon S3.
Dalam kebijakan bucket, misalnya, Anda dapat memberikan akses ke objek dalam bucket yang membagikan awalan nama kunci tertentu atau memiliki tag tertentu. Anda dapat memberikan izin baca pada objek yang dimulai dengan awalan logs/ nama kunci. Namun, jika izin akses Anda bervariasi menurut objek, pemberian izin ke objek individual dengan menggunakan kebijakan bucket mungkin tidak praktis, terutama karena kebijakan bucket dibatasi hingga 20 KB.
Kami merekomendasikan alat manajemen akses berikut untuk kasus penggunaan ini:
Hibah Akses S3 - Anda dapat menggunakan Hibah Akses S3 untuk mengelola izin tingkat objek atau tingkat awalan. Tidak seperti kebijakan bucket, Anda dapat menggunakan S3 Access Grants untuk menentukan berbagai izin tingkat objek dalam skala besar. Kebijakan bucket dibatasi hingga ukuran 20 KB. Untuk informasi selengkapnya, lihat Memulai S3 Access Grants.
Access Points — Anda dapat menggunakan titik akses untuk mengelola izin tingkat objek atau tingkat awalan. Access Points diberi nama endpoint jaringan yang dilampirkan ke bucket. Bucket dapat memiliki hingga 10.000 titik akses yang terpasang, dan untuk setiap titik akses, Anda dapat menerapkan izin dan kontrol jaringan yang berbeda untuk memberi Anda kontrol terperinci atas akses ke objek S3 Anda. Untuk informasi selengkapnya, lihat Mengelola akses data dengan titik akses Amazon S3.
ACL — Kami tidak menyarankan menggunakan Access Control Lists (ACL), terutama karena ACL dibatasi hingga 100 hibah per objek. Namun, jika Anda memilih untuk mengaktifkan ACL, di Pengaturan Bucket, setel Kepemilikan Objek ke pilihan pemilik Bucket dan ACL diaktifkan. Dengan pengaturan ini, objek baru yang ditulis dengan ACL terekam
bucket-owner-full-controlsecara otomatis dimiliki oleh pemilik bucket daripada penulis objek. Anda kemudian dapat menggunakan ACL objek, yang merupakan kebijakan akses berformat XML, untuk memberikan pengguna lain akses ke objek. Untuk informasi selengkapnya, lihat Gambaran umum daftar kontrol akses (ACL).
Kami merekomendasikan alat manajemen akses berikut untuk kasus penggunaan ini:
Kebijakan bucket — Dengan kebijakan bucket, Anda mengelola satu kebijakan untuk setiap bucket. Untuk informasi selengkapnya, lihat Kebijakan bucket untuk Amazon S3.
Access Points — Access Points diberi nama endpoint jaringan yang dilampirkan ke bucket. Bucket dapat memiliki hingga 10.000 titik akses yang terpasang, dan untuk setiap titik akses, Anda dapat menerapkan izin dan kontrol jaringan yang berbeda untuk memberi Anda kontrol terperinci atas akses ke objek S3 Anda. Untuk informasi selengkapnya, lihat Mengelola akses data dengan titik akses Amazon S3.
Kami merekomendasikan alat manajemen akses berikut untuk kasus penggunaan ini:
Access Points — Access Points diberi nama endpoint jaringan yang dilampirkan ke bucket. Bucket dapat memiliki hingga 10.000 titik akses yang terpasang, dan untuk setiap titik akses, Anda dapat menerapkan izin dan kontrol jaringan yang berbeda untuk memberi Anda kontrol terperinci atas akses ke objek S3 Anda. Setiap titik akses memberlakukan kebijakan titik akses khusus yang bekerja bersama kebijakan bucket yang melekat pada bucket dasar. Untuk informasi selengkapnya, lihat Mengelola akses data dengan titik akses Amazon S3.
Titik akhir Virtual Private Cloud (VPC) untuk Amazon S3 adalah entitas logis dalam VPC yang memungkinkan konektivitas hanya ke S3. Kami merekomendasikan alat manajemen akses berikut untuk kasus penggunaan ini:
Bucket dalam pengaturan VPC — Anda dapat menggunakan kebijakan bucket untuk mengontrol siapa yang diizinkan mengakses bucket Anda dan titik akhir VPC mana yang dapat mereka akses. Untuk informasi selengkapnya, lihat Megendalikan akses dari titik akhir VPC dengan kebijakan bucket.
Access Points — Jika Anda memilih untuk mengatur jalur akses, Anda dapat menggunakan kebijakan titik akses. Anda dapat mengonfigurasi titik akses apa pun untuk menerima permintaan hanya dari cloud privat virtual (VPC) untuk membatasi akses data Amazon S3 ke jaringan pribadi. Anda juga dapat mengonfigurasi pengaturan blok akses publik khusus untuk setiap titik akses. Untuk informasi selengkapnya, lihat Mengelola akses data dengan titik akses Amazon S3.
Dengan S3, Anda dapat meng-host situs web statis dan memungkinkan siapa saja untuk melihat konten situs web, yang di-host dari ember S3.
Kami merekomendasikan alat manajemen akses berikut untuk kasus penggunaan ini:
Amazon CloudFront - Solusi ini memungkinkan Anda untuk meng-host situs web statis Amazon S3 ke publik sambil juga terus memblokir semua akses publik ke konten bucket. Jika Anda ingin mengaktifkan keempat pengaturan Akses Publik Blok S3 dan meng-host situs web statis S3, Anda dapat menggunakan Amazon CloudFront Origin Access Control (OAC). Amazon CloudFront menyediakan kemampuan yang diperlukan untuk menyiapkan situs web statis yang aman. Selain itu, situs web statis Amazon S3 yang tidak menggunakan solusi ini hanya dapat mendukung titik akhir HTTP. CloudFront menggunakan penyimpanan Amazon S3 yang tahan lama sambil menyediakan header keamanan tambahan, seperti HTTPS. HTTPS menambahkan keamanan dengan mengenkripsi permintaan HTTP normal, dan melindungi dari serangan siber umum.
Untuk informasi selengkapnya, lihat Memulai situs web statis aman di Panduan CloudFront Pengembang Amazon.
Membuat bucket Amazon S3 Anda dapat diakses publik — Anda dapat mengonfigurasi bucket untuk digunakan sebagai situs web statis yang diakses publik.
Awas
Kami tidak merekomendasikan metode ini. Sebagai gantinya, kami sarankan Anda menggunakan situs web statis Amazon S3 sebagai bagian dari Amazon. CloudFront Untuk informasi selengkapnya, lihat opsi sebelumnya, atau lihat Memulai situs web statis yang aman.
Untuk membuat situs web statis Amazon S3, tanpa Amazon CloudFront, pertama, Anda harus mematikan semua pengaturan Blokir Akses Publik. Saat menulis kebijakan bucket untuk situs web statis, pastikan Anda hanya mengizinkan tindakan
s3:GetObject, bukan izinListObjectatauPutObject. Ini membantu memastikan bahwa pengguna tidak dapat melihat semua objek di bucket Anda atau menambahkan konten mereka sendiri. Untuk informasi selengkapnya, lihat Mengatur izin untuk akses situs web.
Saat membuat bucket Amazon S3 baru, pengaturan Blokir Akses Publik diaktifkan secara default. Untuk informasi lebih lanjut tentang pemblokiran akses publik, lihat Melakukan blok akses publik ke penyimpanan Amazon S3 Anda.
Kami tidak menyarankan mengizinkan akses publik ke bucket Anda. Namun, jika Anda harus melakukannya untuk kasus penggunaan tertentu, kami merekomendasikan alat manajemen akses berikut untuk kasus penggunaan ini:
Nonaktifkan pengaturan Blokir Akses Publik — Pemilik bucket dapat mengizinkan permintaan yang tidak diautentikasi ke bucket. Misalnya, permintaan Objek PUT yang tidak diautentikasi diizinkan saat bucket memiliki kebijakan bucket publik, atau saat bucket ACL memberikan akses publik. Semua permintaan yang tidak diautentikasi dibuat oleh pengguna sewenang-wenang lainnya, atau bahkan AWS pengguna anonim yang tidak diautentikasi. Pengguna ini diwakili dalam ACL oleh
65a011a29cdf8ec533ec3d1ccaae921cID pengguna kanonik tertentu. Jika objek diunggah keWRITEatauFULL_CONTROL, maka ini secara khusus memberikan akses ke grup Semua Pengguna atau pengguna anonim. Untuk informasi lebih lanjut tentang kebijakan bucket publik dan daftar kontrol akses (ACL) publik, lihat Arti “publik”.
Kebijakan bucket dan kebijakan berbasis identitas memiliki batas ukuran 20 KB. Jika persyaratan izin akses Anda rumit, Anda mungkin melebihi batas ukuran ini.
Kami merekomendasikan alat manajemen akses berikut untuk kasus penggunaan ini:
Access Points — Gunakan titik akses jika ini berfungsi dengan kasus penggunaan Anda. Dengan titik akses, setiap bucket memiliki beberapa titik akhir jaringan bernama, masing-masing dengan kebijakan jalur aksesnya sendiri yang sesuai dengan kebijakan bucket yang mendasarinya. Namun, titik akses hanya dapat bertindak pada objek, bukan ember, dan tidak mendukung replikasi lintas wilayah. Untuk informasi selengkapnya, lihat Mengelola akses data dengan titik akses Amazon S3.
Hibah Akses S3 — Gunakan Hibah Akses S3, yang mendukung sejumlah besar hibah yang memberikan akses ke bucket, awalan, atau objek. Untuk informasi selengkapnya, lihat Memulai S3 Access Grants.
Alih-alih mengelola pengguna, grup, dan peran melalui AWS Identity and Access Management (IAM), Anda dapat menambahkan direktori perusahaan Anda. AWS IAM Identity Center Untuk informasi lebih lanjut, lihat Apa itu Pusat Identitas IAM? .
Setelah Anda menambahkan direktori perusahaan Anda AWS IAM Identity Center, kami sarankan Anda menggunakan alat manajemen akses berikut untuk memberikan identitas direktori perusahaan akses ke sumber daya S3 Anda:
Hibah Akses S3 — Gunakan Hibah Akses S3, yang mendukung pemberian akses ke pengguna atau peran di direktori perusahaan Anda. Untuk informasi selengkapnya, lihat Memulai S3 Access Grants.
Kami merekomendasikan alat manajemen akses berikut untuk kasus penggunaan ini:
Bucket ACL — Satu-satunya kasus penggunaan yang disarankan untuk ACL bucket adalah memberikan izin kepada tertentu Layanan AWS, seperti akun Amazon. CloudFront
awslogsdeliverySaat Anda membuat atau memperbarui distribusi dan mengaktifkan CloudFront logging, CloudFront perbarui bucket ACL untuk memberikanFULL_CONTROLizinawslogsdeliveryakun untuk menulis log ke bucket Anda. Untuk informasi selengkapnya, lihat Izin yang diperlukan untuk mengonfigurasi pencatatan standar dan mengakses file log Anda di Panduan CloudFront Pengembang Amazon. Jika bucket yang menyimpan log menggunakan pengaturan yang diberlakukan pemilik Bucket untuk Kepemilikan Objek S3 untuk mematikan ACL, CloudFront tidak dapat menulis log ke bucket. Untuk informasi selengkapnya, lihat Mengontrol kepemilikan objek dan menonaktifkan ACL untuk bucket Anda.
Anda dapat memberikan akses akun lain untuk mengunggah objek ke bucket menggunakan kebijakan bucket, titik akses, atau S3 Access Grants. Jika Anda telah memberikan akses lintas akun ke bucket Anda, Anda dapat memastikan bahwa objek apa pun yang diunggah ke bucket Anda tetap berada di bawah kendali penuh Anda.
Kami merekomendasikan alat manajemen akses berikut untuk kasus penggunaan ini:
Kepemilikan Objek - Pertahankan pengaturan tingkat ember Kepemilikan Objek pada pengaturan default pemilik Bucket yang diberlakukan.
Pemecahan masalah manajemen akses
Sumber daya berikut dapat membantu Anda memecahkan masalah apa pun dengan manajemen akses S3:
Pemecahan Masalah Kesalahan Akses Ditolak (403 Terlarang)
Jika Anda mengalami masalah penolakan akses, periksa pengaturan tingkat akun dan tingkat ember. Juga, periksa fitur manajemen akses yang Anda gunakan untuk memberikan akses untuk memastikan bahwa kebijakan, pengaturan, atau konfigurasi sudah benar. Untuk informasi selengkapnya tentang penyebab umum kesalahan Akses Ditolak (403 Terlarang) di Amazon S3, lihat. Pecahkan masalah kesalahan Akses Ditolak (403 Forbidden) di Amazon S3
Penganalisis Akses IAM untuk S3
Jika Anda tidak ingin membuat sumber daya Anda tersedia untuk umum, atau jika Anda ingin membatasi akses publik ke sumber daya Anda, Anda dapat menggunakan IAM Access Analyzer untuk S3. Di konsol Amazon S3, gunakan IAM Access Analyzer untuk S3 untuk meninjau semua bucket yang memiliki daftar kontrol akses bucket (ACL), kebijakan bucket, atau kebijakan titik akses yang memberikan akses publik atau bersama. IAM Access Analyzer for S3 memberi tahu Anda tentang bucket yang dikonfigurasi untuk memungkinkan akses ke siapa pun di internet atau lainnya Akun AWS, termasuk Akun AWS di luar organisasi Anda. Untuk setiap bucket publik atau bucket bersama, Anda akan menerima temuan yang melaporkan sumber dan tingkat akses publik atau akses bersama.
Di IAM Access Analyzer untuk S3, Anda dapat memblokir semua akses publik ke bucket dengan satu tindakan. Kami menyarankan Anda memblokir semua akses publik ke bucket Anda, kecuali Anda memerlukan akses publik untuk mendukung kasus penggunaan tertentu. Sebelum Anda memblokir semua akses publik, pastikan aplikasi Anda akan terus berfungsi dengan benar tanpa akses publik. Untuk informasi selengkapnya, lihat Melakukan blok akses publik ke penyimpanan Amazon S3 Anda.
Anda juga dapat meninjau pengaturan izin tingkat ember Anda untuk mengonfigurasi tingkat akses yang terperinci. Untuk kasus penggunaan tertentu dan terverifikasi yang memerlukan akses publik atau akses bersama, Anda dapat menyatakan dan mencatat maksud Anda untuk bucket agar tetap sebagai bucket dengan akses publik atau akses bersama dengan mengarsipkan temuan untuk bucket tersebut. Anda dapat mempertahankan dan memodifikasi konfigurasi bucket ini kapan saja. Anda juga dapat mengunduh temuan Anda dalam bentuk laporan CSV untuk keperluan audit.
IAM Access Analyzer untuk S3 tersedia tanpa biaya tambahan, yang berada di konsol Amazon S3. Penganalisis Akses IAM untuk S3 didukung oleh Penganalisis Akses IAM (IAM) AWS Identity and Access Management . Untuk menggunakan IAM Access Analyzer untuk S3 di konsol Amazon S3, Anda harus mengunjungi Konsol IAM dan membuat penganalisis tingkat akun di IAM
Untuk informasi selengkapnya tentang IAM Access Analyzer untuk Amazon S3, lihat Meninjau akses bucket menggunakan IAM Access Analyzer untuk S3.
Pencatatan dan pemantauan
Pemantauan adalah bagian penting dalam menjaga keandalan, ketersediaan, dan kinerja solusi Amazon S3 Anda sehingga Anda dapat lebih mudah men-debug kegagalan akses. Logging dapat memberikan wawasan tentang kesalahan yang diterima pengguna, dan kapan dan permintaan apa yang dibuat. AWS menyediakan beberapa alat untuk memantau sumber daya Amazon S3 Anda, seperti berikut ini:
-
AWS CloudTrail
-
Log Akses Amazon S3
-
AWS Trusted Advisor
-
Amazon CloudWatch
Untuk informasi selengkapnya, lihat Pencatatan log dan pemantauan di Amazon S3.
