Mengelola akses dengan S3 Access Grants

Untuk mematuhi prinsip hak akses paling rendah, Anda menentukan akses terperinci ke data Amazon S3 Anda berdasarkan aplikasi, persona, grup, atau unit organisasi. Anda dapat menggunakan berbagai pendekatan untuk mencapai akses terperinci ke data Anda di Amazon S3, tergantung pada skala dan kompleksitas pola akses.

Pendekatan paling sederhana untuk mengelola akses ke small-to-medium jumlah kumpulan data di Amazon S3 AWS Identity and Access Management by (IAM) prinsipal adalah dengan menentukan kebijakan izin IAM dan kebijakan bucket S3. Strategi ini berhasil, selama kebijakan yang diperlukan sesuai dengan batas ukuran kebijakan bucket S3 (20 KB) dan kebijakan IAM (5 KB), dan dalam jumlah pengguna utama IAM yang diizinkan per akun.

Karena jumlah set data dan kasus penggunaan Anda meningkat, Anda mungkin memerlukan lebih banyak ruang kebijakan. Pendekatan yang menawarkan lebih banyak ruang secara signifikan untuk pernyataan kebijakan adalah dengan menggunakan Titik Akses S3 sebagai titik akhir tambahan untuk bucket S3, karena setiap titik akses dapat memiliki kebijakannya sendiri. Anda dapat menentukan pola kontrol akses yang cukup terperinci, karena Anda dapat memiliki ribuan titik akses Wilayah AWS per akun, dengan kebijakan hingga 20 KB untuk setiap titik akses. Meskipun S3 Access Points meningkatkan jumlah ruang kebijakan yang tersedia, diperlukan mekanisme bagi klien untuk menemukan titik akses yang tepat untuk set data yang tepat.

Pendekatan ketiga adalah menerapkan pola broker sesi IAM, di mana Anda menerapkan logika keputusan akses dan secara dinamis menghasilkan kredensial sesi IAM jangka pendek untuk setiap sesi akses. Sementara pendekatan broker sesi IAM mendukung pola dan skala izin dinamis yang sewenang-wenang secara efektif, Anda harus membangun logika pola akses.

Alih-alih menggunakan pendekatan ini, Anda dapat menggunakan S3 Access Grants untuk mengelola akses ke data Amazon S3. S3 Access Grants menyediakan model yang disederhanakan untuk menentukan izin akses ke data di Amazon S3 berdasarkan prefiks, bucket, atau objek. Selain itu, Anda dapat menggunakan S3 Access Grants untuk memberikan akses ke kedua pengguna utama IAM dan langsung ke pengguna atau grup dari direktori perusahaan Anda.

Anda biasanya menentukan izin untuk data di Amazon S3 dengan memetakan pengguna dan grup ke set data. Anda dapat menggunakan S3 Access Grants untuk menentukan pemetaan akses langsung prefiks S3 ke pengguna dan peran dalam bucket dan objek Amazon S3. Dengan skema akses yang disederhanakan di S3 Access Grants, Anda dapat memberikan akses read-only, write-only, atau read-write berdasarkan prefiks per-S3 ke kedua pengguna utama IAM dan langsung ke pengguna atau grup dari direktori perusahaan. Dengan kemampuan S3 Access Grants ini, aplikasi dapat meminta data dari Amazon S3 atas nama pengguna aplikasi yang diautentikasi saat ini.

Saat Anda mengintegrasikan S3 Access Grants dengan fitur propagasi identitas tepercaya AWS IAM Identity Center, aplikasi Anda dapat mengajukan permintaan ke Layanan AWS (termasuk S3 Access Grants) secara langsung atas nama pengguna direktori perusahaan yang diautentikasi. Aplikasi Anda tidak perlu lagi memetakan pengguna terlebih dahulu ke pengguna utama IAM. Selain itu, karena identitas pengguna akhir disebarkan sampai ke Amazon S3, mengaudit pengguna mana yang mengakses S3 Object mana yang disederhanakan. Anda tidak perlu lagi merekonstruksi hubungan antara pengguna yang berbeda dan sesi IAM. Saat Anda menggunakan S3 Access Grants dengan propagasi identitas tepercaya IAM Identity Center, setiap AWS CloudTrailperistiwa data untuk Amazon S3 berisi referensi langsung ke pengguna akhir atas nama siapa data tersebut diakses.

Untuk informasi selengkapnya tentang S3 Access Grants, lihat topik-topik berikut.