memberikan izin untuk memublikasikan pesan pemberitahuan peristiwa ke tujuan - Amazon Simple Storage Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

memberikan izin untuk memublikasikan pesan pemberitahuan peristiwa ke tujuan

Anda harus memberikan izin yang diperlukan kepada prinsipal Amazon S3 untuk memanggil yang relevan untuk mempublikasikan pesan API ke SNS topik, SQS antrian, atau fungsi Lambda. Hal ini agar Amazon S3 dapat memublikasikan pesan pemberitahuan peristiwa ke tujuan.

Untuk memecahkan masalah memublikasikan pesan pemberitahuan peristiwa ke tujuan, lihat Memecahkan masalah untuk memublikasikan pemberitahuan peristiwa Amazon S3 ke topik Layanan Pemberitahuan Sederhana Amazon .

Memberikan izin untuk menjalankan fungsi AWS Lambda

Amazon S3 menerbitkan pesan peristiwa AWS Lambda dengan menjalankan fungsi Lambda dan menyediakan pesan acara sebagai argumen.

Saat Anda menggunakan konsol Amazon S3 untuk mengonfigurasi notifikasi peristiwa pada bucket Amazon S3 untuk fungsi Lambda, konsol menyiapkan izin yang diperlukan pada fungsi Lambda. Ini agar Amazon S3 memiliki izin untuk menginvokasi fungsi dari bucket. Untuk informasi selengkapnya, lihat Mengaktifkan dan mengonfigurasi notifikasi peristiwa menggunakan konsol Amazon S3.

Anda juga dapat memberikan izin Amazon S3 dari AWS Lambda untuk menjalankan fungsi Lambda Anda. Untuk informasi selengkapnya, lihat Tutorial: Menggunakan AWS Lambda Amazon S3 di Panduan AWS Lambda Pengembang.

Memberikan izin untuk mempublikasikan pesan ke SNS topik atau antrian SQS

Untuk memberikan izin Amazon S3 untuk memublikasikan pesan ke SNS topik atau SQS antrian, lampirkan kebijakan AWS Identity and Access Management (IAM) ke topik atau antrian tujuanSNS. SQS

Untuk contoh cara melampirkan kebijakan ke SNS topik atau SQS antrian, lihatWalkthrough: Mengonfigurasi bucket untuk notifikasi (SNStopik atau antrian) SQS. Untuk informasi lebih lanjut tentang izin, lihat topik berikut:

IAMkebijakan untuk SNS topik tujuan

Berikut ini adalah contoh kebijakan AWS Identity and Access Management (IAM) yang Anda lampirkan ke SNS topik tujuan. Untuk petunjuk tentang cara menggunakan kebijakan ini untuk menyiapkan SNS topik Amazon tujuan untuk pemberitahuan peristiwa, lihatWalkthrough: Mengonfigurasi bucket untuk notifikasi (SNStopik atau antrian) SQS.

{ "Version": "2012-10-17", "Id": "example-ID", "Statement": [ { "Sid": "Example SNS topic policy", "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": [ "SNS:Publish" ], "Resource": "SNS-topic-ARN", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:s3:*:*:amzn-s3-demo-bucket" }, "StringEquals": { "aws:SourceAccount": "bucket-owner-account-id" } } } ] }

IAMkebijakan untuk SQS antrian tujuan

Berikut ini adalah contoh IAM kebijakan yang Anda lampirkan ke SQS antrian tujuan. Untuk petunjuk tentang cara menggunakan kebijakan ini untuk menyiapkan SQS antrean Amazon tujuan untuk pemberitahuan peristiwa, lihatWalkthrough: Mengonfigurasi bucket untuk notifikasi (SNStopik atau antrian) SQS.

Untuk menggunakan kebijakan ini, Anda harus memperbarui SQS antrian AmazonARN, nama bucket, dan Akun AWS ID pemilik bucket.

{ "Version": "2012-10-17", "Id": "example-ID", "Statement": [ { "Sid": "example-statement-ID", "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": [ "SQS:SendMessage" ], "Resource": "arn:aws:sqs:Region:account-id:queue-name", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:s3:*:*:awsexamplebucket1" }, "StringEquals": { "aws:SourceAccount": "bucket-owner-account-id" } } } ] }

Untuk SQS IAM kebijakan Amazon SNS dan Amazon, Anda dapat menentukan StringLike kondisi dalam kebijakan, bukan ArnLike kondisi.

Ketika ArnLike digunakan, partisi, layanan, account-id, resource-type, dan sebagian resource-id bagian ARN harus memiliki pencocokan yang tepat dengan dalam konteks permintaan. ARN Hanya wilayah dan jalur sumber daya yang memungkinkan pencocokan sebagian.

Ketika StringLike digunakan sebagai penggantiArnLike, pencocokan mengabaikan ARN struktur dan memungkinkan pencocokan paral, terlepas dari bagian yang dikartu liar. Untuk informasi selengkapnya, lihat elemen IAM JSON kebijakan di Panduan IAM Pengguna.

"Condition": {        "StringLike": { "aws:SourceArn": "arn:aws:s3:*:*:amzn-s3-demo-bucket" } }

AWS KMS kebijakan kunci

Jika SQS antrian atau SNS topik dienkripsi dengan kunci yang dikelola pelanggan AWS Key Management Service (AWS KMS), Anda harus memberikan izin utama layanan Amazon S3 untuk bekerja dengan topik atau antrian terenkripsi. Untuk memberikan izin pengguna utama layanan Amazon S3, tambahkan pernyataan berikut ke kebijakan kunci untuk CMK.

{ "Version": "2012-10-17", "Id": "example-ID", "Statement": [ { "Sid": "example-statement-ID", "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*" } ] }

Untuk informasi selengkapnya tentang kebijakan AWS KMS utama, lihat Menggunakan kebijakan utama AWS KMS di Panduan AWS Key Management Service Pengembang.

Untuk informasi selengkapnya tentang penggunaan enkripsi sisi server untuk AWS KMS Amazon dan SQS AmazonSNS, lihat berikut ini: