Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
memberikan izin untuk memublikasikan pesan pemberitahuan peristiwa ke tujuan
Anda harus memberikan izin yang diperlukan kepada prinsipal Amazon S3 untuk memanggil yang relevan untuk mempublikasikan pesan API ke SNS topik, SQS antrian, atau fungsi Lambda. Hal ini agar Amazon S3 dapat memublikasikan pesan pemberitahuan peristiwa ke tujuan.
Untuk memecahkan masalah memublikasikan pesan pemberitahuan peristiwa ke tujuan, lihat Memecahkan masalah untuk memublikasikan pemberitahuan peristiwa Amazon S3 ke topik Layanan Pemberitahuan Sederhana Amazon
Topik
Memberikan izin untuk menjalankan fungsi AWS Lambda
Amazon S3 menerbitkan pesan peristiwa AWS Lambda dengan menjalankan fungsi Lambda dan menyediakan pesan acara sebagai argumen.
Saat Anda menggunakan konsol Amazon S3 untuk mengonfigurasi notifikasi peristiwa pada bucket Amazon S3 untuk fungsi Lambda, konsol menyiapkan izin yang diperlukan pada fungsi Lambda. Ini agar Amazon S3 memiliki izin untuk menginvokasi fungsi dari bucket. Untuk informasi selengkapnya, lihat Mengaktifkan dan mengonfigurasi notifikasi peristiwa menggunakan konsol Amazon S3.
Anda juga dapat memberikan izin Amazon S3 dari AWS Lambda untuk menjalankan fungsi Lambda Anda. Untuk informasi selengkapnya, lihat Tutorial: Menggunakan AWS Lambda Amazon S3 di Panduan AWS Lambda Pengembang.
Memberikan izin untuk mempublikasikan pesan ke SNS topik atau antrian SQS
Untuk memberikan izin Amazon S3 untuk memublikasikan pesan ke SNS topik atau SQS antrian, lampirkan kebijakan AWS Identity and Access Management (IAM) ke topik atau antrian tujuanSNS. SQS
Untuk contoh cara melampirkan kebijakan ke SNS topik atau SQS antrian, lihatWalkthrough: Mengonfigurasi bucket untuk notifikasi (SNStopik atau antrian) SQS. Untuk informasi lebih lanjut tentang izin, lihat topik berikut:
-
Contoh kasus untuk kontrol SNS akses Amazon di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon
-
Manajemen identitas dan akses di Amazon SQS dalam Panduan Pengembang Layanan Antrian Sederhana Amazon
IAMkebijakan untuk SNS topik tujuan
Berikut ini adalah contoh kebijakan AWS Identity and Access Management (IAM) yang Anda lampirkan ke SNS topik tujuan. Untuk petunjuk tentang cara menggunakan kebijakan ini untuk menyiapkan SNS topik Amazon tujuan untuk pemberitahuan peristiwa, lihatWalkthrough: Mengonfigurasi bucket untuk notifikasi (SNStopik atau antrian) SQS.
{ "Version": "2012-10-17", "Id": "example-ID", "Statement": [ { "Sid": "Example SNS topic policy", "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": [ "SNS:Publish" ], "Resource": "
SNS-topic-ARN
", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:s3:*:*:" }, "StringEquals": { "aws:SourceAccount": "
amzn-s3-demo-bucket
bucket-owner-account-id
" } } } ] }
IAMkebijakan untuk SQS antrian tujuan
Berikut ini adalah contoh IAM kebijakan yang Anda lampirkan ke SQS antrian tujuan. Untuk petunjuk tentang cara menggunakan kebijakan ini untuk menyiapkan SQS antrean Amazon tujuan untuk pemberitahuan peristiwa, lihatWalkthrough: Mengonfigurasi bucket untuk notifikasi (SNStopik atau antrian) SQS.
Untuk menggunakan kebijakan ini, Anda harus memperbarui SQS antrian AmazonARN, nama bucket, dan Akun AWS ID pemilik bucket.
{ "Version": "2012-10-17", "Id": "example-ID", "Statement": [ { "Sid": "example-statement-ID", "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": [ "SQS:SendMessage" ], "Resource": "arn:aws:sqs:
Region
:account-id
:queue-name
", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:s3:*:*:awsexamplebucket1
" }, "StringEquals": { "aws:SourceAccount": "bucket-owner-account-id
" } } } ] }
Untuk SQS IAM kebijakan Amazon SNS dan Amazon, Anda dapat menentukan StringLike
kondisi dalam kebijakan, bukan ArnLike
kondisi.
Ketika ArnLike
digunakan, partisi, layanan, account-id, resource-type, dan sebagian resource-id bagian ARN harus memiliki pencocokan yang tepat dengan dalam konteks permintaan. ARN Hanya wilayah dan jalur sumber daya yang memungkinkan pencocokan sebagian.
Ketika StringLike
digunakan sebagai penggantiArnLike
, pencocokan mengabaikan ARN struktur dan memungkinkan pencocokan paral, terlepas dari bagian yang dikartu liar. Untuk informasi selengkapnya, lihat elemen IAM JSON kebijakan di Panduan IAM Pengguna.
"Condition": { "StringLike": { "aws:SourceArn": "arn:aws:s3:*:*:
" } }
amzn-s3-demo-bucket
AWS KMS kebijakan kunci
Jika SQS antrian atau SNS topik dienkripsi dengan kunci yang dikelola pelanggan AWS Key Management Service (AWS KMS), Anda harus memberikan izin utama layanan Amazon S3 untuk bekerja dengan topik atau antrian terenkripsi. Untuk memberikan izin pengguna utama layanan Amazon S3, tambahkan pernyataan berikut ke kebijakan kunci untuk CMK.
{ "Version": "2012-10-17", "Id": "example-ID", "Statement": [ { "Sid": "example-statement-ID", "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*" } ] }
Untuk informasi selengkapnya tentang kebijakan AWS KMS utama, lihat Menggunakan kebijakan utama AWS KMS di Panduan AWS Key Management Service Pengembang.
Untuk informasi selengkapnya tentang penggunaan enkripsi sisi server untuk AWS KMS Amazon dan SQS AmazonSNS, lihat berikut ini:
-
Pengelolaan kunci di Panduan Pengembang Layanan Notifikasi Sederhana Amazon.
-
Pengelolaan kunci di Panduan Pengembang Layanan Antrean Sederhana Amazon.
-
Mengenkripsi pesan yang dipublikasikan ke Amazon SNS dengan AWS KMS
di AWS Compute Blog.