Mengatur Kepemilikan Objek saat membuat bucket - Amazon Simple Storage Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengatur Kepemilikan Objek saat membuat bucket

Saat membuat bucket, Anda dapat mengonfigurasi Kepemilikan S3 Object. Untuk mengatur Kepemilikan Objek untuk bucket yang ada, lihat Menyetel Kepemilikan Objek pada bucket yang ada.

S3 Object Ownership adalah setelan tingkat ember Amazon S3 yang dapat Anda gunakan untuk menonaktifkan daftar kontrol akses ACLs () dan mengambil kepemilikan setiap objek di bucket Anda, menyederhanakan manajemen akses untuk data yang disimpan di Amazon S3. Secara default, Kepemilikan Objek S3 disetel ke pengaturan yang diberlakukan pemilik Bucket, dan ACLs dinonaktifkan untuk bucket baru. Dengan ACLs dinonaktifkan, pemilik bucket memiliki setiap objek di bucket dan mengelola akses ke data secara eksklusif dengan menggunakan kebijakan manajemen akses. Kami menyarankan agar Anda tetap ACLs dinonaktifkan, kecuali dalam keadaan yang tidak biasa di mana Anda harus mengontrol akses untuk setiap objek secara individual.

Object Ownership memiliki tiga pengaturan yang dapat Anda gunakan untuk mengontrol kepemilikan objek yang diunggah ke bucket Anda dan untuk menonaktifkan atau mengaktifkanACLs:

ACLsdinonaktifkan

  • Pemilik bucket diberlakukan (default) — ACLs dinonaktifkan, dan pemilik bucket secara otomatis memiliki dan memiliki kontrol penuh atas setiap objek di bucket. ACLstidak lagi memengaruhi izin ke data di bucket S3. Bucket tersebut menggunakan kebijakan untuk menentukan kontrol akses.

ACLsdiaktifkan

  • Pemilik ember lebih disukai — Pemilik ember memiliki dan memiliki kendali penuh atas objek baru yang ditulis akun lain ke ember dengan bucket-owner-full-control kalengACL.

  • Penulis objek — Akun AWS Yang mengunggah objek memiliki objek, memiliki kontrol penuh atasnya, dan dapat memberikan pengguna lain akses ke sana melalui. ACLs

Izin: Untuk menerapkan pengaturan yang diberlakukan pemilik Bucket atau pengaturan pilihan pemilik Bucket, Anda harus memiliki izin berikut: s3:CreateBucket dan s3:PutBucketOwnershipControls. Tidak diperlukan izin tambahan saat membuat bucket dengan pengaturan Object writer yang diterapkan. Untuk informasi selengkapnya tentang izin Amazon S3, lihat Kunci tindakan, sumber daya, dan kondisi untuk Amazon S3 di Referensi Otorisasi Layanan.

Untuk informasi selengkapnya tentang izin API operasi S3 menurut jenis sumber daya S3, lihat. Izin yang diperlukan untuk operasi Amazon API S3

penting

Mayoritas kasus penggunaan modern di Amazon S3 tidak lagi memerlukan penggunaanACLs, dan kami menyarankan Anda menonaktifkan ACLs kecuali dalam keadaan yang tidak biasa di mana Anda perlu mengontrol akses untuk setiap objek secara individual. Dengan Object Ownership, Anda dapat menonaktifkan ACLs dan mengandalkan kebijakan untuk kontrol akses. Saat menonaktifkanACLs, Anda dapat dengan mudah memelihara ember dengan objek yang diunggah oleh AWS akun yang berbeda. Anda, sebagai pemilik bucket, memiliki semua objek di bucket dan dapat mengelola akses ke mereka menggunakan kebijakan.

  1. Masuk ke AWS Management Console dan buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/

  2. Di bilah navigasi di bagian atas halaman, pilih nama yang saat ini ditampilkan Wilayah AWS. Selanjutnya, pilih Wilayah tempat Anda ingin membuat ember.

    catatan

    Untuk meminimalkan latensi dan biaya serta memenuhi persyaratan regulasi, pilih Wilayah yang dekat dengan Anda. Objek yang disimpan di Wilayah tidak pernah keluar dari Wilayah kecuali Anda secara tegas mentransfer atau mereplikasinya ke Wilayah lain. Untuk daftar Amazon S3 Wilayah AWS, lihat Layanan AWS titik akhir di. Referensi Umum Amazon Web Services

  3. Di panel navigasi kiri, pilih Bucket.

  4. Pilih Buat bucket.

    Halaman Buat bucket terbuka.

  5. Di bawah Konfigurasi umum, lihat Wilayah AWS tempat bucket Anda akan dibuat.

  6. Di bawah jenis Bucket, pilih Tujuan umum.

  7. Untuk Nama bucket, masukkan nama untuk bucket Anda.

    Nama bucket harus:

    • Unik dalam partisi. Partisi adalah pembuatan grup Wilayah. Saat ini, AWS memiliki tiga partisi: aws (Wilayah Standar), aws-cn (Wilayah Tiongkok), dan aws-us-gov (AWS GovCloud (US) Regions).

    • Panjangnya antara 3 hingga 63 karakter.

    • Hanya terdiri dari huruf kecil, angka, titik (.), dan tanda hubung (-). Untuk kompatibilitas terbaik, kami menyarankan agar Anda menghindari penggunaan titik (.) dalam nama bucket, kecuali untuk bucket yang digunakan hanya untuk menghosting situs web statis.

    • Dimulai dan diakhiri dengan huruf atau angka.

    Setelah membuat bucket, Anda tidak dapat mengubah namanya. Akun AWS Yang menciptakan ember memilikinya. Untuk informasi selengkapnya tentang penamaan bucket, lihat Aturan penamaan bucket tujuan umum.

    penting

    Hindari menyertakan informasi sensitif, seperti nomor akun, dalam nama bucket. Nama ember terlihat di titik URLs itu ke objek di ember.

  8. AWS Management Console memungkinkan Anda menyalin pengaturan bucket yang ada ke bucket baru Anda. Jika Anda tidak ingin menyalin pengaturan bucket yang ada, lewati ke langkah berikutnya.

    catatan

    Opsi ini:

    • Tidak tersedia di AWS CLI dan hanya tersedia di konsol

    • Tidak tersedia untuk bucket direktori

    • Tidak menyalin kebijakan bucket dari bucket yang ada ke bucket baru

    Untuk menyalin setelan bucket yang ada, di bagian Salin setelan dari bucket yang ada, pilih Pilih bucket. Jendela Choose bucket terbuka. Temukan bucket dengan pengaturan yang ingin Anda salin, lalu pilih Pilih bucket. Jendela Choose bucket ditutup, dan jendela Create bucket terbuka kembali.

    Di bawah Salin pengaturan dari bucket yang ada, Anda sekarang akan melihat nama bucket yang Anda pilih. Anda juga akan melihat opsi Restore default yang dapat Anda gunakan untuk menghapus pengaturan bucket yang disalin. Tinjau setelan bucket yang tersisa, di halaman Buat bucket. Anda akan melihat bahwa mereka sekarang cocok dengan pengaturan ember yang Anda pilih. Anda dapat melompat ke langkah terakhir.

  9. Di bawah Kepemilikan Objek, untuk menonaktifkan atau mengaktifkan ACLs dan mengontrol kepemilikan objek yang diunggah di bucket Anda, pilih salah satu setelan berikut:

    ACLsdinonaktifkan

    • Pemilik bucket diberlakukan (default) — ACLs dinonaktifkan, dan pemilik bucket secara otomatis memiliki dan memiliki kontrol penuh atas setiap objek di bucket. ACLstidak lagi memengaruhi izin akses ke data di bucket S3. Bucket menggunakan kebijakan secara eksklusif untuk menentukan kontrol akses.

      Secara default, ACLs dinonaktifkan. Mayoritas kasus penggunaan modern di Amazon S3 tidak lagi memerlukan penggunaan. ACLs Kami menyarankan agar Anda tetap ACLs dinonaktifkan, kecuali dalam keadaan yang tidak biasa di mana Anda harus mengontrol akses untuk setiap objek secara individual. Untuk informasi selengkapnya, lihat Mengontrol kepemilikan objek dan menonaktifkan bucket ACLs Anda.

    ACLsdiaktifkan

    • Pemilik ember lebih disukai — Pemilik ember memiliki dan memiliki kendali penuh atas objek baru yang ditulis akun lain ke ember dengan bucket-owner-full-control kalengACL.

      Jika Anda menerapkan setelan pilihan pemilik Bucket, agar semua unggahan Amazon S3 menyertakan bucket-owner-full-control kalenganACL, Anda dapat menambahkan kebijakan bucket yang hanya mengizinkan unggahan objek yang menggunakan ini. ACL

    • Penulis objek — Akun AWS Yang mengunggah objek memiliki objek, memiliki kontrol penuh atasnya, dan dapat memberikan pengguna lain akses ke sana melalui. ACLs

    catatan

    Pengaturan default-nya adalah Pemilik Bucket yang diberlakukan. Untuk menerapkan pengaturan default dan tetap ACLs dinonaktifkan, hanya s3:CreateBucket izin yang diperlukan. Untuk mengaktifkanACLs, Anda harus memiliki s3:PutBucketOwnershipControls izin.

  10. Di bawah Pengaturan Blokir Akses Publik untuk bucket ini, pilih pengaturan Blokir Akses Publik yang ingin Anda terapkan ke bucket.

    Secara default, semua pengaturan Blokir Akses Publik untuk bucket direktori diaktifkan. Kami menyarankan Anda tetap mengaktifkan semua pengaturan, kecuali Anda tahu bahwa Anda perlu menonaktifkan satu atau beberapa pengaturan untuk kasus penggunaan spesifik Anda. Untuk informasi lebih lanjut tentang pemblokiran akses publik, lihat Melakukan blok akses publik ke penyimpanan Amazon S3 Anda.

    catatan

    Untuk mengaktifkan semua pengaturan Blokir Akses Publik, hanya izin s3:CreateBucket yang diperlukan. Untuk mematikan pengaturan Blokir Akses Publik, Anda harus memiliki izin s3:PutBucketPublicAccessBlock.

  11. (Opsional) Di bawah Penentuan Versi Bucket, Anda dapat memilih apakah Anda ingin menyimpan varian objek di bucket Anda. Untuk informasi selengkapnya tentang penentuan versi, lihat Mempertahankan beberapa versi objek dengan S3 Versioning.

    Untuk menonaktifkan atau mengaktifkan Penentuan Versi di bucket Anda, pilih Nonaktifkan atau Aktifkan.

  12. (Opsional) Di bawah Tanda, Anda dapat memilih untuk menambahkan tanda ke bucket Anda. Tanda adalah pasangan kunci-nilai yang digunakan untuk mengategorikan penyimpanan.

    Untuk menambahkan tanda bucket, masukkan Kunci dan secara opsional Nilai, lalu pilih Tambahkan Tanda.

  13. Di bagian bawah Enkripsi default, pilih Edit.

  14. Untuk mengonfigurasi enkripsi default, di bawah Jenis enkripsi, pilih salah satu dari berikut ini:

    • Kunci terkelola Amazon S3 (-S3) SSE

    • AWS Key Management Service kunci (SSE-KMS)

      penting

      Jika Anda menggunakan KMS opsi SSE - untuk konfigurasi enkripsi default Anda, Anda tunduk pada kuota permintaan per detik (RPS). AWS KMSUntuk informasi selengkapnya tentang AWS KMS kuota dan cara meminta kenaikan kuota, lihat Kuota di Panduan Pengembang AWS Key Management Service .

    Bucket dan objek baru dienkripsi dengan enkripsi di sisi server dengan kunci yang dikelola Amazon S3 sebagai tingkat dasar konfigurasi enkripsi. Untuk informasi selengkapnya tentang enkripsi default, lihat Mengatur perilaku enkripsi di sisi server default untuk bucket Amazon S3.

    Untuk informasi selengkapnya tentang penggunaan enkripsi di sisi server Amazon S3 guna mengenkripsi data Anda, lihat Menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 (-S3) SSE.

  15. Jika Anda memilih AWS Key Management Service key (SSE-KMS), lakukan hal berikut:

    1. Di bawah AWS KMS kunci, tentukan KMS kunci Anda dengan salah satu cara berikut:

      • Untuk memilih dari daftar KMS kunci yang tersedia, pilih Pilih dari kunci Anda AWS KMS keys, dan pilih KMSkunci Anda dari daftar kunci yang tersedia.

        Kunci Kunci yang dikelola AWS (aws/s3) dan kunci terkelola pelanggan Anda muncul dalam daftar ini. Untuk informasi selengkapnya tentang CMK, lihat Kunci pelanggan dan AWS kunci di AWS Key Management Service Panduan Pengembang.

      • Untuk memasukkan KMS kunciARN, pilih Enter AWS KMS key ARN, dan masukkan KMS kunci Anda ARN di bidang yang muncul.

      • Untuk membuat kunci terkelola pelanggan baru di AWS KMS konsol, pilih Buat KMS kunci.

        Untuk informasi selengkapnya tentang membuat AWS KMS key, lihat Membuat kunci di Panduan AWS Key Management Service Pengembang.

      penting

      Anda hanya dapat menggunakan KMS kunci yang tersedia Wilayah AWS sama dengan ember. Konsol Amazon S3 hanya mencantumkan 100 KMS kunci pertama di Wilayah yang sama dengan bucket. Untuk menggunakan KMS kunci yang tidak terdaftar, Anda harus memasukkan KMS kunci AndaARN. Jika Anda ingin menggunakan KMS kunci yang dimiliki oleh akun yang berbeda, Anda harus terlebih dahulu memiliki izin untuk menggunakan kunci tersebut dan kemudian Anda harus memasukkan KMS kunci tersebutARN. Untuk informasi selengkapnya tentang izin lintas akun untuk KMS kunci, lihat Membuat KMS kunci yang dapat digunakan akun lain di Panduan AWS Key Management Service Pengembang. Untuk informasi lebih lanjut tentang SSE -KMS, lihatMenentukan enkripsi sisi server dengan (-) AWS KMS SSE KMS.

      Saat Anda menggunakan enkripsi sisi server AWS KMS key untuk Amazon S3, Anda harus memilih kunci enkripsi simetris. KMS Amazon S3 hanya mendukung KMS kunci enkripsi simetris dan bukan kunci asimetris. KMS Untuk informasi selengkapnya, lihat Mengidentifikasi KMS kunci simetris dan asimetris di Panduan AWS Key Management Service Pengembang.

      Untuk informasi selengkapnya tentang membuat AWS KMS key, lihat Membuat kunci di Panduan AWS Key Management Service Pengembang. Untuk informasi selengkapnya tentang penggunaan AWS KMS dengan Amazon S3, lihat. Menggunakan enkripsi sisi server dengan AWS KMS kunci (-) SSE KMS

    2. Saat mengonfigurasi bucket untuk menggunakan enkripsi default dengan SSE -KMS, Anda juga dapat mengaktifkan Kunci Bucket S3. S3 Bucket Keys menurunkan biaya enkripsi dengan mengurangi lalu lintas permintaan dari Amazon S3 ke. AWS KMS Untuk informasi selengkapnya, lihat Mengurangi biaya SSE - KMS dengan Amazon S3 Bucket Keys.

      Untuk menggunakan Kunci Bucket S3, di bagian bawah Kunci Bucket, pilih Aktifkan.

  16. (Opsional) Jika Anda ingin mengaktifkan Kunci Objek S3, lakukan hal berikut ini:

    1. Pilih Pengaturan lanjutan.

      penting

      Mengaktifkan Kunci Objek juga mengaktifkan Penentuan Versi untuk bucket. Setelah mengaktifkan, Anda harus mengonfigurasi pengaturan penyimpanan default Kunci Objek dan penahanan legal untuk melindungi objek baru agar tidak dihapus atau ditimpa.

    2. Jika Anda ingin mengaktifkan Kunci Objek, pilih Aktifkan, baca peringatan yang muncul, lalu setujui.

    Untuk informasi selengkapnya, lihat Mengunci objek dengan Object Lock.

    catatan

    Untuk membuat bucket dengan dukungan Kunci Objek, Anda harus memiliki izin berikut: s3:CreateBucket, s3:PutBucketVersioning dan s3:PutBucketObjectLockConfiguration.

  17. Pilih Buat bucket.

Untuk menyetel Object Ownership saat membuat bucket baru, gunakan create-bucket AWS CLI perintah dengan --object-ownership parameter.

Contoh ini menerapkan pengaturan yang diberlakukan pemilik Bucket untuk bucket baru menggunakan: AWS CLI

aws s3api create-bucket --bucket  amzn-s3-demo-bucket --region us-east-1 --object-ownership BucketOwnerEnforced
penting

Jika Anda tidak menyetel Kepemilikan Objek saat membuat bucket dengan menggunakan AWS CLI, pengaturan defaultnya adalah ObjectWriter (ACLsdiaktifkan).

Contoh ini menyetel pengaturan yang diberlakukan pemilik Bucket untuk bucket baru menggunakan: AWS SDK for Java

    // Build the ObjectOwnership for CreateBucket
    CreateBucketRequest createBucketRequest = CreateBucketRequest.builder()
            .bucket(bucketName)
            .objectOwnership(ObjectOwnership.BucketOwnerEnforced)
            .build()

     // Send the request to Amazon S3 
     s3client.createBucket(createBucketRequest);

Untuk menggunakan AWS::S3::Bucket AWS CloudFormation sumber daya untuk menyetel Kepemilikan Objek saat membuat bucket baru, lihat OwnershipControls dalam AWS::S3::Bucket di Panduan Pengguna AWS CloudFormation .

Untuk menerapkan setelan diberlakukan pemilik Bucket untuk Kepemilikan Objek S3, gunakan CreateBucket API operasi dengan header x-amz-object-ownership permintaan yang disetel ke. BucketOwnerEnforced Untuk informasi dan contoh, lihat CreateBucketdi APIReferensi Layanan Penyimpanan Sederhana Amazon.

Langkah selanjutnya: Setelah menerapkan pengaturan pilihan pemilik Bucket yang diberlakukan atau pemilik bucket untuk Kepemilikan Objek, Anda dapat mengambil langkah-langkah berikut:

  • Pemilik bucket diberlakukan — Mengharuskan semua bucket baru dibuat dengan ACLs dinonaktifkan menggunakan kebijakan atau IAM Organizations.

  • Lebih disukai pemilik bucket — Tambahkan kebijakan bucket S3 untuk meminta bucket-owner-full-control kaleng ACL untuk semua unggahan objek ke bucket Anda.