AWS Identity and Access Management (IAM) untuk S3 Express One Zone - Amazon Simple Storage Service
Pengguna utamaSumber dayaTindakan untuk S3 Express One ZoneKunci syarat untuk S3 Express One ZoneBagaimana operasi API diotorisasi dan diautentikasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Identity and Access Management (IAM) untuk S3 Express One Zone

AWS Identity and Access Management (IAM) adalah sebuah Layanan AWS yang membantu administrator mengontrol akses ke sumber daya dengan aman. AWS Administrator IAM mengendalikan siapa saja yang dapat diautentikasi (masuk) dan diizinkan (memiliki izin) untuk menggunakan sumber daya Amazon S3 di S3 Express One Zone. Anda dapat menggunakan IAM tanpa biaya tambahan.

Secara default, pengguna tidak memiliki izin untuk bucket direktori dan operasi S3 Express One Zone. Untuk memberikan izin akses bagi bucket direktori, Anda dapat menggunakan IAM untuk membuat pengguna, grup, atau peran dan melampirkan izin ke identitas tersebut. Untuk informasi selengkapnya tentang IAM, lihat Praktik terbaik keamanan di IAM di Panduan Pengguna IAM.

Untuk memberikan akses, Anda dapat menambahkan izin ke pengguna, grup, atau peran Anda melalui cara berikut:

Secara default, bucket direktori bersifat pribadi dan hanya dapat diakses oleh pengguna yang secara eksplisit diberikan akses. Batas kontrol akses untuk bucket direktori hanya diatur pada tingkat bucket. Sebaliknya, batas kontrol akses untuk bucket tujuan umum dapat diatur pada tingkat bucket, prefiks, atau tag objek. Perbedaan ini berarti bucket direktori adalah satu-satunya sumber daya yang dapat Anda sertakan dalam kebijakan bucket atau kebijakan identitas IAM untuk akses S3 Express One Zone.

Dengan S3 Express One Zone, selain otorisasi IAM, Anda mengautentikasi dan mengotorisasi permintaan melalui mekanisme berbasis sesi baru yang ditangani oleh operasi API CreateSession. Anda dapat menggunakan CreateSession untuk meminta kredensial sementara yang menyediakan akses latensi rendah ke bucket Anda. Kredensial sementara ini dicakup ke bucket direktori tertentu.

Untuk bekerja denganCreateSession, kami sarankan menggunakan versi terbaru dari AWS SDK atau menggunakan AWS Command Line Interface (AWS CLI). AWS SDK yang didukung dan pembentukan sesi AWS CLI penanganan, penyegaran, dan penghentian atas nama Anda.

Anda menggunakan token sesi dengan operasi Zona (tingkat objek) saja (kecuali untuk CopyObject danHeadBucket) untuk mendistribusikan latensi yang terkait dengan otorisasi atas sejumlah permintaan dalam sesi. Untuk operasi API titik akhir Regional (operasi tingkat bucket), Anda menggunakan otorisasi IAM, yang tidak melibatkan pengelolaan sesi. Lihat informasi yang lebih lengkap di AWS Identity and Access Management (IAM) untuk S3 Express One Zone dan CreateSessionotorisasi.

Untuk informasi tentang pengaturan IAM untuk S3 Express One Zone, lihat topik berikut.

Pengguna utama

Saat membuat kebijakan berbasis sumber daya untuk memberikan akses ke bucket, Anda harus menggunakan elemen Principal tersebut untuk menentukan orang atau aplikasi yang dapat membuat permintaan tindakan atau operasi pada sumber daya tersebut. Untuk kebijakan bucket direktori, Anda dapat menggunakan pengguna utama berikut:

  • AWS Akun

  • Pengguna IAM

  • Peran IAM

  • Pengguna gabungan

Untuk informasi selengkapnya, lihat Principal dalam Panduan Pengguna IAM.

Sumber daya

Nama Sumber Daya Amazon (ARN) untuk bucket direktori berisi s3express namespace, ID AWS akun Wilayah AWS, dan nama bucket direktori, yang menyertakan ID Availability Zone. Untuk mengakses dan melakukan tindakan pada bucket direktori Anda, Anda harus menggunakan format ARN berikut ini:

arn:aws:s3express:region:account-id:bucket/base-bucket-name--azid--x-s3

Untuk informasi selengkapnya tentang ARN, lihat Amazon Resource Names (ARNs) dalam Panduan Pengguna IAM. Untuk informasi selengkapnya tentang sumber daya, lihat Elemen Kebijakan JSON IAM: Resource dalam Panduan Pengguna IAM.

Tindakan untuk S3 Express One Zone

Dalam kebijakan berbasis identitas atau kebijakan berbasis sumber daya IAM, Anda menentukan tindakan S3 yang diizinkan atau ditolak. Tindakan S3 Express One Zone sesuai dengan operasi API tertentu. S3 Express One Zone memiliki namespace IAM unik yang berbeda dari namespace standar untuk Amazon S3. Namespace ini adalah s3express.

Saat Anda memberikan izin s3express:CreateSession, ini memungkinkan operasi API CreateSession untuk mengambil token sesi saat mengakses operasi API (atau tingkat objek) titik akhir Zona. Token sesi ini mengembalikan kredensial yang digunakan untuk memberikan akses ke semua operasi API titik akhir Zona lainnya. Akibatnya, Anda tidak perlu memberikan izin akses ke operasi API Zona menggunakan kebijakan IAM. Sebagai gantinya, token sesi memungkinkan akses.

Untuk informasi selengkapnya tentang operasi API titik akhir Zona dan Regional, lihat Jaringan untuk S3 Express One Zone. Untuk mempelajari lebih lanjut tentang operasi API CreateSession, lihat CreateSession di Referensi API Amazon Simple Storage Service.

Anda dapat menyebutkan tindakan berikut dalam elemen Action pernyataan kebijakan IAM. Gunakan kebijakan untuk memberikan izin untuk melaksanakan operasi dalam AWS. Saat Anda menggunakan tindakan dalam kebijakan, Anda biasanya mengizinkan atau menolak akses ke operasi API dengan nama yang sama. Namun, dalam beberapa kasus, satu tindakan mengendalikan akses ke lebih dari satu operasi API. Akses ke tindakan tingkat bucket dapat diberikan hanya dalam kebijakan berbasis identitas IAM (pengguna atau peran) dan bukan kebijakan bucket.

Tindakan dan kunci syarat untuk S3 Express One Zone
Tindakan API Deskripsi Tingkat akses Kunci syarat

s3express:CreateBucket

 CreateBucket

Memberikan izin untuk membuat bucket baru.

 Tulis

s3express:authType

s3express:LocationName

s3express:ResourceAccount

s3express:signatureversion

s3express:TlsVersion

s3express:x-amz-content-sha256
s3express:CreateSession CreateSession

Memberikan izin untuk membuat token sesi, yang digunakan untuk memberikan akses ke semua operasi API Zona (tingkat objek), seperti PutObject, GetObject, dan sebagainya.

 Tulis

s3express:authType

s3express:SessionMode

s3express:ResourceAccount

s3express:signatureversion

s3express:signatureAge

s3express:TlsVersion

s3express:x-amz-content-sha256
s3express:DeleteBucket DeleteBucket

Memberikan izin untuk menghapus bucket yang namanya tercantum dalam URI.

 Tulis

s3express:authType

s3express:ResourceAccount

s3express:signatureversion

s3express:TlsVersion

s3express:x-amz-content-sha256
s3express:DeleteBucketPolicy DeleteBucketPolicy

Memberikan izin untuk menghapus kebijakan pada bucket yang ditentukan.

 Manajemen izin

s3express:authType

s3express:ResourceAccount

s3express:signatureversion

s3express:TlsVersion

s3express:x-amz-content-sha256
s3express:GetBucketPolicy GetBucketPolicy

Memberikan izin untuk mengembalikan kebijakan dari bucket yang ditentukan.

 Baca

s3express:authType

s3express:ResourceAccount

s3express:signatureversion

s3express:TlsVersion

s3express:x-amz-content-sha256
s3express:ListAllMyDirectoryBuckets ListDirectoryBuckets

Memberikan izin untuk mencantumkan semua bucket direktori yang dimiliki oleh pengirim permintaan yang diautentikasi.

 Daftar

s3express:authType

s3express:ResourceAccount

s3express:signatureversion

s3express:TlsVersion

s3express:x-amz-content-sha256
s3express:PutBucketPolicy PutBucketPolicy

Memberikan izin untuk menambah atau mengganti kebijakan bucket pada bucket.

 Manajemen izin

s3express:authType

s3express:ResourceAccount

s3express:signatureversion

s3express:TlsVersion

s3express:x-amz-content-sha256

Kunci syarat untuk S3 Express One Zone

S3 Express One Zone mendefinisikan kunci syarat berikut yang dapat digunakan dalam elemen Condition kebijakan IAM. Anda dapat menggunakan kunci ini untuk menyempurnakan syarat lebih lanjut saat pernyataan kebijakan berlaku.

Kunci syarat Deskripsi Jenis
s3express:authType

Filter akses berdasarkan metode autentikasi. Untuk membatasi permintaan masuk untuk menggunakan metode autentikasi tertentu, Anda dapat menggunakan kunci syarat opsional ini. Misalnya, Anda dapat menggunakan kunci syarat ini untuk mengizinkan hanya header Authorization HTTP yang digunakan dalam autentikasi permintaan.

Nilai yang valid: REST-HEADER, REST-QUERY-STRING

 String
s3express:LocationName

Memfilter akses ke operasi API CreateBucket dengan ID Zona Ketersediaan tertentu (ID AZ), misalnya, usw2-az1.

Nilai contoh: usw2-az1

 String
s3express:ResourceAccount

Memfilter akses oleh Akun AWS ID pemilik sumber daya.

Untuk membatasi akses pengguna, peran, atau aplikasi ke bucket direktori yang dimiliki oleh Akun AWS ID tertentu, Anda dapat menggunakan kunci aws:ResourceAccount atau s3express:ResourceAccount kondisi. Anda dapat menggunakan kunci kondisi ini dalam kebijakan identitas AWS Identity and Access Management (IAM) atau kebijakan titik akhir virtual private cloud (VPC). Misalnya, Anda dapat menggunakan kunci kondisi ini untuk membatasi klien dalam VPC Anda agar tidak mengakses bucket yang tidak Anda miliki.

Nilai contoh: 111122223333

 String
s3express:SessionMode

Memfilter akses berdasarkan izin yang diminta oleh operasi API CreateSession. Secara default, sesi adalah ReadWrite. Anda dapat menggunakan kunci syarat ini untuk membatasi akses ke ReadOnly atau secara eksplisit menolak akses ReadWrite. Untuk informasi selengkapnya, lihat Contoh kebijakan bucket direktori untuk S3 Express One Zone dan CreateSession dalam Referensi API Amazon Simple Storage Service.

Nilai yang valid: ReadWrite, ReadOnly

 String
s3express:signatureAge

Filter akses berdasarkan umur tanda tangan permintaan dalam milidetik. Syarat ini hanya berfungsi untuk URL yang telah ditandatangani sebelumnya.

Di AWS Signature Version 4, kunci penandatanganan berlaku hingga tujuh hari. Oleh karena itu, tanda tangan juga berlaku hingga tujuh hari. Untuk informasi selengkapnya, lihat Pendahuluan ke permintaan penandatanganan dalam Referensi API Amazon Simple Storage Service. Anda dapat menggunakan syarat ini untuk lebih lanjut membatasi umur tanda tangan.

Nilai contoh: 600000

 Numerik
s3express:signatureversion

Mengidentifikasi versi AWS Signature yang ingin Anda dukung untuk permintaan yang diautentikasi. Untuk permintaan yang diautentikasi, S3 Express One Zone mendukung Signature Version 4.

Nilai valid: "AWS4-HMAC-SHA256" (mengidentifikasi Signature Version 4)

 String
s3express:TlsVersion

Filter akses berdasarkan versi TLS yang digunakan oleh klien.

Anda dapat menggunakan kunci s3:TlsVersion kondisi untuk menulis IAM, virtual private cloud endpoint (VPCE), atau kebijakan bucket yang membatasi akses pengguna atau aplikasi ke bucket direktori berdasarkan versi TLS yang digunakan oleh klien. Anda juga dapat menggunakan kunci syarat ini untuk menulis kebijakan yang memerlukan versi TLS minimum.

Nilai contoh: 1.3

 Numerik
s3express:x-amz-content-sha256

Filter akses berdasarkan konten yang belum ditandatangani di bucket Anda.

Anda dapat menggunakan kunci syarat ini untuk melarang konten yang tidak ditandatangani di bucket Anda.

Ketika Anda menggunakan Signature Version 4 untuk permintaan yang menggunakan header Authorization, Anda menambahkan header x-amz-content-sha256 dalam perhitungan tanda tangan, lalu kemudian menetapkan nilainya ke muatan hash.

Anda dapat menggunakan kunci syarat ini dalam kebijakan bucket untuk menolak setiap unggahan yang muatannya tidak ditandatangani. Misalnya:

Nilai yang valid: UNSIGNED-PAYLOAD

 String

Bagaimana operasi API diotorisasi dan diautentikasi

Tabel berikut mencantumkan informasi otorisasi dan autentikasi untuk operasi API S3 Express One Zone. Untuk setiap operasi API, tabel menunjukkan nama operasi API, tindakan IAM, jenis titik akhir (Regional atau Zona), dan mekanisme otorisasi (IAM atau berbasis sesi). Tabel ini juga menunjukkan tempat akses lintas akun didukung. Akses ke tindakan tingkat bucket dapat diberikan hanya dalam kebijakan berbasis identitas IAM (pengguna atau peran), bukan kebijakan bucket.

API Jenis titik akhir Tindakan IAM Akses lintas akun
CreateBucket Regional s3express:CreateBucket Tidak
DeleteBucket Regional s3express:DeleteBucket Tidak
ListDirectoryBuckets Regional s3express:ListAllMyDirectoryBuckets Tidak
PutBucketPolicy Regional s3express:PutBucketPolicy Tidak
GetBucketPolicy Regional s3express:GetBucketPolicy Tidak
DeleteBucketPolicy Regional s3express:DeleteBucketPolicy Tidak
CreateSession Zona s3express:CreateSession Ya
CopyObject Zona s3express:CreateSession Ya
DeleteObject Zona s3express:CreateSession Ya
DeleteObjects Zona s3express:CreateSession Ya
HeadObject Zona s3express:CreateSession Ya
PutObject Zona s3express:CreateSession Ya
GetObjectAttributes Zona s3express:CreateSession Ya
ListObjectsV2 Zona s3express:CreateSession Ya
HeadBucket Zona s3express:CreateSession Ya
CreateMultipartUpload Zona s3express:CreateSession Ya
UploadPart Zona s3express:CreateSession Ya
UploadPartCopy Zona s3express:CreateSession Ya
CompleteMultipartUpload Zona s3express:CreateSession Ya
AbortMultipartUpload Zona s3express:CreateSession Ya
ListParts Zona s3express:CreateSession Ya
ListMultipartUploads Zona s3express:CreateSession Ya