Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esempi di policy di bucket
Con le policy relative ai bucket S3 on Outposts, puoi proteggere l'accesso agli oggetti nei bucket S3 on Outposts, in modo che solo gli utenti con le autorizzazioni appropriate possano accedervi. Puoi anche impedire agli utenti autenticati senza le autorizzazioni appropriate di accedere alle tue risorse S3 on Outposts.
Questa sezione presenta esempi di casi d'uso tipici delle policy bucket di S3 on Outposts. Per testare queste policy, sostituisci
con le tue informazioni (come il nome del bucket). user input
placeholders
Per concedere o negare le autorizzazioni a un insieme di oggetti, puoi utilizzare caratteri jolly () *
in Amazon Resource Names (ARNs) e altri valori. Ad esempio, puoi controllare l'accesso a gruppi di oggetti che iniziano con un prefisso comune o terminano con una determinata estensione, come .html
.
Per ulteriori informazioni sul linguaggio delle politiche AWS Identity and Access Management (IAM), consulta. Configurazione IAM con S3 su Outposts
Nota
Durante il test s3outpostsutilizzando la console Amazon S3, è necessario concedere autorizzazioni aggiuntive richieste dalla console, ad esempio, e s3outposts:createendpoint
così s3outposts:listendpoints
via.
Risorse aggiuntive per la creazione di policy bucket
-
Per un elenco delle azioni IAM politiche, delle risorse e delle chiavi di condizione che puoi utilizzare per creare una policy del bucket S3 on Outposts, consulta Azioni, risorse e chiavi di condizione per Amazon S3 on Outposts.
-
Per indicazioni su come creare la tua policy S3 on Outposts, consulta. Aggiunta o modifica di una policy di un bucket Amazon S3 su Outposts
Gestione dell'accesso a un bucket Amazon S3 on Outposts in base a indirizzi IP specifici
Una bucket policy è una policy basata sulle risorse AWS Identity and Access Management (IAM) che puoi utilizzare per concedere le autorizzazioni di accesso al tuo bucket e agli oggetti in esso contenuti. Solo il proprietario del bucket può associare una policy a un bucket. Le autorizzazioni allegate a un bucket si applicano a tutti gli oggetti del bucket di proprietà del proprietario del bucket. Le policy di bucket sono limitate a una dimensione di 20 KB. Per ulteriori informazioni, consulta Policy del bucket.
Limitare l'accesso a indirizzi IP specifici
L'esempio seguente impedisce a tutti gli utenti di eseguire qualsiasi operazione di S3 on Outposts sugli oggetti nei bucket specificati a meno che la richiesta non provenga dall'intervallo di indirizzi IP specificato.
Nota
Quando limiti l'accesso a un indirizzo IP specifico, assicurati di specificare anche quali VPC endpoint, indirizzi IP di VPC origine o indirizzi IP esterni possono accedere al bucket S3 on Outposts. Altrimenti, potresti perdere l'accesso al bucket se la tua politica impedisce a tutti gli utenti di eseguirlo s3outpostsoperazioni sugli oggetti nel bucket S3 on Outposts senza le autorizzazioni appropriate già presenti.
La dichiarazione di questa politica identifica Condition
come intervallo di indirizzi IP consentiti nella versione 4 (IPv4). 192.0.2.0/24
Il Condition
blocco utilizza la NotIpAddress
condizione e la chiave di aws:SourceIp
condizione, che è una chiave AWS di condizione ampia. La chiave di condizione aws:SourceIp
può essere utilizzata solo per intervalli di indirizzi IP pubblici. Per ulteriori informazioni su queste chiavi di condizione, consulta Azioni, risorse e chiavi di condizione per S3 on Outposts. I aws:SourceIp
IPv4 valori utilizzano la notazione standardCIDR. Per ulteriori informazioni, consulta il riferimento agli elementi della IAM JSON politica nella Guida per l'IAMutente.
avvertimento
Prima di utilizzare questa politica S3 on Outposts, sostituisci il
Intervallo di indirizzi IP in questo esempio con un valore appropriato per il tuo caso d'uso. Altrimenti, perderai la possibilità di accedere al tuo bucket.192.0.2.0/24
{ "Version": "2012-10-17", "Id": "S3OutpostsPolicyId1", "Statement": [ { "Sid": "IPAllow", "Effect": "Deny", "Principal": "*", "Action": "s3outposts:*", "Resource": [ "arn:aws:s3-outposts:
region
:111122223333
:outpost/OUTPOSTS-ID
/accesspoint/EXAMPLE-ACCESS-POINT-NAME
" "arn:aws:aws:s3-outposts:region
:111122223333
:outpost/OUTPOSTS-ID
/bucket/DOC-EXAMPLE-BUCKET
" ], "Condition": { "NotIpAddress": { "aws:SourceIp": "192.0.2.0/24
" } } } ] }
Consenti entrambi IPv4 gli indirizzi IPv6
Quando inizi a utilizzare IPv6 gli indirizzi, ti consigliamo di aggiornare tutte le politiche della tua organizzazione con gli intervalli di IPv6 indirizzi in aggiunta agli IPv4 intervalli esistenti. Ciò contribuirà a garantire che le politiche continuino a funzionare durante la transizione aIPv6.
Il seguente esempio di bucket policy di S3 on Outposts mostra come IPv4 combinare IPv6 intervalli di indirizzi per coprire tutti gli indirizzi IP validi dell'organizzazione. La policy di esempio consente l'accesso agli indirizzi IP di esempio
e 192.0.2.1
e nega l'accesso agli indirizzi 2001:1234:5678DB8: :1
e 203.0.113.1
.2001:: 1234:5678DB8: :1 ABCD
La chiave di condizione aws:SourceIp
può essere utilizzata solo per intervalli di indirizzi IP pubblici. I IPv6 valori per aws:SourceIp
devono essere in formato standard. CIDR InfattiIPv6, supportiamo l'utilizzo ::
per rappresentare un intervallo di 0 (ad esempio,2001:DB8:1234:5678::/64
). Per ulteriori informazioni, consulta Operatori di condizione dell'indirizzo IP nella Guida per l'IAMutente.
avvertimento
Sostituisci gli intervalli di indirizzi IP in questo esempio con valori appropriati per il tuo caso d'uso prima di utilizzare questa politica S3 on Outposts. In caso contrario, si potrebbe perdere la possibilità di accedere al bucket.
{ "Id": "S3OutpostsPolicyId2", "Version": "2012-10-17", "Statement": [ { "Sid": "AllowIPmix", "Effect": "Allow", "Principal": "*", "Action": "s3outposts:*", "Resource": [ "arn:aws:aws:s3-outposts:
region
:111122223333
:outpost/OUTPOSTS-ID
/bucket/DOC-EXAMPLE-BUCKET
", "arn:aws:aws:s3-outposts:region
:111122223333
:outpost/OUTPOSTS-ID
/bucket/DOC-EXAMPLE-BUCKET
/*" ], "Condition": { "IpAddress": { "aws:SourceIp": [ "192.0.2.0/24
", "2001:DB8:1234:5678::/64
" ] }, "NotIpAddress": { "aws:SourceIp": [ "203.0.113.0/24
", "2001:DB8:1234:5678:ABCD::/80
" ] } } } ] }