Esempi di policy di bucket - Amazon S3 su Outposts

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempi di policy di bucket

Con le policy relative ai bucket S3 on Outposts, puoi proteggere l'accesso agli oggetti nei bucket S3 on Outposts, in modo che solo gli utenti con le autorizzazioni appropriate possano accedervi. Puoi anche impedire agli utenti autenticati senza le autorizzazioni appropriate di accedere alle tue risorse S3 on Outposts.

Questa sezione presenta esempi di casi d'uso tipici delle policy bucket di S3 on Outposts. Per testare queste policy, sostituisci user input placeholders con le tue informazioni (come il nome del bucket).

Per concedere o negare le autorizzazioni a un insieme di oggetti, puoi utilizzare caratteri jolly () * in Amazon Resource Names (ARNs) e altri valori. Ad esempio, puoi controllare l'accesso a gruppi di oggetti che iniziano con un prefisso comune o terminano con una determinata estensione, come .html.

Per ulteriori informazioni sul linguaggio delle politiche AWS Identity and Access Management (IAM), consulta. Configurazione IAM con S3 su Outposts

Nota

Durante il test s3outpostsutilizzando la console Amazon S3, è necessario concedere autorizzazioni aggiuntive richieste dalla console, ad esempio, e s3outposts:createendpoint così s3outposts:listendpoints via.

Risorse aggiuntive per la creazione di policy bucket

Gestione dell'accesso a un bucket Amazon S3 on Outposts in base a indirizzi IP specifici

Una bucket policy è una policy basata sulle risorse AWS Identity and Access Management (IAM) che puoi utilizzare per concedere le autorizzazioni di accesso al tuo bucket e agli oggetti in esso contenuti. Solo il proprietario del bucket può associare una policy a un bucket. Le autorizzazioni allegate a un bucket si applicano a tutti gli oggetti del bucket di proprietà del proprietario del bucket. Le policy di bucket sono limitate a una dimensione di 20 KB. Per ulteriori informazioni, consulta Policy del bucket.

Limitare l'accesso a indirizzi IP specifici

L'esempio seguente impedisce a tutti gli utenti di eseguire qualsiasi operazione di S3 on Outposts sugli oggetti nei bucket specificati a meno che la richiesta non provenga dall'intervallo di indirizzi IP specificato.

Nota

Quando limiti l'accesso a un indirizzo IP specifico, assicurati di specificare anche quali VPC endpoint, indirizzi IP di VPC origine o indirizzi IP esterni possono accedere al bucket S3 on Outposts. Altrimenti, potresti perdere l'accesso al bucket se la tua politica impedisce a tutti gli utenti di eseguirlo s3outpostsoperazioni sugli oggetti nel bucket S3 on Outposts senza le autorizzazioni appropriate già presenti.

La dichiarazione di questa politica identifica Condition 192.0.2.0/24 come intervallo di indirizzi IP consentiti nella versione 4 (IPv4).

Il Condition blocco utilizza la NotIpAddress condizione e la chiave di aws:SourceIp condizione, che è una chiave AWS di condizione ampia. La chiave di condizione aws:SourceIp può essere utilizzata solo per intervalli di indirizzi IP pubblici. Per ulteriori informazioni su queste chiavi di condizione, consulta Azioni, risorse e chiavi di condizione per S3 on Outposts. I aws:SourceIp IPv4 valori utilizzano la notazione standardCIDR. Per ulteriori informazioni, consulta il riferimento agli elementi della IAM JSON politica nella Guida per l'IAMutente.

avvertimento

Prima di utilizzare questa politica S3 on Outposts, sostituisci il 192.0.2.0/24 Intervallo di indirizzi IP in questo esempio con un valore appropriato per il tuo caso d'uso. Altrimenti, perderai la possibilità di accedere al tuo bucket.

{ "Version": "2012-10-17", "Id": "S3OutpostsPolicyId1", "Statement": [ { "Sid": "IPAllow", "Effect": "Deny", "Principal": "*", "Action": "s3outposts:*", "Resource": [ "arn:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/accesspoint/EXAMPLE-ACCESS-POINT-NAME" "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/DOC-EXAMPLE-BUCKET" ], "Condition": { "NotIpAddress": { "aws:SourceIp": "192.0.2.0/24" } } } ] }

Consenti entrambi IPv4 gli indirizzi IPv6

Quando inizi a utilizzare IPv6 gli indirizzi, ti consigliamo di aggiornare tutte le politiche della tua organizzazione con gli intervalli di IPv6 indirizzi in aggiunta agli IPv4 intervalli esistenti. Ciò contribuirà a garantire che le politiche continuino a funzionare durante la transizione aIPv6.

Il seguente esempio di bucket policy di S3 on Outposts mostra come IPv4 combinare IPv6 intervalli di indirizzi per coprire tutti gli indirizzi IP validi dell'organizzazione. La policy di esempio consente l'accesso agli indirizzi IP di esempio 192.0.2.1 e 2001:1234:5678DB8: :1 e nega l'accesso agli indirizzi 203.0.113.1 e 2001:: 1234:5678DB8: :1 ABCD.

La chiave di condizione aws:SourceIp può essere utilizzata solo per intervalli di indirizzi IP pubblici. I IPv6 valori per aws:SourceIp devono essere in formato standard. CIDR InfattiIPv6, supportiamo l'utilizzo :: per rappresentare un intervallo di 0 (ad esempio,2001:DB8:1234:5678::/64). Per ulteriori informazioni, consulta Operatori di condizione dell'indirizzo IP nella Guida per l'IAMutente.

avvertimento

Sostituisci gli intervalli di indirizzi IP in questo esempio con valori appropriati per il tuo caso d'uso prima di utilizzare questa politica S3 on Outposts. In caso contrario, si potrebbe perdere la possibilità di accedere al bucket.

{ "Id": "S3OutpostsPolicyId2", "Version": "2012-10-17", "Statement": [ { "Sid": "AllowIPmix", "Effect": "Allow", "Principal": "*", "Action": "s3outposts:*", "Resource": [ "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/DOC-EXAMPLE-BUCKET", "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/DOC-EXAMPLE-BUCKET/*" ], "Condition": { "IpAddress": { "aws:SourceIp": [ "192.0.2.0/24", "2001:DB8:1234:5678::/64" ] }, "NotIpAddress": { "aws:SourceIp": [ "203.0.113.0/24", "2001:DB8:1234:5678:ABCD::/80" ] } } } ] }