Exemplos de políticas de bucket
Com as políticas de bucket do S3 no Outposts, você pode proteger o acesso a objetos em seus buckets do S3 no Outposts, para que somente usuários com as permissões apropriadas possam acessá-los. Você pode até mesmo impedir que usuários autenticados sem as permissões apropriadas acessem seus recursos do S3 no Outposts.
Esta seção apresenta exemplos de casos de uso típicos de políticas de bucket do S3 no Outposts. Para testar essas políticas, substitua user input
placeholders
Para conceder ou negar permissões para um conjunto de objetos, você pode usar caracteres curinga (*) em nomes de recursos da Amazon (ARNs) e outros valores. Por exemplo, você pode controlar o acesso a grupos de objetos que começam com um prefixo ou termine com uma determinada extensão, como .html.
Para obter mais informações sobre a linguagem da política do AWS Identity and Access Management (IAM), consulte Configurar o IAM com o S3 on Outposts.
nota
Ao testar as permissões s3outposts usando o console do Amazon S3, você deve conceder permissões adicionais exigidas pelo console, como s3outposts:createendpoint, s3outposts:listendpoints e assim por diante.
Recursos adicionais para criar políticas de bucket
-
Para conferir uma lista de ações, recursos e chaves de condição de políticas do IAM que você pode usar ao criar uma política de bucket do S3 no Outposts, consulte Actions, resources, and condition keys for Amazon S3 on Outposts.
-
Para obter orientação sobre como criar uma política do S3 no Outposts, consulte Adicionar ou editar uma política para um bucket do Amazon S3 on Outposts.
Gerenciar o acesso a um bucket do Amazon S3 no Outposts com base em endereços IP específicos
Uma política de bucket é baseada em recursos do AWS Identity and Access Management (IAM) que você pode usar para conceder permissões de acesso ao bucket e aos objetos nele contidos. Só o proprietário do bucket pode associar uma política a um bucket. As permissões anexadas ao bucket se aplicam a todos os objetos do bucket que pertencem ao proprietário do bucket. As políticas de bucket são limitadas a 20 KB. Para ter mais informações, consulte Política de bucket.
Restringir o acesso a endereços IP específicos
O exemplo a seguir impede que todos os usuários executem operações do S3 no Outposts em objetos nos buckets especificados, a menos que a solicitação tenha origem no intervalo de endereços IP especificado.
nota
Ao restringir o acesso a um endereço IP específico, especifique quais endpoints da VPC, endereços IP de origem da VPC ou endereços IP externos podem acessar o bucket do S3 no Outposts. Caso contrário, você poderá perder o acesso ao bucket se a sua política negar aos usuários a execução de qualquer operação s3outposts em objetos no bucket do S3 no Outposts sem as permissões adequadas já em vigor.
A instrução Condition dessa política identifica 192.0.2.0/24
O bloco Condition usa a condição NotIpAddress e a chave de condição aws:SourceIp, que é uma chave de condição que abrange toda a AWS. A chave de condição aws:SourceIp só pode ser usada para intervalos de endereços IP públicos. Para obter mais informações sobre essas chaves de condição, consulte Actions, resources, and condition keys for S3 on Outposts. Os valores IPv4 aws:SourceIp usam a notação CIDR padrão. Para obter mais informações, consulte Referência de elementos de política JSON do IAM no Guia do usuário do IAM.
Atenção
Antes de usar essa política do S3 no Outposts, substitua o intervalo de endereços IP 192.0.2.0/24
{ "Version": "2012-10-17", "Id": "S3OutpostsPolicyId1", "Statement": [ { "Sid": "IPAllow", "Effect": "Deny", "Principal": "*", "Action": "s3outposts:*", "Resource": [ "arn:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/accesspoint/EXAMPLE-ACCESS-POINT-NAME" "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/DOC-EXAMPLE-BUCKET" ], "Condition": { "NotIpAddress": { "aws:SourceIp": "192.0.2.0/24" } } } ] }
Permitir endereços IPv4 e IPv6
Ao começar a usar os endereços IPv6, recomendamos que você atualize todas as políticas da sua organização com os intervalos de endereços IPv6 além dos intervalos de IPv4 existentes. Isso ajudará a garantir que as políticas continuem funcionando à medida que você faz a transição para IPv6.
O exemplo de política de bucket do S3 no Outposts a seguir mostra como misturar intervalos de endereços IPv4 e IPv6 para cobrir todos os endereços IP válidos de sua organização. A política de exemplo permite acesso aos endereços IP 192.0.2.12001:DB8:1234:5678::1203.0.113.12001:DB8:1234:5678:ABCD::1
A chave de condição aws:SourceIp só pode ser usada para intervalos de endereços IP públicos. Os valores de IPv6 para aws:SourceIp devem estar em formato CIDR padrão. Para IPv6, oferecemos suporte ao uso de :: para representar um intervalo de IPv6 (por exemplo 2001:DB8:1234:5678::/64). Para obter mais informações, consulte Operadores de condição de endereço IP no Guia do usuário do IAM.
Atenção
Substitua os intervalos de endereços IP neste exemplo por valores apropriados para o seu caso de uso antes de usar esta política do S3 no Outposts. Caso contrário, você pode perder a capacidade de acessar seu bucket.
{ "Id": "S3OutpostsPolicyId2", "Version": "2012-10-17", "Statement": [ { "Sid": "AllowIPmix", "Effect": "Allow", "Principal": "*", "Action": "s3outposts:*", "Resource": [ "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/DOC-EXAMPLE-BUCKET", "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/DOC-EXAMPLE-BUCKET/*" ], "Condition": { "IpAddress": { "aws:SourceIp": [ "192.0.2.0/24", "2001:DB8:1234:5678::/64" ] }, "NotIpAddress": { "aws:SourceIp": [ "203.0.113.0/24", "2001:DB8:1234:5678:ABCD::/80" ] } } } ] }
