As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Adicionar um compartilhamento de arquivos
Depois que o gateway de arquivos do S3 estiver ativado e em execução, você poderá adicionar outros compartilhamentos de arquivos e conceder acesso aos buckets do Amazon S3. Buckets que você pode conceder acesso para incluir os buckets em um diferenteConta da AWSDo que seu compartilhamento de arquivos. Para obter informações sobre como adicionar compartilhamento de arquivos, consulte Crie um compartilhamento de arquivos.
Tópicos
Como conceder acesso a um bucket do Amazon S3
Quando você cria um compartilhamento de arquivos, seu gateway de arquivos requer acesso para carregar arquivos no bucket do Amazon S3 e para executar ações em quaisquer pontos de acesso ou pontos de extremidade de nuvem privada virtual (VPC) usados para se conectar ao bucket. Para conceder esse acesso, seu gateway de arquivos assume umAWS Identity and Access Management(IAM) que está associada a uma política do IAM que concede esse acesso.
A função exige essa política do IAM e um relacionamento de confiança do serviço de token de segurança (STS) para ela. A política determina quais ações a função pode realizar. Além disso, o bucket do S3 e todos os pontos de acesso ou pontos de acesso associados devem ter uma política de acesso que permita que a função do IAM os acesse.
Você pode criar a função e a política de acesso sozinho, ou o gateway de arquivos pode criá-las para você. Se o gateway de arquivos criar a política para você, ela terá uma lista de ações do S3. Para obter informações sobre funções e permissões, consulteCriar uma função para delegar permissões a umAWS service (Serviço da AWS)noIAM User Guide.
A política de confiança do exemplo a seguir permite que o gateway de arquivos assuma uma função do IAM.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "storagegateway.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Se você não quiser que o gateway de arquivos crie uma política em seu nome, crie sua própria política e anexe-a ao compartilhamento de arquivos. Para obter mais informações sobre como fazer isso, consulte Crie um compartilhamento de arquivos.
A política de exemplo a seguir permite que o gateway de arquivos realize todas as ações do Amazon S3 listadas na política. A primeira parte da declaração permite que todas as ações listadas sejam executadas no bucket do S3 chamado TestBucket
. A segunda parte permite as ações listadas em todos os objetos no TestBucket
.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetAccelerateConfiguration", "s3:GetBucketLocation", "s3:GetBucketVersioning", "s3:ListBucket", "s3:ListBucketVersions", "s3:ListBucketMultipartUploads" ], "Resource": "arn:aws:s3:::TestBucket", "Effect": "Allow" }, { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObject", "s3:GetObjectAcl", "s3:GetObjectVersion", "s3:ListMultipartUploadParts", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::TestBucket/*", "Effect": "Allow" } ] }
A política de exemplo a seguir é semelhante à anterior, mas permite que o gateway de arquivos execute ações necessárias para acessar um bucket por meio de um ponto de acesso.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObject", "s3:GetObjectAcl", "s3:GetObjectVersion", "s3:ListMultipartUploadParts", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:us-east-1:123456789:accesspoint/TestAccessPointName/*", "Effect": "Allow" } ] }
nota
Se você precisar conectar o compartilhamento de arquivos a um bucket do S3 por meio de um endpoint VPC, consultePolíticas de endpoint para o Amazon S3noAWS PrivateLinkGuia do usuário do.
Prevenção contra o ataque “Confused deputy” em todos os serviços
O problema confused deputy é um problema de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executá-la. Na AWS, a personificação entre serviços pode resultar no problema do confused deputy. A personificação nos serviços pode ocorrer quando um serviço (o serviço de chamada) chama outro serviço (o serviço chamado). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, a AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com entidades principais de serviço que receberam acesso aos recursos em sua conta.
Recomendamos o uso das chaves de contexto de condição global aws:SourceArn
e aws:SourceAccount
em políticas de recursos para limitar as permissões que o AWS Storage Gateway concede a outro serviço para o recurso. Se você utilizar ambas as chaves de contexto de condição global, o valor aws:SourceAccount
e a conta no valor aws:SourceArn
deverão utilizar o mesmo ID de conta quando utilizados na mesma instrução de política.
O valor deaws:SourceArn
deve ser o ARN do Storage Gateway ao qual o compartilhamento de arquivos está associado.
A maneira mais eficaz de se proteger contra o problema confuso do deputado é usar oaws:SourceArn
chave de contexto de condição global com o ARN completo do recurso. Se você não souber o ARN completo do recurso ou se você estiver especificando vários recursos, use o ARN completo do recursoaws:SourceArn
chave de condição de contexto global com curingas (*
) para as partes desconhecidas do ARN. Por exemplo, arn:aws:
. servicename
::123456789012
:*
O exemplo a seguir mostra como você pode usar oaws:SourceArn
eaws:SourceAccount
chaves de contexto de condição global no Storage Gateway para evitar o problema confuso do deputado.
{ "Version": "2012-10-17", "Statement": { "Sid": "ConfusedDeputyPreventionExamplePolicy", "Effect": "Allow", "Principal": { "Service": "storagegateway.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "
123456789012
" }, "ArnLike": { "aws:SourceArn": "arn:aws:storagegateway:us-east-1:123456789012:gateway/sgw-712345DA
" } } } ] }
Uso de um compartilhamento de arquivos para acesso entre contas
Conta entreAcesso é quando uma conta da Amazon Web Services e os usuários dela recebem acesso a recursos que pertencem a outra conta da Amazon Web Services. Com os gateways de arquivos, você pode usar um compartilhamento de arquivos em uma conta da Amazon Web Services para acessar objetos em um bucket do Amazon S3 que pertence a outra conta da Amazon Web Services.
Para usar um compartilhamento de arquivos de propriedade de uma conta da Amazon Web Services para acessar um bucket do S3 em outra conta da Amazon Web Services
-
Verifique se o proprietário do bucket do S3 concedeu à conta da Amazon Web Services acesso ao bucket do S3 que você precisa acessar e aos objetos desse bucket. Para obter informações sobre como conceder esse acesso, consulteExemplo 2: Proprietário do bucket concedendo permissões de bucket entrenoGuia do usuário do Amazon Simple Storage Service. Para obter uma lista das permissões necessárias, consulte Como conceder acesso a um bucket do Amazon S3.
-
Verifique se a função do IAM usada por seu compartilhamento de arquivos para acessar o bucket do S3 inclui as permissões de operações como
s3:GetObjectAcl
es3:PutObjectAcl
. Além disso, certifique-se de que a função do IAM inclui uma política de confiança que permite que a sua conta assuma essa função do IAM. Para um exemplo de uma política de confiança desse tipo, consulte Como conceder acesso a um bucket do Amazon S3.Se seu compartilhamento de arquivo usar uma função existente para acessar o bucket do S3, você deve incluir permissões para operações
s3:GetObjectAc
l es3:PutObjectAcl
. Uma função também precisa de uma política de confiança que permita à sua conta assumir essa função. Para um exemplo de uma política de confiança desse tipo, consulte Como conceder acesso a um bucket do Amazon S3. Abra o console do Storage Gatewayhttps://console.aws.amazon.com/storagegateway/home
. -
Escolha Give bucket owner full control (Conceder controle total ao proprietário do bucket) nas configurações de Object metadata (Metadados do objeto) da caixa de diálogo Configure file share setting (Definir configurações de compartilhamento de arquivos).
Após criar ou atualizar seu compartilhamento de arquivos para acesso entre contas e montá-lo no local, é altamente recomendável testar sua configuração. Isso pode ser feito indicando o conteúdo do diretório ou gravando arquivos de teste e garantindo que os arquivos sejam exibidos como objetos no bucket do S3.
Importante
Certifique-se de configurar as políticas corretamente para conceder o acesso entre contas para a conta usada por seu compartilhamento de arquivos. Se não fizer isso, as atualizações nos arquivos por meio de aplicativos locais não serão propagadas para o bucket do Amazon S3 com o qual você está trabalhando.
Recursos
Para obter mais informações sobre políticas de acesso e listas de controle de acesso, consulte:
Diretrizes para usar as opções disponíveis de política de acessonoGuia do usuário do Amazon Simple Storage Service
Visão geral da Lista de controle de acesso (ACL)noGuia do usuário do Amazon Simple Storage Service