儲存貯體政策範例 - Amazon S3 on Outposts
限制對特定 IP 地址的存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

儲存貯體政策範例

透過 S3 on Outposts 儲存貯體政策,您可以安全地存取 S3 on Outposts 儲存貯體中的物件,以便只有具有適當許可的使用者才能存取它們。您甚至可以防止沒有適當許可的已驗證使用者存取 S3 on Outposts 資源。

本節介紹 S3 on Outposts 儲存貯體政策的典型使用案例範例。若要測試這些政策,請將 user input placeholders 取代為您自己的資訊 (例如儲存貯體名稱)。

若要授予或拒絕一組物件的許可,您可以在 Amazon Resource Names (*) 和其他值中使用萬用字元 (ARNs)。例如,您可以控制對以常用字首或以給定的擴展名結束,例如.html

如需 AWS Identity and Access Management (IAM) 政策語言的詳細資訊,請參閱 IAM 使用 S3 on Outposts 設定

注意

測試時 s3outposts 使用 Amazon S3 主控台的許可,您必須授予主控台所需的其他許可,例如 s3outposts:createendpoints3outposts:listendpoints等。

建立儲存貯體政策的其他資源

根據特定 IP 地址管理對 Amazon S3 on Outposts 儲存貯體的存取

儲存貯體政策是以資源為基礎的 AWS Identity and Access Management (IAM) 政策,您可以使用 將存取權授予儲存貯體及其中的物件。只有儲存貯體擁有者可建立政策與儲存貯體的關聯。連接到儲存貯體的許可會套用至儲存貯體擁有者帳戶擁有的所有儲存貯體物件。儲存貯體政策的大小限制為 20 KB。如需詳細資訊,請參閱儲存貯體政策

限制特定 IP 地址的存取

下列範例會拒絕所有使用者對指定儲存貯體中的物件執行任何 S3 on Outposts 操作,除非請求來自指定的 IP 地址範圍。

注意

限制對特定 IP 地址的存取時,請務必指定哪些VPC端點、VPC來源 IP 地址或外部 IP 地址可以存取 S3 on Outposts 儲存貯體。否則,如果您的政策拒絕所有使用者執行任何 s3outposts S3 on Outposts 儲存貯體中物件的 操作,而沒有適當的許可。

此政策的Condition陳述式可識別 192.0.2.0/24 作為允許的 IP 第 4 版 (IPv4) IP 地址範圍。

Condition 區塊使用 NotIpAddress條件和 aws:SourceIp 條件索引鍵,即 AWS 廣角條件索引鍵。aws:SourceIp 條件鍵僅可用於公有 IP 地址範圍。如需這些條件索引鍵的詳細資訊,請參閱 S3 on Outposts 的動作、資源和條件索引鍵。這些aws:SourceIpIPv4值使用標準CIDR符號。如需詳細資訊,請參閱 IAM 使用者指南 中的IAMJSON政策元素參考

警告

使用此 S3 on Outposts 政策之前,請取代 192.0.2.0/24 此範例中的 IP 地址範圍,具有適合您使用案例的值。否則,您將失去存取儲存貯體的能力。

{
    "Version": "2012-10-17",
    "Id": "S3OutpostsPolicyId1",
    "Statement": [
        {
            "Sid": "IPAllow",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3outposts:*",
            "Resource": [
                "arn:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/accesspoint/EXAMPLE-ACCESS-POINT-NAME"
                "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/DOC-EXAMPLE-BUCKET"
            ],
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": "192.0.2.0/24"
                }
            }
        }
    ]
}

允許 IPv4和 IPv6 地址

當您開始使用IPv6地址時,建議您除了現有範圍之外,使用IPv6地址範圍更新組織的所有政策IPv4。這樣做有助於確保政策在您轉換至 時繼續運作IPv6。

下列 S3 on Outposts 範例儲存貯體政策示範如何混合IPv4和IPv6設定地址範圍,以涵蓋組織的所有有效 IP 地址。範例政策允許存取範例 IP 地址 192.0.2.1 以及 2001:DB8:1234:5678::1 並拒絕存取地址 203.0.113.1 以及 2001:DB8:1234:5678:ABCD:1.

aws:SourceIp 條件鍵僅可用於公有 IP 地址範圍。IPv6 的值aws:SourceIp必須是標準CIDR格式。對於 IPv6,我們支援使用 :: 來表示 0s 的範圍 (例如 2001:DB8:1234:5678::/64)。如需詳細資訊,請參閱 IAM 使用者指南 中的 IP 地址條件運算子

警告

使用此 S3 on Outposts 政策之前,請將此範例中的 IP 地址範圍替換為適合您使用案例的值。否則,您可能會失去存取儲存貯體的能力。

{
    "Id": "S3OutpostsPolicyId2",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowIPmix",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3outposts:*",
            "Resource": [            
                "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/DOC-EXAMPLE-BUCKET",
                        "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/DOC-EXAMPLE-BUCKET/*"
            ],
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "2001:DB8:1234:5678::/64"
                    ]
                },
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "203.0.113.0/24",
                        "2001:DB8:1234:5678:ABCD::/80"
                    ]
                }
            }
        }
    ]
}