存取管理 - Amazon Simple Storage Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

存取管理

Amazon S3 提供各種存取管理工具。以下是這些功能和工具的清單。您不需要所有這些存取管理工具,但必須使用其中一或多項來授予 Amazon S3 儲存貯體、物件和其他 S3 資源的存取權。適當應用這些工具可協助確保只有預定使用者才能存取您的資源。

最常用的存取管理工具是「存取政策」。存取政策可以是連接至 AWS 資源的資源型政策,例如儲存貯體的儲存貯體政策。存取政策也可以是連接至 AWS Identity and Access Management (IAM) 身分 (例如 IAM 使用者、群組或角色) 的「身分型政策」。存取政策描述誰可以存取什麼內容。撰寫存取政策,授予 AWS 帳戶 和 IAM 使用者、群組和角色許可,以對資源執行操作。例如,您可以將PUT Object許可授予另一個帳戶, AWS 帳戶 讓另一個帳戶可以將物件上傳到您的儲存貯體。

以下是 Amazon S3 中可用的存取管理工具。如需 Amazon S3 存取控制的更完整指南,請參閱《Amazon S3 中的存取控制》。

儲存貯體政策

Amazon S3 儲存貯體政策是連接至特定儲存貯體的 JSON 格式 AWS Identity and Access Management (IAM) 資源型政策。使用儲存貯體政策來授予儲存貯體及其中物件的其他 AWS 帳戶 或 IAM 身分許可。許多 S3 存取管理使用案例可以透過使用儲存貯體政策來實現。透過儲存貯體策略,您可以個人化儲存貯體存取權,以協助確保只有您核准的身分才能存取資源,以及在其中執行動作。如需詳細資訊,請參閱Amazon S3 的儲存貯體政策

身分型政策

身分型或 IAM 使用者政策是一種 AWS Identity and Access Management (IAM) 政策。身分型政策是連接至您 AWS 帳戶中 IAM 使用者、群組或角色的 JSON 格式政策。您可以使用身分型政策,授權 IAM 身分存取您的儲存貯體或物件。您可以在帳戶中建立 IAM 使用者、群組及角色,然後將存取政策與其相連。然後,您可以授予 AWS 資源 (包括 Amazon S3 資源) 的存取權。如需詳細資訊,請參閱Amazon S3 的身分型政策

S3 Access Grants

您可以使用 S3 存取授權,將您 Amazon S3 資料的存取權同時授予公司身分目錄 (例如 Active Directory) 中的身分和 AWS Identity and Access Management (IAM) 身分。S3 存取授權可協助您大規模管理資料許可。此外,S3 存取授權會記錄最終使用者身分,以及用於存取 AWS CloudTrail中 S3 資料的應用程式。這會提供深入到最終使用者身分對您 S3 儲存貯體中資料之所有存取的詳細稽核歷史記錄。如需詳細資訊,請參閱使用 S3 Access Grants 管理存取

存取點

Amazon S3 Access Points 為使用 S3 上共用資料集的應用程式,簡化了大規模管理資料存取的過程。存取點是連接至儲存貯體的具名網路端點。您可以使用存取點大規模執行 S3 物件操作,例如上傳和擷取物件。一個儲存貯體最多可連接 10,000 個存取點,而且您可以為每個存取點強制執行不同的許可和網路控制,讓您對 S3 物件的存取進行詳細的控制。S3 存取點可與同一個帳戶或其他受信任帳戶中的儲存貯體建立關聯。存取點政策是資源型政策,會與基礎儲存貯體政策一起評估。如需詳細資訊,請參閱使用存取點管理對共用資料集的存取

存取控制清單 (ACL)

ACL 為一個清單,其中指出被授予者及獲授予之許可。ACL 會將基本的讀取或寫入許可授予其他 AWS 帳戶。ACL 使用 Amazon S3 專屬的 XML 結構描述。ACL 是一種 AWS Identity and Access Management (IAM) 政策。物件 ACL 用於管理對物件的存取,而儲存貯體 ACL 用於管理對儲存貯體的存取。使用儲存貯體政策時,整個儲存貯體會有一個政策,但要對每個物件指定物件 ACL。建議您將 ACL 保持關閉狀態,除非在異常情況下必須個別控制每個物件的存取。如需使用 ACL 的詳細資訊,請參閱 控制物件的擁有權並停用儲存貯體的 ACL

警告

Amazon S3 中的大多數新式使用案例不需要使用 ACL。

物件擁有權

若要管理對物件的存取,您必須是物件的擁有者。您可以使用物件擁有權儲存貯體設定來控制上傳至儲存貯體的物件的擁有權。此外,使用物件擁有權可開啟 ACL。根據預設,物件擁有權會設定為 儲存貯體擁有者強制執行 設定,並關閉所有 ACL。關閉 ACL 時,儲存貯體擁有者會擁有儲存貯體中的所有物件,並獨佔管理對資料的存取。若要管理存取權,儲存貯體擁有者會使用政策或其他存取管理工具,但不包括 ACL。如需詳細資訊,請參閱控制物件的擁有權並停用儲存貯體的 ACL

如需 Amazon S3 存取控制和其他最佳實務的更完整指南,請參閱《Amazon S3 中的存取控制》。