控制對 Lightsail 值區和物件的存取 - Amazon Lightsail
儲存貯體存取許可個別物件存取許可跨帳戶存取權存取金鑰資源存取Amazon S3 封鎖公開存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

控制對 Lightsail 值區和物件的存取

根據預設,所有 Amazon Lightsail 物件儲存資源 (儲存貯體和物件) 都是私有的。這表示只有值區擁有者 (建立該值區的 Lightsail 帳戶) 可以存取值區及其物件。儲存貯體擁有者可選擇性地將存取權授予他人。您可以採用下列方式授予儲存貯體及其物件的存取權:

  • 唯讀存取權 – 下列選項透過儲存貯體的 URL (例如 https://DOC-EXAMPLE-BUCKET.us-east-1.amazonaws.com/media/sailbot.jpg) 控制儲存貯體及其物件的唯讀存取權。

    • 儲存貯體存取許可 – 使用儲存貯體存取許可,為網際網路上的任何人授予儲存貯體中所有物件的存取權。如需詳細資訊,請參閱本指南稍後的儲存貯體存取許可

    • 個別物件存取許可 – 使用個別物件存取許可,為網際網路上的任何人授予儲存貯體中個別物件的存取權。如需詳細資訊,請參閱本指南稍後的個別物件存取許可

    • 跨帳戶存取 — 使用跨帳戶存取權,將值區中所有物件的存取權授與其他 AWS 帳戶。如需詳細資訊,請參閱本指南稍後的跨帳戶存取

  • 讀取和寫入存取 – 下列選項會控制儲存貯體及其物件的完整讀取和寫入存取權。搭配 AWS Command Line Interface (AWS CLI)、 AWS API 和 AWS SDK 使用這些選項。

    • Access keys (存取金鑰) – 使用存取金鑰授予應用程式或外掛程式的存取權。如需詳細資訊,請參閱本指南稍後的存取金鑰

    • 資源存取權 — 使用資源存取權授與 Lightsail 執行個體的存取權。如需詳細資訊,請參閱本指南稍後的資源存取

  • Amazon 簡易儲存服務區塊公開存取 — 使用 Amazon Simple Storage Service (Amazon S3) 帳戶層級區塊公開存取功能,集中限制公眾對 Amazon S3 和 Lightsail 儲存貯體的存取。無論個別儲存貯體和物件許可為何,封鎖公用存取都可以將所有 Amazon S3 和 Lightsail 儲存貯體設為私有。如需詳細資訊,請參閱本指南稍後的 Amazon S3 封鎖公開存取

如需有關儲存貯體的詳細資訊,請參閱物件儲存。如需有關安全最佳實務的詳細資訊,請參閱物件儲存的安全最佳實務

儲存貯體存取許可

使用儲存貯體存取許可來控制對儲存貯體中物件的公有 (未驗證) 唯讀存取。設定儲存貯體存取許可時,您可以選擇以下其中一個選項:

  • All objects are private (所有物件皆為私有) – 儲存貯體中的所有物件僅限於您或您授予存取權的任何人讀取。此選項不允許將個別物件設為公有 (唯讀)。

  • Individual objects can be made public (read-only) (可將個別物件設為公有 (唯讀)) – 除非您將個別物件指定為公有 (唯讀),否則儲存貯體中的物件僅限於您或您授予存取權的任何人讀取。此選項允許將個別物件設為公有 (唯讀)。如需詳細資訊,請參閱本指南稍後的個別物件存取許可

  • All objects are public (read-only) (所有物件皆為公有 (唯讀)) – 儲存貯體中的所有物件可供網際網路上的任何人讀取。在您選擇此選項時,儲存貯體中的所有物件都可以透過儲存貯體的 URL (例如 https://DOC-EXAMPLE-BUCKET.us-east-1.amazonaws.com/media/sailbot.jpg) 供網際網路上的任何人讀取。

如需有關設定儲存貯體存取許可的詳細資訊,請參閱設定儲存貯體存取許可

個別物件存取許可

使用個別物件存取許可來控制儲存貯體中對個別物件的公有 (未驗證) 唯讀存取。個別物件存取許可只能在儲存貯體的 Bucket access permissions (儲存貯體存取許可) 允許將個別物件設為公有 (唯讀) 時進行設定。為個別物件設定存取許可時,您可以選擇以下其中一個選項:

  • Private (私有) – 僅限於您或您授予存取權的任何人讀取物件。

  • Public (read-only) (公有 (唯讀)) – 網際網路上的任何人皆可讀取物件。網際網路上的任何人都能透過儲存貯體的 URL (例如 https://DOC-EXAMPLE-BUCKET.us-east-1.amazonaws.com/media/sailbot.jpg) 讀取個別物件。

如需有關設定個別物件存取許可的詳細資訊,請參閱設定儲存貯體中個別物件的存取許可

跨帳戶存取權

使用跨帳戶存取權,將值區中所有物件的已驗證唯讀存取權授與其他 AWS 帳戶及其使用者。如果您想與其他帳戶共享對象,則跨 AWS 帳戶訪問是理想的選擇。當您將跨帳戶存取權授予其他 AWS 帳戶,該帳戶中的使用者可以透過儲存貯體的 URL 擁有儲存貯體物件的唯讀權限 (例如 https://DOC-EXAMPLE-BUCKET.us-east-1.amazonaws.com/media/sailbot.jpg)。您最多可以授予 10 個 AWS 帳戶的存取權。

如需有關設定跨帳戶存取的詳細資訊,請參閱設定儲存貯體的跨帳户存取權

存取金鑰

請使用存取金鑰建立一組憑證,以授予對儲存貯體及其物件的完整讀寫存取權。存取金鑰是存取金鑰 ID 和私密存取金鑰為一組所組成。每個儲存貯體可擁有最多兩個存取金鑰。您可以在應用程式上設定存取金鑰,以便它可以使用 AWS API 和 AWS SDK 存取值區及其物件。您也可以在 AWS CLI 上設定存取金鑰。

如需有關建立存取金鑰的詳細資訊,請參閱為儲存貯體建立存取金鑰

資源存取

針對 Lightsail 執行個體,使用資源存取權授與值區及其物件的完整讀取和寫入存取權。透過資源存取,您不必管理如存取金鑰這類憑證。若要授予執行個體的存取權,請將執行個體附接至同一 AWS 區域中的儲存貯體。若要拒絕存取,請從儲存貯體分開執行個體。如果您在執行個體上設定應用程式,以程式設計方式上傳和存取儲存貯體上的檔案,則資源存取是理想的選擇。其中一個使用案 WordPress 例是將執行個體設定為將媒體檔案儲存在值區上。如需詳細資訊,請參閱教學課程:將值區 Connect 至 WordPress 執行個體教學課程:使用含有內容傳遞網路散發的值區

如需有關設定資源存取的詳細資訊,請參閱設定儲存貯體的資源存取

Amazon S3 封鎖公開存取

使用 Amazon S3 區塊公開存取功能,集中限制公開存取 Amazon S3 和 Lightsail 中的儲存貯體。無論個別儲存貯體和物件許可為何,封鎖公用存取都可以將所有 Amazon S3 和 Lightsail 儲存貯體設為私有。您可以使用 Amazon S3 主控台、 AWS AWS CLI、開發套件和 REST API,為帳戶中的所有儲存貯體 (包括 Lightsail 物件儲存服務中的儲存貯體) 設定區塊公開存取設定。如需詳細資訊,請參閱封鎖儲存貯體的公有存取