Mengelola akses publik ke Titik Akses Multi-Wilayah Melihat setelan Blokir Akses Publik untuk Titik Akses Multi-Wilayah Menggunakan kebijakan Titik Akses Multi-Wilayah Mengedit kebijakan Titik Akses Multi-Wilayah Contoh kebijakan Titik Akses Multi-Wilayah

Izin

Poin Akses Multi-Wilayah Amazon S3 dapat menyederhanakan akses data untuk bucket Amazon S3 dalam beberapa. Wilayah AWS Titik Akses Multi-Wilayah diberi nama titik akhir global yang dapat Anda gunakan untuk melakukan operasi objek akses data Amazon S3, seperti GetObject dan PutObject. Setiap Titik Akses Multi-Wilayah dapat memiliki izin dan kendali jaringan yang berbeda untuk setiap permintaan yang dibuat melalui titik akhir global.

Setiap Titik Akses Multi-Wilayah juga dapat memberlakukan kebijakan akses khusus yang bekerja bersama dengan kebijakan bucket yang melekat pada bucket yang mendasarinya. Agar permintaan berhasil, semua hal berikut harus mengizinkan operasi:

Kebijakan Titik Akses Multi-Wilayah
Kebijakan AWS Identity and Access Management (IAM) yang mendasari
Kebijakan bucket yang mendasarinya (tempat permintaan dirutekan)

Anda dapat mengonfigurasi kebijakan Titik Akses Multi-Wilayah untuk menerima permintaan hanya dari IAM pengguna atau grup tertentu. Untuk contoh cara melakukannya, lihat Contoh 2 di Contoh kebijakan Titik Akses Multi-Wilayah. Untuk membatasi akses data Amazon S3 ke jaringan pribadi, Anda dapat mengonfigurasi kebijakan Titik Akses Multi-Wilayah untuk menerima permintaan hanya dari cloud pribadi virtual (). VPC

Misalnya, Anda membuat GetObject permintaan melalui Titik Akses Multi-Wilayah dengan menggunakan pengguna yang dipanggil AppDataReader di AWS akun Anda. Untuk memastikan bahwa permintaan tidak akan ditolak, pengguna AppDataReader harus diberikan izin s3:GetObject oleh Titik Akses Multi-Wilayah dan oleh setiap bucket yang mendasari Titik Akses Multi-Wilayah. AppDataReader tidak akan dapat mengambil data dari bucket mana pun yang tidak memberikan izin ini.

penting

Mendelegasikan kontrol akses untuk bucket ke kebijakan Titik Akses Multi-Wilayah tidak mengubah perilaku bucket saat bucket diakses langsung melalui nama bucket atau Amazon Resource Name ()ARN. Semua operasi yang dilakukan langsung terhadap bucket akan terus bekerja seperti sebelumnya. Pembatasan yang Anda sertakan dalam kebijakan Titik Akses Multi-Wilayah hanya berlaku untuk permintaan yang dibuat melalui Titik Akses Multi-Wilayah tersebut.

Mengelola akses publik ke Titik Akses Multi-Wilayah

Titik Akses Multi-Wilayah mendukung pengaturan Blokir Akses Publik independen untuk setiap Titik Akses Multi-Wilayah. Saat Anda membuat Titik Akses Multi-Wilayah, Anda dapat menentukan pengaturan Blokir Akses Publik yang berlaku untuk Titik Akses Multi-Wilayah tersebut.

catatan

Setelan Blokir Akses Publik apa pun yang diaktifkan di bawah pengaturan Blokir Akses Publik untuk akun ini (di akun Anda sendiri) atau Blokir Pengaturan Publik untuk bucket eksternal tetap berlaku meskipun pengaturan Blokir Akses Publik independen untuk Titik Akses Multi-Wilayah Anda dinonaktifkan.

Untuk setiap permintaan yang dibuat melalui Titik Akses Multi-Wilayah, Amazon S3 mengevaluasi pengaturan Blokir Akses Publik untuk:

Titik Akses Multi-Wilayah
Bucket yang mendasarinya (termasuk bucket eksternal)
Akun yang memiliki Titik Akses Multi-Wilayah
Akun yang memiliki bucket yang mendasarinya (termasuk akun eksternal)

Jika salah satu pengaturan ini menunjukkan bahwa permintaan tersebut harus diblokir, Amazon S3 menolak permintaan tersebut. Untuk informasi selengkapnya tentang fitur Blokir Akses Publik Amazon S3, lihat Melakukan blok akses publik ke penyimpanan Amazon S3 Anda.

penting

Secara default, semua pengaturan Blokir Akses Publik diaktifkan untuk Titik Akses Multi-Wilayah. Anda harus secara eksplisit menonaktifkan pengaturan apa pun yang tidak ingin Anda terapkan ke Titik Akses Multi-Wilayah.

Anda tidak dapat mengubah pengaturan Blokir Akses Publik untuk Titik Akses Multi-Wilayah setelah dibuat.

Melihat setelan Blokir Akses Publik untuk Titik Akses Multi-Wilayah

Untuk melihat pengaturan Blokir Akses Publik untuk Titik Akses Multi-Wilayah

Masuk ke AWS Management Console dan buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/
Di panel navigasi kiri, pilih Titik Akses Multi-Wilayah.
Pilih nama Titik Akses Multi-Wilayah yang ingin Anda tinjau.
Pilih tab Izin.
Di bawah pengaturan Blokir Akses Publik untuk Titik Akses Multi-Wilayah ini, tinjau pengaturan Blokir Akses Publik untuk Titik Akses Multi-Wilayah Anda.

catatan
Anda tidak dapat mengedit pengaturan Blokir Akses Publik setelah Titik Akses Multi-Wilayah dibuat. Oleh karena itu, jika Anda ingin memblokir akses publik, pastikan aplikasi Anda berfungsi dengan benar tanpa akses publik sebelum Anda membuat Titik Akses Multi-Wilayah.

Menggunakan kebijakan Titik Akses Multi-Wilayah

Contoh kebijakan Titik Akses Multi-Wilayah berikut memberikan akses IAM pengguna untuk membuat daftar dan mengunduh file dari Titik Akses Multi-Wilayah Anda. Untuk menggunakan kebijakan contoh ini, ganti user input placeholders dengan informasi Anda sendiri.


 {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::123456789012:user/JohnDoe" 
         },
         "Action":[
            "s3:ListBucket",
            "s3:GetObject"
         ],
         "Resource":[
            "arn:aws:s3::111122223333:accesspoint/MultiRegionAccessPoint_alias",
            "arn:aws:s3::111122223333:accesspoint/MultiRegionAccessPoint_alias/object/*"
         ]
      }
   ]
}

Untuk mengaitkan kebijakan Titik Akses Multi-Wilayah Anda dengan Titik Akses Multi-Wilayah yang telah ditentukan menggunakan AWS Command Line Interface (AWS CLI), gunakan perintah put-multi-region-access-point-policy berikut. Untuk menggunakan contoh perintah ini, ganti user input placeholders dengan informasi Anda sendiri. Setiap Titik Akses Multi-Wilayah hanya dapat memiliki satu kebijakan, sehingga permintaan yang dibuat untuk tindakan put-multi-region-access-point-policy tersebut akan menggantikan kebijakan yang ada yang terkait dengan Titik Akses Multi-Wilayah yang telah ditentukan.

Jika Anda ingin mengetahui hasil dari operasi sebelumnya, gunakan perintah berikut ini:

Untuk mengambil kebijakan Titik Akses Multi-Wilayah, gunakan perintah berikut:

Mengedit kebijakan Titik Akses Multi-Wilayah

Kebijakan Titik Akses Multi-Wilayah (tertulis dalamJSON) menyediakan akses penyimpanan ke bucket Amazon S3 yang digunakan dengan Titik Akses Multi-Wilayah ini. Anda dapat mengizinkan atau menolak pengguna utama tertentu untuk melakukan berbagai tindakan pada Titik Akses Multi-Wilayah. Ketika permintaan dirutekan ke bucket melalui Titik Akses Multi-Wilayah, maka kebijakan akses untuk Titik Akses Multi-Wilayah dan bucket akan diberlakukan. Kebijakan akses yang lebih ketat selalu diutamakan.

catatan

Jika bucket berisi objek yang dimiliki oleh akun lain, kebijakan Titik Akses Multi-Wilayah tidak berlaku untuk objek yang dimiliki oleh orang lain Akun AWS.

Setelah Anda menerapkan kebijakan Titik Akses Multi-Wilayah, kebijakan tersebut tidak dapat dihapus. Anda dapat mengedit kebijakan atau membuat kebijakan baru yang menimpa kebijakan yang sudah ada.

Untuk mengedit kebijakan Titik Akses Multi-Wilayah

Masuk ke AWS Management Console dan buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/
Di panel navigasi kiri, pilih Titik Akses Multi-Wilayah.
Pilih nama Titik Akses Multi-Wilayah yang ingin Anda edit kebijakannya.
Pilih tab Izin.
Gulir ke bawah ke bagian kebijakan Titik Akses Multi-Wilayah. Pilih Edit untuk memperbarui kebijakan (dalamJSON).
Halaman kebijakan Edit Titik Akses Multi-Wilayah akan muncul. Anda dapat memasukkan kebijakan langsung ke bidang teks atau memilih Tambahkan pernyataan untuk memilih elemen kebijakan dari daftar dropdown.

catatan
Konsol secara otomatis menampilkan Multi-Region Access Point Amazon Resource Name (ARN), yang dapat Anda gunakan dalam kebijakan. Misalnya kebijakan Titik Akses Multi-Wilayah, lihat Contoh kebijakan Titik Akses Multi-Wilayah.

Contoh kebijakan Titik Akses Multi-Wilayah

Poin Akses Multi-Wilayah Amazon S3 mendukung AWS Identity and Access Management (IAM) kebijakan sumber daya. Anda dapat menggunakan kebijakan ini untuk mengontrol penggunaan Titik Akses Multi-Wilayah berdasarkan sumber daya, pengguna, atau ketentuan lainnya. Agar aplikasi atau pengguna dapat mengakses objek melalui Titik Akses Multi-Wilayah, baik Titik Akses Multi-Wilayah maupun bucket yang mendasarinya harus mengizinkan akses yang sama.

Untuk mengizinkan akses yang sama ke Titik Akses Multi-Wilayah dan bucket yang mendasarinya, lakukan salah satu hal berikut:

(Disarankan) Untuk menyederhanakan kontrol akses saat menggunakan Titik Akses Multi-Wilayah Amazon S3, delegasikan kontrol akses untuk bucket Amazon S3 ke Titik Akses Multi-Wilayah. Untuk contoh cara melakukannya, lihat Contoh 1 di bagian ini.
Tambahkan izin yang sama yang terdapat dalam kebijakan Titik Akses Multi-Wilayah ke kebijakan bucket yang mendasarinya.

penting

contoh 1–Mendelegasikan akses ke Titik Akses Multi-Wilayah tertentu dalam kebijakan bucket Anda (untuk akun atau lintas akun yang sama)

Contoh kebijakan bucket berikut memberikan akses bucket penuh ke Titik Akses Multi-Wilayah tertentu. Ini berarti bahwa semua akses ke bucket ini dikontrol oleh kebijakan yang terdapat pada Titik Akses Multi-Wilayah. Kami menyarankan Anda untuk mengonfigurasi bucket dengan cara ini untuk semua kasus penggunaan yang tidak memerlukan akses langsung ke bucket. Anda dapat menggunakan struktur kebijakan bucket ini untuk Titik Akses Multi-Wilayah di akun yang sama atau di akun lain.


{
    "Version": "2012-10-17",
    "Statement" : [
    {
        "Effect": "Allow",
        "Principal" : { "AWS": "*" },
        "Action" : "*",
        "Resource" : [ "Bucket ARN", "Bucket ARN/*"],
        "Condition": {
            "StringEquals" : { "s3:DataAccessPointArn" : "MultiRegionAccessPoint_ARN" }
        }
    }]
}

catatan

Jika ada beberapa Titik Akses Multi-Wilayah yang Anda berikan akses, pastikan untuk mencantumkan setiap Titik Akses Multi-Wilayah.

contoh 2–Memberikan akses akun ke Titik Akses Multi-Wilayah dalam kebijakan Titik Akses Multi-Wilayah Anda

Kebijakan Titik Akses Multi-Wilayah berikut memungkinkan 123456789012 izin akun untuk mencantumkan dan membaca objek yang terdapat dalam Titik Akses Multi-Wilayah yang ditentukan oleh MultiRegionAccessPoint_ARN.


{
  "Version":"2012-10-17",
  "Statement": [
    {
       "Effect": "Allow",
       "Principal": {
          "AWS":"arn:aws:iam::123456789012:user/JohnDoe"
       },
       "Action":[
          "s3:ListBucket",
          "s3:GetObject"
       ],
       "Resource":[ 
          "MultiRegionAccessPoint_ARN",
          "MultiRegionAccessPoint_ARN/object/*"
       ]
     }
  ]
}

contoh 3–Kebijakan Titik Akses Multi-Wilayah yang memungkinkan pembuatan daftar bucket

Kebijakan Titik Akses Multi-Wilayah berikut memungkinkan 123456789012 izin akun untuk mencantumkan objek yang terdapat dalam Titik Akses Multi-Wilayah yang ditentukan oleh MultiRegionAccessPoint_ARN.


{
   "Version":"2012-10-17",
   "Statement": [
      {
       "Effect": "Allow",
       "Principal": {
        "AWS": "arn:aws:iam::123456789012:user/JohnDoe"
        },
        "Action": "s3:ListBucket",
        "Resource": "MultiRegionAccessPoint_ARN"
       }
    ]
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Menggunakan Titik Akses Multi Wilayah

Pembatasan dan batasan