Menggunakan tag dengan ember tujuan umum S3 - Amazon Simple Storage Service
Cara umum untuk menggunakan tag dengan emberMengelola tag untuk ember tujuan umum

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan tag dengan ember tujuan umum S3

AWS Tag adalah pasangan nilai kunci yang menyimpan metadata tentang sumber daya, dalam hal ini bucket tujuan umum Amazon S3. Anda dapat menandai bucket S3 saat Anda membuatnya atau mengelola tag pada bucket yang ada. Untuk informasi umum tentang tag, lihatPenandaan untuk alokasi biaya atau kontrol akses berbasis atribut (ABAC).

catatan

Tidak ada biaya tambahan untuk menggunakan tag pada bucket di luar tarif permintaan API S3 standar. Untuk informasi selengkapnya, lihat Harga Amazon S3.

Cara umum untuk menggunakan tag dengan ember

Gunakan tag pada bucket S3 Anda untuk:

  1. Alokasi biaya — Lacak biaya penyimpanan dengan tag bucket in AWS Billing and Cost Management. Untuk informasi selengkapnya, lihat Menggunakan tag untuk alokasi biaya.

  2. Kontrol akses berbasis atribut (ABAC) — Skala izin akses dan berikan akses ke bucket S3 berdasarkan tag mereka. Untuk informasi selengkapnya, lihat Menggunakan tag untuk ABAC.

    catatan

    Untuk bucket tujuan umum, ABAC tidak diaktifkan secara default. Untuk mengaktifkan ABAC untuk ember tujuan umum, lihat. Mengaktifkan ABAC dalam ember tujuan umum Untuk sumber daya Amazon S3 seperti titik akses dan bucket direktori, ABAC diaktifkan secara default. Anda dapat menggunakan tanda yang sama untuk alokasi biaya dan kontrol akses.

ABAC untuk ember tujuan umum S3

Bucket tujuan umum Amazon S3 mendukung kontrol akses berbasis atribut (ABAC) menggunakan tag. Gunakan kunci kondisi berbasis tag di AWS organisasi, IAM, dan kebijakan bucket S3 Anda. Untuk perusahaan, ABAC di Amazon S3 mendukung otorisasi di beberapa akun. AWS

Dalam kebijakan IAM, Anda dapat mengontrol akses ke bucket S3 berdasarkan tag bucket dengan menggunakan kunci kondisi global berikut:

  • aws:ResourceTag/key-name

    • Gunakan kunci kondisi ini untuk membandingkan pasangan nilai kunci tag yang Anda tentukan dalam kebijakan dengan pasangan nilai kunci yang dilampirkan ke sumber daya. S3 mengevaluasi kunci kondisi ini hanya setelah Anda mengaktifkan ABAC di bucket Anda. Misalnya, Anda dapat meminta agar akses ke sumber daya hanya diperbolehkan jika sumber daya memiliki kunci tanda yang dilampirkan Dept dengan nilai Marketing. Untuk informasi selengkapnya, lihat Mengontrol akses ke AWS sumber daya.

  • aws:RequestTag/key-name

    • Gunakan kunci kondisi ini untuk membandingkan pasangan nilai kunci tag yang diteruskan dalam permintaan dengan pasangan tag yang Anda tentukan dalam kebijakan. Misalnya, Anda dapat memeriksa apakah permintaan tersebut menyertakan kunci tanda Dept dan memiliki nilai Accounting. Untuk informasi selengkapnya, lihat Mengontrol akses selama AWS permintaan. Anda dapat menggunakan kunci kondisi ini untuk membatasi pasangan nilai kunci tag mana yang dapat diteruskan selama operasi TagResource dan CreateBucket API.

  • aws:TagKeys

    • Gunakan tombol kondisi ini untuk membandingkan kunci tag dalam permintaan dengan kunci yang Anda tentukan dalam kebijakan. Sebaiknya saat Anda menggunakan kebijakan untuk mengontrol akses menggunakan tag, gunakan tombol aws:TagKeys kondisi untuk menentukan kunci tag apa yang diizinkan. Misalnya kebijakan dan informasi selengkapnya, lihat Mengontrol akses berdasarkan kunci tag.

  • s3:BucketTag/tag-key

    • Gunakan kunci kondisi ini untuk memberikan izin ke data tertentu dalam bucket menggunakan tag. Kunci kondisi ini hanya berlaku setelah ABAC diaktifkan di bucket Anda. Saat mengakses bucket dengan menggunakan titik akses, kunci aws:ResourceTag/tag-key kondisi mereferensikan tag pada bucket baik saat mengotorisasi terhadap titik akses dan bucket. s3:BucketTag/tag-keyWill mereferensikan tag hanya dari bucket yang diotorisasi terhadapnya.

catatan

Saat membuat bucket dengan tag, perhatikan bahwa kondisi berbasis tag untuk mengakses bucket Anda menggunakan kunci BucketTag kondisi aws: ResourceTag dan s3: hanya berlaku setelah Anda mengaktifkan ABAC di bucket. Untuk mempelajari selengkapnya, lihat Mengaktifkan ABAC dalam ember tujuan umum.

Contoh kebijakan ABAC untuk bucket

Lihat contoh kebijakan ABAC berikut untuk bucket Amazon S3.

1.1 - Kebijakan IAM untuk membuat atau memodifikasi bucket dengan tag tertentu

Dalam kebijakan IAM ini, pengguna atau peran dengan kebijakan ini hanya dapat membuat bucket S3 jika mereka menandai bucket dengan kunci tag project dan nilai tag Trinity dalam permintaan pembuatan bucket. Mereka juga dapat menambahkan atau memodifikasi tag pada bucket S3 yang ada selama TagResource permintaan tersebut menyertakan pasangan nilai kunci tag. project:Trinity Kebijakan ini tidak memberikan izin baca, tulis, atau hapus pada bucket atau objeknya. 

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "CreateBucketWithTags",
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/project": [
            "Trinity"
          ]
        }
      }
    }
  ]
}

1.2 - Kebijakan Bucket untuk membatasi operasi

Dalam kebijakan bucket ini, prinsipal IAM (pengguna dan peran) ditolak s3:ListBuckets3:GetObject, dan s3:PutObject tindakan pada bucket hanya jika nilai project tag pada bucket cocok dengan nilai project tag pada prinsipal.

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DenyObjectOperations",
            "Effect": "Deny",
            "Principal": "*",
            "Action": ["s3:ListBucket",
                       "s3:GetObject",
                       "s3:PutObject"],
            "Resource": "arn:aws:s3:::aws-s3-demo/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
                }
            }
        }
    ]
}

1.3 - Kebijakan IAM untuk memodifikasi tag pada sumber daya yang ada

Dalam kebijakan IAM ini, prinsipal IAM (pengguna atau peran) dapat memodifikasi tag pada bucket hanya jika nilai tag bucket cocok dengan nilai project tag prinsipal. project Hanya empat tagproject,environment,owner, dan cost-center ditentukan dalam tombol aws:TagKeys kondisi yang diizinkan untuk ember ini. Ini membantu menegakkan tata kelola tag, mencegah modifikasi tag yang tidak sah, dan menjaga skema penandaan tetap konsisten di seluruh bucket Anda.

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "EnforceTaggingRulesOnModification",
      "Effect": "Allow",
      "Action": [
        "s3:TagResource",
        "s3:CreateBucket"
      ],
      "Resource": "*",
      "Condition": {
        "ForAllValues:StringEquals": {
          "aws:TagKeys": [
            "project",
            "environment",
            "owner",
            "cost-center"
          ]
        }
      }
    }
  ]
}

1.4 - Menggunakan kunci BucketTag kondisi s3:

Dalam kebijakan IAM ini, pernyataan kondisi mengizinkan akses ke data aws-s3-demo bucket hanya jika bucket memiliki kunci tag Environment dan nilai Production tag.

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAccessViaSpecificBucket",
      "Effect": "Allow",
      "Action": "*",
      "Resource": ["arn:aws:s3:::aws-s3-demo","arn:aws:s3:::aws-s3-demo/*"],
      "Condition": {
        "StringEquals": {
          "s3:BucketTag/Environment": "Production"
        }
      }
    }
  ]
}

Mengelola tag untuk ember tujuan umum

Anda dapat menambahkan atau mengelola tag untuk bucket S3 menggunakan Konsol Amazon S3, Antarmuka Baris AWS Perintah (CLI), AWS SDKs atau menggunakan S3:,, dan. APIs TagResourceUntagResourceListTagsForResource Untuk informasi lebih lanjut, lihat:

Topik