Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS Identity and Access Management (IAM) adalah sebuah Layanan AWS yang membantu administrator mengontrol akses ke sumber daya dengan aman. AWS Administrator IAM mengontrol siapa yang dapat diautentikasi (masuk) dan diotorisasi (memiliki izin) untuk menggunakan sumber daya Amazon S3 di S3 Express One Zone. Anda dapat menggunakan IAM tanpa biaya tambahan.
Secara default, pengguna tidak memiliki izin untuk bucket direktori dan operasi S3 Express One Zone. Untuk memberikan izin akses bagi bucket direktori, Anda dapat menggunakan IAM untuk membuat pengguna, grup, atau peran dan melampirkan izin ke identitas tersebut. Untuk informasi selengkapnya tentang IAM, lihat Praktik terbaik keamanan di IAM di Panduan Pengguna IAM.
Untuk memberikan akses, Anda dapat menambahkan izin ke pengguna, grup, atau peran Anda melalui cara berikut:
-
Pengguna dan grup di AWS IAM Identity Center - Buat set izin. Ikuti instruksi di Buat rangkaian izin di Panduan Pengguna AWS IAM Identity Center .
-
Pengguna yang dikelola di IAM melalui penyedia identitas-Buat peran untuk federasi identitas. Ikuti instruksi dalam Membuat peran untuk penyedia identitas pihak ketiga (federasi) di Panduan Pengguna IAM.
-
Peran dan pengguna IAM–Buat peran yang dapat diambil oleh pengguna Anda. Ikuti instruksi dalam Membuat peran untuk mendelegasikan izin ke pengguna IAM di Panduan Pengguna IAM.
Untuk informasi tentang pengaturan IAM untuk S3 Express One Zone, lihat topik berikut.
Topik
Pengguna utama
Saat membuat kebijakan berbasis sumber daya untuk memberikan akses ke bucket, Anda harus menggunakan elemen Principal
tersebut untuk menentukan orang atau aplikasi yang dapat membuat permintaan tindakan atau operasi pada sumber daya tersebut. Untuk kebijakan bucket direktori, Anda dapat menggunakan pengguna utama berikut:
-
AWS Akun
-
Pengguna IAM
-
Peran IAM
-
Pengguna gabungan
Untuk informasi selengkapnya, silakan lihat Principaldi Panduan Pengguna IAM.
Sumber daya
Amazon Resource Names (ARNs) untuk bucket direktori berisi s3express
namespace, ID AWS akun Wilayah AWS, dan nama bucket direktori, yang menyertakan ID Availability Zone. Untuk mengakses dan melakukan tindakan pada bucket direktori Anda, Anda harus menggunakan format ARN berikut ini:
arn:aws:s3express:
region
:account-id
:bucket/base-bucket-name
--zone-id
--x-s3
Untuk informasi selengkapnya ARNs, lihat Amazon Resource Names (ARNs)di Panduan Pengguna IAM. Untuk informasi selengkapnya tentang sumber daya, lihat Elemen Kebijakan IAM JSON: Resourcedi Panduan Pengguna IAM.
Tindakan untuk ember direktori
Dalam kebijakan berbasis identitas atau kebijakan berbasis sumber daya IAM, Anda menentukan tindakan S3 yang diizinkan atau ditolak. Tindakan sesuai dengan operasi API tertentu. Saat menggunakan bucket direktori, Anda dapat menggunakan namespace S3 Express One Zone untuk memberikan izin. Namespace ini adalah s3express
.
Saat Anda memberikan izin s3express:CreateSession
, ini memungkinkan operasi API CreateSession
untuk mengambil token sesi saat mengakses operasi API (atau tingkat objek) titik akhir Zona. Token sesi ini mengembalikan kredensial yang digunakan untuk memberikan akses ke semua operasi API titik akhir Zona lainnya. Akibatnya, Anda tidak perlu memberikan izin akses ke operasi API Zona menggunakan kebijakan IAM. Sebagai gantinya, token sesi memungkinkan akses. Untuk daftar operasi dan izin API titik akhir Zonal, lihat Mengautentikasi dan mengotorisasi permintaan.
Untuk informasi selengkapnya tentang operasi API titik akhir Zona dan Regional, lihat Jaringan untuk ember direktori. Untuk mempelajari lebih lanjut tentang operasi CreateSession
API, lihat CreateSession dalam Referensi API Layanan Penyimpanan Sederhana Amazon.
Anda dapat menyebutkan tindakan berikut dalam elemen Action
pernyataan kebijakan IAM. Gunakan kebijakan untuk memberikan izin untuk melaksanakan operasi dalam AWS. Saat Anda menggunakan tindakan dalam kebijakan, Anda biasanya mengizinkan atau menolak akses ke operasi API dengan nama yang sama. Namun, dalam beberapa kasus, satu tindakan mengendalikan akses ke lebih dari satu operasi API. Akses ke tindakan tingkat bucket dapat diberikan hanya dalam kebijakan berbasis identitas IAM (pengguna atau peran) dan bukan kebijakan bucket.
Tabel berikut menunjukkan tindakan dan kondisi kunci.
Tindakan | API | Deskripsi | Tingkat akses | Kunci syarat |
---|---|---|---|---|
s3express:CreateBucket
|
CreateBucket |
Memberikan izin untuk membuat bucket baru. |
Tulis |
|
s3express:CreateSession |
Operasi API titik akhir zona |
Memberikan izin untuk membuat token sesi, yang digunakan untuk memberikan akses ke semua operasi API Zonal (tingkat objek), seperti,,, dan |
Tulis |
|
s3express:DeleteBucket |
DeleteBucket |
Berikan izin untuk menghapus bucket yang namanya tercantum dalam URI. |
Tulis |
|
s3express:DeleteBucketPolicy |
DeleteBucketPolicy |
Berikan izin untuk menghapus kebijakan pada bucket yang ditentukan. |
Manajemen izin |
|
s3express:GetBucketPolicy |
GetBucketPolicy |
Berikan izin untuk mengembalikan kebijakan dari bucket yang ditentukan. |
Baca |
|
s3express:GetEncryptionConfiguration |
GetBucketEncryption |
Memberikan izin untuk mengembalikan konfigurasi enkripsi default bucket direktori. |
Baca |
|
s3express:ListAllMyDirectoryBuckets |
ListDirectoryBuckets |
Memberikan izin untuk mencantumkan semua bucket direktori yang dimiliki oleh pengirim permintaan yang diautentikasi. |
Daftar |
|
s3express:PutBucketPolicy |
PutBucketPolicy |
Berikan izin untuk menambah atau mengganti kebijakan bucket pada sebuah bucket. |
Manajemen izin |
|
s3express:PutBucketPolicy |
PutBucketPolicy |
Berikan izin untuk menambah atau mengganti kebijakan bucket pada sebuah bucket. |
Manajemen izin |
|
s3express:PutEncryptionConfiguration |
PutBucketEncryption atau DeleteBucketEncryption |
Memberikan izin untuk mengatur konfigurasi enkripsi untuk bucket direktori |
Tulis |
|
Kunci kondisi untuk ember direktori
Berikut ini adalah kunci kondisi yang dapat digunakan dalam Condition
elemen kebijakan IAM. Anda dapat menggunakan kunci ini untuk menyempurnakan syarat lebih lanjut saat pernyataan kebijakan berlaku.
Kunci syarat | Deskripsi | Ketik |
---|---|---|
s3express:authType |
Filter akses berdasarkan metode autentikasi. Untuk membatasi permintaan masuk untuk menggunakan metode autentikasi tertentu, Anda dapat menggunakan kunci syarat opsional ini. Misalnya, Anda dapat menggunakan kunci syarat ini untuk mengizinkan hanya header Nilai valid: |
String |
s3express:LocationName |
Memfilter akses ke operasi API Nilai contoh: |
String |
s3express:ResourceAccount |
Memfilter akses oleh Akun AWS ID pemilik sumber daya. Untuk membatasi akses pengguna, peran, atau aplikasi ke bucket direktori yang dimiliki oleh Akun AWS ID tertentu, Anda dapat menggunakan kunci Nilai contoh: |
String |
s3express:SessionMode |
Memfilter akses berdasarkan izin yang diminta oleh operasi API Nilai valid: |
String |
s3express:signatureAge |
Filter akses berdasarkan usia tanda tangan permintaan dalam milidetik. Kondisi ini hanya berfungsi untuk presigned URLs. Di AWS Signature Version 4, kunci penandatanganan berlaku hingga tujuh hari. Karena itu, tanda tangan juga berlaku hingga tujuh hari. Untuk informasi selengkapnya, lihat Pendahuluan ke permintaan penandatanganan dalam Referensi API Amazon Simple Storage Service. Anda dapat menggunakan syarat ini untuk lebih lanjut membatasi umur tanda tangan. Nilai contoh: |
Numerik |
s3express:signatureversion |
Mengidentifikasi versi AWS Signature yang ingin Anda dukung untuk permintaan yang diautentikasi. Untuk permintaan yang diautentikasi, Signature Version 4 didukung. Nilai valid: |
String |
s3express:TlsVersion |
Filter akses berdasarkan versi TLS yang digunakan oleh klien. Anda dapat menggunakan kunci Nilai contoh: |
Numerik |
s3express:x-amz-content-sha256 |
Filter akses berdasarkan konten yang belum ditandatangani dalam bucket Anda. Anda dapat menggunakan kunci syarat ini untuk melarang konten yang tidak ditandatangani di bucket Anda. Ketika Anda menggunakan Signature Version 4 untuk permintaan yang menggunakan header Anda dapat menggunakan kunci syarat ini dalam kebijakan bucket untuk menolak setiap unggahan yang muatannya tidak ditandatangani. Sebagai contoh:
Nilai yang valid: |
String |
s3express:x-amz-server-side-encryption |
Filter akses berdasarkan enkripsi server-side Nilai valid: |
String |
s3express:x-amz-server-side-encryption-aws-kms-key-id |
Memfilter akses dengan kunci terkelola AWS KMS pelanggan untuk enkripsi sisi server Nilai contoh: |
ARN |