Mengotorisasi titik akhir APIs Regional dengan IAM

AWS Identity and Access Management (IAM) adalah sebuah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. IAMadministrator mengontrol siapa yang dapat diautentikasi (masuk) dan diberi wewenang (memiliki izin) untuk menggunakan sumber daya Amazon S3 di S3 Express One Zone. Anda dapat menggunakan IAM tanpa biaya tambahan.

Secara default, pengguna tidak memiliki izin untuk bucket direktori dan operasi S3 Express One Zone. Untuk memberikan izin akses untuk bucket direktori, Anda dapat menggunakan IAM untuk membuat pengguna, grup, atau peran dan melampirkan izin ke identitas tersebut. Untuk informasi selengkapnyaIAM, lihat Praktik terbaik keamanan IAM di Panduan IAM Pengguna.

Untuk memberikan akses, Anda dapat menambahkan izin ke pengguna, grup, atau peran Anda melalui cara berikut:

• Pengguna dan grup di AWS IAM Identity Center - Buat set izin. Ikuti instruksi di Buat rangkaian izin di Panduan Pengguna AWS IAM Identity Center .

• Pengguna yang dikelola IAM melalui penyedia identitas — Buat peran untuk federasi identitas. Ikuti petunjuk dalam Membuat peran untuk penyedia identitas pihak ketiga (federasi) di Panduan IAM Pengguna.

• IAMperan dan pengguna — Buat peran yang dapat diasumsikan oleh pengguna Anda. Ikuti petunjuk dalam Membuat peran untuk mendelegasikan izin kepada IAM pengguna di Panduan IAM Pengguna.

Untuk informasi selengkapnya tentang IAM S3 Express One Zone, lihat topik berikut.

Topik

• Pengguna utama
• Sumber daya
• Tindakan untuk S3 Express One Zone
• Kunci syarat untuk S3 Express One Zone
• IAMkebijakan berbasis identitas untuk S3 Express One Zone
• Contoh kebijakan bucket direktori untuk S3 Express One Zone

Pengguna utama

Saat membuat kebijakan berbasis sumber daya untuk memberikan akses ke bucket, Anda harus menggunakan elemen Principal tersebut untuk menentukan orang atau aplikasi yang dapat membuat permintaan tindakan atau operasi pada sumber daya tersebut. Untuk kebijakan bucket direktori, Anda dapat menggunakan pengguna utama berikut:

• AWS Akun

• Seorang IAM pengguna

• IAMPeran

• Pengguna gabungan

Untuk informasi selengkapnya, silakan lihat Principal di Panduan Pengguna IAM.

Sumber daya

Amazon Resource Names (ARNs) untuk bucket direktori berisi s3express namespace, ID AWS akun Wilayah AWS, dan nama bucket direktori, yang menyertakan ID Availability Zone. Untuk mengakses dan melakukan tindakan pada bucket direktori Anda, Anda harus menggunakan ARN format berikut:

arn:aws:s3express:region:account-id:bucket/base-bucket-name--azid--x-s3

Untuk informasi selengkapnyaARNs, lihat Amazon Resource Names (ARNs) di Panduan Pengguna IAM. Untuk informasi selengkapnya tentang sumber daya, lihat Elemen IAM JSON Kebijakan: Resource di Panduan Pengguna IAM.

Tindakan untuk S3 Express One Zone

Dalam kebijakan IAM berbasis identitas atau kebijakan berbasis sumber daya, Anda menentukan tindakan S3 mana yang diizinkan atau ditolak. Tindakan S3 Express One Zone sesuai dengan API operasi tertentu. S3 Express One Zone memiliki IAM namespace unik yang berbeda dari namespace standar untuk Amazon S3. Namespace ini adalah s3express.

Saat Anda mengizinkan s3express:CreateSession izin, ini memungkinkan CreateSession API operasi untuk mengambil token sesi saat mengakses operasi titik akhir Zonal API (atau level objek). Token sesi ini mengembalikan kredensil yang digunakan untuk memberikan akses ke semua operasi titik akhir Zonal lainnya. API Akibatnya, Anda tidak perlu memberikan izin akses ke API operasi Zonal dengan menggunakan IAM kebijakan. Sebagai gantinya, token sesi memungkinkan akses. Untuk daftar API operasi dan izin titik akhir Zonal, lihat Mengautentikasi dan mengotorisasi permintaan.

Untuk informasi lebih lanjut tentang API operasi titik akhir Zonal dan Regional, lihat. Jaringan untuk S3 Express One Zone Untuk mempelajari lebih lanjut tentang CreateSession API operasi, lihat CreateSessiondi APIReferensi Layanan Penyimpanan Sederhana Amazon.

Anda dapat menentukan tindakan berikut dalam Action elemen pernyataan IAM kebijakan. Gunakan kebijakan untuk memberikan izin untuk melaksanakan operasi dalam AWS. Ketika Anda menggunakan tindakan dalam kebijakan, Anda biasanya mengizinkan atau menolak akses ke API operasi dengan nama yang sama. Namun, dalam beberapa kasus, satu tindakan mengontrol akses ke lebih dari satu API operasi. Akses ke tindakan tingkat ember dapat diberikan hanya dalam kebijakan IAM berbasis identitas (pengguna atau peran) dan bukan kebijakan bucket.

Tabel berikut menunjukkan tindakan dan kondisi kunci untuk S3 Express One Zone.

Tindakan	API	Deskripsi	Tingkat akses	Kunci syarat
s3express:CreateBucket	CreateBucket	Memberikan izin untuk membuat bucket baru.	Tulis	s3express:authType s3express:LocationName s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
s3express:CreateSession	CreateSession	Memberikan izin untuk membuat token sesi, yang digunakan untuk memberikan akses ke semua API operasi Zonal (tingkat objek), sepertiPutObject,, dan sebagainya. GetObject	Tulis	s3express:authType s3express:SessionMode s3express:ResourceAccount s3express:signatureversion s3express:signatureAge s3express:TlsVersion s3express:x-amz-content-sha256 s3express:x-amz-server-side-encryption s3express:x-amz-server-side-encryption-aws-kms-key-id
s3express:DeleteBucket	DeleteBucket	Memberikan izin untuk menghapus bucket yang disebutkan di file. URI	Tulis	s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
s3express:DeleteBucketPolicy	DeleteBucketPolicy	Berikan izin untuk menghapus kebijakan pada bucket yang ditentukan.	Manajemen izin	s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
s3express:GetBucketPolicy	GetBucketPolicy	Berikan izin untuk mengembalikan kebijakan dari bucket yang ditentukan.	Baca	s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
s3express:GetEncryptionConfiguration	GetBucketEncryption	Memberikan izin untuk mengembalikan konfigurasi enkripsi default bucket direktori.	Baca	s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
s3express:ListAllMyDirectoryBuckets	ListDirectoryBuckets	Memberikan izin untuk mencantumkan semua bucket direktori yang dimiliki oleh pengirim permintaan yang diautentikasi.	Daftar	s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
s3express:PutBucketPolicy	PutBucketPolicy	Berikan izin untuk menambah atau mengganti kebijakan bucket pada sebuah bucket.	Manajemen izin	s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
s3express:PutBucketPolicy	PutBucketPolicy	Berikan izin untuk menambah atau mengganti kebijakan bucket pada sebuah bucket.	Manajemen izin	s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
s3express:PutEncryptionConfiguration	PutBucketEncryption atau DeleteBucketEncryption	Memberikan izin untuk mengatur konfigurasi enkripsi untuk bucket direktori	Tulis	s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256

Kunci syarat untuk S3 Express One Zone

S3 Express One Zone mendefinisikan kunci kondisi berikut yang dapat digunakan dalam Condition elemen IAM kebijakan. Anda dapat menggunakan kunci ini untuk menyempurnakan syarat lebih lanjut saat pernyataan kebijakan berlaku.

Kunci syarat	Deskripsi	Jenis
s3express:authType	Filter akses berdasarkan metode autentikasi. Untuk membatasi permintaan masuk untuk menggunakan metode autentikasi tertentu, Anda dapat menggunakan kunci syarat opsional ini. Misalnya, Anda dapat menggunakan kunci kondisi ini untuk mengizinkan hanya HTTP Authorization header yang akan digunakan dalam otentikasi permintaan. Nilai valid: REST-HEADER, REST-QUERY-STRING	String
s3express:LocationName	Memfilter akses ke CreateBucket API operasi dengan ID Availability Zone tertentu (ID AZ), misalnya,usw2-az1. Nilai contoh: usw2-az1	String
s3express:ResourceAccount	Memfilter akses oleh Akun AWS ID pemilik sumber daya. Untuk membatasi akses pengguna, peran, atau aplikasi ke bucket direktori yang dimiliki oleh Akun AWS ID tertentu, Anda dapat menggunakan kunci aws:ResourceAccount atau s3express:ResourceAccount kondisi. Anda dapat menggunakan kunci kondisi ini dalam kebijakan identitas AWS Identity and Access Management (IAM) atau kebijakan titik akhir virtual private cloud (VPC). Misalnya, Anda dapat menggunakan kunci kondisi ini untuk membatasi klien dalam mengakses bucket yang tidak Anda miliki. VPC Nilai contoh: 111122223333	String
s3express:SessionMode	Memfilter akses dengan izin yang diminta oleh CreateSession API operasi. Secara default, sesi adalah ReadWrite. Anda dapat menggunakan kunci syarat ini untuk membatasi akses ke ReadOnly atau secara eksplisit menolak akses ReadWrite. Untuk informasi selengkapnya, lihat Contoh kebijakan bucket direktori untuk S3 Express One Zone dan CreateSessiondi APIReferensi Layanan Penyimpanan Sederhana Amazon. Nilai valid: ReadWrite, ReadOnly	String
s3express:signatureAge	Filter akses berdasarkan usia tanda tangan permintaan dalam milidetik. Kondisi ini hanya berfungsi untuk presigned URLs. Di AWS Signature Version 4, kunci penandatanganan berlaku hingga tujuh hari. Karena itu, tanda tangan juga berlaku hingga tujuh hari. Untuk informasi selengkapnya, lihat Pengantar permintaan penandatanganan di APIReferensi Layanan Penyimpanan Sederhana Amazon. Anda dapat menggunakan syarat ini untuk lebih lanjut membatasi umur tanda tangan. Nilai contoh: 600000	Numerik
s3express:signatureversion	Mengidentifikasi versi AWS Signature yang ingin Anda dukung untuk permintaan yang diautentikasi. Untuk permintaan yang diautentikasi, S3 Express One Zone mendukung Signature Version 4. Nilai valid: "AWS4-HMAC-SHA256" (mengidentifikasi Signature Version 4)	String
s3express:TlsVersion	Memfilter akses berdasarkan TLS versi yang digunakan oleh klien. Anda dapat menggunakan kunci s3:TlsVersion kondisi untuk menulisIAM, virtual private cloud endpoint (VPCE), atau kebijakan bucket yang membatasi akses pengguna atau aplikasi ke bucket direktori berdasarkan TLS versi yang digunakan oleh klien. Anda juga dapat menggunakan kunci kondisi ini untuk menulis kebijakan yang memerlukan TLS versi minimum. Nilai contoh: 1.3	Numerik
s3express:x-amz-content-sha256	Filter akses berdasarkan konten yang belum ditandatangani dalam bucket Anda. Anda dapat menggunakan kunci syarat ini untuk melarang konten yang tidak ditandatangani di bucket Anda. Ketika Anda menggunakan Signature Version 4 untuk permintaan yang menggunakan header Authorization, Anda menambahkan header x-amz-content-sha256 dalam perhitungan tanda tangan, lalu kemudian menetapkan nilainya ke muatan hash. Anda dapat menggunakan kunci syarat ini dalam kebijakan bucket untuk menolak setiap unggahan yang muatannya tidak ditandatangani. Sebagai contoh: Menolak unggahan yang menggunakan header Authorization untuk mengautentikasi permintaan tetapi tidak menandatangani muatan. Untuk informasi selengkapnya, lihat Mentransfer payload dalam satu bagian di Referensi Layanan Penyimpanan Sederhana Amazon. API Tolak unggahan yang menggunakan URLspresigned. Presigned URLs selalu memilikiUNSIGNED_PAYLOAD. Untuk informasi selengkapnya, lihat Mengautentikasi permintaan dan metode otentikasi di Referensi Layanan API Penyimpanan Sederhana Amazon. Nilai yang valid: UNSIGNED-PAYLOAD	String
s3express:x-amz-server-side-encryption	Filter akses berdasarkan enkripsi server-side Nilai valid: "AWS256", aws:kms	String
s3express:x-amz-server-side-encryption-aws-kms-key-id	Memfilter akses dengan kunci terkelola AWS KMS pelanggan untuk enkripsi sisi server Nilai contoh: "arn:aws:kms:region:acct-id:key/key-id"	ARN