Permissões do ponto de acesso multirregional - Amazon Simple Storage Service

Permissões do ponto de acesso multirregional

Quando você faz uma solicitação por meio de um ponto de acesso multirregional, o Amazon S3 autoriza a solicitação no ponto de acesso multirregional e no bucket subjacente para o qual a solicitação é roteada. Assim, para que uma solicitação seja bem-sucedida, tanto o ponto de acesso multirregional e pelo menos um bucket subjacente devem permitir a operação.

Por exemplo, suponha que você faça uma solicitação de GetObject por meio de um ponto de acesso multirregional usando um usuário chamado AppDataReader em sua conta da AWS. Para ajudar a garantir que a solicitação não será negada, o usuário AppDataReader deve receber a permissão s3:GetObject pelo ponto de acesso e várias regiões e por cada bucket subjacente ao ponto de acesso multirregional. O AppDataReader não será capaz de recuperar dados de qualquer bucket que não conceder essa permissão.

Em geral, os buckets subjacentes ainda têm configurações individuais de bloqueio de acesso público do S3, políticas e listas de controle de acesso (ACLs, incluindo ACLs de objeto) que permanecem em vigor em todos os casos.

Como gerenciar o acesso público a um ponto de acesso multirregional

Os pontos de acesso multirregionais oferecem suporte a configurações de bloqueio de acesso público para cada ponto de acesso multirregional. Ao criar um ponto de acesso multirregional, você pode especificar configurações do bloqueio de acesso público que se aplicam a esse ponto de acesso multirregional.

Para qualquer solicitação feita por meio de um ponto de acesso multirregional, o Amazon S3 avalia as configurações de bloqueio de acesso público para esse ponto de acesso multirregional, os buckets subjacentes e a conta que possui o ponto de acesso multirregional e os buckets subjacentes. Se qualquer uma dessas configurações indicar que a solicitação deve ser bloqueada, o Amazon S3 rejeitará a solicitação. Para obter mais informações sobre o recurso de bloqueio de acesso público do Amazon S3, consulte Bloquear o acesso público ao armazenamento do Amazon S3.

Importante

Todas as configurações do bloqueio de acesso público são habilitadas por padrão para pontos de acesso multirregionais. Você deve desativar explicitamente todas as configurações que não deseja aplicar a um ponto de acesso multirregional. Atualmente, o Amazon S3 não oferece suporte à alteração das configurações do bloqueio de acesso público para um ponto de acesso multirregional, após sua criação.

Como delegar o controle de acesso a políticas de ponto de acesso multirregional

Você pode delegar o controle de acesso de um bucket à política de acesso do ponto de acesso multirregional. A política de bucket de exemplo a seguir permite acesso total a todos os pontos de acesso pertencentes à conta do proprietário do bucket. Isso significa que todo acesso a esse bucket é controlado pelas políticas anexadas aos seus pontos de acesso. Recomendamos configurar seus buckets dessa maneira para todos os casos de uso que não exigem acesso direto ao bucket.

{ "Version": "2012-10-17", "Statement" : [ { "Effect": "Allow", "Principal" : { "AWS": "*" }, "Action" : "*", "Resource" : [ "Bucket ARN", "Bucket ARN/*"], "Condition": { "StringEquals" : { "s3:DataAccessPointAccount" : "Bucket owner's account ID" } } }] }

A política de bucket do exemplo a seguir delega o controle de acesso a qualquer um dos pontos de acesso multirregionais do bucket. Se você quiser delegar acesso a pontos de acesso multirregionais específicos, você pode usar o s3:DataAccessPointArn, em vez disso.

{ "Version": "2012-10-17", "Statement" : [ { "Effect": "Allow", "Principal" : { "AWS": "*" }, "Action" : "*", "Resource" : [ "Bucket ARN", "Bucket ARN/*"], "Condition": { "StringEquals" : { "s3:DataAccessPointArn" : "MRAP_ARN" } } }] }