Configurar o IAM com o S3 on Outposts

AWS Identity and Access Management (IAM) é um serviço da AWS service (Serviço da AWS) que ajuda o administrador no controle de segurança de acesso aos recursos da AWS de forma segura. Os administradores do IAM controlam quem pode ser autenticado (conectado) e autorizado (ter permissões) para utilizar os recursos do Amazon S3 no Outposts. O IAM é um AWS service (Serviço da AWS) que pode ser usado sem custo adicional. Por padrão, os usuários não têm permissões para recursos e operações do S3 no Outposts. Para conceder permissões de acesso para recursos do S3 no Outposts e operações de API, você pode usar o IAM para criar usuários, grupos ou perfis e anexar permissões.

Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:

• Usuários e grupos no AWS IAM Identity Center:

  Crie um conjunto de permissões. Siga as instruções em Criação de um conjunto de permissões no Guia do usuário do AWS IAM Identity Center.

• Usuários gerenciados no IAM com provedor de identidades:

  Crie um perfil para a federação de identidades. Siga as instruções em Criando um perfil para um provedor de identidades de terceiros (federação) no Guia do Usuário do IAM.

• Usuários do IAM:

  • Crie um perfil que seu usuário possa assumir. Siga as instruções em Criação de um perfil para um usuário do IAM no Guia do usuário do IAM.

  • (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em Adição de permissões a um usuário (console) no Guia do usuário do IAM.

Além das políticas do IAM baseadas em identidade, o S3 no Outposts é compatível com políticas de bucket e de ponto de acesso. As políticas de bucket e políticas de ponto de acesso são políticas baseadas em recursos que são anexadas ao recurso S3 no Outposts.

• Uma política de bucket é anexada ao bucket e permite ou nega solicitações ao bucket e aos objetos dele com base nos elementos da política.

• Por outro lado, uma política de ponto de acesso é anexada ao ponto de acesso e permite ou nega solicitações ao ponto de acesso.

A política de ponto de acesso funciona com a política de bucket anexada ao bucket do S3 no Outposts. Para que uma aplicação ou um usuário acesse objetos em um bucket do S3 on Outposts por meio de um ponto de acesso do S3 on Outposts, tanto a política de ponto de acesso quanto a política de bucket devem permitir a solicitação.

As restrições que você incluir em uma política de ponto de acesso se aplicam somente a solicitações feitas por meio desse ponto de acesso. Por exemplo, se um ponto de acesso estiver anexado a um bucket, você não poderá usar a política de ponto de acesso para permitir ou negar solicitações feitas diretamente ao bucket. No entanto, as restrições que você aplicar a uma política de bucket podem permitir ou negar solicitações feitas diretamente ao bucket ou por meio do ponto de acesso.

Em uma política do IAM ou em uma política baseada em recursos, você define quais ações do S3 on Outposts serão permitidas ou negadas. As ações do S3 no Outposts correspondem a operações de API específicas do S3 no Outposts. As ações do S3 on Outposts usam o prefixo de namespace s3-outposts:. As solicitações feitas à API de controle do S3 on Outposts em uma Região da AWS e as solicitações feitas a endpoints da API de objeto no Outpost são autenticadas usando o IAM e autorizadas de acordo com o prefixo de namespace s3-outposts:. Para trabalhar com o S3 on Outposts, configure os usuários do IAM e autorize-os no namespace s3-outposts: do IAM.

Para obter mais informações, consulte Ações, recursos e chaves de condição do Amazon S3 no Outposts na Referência de autorização do serviço.

nota

• As listas de controle de acesso (ACLs) não são compatíveis com o S3 on Outposts.

• Para ajudar a garantir que o proprietário de um bucket não possa ser impedido de acessar ou excluir objetos, o S3 no Outposts usa o proprietário do bucket como proprietário do objeto por padrão.

• O S3 em Outposts sempre tem o Bloqueio de acesso público do S3 habilitado para ajudar a garantir que os objetos nunca tenham acesso público.

Para obter mais informações sobre como configurar o IAM para o S3 on Outposts, consulte os tópicos a seguir.

Entidades principais para S3 no Outposts

Ao criar uma política baseada em recurso para conceder acesso ao seu bucket do S3 no Outposts, você deve usar o elemento Principal para especificar a pessoa ou o aplicativo que pode fazer uma solicitação de uma ação ou operação no respectivo recurso. Para políticas do S3 no Outposts, você pode usar uma das seguintes entidades principais:

• Um Conta da AWS

• Um usuário do IAM

• Um perfil do IAM

• Todas as entidades principais, por meio da especificação de um caractere curinga (*) em uma política que use um elemento Condition para limitar o acesso a um intervalo específico de IPs

Importante

Não é possível gravar uma política para um bucket do S3 on Outposts que use um caractere curinga (*) no elemento Principal, a menos que a política também inclua uma Condition que limite o acesso a um intervalo específico de endereços IPs. Essa restrição ajuda a garantir que não haja acesso público ao bucket do S3 on Outposts. Para ver um exemplo, consulte Exemplo de políticas para S3 no Outposts.

Para obter mais informações sobre o elemento Principal, consulte Elementos de política JSON da AWS: entidade principal no Guia do usuário do IAM.

ARNs de recurso para S3 no Outposts

Os nomes de recurso da Amazon (ARNs) para o S3 on Outposts contêm o ID do Outpost, bem como a Região da AWS na qual se encontra o Outpost, o ID da Conta da AWS e o nome do recurso. Para acessar e executar ações em buckets e objetos do Outposts, é necessário usar um dos formatos de ARN mostrados na tabela a seguir.

O valor partition no ARN refere-se a um grupo de Regiões da AWS. O escopo de cada Conta da AWS é uma partição. Estas são as partições compatíveis:

• aws – Regiões da AWS

• aws-us-gov: regiões AWS GovCloud (US)

Formatos de ARN do S3 on Outposts
ARN do Amazon S3 no Outposts	Formato ARN	Exemplo
ARN do bucket	arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id/bucket/bucket_name	arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904/bucket/amzn-s3-demo-bucket1
ARN do ponto de acesso	arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id/accesspoint/accesspoint_name	arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904/accesspoint/access-point-name
ARN do objeto	arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id/bucket/bucket_name/object/object_key	arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904/bucket/amzn-s3-demo-bucket1/object/myobject
ARN do objeto de ponto de acesso do S3 on Outposts (usado nas políticas)	arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id/accesspoint/accesspoint_name/object/object_key	arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904/accesspoint/access-point-name/object/myobject
ARN do S3 no Outposts	arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id	arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904

Exemplo de políticas para S3 no Outposts

exemplo : política de bucket do S3 on Outposts com uma entidade principal da Conta da AWS

A política de bucket a seguir usa uma entidade principal da Conta da AWS para conceder acesso a um bucket do S3 no Outposts. Para usar essa política de bucket, substitua os user input placeholders por suas próprias informações.

{
   "Version":"2012-10-17",
   "Id":"ExampleBucketPolicy1",
   "Statement":[
      {
         "Sid":"statement1",
         "Effect":"Allow",
         "Principal":{
            "AWS":"123456789012"
         },
         "Action":"s3-outposts:*",
         "Resource":"arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outposts-bucket"
      }
   ]
}

exemplo : política de bucket do S3 on Outposts com uma entidade principal de caractere curinga (*) e chave de condição para limitar o acesso a um intervalo específico de endereços IPs

A política de bucket a seguir usa uma entidade principal de caractere curinga (*) com a condição aws:SourceIp para limitar o acesso a um intervalo específico de endereços IPs. Para usar essa política de bucket, substitua os user input placeholders por suas próprias informações.

{
    "Version": "2012-10-17",
    "Id": "ExampleBucketPolicy2",
    "Statement": [
        {
            "Sid": "statement1",
            "Effect": "Allow",
            "Principal": { "AWS" : "*" },
            "Action":"s3-outposts:*",
            "Resource":"arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outposts-bucket",
            "Condition" : {
                "IpAddress" : {
                    "aws:SourceIp": "192.0.2.0/24" 
                },
                "NotIpAddress" : {
                    "aws:SourceIp": "198.51.100.0/24" 
                } 
            } 
        } 
    ]
} 

Permissões para os endpoints do S3 on Outposts

O S3 on Outposts requer suas próprias permissões no IAM para gerenciar ações de endpoint do S3 on Outposts.

nota

• Para endpoints que usam o tipo de acesso de grupo de endereços IP de propriedade do cliente (grupo de CoIP), você também precisa ter permissões para trabalhar com endereços IP de seu grupo de CoIP, conforme descrito na tabela a seguir.

• Os usuários em contas compartilhadas que acessam o S3 on Outposts usando o AWS Resource Access Manager não podem criar seus próprios endpoints em uma sub-rede compartilhada. Se o usuário de uma conta compartilhada quiser gerenciar seus próprios endpoints, a conta compartilhada deverá criar sua própria sub-rede no Outpost. Para obter mais informações, consulte Compartilhar o S3 on Outposts usando o AWS RAM.

Permissões do IAM relacionadadas a endpoints do S3 on Outposts
Ação	Permissões do IAM
CreateEndpoint	s3-outposts:CreateEndpoint ec2:CreateNetworkInterface ec2:DescribeNetworkInterfaces ec2:DescribeVpcs ec2:DescribeSecurityGroups ec2:DescribeSubnets ec2:CreateTags iam:CreateServiceLinkedRole Para endpoints que estão usando o tipo de acesso ao grupo de endereços IP de propriedade do cliente (grupo do CoIP) on-premises, são necessárias as seguintes permissões adicionais: s3-outposts:CreateEndpoint ec2:DescribeCoipPools ec2:GetCoipPoolUsage ec2:AllocateAddress ec2:AssociateAddress ec2:DescribeAddresses ec2:DescribeLocalGatewayRouteTableVpcAssociations
DeleteEndpoint	s3-outposts:DeleteEndpoint ec2:DeleteNetworkInterface ec2:DescribeNetworkInterfaces Para endpoints que estão usando o tipo de acesso ao grupo de endereços IP de propriedade do cliente (grupo do CoIP) on-premises, são necessárias as seguintes permissões adicionais: s3-outposts:DeleteEndpoint ec2:DisassociateAddress ec2:DescribeAddresses ec2:ReleaseAddress
ListEndpoints	s3-outposts:ListEndpoints

nota

Você pode usar tags de recurso em uma política do IAM para gerenciar permissões.

Perfis vinculados a serviço para o S3 no Outposts

O S3 no Outposts usa perfis vinculados a serviço do IAM para criar alguns recursos de rede em seu nome. Para ter mais informações, consulte Usar perfis vinculados a serviço para o Amazon S3 no Outposts.