Uso de políticas de bucket - Amazon Simple Storage Service

Uso de políticas de bucket

Você pode criar e configurar políticas de bucket para conceder permissão aos seus recursos do Amazon S3.

Uma política de bucket é baseada em recursos que você pode usar para conceder permissões de acesso ao bucket e aos objetos contidos nele. Só o proprietário do bucket pode associar uma política a um bucket. As permissões anexadas ao bucket se aplicam a todos os objetos do bucket que pertencem ao proprietário do bucket. Essas permissões não se aplicam a objetos de propriedade de outras Contas da AWS.

Por padrão, quando outra Conta da AWS carrega um objeto no bucket do S3, essa conta (que gravou o objeto) é a proprietária do objeto, tem acesso a ele e pode conceder acesso a outros usuários por meio de ACLs. É possível usar Object Ownership para alterar esse comportamento padrão para que as ACLs sejam desabilitadas e você, como proprietário do bucket, automaticamente seja proprietário de todos os objetos de seu bucket. Como resultado, o controle de acesso para seus dados é baseado em políticas, como políticas do IAM, políticas de bucket do S3, políticas de endpoint da Virtual Private Cloud (VPC) e políticas de controle de serviço (SCPs) do AWS Organizations. Para obter mais informações, consulte Controlar a propriedade de objetos e desabilitar ACLs para seu bucket.

As políticas de bucket usam uma linguagem de política de acesso baseada em JSON. Você pode usar políticas de bucket para adicionar ou negar permissões para os objetos em um bucket. As políticas de bucket permitem ou negam solicitações com base nos elementos da política, incluindo o solicitante, ações do S3, recursos e aspectos ou condições da solicitação (por exemplo, o endereço IP usado para fazer a solicitação). Por exemplo, você pode criar uma política de bucket que conceda permissões entre contas para carregar objetos em um bucket do S3 enquanto garante que o proprietário do bucket tenha controle total dos objetos carregados. Para obter mais informações, consulte Exemplos de políticas de bucket.

Na política de bucket, você pode usar caracteres curinga nos nomes de recursos da Amazon (ARNs) e outros valores para conceder permissões a um subconjunto de objetos. Por exemplo, você pode controlar o acesso a grupos de objetos que começam com um prefixo ou termine com uma determinada extensão, como .html.

Os tópicos nesta seção fornecem exemplos e mostram como adicionar uma política de bucket no console do S3. Para obter informações sobre as políticas de usuário do IAM, consulte Uso de políticas de usuário do IAM. Para obter informações sobre a linguagem da política de bucket, consulte Políticas e permissões no Amazon S3

Importante

As políticas de bucket são limitadas a 20 KB.