Controle o acesso aos buckets e objetos do Lightsail

Por padrão, todos os recursos de armazenamento de objetos do Amazon Lightsail — buckets e objetos — são privados. Isso significa que somente o proprietário do bucket, a conta do Lightsail que o criou, pode acessar o bucket e seus objetos. Como alternativa, o proprietário do bucket pode conceder acesso a outras pessoas. Você pode conceder acesso a um bucket e seus objetos das seguintes maneiras:

• Acesso somente leitura: as opções a seguir controlam o acesso somente leitura a um bucket e seus objetos por meio do URL do bucket (por exemplo, https://DOC-EXAMPLE-BUCKET.us-east-1.amazonaws.com/media/sailbot.jpg).

  • Permissões de acesso ao bucket: Use permissões de acesso de bucket para conceder acesso a todos os objetos em um bucket para qualquer pessoa na Internet. Para obter mais informações, consulte permissões de acesso ao bucket mais adiante neste guia.

  • Permissões de acesso a objetos individuais: Use permissões de acesso a objetos individuais para conceder acesso a um objeto individual em um bucket para qualquer pessoa na Internet. Para obter mais informações, consulte permissões de acesso ao objeto individual mais adiante neste guia.

  • Acesso entre contas — use o acesso entre contas para conceder acesso a todos os objetos em um bucket para outras AWS contas. Para obter mais informações, consulte Acesso entre contas mais adiante neste guia.

• Acesso de leitura e gravação: As opções a seguir controlam o acesso completo de leitura e gravação a um bucket e seus objetos. Use essas opções com AWS Command Line Interface (AWS CLI), AWS APIs e AWS SDKs.

  • Chaves de acesso: Use chaves de acesso para conceder acesso a aplicações ou plugins. Para obter mais informações, consulte Chaves de acesso mais adiante neste guia.

  • Acesso a recursos — use o acesso a recursos para conceder acesso a uma instância do Lightsail. Para obter mais informações, consulte Acesso ao recurso mais adiante neste guia.

• O Amazon Simple Storage Service bloqueia o acesso público — Use o recurso de bloqueio de acesso público em nível de conta do Amazon Simple Storage Service (Amazon S3) para limitar centralmente o acesso público aos buckets no Amazon S3 e no Lightsail. Bloquear o acesso público pode tornar privados todos os buckets do Amazon S3 e do Lightsail, independentemente das permissões individuais de bucket e objeto que possam ter sido configuradas. Para mais informações, consulte Bloqueio de Acesso Público do Amazon S3 mais adiante neste guia.

Para obter mais informações sobre buckets, consulte Armazenamento de objetos. Para obter mais informações sobre as práticas recomendadas de segurança, consulte Security Best Practices for object storage.

Permissões de acesso ao bucket

Use as permissões de acesso ao bucket para controlar o acesso público (não autenticado) somente leitura a objetos em um bucket. Você pode escolher uma das seguintes opções ao configurar permissões de acesso ao bucket:

• Todos os objetos são privados: Todos os objetos no bucket são legíveis somente por você ou qualquer pessoa a quem você dá acesso. Esta opção permite que objetos individuais sejam transformados em públicos (somente leitura).

• Objetos individuais podem ser tornados públicos (somente leitura): Os objetos no bucket são legíveis somente por você ou qualquer pessoa a quem você dá acesso, a menos que você especifique um objeto individual como público (somente leitura). Esta opção permite que objetos individuais sejam transformados em públicos (somente leitura). Para obter mais informações, consulte permissões de acesso ao objeto individual mais adiante neste guia.

• Todos os objetos são públicos (somente leitura): Todos os objetos no bucket podem ser lidos por qualquer pessoa na internet. Todos os objetos no bucket tornam-se legíveis por qualquer pessoa na Internet por meio do URL do bucket (por exemplo, https://DOC-EXAMPLE-BUCKET.us-east-1.amazonaws.com/media/sailbot.jpg) ao escolher esta opção.

Para obter mais informações sobre como configurar permissões de acesso ao bucket, consulte Configurar permissões de acesso ao bucket.

Permissões de acesso a objetos individuais

Use permissões de acesso a objetos individuais para controlar o acesso público (não autenticado) somente leitura a objetos individuais em um bucket. As permissões de acesso a objetos individuais podem ser configuradas somente quando as permissões de acesso ao bucket de um bucket permitirem que objetos individuais sejam tornados públicos (somente leitura). Você pode escolher uma das seguintes opções ao configurar permissões de acesso para um objeto individual:

• Privado: O objeto é legível somente por você ou qualquer pessoa a quem você dá acesso.

• Público (somente leitura): O objeto é legível por qualquer pessoa na internet. O objeto individual torna-se legível por qualquer pessoa na internet por meio do URL do bucket (por exemplo, https://DOC-EXAMPLE-BUCKET.us-east-1.amazonaws.com/media/sailbot.jpg).

Para obter mais informações sobre como configurar permissões de acesso a objeto individual, consulte Configure access permissions for individual objects in a bucket.

Acesso entre contas

Use o acesso entre contas para conceder acesso autenticado somente de leitura a todos os objetos em um bucket para outras AWS contas e seus usuários. O acesso entre contas é ideal se você quiser compartilhar objetos com outra AWS conta. Quando você concede acesso entre contas a outra conta da AWS , os usuários nessa conta têm acesso somente leitura a objetos em um bucket por meio do URL do bucket (por exemplo, https://DOC-EXAMPLE-BUCKET.us-east-1.amazonaws.com/media/sailbot.jpg). Você pode dar acesso a um máximo de 10 AWS contas.

Para obter mais informações sobre como configurar o acesso entre contas, consulte Configurar o acesso entre contas para um bucket.

Chaves de acesso

Use chaves de acesso para criar um conjunto de credenciais que concedam acesso completo de gravação e leitura a um bucket e seus objetos. As chaves de acesso consistem em um ID da chave de acesso e uma chave de acesso secreta em conjunto. Você pode ter no máximo duas chaves de acesso por bucket. Você pode configurar as chaves de acesso em seu aplicativo para que ele possa acessar seu bucket e seus objetos usando as AWS APIs e os AWS SDKs. Você também pode configurar as chaves de acesso na AWS CLI.

Para obter mais informações sobre como criar chaves de acesso, consulte Crie chaves de acesso para um bucket.

Acesso ao recurso

Use o acesso a recursos para conceder acesso total de leitura e gravação a um bucket e seus objetos para instâncias do Lightsail. Com o acesso a recursos, você não precisa gerenciar credenciais como chaves de acesso. Para conceder acesso a uma instância, anexe a instância a um bucket na mesma Região da AWS. Para negar acesso, desvincule a instância do bucket. O acesso a recursos é ideal se você estiver configurando uma aplicação em sua instância para carregar e acessar arquivos programaticamente em seu bucket. Um desses casos de uso é configurar uma WordPress instância para armazenar arquivos de mídia em um bucket. Para obter mais informações, consulte Tutorial: Conectar um bucket à sua WordPress instância e Tutorial: Use um bucket com uma distribuição de rede de distribuição de conteúdo.

Para obter mais informações sobre como configurar o acesso a recursos, consulte Configurar acesso a recursos para um bucket.

Bloqueio de Acesso Público do Amazon S3

Use o recurso de bloqueio de acesso público do Amazon S3 para limitar centralmente o acesso público aos buckets no Amazon S3 e no Lightsail. Bloquear o acesso público pode tornar privados todos os buckets do Amazon S3 e do Lightsail, independentemente das permissões individuais de bucket e objeto que possam ter sido configuradas. Você pode usar o console do Amazon S3, a AWS CLI, AWS os SDKs e a API REST para definir as configurações de bloqueio de acesso público para todos os buckets da sua conta, incluindo aqueles no serviço de armazenamento de objetos Lightsail. Para obter mais informações, consulte Block public access for buckets.