在 Amazon S3 控制台中预览访问权限
在 Amazon S3 控制台中完成存储桶策略后,您可以选择预览 Amazon S3 存储桶的公共和跨账户访问权限。您可以验证策略更改是否仅授予预期的外部访问权限,然后再选择 Save changes(保存更改)。利用此可选步骤,您可以预览存储桶的 AWS Identity and Access Management Access Analyzer 结果。您可以验证策略更改是否引入了新的结果,或是解析现有的结果以供外部访问。您可以跳过此验证步骤,并随时保存您的 Amazon S3 存储桶策略。
要预览对存储桶的外部访问权限,您必须在存储桶的区域中拥有一个活动账户分析器,并且该账户需作为信任区域。您还必须具有使用 IAM Access Analyzer 和预览访问所需的权限。有关启用 IAM Access Analyzer 以及所需权限的更多信息,请参阅 开始使用 AWS Identity and Access Management Access Analyzer。
要在创建或编辑存储桶策略时预览 Amazon S3 存储桶的访问
-
完成创建或编辑存储桶策略后,请确保您的策略是有效的 Amazon S3 存储桶策略。策略 ARN 必须与存储桶 ARN 相匹配,且策略元素必须有效。
-
在政策下方的 Preview external access(预览外部访问)项下,选择活动的账户分析器,然后选择 Preview(预览)。系统将为您的存储桶生成 IAM Access Analyzer 结果的预览。预览会分析显示的 Amazon S3 存储桶策略以及现有存储桶权限。这包括存储桶和账户 BPA 设置、存储桶 ACL、Amazon S3 访问点和附加到存储桶的多区域访问点,以及它们的策略和 BPA 设置。
-
访问预览完成后,将显示 IAM Access Analyzer 结果的预览。在您保存策略后,每个结果都会报告账户外的主体实例,该实例可访问您的存储桶。您可以通过查看每个结果来验证对存储桶的访问权限。结果标题提供访问的摘要,您可以展开结果以查看结果详细信息。结果标记可提供有关保存存储桶策略如何更改对存储桶的访问权限的上下文。例如,它们可帮助您验证策略更改是否引入了新的结果,或是解决了外部访问的现有结果:
-
新结果 ― 表示策略将引入的新外部访问结果。
-
已解决 ― 表示策略将删除的现有外部访问结果。
-
已归档 — 表示将根据分析器的归档规则自动归档的新外部访问结果,这些规则定义了何时应将结果标记为预期结果。
-
现有 ― 表示将保持不变的外部访问的现有结果。
-
公开 — 如果一个结果是用于公共访问资源,它将带有一个 Public(公开)徽章,此外还将带有上述徽章之一。
-
-
如果您识别不打算引入或删除的外部访问,则可以修改策略,然后选择 Preview(预览),直到已经达到您想要的外部访问。如果你有一个标记标注为 Public(公开)的结果,我们建议您修改策略以删除公共访问权限,然后再选择 Save changes(保存更改)。预览访问是一个可选步骤,您随时都可以选择 Save changes(保存更改)。
