使用 S3 on Outposts 設定 IAM
AWS Identity and Access Management (IAM) 是一種 AWS 服務,讓管理員能夠安全地控制對 AWS 資源的存取權限。IAM 管理員可控制哪些人員可進行身分驗證 (登入) 並獲得授權 (具有許可) 以使用 Amazon S3 on Outposts 資源。IAM 是一種您可以免費使用的 AWS 服務。根據預設,使用者不具備 S3 on Outposts 資源和操作的許可。若要授予 S3 on Outposts 資源和 API 操作的存取權限,您可以使用 IAM 建立使用者、群組或角色,並附加許可。
若要提供存取權,請新增權限至您的使用者、群組或角色:
-
AWS IAM Identity Center 中的使用者和群組:
建立權限合集。請按照 AWS IAM Identity Center使用者指南 中的 建立權限合集 說明進行操作。
-
透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。遵循《IAM 使用者指南》的為第三方身分提供者 (聯合) 建立角色中的指示。
-
IAM 使用者:
-
建立您的使用者可擔任的角色。請按照 IAM 使用者指南》的為 IAM 使用者建立角色中的指示。
-
(不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循 IAM 使用者指南的新增許可到使用者 (主控台)中的指示。
-
除了 IAM 身分型政策外,S3 on Outposts 也同時支援儲存貯體和存取點政策。儲存貯體政策與存取點政策是連接到 S3 on Outposts 資源的資源型政策。
-
儲存貯體政策連接到儲存貯體,並根據政策中的元素來允許或拒絕對儲存貯體和其中物件的請求。
-
相比之下,存取點原則連接到存取點,並允許或拒絕對存取點的要求。
存取點政策可搭配連接到基礎 S3 on Outposts 儲存貯體的儲存貯體政策。若要讓應用程式或使用者能夠透過 S3 on Outposts 存取點來存取 S3 on Outposts 儲存貯體中的物件,則存取點政策和儲存貯體政策皆必須允許該請求。
您在存取點政策中包含的限制僅適用透過該存取點進行的請求。例如,如果存取點連接到儲存貯體,則無法使用存取點政策來允許或拒絕直接向儲存貯體提出的請求。不過,您套用至儲存貯體政策的限制可能會允許或拒絕直接向儲存貯體或透過存取點提出的請求。
在 IAM 政策或資源型政策中,您可以定義哪些 S3 on Outposts 動作會受到允許或拒絕。S3 on Outposts 動作對應特定的 S3 on Outposts API 操作。S3 on Outposts 動作會使用 s3-outposts:
命名空間字首。對 AWS 區域 中的 S3 on Outposts 控制 API 所發出的請求,以及 Outpost 物件 API 端點所發出的請求,會使用 IAM 進行身分驗證,並根據 s3-outposts:
命名空間字首進行授權。若要使用 S3 on Outposts,請設定您的 IAM 使用者,並針對 s3-outposts:
IAM 命名空間授權使用者。
如需詳細資訊,請參閱《服務授權參考》中的「S3 on Outposts 的動作、資源和條件金鑰」。
注意
-
S3 on Outposts 不支援存取控制清單 (ACL)。
-
Posts 上的 S3 預設會將儲存貯體擁有者做為物件擁有者,以協助確保儲存貯體的擁有者無法存取或刪除物件。
-
Outpost 上的 S3 一律會啟用 S3 封鎖公有存取權限,以協助確保物件永遠不會有公有存取權限。
如需有關 S3 on Outposts 設定 IAM 的詳細資訊,請參下列主題。
主題
適用於 S3 on Outposts 政策的主體
當您建立資源型政策以授予 S3 on Outposts 儲存貯體的存取權時,您必須使用 Principal
元素來指定可對該資源提出動作或操作請求的人員或應用程式。對於 S3 on Outposts 政策,您可以使用下列其中一項主體:
-
一個 AWS 帳戶
-
IAM 使用者
-
IAM 角色
-
政策中使用
Condition
元素來限制對特定 IP 範圍存取的所有主體 (指定萬用字元 *)
重要
您無法針對在 Principal
元素中使用萬用字元 (*
) 的 S3 on Outposts 儲存貯體來撰寫政策,除非該政策還包含限制對特定 IP 地址範圍存取的 Condition
。此限制協助確保無法公有存取 S3 on Outposts 儲存貯體。如需範例,請參閱適用於 S3 on Outposts 的範例政策。
如需有關 Principal
元素的詳細資訊,請參閱《IAM 使用者指南》中的「AWS JSON 政策元素:主體」。
適用於 S3 on Outposts 的資源 ARN
適用於 S3 on Outposts 的 Amazon Resource Name (ARN) 包含 Outpost ID,以及 Outpost 所在的 AWS 區域、AWS 帳戶 ID 和資源名稱。若要存取並對 Outposts 儲存貯體和物件執行動作,您必須使用下表中顯示的其中一個 ARN 格式。
ARN 中的
值是指一組 AWS 區域。每個 AWS 帳戶 的範圍都限定在一個分割區。以下是支援的分割區:partition
-
aws
– AWS 區域 -
aws-us-gov
- AWS GovCloud (US) 區域
下表顯示 S3 on Outposts ARN 格式。
Amazon S3 on Outposts ARN | ARN 格式 | 範例 |
---|---|---|
儲存貯體 ARN | arn: |
arn: |
存取點 ARN | arn: |
arn: |
物件 ARN | arn: |
arn: |
S3 on Outposts 存取點物件 ARN (用於原則) | arn: |
arn: |
S3 on Outposts ARN | arn: |
arn: |
適用於 S3 on Outposts 的範例政策
範例 :具有 AWS 帳戶 主體的 S3 on Outposts 儲存貯體政策
下列儲存貯體政策使用 AWS 帳戶 主體來授予對 S3 on Outposts 儲存貯體的存取權限。若要使用此儲存貯體政策,請以您自己的資訊取代
。user
input placeholders
{ "Version":"2012-10-17", "Id":"ExampleBucketPolicy1", "Statement":[ { "Sid":"statement1", "Effect":"Allow", "Principal":{ "AWS":"
123456789012
" }, "Action":"s3-outposts:*", "Resource":"arn:aws:s3-outposts:region
:123456789012
:outpost/op-01ac5d28a6a232904
/bucket/example-outposts-bucket
" } ] }
範例 :使用萬用字元 (*
) 主體和條件金鑰的 S3 on Outposts 儲存貯體政策,以限制對特定 IP 地址範圍的存取
下列儲存貯體政策使用萬用字元主體 (*
) 搭配 aws:SourceIp
條件以限制對特定 IP 地址範圍的存取。若要使用此儲存貯體政策,請以您自己的資訊取代
。user input
placeholders
{ "Version": "2012-10-17", "Id": "ExampleBucketPolicy2", "Statement": [ { "Sid": "statement1", "Effect": "Allow", "Principal": { "AWS" : "*" }, "Action":"s3-outposts:*", "Resource":"arn:aws:s3-outposts:
region
:123456789012
:outpost/op-01ac5d28a6a232904
/bucket/example-outposts-bucket
", "Condition" : { "IpAddress" : { "aws:SourceIp": "192.0.2.0/24" }, "NotIpAddress" : { "aws:SourceIp": "198.51.100.0/24" } } } ] }
適用於 S3 on Outposts 端點的許可
S3 on Outposts 需要 IAM 中擁有的許可,來管理 S3 on Outposts 端點動作。
注意
-
對於使用客戶擁有的 IP 地址集區 (CoIP 集區) 存取類型的端點,您也必須具有從 CoIP 集區使 IP 地址的許可,如下表所述。
-
對於使用 AWS Resource Access Manager 存取 S3 on Outposts 的共用帳戶,這些共用帳戶中的使用者無法在共用子網路上建立自己的端點。如果共用帳戶中的使用者想要管理自己的端點,則共用帳戶必須在 Outpost 上建立自己的子網路。如需詳細資訊,請參閱使用 AWS RAM 共用 S3 on Outposts。
下表顯示與 S3 on Outposts 端點相關的 IAM 許可。
動作 | IAM 許可 |
---|---|
CreateEndpoint |
對於使用內部部署客戶擁有的 IP 地址集區 (CoIP 集區) 存取類型的端點,需要下列額外的許可:
|
DeleteEndpoint |
對於使用內部部署客戶擁有的 IP 地址集區 (CoIP 集區) 存取類型的端點,需要下列額外的許可:
|
ListEndpoints |
|
注意
您可以在 IAM 政策中使用資源標籤來管理許可。
S3 on Outposts 的服務連結角色
S3 on Outposts 使用 IAM 服務連結角色代表您建立一些網路資源。如需詳細資訊,請參閱針對 Amazon S3 on Outposts 使用服務連結角色。