使用 Amazon S3 主控台新增儲存貯體政策 - Amazon Simple Storage Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Amazon S3 主控台新增儲存貯體政策

您可以使用 AWS 政策產生器和 Amazon S3 主控台新增儲存貯體政策,或編輯現有的儲存貯體政策。儲存貯體政策是以資源為基礎的 AWS Identity and Access Management (IAM) 政策。您可以將值區政策新增至值區,以授與其他 AWS 帳戶 或 IAM 使用者存取該值區及其中物件的存取權限。物件許可只會套用至該儲存貯體擁有者所建立的物件。如需儲存貯體政策的詳細資訊,請參閱「適用於 Amazon S3 的 Identity and Access Management」。

請務必解決安全性警告、錯誤、一般警告,以及 AWS Identity and Access Management Access Analyzer 建議,然後再儲存政策。IAM Access Analyzer 會比對 IAM 政策文法最佳實務來執行政策檢查,以驗證您的政策。這些檢查會產生問題清單並提供可行的建議,協助您撰寫具有功能性且符合安全最佳實務的政策。若要進一步了解如何使用 IAM Access Analyzer 驗證政策,請參閱《IAM 使用者指南》中的 IAM Access Analyzer 政策驗證。若要檢視 IAM Access Analyzer 傳回的警告、錯誤和建議清單,請參閱 IAM Access Analyzer 政策檢查參考

如需對政策錯誤進行故障診斷的指引,請參閱 針對 Amazon S3 中的拒絕存取 (403 禁止) 錯誤進行疑難排解

建立或編輯儲存貯體政策
  1. 登入 AWS Management Console 並開啟 Amazon S3 主控台,網址為 https://console.aws.amazon.com/s3/

  2. 在左側導覽窗格中,選擇 Buckets (儲存貯體)。

  3. Buckets (儲存貯體) 清單中,選擇要建立儲存貯體政策的儲存貯體名稱,或您想編輯之儲存貯體政策的儲存貯體名稱。

  4. 選擇許可索引標籤標籤。

  5. Bucket policy (儲存貯體政策) 下方,選擇 Edit (編輯)Edit bucket policy (編輯儲存貯體政策) 頁面隨即出現。

  6. Edit bucket policy (編輯儲存貯體政策) 頁面上,執行下列其中一項動作:

    • 若要查看《Amazon S3 使用者指南》中的儲存貯體政策範例,請選擇 Policy examples (政策範例)。

    • 若要自動產生政策,或在 Policy (政策) 區段中編輯 JSON,請選擇 Policy generator (原則產生器)。

    如果您選擇「策略產生器」,則「 AWS 策略產生器」會在新視窗中開啟。

    1. AWS Policy Generator (AWS 政策產生器) 頁面上,針對 Select Type of Policy (選取政策類型),選擇 S3 Bucket Policy (S3 儲存貯體政策)。

    2. 在提供的欄位中輸入資訊,以新增陳述式,然後選擇 Add Statement (新增陳述式)。針對您想要新增的任意數量陳述式重複此步驟。如需這些欄位的詳細資訊,請參閱《IAM 使用者指南》中的 IAM JSON 政策元素參考

      注意

      為了您的方便,Edit bucket policy (編輯儲存貯體政策) 頁面會在 Policy (政策) 文字欄位上方顯示目前儲存貯體的 Bucket ARN (Amazon Resource Name) (儲存貯體 ARN (Amazon 資源名稱))。您可以複製此 ARN,以在 AWS Policy Generator ( 政策產生器) 頁面上的陳述式中使用。

    3. 完成新增陳述式後,選擇 Generate Policy (產生政策)。

    4. 複製產生的政策文字,選擇 Close (關閉),然後退回 Amazon S3 主控台中的 Edit bucket policy (編輯儲存貯體政策) 頁面。

  7. 在 [原則] 方塊中,編輯現有政策,或從 [原則產生器] 貼上值區 AWS 原則。請務必先處理安全性警告、錯誤、一般警告,以及建議,然後再儲存政策。

    注意

    儲存貯體政策的大小限制為 20 KB。

  8. (選用) 選擇右下角的 Preview external access (預覽外部存取),以預覽新政策會如何影響資源的公開和跨帳戶存取權。在儲存政策之前,您可以檢查它是否引入新的 IAM Access Analyzer 問題清單,或是解決現有的問題清單。如果您沒有看到作用中的分析器,請選擇 Go to Access Analyzer (移至 Access Analyzer),以在 IAM Access Analyzer 中建立帳戶分析器。如需詳細資訊,請參閱《IAM 使用者指南》中的預覽存取

  9. 選擇 Save changes (儲存變更),這會讓您回到 Permissions (許可) 索引標籤。