存取控制政策 - AWS SDK for Java 1.
Amazon S3 例子Amazon SQS 例子Amazon SNS 示例

我們宣布了即將推 end-of-support 出的 AWS SDK for Java (v1)。我們建議您移轉至 AWS SDK for Java v2。有關日期,其他詳細信息以及如何遷移的信息,請參閱鏈接的公告。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

存取控制政策

AWS 存取控制原則可讓您針對 AWS 資源指定精細的存取控制。存取控制原則是由陳述式集合所組成,這些陳述式採用下列格式:

帳號 A 有權在適用條件 D資源 C 上執行動作 B

其中:

  • A體-正在 AWS 帳戶 提出要求以存取或修改其中一個 AWS 資源的主體。

  • B動作-訪問或修改 AWS 資源的方式,例如向 Amazon SQS 隊列發送消息或將對象存儲在存儲 Amazon S3 桶中。

  • C 是資-主 AWS 體想要訪問的實體,例如 Amazon SQS 隊列或存儲在其中的對象 Amazon S3。

  • D 是一組條件-可選限制,用於指定何時允許或拒絕主參與者存取您的資源的存取權限。許多表現條件都可用,有些特定於每個服務。例如,您可以使用日期條件,只允許在特定時間之後或之前存取資源。

Amazon S3 例子

下列範例示範一項政策,允許任何人存取讀取值區中的所有物件,但將上傳物件至該值區的存取權限限制為兩個特定 AWS 帳戶 s (除了值區擁有者的帳戶之外)。

Statement allowPublicReadStatement = new Statement(Effect.Allow)
    .withPrincipals(Principal.AllUsers)
    .withActions(S3Actions.GetObject)
    .withResources(new S3ObjectResource(myBucketName, "*"));
Statement allowRestrictedWriteStatement = new Statement(Effect.Allow)
    .withPrincipals(new Principal("123456789"), new Principal("876543210"))
    .withActions(S3Actions.PutObject)
    .withResources(new S3ObjectResource(myBucketName, "*"));

Policy policy = new Policy()
    .withStatements(allowPublicReadStatement, allowRestrictedWriteStatement);

AmazonS3 s3 = AmazonS3ClientBuilder.defaultClient();
s3.setBucketPolicy(myBucketName, policy.toJson());

Amazon SQS 例子

政策的一個常見用途是授權 Amazon SQS 佇列接收來自 Amazon SNS 主題的訊息。

Policy policy = new Policy().withStatements(
    new Statement(Effect.Allow)
        .withPrincipals(Principal.AllUsers)
        .withActions(SQSActions.SendMessage)
        .withConditions(ConditionFactory.newSourceArnCondition(myTopicArn)));

Map queueAttributes = new HashMap();
queueAttributes.put(QueueAttributeName.Policy.toString(), policy.toJson());

AmazonSQS sqs = AmazonSQSClientBuilder.defaultClient();
sqs.setQueueAttributes(new SetQueueAttributesRequest(myQueueUrl, queueAttributes));

Amazon SNS 示例

某些服務提供額外的條件,可以在政策中使用。Amazon SNS 根據訂閱主題的通訊協定 (例如電子郵件、HTTP、HTTPS Amazon SQS) 和端點 (例如電子郵件地址、URL、 Amazon SQS ARN),提供允許或拒絕訂閱 SNS 主題的條件。

Condition endpointCondition =
    SNSConditionFactory.newEndpointCondition("*@mycompany.com");

Policy policy = new Policy().withStatements(
    new Statement(Effect.Allow)
        .withPrincipals(Principal.AllUsers)
        .withActions(SNSActions.Subscribe)
        .withConditions(endpointCondition));

AmazonSNS sns = AmazonSNSClientBuilder.defaultClient();
sns.setTopicAttributes(
    new SetTopicAttributesRequest(myTopicArn, "Policy", policy.toJson()));