Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol akses di Amazon S3
Di AWS, sumber daya adalah entitas yang dapat Anda gunakan. Di Amazon Simple Storage Service (S3), bucket dan objek adalah sumber daya Amazon S3 asli. Setiap pelanggan S3 kemungkinan memiliki ember dengan benda-benda di dalamnya. Karena fitur baru ditambahkan ke S3, sumber daya tambahan juga ditambahkan, tetapi tidak setiap pelanggan menggunakan sumber daya khusus fitur ini. Untuk informasi selengkapnya tentang sumber daya Amazon S3, lihat. Sumber daya S3
Secara default, semua sumber daya Amazon S3 bersifat pribadi. Juga secara default, pengguna root dari Akun AWS yang menciptakan sumber daya (pemilik sumber daya) dan IAM pengguna dalam akun itu dengan izin yang diperlukan dapat mengakses sumber daya yang mereka buat. Pemilik sumber daya memutuskan siapa lagi yang dapat mengakses sumber daya dan tindakan yang diizinkan dilakukan orang lain pada sumber daya. S3 memiliki berbagai alat manajemen akses yang dapat Anda gunakan untuk memberi orang lain akses ke sumber daya S3 Anda.
Bagian berikut memberi Anda gambaran umum tentang sumber daya S3, alat manajemen akses S3 yang tersedia, dan kasus penggunaan terbaik untuk setiap alat manajemen akses. Daftar di bagian ini bertujuan untuk menjadi komprehensif dan mencakup semua sumber daya S3, alat manajemen akses, dan kasus penggunaan manajemen akses umum. Pada saat yang sama, bagian ini dirancang untuk menjadi direktori yang mengarahkan Anda ke detail teknis yang Anda inginkan. Jika Anda memiliki pemahaman yang baik tentang beberapa topik berikut, Anda dapat melompat ke bagian yang berlaku untuk Anda.
Untuk informasi selengkapnya tentang izin API operasi S3 menurut jenis sumber daya S3, lihat. Izin yang diperlukan untuk operasi Amazon API S3
Topik
Sumber daya S3
Sumber daya Amazon S3 asli adalah ember dan objek yang dikandungnya. Karena fitur baru ditambahkan ke S3, sumber daya baru juga ditambahkan. Berikut ini adalah daftar lengkap sumber daya S3 dan fitur-fiturnya masing-masing.
Jenis sumber daya | Fitur Amazon S3 | Deskripsi |
---|---|---|
|
Fitur inti |
Bucket adalah kontainer untuk objek. Untuk menyimpan objek di S3, buat bucket lalu unggah satu atau beberapa objek ke bucket. Untuk informasi selengkapnya, lihat Membuat, mengonfigurasi, dan bekerja dengan bucket Amazon S3. |
|
Objek dapat berupa file dan metadata apa pun yang menggambarkan file itu. Ketika sebuah objek ada di ember, Anda dapat membukanya, mengunduhnya, dan memindahkannya. Untuk informasi selengkapnya, lihat Bekerja dengan objek di Amazon S3. |
|
|
Titik Akses |
Titik Akses diberi nama titik akhir jaringan yang dilampirkan ke bucket yang dapat Anda gunakan untuk melakukan operasi objek Amazon S3, seperti dan. |
|
|
Object Lambda Access Point adalah titik akses untuk bucket yang juga terkait dengan fungsi Lambda. Dengan Object Lambda Access Point, Anda dapat menambahkan kode Anda sendiri ke Amazon |
|
|
Titik Akses Multi-Wilayah menyediakan titik akhir global yang dapat digunakan aplikasi untuk memenuhi permintaan dari bucket Amazon S3 yang berlokasi di beberapa Wilayah. AWS Anda dapat menggunakan Titik Akses Multi-Wilayah untuk membangun aplikasi multi-Wilayah dengan arsitektur yang sama dengan yang digunakan di satu Wilayah, dan kemudian menjalankan aplikasi tersebut di mana saja di seluruh dunia. Alih-alih mengirim permintaan melalui internet publik yang padat, permintaan aplikasi yang dibuat ke titik akhir global Multi-Region Access Point secara otomatis merutekan melalui jaringan AWS global ke bucket Amazon S3 terdekat. Untuk informasi selengkapnya, lihat Mengelola lalu lintas Multi-wilayah dengan Titik Akses Multi-Wilayah. |
|
Operasi Batch S3 |
Pekerjaan adalah sumber daya dari fitur Operasi Batch S3. Anda dapat menggunakan Operasi Batch S3 untuk melakukan operasi batch skala besar pada daftar objek Amazon S3 yang Anda tentukan. Amazon S3 melacak kemajuan pekerjaan operasi batch, mengirimkan pemberitahuan, dan menyimpan laporan penyelesaian terperinci dari semua tindakan, memberi Anda pengalaman yang sepenuhnya dikelola, dapat diaudit, dan tanpa server. Untuk informasi selengkapnya, lihat Melakukan operasi objek secara massal dengan Operasi Batch. |
|
Lensa Penyimpanan S3 |
Konfigurasi Lensa Penyimpanan S3 mengumpulkan metrik penyimpanan di seluruh organisasi dan data pengguna di seluruh akun. S3 Storage Lens memberi admin satu tampilan penggunaan dan aktivitas penyimpanan objek di ratusan, atau bahkan ribuan, akun dalam suatu organisasi, dengan detail untuk menghasilkan wawasan di berbagai tingkat agregasi. Untuk informasi selengkapnya, lihat Menilai aktivitas penyimpanan dan penggunaan dengan Lensa Penyimpanan Amazon S3. |
|
Grup Lensa Penyimpanan S3 menggabungkan metrik dengan menggunakan filter khusus berdasarkan metadata objek. Grup Lensa Penyimpanan S3 membantu Anda menyelidiki karakteristik data Anda, seperti distribusi objek berdasarkan usia, jenis file yang paling umum, dan banyak lagi. Untuk informasi selengkapnya, lihat Bekerja dengan grup Lensa Penyimpanan S3 untuk memfilter dan mengumpulkan metrik. |
|
|
Pemberian Akses S3 |
Instance S3 Access Grants adalah wadah untuk hibah S3 yang Anda buat. Dengan S3 Access Grants, Anda dapat membuat hibah ke data Amazon S3 untuk IAM identitas dalam akun Anda, identitas di akun lain (lintas akun), dan IAM identitas direktori yang ditambahkan dari direktori perusahaan Anda. AWS IAM Identity Center Untuk informasi selengkapnya tentang Hibah Akses S3, lihat. Mengelola akses dengan S3 Access Grants |
|
Lokasi Access Grants adalah bucket, awalan dalam bucket, atau objek yang Anda daftarkan di instans S3 Access Grants. Anda harus mendaftarkan lokasi dalam instance S3 Access Grants sebelum Anda dapat membuat hibah ke lokasi tersebut. Kemudian, dengan S3 Access Grants, Anda dapat memberikan akses ke bucket, awalan, atau objek untuk IAM identitas dalam akun Anda, IAM identitas di akun lain (lintas akun), dan identitas direktori yang ditambahkan dari direktori perusahaan Anda. AWS IAM Identity Center Untuk informasi selengkapnya tentang Hibah Akses S3, lihat Mengelola akses dengan S3 Access Grants |
|
|
Hibah Akses adalah hibah individu untuk data Amazon S3 Anda. Dengan S3 Access Grants, Anda dapat membuat hibah ke data Amazon S3 untuk IAM identitas dalam akun Anda, identitas di akun lain (lintas akun), dan IAM identitas direktori yang ditambahkan dari direktori perusahaan Anda. AWS IAM Identity Center Untuk informasi selengkapnya tentang Hibah Akses S3, lihat Mengelola akses dengan S3 Access Grants |
Bucket
Ada dua jenis bucket Amazon S3: ember tujuan umum dan ember direktori.
-
Bucket tujuan umum adalah jenis bucket S3 asli dan direkomendasikan untuk sebagian besar kasus penggunaan dan pola akses. Bucket tujuan umum juga memungkinkan objek yang disimpan di semua kelas penyimpanan, kecuali S3 Express One Zone. Untuk informasi selengkapnya tentang kelas penyimpanan S3, lihatMemahami dan mengelola kelas penyimpanan Amazon S3.
-
Bucket direktori menggunakan kelas penyimpanan S3 Express One Zone, yang direkomendasikan jika aplikasi Anda peka terhadap kinerja dan mendapat manfaat dari milidetik dan latensi satu digit.
PUT
GET
Lihat informasi selengkapnya di Bekerja dengan bucket direktori, S3 Express One Zone, dan Mengotorisasi titik akhir APIs Regional dengan IAM.
Mengkategorikan sumber daya S3
Amazon S3 menyediakan fitur untuk mengkategorikan dan mengatur sumber daya S3 Anda. Mengkategorikan sumber daya Anda tidak hanya berguna untuk mengaturnya, tetapi Anda juga dapat menetapkan aturan manajemen akses berdasarkan kategori sumber daya. Secara khusus, awalan dan penandaan adalah dua fitur organisasi penyimpanan yang dapat Anda gunakan saat mengatur izin manajemen akses.
catatan
Informasi berikut berlaku untuk ember tujuan umum. Bucket direktori tidak mendukung penandaan, dan mereka memiliki batasan awalan. Untuk informasi selengkapnya, lihat Mengotorisasi titik akhir APIs Regional dengan IAM.
-
Awalan - Awalan di Amazon S3 adalah string karakter di awal nama kunci objek yang digunakan untuk mengatur objek yang disimpan di bucket S3 Anda. Anda dapat menggunakan karakter pembatas, seperti garis miring maju (
/
), untuk menunjukkan akhir awalan dalam nama kunci objek. Misalnya, Anda mungkin memiliki nama kunci objek yang dimulai denganengineering/
awalan atau nama kunci objek yang dimulai denganmarketing/campaigns/
awalan. Menggunakan delimeter di akhir awalan Anda, seperti karakter garis miring maju/
mengemulasi folder dan konvensi penamaan file. Namun, di S3, awalan adalah bagian dari nama kunci objek. Dalam bucket S3 tujuan umum, tidak ada hierarki folder yang sebenarnya.Amazon S3 mendukung pengorganisasian dan pengelompokan objek dengan menggunakan awalan mereka. Anda juga dapat mengelola akses ke objek dengan awalan mereka. Misalnya, Anda dapat membatasi akses hanya ke objek dengan nama yang dimulai dengan awalan tertentu.
Untuk informasi selengkapnya, lihat Organisasi objek menggunakan prefiks. Konsol S3 menggunakan konsep folder, yang, dalam bucket tujuan umum, pada dasarnya adalah awalan yang telah ditambahkan ke nama kunci objek. Untuk informasi selengkapnya, lihat Mengatur objek di konsol Amazon S3 dengan menggunakan folder.
-
Tag - Setiap tag adalah pasangan nilai kunci yang Anda tetapkan ke sumber daya. Misalnya, Anda dapat menandai beberapa sumber daya dengan tag
topicCategory=engineering
. Anda dapat menggunakan penandaan untuk membantu alokasi biaya, pengkategorian dan pengorganisasian, dan kontrol akses. Bucket tagging hanya digunakan untuk alokasi biaya. Anda dapat menandai objek, Lensa Penyimpanan S3, pekerjaan, dan Hibah Akses S3 untuk keperluan pengorganisasian atau untuk kontrol akses. Di S3 Access Grants, Anda juga dapat menggunakan penandaan untuk alokasi biaya. Sebagai contoh mengendalikan akses ke sumber daya dengan menggunakan tag mereka, Anda hanya dapat berbagi objek yang memiliki tag tertentu atau kombinasi tag.Untuk informasi selengkapnya, lihat Mengontrol akses ke AWS sumber daya menggunakan tag sumber daya di Panduan IAM Pengguna.
Identitas
Di Amazon S3, pemilik sumber daya adalah identitas yang menciptakan sumber daya, seperti ember atau objek. Secara default, hanya pengguna root akun yang membuat sumber daya dan IAM identitas dalam akun yang memiliki izin yang diperlukan dapat mengakses sumber daya S3. Pemilik sumber daya dapat memberikan identitas lain akses ke sumber daya S3 mereka.
Identitas yang tidak memiliki sumber daya dapat meminta akses ke sumber daya tersebut. Permintaan ke sumber daya diautentikasi atau tidak diautentikasi. Permintaan yang diautentikasi harus menyertakan nilai tanda tangan yang mengautentikasi pengirim permintaan, tetapi permintaan yang tidak diautentikasi tidak memerlukan tanda tangan. Kami menyarankan Anda memberikan akses hanya kepada pengguna yang diautentikasi. Untuk informasi selengkapnya tentang otentikasi permintaan, lihat Membuat permintaan di Referensi Amazon API S3.
penting
Kami menyarankan agar Anda tidak menggunakan kredensi pengguna Akun AWS root untuk membuat permintaan yang diautentikasi. Alih-alih, buat IAM peran dan berikan peran itu akses penuh. Kami merujuk ke pengguna dengan peran ini sebagai pengguna administrator. Anda dapat menggunakan kredensil yang ditetapkan ke peran administrator, bukan kredenal pengguna Akun AWS root, untuk berinteraksi AWS dan melakukan tugas, seperti membuat bucket, membuat pengguna, dan memberikan izin. Untuk informasi selengkapnya, lihat kredensi pengguna Akun AWS root dan kredenal IAM pengguna di Referensi Umum AWS, dan lihat Praktik terbaik keamanan IAM di Panduan Pengguna. IAM
Identitas mengakses data Anda di Amazon S3 dapat menjadi salah satu dari yang berikut:
Akun AWS pemilik
Akun AWS Yang menciptakan sumber daya. Misalnya, akun yang membuat ember. Akun ini memiliki sumber daya. Untuk informasi selengkapnya, lihat pengguna root AWS akun.
IAMidentitas dalam akun pemilik yang sama Akun AWS
Saat menyiapkan akun untuk anggota tim baru yang memerlukan akses S3, Akun AWS pemilik dapat menggunakan AWS Identity and Access Management (IAM) untuk membuat pengguna, grup, dan peran. Akun AWS Pemilik kemudian dapat berbagi sumber daya dengan IAM identitas ini. Pemilik akun juga dapat menentukan izin untuk memberikan IAM identitas, yang memungkinkan atau menolak tindakan yang dapat dilakukan pada sumber daya bersama.
IAMIdentitas memberikan peningkatan kemampuan, termasuk kemampuan untuk meminta pengguna memasukkan kredensi login sebelum mengakses sumber daya bersama. Dengan menggunakan IAM identitas, Anda dapat menerapkan bentuk otentikasi IAM multi-faktor (MFA) untuk mendukung fondasi identitas yang kuat. Praktik IAM terbaik adalah membuat peran untuk manajemen akses alih-alih memberikan izin kepada setiap pengguna individu. Anda menetapkan pengguna individu ke peran yang sesuai. Untuk informasi selengkapnya, lihat Praktik terbaik keamanan di IAM.
Pemilik AWS akun lain dan IAM identitas mereka (akses lintas akun)
Akun AWS Pemilik juga dapat memberikan pemilik AWS akun lain, atau IAM identitas milik AWS akun lain, akses ke sumber daya.
catatan
Delegasi izin — Jika Akun AWS memiliki sumber daya, ia dapat memberikan izin tersebut kepada yang lain. Akun AWS Akun itu kemudian dapat mendelegasikan izin tersebut, atau sebagian dari mereka, kepada pengguna di akun yang sama. Ini disebut sebagai delegasi izin. Tetapi akun yang menerima izin dari akun lain tidak dapat mendelegasikan izin tersebut “lintas akun” ke akun lain. Akun AWS
Pengguna anonim (akses publik)
Akun AWS Pemilik dapat membuat sumber daya publik. Membuat sumber daya publik secara teknis berbagi sumber daya dengan pengguna anonim. Bucket yang dibuat sejak April 2023 memblokir semua akses publik secara default, kecuali jika Anda mengubah pengaturan ini. Kami menyarankan Anda mengatur bucket untuk memblokir akses publik, dan Anda hanya memberikan akses ke pengguna yang diautentikasi. Untuk informasi lebih lanjut tentang pemblokiran akses publik, lihat Melakukan blok akses publik ke penyimpanan Amazon S3 Anda.
Layanan AWS
Pemilik sumber daya dapat memberikan akses AWS layanan lain ke sumber daya Amazon S3. Misalnya, Anda dapat memberikan s3:PutObject
izin AWS CloudTrail layanan untuk menulis file log ke bucket Anda. Untuk informasi selengkapnya, lihat Menyediakan akses ke AWS layanan.
Identitas direktori perusahaan
Pemilik sumber daya dapat memberikan pengguna atau peran dari direktori perusahaan Anda akses ke sumber daya S3 dengan menggunakan S3 Access Grants. Untuk informasi selengkapnya tentang menambahkan direktori perusahaan Anda AWS IAM Identity Center, lihat Apa itu Pusat IAM Identitas? .
Pemilik ember atau sumber daya
Akun AWS Yang Anda gunakan untuk membuat bucket dan mengunggah objek memiliki sumber daya tersebut. Pemilik bucket dapat memberikan izin lintas akun kepada Akun AWS lain (atau pengguna di akun lain) untuk unggah objek.
Ketika pemilik bucket mengizinkan akun lain untuk mengunggah objek ke bucket, pemilik bucket, secara default, memiliki semua objek yang diunggah ke bucket mereka. Namun, jika pengaturan bucket yang dipaksakan oleh pemilik Bucket dan pemilik Bucket dinonaktifkan, Akun AWS yang mengunggah objek memiliki objek tersebut, dan pemilik bucket tidak memiliki izin pada objek yang dimiliki oleh akun lain, dengan pengecualian berikut:
-
Pemilik bucket membayar tagihan. Pemilik bucket dapat menolak akses ke objek apa pun, atau menghapus objek apa pun di dalam bucket, tanpa memandang siapa yang memilikinya.
-
Pemilik bucket dapat mengarsipkan objek apa pun atau mengembalikan objek yang diarsipkan, terlepas dari siapa yang memilikinya. Pengarsipan mengacu pada kelas penyimpanan yang digunakan untuk menyimpan objek. Untuk informasi selengkapnya, lihat Mengelola siklus hidup objek.
Alat manajemen akses
Amazon S3 menyediakan beragam fitur dan alat keamanan. Berikut ini adalah daftar lengkap fitur dan alat ini. Anda tidak memerlukan semua alat manajemen akses ini, tetapi Anda harus menggunakan satu atau lebih untuk memberikan akses ke sumber daya Amazon S3 Anda. Aplikasi yang tepat dari alat-alat ini dapat membantu memastikan bahwa sumber daya Anda hanya dapat diakses oleh pengguna yang dituju.
Alat manajemen akses yang paling umum digunakan adalah kebijakan akses. Kebijakan akses dapat berupa kebijakan berbasis sumber daya yang dilampirkan ke AWS sumber daya, seperti kebijakan bucket untuk bucket. Kebijakan akses juga dapat berupa kebijakan berbasis identitas yang dilampirkan pada identitas AWS Identity and Access Management (IAM), seperti IAM pengguna, grup, atau peran. Tulis kebijakan akses untuk memberikan Akun AWS izin kepada IAM pengguna, grup, dan peran untuk melakukan operasi pada sumber daya. Misalnya, Anda dapat memberikan PUT Object
izin kepada yang lain Akun AWS sehingga akun lain dapat mengunggah objek ke bucket Anda.
Kebijakan akses menjelaskan siapa yang memiliki akses ke hal-hal apa. Saat Amazon S3 menerima permintaan, Amazon S3 harus mengevaluasi semua kebijakan akses untuk menentukan apakah akan mengotorisasi atau menolak permintaan tersebut. Untuk informasi lebih lanjut tentang cara Amazon S3 mengevaluasi kebijakan ini, lihat Bagaimana Amazon S3 Mengotorisasi Permintaan.
Berikut ini adalah alat manajemen akses yang tersedia di Amazon S3.
Kebijakan bucket Amazon S3 adalah kebijakan berbasis sumber daya JSON -format AWS Identity and Access Management (IAM) yang dilampirkan ke bucket tertentu. Gunakan kebijakan bucket untuk memberikan izin lain Akun AWS atau IAM identitas untuk bucket dan objek di dalamnya. Banyak kasus penggunaan manajemen akses S3 dapat dipenuhi dengan menggunakan kebijakan bucket. Dengan kebijakan bucket, Anda dapat mempersonalisasi akses bucket untuk membantu memastikan bahwa hanya identitas yang telah Anda setujui yang dapat mengakses sumber daya dan melakukan tindakan di dalamnya. Untuk informasi selengkapnya, lihat Kebijakan bucket untuk Amazon S3.
Berikut ini adalah contoh kebijakan bucket. Anda mengekspresikan kebijakan bucket dengan menggunakan JSON file. Kebijakan contoh ini memberikan izin baca IAM peran ke semua objek di bucket. Ini berisi satu pernyataan bernamaBucketLevelReadPermissions
, yang memungkinkan s3:GetObject
tindakan (izin baca) pada objek dalam ember bernamaamzn-s3-demo-bucket1
. Dengan menetapkan IAM peran sebagaiPrincipal
, kebijakan ini memberikan akses ke setiap IAM pengguna dengan peran ini. Untuk menggunakan kebijakan contoh ini, ganti
dengan informasi Anda sendiri. user
input placeholders
{ "Version":"2012-10-17", "Statement": [ { "Sid":"
BucketLevelReadPermissions
", "Effect":"Allow", "Principal": { "AWS": "arn:aws:iam::123456789101
:role/s3-role
" }, "Action":["s3:GetObject"], "Resource":["arn:aws:s3:::amzn-s3-demo-bucket1/*
"] }] }
catatan
Saat membuat kebijakan, hindari penggunaan karakter wildcard (*
) di elemen Principal
karena penggunaan karakter wildcard memungkinkan siapa pun mengakses sumber daya Amazon S3 Anda. Sebagai gantinya, secara eksplisit mencantumkan pengguna atau grup yang diizinkan mengakses bucket, atau mencantumkan kondisi yang harus dipenuhi dengan menggunakan klausa kondisi dalam kebijakan. Selain itu, daripada menyertakan karakter wildcard untuk tindakan pengguna atau grup Anda, berikan mereka izin khusus jika berlaku.
Kebijakan berbasis identitas atau IAM pengguna adalah jenis kebijakan AWS Identity and Access Management () IAM. Kebijakan berbasis identitas adalah kebijakan JSON berformat -yang dilampirkan ke IAM pengguna, grup, atau peran di akun Anda. AWS Anda dapat menggunakan kebijakan berbasis identitas untuk memberikan akses IAM identitas ke bucket atau objek Anda. Anda dapat membuat IAM pengguna, grup, dan peran di akun Anda dan melampirkan kebijakan akses kepada mereka. Anda kemudian dapat memberikan akses ke AWS sumber daya, termasuk sumber daya Amazon S3. Untuk informasi selengkapnya, lihat Kebijakan berbasis identitas untuk Amazon S3.
Berikut ini adalah contoh kebijakan berbasis identitas. Kebijakan contoh memungkinkan IAM peran terkait untuk melakukan enam tindakan (izin) Amazon S3 yang berbeda pada bucket dan objek di dalamnya. Jika Anda melampirkan kebijakan ini ke IAM peran di akun Anda dan menetapkan peran tersebut ke beberapa IAM pengguna, pengguna dengan peran ini akan dapat melakukan tindakan ini pada sumber daya (bucket) yang ditentukan dalam kebijakan Anda. Untuk menggunakan kebijakan contoh ini, ganti
dengan informasi Anda sendiri.user input placeholders
{ "Version": "2012-10-17", "Statement": [ { "Sid": "
AssignARoleActions
", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:ListBucket", "s3:DeleteObject", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1/*
", "arn:aws:s3:::amzn-s3-demo-bucket1
" ] }, { "Sid": "AssignARoleActions2
", "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": "*" } ] }
Gunakan Hibah Akses S3 untuk membuat hibah akses ke data Amazon S3 Anda untuk kedua identitas di direktori identitas perusahaan, seperti Active Directory, dan untuk AWS Identity and Access Management (IAM) identitas. S3 Access Grants membantu Anda mengelola izin data dalam skala besar. Selain itu, S3 Access Grants mencatat identitas pengguna akhir dan aplikasi yang digunakan untuk mengakses data S3 di. AWS CloudTrail Ini memberikan riwayat audit terperinci hingga identitas pengguna akhir untuk semua akses ke data di bucket S3 Anda. Untuk informasi selengkapnya, lihat Mengelola akses dengan S3 Access Grants.
Titik Akses Amazon S3 menyederhanakan pengelolaan akses data dalam skala besar untuk aplikasi yang menggunakan kumpulan data bersama di S3. Access Points diberi nama endpoint jaringan yang dilampirkan ke bucket. Anda dapat menggunakan titik akses untuk melakukan operasi objek S3 dalam skala besar, seperti mengunggah dan mengambil objek. Bucket dapat memiliki hingga 10.000 titik akses yang terpasang, dan untuk setiap titik akses, Anda dapat menerapkan izin dan kontrol jaringan yang berbeda untuk memberi Anda kontrol terperinci atas akses ke objek S3 Anda. Poin Akses S3 dapat dikaitkan dengan bucket di akun yang sama atau di akun tepercaya lainnya. Kebijakan Access Points adalah kebijakan berbasis sumber daya yang dievaluasi bersama dengan kebijakan bucket yang mendasarinya. Untuk informasi selengkapnya, lihat Mengelola akses ke kumpulan data bersama dengan titik akses.
An ACL adalah daftar hibah yang mengidentifikasi penerima hibah dan izin yang diberikan. ACLsmemberikan izin baca atau tulis dasar kepada yang lain Akun AWS. ACLsgunakan skema khusus Amazon S3. XML An ACL adalah jenis AWS Identity and Access Management (IAM) kebijakan. Objek ACL digunakan untuk mengelola akses ke objek, dan bucket ACL digunakan untuk mengelola akses ke bucket. Dengan kebijakan bucket, ada satu kebijakan untuk seluruh bucket, tetapi objek ACLs ditentukan untuk setiap objek. Kami menyarankan agar Anda tetap ACLs dimatikan, kecuali dalam keadaan yang tidak biasa di mana Anda harus mengontrol akses secara individual untuk setiap objek. Untuk informasi selengkapnya tentang penggunaanACLs, lihatMengontrol kepemilikan objek dan menonaktifkan bucket ACLs Anda.
Awas
Mayoritas kasus penggunaan modern di Amazon S3 tidak memerlukan penggunaan. ACLs
Berikut ini adalah contoh bucketACL. Hibah di ACL menunjukkan pemilik ember yang memiliki izin kontrol penuh.
<?xml version="1.0" encoding="UTF-8"?> <AccessControlPolicy xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> <Owner> <ID>
Owner-Canonical-User-ID
</ID> <DisplayName>owner-display-name
</DisplayName> </Owner> <AccessControlList> <Grant> <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="Canonical User"> <ID>Owner-Canonical-User-ID
</ID> <DisplayName>display-name
</DisplayName> </Grantee> <Permission>FULL_CONTROL</Permission> </Grant> </AccessControlList> </AccessControlPolicy>
Untuk mengelola akses ke objek Anda, Anda harus menjadi pemilik objek. Anda dapat menggunakan setelan tingkat ember Kepemilikan Objek untuk mengontrol kepemilikan objek yang diunggah ke bucket. Juga, gunakan Object Ownership untuk mengaktifkanACLs. Secara default, Kepemilikan Objek diatur ke setelan diberlakukan pemilik Bucket dan ACLs semuanya dimatikan. Saat ACLs dimatikan, pemilik bucket memiliki semua objek di bucket dan secara eksklusif mengelola akses ke data. Untuk mengelola akses, pemilik bucket menggunakan kebijakan atau alat manajemen akses lainnya, tidak termasuk. ACLs Untuk informasi selengkapnya, lihat Mengontrol kepemilikan objek dan menonaktifkan bucket ACLs Anda.
Object Ownership memiliki tiga pengaturan yang dapat Anda gunakan untuk mengontrol kepemilikan objek yang diunggah ke bucket dan untuk mengaktifkanACLs:
ACLsdimatikan
-
Pemilik bucket diberlakukan (default) — ACLs dimatikan, dan pemilik bucket secara otomatis memiliki dan memiliki kontrol penuh atas setiap objek di bucket. ACLstidak memengaruhi izin ke data di bucket S3. Bucket menggunakan kebijakan secara eksklusif untuk menentukan kontrol akses.
ACLsdihidupkan
-
Pemilik ember lebih disukai — Pemilik ember memiliki dan memiliki kendali penuh atas objek baru yang ditulis akun lain ke ember dengan
bucket-owner-full-control
kalengACL. -
Penulis objek — Akun AWS Yang mengunggah objek memiliki objek, memiliki kontrol penuh atasnya, dan dapat memberikan pengguna lain akses ke sana melalui. ACLs
Praktik terbaik tambahan
Pertimbangkan untuk menggunakan pengaturan dan alat bucket berikut untuk membantu melindungi data saat transit dan saat istirahat, keduanya sangat penting dalam menjaga integritas dan aksesibilitas data Anda:
-
Blokir Akses Publik - Jangan matikan pengaturan tingkat ember default Blokir Akses Publik. Pengaturan ini memblokir akses publik ke data Anda secara default. Untuk informasi lebih lanjut tentang pemblokiran akses publik, lihat Melakukan blok akses publik ke penyimpanan Amazon S3 Anda.
-
Pembuatan Versi S3 — Untuk integritas data, Anda dapat menerapkan pengaturan bucket S3 Versioning, yang membuat versi objek Anda saat Anda melakukan pembaruan, alih-alih menimpanya. Anda dapat menggunakan S3 Versioning untuk mempertahankan, mengambil, dan memulihkan versi sebelumnya, jika diperlukan. Untuk informasi tentang Penentuan Versi S3, lihat Mempertahankan beberapa versi objek dengan S3 Versioning.
-
S3 Object Lock - S3 Object Lock adalah pengaturan lain yang dapat Anda terapkan untuk mencapai integritas data. Fitur ini dapat mengimplementasikan model write-once-read-many (WORM) untuk menyimpan objek secara permanen. Untuk informasi tentang Kunci Objek, lihat Mengunci objek dengan Object Lock.
-
Enkripsi objek — Amazon S3 menawarkan beberapa opsi enkripsi objek yang melindungi data saat transit dan saat istirahat. Enkripsi sisi server mengenkripsi objek Anda sebelum menyimpannya di disk di pusat datanya dan kemudian mendekripsi ketika Anda mengunduh objek. Jika Anda mengautentikasi permintaan Anda dan Anda memiliki izin akses, tidak ada perbedaan dalam cara Anda mengakses objek terenkripsi atau tidak terenkripsi. Untuk informasi selengkapnya, lihat Melindungi data dengan enkripsi di sisi klien. S3 mengenkripsi objek yang baru diunggah secara default. Untuk informasi selengkapnya, lihat Mengatur perilaku enkripsi di sisi server default untuk bucket Amazon S3. Enkripsi sisi klien adalah tindakan mengenkripsi data sebelum mengirimkannya ke Amazon S3. Untuk informasi selengkapnya, lihat Melindungi data menggunakan enkripsi di sisi klien.
-
Metode penandatanganan — Signature Version 4 adalah proses menambahkan informasi otentikasi ke AWS permintaan yang dikirim olehHTTP. Untuk keamanan, sebagian besar permintaan AWS harus ditandatangani dengan kunci akses, yang terdiri dari ID kunci akses dan kunci akses rahasia. Kedua kunci ini umumnya disebut sebagai kredensial keamanan Anda. Untuk informasi selengkapnya, lihat Mengautentikasi Permintaan (Versi AWS Tanda Tangan 4) dan proses penandatanganan Versi Tanda Tangan 4.
Tindakan
Untuk daftar lengkap izin dan kunci kondisi S3, lihat Kunci tindakan, sumber daya, dan kondisi untuk Amazon S3 di Referensi Otorisasi Layanan.
Untuk informasi selengkapnya tentang izin API operasi S3 menurut jenis sumber daya S3, lihat. Izin yang diperlukan untuk operasi Amazon API S3
Tindakan
Tindakan AWS Identity and Access Management (IAM) untuk Amazon S3 adalah kemungkinan tindakan yang dapat dilakukan pada bucket atau objek S3. Anda memberikan tindakan ini ke identitas sehingga mereka dapat bertindak berdasarkan sumber daya S3 Anda. Contoh tindakan S3 adalah s3:GetObject
membaca objek dalam ember, dan s3:PutObject
menulis objek ke ember.
Kunci syarat
Selain tindakan, kunci IAM kondisi dibatasi untuk memberikan akses hanya ketika suatu kondisi terpenuhi. Kunci kondisi bersifat opsional.
catatan
Dalam kebijakan akses berbasis sumber daya, seperti kebijakan bucket, atau dalam kebijakan berbasis identitas, Anda dapat menentukan hal berikut:
-
Tindakan atau serangkaian tindakan dalam
Action
elemen pernyataan kebijakan. -
Dalam
Effect
elemen pernyataan kebijakan, Anda dapat menentukanAllow
untuk memberikan tindakan yang tercantum, atau Anda dapat menentukanDeny
untuk memblokir tindakan yang tercantum. Untuk lebih mempertahankan praktik hak istimewa terkecil,Deny
pernyataan dalamEffect
elemen kebijakan akses harus seluas mungkin, danAllow
pernyataan harus sesempit mungkin.Deny
efek yang dipasangkan dengans3:*
tindakan adalah cara lain yang baik untuk menerapkan praktik terbaik opt-in untuk identitas yang termasuk dalam pernyataan kondisi kebijakan. -
Kunci kondisi dalam
Condition
elemen pernyataan kebijakan.
Kasus penggunaan manajemen akses
Amazon S3 menyediakan pemilik sumber daya dengan berbagai alat untuk memberikan akses. Alat manajemen akses S3 yang Anda gunakan bergantung pada sumber daya S3 yang ingin Anda bagikan, identitas yang Anda berikan akses, dan tindakan yang ingin Anda izinkan atau tolak. Anda mungkin ingin menggunakan satu atau kombinasi alat manajemen akses S3 untuk mengelola akses ke sumber daya S3 Anda.
Dalam kebanyakan kasus, Anda dapat menggunakan kebijakan akses untuk mengelola izin. Kebijakan akses dapat berupa kebijakan berbasis sumber daya, yang dilampirkan ke sumber daya, seperti bucket, atau sumber daya Amazon S3 lainnya (). Sumber daya S3 Kebijakan akses juga dapat berupa kebijakan berbasis identitas, yang dilampirkan ke AWS Identity and Access Management (IAM) pengguna, grup, atau peran di akun Anda. Anda mungkin menemukan bahwa kebijakan bucket berfungsi lebih baik untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat Kebijakan bucket untuk Amazon S3. Atau, dengan AWS Identity and Access Management (IAM), Anda dapat membuat IAM pengguna, grup, dan peran dalam diri Anda Akun AWS dan mengelola akses mereka ke bucket dan objek melalui kebijakan berbasis identitas. Untuk informasi selengkapnya, lihat Kebijakan berbasis identitas untuk Amazon S3.
Untuk membantu Anda menavigasi opsi manajemen akses ini, berikut ini adalah kasus penggunaan pelanggan Amazon S3 yang umum dan rekomendasi untuk masing-masing alat manajemen akses S3.
Semua alat manajemen akses dapat memenuhi kasus penggunaan dasar ini. Kami merekomendasikan alat manajemen akses berikut untuk kasus penggunaan ini:
-
Kebijakan bucket — Jika Anda ingin memberikan akses ke satu bucket atau sejumlah kecil bucket, atau jika izin akses bucket Anda serupa dari bucket ke bucket, gunakan kebijakan bucket. Dengan kebijakan bucket, Anda mengelola satu kebijakan untuk setiap bucket. Untuk informasi selengkapnya, lihat Kebijakan bucket untuk Amazon S3.
-
Kebijakan berbasis identitas — Jika Anda memiliki jumlah bucket yang sangat besar dengan izin akses berbeda untuk setiap bucket, dan hanya beberapa peran pengguna yang harus dikelola, Anda dapat menggunakan IAM kebijakan untuk pengguna, grup, atau peran. IAMkebijakan juga merupakan pilihan yang baik jika Anda mengelola akses pengguna ke AWS sumber daya lain, serta sumber daya Amazon S3. Untuk informasi selengkapnya, lihat Contoh 1: Pemilik bucket yang memberikan izin bucket kepada penggunanya.
-
Hibah Akses S3 — Anda dapat menggunakan Hibah Akses S3 untuk memberikan akses ke bucket, awalan, atau objek S3 Anda. S3 Access Grants memungkinkan Anda menentukan berbagai izin tingkat objek dalam skala besar; sedangkan, kebijakan bucket dibatasi hingga 20 KB. Untuk informasi selengkapnya, lihat Memulai S3 Access Grants.
-
Access Points — Anda dapat menggunakan Access Points, yang diberi nama endpoint jaringan yang dilampirkan ke bucket. Bucket dapat memiliki hingga 10.000 titik akses yang terpasang, dan untuk setiap titik akses, Anda dapat menerapkan izin dan kontrol jaringan yang berbeda untuk memberi Anda kontrol terperinci atas akses ke objek S3 Anda. Untuk informasi selengkapnya, lihat Mengelola akses ke kumpulan data bersama dengan titik akses.
Untuk memberikan izin kepada orang lain Akun AWS, Anda harus menggunakan kebijakan bucket atau salah satu alat manajemen akses yang disarankan berikut ini. Anda tidak dapat menggunakan kebijakan akses berbasis identitas untuk kasus penggunaan ini. Untuk informasi selengkapnya tentang pemberian akses lintas akun, lihat Bagaimana cara menyediakan akses lintas akun ke objek yang ada di bucket Amazon S3?
Kami merekomendasikan alat manajemen akses berikut untuk kasus penggunaan ini:
-
Kebijakan bucket — Dengan kebijakan bucket, Anda mengelola satu kebijakan untuk setiap bucket. Untuk informasi selengkapnya, lihat Kebijakan bucket untuk Amazon S3.
-
Hibah Akses S3 — Anda dapat menggunakan Hibah Akses S3 untuk memberikan izin lintas akun ke bucket, awalan, atau objek S3 Anda. Anda dapat menggunakan S3 Access Grants untuk menentukan berbagai izin tingkat objek pada skala; sedangkan, kebijakan bucket dibatasi hingga 20 KB dalam ukuran. Untuk informasi selengkapnya, lihat Memulai S3 Access Grants.
-
Access Points — Anda dapat menggunakan Access Points, yang diberi nama endpoint jaringan yang dilampirkan ke bucket. Bucket dapat memiliki hingga 10.000 titik akses yang terpasang, dan untuk setiap titik akses, Anda dapat menerapkan izin dan kontrol jaringan yang berbeda untuk memberi Anda kontrol terperinci atas akses ke objek S3 Anda. Untuk informasi selengkapnya, lihat Mengelola akses ke kumpulan data bersama dengan titik akses.
Dalam kebijakan bucket, misalnya, Anda dapat memberikan akses ke objek dalam bucket yang membagikan awalan nama kunci tertentu atau memiliki tag tertentu. Anda dapat memberikan izin baca pada objek yang dimulai dengan awalan logs/
nama kunci. Namun, jika izin akses Anda bervariasi menurut objek, pemberian izin ke objek individual dengan menggunakan kebijakan bucket mungkin tidak praktis, terutama karena kebijakan bucket dibatasi hingga 20 KB.
Kami merekomendasikan alat manajemen akses berikut untuk kasus penggunaan ini:
-
Hibah Akses S3 - Anda dapat menggunakan Hibah Akses S3 untuk mengelola izin tingkat objek atau tingkat awalan. Tidak seperti kebijakan bucket, Anda dapat menggunakan S3 Access Grants untuk menentukan berbagai izin tingkat objek dalam skala besar. Kebijakan bucket dibatasi hingga ukuran 20 KB. Untuk informasi selengkapnya, lihat Memulai S3 Access Grants.
-
Access Points — Anda dapat menggunakan titik akses untuk mengelola izin tingkat objek atau tingkat awalan. Access Points diberi nama endpoint jaringan yang dilampirkan ke bucket. Bucket dapat memiliki hingga 10.000 titik akses yang terpasang, dan untuk setiap titik akses, Anda dapat menerapkan izin dan kontrol jaringan yang berbeda untuk memberi Anda kontrol terperinci atas akses ke objek S3 Anda. Untuk informasi selengkapnya, lihat Mengelola akses ke kumpulan data bersama dengan titik akses.
-
ACLs— Kami tidak menyarankan menggunakan Access Control Lists (ACLs), terutama karena ACLs dibatasi hingga 100 hibah per objek. Namun, jika Anda memilih untuk mengaktifkanACLs, di Pengaturan Bucket, setel Kepemilikan Objek ke pemilik Bucket yang disukai dan ACLsdiaktifkan. Dengan pengaturan ini, objek baru yang ditulis dengan
bucket-owner-full-control
kaleng ACL secara otomatis dimiliki oleh pemilik ember daripada penulis objek. Anda kemudian dapat menggunakan objekACLs, yang merupakan kebijakan akses XML berformat -, untuk memberikan pengguna lain akses ke objek. Untuk informasi selengkapnya, lihat Daftar kontrol akses (ACL) ikhtisar.
Kami merekomendasikan alat manajemen akses berikut untuk kasus penggunaan ini:
-
Kebijakan bucket — Dengan kebijakan bucket, Anda mengelola satu kebijakan untuk setiap bucket. Untuk informasi selengkapnya, lihat Kebijakan bucket untuk Amazon S3.
-
Access Points — Access Points diberi nama endpoint jaringan yang dilampirkan ke bucket. Bucket dapat memiliki hingga 10.000 titik akses yang terpasang, dan untuk setiap titik akses, Anda dapat menerapkan izin dan kontrol jaringan yang berbeda untuk memberi Anda kontrol terperinci atas akses ke objek S3 Anda. Untuk informasi selengkapnya, lihat Mengelola akses ke kumpulan data bersama dengan titik akses.
Kami merekomendasikan alat manajemen akses berikut untuk kasus penggunaan ini:
-
Access Points — Access Points diberi nama endpoint jaringan yang dilampirkan ke bucket. Bucket dapat memiliki hingga 10.000 titik akses yang terpasang, dan untuk setiap titik akses, Anda dapat menerapkan izin dan kontrol jaringan yang berbeda untuk memberi Anda kontrol terperinci atas akses ke objek S3 Anda. Setiap titik akses memberlakukan kebijakan titik akses khusus yang bekerja bersama kebijakan bucket yang melekat pada bucket dasar. Untuk informasi selengkapnya, lihat Mengelola akses ke kumpulan data bersama dengan titik akses.
Titik akhir Virtual Private Cloud (VPC) untuk Amazon S3 adalah entitas logis dalam VPC a yang memungkinkan konektivitas hanya ke S3. Kami merekomendasikan alat manajemen akses berikut untuk kasus penggunaan ini:
-
Bucket dalam VPC setelan — Anda dapat menggunakan kebijakan bucket untuk mengontrol siapa yang diizinkan mengakses bucket Anda dan VPC titik akhir mana yang dapat mereka akses. Untuk informasi selengkapnya, lihat Mengontrol akses dari VPC titik akhir dengan kebijakan bucket.
-
Access Points — Jika Anda memilih untuk mengatur jalur akses, Anda dapat menggunakan kebijakan titik akses. Anda dapat mengonfigurasi titik akses apa pun untuk menerima permintaan hanya dari cloud pribadi virtual (VPC) untuk membatasi akses data Amazon S3 ke jaringan pribadi. Anda juga dapat mengonfigurasi pengaturan blok akses publik khusus untuk setiap titik akses. Untuk informasi selengkapnya, lihat Mengelola akses ke kumpulan data bersama dengan titik akses.
Dengan S3, Anda dapat meng-host situs web statis dan memungkinkan siapa saja untuk melihat konten situs web, yang di-host dari ember S3.
Kami merekomendasikan alat manajemen akses berikut untuk kasus penggunaan ini:
-
Amazon CloudFront - Solusi ini memungkinkan Anda untuk meng-host situs web statis Amazon S3 ke publik sambil juga terus memblokir semua akses publik ke konten bucket. Jika Anda ingin mengaktifkan keempat pengaturan Akses Publik Blok S3 dan menghosting situs web statis S3, Anda dapat menggunakan kontrol akses CloudFront asal Amazon ()OAC. Amazon CloudFront menyediakan kemampuan yang diperlukan untuk menyiapkan situs web statis yang aman. Selain itu, situs web statis Amazon S3 yang tidak menggunakan solusi ini hanya dapat mendukung HTTP titik akhir. CloudFront menggunakan penyimpanan Amazon S3 yang tahan lama sambil menyediakan header keamanan tambahan, seperti. HTTPS HTTPSmenambahkan keamanan dengan mengenkripsi HTTP permintaan normal dan melindungi terhadap serangan siber umum.
Untuk informasi selengkapnya, lihat Memulai situs web statis aman di Panduan CloudFront Pengembang Amazon.
-
Membuat bucket Amazon S3 Anda dapat diakses publik — Anda dapat mengonfigurasi bucket untuk digunakan sebagai situs web statis yang diakses publik.
Awas
Kami tidak merekomendasikan metode ini. Sebagai gantinya, kami sarankan Anda menggunakan situs web statis Amazon S3 sebagai bagian dari Amazon. CloudFront Untuk informasi selengkapnya, lihat opsi sebelumnya, atau lihat Memulai situs web statis yang aman.
Untuk membuat situs web statis Amazon S3, tanpa Amazon CloudFront, pertama, Anda harus mematikan semua pengaturan Blokir Akses Publik. Saat menulis kebijakan bucket untuk situs web statis, pastikan Anda hanya mengizinkan tindakan
s3:GetObject
, bukan izinListObject
atauPutObject
. Ini membantu memastikan bahwa pengguna tidak dapat melihat semua objek di bucket Anda atau menambahkan konten mereka sendiri. Untuk informasi selengkapnya, lihat Mengatur izin untuk akses situs web.
Saat membuat bucket Amazon S3 baru, pengaturan Blokir Akses Publik diaktifkan secara default. Untuk informasi lebih lanjut tentang pemblokiran akses publik, lihat Melakukan blok akses publik ke penyimpanan Amazon S3 Anda.
Kami tidak menyarankan mengizinkan akses publik ke bucket Anda. Namun, jika Anda harus melakukannya untuk kasus penggunaan tertentu, kami merekomendasikan alat manajemen akses berikut untuk kasus penggunaan ini:
-
Nonaktifkan pengaturan Blokir Akses Publik — Pemilik bucket dapat mengizinkan permintaan yang tidak diautentikasi ke bucket. Misalnya, permintaan PUTObjek yang tidak diautentikasi diizinkan saat bucket memiliki kebijakan bucket publik, atau saat bucket ACL memberikan akses publik. Semua permintaan yang tidak diautentikasi dibuat oleh AWS pengguna arbitrer lainnya, atau bahkan pengguna anonim yang tidak diautentikasi. Pengguna ini diwakili ACLs oleh ID pengguna kanonik tertentu.
65a011a29cdf8ec533ec3d1ccaae921c
Jika objek diunggah keWRITE
atauFULL_CONTROL
, maka ini secara khusus memberikan akses ke grup Semua Pengguna atau pengguna anonim. Untuk informasi selengkapnya tentang kebijakan bucket publik dan daftar kontrol akses publik (ACLs), lihatArti “publik”.
Kebijakan bucket dan kebijakan berbasis identitas memiliki batas ukuran 20 KB. Jika persyaratan izin akses Anda rumit, Anda mungkin melebihi batas ukuran ini.
Kami merekomendasikan alat manajemen akses berikut untuk kasus penggunaan ini:
-
Access Points — Gunakan titik akses jika ini berfungsi dengan kasus penggunaan Anda. Dengan titik akses, setiap bucket memiliki beberapa titik akhir jaringan bernama, masing-masing dengan kebijakan jalur aksesnya sendiri yang sesuai dengan kebijakan bucket yang mendasarinya. Namun, titik akses hanya dapat bertindak pada objek, bukan ember, dan tidak mendukung replikasi lintas wilayah. Untuk informasi selengkapnya, lihat Mengelola akses ke kumpulan data bersama dengan titik akses.
-
Hibah Akses S3 — Gunakan Hibah Akses S3, yang mendukung sejumlah besar hibah yang memberikan akses ke bucket, awalan, atau objek. Untuk informasi selengkapnya, lihat Memulai S3 Access Grants.
Alih-alih mengelola pengguna, grup, dan peran melalui AWS Identity and Access Management (IAM), Anda dapat menambahkan direktori perusahaan ke AWS IAM Identity Center. Untuk informasi lebih lanjut, lihat Apa itu Pusat IAM Identitas? .
Setelah Anda menambahkan direktori perusahaan Anda AWS IAM Identity Center, kami sarankan Anda menggunakan alat manajemen akses berikut untuk memberikan identitas direktori perusahaan akses ke sumber daya S3 Anda:
-
Hibah Akses S3 — Gunakan Hibah Akses S3, yang mendukung pemberian akses ke pengguna atau peran di direktori perusahaan Anda. Untuk informasi selengkapnya, lihat Memulai S3 Access Grants.
Kami merekomendasikan alat manajemen akses berikut untuk kasus penggunaan ini:
-
Bucket ACL — Satu-satunya kasus penggunaan yang disarankan untuk bucket ACLs adalah memberikan izin kepada tertentu Layanan AWS, seperti CloudFront
awslogsdelivery
akun Amazon. Saat Anda membuat atau memperbarui distribusi dan mengaktifkan CloudFront logging, CloudFront perbarui bucket ACL untuk memberikanFULL_CONTROL
izinawslogsdelivery
akun untuk menulis log ke bucket Anda. Untuk informasi selengkapnya, lihat Izin yang diperlukan untuk mengonfigurasi pencatatan standar dan mengakses file log Anda di Panduan CloudFront Pengembang Amazon. Jika bucket yang menyimpan log menggunakan pengaturan yang diberlakukan pemilik Bucket untuk Kepemilikan Objek S3 untuk dimatikanACLs, CloudFront tidak dapat menulis log ke bucket. Untuk informasi selengkapnya, lihat Mengontrol kepemilikan objek dan menonaktifkan bucket ACLs Anda.
Anda dapat memberikan akses akun lain untuk mengunggah objek ke bucket menggunakan kebijakan bucket, titik akses, atau S3 Access Grants. Jika Anda telah memberikan akses lintas akun ke bucket Anda, Anda dapat memastikan bahwa objek apa pun yang diunggah ke bucket Anda tetap berada di bawah kendali penuh Anda.
Kami merekomendasikan alat manajemen akses berikut untuk kasus penggunaan ini:
-
Kepemilikan Objek - Pertahankan pengaturan tingkat ember Kepemilikan Objek pada pengaturan bawaan pemilik Bucket yang diberlakukan.
Pemecahan masalah manajemen akses
Sumber daya berikut dapat membantu Anda memecahkan masalah apa pun dengan manajemen akses S3:
Pemecahan Masalah Kesalahan Akses Ditolak (403 Terlarang)
Jika Anda mengalami masalah penolakan akses, periksa pengaturan tingkat akun dan tingkat ember. Juga, periksa fitur manajemen akses yang Anda gunakan untuk memberikan akses untuk memastikan bahwa kebijakan, pengaturan, atau konfigurasi sudah benar. Untuk informasi selengkapnya tentang penyebab umum kesalahan Akses Ditolak (403 Terlarang) di Amazon S3, lihat. Memecahkan masalah akses ditolak (403 Forbidden) kesalahan di Amazon S3
IAMAccess Analyzer untuk S3
Jika Anda tidak ingin membuat sumber daya Anda tersedia untuk umum, atau jika Anda ingin membatasi akses publik ke sumber daya Anda, Anda dapat menggunakan IAM Access Analyzer untuk S3. Di konsol Amazon S3, gunakan IAM Access Analyzer untuk S3 untuk meninjau semua bucket yang memiliki daftar kontrol akses bucket (ACLs), kebijakan bucket, atau kebijakan titik akses yang memberikan akses publik atau bersama. IAMAccess Analyzer for S3 memberi tahu Anda tentang bucket yang dikonfigurasi untuk memungkinkan akses ke siapa pun di internet atau lainnya Akun AWS, termasuk Akun AWS di luar organisasi Anda. Untuk setiap bucket publik atau bucket bersama, Anda akan menerima temuan yang melaporkan sumber dan tingkat akses publik atau akses bersama.
Di IAM Access Analyzer for S3, Anda dapat memblokir semua akses publik ke bucket dengan satu tindakan. Kami menyarankan Anda memblokir semua akses publik ke bucket Anda, kecuali Anda memerlukan akses publik untuk mendukung kasus penggunaan tertentu. Sebelum Anda memblokir semua akses publik, pastikan aplikasi Anda akan terus berfungsi dengan benar tanpa akses publik. Untuk informasi selengkapnya, lihat Melakukan blok akses publik ke penyimpanan Amazon S3 Anda.
Anda juga dapat meninjau pengaturan izin tingkat ember untuk mengonfigurasi tingkat akses terperinci. Untuk kasus penggunaan tertentu dan terverifikasi yang memerlukan akses publik atau akses bersama, Anda dapat menyatakan dan mencatat maksud Anda untuk bucket agar tetap sebagai bucket dengan akses publik atau akses bersama dengan mengarsipkan temuan untuk bucket tersebut. Anda dapat mempertahankan dan memodifikasi konfigurasi bucket ini kapan saja. Anda juga dapat mengunduh temuan Anda sebagai CSV laporan untuk tujuan audit.
IAMAccess Analyzer untuk S3 tersedia tanpa biaya tambahan di konsol Amazon S3. IAMAccess Analyzer untuk S3 didukung oleh AWS Identity and Access Management (IAM) IAM Access Analyzer. Untuk menggunakan IAM Access Analyzer untuk S3 di konsol Amazon S3, Anda harus mengunjungi Konsol dan membuat IAMpenganalisis
Untuk informasi selengkapnya tentang IAM Access Analyzer untuk S3, lihat. Meninjau akses bucket menggunakan IAM Access Analyzer untuk S3
Pencatatan dan pemantauan
Pemantauan adalah bagian penting dalam menjaga keandalan, ketersediaan, dan kinerja solusi Amazon S3 Anda sehingga Anda dapat lebih mudah men-debug kegagalan akses. Logging dapat memberikan wawasan tentang kesalahan yang diterima pengguna, dan kapan dan permintaan apa yang dibuat. AWS menyediakan beberapa alat untuk memantau sumber daya Amazon S3 Anda, seperti berikut ini:
-
AWS CloudTrail
-
Log Akses Amazon S3
-
AWS Trusted Advisor
-
Amazon CloudWatch
Untuk informasi selengkapnya, lihat Pencatatan log dan pemantauan di Amazon S3.