Amazon Identity and Access Management 与 Amazon S3 on Outposts 结合使用
Amazon Identity and Access Management (IAM) 是一项 Amazon 服务,管理员可以使用它安全地控制对 Amazon Outposts 资源的访问。要允许 IAM 用户管理 Amazon Outposts 资源,请创建一个 IAM 策略以明确向他们授予权限。然后可以将该策略附加到需要这些权限的 IAM 用户或组。有关更多信息,请参阅《Amazon Outposts 用户指南》中的适用于 Amazon Outposts 的 Identity and Access Management。
Amazon S3 on Outposts 同时支持存储桶和访问点策略。S3 on Outposts 策略使用与 S3 不同的 IAM 操作命名空间(s3-outposts:* 与 s3:*),以便为您提供对存储在 Outpost 上的数据的不同控制。
对
Amazon Web Services 区域
中的 S3 on Outposts 控制 API 发出的请求将使用 IAM 进行身份验证并针对 s3-outposts:* IAM 命名空间进行授权。对 Outpost 上的对象 API 终端节点发出的请求进行身份验证。
配置您的 IAM 用户并针对 s3-outposts:* IAM 命名空间对其进行授权。除了 IAM 用户策略之外,在 Outpost 访问点上配置的访问点策略控制对象 API 请求的授权。
-
S3 on Outposts 默认将存储桶拥有者作为对象所有者,以帮助确保存储桶的拥有者不会被阻止访问或删除对象。
-
S3 on Outposts 始终启用“S3 阻止公有访问”,以帮助确保对象从不会具有公有访问权限。
-
S3 on Outposts 使用服务前缀
s3-outposts:<ACTION>。有关更多信息,请参阅《IAM 用户指南》中的 Amazon S3 的操作、资源和条件键。
Amazon S3 on Outposts 的 ARN
S3 on Outposts 与 Amazon S3 具有不同的 Amazon 资源名称 (ARN)。以下是 S3 on Outposts 存储桶的 ARN 格式。您必须使用此 ARN 格式访问 Outposts 存储桶和对象并对它们执行操作。
| Amazon S3 on Outposts ARN | ARN 格式 | 示例 |
|---|---|---|
| 存储桶 ARN | arn:<partition>:s3-outposts:<region>:<account_id>:outpost/<outpost_id>/bucket/<bucket_name> |
arn:aws:s3-outposts: |
| 访问点 ARN | arn:<partition>:s3-outposts:<region>:<account_id>:outpost/<outpost_id>/accesspoint/<accesspoint_name> |
arn:aws:s3-outposts: |
| 对象 ARN | arn:<partition>:s3-outposts:<region>:<account_id>:outpost/<outpost_id>/bucket/<bucket_name>/object/<object_key> |
arn:aws:s3-outposts: |
| S3 on Outposts AP 对象 ARN(在策略中使用) | arn:<partition>:s3-outposts:<region>:<account_id>:outpost/<outpost_id>/accesspoint/<accesspoint_name>/object/<object_key> |
arn:aws:s3-outposts: |
| S3 on Outposts ARN | arn:<partition>:s3-outposts:<region>:<account_id>:outpost/<outpost_id> |
arn:aws:s3-outposts: |