S3 on Outposts 策略的主体 S3 on Outposts 的 ARN S3 on Outposts 的示例策略端点的权限

使用 S3 on Outposts 设置 IAM

Amazon Identity and Access Management (IAM) 是一项 Amazon Web Service，可以帮助管理员安全地控制对 Amazon 资源的访问。IAM 管理员控制谁可以通过身份验证（登录）和获得授权（具有权限）来使用 Amazon S3 on Outposts 资源。IAM 是一项无需额外费用即可使用的 Amazon Web Service。原定设置情况下，用户对 S3 on Outposts 资源和操作没有权限。要授予对 S3 on Outposts 资源和 API 操作的访问权限，您可以使用 IAM 创建用户、组或角色并附加权限。

要提供访问权限，请为您的用户、组或角色添加权限：

通过身份提供商在 IAM 中托管的用户：

创建适用于身份联合验证的角色。按照《IAM 用户指南》中为第三方身份提供商创建角色（联合身份验证）的说明进行操作。
IAM 用户：
- 创建您的用户可以担任的角色。按照《IAM 用户指南》中为 IAM 用户创建角色的说明进行操作。
- （不推荐使用）将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》中向用户添加权限（控制台）中的说明进行操作。

除基于 IAM 身份的策略外，S3 on Outposts 还同时支持桶和接入点策略。存储桶策略和访问点策略是附加到 S3 on Outposts 资源的基于资源的策略。

存储桶策略用于附加到存储桶，它根据策略中的元素允许或拒绝对存储桶和存储桶中对象的请求。
而访问点策略用于附加到访问点，允许或拒绝对访问点的请求。

访问点策略可与附加到底层 S3 on Outposts 存储桶的存储桶策略结合使用。要使应用程序或用户能够通过某个 S3 on Outposts 访问点访问某个 S3 on Outposts 桶中的对象，访问点策略和桶策略都必须允许该请求。

您在接入点策略中包括的限制仅适用于通过该接入点发出的请求。例如，如果将某个访问点附加到某个桶，则无法使用访问点策略来允许或拒绝直接对该桶发出的请求。但是，应用到存储桶策略的限制可能会允许或拒绝直接对该存储桶或通过该访问点发出的请求。

在 IAM policy 或基于资源的策略中，您可以定义要允许或拒绝的 S3 on Outposts 操作。S3 on Outposts 操作对应于特定的 S3 on Outposts API 操作。S3 on Outposts 操作使用 s3-outposts: 命名空间前缀。对 Amazon Web Services 区域中的 Amazon S3 on Outposts 控制 API 发出的请求，以及对 Outpost 上的对象 API 端点发出的请求，都将使用 IAM 进行身份认证并根据 s3-outposts: 命名空间前缀进行授权。要使用 S3 on Outposts，请配置您的 IAM 用户并针对 s3-outposts: IAM 命名空间对其进行授权。

有关更多信息，请参阅《服务授权参考》中的 Amazon S3 on Outposts 的操作、资源和条件键。

注意

S3 on Outposts 不支持访问控制列表 (ACL)。
S3 on Outposts 默认将存储桶拥有者视为对象所有者，以帮助确保存储桶的拥有者不会被阻止访问或删除对象。
S3 on Outposts 始终启用“S3 阻止公有访问”，以帮助确保对象从不会具有公有访问权限。

有关为 S3 on Outposts 设置 IAM 的更多信息，请参阅以下主题。

S3 on Outposts 策略的主体

创建基于资源的策略以授予对 S3 on Outposts 存储桶的访问权限时，您必须使用 Principal 元素来指定可请求对该资源执行某个操作或运算的人员或应用程序。对于 S3 on Outposts 策略，您可以使用下面的一个主体：

一个 Amazon Web Services 账户
IAM 用户
IAM 角色
所有主体，通过在使用 Condition 元素将访问范围限定为特定 IP 范围的策略中指定通配符 (*) 来确定

重要

您无法为 S3 on Outposts 桶编写在 * 元素中使用通配符（Principal）的策略，除非该策略还包含一个将访问范围限制为特定 IP 地址范围的 Condition。此限制有助于确保您的 S3 on Outposts 桶不会被公开访问。有关示例，请参阅 S3 on Outposts 的示例策略。

有关 Principal 元素的更多信息，请参阅《IAM 用户指南》中的 Amazon JSON 策略元素：Principal。

S3 on Outposts 的资源 ARN

S3 on Outposts 的 Amazon 资源名称 (ARN) 除了包含 Outpost 归属的 Amazon Web Services 区域、Amazon Web Services 账户 ID 和资源名称外，还包含 Outpost ID。要访问 Outposts 存储桶和对象并对它们执行操作，您必须使用下表中显示的一种 ARN 格式。

ARN 中的 partition 值是指一组 Amazon Web Services 区域。每个 Amazon Web Services 账户的作用域为一个分区。以下是支持的分区：

aws – Amazon Web Services 区域
aws-us-gov – Amazon GovCloud (US) 区域

S3 on Outposts ARN 格式
Amazon S3 on Outposts ARN	ARN 格式	示例
存储桶 ARN	`arn:partition:s3-outposts:region:account_id:outpost/outpost_id/bucket/bucket_name`	`arn:aws:s3-outposts:us-west-2:123456789012:outpost/op-01ac5d28a6a232904/bucket/DOC-EXAMPLE-BUCKET1`
访问点 ARN	`arn:partition:s3-outposts:region:account_id:outpost/outpost_id/accesspoint/accesspoint_name`	`arn:aws:s3-outposts:us-west-2:123456789012:outpost/op-01ac5d28a6a232904/accesspoint/access-point-name`
对象 ARN	`arn:partition:s3-outposts:region:account_id:outpost/outpost_id/bucket/bucket_name/object/object_key`	`arn:aws:s3-outposts:us-west-2:123456789012:outpost/op-01ac5d28a6a232904/bucket/DOC-EXAMPLE-BUCKET1/object/myobject`
S3 on Outposts 访问点对象 ARN（在策略中使用）	`arn:partition:s3-outposts:region:account_id:outpost/outpost_id/accesspoint/accesspoint_name/object/object_key`	`arn:aws:s3-outposts:us-west-2:123456789012:outpost/op-01ac5d28a6a232904/accesspoint/access-point-name/object/myobject`
S3 on Outposts ARN	`arn:partition:s3-outposts:region:account_id:outpost/outpost_id`	`arn:aws:s3-outposts:us-west-2:123456789012:outpost/op-01ac5d28a6a232904`

S3 on Outposts 的示例策略

例：具有 Amazon Web Services 账户主体的 S3 on Outposts 桶策略

以下存储桶策略使用一个 Amazon Web Services 账户主体授予对某个 S3 on Outposts 存储桶的访问权限。要使用这一桶策略，请将 user input placeholders 替换为您自己的信息。


{
   "Version":"2012-10-17",
   "Id":"ExampleBucketPolicy1",
   "Statement":[
      {
         "Sid":"statement1",
         "Effect":"Allow",
         "Principal":{
            "AWS":"123456789012"
         },
         "Action":"s3-outposts:*",
         "Resource":"arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outposts-bucket"
      }
   ]
}

例：使用通配符主体 (`*`) 和条件键将访问范围限定为特定 IP 地址范围的 S3 on Outposts 桶策略

以下桶策略使用通配符主体 (*) 和 aws:SourceIp 条件将访问范围限定为特定的 IP 地址范围。要使用这一桶策略，请将 user input placeholders 替换为您自己的信息。


{
    "Version": "2012-10-17",
    "Id": "ExampleBucketPolicy2",
    "Statement": [
        {
            "Sid": "statement1",
            "Effect": "Allow",
            "Principal": { "AWS" : "*" },
            "Action":"s3-outposts:*",
            "Resource":"arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outposts-bucket",
            "Condition" : {
                "IpAddress" : {
                    "aws:SourceIp": "192.0.2.0/24" 
                },
                "NotIpAddress" : {
                    "aws:SourceIp": "198.51.100.0/24" 
                } 
            } 
        } 
    ]
}

S3 on Outposts 端点的权限

S3 on Outposts 需要 IAM 中它自己的权限，来管理 S3 on Outposts 端点操作。

注意

对于使用客户拥有的 IP 地址池（CoIP 池）访问类型的端点，您还必须具有使用 CoIP 池中 IP 地址的权限，如下表所述。
对于使用 Amazon Resource Access Manager 访问 S3 on Outposts 的共享账户，这些共享账户中的用户无法在共享子网上创建其自己的端点。如果共享账户中的用户想管理自己的端点，则共享账户必须在 Outpost 上创建自己的子网。有关更多信息，请参阅通过使用 Amazon RAM 共享 S3 on Outposts。

S3 on Outposts 端点相关的 IAM 权限
操作	IAM 权限
`CreateEndpoint`	`s3-outposts:CreateEndpoint` `ec2:CreateNetworkInterface` `ec2:DescribeNetworkInterfaces` `ec2:DescribeVpcs` `ec2:DescribeSecurityGroups` `ec2:DescribeSubnets` `ec2:CreateTags` 对于使用本地客户拥有的 IP 地址池（CoIP 池）访问类型的端点，将需要以下额外权限： `s3-outposts:CreateEndpoint` `ec2:DescribeCoipPools` `ec2:GetCoipPoolUsage` `ec2:AllocateAddress` `ec2:AssociateAddress` `ec2:DescribeAddresses` `ec2:DescribeLocalGatewayRouteTableVpcAssociations`
`DeleteEndpoint`	`s3-outposts:DeleteEndpoint` `ec2:DeleteNetworkInterface` `ec2:DescribeNetworkInterfaces` 对于使用本地客户拥有的 IP 地址池（CoIP 池）访问类型的端点，将需要以下额外权限： `s3-outposts:DeleteEndpoint` `ec2:DisassociateAddress` `ec2:DescribeAddresses` `ec2:ReleaseAddress`
`ListEndpoints`	`s3-outposts:ListEndpoints`

注意

您可以使用 IAM policy 中的资源标签来管理权限。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

S3 on Outposts 入门

使用 S3 控制台