AWS Identity and Access Management 与 Amazon S3 on Outposts 结合使用 - Amazon Simple Storage Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

欢迎使用新的 Amazon S3 用户指南! Amazon S3 用户指南结合了以下三个已停用的指南中的信息和说明:Amazon S3 开发人员指南Amazon S3 控制台用户指南Amazon S3 入门指南

AWS Identity and Access Management 与 Amazon S3 on Outposts 结合使用

AWS Identity and Access Management (IAM) 是一个 AWS 服务,管理员可以使用该服务来安全地控制对 AWS Outposts 资源的访问。要允许 IAM 用户管理 AWS Outposts 资源,请创建一个 IAM 策略以明确向他们授予权限。然后可以将该策略附加到需要这些权限的 IAM 用户或组。有关更多信息,请参阅《AWS Outposts 用户指南》中的适用于 AWS Outposts 的 Identity and Access Management

Amazon S3 on Outposts 同时支持存储桶和访问点策略。S3 on Outposts 策略使用与 S3 不同的 IAM 操作命名空间(s3-outposts:*s3:*),以便为您提供对存储在 Outpost 上的数据的不同控制。

对 AWS 区域中的 S3 on Outposts 控制 API 发出的请求将使用 IAM 进行身份验证并针对 s3-outposts:* IAM 命名空间进行授权。对 Outpost 上的对象 API 终端节点发出的请求进行身份验证。

配置您的 IAM 用户并针对 s3-outposts:* IAM 命名空间对其进行授权。除了 IAM 用户策略之外,在 Outpost 访问点上配置的访问点策略控制对象 API 请求的授权。

注意
  • S3 on Outposts 默认将存储桶拥有者作为对象所有者,以帮助确保存储桶的拥有者不会被阻止访问或删除对象。

  • S3 on Outposts 始终启用“S3 阻止公有访问”,以帮助确保对象从不会具有公有访问权限。

  • S3 on Outposts 使用服务前缀 s3-outposts:<ACTION>。有关更多信息,请参阅《IAM 用户指南》中的 Amazon S3 的操作、资源和条件键

Amazon S3 on Outposts 的 ARN

S3 on Outposts 与 Amazon S3 具有不同的 Amazon 资源名称 (ARN)。以下是 S3 on Outposts 存储桶的 ARN 格式。您必须使用此 ARN 格式访问 Outposts 存储桶和对象并对它们执行操作。

Amazon S3 on Outposts ARN ARN 格式 示例
存储桶 ARN arn:<partition>:s3-outposts:<region>:<account_id>:outpost/<outpost_id>/bucket/<bucket_name arn:aws:s3-outposts:us-west-2:123456789012:outpost/op-01ac5d28a6a232904/bucket/DOC-EXAMPLE-BUCKET1
访问点 ARN arn:<partition>:s3-outposts:<region>:<account_id>:outpost/<outpost_id>/accesspoint/<accesspoint_name> arn:aws:s3-outposts:us-west-2:123456789012:outpost/op-01ac5d28a6a232904/accesspoint/
对象 ARN arn:<partition>:s3-outposts:<region>:<account_id>:outpost/<outpost_id>/bucket/<bucket_name>/object/<object_key> arn:aws:s3-outposts:us-west-2:123456789012:outpost/op-01ac5d28a6a232904/bucket/DOC-EXAMPLE-BUCKET1/object/myobject
S3 on Outposts AP 对象 ARN(在策略中使用) arn:<partition>:s3-outposts:<region>:<account_id>:outpost/<outpost_id>/accesspoint/<accesspoint_name>/object/<object_key> arn:aws:s3-outposts:us-west-2:123456789012:outpost/op-01ac5d28a6a232904/accesspoint//object/myobject
S3 on Outposts ARN arn:<partition>:s3-outposts:<region>:<account_id>:outpost/<outpost_id> arn:aws:s3-outposts:us-west-2:123456789012:outpost/op-01ac5d28a6a232904