View a markdown version of this page

Amazon S3 策略语法和示例 - Amazon Organizations
Amazon S3 策略语法包括以下元素
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon S3 策略语法和示例

Amazon S3 策略是一个按照 JSON 规则构造的纯文本文件。Amazon S3 策略的语法遵循所有管理策略类型的语法。有关更多信息,请参阅 了解管理策略继承。本主题重点介绍如何将该通用语法应用于 Amazon S3 策略的具体要求以及它们帮助管理的阻止公共访问设置。

以下 Amazon S3 策略示例显示了基本策略语法:

{
    "s3_attributes": {
        "public_access_block_configuration": {
            "@@assign": "all"
        }
    }
}

Amazon S3 策略语法包括以下元素

s3_attributes

Amazon S3 策略配置的顶级密钥。

public_access_block_configuration

定义组织的 “阻止公共访问” 行为。

@@assign

接受以下两个值之一的赋值运算符:

  • "all"-在组织级别启用所有四个 Amazon S3 阻止公共访问设置

  • "none"-禁用组织级别的控制,允许个人账户管理自己的 “阻止公共访问权限” 设置

Amazon S3 阻止公共访问有四种控制公共访问的设置:

  1. BlockPublicAcls-Amazon S3 将阻止应用于新添加的存储桶或对象的公共访问权限,并阻止为现有存储桶和对象创建新的公共访问控制列表 (ACLs)。此设置不会更改允许公众使用访问 Amazon S3 资源的任何现有权限 ACLs。

  2. BlockPublicPolicy-Amazon S3 将阻止新的存储桶和接入点策略,这些策略授予对存储桶和对象的公开访问权限。此设置不会更改任何允许公众访问 Amazon S3 资源的现有策略。

  3. IgnorePublicAcls-Amazon S3 将忽略所有授予 ACLs 对存储桶和对象的公开访问权限的内容。

  4. RestrictPublicBuckets-Amazon S3 将忽略存储桶或访问点的公有和跨账户访问权限,其策略允许公众访问存储桶和对象。

设置@@assign为时"all",所有四项设置都将在组织级别合并启用,从而提供全面保护,防止组织中所有账户的公开访问。