Связаться с намиПодключиться

Назначить политику доступа в Object Storage для сервисного подключения

Статья создана
Обновлена 7 мая 2025 г.

Важно

Функциональность Сервисные подключения (VPC Private Endpoints) находится на стадии Preview. Чтобы запросить доступ, обратитесь к вашему аккаунт-менеджеру.

Политики доступа (bucket policy) устанавливают права на действия с бакетами, объектами и группами объектов.

Минимально необходимая роль для применения или изменения политики доступа — storage.configurer. См. описание роли.

Чтобы назначить политику доступа в Object Storage для сервисного подключения:

Примечание

На уровне политики доступа можно разрешить доступ в бакет из сервисных подключений VPC с идентификаторами, указанными в политике. Однако, согласно схеме механизмов доступа, все еще остается возможность доступа в бакет из публичной сети, например с помощью ACL объекта или при наличии другого разрешающего правила в политике.

Также при такой настройке остается возможность копирования объектов на стороне сервера (Server Side Copy) в такой бакет и из него.

  1. В консоли управления выберите каталог, в котором вы настроили сервисное подключение VPC.

  2. Выберите сервис Object Storage.

  3. Выберите бакет в списке.

  4. Перейдите на вкладку Безопасность в меню слева.

  5. В верхней части экрана перейдите на вкладку Политика доступа.

  6. Нажмите кнопку Настроить доступ.

  7. Введите идентификатор политики доступа, например private-endpoint-policy.

  8. Настройте правило:

    1. Введите идентификатор правила, например private-endpoint-rule.

    2. Настройте параметры правила:

      • Результат — разрешить.

      • Принцип выбора — включить пользователей.

      • Пользователь — все пользователи.

      • Действие — выберите опцию Все действия.

      • Ресурс<имя_бакета>/*.

        Нажмите кнопку Добавить ресурс и введите <имя_бакета>.

        Примечание

        Ресурс бакета не включает в себя ресурсы всех его объектов. Чтобы правило в политике доступа относилось к бакету и всем объектам, их нужно указать как отдельные ресурсы: например, samplebucket и samplebucket/*.

    3. Добавьте условие для правила:

      • В поле Ключ выберите private-endpoint-id.
      • В поле Оператор выберите StringEquals.
      • В поле Значение укажите идентификатор сервисного подключения (Private Endpoint), например enpd7rq1s3f5********.

  9. Нажмите кнопку Сохранить.

Примечание

Для управления политикой доступа с помощью AWS CLI сервисному аккаунту должна быть назначена роль storage.admin.

Если у вас еще нет AWS CLI, установите и сконфигурируйте его.

  1. Опишите конфигурацию политики доступа в виде схемы данных формата JSON:

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Principal": "*",
    "Action": "*",
    "Resource": [
      "arn:aws:s3:::<имя_бакета>/*",
      "arn:aws:s3:::<имя_бакета>"
    ],
    "Condition": {
      "StringEquals": {
        "yc:private-endpoint-id": "<идентификатор_подключения>"
      }
    }
  }
}

    Где:

    • <имя_бакета> — имя бакета в Object Storage, к которому нужно применить политику доступа, например my-s3-bucket.
    • <идентификатор_подключения> — идентификатор сервисного подключения (Private Endpoint), например enpd7rq1s3f5********.

  2. Сохраните готовую конфигурацию в файле policy.json.

  3. Выполните команду:

    aws s3api put-bucket-policy \
  --endpoint https://storage.yandexcloud.net \
  --bucket <имя_бакета> \
  --policy file://policy.json

После успешного применения политики доступа подключение к бакету будет возможно только из облачной сети VPC, в которой было создано соответствующее сервисное подключение (Private Endpoint).

Подробная информация о работе с политикой доступа бакета изложена на странице Управление политикой доступа.

Предыдущая
Получить информацию о сервисном подключении
Следующая
Настроить ограничение в Object Storage для доступа только из сервисных подключений