Назначить политику доступа в Object Storage для сервисного подключения
Важно
Функциональность Сервисные подключения (VPC Private Endpoints) находится на стадии Preview и будет доступна для тестирования с 26 сентября 2024 г. Чтобы запросить доступ, обратитесь к вашему аккаунт-менеджеру.
Политики доступа (bucket policy) устанавливают права на действия с бакетами, объектами и группами объектов.
Минимально необходимая роль для применения или изменения политики доступа — storage.configurer
. См. описание роли.
Чтобы назначить политику доступа в Object Storage для сервисного подключения:
-
В консоли управления
выберите каталог, в котором вы настроили сервисное подключение VPC. -
Выберите сервис Object Storage.
-
Выберите бакет в списке.
-
Перейдите на вкладку
Безопасность в меню слева. -
В верхней части экрана перейдите на вкладку Политика доступа.
-
Нажмите кнопку Настроить доступ.
-
Введите идентификатор политики доступа, например
private-endpoint-policy
. -
Настройте правило:
-
Введите идентификатор правила, например
private-endpoint-rule
. -
Настройте параметры правила:
-
Результат — разрешить.
-
Принцип выбора — включить пользователей.
-
Пользователь — все пользователи.
-
Действие — выберите опцию Все действия.
-
Ресурс —
<имя_бакета>/*
.Нажмите кнопку Добавить ресурс и введите
<имя_бакета>
.Примечание
Ресурс бакета не включает в себя ресурсы всех его объектов. Чтобы правило в политике доступа относилось к бакету и всем объектам, их нужно указать как отдельные ресурсы: например,
samplebucket
иsamplebucket/*
.
-
-
Добавьте условие для правила:
- В поле Ключ выберите
private-endpoint-id
. - В поле Оператор выберите
StringEquals
. - В поле Значение укажите идентификатор сервисного подключения (Private Endpoint), например
enpd7rq1s3f5********
.
- В поле Ключ выберите
-
-
Нажмите кнопку Сохранить.
Примечание
Для управления политикой доступа с помощью AWS CLI сервисному аккаунту должна быть назначена роль storage.admin
.
Если у вас еще нет AWS CLI, установите и сконфигурируйте его.
-
Опишите конфигурацию политики доступа в виде схемы данных формата JSON:
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": [ "arn:aws:s3:::<имя_бакета>/*", "arn:aws:s3:::<имя_бакета>" ], "Condition": { "StringEquals": { "yc:private-endpoint-id": "<идентификатор_подключения>" } } } }
Где:
<имя_бакета>
— имя бакета в Object Storage, к которому нужно применить политику доступа, напримерmy-s3-bucket
.<идентификатор_подключения>
— идентификатор сервисного подключения (Private Endpoint), напримерenpd7rq1s3f5********
.
-
Сохраните готовую конфигурацию в файле
policy.json
. -
Выполните команду:
aws s3api put-bucket-policy \ --endpoint https://storage.yandexcloud.net \ --bucket <имя_бакета> \ --policy file://policy.json
После успешного применения политики доступа подключение к бакету будет возможно только из облачной сети VPC, в которой было создано соответствующее сервисное подключение (Private Endpoint).
Подробная информация о работе с политикой доступа бакета изложена на странице Управление политикой доступа.