Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Bagaimana File S3 bekerja dengan IAM
Halaman ini menjelaskan cara kerja AWS Identity and Access Management (IAM) dengan File S3 dan bagaimana Anda dapat menggunakan kebijakan IAM untuk mengontrol akses ke sistem file Anda.
File S3 menggunakan IAM untuk dua jenis kontrol akses yang berbeda:
+ **Akses API** — Mengontrol siapa yang dapat membuat, mengelola, dan menghapus sumber daya File S3 seperti sistem file, target pemasangan, dan titik akses. Anda mengontrol akses ini menggunakan kebijakan berbasis identitas yang dilampirkan pada pengguna, grup, atau peran IAM.
+ **Akses klien** — Mengontrol apa yang dapat dilakukan klien (sumber daya komputasi yang Anda pasang) dengan sistem file setelah mereka terhubung, seperti membaca, menulis, atau mengakses file sebagai pengguna root. Anda mengontrol akses ini menggunakan kombinasi kebijakan berbasis sumber daya, kebijakan berbasis identitas, titik akses, dan izin POSIX.
Menggunakan IAM, Anda dapat mengizinkan klien untuk melakukan tindakan tertentu pada sistem file, termasuk akses read-only, write, dan root. Izin “izinkan” pada suatu tindakan baik dalam kebijakan identitas IAM atau kebijakan sumber daya sistem file memungkinkan akses untuk tindakan tersebut. Izin tidak perlu diberikan baik dalam identitas maupun kebijakan sumber daya.
Kebijakan bucket S3 pada bucket S3 yang ditautkan juga mengatur akses dari sumber daya komputasi dan sistem file ke bucket S3. Anda juga harus memastikan bahwa kebijakan bucket bucket sumber Anda tidak menolak akses dari sumber daya komputasi atau sistem file Anda. Untuk detail selengkapnya, lihat [Kebijakan Bucket untuk Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html).
## Kebijakan berbasis identitas
Kebijakan berbasis identitas adalah kebijakan JSON yang Anda lampirkan ke pengguna, grup, atau peran IAM. Anda dapat memberikan izin ini dengan menulis kebijakan khusus atau dengan melampirkan kebijakan AWS terkelola. Untuk informasi selengkapnya tentang kebijakan terkelola yang tersedia untuk akses API dan akses klien, lihat [kebijakan AWS terkelola untuk File Amazon S3](s3-files-security-iam-awsmanpol.md).
File S3 juga mengoptimalkan kinerja baca dengan memungkinkan klien membaca data file langsung dari bucket S3 sumber. Saat memasang sistem file S3 di sumber daya komputasi, Anda harus menambahkan kebijakan sebaris ke peran IAM sumber daya komputasi yang memberikan izin untuk membaca objek dari bucket S3 yang ditentukan. Helper mount menggunakan izin ini untuk membaca data S3. Untuk detail lebih lanjut tentang kebijakan ini, lihat[Peran IAM untuk melampirkan sistem file Anda untuk menghitung sumber daya AWS](s3-files-prereq-policies.md#s3-files-prereq-iam-compute-role).
## Kebijakan berbasis sumber daya
Kebijakan sistem file adalah kebijakan berbasis sumber daya IAM yang Anda lampirkan langsung ke sistem file untuk mengontrol akses klien. Anda dapat menggunakan kebijakan sistem file untuk memberikan atau menolak izin bagi klien untuk melakukan operasi seperti pemasangan, penulisan, dan akses root.
Sistem file memiliki kebijakan sistem file kosong (default) atau persis satu kebijakan eksplisit. Kebijakan sistem file S3 memiliki batas 20.000 karakter. Untuk informasi tentang membuat dan mengelola kebijakan sistem file, lihat[Membuat kebijakan sistem file](s3-files-file-system-policies-creating.md).
## Tindakan File S3 untuk klien
Anda dapat menentukan tindakan berikut dalam kebijakan sistem file untuk mengontrol akses klien:
| Tindakan | Deskripsi |
| --- | --- |
| s3files:ClientMount | Menyediakan akses read-only ke sistem file. |
| s3files:ClientWrite | Memberikan izin menulis pada sistem file. |
| s3files:ClientRootAccess | Menyediakan penggunaan pengguna root saat mengakses sistem file. |
## Kunci kondisi File S3 untuk klien
Anda dapat menggunakan tombol kondisi berikut dalam `Condition` elemen kebijakan sistem file untuk lebih menyempurnakan kontrol akses:
| Kunci syarat | Deskripsi | Operator |
| --- | --- | --- |
| s3files:AccessPointArn | ARN dari titik akses File S3 yang terhubung dengan klien. | String |
## Contoh kebijakan sistem file
### Contoh: Berikan akses hanya-baca
Kebijakan sistem berkas berikut hanya memberikan izin `ClientMount` (hanya-baca) ke peran IAM. `ReadOnly` Ganti *111122223333* dengan ID AWS akun Anda.
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ReadOnly"
},
"Action": [
"s3files:ClientMount"
]
}
]
}
```
### Contoh: Berikan akses ke titik akses File S3
Kebijakan sistem file berikut menggunakan elemen kondisi untuk memberikan akses penuh titik akses tertentu ke sistem file saat pemasangan melalui titik akses yang ditentukan. Ganti titik akses ARN dan ID akun dengan nilai Anda. Untuk informasi selengkapnya, lihat [Membuat titik akses untuk sistem file S3](s3-files-access-points-creating.md).
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::555555555555:role/S3FilesAccessPointFullAccess"
},
"Action": [
"s3files:Client*"
],
"Condition": {
"StringEquals": {
"s3files:AccessPointArn": "arn:partition:s3files:region:account-id:file-system/fs-1234567890/access-point/fsap-0987654321"
}
}
}
]
}
```
## Izin POSIX
Setelah otorisasi IAM berhasil, File S3 memberlakukan izin POSIX standar (Unix-style) pada tingkat file dan direktori. Izin POSIX mengontrol akses berdasarkan ID pengguna (UID), ID grup (GID), dan bit izin (baca, tulis, jalankan) yang terkait dengan setiap file dan direktori. Titik akses dapat menerapkan identitas pengguna POSIX tertentu untuk semua permintaan, menyederhanakan manajemen akses untuk kumpulan data bersama. Untuk informasi selengkapnya, lihat [Membuat titik akses untuk sistem file S3](s3-files-access-points-creating.md).
## Grup keamanan
Grup keamanan bertindak sebagai firewall tingkat jaringan yang mengontrol lalu lintas antara sumber daya komputasi Anda dan target pemasangan sistem file. Untuk detail tentang mengonfigurasi grup keamanan untuk memulai File S3, lihat. [Grup keamanan](s3-files-prereq-policies.md#s3-files-prereq-security-groups)
# AWS kebijakan terkelola untuk File Amazon S3
Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.
Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.
Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.
Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.
## AWS kebijakan terkelola: AmazonS3FilesFullAccess
Anda dapat melampirkan kebijakan `AmazonS3FilesFullAccess` ke identitas IAM Anda. Kebijakan ini memberikan akses penuh ke File Amazon S3, termasuk izin untuk membuat dan mengelola sistem file, memasang target, dan titik akses. Untuk informasi selengkapnya tentang kebijakan ini, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesFullAccess.html)di Referensi Kebijakan AWS Terkelola.
## AWS kebijakan terkelola: AmazonS3FilesReadOnlyAccess
Anda dapat melampirkan kebijakan `AmazonS3FilesReadOnlyAccess` ke identitas IAM Anda. Kebijakan ini memberikan akses hanya-baca ke File Amazon S3, termasuk izin untuk melihat sistem file, target pemasangan, titik akses, dan konfigurasi terkait. Untuk informasi selengkapnya tentang kebijakan ini, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesReadOnlyAccess.html)di Referensi Kebijakan AWS Terkelola.
## AWS kebijakan terkelola: AmazonS3FilesClientFullAccess
Anda dapat melampirkan kebijakan `AmazonS3FilesClientFullAccess` ke identitas IAM Anda. Kebijakan ini memberikan akses klien penuh ke sistem file File S3, termasuk kemampuan untuk memasang, membaca, menulis, dan mengakses file sebagai pengguna root. Untuk informasi selengkapnya tentang kebijakan ini, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesClientFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesClientFullAccess.html)di Referensi Kebijakan AWS Terkelola.
## AWS kebijakan terkelola: AmazonS3FilesClientReadWriteAccess
Anda dapat melampirkan kebijakan `AmazonS3FilesClientReadWriteAccess` ke identitas IAM Anda. Kebijakan ini memberikan akses klien baca dan tulis ke sistem file File S3, termasuk kemampuan untuk memasang, membaca, dan menulis. Kebijakan ini tidak memberikan akses root. Untuk informasi selengkapnya tentang kebijakan ini, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesClientReadWriteAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesClientReadWriteAccess.html)di Referensi Kebijakan AWS Terkelola.
## AWS kebijakan terkelola: AmazonS3FilesClientReadOnlyAccess
Anda dapat melampirkan kebijakan `AmazonS3FilesClientReadOnlyAccess` ke identitas IAM Anda. Kebijakan ini memberikan akses klien hanya-baca ke sistem file File S3, termasuk kemampuan untuk memasang dan membaca dari sistem file. Untuk informasi selengkapnya tentang kebijakan ini, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesClientReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesClientReadOnlyAccess.html)di Referensi Kebijakan AWS Terkelola.
## AWS kebijakan terkelola: AmazonS3FilesCSIDriverPolicy
Anda dapat melampirkan kebijakan `AmazonS3FilesCSIDriverPolicy` ke identitas IAM Anda. Kebijakan ini memberikan izin untuk driver Amazon EFS Container Storage Interface (CSI) untuk mengelola jalur akses File S3 atas nama kluster Amazon EKS. Untuk informasi selengkapnya tentang kebijakan ini, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesCSIDriverPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesCSIDriverPolicy.html)di Referensi Kebijakan AWS Terkelola.
## AWS kebijakan terkelola: AmazonElasticFileSystemUtils
Anda dapat melampirkan kebijakan `AmazonElasticFileSystemUtils` ke identitas IAM Anda. Kebijakan ini memberikan izin untuk utilitas klien S3 Files (amazon-efs-utils) untuk melakukan operasi seperti menjelaskan target pemasangan, menerbitkan CloudWatch metrik dan log, serta berkomunikasi dengan Systems Manager. AWS Untuk informasi selengkapnya tentang kebijakan ini, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonElasticFileSystemUtils.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonElasticFileSystemUtils.html)di Referensi Kebijakan AWS Terkelola.
## Pembaruan File Amazon S3 ke AWS kebijakan terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk File Amazon S3 sejak File S3 mulai melacak perubahan ini.
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| `AmazonElasticFileSystemUtils`— Diperbarui | Menambahkan CloudWatch PutMetricData izin Amazon untuk mendukung penerbitan metrik konektivitas klien. | April 7, 2026 |
| `AmazonS3FilesCSIDriverPolicy`— Ditambahkan | Kebijakan terkelola baru yang memberikan izin untuk driver Amazon EFS CSI untuk mengelola jalur akses File S3 atas nama kluster Amazon EKS. | April 7, 2026 |
| `AmazonS3FilesClientReadOnlyAccess`— Ditambahkan | Kebijakan terkelola baru yang memberikan akses klien hanya-baca ke sistem file File S3. | April 7, 2026 |
| `AmazonS3FilesClientReadWriteAccess`— Ditambahkan | Kebijakan terkelola baru yang memberikan akses klien baca dan tulis ke sistem file File S3. | April 7, 2026 |
| `AmazonS3FilesClientFullAccess`— Ditambahkan | Kebijakan terkelola baru yang memberikan akses klien penuh ke sistem file File S3, termasuk akses root. | April 7, 2026 |
| `AmazonS3FilesReadOnlyAccess`— Ditambahkan | Kebijakan terkelola baru yang memberikan akses hanya-baca ke sumber daya File S3. | April 7, 2026 |
| `AmazonS3FilesFullAccess`— Ditambahkan | Kebijakan terkelola baru yang memberikan akses penuh ke sumber daya File S3. | April 7, 2026 |
| File S3 mulai melacak perubahan | File Amazon S3 mulai melacak perubahan untuk kebijakan yang AWS dikelola. | April 7, 2026 |