Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Memberikan akses dan izin untuk berbagi file dan bucket
<a name="add-file-share"></a>

Setelah Gateway File S3 diaktifkan dan dijalankan, Anda dapat menambahkan berbagi file tambahan dan memberikan akses ke bucket Amazon S3, termasuk bucket yang Akun AWS berbeda dari gateway dan berbagi file Anda. Bagian berikut menjelaskan cara menggunakan peran IAM untuk memberi gateway Anda izin akses untuk bucket Amazon S3 dan titik akhir VPC, mencegah masalah keamanan tertentu, dan menghubungkan pembagian file ke bucket. Akun AWS

Untuk informasi tentang cara membuat berbagi file baru, lihat[Membuat berbagi file](GettingStartedCreateFileShare.md).

Bagian ini berisi topik-topik berikut, yang memberikan informasi tambahan tentang cara memberikan akses dan izin untuk berbagi file dan bucket Amazon S3:

**Topik**
+ [Memberikan akses ke bucket Amazon S3](grant-access-s3.md)- Pelajari cara memberikan akses kepada File Gateway untuk mengunggah file ke bucket Amazon S3, dan melakukan tindakan pada titik akses apa pun atau titik akhir Amazon Virtual Private Cloud (Amazon VPC) yang digunakan untuk terhubung ke bucket.
+ [Pencegahan "confused deputy" lintas layanan](cross-service-confused-deputy-prevention.md)- Pelajari cara mencegah masalah keamanan umum di mana entitas yang tidak memiliki izin untuk melakukan tindakan dapat memaksa entitas yang lebih istimewa untuk melakukan tindakan.
+ [Menggunakan berbagi file untuk akses lintas akun](cross-account-access.md)- Pelajari cara memberikan akses untuk akun Amazon Web Services dan pengguna akun tersebut untuk mengakses sumber daya milik akun Amazon Web Services lainnya. 

# Memberikan akses ke bucket Amazon S3
<a name="grant-access-s3"></a>

Saat Anda membuat berbagi file, Gateway File memerlukan akses untuk mengunggah file ke bucket Amazon S3, dan untuk melakukan tindakan pada titik akses atau titik akhir virtual private cloud (VPC) apa pun yang digunakan untuk terhubung ke bucket. Untuk memberikan akses ini, File Gateway Anda mengasumsikan peran AWS Identity and Access Management (IAM) yang terkait dengan kebijakan IAM yang memberikan akses ini.

Peran tersebut membutuhkan kebijakan IAM ini dan hubungan security token service trust (STS) untuk itu. Kebijakan menentukan tindakan yang dapat dilakukan peran. Selain itu, bucket S3 Anda dan titik akses terkait atau titik akhir VPC harus memiliki kebijakan akses yang memungkinkan peran IAM untuk mengaksesnya.

Anda dapat membuat kebijakan peran dan akses sendiri, atau Gateway File Anda dapat membuatnya untuk Anda. Jika File Gateway membuat kebijakan untuk Anda, kebijakan tersebut berisi daftar tindakan S3. Untuk informasi tentang peran dan izin, lihat [Membuat peran untuk mendelegasikan izin ke Layanan AWS dalam Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) *IAM*.

Contoh berikut adalah kebijakan kepercayaan yang memungkinkan File Gateway Anda untuk mengambil peran IAM.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "storagegateway.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

**penting**  
Storage Gateway dapat mengasumsikan peran layanan yang ada yang diteruskan menggunakan tindakan `iam:PassRole` kebijakan, tetapi tidak mendukung kebijakan IAM yang menggunakan kunci `iam:PassedToService` konteks untuk membatasi tindakan ke layanan tertentu.  
Untuk informasi selengkapnya, lihat topik berikut di *Panduan Pengguna AWS Identity and Access Management *:  
[IAM: Lulus peran IAM ke layanan tertentu AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_iam-passrole-service.html)
[Memberikan izin pengguna untuk meneruskan peran ke layanan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html)
[Kunci yang tersedia untuk IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_iam-condition-keys.html#ck_PassedToService)

Jika Anda tidak ingin File Gateway membuat kebijakan atas nama Anda, Anda dapat membuat kebijakan sendiri dan melampirkannya ke berbagi file Anda. Untuk informasi selengkapnya tentang cara melakukan ini, lihat [Membuat berbagi file](GettingStartedCreateFileShare.md).

Kebijakan contoh berikut memungkinkan Gateway File Anda untuk melakukan semua tindakan Amazon S3 yang tercantum dalam kebijakan. Bagian pertama dari pernyataan memungkinkan semua tindakan yang terdaftar untuk dilakukan pada bucket S3 bernama`amzn-s3-demo-bucket`. Bagian kedua memungkinkan tindakan yang tercantum pada semua objek di`amzn-s3-demo-bucket`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "s3:GetAccelerateConfiguration",
                "s3:GetBucketLocation",
                "s3:GetBucketVersioning",
                "s3:ListBucket",
                "s3:ListBucketVersions",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Effect": "Allow"
        }
    ]
}
```

------

Contoh kebijakan berikut mirip dengan kebijakan sebelumnya, tetapi memungkinkan File Gateway Anda untuk melakukan tindakan yang diperlukan untuk mengakses bucket melalui titik akses.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:us-east-1:111122223333:accesspoint/TestAccessPointName/*",
            "Effect": "Allow"
        }
    ]
}
```

------

**catatan**  
*Jika Anda perlu menghubungkan berbagi file ke bucket S3 melalui titik akhir VPC, [lihat Kebijakan titik akhir untuk Amazon S3](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#vpc-endpoints-policies-s3) di Panduan Pengguna.AWS PrivateLink *

**catatan**  
Untuk bucket terenkripsi, fileshare harus menggunakan kunci di akun bucket S3 tujuan.

**catatan**  
***Jika File Gateway Anda menggunakan SSE-KMS atau DSSE-KMS untuk enkripsi, pastikan peran IAM yang terkait dengan berbagi file mencakup izin KMS:Encrypt, *KMS:Decrypt, kms*: \$1, kms:, dan *kms:*. ReEncrypt GenerateDataKey DescribeKey*** Untuk informasi selengkapnya, lihat [Menggunakan Kebijakan Berbasis Identitas (Kebijakan IAM) untuk Storage Gateway](https://docs.aws.amazon.com/filegateway/latest/files3/using-identity-based-policies.html).

# Pencegahan "confused deputy" lintas layanan
<a name="cross-service-confused-deputy-prevention"></a>

Masalah "confused deputy" adalah masalah keamanan di mana entitas yang tidak memiliki izin untuk melakukan tindakan dapat memengaruhi entitas yang memiliki hak akses lebih tinggi untuk melakukan tindakan. Pada tahun AWS, peniruan lintas layanan dapat mengakibatkan masalah wakil yang membingungkan. Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (*layanan yang dipanggil*) memanggil layanan lain (*layanan yang dipanggil*). Layanan pemanggilan dapat dimanipulasi menggunakan izinnya untuk bertindak pada sumber daya pelanggan lain dengan cara yang seharusnya tidak dilakukannya kecuali bila memiliki izin untuk mengakses. Untuk mencegah hal ini, AWS menyediakan alat yang membantu Anda melindungi data untuk semua layanan dengan principal layanan yang telah diberi akses ke sumber daya di akun Anda. 

Sebaiknya gunakan kunci konteks kondisi [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)dan dalam kebijakan sumber daya untuk membatasi izin yang AWS Storage Gateway memberikan layanan lain ke sumber daya. Jika Anda menggunakan kedua kunci konteks kondisi global, `aws:SourceAccount` nilai dan akun dalam `aws:SourceArn` nilai harus menggunakan ID akun yang sama saat digunakan dalam pernyataan kebijakan yang sama.

Nilai `aws:SourceArn` harus berupa ARN dari Storage Gateway yang terkait dengan berbagi file Anda.

Cara paling efektif untuk melindungi dari masalah "confused deputy" adalah dengan menggunakan kunci konteks kondisi global `aws:SourceArn` dengan ARN lengkap sumber daya. Jika Anda tidak mengetahui ARN lengkap sumber daya atau jika Anda menentukan beberapa sumber daya, gunakan kunci kondisi konteks `aws:SourceArn` global dengan wildcard (`*`) untuk bagian ARN yang tidak diketahui. Misalnya, `arn:aws:servicename::123456789012:*`. 

Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci konteks kondisi `aws:SourceAccount` global `aws:SourceArn` dan global di Storage Gateway untuk mencegah masalah deputi yang membingungkan.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
       "Sid": "ConfusedDeputyPreventionExamplePolicy",
       "Effect": "Allow",
       "Principal": {
         "Service": "storagegateway.amazonaws.com"
       },
       "Action": "sts:AssumeRole",
       "Condition": {
         "StringEquals": {
           "aws:SourceAccount": "444455556666"
         },
         "ArnLike": {
          "aws:SourceArn": "arn:aws:storagegateway:us-east-1:444455556666:gateway/sgw-123456DA"
        }
      }
    }
  ]  
}
```

------

# Menggunakan berbagi file untuk akses lintas akun
<a name="cross-account-access"></a>

Akses *lintas akun* adalah ketika akun Amazon Web Services dan pengguna untuk akun tersebut diberikan akses ke sumber daya milik akun Amazon Web Services lainnya. Dengan File Gateways, Anda dapat menggunakan berbagi file di satu akun Amazon Web Services untuk mengakses objek di bucket Amazon S3 milik akun Amazon Web Services yang berbeda.

**Untuk menggunakan berbagi file yang dimiliki oleh satu akun Amazon Web Services untuk mengakses bucket S3 di akun Amazon Web Services yang berbeda**

1. Pastikan pemilik bucket S3 telah memberikan akses akun Amazon Web Services Anda ke bucket S3 yang perlu Anda akses dan objek di bucket tersebut. Untuk informasi tentang cara memberikan akses ini, lihat [Contoh 2: Pemilik bucket yang memberikan izin bucket lintas akun di Panduan Pengguna](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example2.html) *Layanan Penyimpanan Sederhana Amazon*. Untuk daftar izin yang diperlukan, lihat[Memberikan akses ke bucket Amazon S3](grant-access-s3.md).

1. Pastikan bahwa peran IAM yang digunakan berbagi file Anda untuk mengakses bucket S3 menyertakan izin untuk operasi seperti dan. `s3:GetObjectAcl` `s3:PutObjectAcl` Selain itu, pastikan bahwa peran IAM mencakup kebijakan kepercayaan yang memungkinkan akun Anda untuk mengambil peran IAM tersebut. Untuk contoh kebijakan kepercayaan semacam itu, lihat[Memberikan akses ke bucket Amazon S3](grant-access-s3.md).

   Jika berbagi file menggunakan peran yang ada untuk mengakses bucket S3, Anda harus menyertakan izin untuk `s3:GetObjectAc` l dan `s3:PutObjectAcl` operasi. Peran tersebut juga membutuhkan kebijakan kepercayaan yang memungkinkan akun Anda untuk mengambil peran ini. Untuk contoh kebijakan kepercayaan semacam itu, lihat[Memberikan akses ke bucket Amazon S3](grant-access-s3.md).

1. [Pilih **file Gateway yang dapat diakses oleh pemilik bucket S3** saat membuat berbagi file atau mengedit setelan berbagi file di rumah. https://console.aws.amazon.com/storagegateway/](https://console.aws.amazon.com/storagegateway/)

Ketika Anda telah membuat atau memperbarui berbagi file untuk akses lintas akun dan memasang berbagi file di tempat, kami sangat menyarankan Anda menguji penyiapan Anda. Anda dapat melakukan ini dengan mencantumkan konten direktori atau menulis file pengujian dan memastikan file muncul sebagai objek di bucket S3.

**penting**  
Pastikan untuk menyiapkan kebijakan dengan benar untuk memberikan akses lintas akun ke akun yang digunakan oleh berbagi file Anda. Jika tidak, pembaruan ke file melalui aplikasi lokal tidak akan menyebar ke bucket Amazon S3 yang sedang Anda gunakan.

## Sumber daya
<a name="related-topics-fileshare"></a>

Untuk informasi tambahan tentang kebijakan akses dan daftar kontrol akses, lihat berikut ini:

[Pedoman untuk menggunakan opsi kebijakan akses yang tersedia](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-policy-alternatives-guidelines.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*

[Ikhtisar Access Control List (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/dev/acl-overview.html) di *Panduan Pengguna Amazon Simple Storage Service*