Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Kebijakan Amazon S3
<a name="orgs_manage_policies_s3"></a>

Kebijakan Amazon S3 memungkinkan Anda mengelola konfigurasi secara terpusat untuk sumber daya Amazon S3 dalam skala besar di seluruh akun dalam suatu organisasi. Kebijakan Amazon S3 saat ini mendukung pengaturan untuk memblokir akses publik.

Anda dapat menggunakan kebijakan Amazon S3 untuk menentukan apakah akan mengaktifkan atau menonaktifkan keempat pengaturan Blokir Akses Publik, dan spesifikasi tersebut akan berlaku untuk semua sumber daya Amazon S3 dalam akun yang dipilih. Anda dapat menggunakan setelan Blokir Akses Publik dalam kebijakan Amazon S3 untuk menerapkan postur keamanan yang konsisten di seluruh organisasi Anda dan menghilangkan overhead operasional untuk mengelola konfigurasi akun individual.

## Cara kerjanya
<a name="s3-policies-how-it-works"></a>

Saat Anda melampirkan kebijakan Amazon S3 ke entitas organisasi, kebijakan tersebut akan menentukan setelan yang berlaku untuk semua sumber daya Amazon S3 dalam akun dalam cakupan tersebut. Konfigurasi ini mengesampingkan setelan tingkat akun, memungkinkan Anda mengelola setelan Amazon S3 secara terpusat.

Kebijakan Amazon S3 dapat diterapkan ke seluruh organisasi, unit organisasi (OUs), atau akun individual. Akun yang bergabung dengan organisasi akan secara otomatis mewarisi kebijakan Amazon S3 berdasarkan lokasinya dalam hierarki organisasi.

Perilaku detasemen: Jika kebijakan Amazon S3 terlepas, akun secara otomatis akan kembali ke konfigurasi tingkat akun sebelumnya. Amazon S3 mempertahankan pengaturan tingkat akun asli untuk mengaktifkan pemulihan yang mulus.

## Fitur utama
<a name="s3-policies-key-features"></a>
+ Kontrol terpadu: Keempat pengaturan Blokir Akses Publik (BlockPublicAcls BlockPublicPolicy, IgnorePublicAcls,, RestrictPublicBuckets) dikendalikan bersama sebagai satu konfigurasi
+ Warisan otomatis: Akun baru secara otomatis mewarisi kebijakan berdasarkan penempatan organisasinya
+ Mengganti perlindungan: Mencegah modifikasi tingkat akun saat kebijakan organisasi aktif
+ Pemulihan yang mulus: Pengaturan akun asli dipertahankan dan dipulihkan saat kebijakan terlepas

## Prasyarat
<a name="s3-policies-prerequisites"></a>

Sebelum menggunakan kebijakan Amazon S3, pastikan Anda memiliki:
+  AWS Organisasi dalam semua mode fitur
+ Izin untuk mengelola kebijakan AWS Organizations (organisasi:CreatePolicy, organisasi:AttachPolicy, dll.)
+ Jenis kebijakan Amazon S3 diaktifkan untuk organisasi Anda

# Praktik terbaik untuk menggunakan kebijakan Amazon S3
<a name="orgs_manage_policies_s3_best_practices"></a>

Saat menerapkan kebijakan Amazon S3 di seluruh organisasi Anda, mengikuti praktik terbaik yang telah ditetapkan akan membantu memastikan penerapan dan pemeliharaan yang berhasil.

## Mulai dengan sederhana dan buat perubahan kecil
<a name="s3-start-simple-incremental-changes"></a>

Untuk menyederhanakan debugging, mulai dengan kebijakan sederhana dan buat perubahan satu item pada satu waktu. Validasi perilaku dan dampak dari setiap perubahan sebelum membuat perubahan berikutnya. Pendekatan ini mengurangi jumlah variabel yang harus Anda hitung ketika kesalahan atau hasil yang tidak terduga tidak terjadi.

## Menetapkan proses peninjauan
<a name="s3-establish-review-processes"></a>

Menerapkan proses untuk memantau atribut kebijakan baru, mengevaluasi pengecualian kebijakan, dan membuat penyesuaian untuk menjaga keselarasan dengan keamanan organisasi dan persyaratan operasional Anda.

## Validasi perubahan pada kebijakan Amazon S3 Anda menggunakan DescribeEffectivePolicy
<a name="s3-validate-policy-changes"></a>

Setelah Anda membuat perubahan pada kebijakan Amazon S3, periksa kebijakan efektif untuk akun perwakilan di bawah tingkat tempat Anda melakukan perubahan. Anda dapat melihat kebijakan efektif menggunakan AWS Management Console, atau dengan menggunakan operasi DescribeEffectivePolicy API atau salah satu varian AWS CLI atau AWS SDK. Pastikan bahwa perubahan yang Anda buat memiliki dampak yang diinginkan pada kebijakan efektif.

## Berkomunikasi dan melatih
<a name="s3-communicate-and-train"></a>

Pastikan organisasi Anda memahami tujuan dan dampak kebijakan Anda. Memberikan panduan yang jelas tentang perilaku yang diharapkan dan bagaimana menangani kegagalan karena penegakan kebijakan.

## Merencanakan kebutuhan akses publik yang sah
<a name="s3-plan-for-public-access"></a>

Sebelum menerapkan kebijakan tingkat organisasi, identifikasi akun yang memerlukan bucket Amazon S3 publik untuk tujuan bisnis yang sah (seperti hosting situs web statis). Pertimbangkan untuk menggunakan lampiran kebijakan tingkat OU atau tingkat akun untuk mengecualikan akun ini, atau mengkonsolidasikan kebutuhan bucket publik ke dalam akun khusus.

## Pantau penegakan kebijakan
<a name="s3-monitor-policy-enforcement"></a>

Gunakan AWS CloudTrail untuk memantau lampiran kebijakan dan tindakan penegakan hukum. Siapkan EventBridge aturan untuk mengotomatiskan tanggapan terhadap pelanggaran atau perubahan kebijakan.

# Sintaks kebijakan Amazon S3 dan contoh
<a name="orgs_manage_policies_s3_syntax"></a>

[Kebijakan Amazon S3 adalah file teks biasa yang disusun sesuai dengan aturan JSON.](http://json.org) Sintaks untuk kebijakan Amazon S3 mengikuti sintaks untuk semua jenis kebijakan manajemen. Untuk informasi selengkapnya, lihat [Memahami warisan kebijakan manajemen](orgs_manage_policies_inheritance_mgmt.md). Topik ini berfokus pada penerapan sintaks umum tersebut pada persyaratan spesifik kebijakan Amazon S3 dan pengaturan Blokir Akses Publik yang mereka bantu kelola.

Contoh kebijakan Amazon S3 berikut menunjukkan sintaks kebijakan dasar:

```
{
    "s3_attributes": {
        "public_access_block_configuration": {
            "@@assign": "all"
        }
    }
}
```

## Sintaks kebijakan Amazon S3 mencakup elemen-elemen berikut
<a name="s3-policy-syntax-elements"></a>

`s3_attributes`  
Kunci tingkat atas untuk konfigurasi kebijakan Amazon S3.

`public_access_block_configuration`  
Mendefinisikan perilaku Blokir Akses Publik untuk organisasi.

`@@assign`  
Operator penugasan yang menerima salah satu dari dua nilai:  
+ `"all"`- Mengaktifkan keempat pengaturan Akses Publik Blok Amazon S3 di tingkat organisasi
+ `"none"`- Menonaktifkan kontrol tingkat organisasi, memungkinkan akun individu untuk mengelola pengaturan Blokir Akses Publik mereka sendiri
Amazon S3 Block Public Access memiliki empat pengaturan yang mengontrol akses publik:  

1. **BlockPublicAcls**- Amazon S3 akan memblokir izin akses publik yang diterapkan ke bucket atau objek yang baru ditambahkan, dan mencegah pembuatan daftar kontrol akses publik baru (ACLs) untuk bucket dan objek yang ada. Pengaturan ini tidak mengubah izin yang ada yang memungkinkan akses publik ke sumber daya Amazon S3 menggunakan. ACLs

1. **BlockPublicPolicy**- Amazon S3 akan memblokir kebijakan bucket dan access point baru yang memberikan akses publik ke bucket dan objek. Pengaturan ini tidak mengubah kebijakan apa pun yang ada yang mengizinkan akses publik ke sumber daya Amazon S3.

1. **IgnorePublicAcls**- Amazon S3 akan mengabaikan semua ACLs yang memberikan akses publik ke ember dan objek.

1. **RestrictPublicBuckets**- Amazon S3 akan mengabaikan akses publik dan lintas akun untuk bucket atau titik akses dengan kebijakan yang memberikan akses publik ke bucket dan objek.
Saat Anda menyetel `@@assign` ke`"all"`, keempat pengaturan dikonsolidasikan dan diaktifkan di tingkat organisasi, memberikan perlindungan komprehensif terhadap akses publik di semua akun di organisasi Anda.