Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Bucket Amazon S3
Research and Engineering Studio (RES) mendukung pemasangan [bucket Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) ke instance Linux Virtual Desktop Infrastructure (VDI). **Administrator RES dapat memasukkan bucket S3 ke RES, melampirkannya ke proyek, mengedit konfigurasinya, dan menghapus bucket di tab bucket S3 di bawah Manajemen Lingkungan.**
Dasbor bucket S3 menyediakan daftar bucket S3 onboard yang tersedia untuk Anda. Dari dasbor bucket S3, Anda dapat:
1. Gunakan **Add bucket** untuk memasukkan bucket S3 ke RES.
1. Pilih bucket S3 dan gunakan menu **Actions** untuk:
+ Edit ember
+ Hapus ember
1. Gunakan kolom pencarian untuk mencari berdasarkan nama Bucket dan temukan bucket S3 onboard.
![\[Daftar bucket S3 memungkinkan Anda mencari berdasarkan nama bucket dan menemukan bucket onboard\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/docs-list-bucket.png)
Bagian berikut menjelaskan cara mengelola bucket Amazon S3 di proyek RES Anda.
**Topics**
+ [Prasyarat bucket Amazon S3 untuk penerapan VPC yang terisolasi](S3-buckets-prereqs.md)
+ [Tambahkan bucket Amazon S3](S3-buckets-add.md)
+ [Edit ember Amazon S3](S3-buckets-edit.md)
+ [Hapus ember Amazon S3](S3-buckets-remove.md)
+ [Isolasi Data](S3-buckets-data-isolation.md)
+ [Akses bucket lintas akun](S3-buckets-cross-account-access.md)
+ [Mencegah eksfiltrasi data dalam VPC pribadi](S3-buckets-preventing-exfiltration.md)
+ [Pemecahan masalah](S3-buckets-troubleshooting.md)
+ [Mengaktifkan CloudTrail](S3-buckets-enabling-cloudtrail.md)
# Prasyarat bucket Amazon S3 untuk penerapan VPC yang terisolasi
Jika Anda menerapkan Research and Engineering Studio di VPC terisolasi, ikuti langkah-langkah berikut untuk memperbarui parameter konfigurasi lambda setelah Anda menerapkan RES di akun Anda. AWS
1. Masuk ke konsol Lambda AWS akun tempat Studio Penelitian dan Teknik digunakan.
1. Temukan dan arahkan ke fungsi Lambda bernama. `-vdc-custom-credential-broker-lambda`
1. Pilih tab **Konfigurasi** fungsi.
![\[variabel lingkungan VPC terisolasi\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/Isolated-VPC-Env-Variable.png)
1. Di panel navigasi, pilih **Variabel lingkungan** untuk melihat bagian itu.
1. Pilih **Edit** dan tambahkan variabel lingkungan baru berikut ke fungsi:
+ Kunci: `AWS_STS_REGIONAL_ENDPOINTS`
+ Nilai: `regional`
1. Pilih **Simpan**.
# Tambahkan bucket Amazon S3
**Untuk menambahkan bucket S3 ke lingkungan RES Anda:**
1. Pilih **Tambahkan ember**.
1. Masukkan detail bucket seperti nama bucket, ARN, dan mount point.
**penting**
Bucket ARN, mount point, dan mode yang disediakan tidak dapat diubah setelah pembuatan.
Bucket ARN dapat berisi awalan yang akan mengisolasi bucket S3 onboard ke awalan itu.
1. Pilih mode untuk onboard bucket Anda.
**penting**
Lihat [Isolasi Data](S3-buckets-data-isolation.md) untuk informasi selengkapnya terkait isolasi data dengan mode tertentu.
1. Di bawah **Opsi Lanjutan**, Anda dapat memberikan ARN peran IAM untuk memasang bucket untuk akses lintas akun. Ikuti langkah-langkah [Akses bucket lintas akun](S3-buckets-cross-account-access.md) untuk membuat peran IAM yang diperlukan untuk akses lintas akun.
1. (Opsional) Kaitkan bucket dengan proyek, yang dapat diubah nanti. Namun, bucket S3 tidak dapat dipasang ke sesi VDI proyek yang ada. Hanya sesi yang diluncurkan setelah proyek dikaitkan dengan bucket yang akan memasang bucket.
1. Pilih **Kirim**.
![\[Tambahkan halaman bucket yang menampilkan kolom pengaturan bucket yang tersedia dan tombol kirim\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/docs-add-bucket.png)
# Edit ember Amazon S3
1. Pilih bucket S3 di daftar bucket S3.
1. Dari menu **Tindakan**, pilih **Edit**.
1. Masukkan pembaruan Anda.
**penting**
Mengaitkan proyek dengan bucket S3 **tidak** akan memasang bucket ke instance infrastruktur desktop virtual (VDI) proyek yang ada. Bucket hanya akan dipasang ke sesi VDI yang diluncurkan dalam proyek setelah bucket dikaitkan dengan proyek itu.
Memutuskan hubungan proyek dari bucket S3 tidak akan memengaruhi data di bucket S3, tetapi akan mengakibatkan pengguna desktop kehilangan akses ke data tersebut.
1. Pilih **Simpan pengaturan bucket**.
![\[Halaman Edit S3 Bucket dengan nama tampilan dan bidang asosiasi proyek dimasukkan dan tombol Save bucket setup disorot\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/docs-edit-bucket.png)
# Hapus ember Amazon S3
1. Pilih bucket S3 di daftar bucket S3.
1. Dari menu **Tindakan**, pilih **Hapus**.
**penting**
Anda harus terlebih dahulu menghapus semua asosiasi proyek dari ember.
Operasi penghapusan tidak memengaruhi data di bucket S3. Ini hanya menghapus asosiasi bucket S3 dengan RES.
Menghapus bucket akan menyebabkan sesi VDI yang ada kehilangan akses ke konten bucket tersebut setelah berakhirnya kredenal sesi tersebut (\$11 jam).
# Isolasi Data
Saat menambahkan bucket S3 ke RES, Anda memiliki opsi untuk mengisolasi data dalam bucket ke proyek dan pengguna tertentu. Pada halaman **Add Bucket**, Anda dapat memilih mode Read Only (R) atau Read and Write (R/W).
**Baca Saja**
Jika `Read Only (R)` dipilih, isolasi data diberlakukan berdasarkan awalan bucket ARN (Nama Sumber Daya Amazon). Misalnya, jika admin menambahkan bucket ke RES menggunakan ARN `arn:aws:s3:::bucket-name/example-data/` dan mengaitkan bucket ini dengan Project A dan Project B, maka pengguna yang meluncurkan VDIs dari dalam Project A dan Project B hanya dapat membaca data yang terletak di `bucket-name` bawah jalur. `/example-data` Mereka tidak akan memiliki akses ke data di luar jalur itu. Jika tidak ada awalan yang ditambahkan ke bucket ARN, seluruh bucket akan tersedia untuk proyek apa pun yang terkait dengannya.
**Baca dan Tulis**
Jika `Read and Write (R/W)` dipilih, isolasi data masih diberlakukan berdasarkan awalan bucket ARN, seperti dijelaskan di atas. Mode ini memiliki opsi tambahan untuk memungkinkan administrator memberikan awalan berbasis variabel untuk bucket S3. Saat `Read and Write (R/W)` dipilih, bagian Awalan Kustom tersedia yang menawarkan menu tarik-turun dengan opsi berikut:
+ Tidak ada awalan khusus
+ /%p
+ /%p/%u
![\[Tambahkan halaman bucket dengan awalan khusus dropdown ditampilkan\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/add-bucket-custom-prefix.png)
**Tidak ada isolasi data khusus **
Bila `No custom prefix` dipilih untuk **Awalan Kustom**, bucket ditambahkan tanpa isolasi data kustom. Ini memungkinkan proyek apa pun yang terkait dengan bucket memiliki akses baca dan tulis. Misalnya, jika admin menambahkan bucket ke RES menggunakan ARN `arn:aws:s3:::bucket-name` dengan yang `No custom prefix` dipilih dan mengaitkan bucket ini dengan Project A dan Project B, pengguna yang meluncurkan VDIs dari dalam Project A dan Project B akan memiliki akses baca dan tulis yang tidak terbatas ke bucket.
**Isolasi data pada tingkat per proyek **
Bila `/%p` dipilih untuk **Awalan Kustom**, data dalam bucket diisolasi ke setiap proyek tertentu yang terkait dengannya. `%p`Variabel mewakili kode proyek. Misalnya, jika admin menambahkan bucket ke RES menggunakan ARN `arn:aws:s3:::bucket-name` dengan yang `/%p` dipilih dan **Mount Point** of*/bucket*, dan mengaitkan bucket ini dengan Project A dan Project B, maka Pengguna A di Project A dapat menulis file ke. */bucket* Pengguna B di Proyek A juga dapat melihat file yang ditulis Pengguna A*/bucket*. Namun, jika Pengguna B meluncurkan VDI di Proyek B dan melihat ke dalam*/bucket*, mereka tidak akan melihat file yang ditulis Pengguna A, karena data diisolasi oleh proyek. File yang ditulis Pengguna A ditemukan di bucket S3 di bawah awalan `/ProjectA` sementara Pengguna B hanya dapat mengakses `/ProjectB` saat menggunakan file VDIs dari Project B.
**Isolasi data pada tingkat per proyek, per pengguna **
Bila `/%p/%u` dipilih untuk **Awalan Kustom**, data dalam bucket diisolasi ke setiap proyek tertentu dan pengguna yang terkait dengan proyek tersebut. `%p`Variabel mewakili kode proyek, dan `%u` mewakili nama pengguna. Misalnya, admin menambahkan bucket ke RES menggunakan ARN `arn:aws:s3:::bucket-name` dengan `/%p/%u` dipilih dan Mount Point of. */bucket* Bucket ini dikaitkan dengan Project A dan Project B. Pengguna A di Project A dapat menulis file ke*/bucket*. Berbeda dengan skenario sebelumnya dengan hanya `%p` isolasi, Pengguna B dalam hal ini tidak akan melihat file yang ditulis Pengguna A di Proyek A*/bucket*, karena data diisolasi oleh proyek dan pengguna. File yang ditulis Pengguna A ditemukan di bucket S3 di bawah awalan `/ProjectA/UserA` sementara Pengguna B hanya dapat mengakses `/ProjectA/UserB` saat menggunakannya VDIs di Project A.
# Akses bucket lintas akun
RES memiliki kemampuan untuk memasang bucket dari AWS akun lain, asalkan bucket ini memiliki izin yang tepat. Dalam skenario berikut, lingkungan RES di Akun A ingin memasang bucket S3 di Akun B.
**Langkah 1: Buat Peran IAM di akun tempat RES digunakan *(ini akan disebut sebagai Akun A*):**
1. Masuk ke Konsol AWS Manajemen untuk akun RES yang memerlukan akses ke bucket S3 (Akun A).
1. Buka Konsol IAM:
1. Arahkan ke dasbor IAM.
1. Di panel navigasi, pilih **Kebijakan**.
1. Buat Kebijakan:
1. Pilih **Buat kebijakan**.
1. Pilih tab **JSON**.
1. Tempel kebijakan JSON berikut (ganti `amzn-s3-demo-bucket` dengan nama bucket S3 yang terletak di Akun B):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
1. Pilih **Berikutnya**.
1. Tinjau dan buat kebijakan:
1. Berikan nama untuk kebijakan (misalnya, “S3 AccessPolicy “).
1. Tambahkan deskripsi opsional untuk menjelaskan tujuan kebijakan.
1. Tinjau kebijakan dan pilih **Buat kebijakan**.
1. Buka Konsol IAM:
1. Arahkan ke dasbor IAM.
1. Di panel navigasi, pilih **Peran**.
1. Buat Peran:
1. Pilih **Buat peran**.
1. Pilih **Kebijakan kepercayaan khusus** sebagai jenis entitas tepercaya.
1. Rekatkan kebijakan JSON berikut (ganti `111122223333` dengan ID akun A yang sebenarnya, dan `{RES_ENVIRONMENT_NAME}` dengan nama lingkungan penerapan RES:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/-vdc-custom-credential-broker-lambda-role"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Pilih **Berikutnya**.
1. Lampirkan Kebijakan Izin:
1. Cari dan pilih kebijakan yang Anda buat sebelumnya.
1. Pilih **Berikutnya**.
1. Tandai, Tinjau, dan Buat Peran:
1. Masukkan nama peran (misalnya, “S3 AccessRole “).
1. Di bawah Langkah 3, pilih **Tambahkan Tag**, lalu masukkan kunci dan nilai berikut:
+ Kunci: `res:Resource`
+ Nilai: `s3-bucket-iam-role`
1. Tinjau peran dan pilih **Buat peran**.
1. Gunakan Peran IAM di RES:
1. Salin peran IAM ARN yang Anda buat.
1. Masuk ke konsol RES.
1. Di panel navigasi kiri, pilih **S3** Bucket.
1. Pilih **Add Bucket** dan isi formulir dengan bucket S3 lintas akun ARN.
1. Pilih **Pengaturan lanjutan - dropdown opsional**.
1. Masukkan peran ARN di bidang ARN peran IAM.
1. Pilih **Tambahkan Ember**.
**Langkah 2: Ubah kebijakan bucket di Akun B**
1. Masuk ke Konsol AWS Manajemen untuk Akun B.
1. Buka Konsol S3:
1. Arahkan ke dasbor S3.
1. Pilih bucket yang ingin Anda berikan aksesnya.
1. Edit Kebijakan Bucket:
1. Pilih tab **Izin** dan pilih **Kebijakan Bucket**.
1. Tambahkan kebijakan berikut untuk memberikan peran IAM dari Akun A akses ke bucket (ganti *111122223333* dengan ID akun aktual Akun A dan *amzn-s3-demo-bucket* dengan nama bucket S3):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/S3AccessRole"
},
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
1. Pilih **Simpan**.
# Mencegah eksfiltrasi data dalam VPC pribadi
Untuk mencegah pengguna mengeksfiltrasi data dari bucket S3 aman ke bucket S3 mereka sendiri di akun mereka, Anda dapat melampirkan titik akhir VPC untuk mengamankan VPC pribadi Anda. Langkah-langkah berikut menunjukkan cara membuat titik akhir VPC untuk layanan S3 yang mendukung akses ke bucket S3 di dalam akun Anda, serta akun tambahan apa pun yang memiliki bucket lintas akun.
1. Buka Konsol VPC Amazon:
1. Masuk ke Konsol AWS Manajemen.
1. Buka konsol VPC Amazon di. [ https://console.aws.amazon.com/vpcconsole/](https://console.aws.amazon.com/vpcconsole)
1. Buat Endpoint VPC untuk S3:
1. Pada panel navigasi kiri, pilih **Titik Akhir**.
1. Pilih **Buat Titik Akhir**.
1. Untuk **kategori Layanan**, pastikan bahwa **AWS layanan** dipilih.
1. Di bidang **Nama Layanan**, masukkan `com.amazonaws..s3` (ganti `` dengan AWS wilayah Anda) atau cari “S3".
1. Pilih layanan S3 dari daftar.
1. Konfigurasikan Pengaturan Titik Akhir:
1. Untuk **VPC**, pilih VPC tempat Anda ingin membuat titik akhir.
1. Untuk **Subnet**, pilih kedua subnet pribadi yang digunakan untuk Subnet VDI selama penerapan.
1. Untuk **Aktifkan nama DNS**, pastikan opsi dicentang. Ini memungkinkan nama host DNS pribadi diselesaikan ke antarmuka jaringan titik akhir.
1. Konfigurasikan Kebijakan untuk Membatasi Akses:
1. Di bawah **Kebijakan**, pilih **Kustom**.
1. Di editor kebijakan, masukkan kebijakan yang membatasi akses ke sumber daya dalam akun Anda atau akun tertentu. Berikut adalah contoh kebijakan (ganti *amzn-s3-demo-bucket* dengan nama bucket S3 Anda dan *111122223333* dan *444455556666* dengan AWS akun yang sesuai IDs yang ingin Anda akses):
**catatan**
Kebijakan contoh ini menggunakan `s3:*` dan tidak membatasi operasi bidang kontrol S3 seperti konfigurasi pemberitahuan peristiwa, replikasi, atau inventaris. Operasi ini dapat memungkinkan metadata objek (seperti nama bucket dan kunci objek) dikirim ke tujuan lintas akun. Jika ini menjadi perhatian, tambahkan pernyataan Deny eksplisit untuk tindakan bidang kontrol S3 yang relevan dalam kebijakan titik akhir VPC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:PrincipalAccount": [
"111122223333",
"444455556666"
]
}
}
}
]
}
```
------
1. Buat Endpoint:
1. Meninjau pengaturan Anda.
1. Pilih **Buat titik akhir**.
1. Verifikasi Endpoint:
1. Setelah titik akhir dibuat, navigasikan ke bagian **Endpoints** di konsol VPC.
1. Pilih endpoint yang baru dibuat.
1. Verifikasi bahwa **Negara** **Tersedia**.
Dengan mengikuti langkah-langkah ini, Anda membuat titik akhir VPC yang memungkinkan akses S3 yang dibatasi untuk sumber daya dalam akun Anda atau ID akun tertentu.
# Pemecahan masalah
**Cara memeriksa apakah ember gagal dipasang pada VDI**
Jika bucket gagal dipasang pada VDI, ada beberapa lokasi di mana Anda dapat memeriksa kesalahan. Ikuti langkah-langkah di bawah ini.
1. Periksa Log VDI:
1. Masuk ke Konsol AWS Manajemen.
1. Buka Konsol EC2 dan arahkan ke **Instans**.
1. Pilih instance VDI yang Anda luncurkan.
1. Connect ke VDI melalui Session Manager.
1. Jalankan perintah berikut:
```
sudo su
cd ~/bootstrap/logs
```
Di sini, Anda akan menemukan log bootstrap. Rincian kegagalan apa pun akan ditemukan di `configure.log.{time}` file.
Selain itu, periksa `/etc/message` log untuk lebih jelasnya.
1. Periksa Log CloudWatch Lambda Broker Kredensi Kustom:
1. Masuk ke Konsol AWS Manajemen.
1. Buka CloudWatch Konsol dan arahkan ke **Grup log**.
1. Cari grup log`/aws/lambda/-vdc-custom-credential-broker-lambda`.
1. Periksa grup log pertama yang tersedia dan temukan kesalahan apa pun di dalam log. Log ini akan berisi detail mengenai potensi masalah yang menyediakan kredensil khusus sementara untuk memasang bucket S3.
1. Periksa CloudWatch Log API Gateway API Credential Kustom:
1. Masuk ke Konsol AWS Manajemen.
1. Buka CloudWatch Konsol dan arahkan ke **Grup log**.
1. Cari grup log`-vdc-custom-credential-broker-lambdavdccustomcredentialbrokerapigatewayaccesslogs`.
1. Periksa grup log pertama yang tersedia dan temukan kesalahan apa pun di dalam log. Log ini akan berisi detail mengenai permintaan dan tanggapan apa pun terhadap API Gateway untuk kredensil khusus yang diperlukan untuk memasang bucket S3.
**Cara mengedit konfigurasi peran IAM bucket setelah onboarding**
1. Masuk ke Konsol [AWS DynamoDB](https://console.aws.amazon.com/dynamodbv2/home).
1. Pilih Tabel:
1. Di panel navigasi kiri, pilih **Tabel**.
1. Temukan dan pilih`.cluster-settings`.
1. Pindai Tabel:
1. Pilih **Jelajahi item tabel**.
1. Pastikan **Pemindaian** dipilih.
1. Tambahkan Filter:
1. Pilih **Filter** untuk membuka bagian entri filter.
1. Atur filter agar sesuai dengan kunci Anda-
+ **Atribut**: Masukkan kunci.
+ **Kondisi**: Pilih **Dimulai dengan**.
+ **Nilai**: Masukkan `shared-storage..s3_bucket.iam_role_arn` penggantian ** dengan nilai sistem file yang perlu dimodifikasi.
1. Jalankan Pemindaian:
Pilih **Jalankan** untuk menjalankan pemindaian dengan filter.
1. Periksa nilainya:
Jika entri ada, pastikan nilainya diatur dengan benar dengan ARN peran IAM yang tepat.
Jika entri tidak ada:
1. Pilih **Buat item**.
1. Masukkan detail item:
+ Untuk atribut kunci, masukkan`shared-storage..s3_bucket.iam_role_arn`.
+ Tambahkan ARN peran IAM yang benar.
1. Pilih **Simpan** untuk menambahkan item.
1. Mulai ulang instance VDI:
Reboot instance untuk memastikan VDIs yang terpengaruh oleh peran IAM yang salah ARN dipasang lagi.
# Mengaktifkan CloudTrail
Untuk mengaktifkan CloudTrail di akun Anda menggunakan CloudTrail konsol, ikuti petunjuk yang disediakan di [Membuat jejak dengan CloudTrail konsol](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*. CloudTrail akan mencatat akses ke bucket S3 dengan merekam peran IAM yang mengaksesnya. Ini dapat ditautkan kembali ke ID instance, yang ditautkan ke proyek atau pengguna.