本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon S3 访问权限
<a name="vpc-lattice-oci-s3-access"></a>

除了 OCI 托管备份到 Amazon S3 之外，您还可以创建托管集成，允许从 ODB 网络访问 Amazon S3。当您修改 Oracle Database@AWS 网络以启用 Amazon S3 Access 托管集成时，VPC Lattice 会在默认服务网络`odb-s3-access`中配置一个名为的资源配置。您可以使用此集成来访问 Amazon S3 以满足自己的需求，包括自行管理的备份或恢复。您可以通过提供身份验证策略来建立边界控制。

## 注意事项
<a name="vpc-lattice-oci-s3-access-considerations"></a>

以下是 Amazon S3 Access 托管集成的注意事项：
+ 您只能为 ODB 网络创建一个 Amazon S3 Access 托管集成。
+ 这种托管集成仅允许从 ODB 网络访问 Amazon S3，而不能从默认服务网络中的其他 VPC 关联或服务网络终端节点访问 Amazon S3。
+ 您无法访问不同 AWS 区域的 S3 存储桶。

## 启用 Amazon S3 访问托管集成
<a name="vpc-lattice-oci-s3-access-create"></a>

使用以下命令启用 Amazon S3 Access 托管集成：

```
aws odb update-odb-network \
  --odb-network-id odb-network-id \
  --s3-access ENABLED
```

## 使用身份验证策略进行安全访问
<a name="vpc-lattice-oci-s3-access-policies"></a>

您可以使用 ODB API 定义身份验证策略，从而保护对 S3 存储桶的访问。以下示例策略授予对特定组织拥有的特定 S3 存储桶的访问权限。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Id": "Policy1515115909152",
  "Statement": [
    {
      "Sid": "GrantAccessToMyOrgS3",
      "Principal": "*",
      "Action": "s3:*",
      "Effect": "Deny",
      "Resource": [
        "arn:aws:s3:::awsexamplebucket1",
        "arn:aws:s3:::awsexamplebucket1/*"
      ],
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceOrgID": "o-abcd1234"
        }
      }
    }
  ]
}
```

------

**注意**  
使用 ODB 托管集成时 `aws:SourceVpc``aws:SourceVpce`，S3 存储桶策略不支持、和`aws:VpcSourceIp`条件键。