本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 限制對儲存Lightsail貯體和物件的公開存取
<a name="amazon-lightsail-block-public-access-for-buckets"></a>

Amazon Simple Storage Service (Amazon S3) 是一種物件儲存服務，客戶可以使用此服務來儲存與保護資料。Amazon Lightsail 物件儲存服務採用了 Amazon S3 技術。Amazon S3 提供*帳戶層級封鎖公有存取*，讓您能用來限制對 AWS 帳戶中的所有 S3 儲存貯體的公有存取。無論現有的個別儲存貯體和物件許可為何，帳戶層級封鎖公開存取都可以讓 AWS 帳戶 私有中的所有 S3 儲存貯體成為 。

允許或拒絕公開存取時，Lightsail 物件儲存的儲存貯體會考慮以下項目：
+ Lightsail 儲存貯體存取許可。如需詳細資訊，請參閱[儲存貯體許可](amazon-lightsail-understanding-bucket-permissions.md)。
+ Amazon S3 帳戶層級封鎖公有存取設定會覆蓋 Lightsail 儲存貯體存取許可。

如果在 Amazon S3 中開啟了**封鎖*所有*公有存取**，則公有 Lightsail 儲存貯體和物件會變成私有且將無法公開存取。

## 為您的帳戶設定封鎖公有存取
<a name="configuring-block-public-access"></a>

您可以使用 Amazon S3 主控台、 AWS Command Line Interface (AWS CLI)、 AWS SDKs和 REST API 來設定封鎖公開存取設定。可以在 Amazon S3 主控台的導覽窗格中存取帳戶層級封鎖公有存取功能，如以下範例所示。

![Amazon S3 主控台中的封鎖公有存取導覽窗格選項](http://docs.aws.amazon.com/zh_tw/lightsail/latest/userguide/images/amazon-lightsail-s3-block-public-access-navigation-pane.png)


Amazon S3 主控台提供的設定可封鎖所有公有存取、封鎖透過新的或任何存取控制清單授予的公有存取，以及封鎖透過新的或任何公有儲存貯體或存取點政策授予的對儲存貯體和物件的公有存取。

![Amazon S3 主控台中的封鎖公有存取選項](http://docs.aws.amazon.com/zh_tw/lightsail/latest/userguide/images/amazon-lightsail-s3-block-public-access-in-s3-console.png)


可以在 Amazon S3 主控台中將每項設定設為**開啟**或**關閉**。在 API 中，對應的設定為 `TRUE` (開啟) 或 `FALSE` (關閉)。以下章節說明每項設定對 S3 儲存貯體和 Lightsail 儲存貯體的影響。

**注意**  
以下章節會提到存取控制清單 (ACL)。ACL 定義擁有或能夠存取儲存貯體或個別物件的使用者。如需詳細資訊，請參閱《Amazon S3 使用者指南》**中的[存取控制清單概觀](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html)。
+ **封鎖*所有*公有存取** – 開啟此設定會封鎖對 S3 儲存貯體、Lightsail 儲存貯體及其相應物件的所有公有存取。此設定包含以下所有設定。當您開啟此設定時，只有您 (儲存貯體擁有者) 和授權的使用者能夠存取您的儲存貯體及其物件。只能在 Amazon S3 主控台中開啟此設定。它不適用於 AWS CLI、Amazon S3 API 或 AWS SDKs。
  + **封鎖透過*新的*存取控制清單 (ACL) 授予的對儲存貯體和物件的公有存取** – 開啟此設定以阻止在儲存貯體和物件上放置公有 ACL。此設定不會影響現有的 ACL。因此，已經具有公有 ACL 的物件仍將保持為公有。由於儲存貯體存取許可設定為 **All objects are public and read-only** (所有物件皆為公有且唯讀)，故此設定也不會對公有物件造成影響。此設定在 Amazon S3 API 中標示為 `BlockPublicAcls`。
**注意**  
當開啟此設定時，將媒體放入 Lightsail 儲存貯體的 WordPress 外掛程式，例如 Offload Media Light 外掛程式，可能會停止運作。這是因為大多數的 WordPress 外掛程式會在物件上設定公開讀取 ACL。切換物件 ACL 的 WordPress 外掛程式也可能會停止運作。
  + **封鎖透過*任何*存取控制清單 (ACL) 授予的對儲存貯體和物件的公有存取** – 開啟此設定以忽略公有 ACL並封鎖對儲存貯體和物件的公有存取。此設定允許將公有 ACL 放置在儲存貯體和物件上，但在授予存取時會忽略。針對 Lightsail 儲存貯體，將儲存貯體的存取許可設為 **All objects are public and read-only** (所有物件皆為公有且唯讀)，或將個別物件的許可設為 **Public (read-only)** (公有 (唯讀)) 相當於在任一種上放置公有 ACL。此設定在 Amazon S3 API 中標示為 `IgnorePublicAcls`。
  + **封鎖透過*新的*公有儲存貯體或存取點政策授予的對儲存貯體和物件的公有存取** – 開啟此設定以阻止在您的 Lightsail 儲存貯體上設定**所有物件皆為公有且唯讀**儲存貯體存取許可。此設定不會影響已設定為 **All objects are public and read-only** (所有物件皆為公有且唯讀) 存取許可的儲存貯體。此設定在 Amazon S3 API 中標示為 `BlockPublicPolicy`。
  + **透過*任何*公有儲存貯體或存取點政策來封鎖對儲存貯體和物件的公有和跨帳户存取權** – 開啟此設定，讓您的所有 Lightsail 儲存貯體變為私有。這會使所有 Lightsail 儲存貯體皆為私有，即使其已設定為 **All objects are public and read-only** (所有物件皆為公有且唯讀) 儲存貯體存取許可。此設定在 Amazon S3 API 中標示為 `RestrictPublicBuckets`。
**重要**  
此設定也會封鎖在 Lightsail 中設定為 **All objects are public and read-only** (所有物件皆為公有且唯讀) 的 Lightsail 儲存貯體上設定的跨帳戶存取權。若要繼續允許跨帳戶存取權，務必先在 Lightsail 中將 Lightsail 儲存貯體設定為**所有物件皆為公有**儲存貯體存取許可，然後再於 Amazon S3 中開啟**透過*任何*公有儲存貯體或存取點政策來封鎖對儲存貯體和物件的公有和跨帳戶存取權**。

如需有關封鎖公有存取及如何進行設定的詳細資訊，請參閱《Amazon S3 使用者指南》**中的下列資源：
+ [封鎖對 Amazon S3 儲存體的公開存取權](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html)
+ [為您的帳戶設定封鎖公有存取](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-account.html)

使用 Lightsail主控台 AWS CLI、、 AWS SDKs和 REST API 來設定儲存Lightsail貯體的存取許可。如需詳細資訊，請參閱[儲存貯體許可](amazon-lightsail-understanding-bucket-permissions.md)。

**注意**  
Lightsail 將使用服務連結角色從 Amazon S3 中取得目前的帳戶層級封鎖公有存取組態，並將其套用至 Lightsail 物件儲存資源。在 Amazon S3 中設定封鎖公有存取後，等待至少一個小時才會在 Lightsail 中生效。如需詳細資訊，請參閱[服務連結角色](amazon-lightsail-using-service-linked-roles.md)。

## 管理儲存貯體和物件
<a name="block-public-access-managing-buckets-and-objects"></a>

請依下列一般步驟來管理 Lightsail 物件儲存貯體：

1. 了解 Amazon Lightsail 物件儲存服務中的物件和儲存貯體。如需詳細資訊，請參閱 [Amazon Lightsail 中的物件儲存](buckets-in-amazon-lightsail.md)。

1. 了解您可以在 Amazon Lightsail 中為儲存貯體提供的名稱。如需詳細資訊，請參閱 [Amazon Lightsail 中的儲存貯體命名規則](bucket-naming-rules-in-amazon-lightsail.md)。

1. 透過建立儲存貯體來開始使用 Lightsail 物件儲存服務。如需詳細資訊，請參閱[在 Amazon Lightsail 中建立儲存貯體](amazon-lightsail-creating-buckets.md)。

1. 了解儲存貯體的安全最佳實務，以及可以為儲存貯體設定的存取許可。可以將儲存貯體中的所有物件設為公有或私有，也可以選擇將個別物件設為公有。也可以透過建立存取金鑰、將執行個體附接至儲存貯體以及授予對其他 AWS 帳戶的存取權，來授予對儲存貯體的存取權。如需詳細資訊，請參閱 [Amazon Lightsail 物件儲存的安全最佳實務](amazon-lightsail-bucket-security-best-practices.md)和[了解 Amazon Lightsail 中的儲存貯體許可](amazon-lightsail-understanding-bucket-permissions.md)。

   了解儲存貯體存取許可後，請參閱下列指南來授予對儲存貯體的存取權：
   + [在 Amazon Lightsail 中授予儲存貯體的公有存取](#amazon-lightsail-block-public-access-for-buckets)
   + [在 Amazon Lightsail 中設定儲存貯體存取許可](amazon-lightsail-configuring-bucket-permissions.md)
   + [在 Amazon Lightsail 中設定儲存貯體內個別物件的存取許可](amazon-lightsail-configuring-individual-object-access.md)
   + [在 Amazon Lightsail 中建立儲存貯體的存取金鑰](amazon-lightsail-creating-bucket-access-keys.md)
   + [在 Amazon Lightsail 中設定儲存貯體的資源存取](amazon-lightsail-configuring-bucket-resource-access.md)
   + [在 Amazon Lightsail 中設定儲存貯體的跨帳户存取權](amazon-lightsail-configuring-bucket-cross-account-access.md)

1. 了解如何為儲存貯體啟用存取日誌記錄，以及如何使用存取日誌來稽核儲存貯體的安全性。如需詳細資訊，請參閱下列指南。
   + [在 Amazon Lightsail 物件儲存服務中存取儲存貯體的日誌](amazon-lightsail-bucket-access-logs.md)
   + [在 Amazon Lightsail 物件儲存服務中儲存貯體的存取日誌格式](amazon-lightsail-bucket-access-log-format.md)
   + [在 Amazon Lightsail 物件儲存服務中啟用儲存貯體的存取記錄](amazon-lightsail-enabling-bucket-access-logs.md)
   + [使用 Amazon Lightsail 中儲存貯體的存取日誌來識別請求](amazon-lightsail-using-bucket-access-logs.md)

1. 建立 IAM 政策以授予使用者在 Lightsail 中管理儲存貯體的功能。如需詳細資訊，請參閱[在 Amazon Lightsail 中管理儲存貯體的 IAM 政策](amazon-lightsail-bucket-management-policies.md)。

1. 了解儲存貯體中物件的標記和識別方式。如需詳細資訊，請參閱[了解 Amazon Lightsail 中的物件金鑰名稱](understanding-bucket-object-key-names-in-amazon-lightsail.md)。

1. 了解如何在儲存貯體中上傳檔案及管理物件。如需詳細資訊，請參閱下列指南。
   + [將檔案上傳至 Amazon Lightsail 中的儲存貯體](amazon-lightsail-uploading-files-to-a-bucket.md)
   + [使用分段上傳將檔案上傳至 Amazon Lightsail 中的儲存貯體](amazon-lightsail-uploading-files-to-a-bucket-using-multipart-upload.md)
   + [檢視 Amazon Lightsail 中儲存貯體的物件](amazon-lightsail-viewing-objects-in-a-bucket.md)
   + [在 Amazon Lightsail 中複製或移動儲存貯體中的物件](amazon-lightsail-copying-moving-bucket-objects.md)
   + [從 Amazon Lightsail 的儲存貯體中下載物件](amazon-lightsail-downloading-bucket-objects.md)
   + [在 Amazon Lightsail 的儲存貯體中篩選物件](amazon-lightsail-filtering-bucket-objects.md)
   + [在 Amazon Lightsail 的儲存貯體中標記物件](amazon-lightsail-tagging-bucket-objects.md)
   + [刪除 Amazon Lightsail 的儲存貯體中的物件](amazon-lightsail-deleting-bucket-objects.md)

1. 啟用物件版本控制功能來保留、擷取和恢復儲存貯體中所儲存每個物件的各個版本。如需詳細資訊，請參閱[在 Amazon Lightsail 的儲存貯體中啟用和暫停物件版本控制](amazon-lightsail-managing-bucket-object-versioning.md)。

1. 啟用物件版本控制之後，可以還原儲存貯體中物件的先前版本。如需詳細資訊，請參閱[還原 Amazon Lightsail 中儲存貯體內物件的舊版本](amazon-lightsail-restoring-bucket-object-versions.md)。

1. 監控儲存貯體的使用率。如需詳細資訊，請參閱[在 Amazon Lightsail 中檢視儲存貯體的指標](amazon-lightsail-viewing-bucket-metrics.md)。

1. 設定儲存貯體指標的警示，以便在儲存貯體的使用率超過閾值時收到通知。如需詳細資訊，請參閱[在 Amazon Lightsail 中建立儲存貯體指標警示](amazon-lightsail-adding-bucket-metric-alarms.md)。

1. 如果儲存空間和網路傳輸不足，請變更儲存貯體的儲存計畫。如需詳細資訊，請參閱[在 Amazon Lightsail 中變更儲存貯體的計劃](amazon-lightsail-changing-bucket-plans.md)。

1. 了解如何將儲存貯體連線至其他資源。如需詳細資訊，請參閱下列教學課程。
   + [教學課程：將 WordPress 執行個體連接至 Amazon Lightsail 儲存貯體](amazon-lightsail-connecting-buckets-to-wordpress.md)
   + [教學課程：搭配使用 Amazon Lightsail 儲存貯體與 Lightsail 內容交付網路分發](amazon-lightsail-using-distributions-with-buckets.md)

1. 如果不再使用儲存貯體，請刪除它。如需詳細資訊，請參閱[刪除 Amazon Lightsail 中的儲存貯體](amazon-lightsail-deleting-buckets.md)。