Или браузер не позволяет создавать объекты
Обновлено: 25.06.2024
В этом разделе представлено несколько примеров типичных вариантов использования политик сегментов. Политики используют строки DOC-EXAMPLE-BUCKET в значении ресурса. Чтобы протестировать эти политики, замените эти строки именем своего сегмента. Сведения о политиках сегментов см. в разделе Использование политик сегментов. Дополнительные сведения о языке политики см. в разделе Политики и разрешения в Amazon S3.
Политика корзины — это политика на основе ресурсов, которую можно использовать для предоставления разрешений на доступ к корзине и объектам в ней. Только владелец сегмента может связать политику с сегментом. Разрешения, прикрепленные к корзине, применяются ко всем объектам в корзине, принадлежащим владельцу корзины. Эти разрешения не применяются к объектам, принадлежащим другим аккаунтам AWS.
По умолчанию, когда другой аккаунт AWS загружает объект в вашу корзину S3, этот аккаунт (создатель объекта) владеет объектом, имеет к нему доступ и может предоставлять доступ к нему другим пользователям через списки управления доступом. Вы можете использовать «Владение объектами», чтобы изменить это поведение по умолчанию, чтобы списки контроля доступа были отключены, а вы, как владелец корзины, автоматически владели каждым объектом в своей корзине. В результате управление доступом к вашим данным основано на политиках, таких как политики IAM, политики корзин S3, политики конечных точек виртуального частного облака (VPC) и политики управления сервисами AWS Organizations (SCP). Дополнительные сведения см. в статье Управление владением объектами и отключение списков управления доступом для корзины.
Дополнительную информацию о политиках сегментов см. в разделе Использование политик сегментов.
Размер политики сегмента ограничен 20 КБ.
При тестировании разрешений с помощью консоли Amazon S3 необходимо предоставить дополнительные разрешения, необходимые для консоли, — разрешения s3:ListAllMyBuckets, s3:GetBucketLocation и s3:ListBucket. Пример пошагового руководства, предоставляющего разрешения пользователям и тестирующего их с помощью консоли, см. в разделе Управление доступом к корзине с помощью пользовательских политик.
Темы
Предоставление разрешений нескольким аккаунтам с добавленными условиями
В следующем примере политика предоставляет разрешения s3:PutObject и s3:PutObjectAcl нескольким аккаунтам AWS и требует, чтобы любой запрос на эти операции включал стандартный список управления доступом для чтения (ACL). Дополнительные сведения см. в разделе Действия Amazon S3 и примеры ключей условий Amazon S3.
Будьте осторожны при предоставлении анонимного доступа к корзине Amazon S3 или отключении настроек блокировки общего доступа. Когда вы предоставляете анонимный доступ, любой человек в мире может получить доступ к вашей корзине. Мы рекомендуем никогда не предоставлять анонимный доступ к своей корзине Amazon S3, если в этом нет особой необходимости, например при размещении статического веб-сайта.
Предоставление анонимному пользователю разрешения только на чтение
В следующем примере политика предоставляет разрешение s3:GetObject всем общедоступным анонимным пользователям. (Список разрешений и операций, которые они разрешают, см. в разделе Действия Amazon S3.) Это разрешение позволяет любому читать данные объекта, что полезно, когда вы настраиваете корзину как веб-сайт и хотите, чтобы все могли читать объекты. в ведре. Прежде чем использовать политику корзины для предоставления разрешения только на чтение анонимному пользователю, вы должны отключить параметры блокировки общего доступа для своей корзины. Дополнительные сведения см. в разделе Настройка разрешений для доступа к веб-сайтам.
Будьте осторожны при предоставлении анонимного доступа к корзине Amazon S3 или отключении настроек блокировки общего доступа. Когда вы предоставляете анонимный доступ, любой человек в мире может получить доступ к вашей корзине. Мы рекомендуем никогда не предоставлять анонимный доступ к своей корзине Amazon S3, если в этом нет особой необходимости, например при размещении статического веб-сайта.
Ограничение доступа к определенным IP-адресам
В следующем примере любому пользователю запрещается выполнять какие-либо операции Amazon S3 с объектами в указанной корзине S3, если только запрос не исходит из диапазона IP-адресов, указанного в условии.
Это утверждение определяет 54.240.143.0/24 как диапазон разрешенных IP-адресов Интернет-протокола версии 4 (IPv4).
Блок Condition использует условие NotIpAddress и ключ условия aws:SourceIp, который является ключом условия для всего AWS. Дополнительные сведения об этих условных ключах см. в разделе Примеры условных ключей Amazon S3. Значения IPv4 aws:SourceIp используют стандартную нотацию CIDR. Дополнительные сведения см. в разделе Справочник по элементам политики IAM JSON в Руководстве пользователя IAM.
Прежде чем использовать эту политику, замените диапазон IP-адресов 54.240.143.0/24 в этом примере на значение, подходящее для вашего варианта использования. В противном случае вы потеряете доступ к своему сегменту.
Разрешение адресов IPv4 и IPv6
Когда вы начнете использовать IPv6-адреса, мы рекомендуем вам обновить все политики вашей организации с вашими диапазонами адресов IPv6 в дополнение к вашим существующим диапазонам IPv4, чтобы убедиться, что политики продолжают работать при переходе на IPv6.
В следующем примере политики сегментов показано, как сочетать диапазоны адресов IPv4 и IPv6, чтобы охватить все действительные IP-адреса вашей организации. Пример политики разрешит доступ к примерам IP-адресов 54.240.143.1 и 2001:DB8:1234:5678::1 и запретит доступ к адресам 54.240.143.129 и 2001:DB8:1234:5678:ABCD::1 .< /p>
Значения IPv6 для aws:SourceIp должны быть в стандартном формате CIDR. Для IPv6 мы поддерживаем использование :: для представления диапазона нулей (например, 2032001:DB8:1234:5678::/64 ). Дополнительную информацию см. в разделе Операторы условия IP-адреса в Руководстве пользователя IAM.
Замените диапазоны IP-адресов в этом примере соответствующими значениями для вашего варианта использования, прежде чем использовать эту политику. В противном случае вы можете потерять доступ к своему сегменту.
Мы рекомендуем соблюдать осторожность при использовании ключа условия aws:Referer. Опасно включать общеизвестное значение заголовка реферера. Неавторизованные стороны могут использовать модифицированные или настраиваемые браузеры для предоставления любого значения aws:Referer по своему выбору. Поэтому не используйте aws:Referer, чтобы предотвратить неавторизованные стороны от прямых запросов AWS.
Ключ условия aws:Referer предлагается только для того, чтобы клиенты могли защитить свой цифровой контент, например контент, хранящийся в Amazon S3, от ссылок на неавторизованных сторонних сайтах. Дополнительную информацию см. в разделе aws:Referer в Руководстве пользователя IAM.
Предоставление разрешения OAI Amazon CloudFront
В следующем примере политика корзины предоставляет разрешение CloudFront origin access identity (OAI) на получение (чтение) всех объектов в корзине Amazon S3. Вы можете использовать OAI CloudFront, чтобы предоставить пользователям доступ к объектам в вашей корзине через CloudFront, но не напрямую через Amazon S3. Дополнительную информацию см. в разделе «Ограничение доступа к содержимому Amazon S3 с помощью удостоверения доступа Origin» в Руководстве по Amazon CloudFront для разработчиков.
Следующая политика использует идентификатор OAI в качестве принципала политики. Дополнительные сведения об использовании политик корзины S3 для предоставления доступа к OAI CloudFront см. в разделе Использование политик корзины Amazon S3 в Руководстве для разработчиков Amazon CloudFront.
Чтобы использовать этот пример:
Замените EH1HDMB1FH2TC идентификатором OAI. Чтобы найти идентификатор OAI, перейдите на страницу Origin Access Identity в консоли CloudFront или используйте ListCloudFrontOriginAccessIdentities в CloudFront API.
Замените DOC-EXAMPLE-BUCKET на имя вашей корзины Amazon S3.
Добавление политики корзины для требования MFA
Amazon S3 поддерживает доступ к API с защитой MFA — функцию, которая может применять многофакторную аутентификацию (MFA) для доступа к вашим ресурсам Amazon S3. Многофакторная аутентификация обеспечивает дополнительный уровень безопасности, который вы можете применить к своей среде AWS. Это функция безопасности, которая требует, чтобы пользователи подтвердили физическое владение устройством MFA, предоставив действительный код MFA. Дополнительные сведения см. в разделе Многофакторная аутентификация AWS. Вы можете требовать MFA для любых запросов на доступ к вашим ресурсам Amazon S3.
Вы можете применить требование MFA с помощью ключа aws:MultiFactorAuthAge в политике корзины. Пользователи AWS Identity and Access Management (IAM) могут получать доступ к ресурсам Amazon S3, используя временные учетные данные, выданные сервисом токенов безопасности AWS (AWS STS). Вы предоставляете код MFA во время запроса AWS STS.
Когда Amazon S3 получает запрос с многофакторной аутентификацией, ключ aws:MultiFactorAuthAge предоставляет числовое значение, указывающее, как давно (в секундах) были созданы временные учетные данные. Если временные учетные данные, предоставленные в запросе, не были созданы с помощью устройства MFA, значение этого ключа равно null (отсутствует). В политике корзины вы можете добавить условие для проверки этого значения, как показано в следующем примере политики корзины. Этот пример политики запрещает любые операции Amazon S3 с папкой /taxdocuments в корзине DOC-EXAMPLE-BUCKET, если запрос не прошел аутентификацию с помощью MFA. Дополнительные сведения о MFA см. в разделе Использование многофакторной аутентификации (MFA) в AWS в Руководстве пользователя IAM.
Условие Null в блоке Condition оценивается как true, если значение ключа aws:MultiFactorAuthAge равно null, что указывает на то, что временные учетные данные безопасности в запросе были созданы без ключа MFA.
Следующая политика сегментов является расширением предыдущей политики сегментов. Он включает в себя два заявления о политике. Один оператор разрешает разрешение s3:GetObject для корзины ( DOC-EXAMPLE-BUCKET ) всем. Другая инструкция дополнительно ограничивает доступ к папке DOC-EXAMPLE-BUCKET /taxdocuments в корзине, требуя MFA.
Вы можете дополнительно использовать числовое условие, чтобы ограничить срок действия ключа aws:MultiFactorAuthAge, независимо от срока действия временных учетных данных безопасности, используемых при аутентификации запроса. Например, следующая политика корзины, помимо требования проверки подлинности MFA, также проверяет, как давно был создан временный сеанс.Политика запрещает любую операцию, если значение ключа aws:MultiFactorAuthAge указывает, что временный сеанс был создан более часа назад (3600 секунд).
Предоставление разрешений для нескольких аккаунтов на загрузку объектов, при этом владелец корзины имеет полный контроль
В следующем примере показано, как разрешить другому аккаунту AWS загружать объекты в вашу корзину, при этом получая полный контроль над загруженными объектами. Эта политика требует, чтобы конкретной учетной записи AWS ( 111122223333 ) была предоставлена возможность загружать объекты только в том случае, если эта учетная запись включает стандартный ACL-владелец-владельца-полного-контроля при загрузке. Условие StringEquals в политике указывает условный ключ s3:x-amz-acl для выражения требования (см. примеры условных ключей Amazon S3).
Предоставление разрешений для ресурсов Amazon S3 и аналитики Amazon S3
Amazon S3 Inventory создает списки объектов в корзине Amazon S3, а экспорт аналитики Amazon S3 создает выходные файлы данных, используемых в анализе. Сегмент, для которого в инвентаре перечислены объекты, называется исходным сегментом. Сегмент, в который записывается файл инвентаризации, и сегмент, в который записывается файл экспорта аналитики, называются целевым сегментом. Вы должны создать политику корзины для корзины назначения при настройке инвентаризации для корзины Amazon S3 и при настройке экспорта аналитики. Дополнительную информацию см. в разделах Инвентаризация Amazon S3 и Аналитика Amazon S3 — Анализ класса хранилища.
В следующем примере политика корзины предоставляет Amazon S3 разрешение на запись объектов (PUT) из учетной записи исходной корзины в целевую корзину. Подобную политику корзины вы используете для корзины назначения при настройке Amazon S3 Inventory и экспорта аналитики Amazon S3.
Предоставление разрешений для Amazon S3 Storage Lens
Amazon S3 Storage Lens собирает метрики использования и активности и отображает информацию в моментальном снимке учетной записи на домашней странице (сегменты) консоли Amazon S3, интерактивных информационных панелях или посредством экспорта метрик, который можно загрузить в формате CSV или Parquet. Вы можете использовать панель мониторинга, чтобы визуализировать информацию и тенденции, помечать выбросы и получать рекомендации по оптимизации затрат на хранение и применению передовых методов защиты данных. Вы можете использовать S3 Storage Lens через Консоль управления AWS, AWS CLI, AWS SDK или REST API.
S3 Storage Lens может агрегировать данные об использовании хранилища для экспорта метрик в корзину Amazon S3 для дальнейшего анализа. Сегмент, в который S3 Storage Lens помещает экспортируемые метрики, называется целевым сегментом. При настройке экспорта метрик S3 Storage Lens у вас должна быть политика сегмента для целевого сегмента. Дополнительную информацию см. в разделе Оценка активности и использования хранилища с помощью Amazon S3 Storage Lens.
В следующем примере политика корзины предоставляет Amazon S3 разрешение на запись объектов (PUT) в целевую корзину. Вы используете политику сегмента, подобную этой, для целевого сегмента при настройке экспорта метрик S3 Storage Lens.
Используйте следующую модификацию предыдущей политики корзины Resource при настройке экспорта метрик S3 Storage Lens на уровне организации.
Описывает рекомендации, расположение, значения, управление политиками и вопросы безопасности для системных объектов: параметр политики безопасности "Усилить разрешения по умолчанию для внутренних системных объектов (например, символических ссылок)".
Ссылка
Этот параметр политики определяет надежность списка управления доступом на уровне пользователей (DACL) по умолчанию для объектов. Windows поддерживает глобальный список общих системных ресурсов, таких как имена устройств MS-DOS, мьютексы и семафоры. Используя этот список, процессы могут находить объекты и совместно использовать их. Каждый тип объекта создается с помощью DACL по умолчанию, в котором указывается, кто может получить доступ к объектам с какими разрешениями. Включение этого параметра политики усиливает список DACL по умолчанию и позволяет пользователям, не являющимся администраторами, читать, но не изменять общие объекты, которые они не создавали.
Возможные значения
- Включено
- Отключено
- Не определено
Рекомендации
- Рекомендуется установить для этой политики значение Включено.
Местоположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице перечислены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также перечислены на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
| Политика домена по умолчанию< /td> | Не определено |
| Политика контроллера домена по умолчанию | Не определено |
| Стандартный -Настройки сервера Alone по умолчанию | Включено |
| Действующие настройки контроллера домена по умолчанию | Включено |
| Эффективные настройки рядового сервера по умолчанию | Включено |
| Эффективные настройки клиентского компьютера по умолчанию | Включено |
Управление политикой
В этом разделе описываются функции и инструменты, которые помогут вам управлять этой политикой.
Требование перезапустить
Нет. Изменения этой политики вступают в силу без перезагрузки устройства, если они сохраняются локально или распространяются через групповую политику.
Соображения безопасности
В этом разделе описывается, как злоумышленник может использовать функцию или ее конфигурацию, как реализовать контрмеру и возможные негативные последствия реализации контрмеры.
Уязвимость
Этот параметр политики включен по умолчанию для защиты от известной уязвимости, которую можно использовать с жесткими или символическими ссылками. Жесткие ссылки — это фактические записи каталогов в файловой системе. С жесткими ссылками на одни и те же данные в файловой системе можно ссылаться под разными именами файлов. Символические ссылки — это текстовые файлы, содержащие указатель на файл, который интерпретируется операционной системой как путь к другому файлу или каталогу. Поскольку символические ссылки представляют собой отдельный файл, они могут существовать независимо от целевого расположения. Если символическая ссылка удаляется, ее целевое местоположение остается неизменным. Если этот параметр отключен, злоумышленник может уничтожить файл данных, создав ссылку, которая выглядит как временный файл, автоматически создаваемый системой, например файл журнала с последовательным именем, но указывает на файл данных, который злонамеренный пользователь хочет уничтожить. Когда система записывает файлы с таким именем, данные перезаписываются. Включение системных объектов: усиление разрешений по умолчанию для внутренних системных объектов (например, символических ссылок) предотвращает использование злоумышленником программ, создающих файлы с предсказуемыми именами, не позволяя им записывать в объекты, которые они не создавали.
Контрмеры
Включите параметр Системные объекты: усиление разрешений по умолчанию для глобальных системных объектов (например, символических ссылок).
Microsoft Word для Интернета позволяет вносить базовые изменения и изменения форматирования документа в веб-браузере. Чтобы получить доступ к дополнительным функциям, используйте команду «Открыть в Word» в Интернете. Когда вы сохраняете документ в Word, он сохраняется на веб-сайте, где вы открыли его в Word для Интернета.
Документ, который вы открываете в Word для Интернета, совпадает с документом, который вы открываете в настольном приложении Word, но некоторые функции в этих двух средах работают по-разному.
Примечание. Если вы используете Word для Интернета с SharePoint 2010, ознакомьтесь с этой версией статьи Различия между использованием документа в браузере и в Word.
В этой статье
Форматы файлов, поддерживаемые в Word для Интернета
Веб-приложение Word открывает документы в следующих форматах:
Документ Word (.docx)
Шаблон Word (.dotx)
Документ Word с поддержкой макросов (.docm) или шаблон Word с поддержкой макросов (.dotm)
Документ можно открыть, но макросы не запускаются.
Документ Word 97-2003 (.doc) или шаблон Word 97-2003 (.dot)
Word для Интернета отображает документы в этих форматах, но для редактирования документа в браузере Word для Интернета сохраняет новая копия документа в формате .docx или .dotx. Веб-приложение Word не может сохранять документы в форматах .doc или .dot.
Текст OpenDocument (.odt)
Веб-приложение Word не может открывать документы в других форматах файлов. Например, не поддерживаются следующие форматы: расширенный текстовый формат (RTF), язык разметки гипертекста (HTML), формат переносимых документов (PDF) и многоцелевые расширения почты Интернета HTML (MHTML).
Функции, поддерживаемые для просмотра и печати
При просмотре или печати документа в Word для Интернета документ выглядит так же, как и в представлении «Макет печати» в настольном приложении Word. Word для Интернета использует программу чтения PDF для печати документов (см. список поддерживаемых программ чтения PDF).
При просмотре документа некоторые функции в браузере работают иначе, чем в классическом приложении Word. Чтобы использовать функции, недоступные в Word для Интернета, нажмите кнопку Открыть в Word.
Так работает в Word для Интернета
Просмотр макета печати
В режиме чтения Веб-приложение Word отображает документ так, как он выглядит в режиме макета печати. Другие представления, доступные в настольном приложении Word (Структура, Черновик, Веб-макет и Чтение в полноэкранном режиме), недоступны в Word для Интернета. Аналогичным образом, параллельный просмотр и разделение окон недоступны в Word для Интернета.
Линейки и линии сетки
Веб-приложение Word не отображает линейки и линии сетки.
Функции, отличающиеся между браузером и настольным компьютером
Когда вы редактируете документ в Word для Интернета, документ отображается в режиме редактирования, чтобы вы могли редактировать и форматировать текст. В режиме редактирования не отображается форматирование страницы, например поля или разрывы страниц, титульные страницы или верхние и нижние колонтитулы. Кроме того, многие виды объектов отображаются как заполнители.
В следующих таблицах описано, как Word для Интернета поддерживает функции, которые могут применяться к вашим документам. Чтобы использовать дополнительные функции, доступные в Word для Интернета, нажмите "Открыть в Word".
Открытие и сохранение
Так работает в Word для Интернета
Управление правами на доступ к данным (IRM)
Во вложениях Outlook Online и библиотеках SharePoint, защищенных службой управления правами на доступ к данным, Веб-приложение Word открывает документы для чтения, но не для редактирования. Защита IRM не может быть добавлена к документам в Word для Интернета.
Веб-приложение Word не может открывать документы, зашифрованные паролем.
Разрешение на изменение
Документ, для изменения которого требуется пароль, открывается в Веб-приложение Word в режиме чтения, но документ нельзя редактировать в браузере. Нажмите «Открыть в Word», чтобы снять ограничения на редактирование.
Версии управляются на сервере, а не в Word для Интернета. Если ваш документ хранится в OneDrive, используйте функцию журнала версий в OneDrive. Если ваш документ хранится в библиотеке SharePoint, проверьте, настроена ли для этой библиотеки функция журнала версий.
Редактирование и форматирование
Так работает в Word для Интернета
Скопируйте и вставьте текст, а также скопируйте/вставьте изображения из Интернета. Текст форматируется в соответствии с текстом, в который он вставлен в Веб-приложение Word.
Применить жирный шрифт, курсив, подчеркивание, зачеркивание, подстрочный и надстрочный индекс, шрифт, размер, цвет и выделение. Вы также можете очистить форматирование шрифта.
Выровнять абзацы по левому, правому краю или по центру; запускать текст справа налево или слева направо; увеличить или уменьшить отступ; настроить межстрочный интервал; форматирование абзацев в виде маркированного или нумерованного списка. Вы также можете очистить форматирование.
Нумерация и маркеры
Применить один из нескольких встроенных стилей нумерации или маркеров.
Примените один из встроенных стилей из галереи. Вы также можете очистить форматирование. Вы не можете создавать новые стили или изменять стили в Word для Интернета.
В режиме чтения Веб-приложение Word отображает страницы в том размере, для которого они предназначены. Редактирование поддерживается для макетов Letter, Legal, Executive, A4, A5 и нестандартных размеров. Если вы знаете размеры стандартного размера бумаги, которого нет в списке, введите их в диалоговом окне «Размер бумаги». Например, чтобы редактировать макет страницы формата A3, установите нестандартный размер бумаги 11,69 дюйма в ширину и 16,54 дюйма в высоту (297 на 420 мм).
Поиск доступен как в режиме чтения, так и в режиме редактирования. Функция «Найти и заменить» доступна в режиме редактирования.
Примените один из нескольких уровней масштабирования в режимах редактирования и чтения.
Разрывы строк и страниц
Разрывы между строками и страницами отображаются в режиме чтения. В режиме редактирования разрывы страниц обозначаются пунктирными линиями.
Макет страницы сохраняется, но его нельзя изменить в веб-приложении Word. Вы можете увидеть сохраненные столбцы в режиме чтения.
Тема, цвет страницы, водяные знаки
Тема и фон страницы сохраняются в документе, но их нельзя изменить в Word для Интернета.
В Веб-приложении Word одновременно могут работать несколько авторов. Совместное редактирование работает в Word для Интернета или более поздней версии и Word для Mac 2011.
Просмотр
Так работает в Word для Интернета
Проверьте орфографию и грамматику, переведите документ и установите язык проверки. Веб-приложение Word не использует пользовательский словарь и не включает тезаурус.
Веб-приложение Word исправляет распространенные ошибки при вводе, например переключение букв в неправильном порядке (например, "те" заменяется на "эт"). не хотите, нажмите Ctrl+Z, чтобы отменить действие, или измените настройки в меню "Параметры автозамены".
Отслеживаемые изменения отображаются в режиме чтения. Чтобы включить или отключить отслеживание изменений, нажмите «Открыть в Word».
Объекты
Так работает в Word для Интернета
Вставляйте, редактируйте и переходите по гиперссылкам. Ссылки на закладки и перекрестные ссылки работают, и вы можете редактировать их отображаемый текст, но не место назначения, в Word для Интернета.
Вставить таблицы. Удалить по таблице, столбцу или строке; вставлять строки и столбцы; выравнивание текста ячейки слева, справа или по центру; объединять и разделять ячейки; отформатируйте границы, фон и стили таблиц. Другие функции таблицы, такие как размер ячейки и порядок сортировки, сохраняются в документе, но их нельзя настроить в Word для Интернета.
Вставьте изображения или клипы, хранящиеся на вашем компьютере или из Bing.Вы можете применить несколько стилей изображения, написать альтернативный текст, изменить размер, перетащить в новое место, обрезать и повернуть. Вы не можете создавать снимки экрана непосредственно в Word для Интернета, но снимки экрана в документе отображаются как изображения в Word для Интернета.
Фигуры, диаграммы, текстовые поля, SmartArt, WordArt
Они отображаются в документе, как и ожидалось, в режиме чтения. В режиме редактирования они отображаются как заполнители, которые можно удалять, но нельзя редактировать. Их нельзя перемещать или изменять в Word для Интернета.
Они отображаются в документе, как и ожидалось, в режиме чтения. В режиме редактирования они отображаются как заполнители, которые можно удалять, но нельзя редактировать. Их нельзя перемещать или изменять в Word для Интернета.
Поля, элементы управления содержимым, титульная страница
Они отображаются в документе, как и ожидалось, в режиме чтения. В режиме редактирования содержимое полей и элементов управления содержимым отображается, но его нельзя изменить или обновить. Титульная страница выглядит как ряд заполнителей для таких элементов, как текстовые поля.
Верхние и нижние колонтитулы, сноски, концевые сноски
Они отображаются в документе, как и ожидалось, в режиме чтения. Их можно просматривать и редактировать в режиме редактирования, но они не отображаются в документе.
Оглавление
Вы не можете вставить или удалить оглавление. Однако вы можете обновить существующие оглавления, чтобы отразить изменения, внесенные вами в документ. Чтобы вставить или удалить оглавление, используйте настольное приложение. Вы можете перемещаться по документу, используя оглавление как в режиме редактирования, так и в режиме чтения.
Они отображаются в документе, как и ожидалось, в режиме чтения. В режиме редактирования они отображаются как заполнители, которые можно удалить, но нельзя изменить или обновить.
Вы можете просматривать, редактировать, печатать и обмениваться документами, содержащими макросы, но для запуска макросов нажмите "Открыть в Word".
Элементы управления ActiveX, встроенные объекты OLE, строка подписи
Они отображаются в документе, как и ожидалось, в режиме чтения. В режиме редактирования они отображаются как заполнители, которые можно удалять, но нельзя редактировать. Их нельзя перемещать или изменять в Word для Интернета.
Связанные изображения, встроенные файлы
Они сохраняются в документе, но отображаются как заполнители в Word для Интернета.
Владение объектами S3 — это параметр на уровне корзины Amazon S3, который можно использовать для отключения списков управления доступом (ACL) и получения права собственности на каждый объект в корзине, что упрощает управление доступом к данным, хранящимся в Amazon S3. По умолчанию, когда другая учетная запись AWS загружает объект в вашу корзину S3, эта учетная запись (создатель объекта) владеет объектом, имеет к нему доступ и может предоставлять доступ к нему другим пользователям через списки управления доступом. Вы можете использовать Object Ownership, чтобы изменить это поведение по умолчанию. При владении объектами списки управления доступом отключены, и вы, как владелец корзины, автоматически владеете каждым объектом в своей корзине. В результате управление доступом к вашим данным основано на политиках, таких как политики IAM, политики сегментов S3, политики конечных точек виртуального частного облака (VPC) и политики управления службами AWS Organizations (SCP).
Большинство современных вариантов использования в Amazon S3 больше не требуют использования списков управления доступом, и мы рекомендуем отключать списки управления доступом, за исключением особых случаев, когда вам необходимо контролировать доступ для каждого объекта в отдельности. С помощью Object Ownership вы можете отключить ACL и полагаться на политики для управления доступом. Когда вы отключите списки ACL, вы сможете легко поддерживать корзину с объектами, загруженными разными учетными записями AWS. Вы, как владелец сегмента, владеете всеми объектами в сегменте и можете управлять доступом к ним с помощью политик.
В разделе "Власть объекта" есть три параметра, которые можно использовать для контроля владения объектами, загруженными в корзину, а также для отключения или включения списков управления доступом:
Списки контроля доступа отключены
Владелец корзины принудительно включен (рекомендуется). Списки управления доступом отключены, а владелец корзины автоматически становится владельцем и имеет полный контроль над каждым объектом в корзине. ACL больше не влияют на права доступа к данным в корзине S3. Сегмент использует политики для определения контроля доступа.
ACL включены
Предпочтителен владелец сегмента. Владелец сегмента владеет и имеет полный контроль над новыми объектами, которые другие учетные записи записывают в сегмент с помощью стандартного ACL-владельца сегмента.
Создание объекта (по умолчанию). Аккаунт AWS, который загружает объект, владеет этим объектом, имеет полный контроль над ним и может предоставлять другим пользователям доступ к нему через списки управления доступом.
Для большинства современных случаев использования в S3 мы рекомендуем отключать списки управления доступом, выбрав принудительную настройку владельца корзины, и использовать политику корзины для обмена данными с пользователями за пределами вашей учетной записи по мере необходимости. Такой подход упрощает управление разрешениями и аудит. Вы можете отключить ACL как для вновь созданных, так и для уже существующих корзин. В случае существующего сегмента, в котором уже есть объекты, после отключения списков ACL объекты и сегменты ACL больше не являются частью оценки доступа, а доступ предоставляется или запрещается на основе политик.Для существующих сегментов вы можете повторно включить списки управления доступом в любое время после их отключения, и ваши ранее существовавшие сегменты и объекты ACL будут восстановлены.
Прежде чем отключать списки управления доступом, мы рекомендуем вам просмотреть политику корзины, чтобы убедиться, что она распространяется на все способы, которыми вы намерены предоставлять доступ к своей корзине за пределами вашей учетной записи. Вы должны сбросить свой ACL корзины на значение по умолчанию (полный доступ к владельцу корзины). После отключения списков ACL ваша корзина будет принимать только запросы PUT, в которых не указан ACL, или запросы PUT с полными ACL-списками владельца корзины, такими как стандартная ACL-владелец-корзины с полным контролем или эквивалентные формы этой ACL, выраженные в XML. Существующие приложения, которые поддерживают списки управления доступом с полным доступом для владельца корзины, не будут затронуты. Запросы PUT, содержащие другие списки ACL (например, настраиваемые разрешения для определенных учетных записей AWS), завершаются сбоем и возвращают ошибку 400 с кодом ошибки AccessControlListNotSupported .
Наоборот, сегмент с предпочтительным параметром владельца сегмента продолжает принимать и соблюдать списки управления доступом для сегмента и объекта. При использовании этого параметра новые объекты, записанные с помощью стандартного ACL-владельца-владельца-полного-управления, автоматически принадлежат владельцу сегмента, а не автору объекта. Все остальные варианты поведения ACL остаются на месте. Чтобы все операции PUT в Amazon S3 включали в себя стандартный ACL-владелец корзины с полным контролем, вы можете добавить политику корзины, разрешающую загрузку объектов только с использованием этого ACL.
Настройки владения объектом
В этой таблице показано влияние каждого параметра владения объектами на списки управления доступом, объекты, владение объектами и загрузку объектов.
Списки управления доступом отключены и больше не влияют на права доступа к вашей корзине. Запросы на установку или обновление ACL завершаются неудачно. Однако запросы на чтение ACL поддерживаются.
Владелец сегмента имеет полное право собственности и контроля.
Создание объектов больше не имеет полного права собственности и контроля.
Объекты, загруженные с помощью других ACL, принадлежат учетной записи автора.
Списки контроля доступа можно обновлять и предоставлять разрешения.
Если загрузка объекта включает постоянный ACL-владелец сегмента с полным контролем, владелец сегмента имеет полный доступ к управлению, а автор объекта больше не имеет полного доступа к управлению.
Списки контроля доступа можно обновлять и предоставлять разрешения.
Запись объекта имеет полный доступ к управлению.
Изменения, связанные с отключением ACL
Когда вы применяете принудительную настройку владельца корзины для владения объектами, чтобы отключить списки управления доступом, вы автоматически владеете и получаете полный контроль над каждым объектом в корзине, не предпринимая никаких дополнительных действий. После применения этого параметра вы увидите три изменения:
Все списки управления доступом для сегментов и объектов отключены, что дает вам полный доступ как владельцу сегмента. Когда вы выполняете запрос ACL на чтение своего сегмента или объекта, вы увидите, что полный доступ предоставляется только владельцу сегмента.
Вы, как владелец сегмента, автоматически владеете каждым объектом в своем сегменте и имеете полный контроль над ним.
Списки управления доступом больше не влияют на права доступа к вашей корзине. В результате управление доступом к вашим данным основано на политиках, таких как политики IAM, политики сегментов S3, политики конечных точек VPC и SCP организаций.
Если вы используете управление версиями S3, владелец корзины владеет и имеет полный контроль над всеми версиями объектов в вашей корзине. Применение обязательного параметра владельца корзины не добавляет новую версию объекта.
Новые объекты можно загружать в корзину только в том случае, если они используют списки управления доступом с полным доступом владельца корзины или не указывают ACL. Загрузка объектов завершается ошибкой, если они указывают любой другой ACL. Дополнительную информацию см. в разделе Устранение неполадок.
Поскольку следующий пример операции PutObject с использованием интерфейса командной строки AWS (AWS CLI) включает постоянный ACL-владелец-корзины-полный доступ, объект можно загрузить в корзину с отключенными ACL.
Поскольку следующая операция PutObject не указывает ACL, она также завершается успешно для корзины с отключенными ACL.
Если другим аккаунтам AWS требуется доступ к объектам после загрузки, вы должны предоставить этим аккаунтам дополнительные разрешения с помощью политик корзины. Дополнительные сведения см. в разделе Примеры пошаговых руководств: управление доступом к ресурсам Amazon S3.
Повторное включение ACL
Вы можете в любое время снова включить списки управления доступом, изменив принудительную настройку владельца корзины на другую настройку владения объектом. Если вы использовали списки контроля доступа к объектам для управления разрешениями до того, как применили принудительный параметр владельца корзины, и вы не перенесли эти разрешения ACL для объектов в свою политику корзины, после повторного включения списков ACL эти разрешения будут восстановлены. Кроме того, объекты, записанные в корзину, когда была применена принудительная настройка владельца корзины, по-прежнему принадлежат владельцу корзины.
Например, если вы измените принудительную настройку владельца корзины обратно на средство записи объектов, вы, как владелец корзины, больше не будете владеть и иметь полный контроль над объектами, которые ранее принадлежали другим аккаунтам AWS. Вместо этого загружающие учетные записи снова владеют этими объектами. Объекты, принадлежащие другим учетным записям, используют ACL для разрешений, поэтому вы не можете использовать политики для предоставления разрешений этим объектам. Однако вы, как владелец корзины, по-прежнему владеете всеми объектами, которые были записаны в корзину, пока применялась принудительная настройка владельца корзины. Эти объекты не принадлежат автору объекта, даже если вы повторно включите ACL.
Необходимые условия для отключения ACL
Прежде чем отключить списки управления доступом для существующего сегмента, выполните следующие предварительные условия.
Просмотреть списки управления доступом для сегментов и объектов и перенести разрешения списков управления доступом
При отключении списков управления доступом разрешения, предоставляемые списками управления доступом для сегментов и объектов, больше не влияют на доступ. Прежде чем отключать списки управления доступом, просмотрите списки управления доступом к корзине и объектам. Если ваши списки ACL сегмента предоставляют разрешения на чтение или запись другим пользователям за пределами вашей учетной записи, вы должны перенести эти разрешения в свою политику сегмента, прежде чем сможете применить принудительный параметр владельца сегмента. Если вы не перенесете списки ACL корзины, которые предоставляют доступ для чтения или записи за пределами вашей учетной записи, ваш запрос на применение принудительной настройки владельца корзины завершится ошибкой и будет возвращен код ошибки InvalidBucketAclWithObjectOwnership.
Например, если вы хотите отключить списки ACL для корзины, которая получает журналы доступа к серверу, необходимо перенести разрешения ACL корзины для группы доставки журналов S3 в субъект-службу ведения журналов в политике корзины. Дополнительные сведения см. в статье Предоставление доступа к группе доставки журнала S3 для ведения журнала доступа к серверу.
Если вы хотите, чтобы модуль записи объектов сохранял полный контроль над загружаемым им объектом, лучше всего для вашего случая использования параметр "Владение объектами" лучше всего подходит для модуля записи объектов. Если вы хотите контролировать доступ на уровне отдельных объектов, лучше всего выбрать владельца корзины. Эти варианты использования встречаются редко.
Чтобы просмотреть списки управления доступом и перенести разрешения списков управления доступом в политики сегментов, см. раздел Необходимые условия для отключения списков управления доступом.
Просмотрите и обновите политики сегментов, в которых используются условные ключи, связанные с ACL
После того как вы примените принудительный параметр владельца корзины для отключения списков управления доступом, новые объекты можно будет загружать в вашу корзину только в том случае, если в запросе используются списки контроля доступа владельца корзины с полным доступом или ACL не указан. Прежде чем отключать списки управления доступом, ознакомьтесь с политикой корзины на наличие ключей условий, связанных со списками управления доступом.
Если ваша политика сегмента использует ключ условия, связанный с ACL, для требования стандартного ACL-владельца сегмента с полным контролем (например, s3:x-amz-acl ), вам не нужно обновлять политику сегмента. Следующая политика корзины использует s3:x-amz-acl, чтобы потребовать постоянный ACL-владелец корзины с полным контролем для запросов S3 PutObject. Эта политика по-прежнему требует от автора объекта указать постоянный ACL-список-владелец-корзины. Однако сегменты с отключенными ACL-списками по-прежнему принимают этот ACL-список, поэтому запросы продолжают успешно выполняться без каких-либо изменений на стороне клиента.
Однако, если ваша политика корзины использует связанный с ACL условный ключ, для которого требуется другой ACL, вы должны удалить этот условный ключ. Для этого примера политики корзины требуется общедоступный список управления доступом для запросов S3 PutObject, поэтому его необходимо обновить перед отключением списков управления доступом.
Разрешения на владение объектом
Чтобы применить, обновить или удалить параметр владения объектом для корзины, вам необходимо разрешение s3:PutBucketOwnershipControls. Чтобы вернуть параметр владения объектом для корзины, необходимо разрешение s3:GetBucketOwnershipControls. Дополнительные сведения см. в разделах Установка права собственности на объект при создании корзины и Просмотр настройки принадлежности объекта для корзины S3.
Отключение ACL для всех новых сегментов
Вы можете потребовать, чтобы все новые сегменты создавались с отключенными списками контроля доступа с помощью политик IAM или организаций. Вы можете использовать условный ключ s3:x-amz-object-ownership в политике IAM или Organizations, чтобы требовать обязательной настройки владельца корзины для владения объектами во всех вновь созданных корзинах. Требуя обязательной настройки владельца корзины, вы гарантируете, что ACL отключены для всех новых корзин в вашей учетной записи или организации. Дополнительные сведения см. в разделе Отключение списков ACL для всех новых сегментов (принудительный владелец сегмента).
Репликация и владение объектами
Если вы используете репликацию S3, а исходная и целевая корзины принадлежат разным аккаунтам AWS, вы можете отключить списки управления доступом (с принудительной настройкой владельца корзины для владения объектами), чтобы сменить владельца реплики на учетную запись AWS, которой принадлежит целевая корзина. Этот параметр имитирует существующее поведение переопределения владельца без необходимости разрешения s3:ObjectOwnerOverrideToBucketOwner. Все объекты, которые реплицируются в целевое ведро с принудительной настройкой владельца ведра, принадлежат владельцу целевого ведра. Дополнительные сведения о параметре переопределения владельца для конфигураций репликации см. в разделе Изменение владельца реплики.
Если вы используете параметр записи объекта по умолчанию для права собственности на объект или применяете предпочтительный параметр владельца сегмента для целевого сегмента, вы можете использовать параметр переопределения владельца репликации Amazon S3, чтобы передать право собственности на реплицированные объекты владельцу целевого сегмента.
Установка права собственности на объект
Вы можете применить настройку владения объектом с помощью консоли S3, AWS CLI, AWS SDK, Amazon S3 REST API или AWS CloudFormation. Следующие команды REST API и AWS CLI поддерживают владение объектами:
Дополнительную информацию о применении и работе с настройками владения объектами см. в следующих разделах.
Читайте также: