Acceso a los datos de S3 mediante credenciales que suministran las concesiones de acceso a S3
Una vez que el beneficiario obtiene las credenciales temporales mediante su concesión de acceso, puede utilizarlas para llamar a las operaciones de la API de Amazon S3 para acceder a sus datos.
Los beneficiarios pueden obtener acceso a los datos de S3 a través de AWS Command Line Interface (AWS CLI), los SDK de AWS y la API de REST de Amazon S3. Además, puede usar los complementos de AWS Python
Una vez que el beneficiario obtiene sus credenciales temporales de S3 Access Grants, puede configurar un perfil con estas credenciales para recuperar los datos.
Para instalar AWS CLI, consulte Instalación de AWS CLI en la Guía del usuario de AWS Command Line Interface.
Para utilizar los comandos de ejemplo siguientes, sustituya user input
placeholders
ejemplo — Configurar un perfil
aws configure set aws_access_key_id "$accessKey" --profileaccess-grants-consumer-access-profileaws configure set aws_secret_access_key "$secretKey" --profileaccess-grants-consumer-access-profileaws configure set aws_session_token "$sessionToken" --profileaccess-grants-consumer-access-profile
Para utilizar el comando de ejemplo siguiente, sustituya user input
placeholders
ejemplo – Obtener los datos de S3
El beneficiario puede usar el comando get-objectAWS CLI para acceder a los datos. El beneficiario también puede usar put-object, ls y otros comandos de AWS CLI de S3.
aws s3api get-object \ --bucketamzn-s3-demo-bucket1\ --keymyprefix\ --regionus-east-2\ --profileaccess-grants-consumer-access-profile
En esta sección se proporcionan ejemplos de cómo los beneficiarios pueden acceder a sus datos de S3 mediante los SDK de AWS.
Acciones de S3 compatibles en concesiones de acceso a S3
Un beneficiario puede usar la credencial temporal que entregan las concesiones de acceso a S3 para realizar acciones de S3 en los datos de S3 a los que tiene acceso. A continuación, se muestra una lista de las acciones de S3 permitidas que un beneficiario puede realizar. Las acciones permitidas dependen del nivel de permiso otorgado en la concesión de acceso, ya sea READ, WRITE o READWRITE.
nota
Además de los permisos de Amazon S3 que se indican a continuación, Amazon S3 puede llamar al permiso READ de AWS Key Management Service (AWS KMS) Descifrar (kms:decrypt) o al permiso WRITE de AWS KMS GenerateDataKey (kms:generateDataKey). Estos permisos no permiten el acceso directo a la clave de AWS KMS.
| Acción de IAM de S3 | Acción y documentación de la API | Permiso de concesiones de acceso a S3 | Recurso de S3 |
|---|---|---|---|
s3:GetObject |
GetObject | READ |
Objeto |
s3:GetObjectVersion |
GetObject | READ |
Objeto |
s3:GetObjectAcl |
GetObjectAcl | READ |
Objeto |
s3:GetObjectVersionAcl |
GetObjectAcl | READ |
Objeto |
s3:ListMultipartUploads |
ListParts | READ |
Objeto |
s3:PutObject |
PutObject, CreateMultipartUpload, UploadPart, UploadPartCopy, CompleteMultipartUpload | WRITE |
Objeto |
s3:PutObjectAcl |
PutObjectAcl | WRITE |
Objeto |
s3:PutObjectVersionAcl |
PutObjectAcl | WRITE |
Objeto |
s3:DeleteObject |
DeleteObject | WRITE |
Objeto |
s3:DeleteObjectVersion |
DeleteObject | WRITE |
Objeto |
s3:AbortMultipartUpload |
AbortMultipartUpload | WRITE |
Objeto |
s3:ListBucket |
HeadBucket, ListObjectsV2, ListObjects | READ |
Bucket |
s3:ListBucketVersions |
ListObjectVersions | READ |
Bucket |
s3:ListBucketMultipartUploads |
ListMultipartUploads | READ |
Bucket |
