Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Accès aux données S3 à l'aide des informations d'identification fournies par S3 Access Grants
Une fois qu'un bénéficiaire a obtenu des informations d'identification temporaires par le biais de son autorisation d'accès, il peut utiliser ces informations d'identification temporaires pour appeler les API opérations Amazon S3 afin d'accéder à vos données.
Les bénéficiaires peuvent accéder aux données S3 en utilisant le AWS Command Line Interface (AWS CLI) AWS SDKs, le et Amazon S3 RESTAPI. En outre, vous pouvez utiliser les plugins AWS Python
Une fois que le bénéficiaire a obtenu ses informations d’identification temporaires auprès des octrois d’accès S3, il peut configurer un profil avec ces informations d’identification pour récupérer les données.
Pour l'installer AWS CLI, reportez-vous à la section Installation du AWS CLI dans le guide de AWS Command Line Interface l'utilisateur.
Pour utiliser les exemples de commandes suivants, remplacez les user input
placeholders
Exemple : Configurer un profil
aws configure set aws_access_key_id "$accessKey" --profileaccess-grants-consumer-access-profileaws configure set aws_secret_access_key "$secretKey" --profileaccess-grants-consumer-access-profileaws configure set aws_session_token "$sessionToken" --profileaccess-grants-consumer-access-profile
Pour utiliser l'exemple de commande suivant, remplacez user input
placeholders
Exemple : Obtenir les données S3
Le bénéficiaire peut utiliser le get-object AWS CLI commande pour accéder aux données. Le bénéficiaire peut également utiliser put-object, ls, et d'autres AWS CLI commandes S3.
aws s3api get-object \ --bucketamzn-s3-demo-bucket1\ --keymyprefix\ --regionus-east-2\ --profileaccess-grants-consumer-access-profile
Cette section fournit des exemples de la manière dont les bénéficiaires peuvent accéder à vos données S3 à l'aide du AWS SDKs.
Actions S3 prises en charge dans les autorisations d'accès S3
Un bénéficiaire peut utiliser les informations d'identification temporaires fournies par S3 Access Grants pour effectuer des actions S3 sur les données S3 auxquelles il a accès. Voici une liste des actions S3 autorisées qu'un bénéficiaire peut effectuer. Les actions autorisées dépendent du niveau d'autorisation accordé dans l'autorisation d'accès, soit READWRITE, soitREADWRITE.
Note
Outre les autorisations Amazon S3 répertoriées ci-dessous, Amazon S3 peut appeler l'autorisation AWS Key Management Service (AWS KMS) Decrypt (kms:decrypt) ou l'READautorisation AWS KMS GenerateDataKey(kms:generateDataKey)WRITE. Ces autorisations ne permettent pas d'accéder directement à la AWS KMS clé.
| IAMAction S3 | APIaction et documentation | S3 Access accorde l'autorisation | Ressource S3 |
|---|---|---|---|
s3:GetObject |
GetObject | READ |
Objet |
s3:GetObjectVersion |
GetObject | READ |
Objet |
s3:GetObjectAcl |
GetObjectAcl | READ |
Objet |
s3:GetObjectVersionAcl |
GetObjectAcl | READ |
Objet |
s3:ListMultipartUploads |
ListParts | READ |
Objet |
s3:PutObject |
PutObject, CreateMultipartUpload, UploadPart, UploadPartCopy, CompleteMultipartUpload | WRITE |
Objet |
s3:PutObjectAcl |
PutObjectAcl | WRITE |
Objet |
s3:PutObjectVersionAcl |
PutObjectAcl | WRITE |
Objet |
s3:DeleteObject |
DeleteObject | WRITE |
Objet |
s3:DeleteObjectVersion |
DeleteObject | WRITE |
Objet |
s3:AbortMultipartUpload |
AbortMultipartUpload | WRITE |
Objet |
s3:ListBucket |
HeadBucket, ListObjectsV2, ListObjects | READ |
Compartiment |
s3:ListBucketVersions |
ListObjectVersions | READ |
Compartiment |
s3:ListBucketMultipartUploads |
ListMultipartUploads | READ |
Compartiment |
