Konsep S3 Access Grants - Amazon Simple Storage Service
Cara kerjanya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konsep S3 Access Grants

S3 Access Grants memperkenalkan konsep-konsep berikut untuk skema aksesnya yang disederhanakan:

Instans S3 Access Grants

Instans S3 Access Grants adalah kontainer logis untuk masing-masing pemberian yang menentukan siapa yang memiliki tingkat akses apa ke data Amazon S3 apa. Anda dapat memiliki satu instans S3 Access Grants per Wilayah AWS per Akun AWS. Anda menggunakan instance S3 Access Grants ini untuk mengontrol akses ke semua bucket di akun yang sama dan. Wilayah AWS Jika Anda ingin menggunakan S3 Access Grants untuk memberikan akses ke identitas pengguna dan grup di direktori perusahaan Anda, Anda juga harus mengaitkan instance S3 Access Grants Anda dengan instans Pusat Identitas AWS Identity and Access Management (IAM).

Lokasi

Lokasi menentukan data mana yang dapat diberikan akses oleh instans S3 Access Grants Anda. S3 Access Grants bekerja dengan menjual kredensial IAM dengan akses tercakup ke prefiks, bucket, atau S3 Object tertentu. Anda mengaitkan lokasi S3 Access Grants dengan peran IAM, dari mana sesi sementara ini dibuat. Konfigurasi lokasi yang paling umum adalah satu lokasi di s3:// untuk seluruh instans S3 Access Grants, yang dapat mencakup akses ke semua bucket S3 di akun dan Wilayah AWS. Anda juga dapat membuat beberapa lokasi di instans S3 Access Grants. Misalnya, Anda dapat mendaftarkan bucket sebagai lokasi s3://DOC-EXAMPLE-BUCKET1 hibah yang ingin Anda batasi ke bucket ini, dan Anda juga dapat mendaftarkan lokasi s3:// default.

Izin

Untuk mempersempit ruang lingkup akses dalam suatu lokasi, Anda membuat pemberian individual. Pemberian individu dalam instans S3 Access Grants memungkinkan entitas tertentu—pengguna utama IAM, atau pengguna atau grup di direktori perusahaan—mengakses prefiks, bucket, atau objek Amazon S3. Untuk setiap pemberian, Anda dapat menentukan cakupan yang berbeda (prefiks, bucket, atau objek) dan tingkat akses (READ, WRITE, atau READWRITE). Misalnya, Anda mungkin memiliki pemberian yang memungkinkan grup direktori perusahaan tertentu, 01234567-89ab-cdef-0123-456789abcdef READ akses ke s3://DOC-EXAMPLE-BUCKET1/projects/items/*. Hibah ini memberikan pengguna di grup tersebut READ akses ke setiap objek yang memiliki nama kunci dengan prefiks projects/items/ di bucket bernama DOC-EXAMPLE-BUCKET1.

Akses S3 memberikan kredensial sementara

Aplikasi dapat meminta kredensyal just-in-time akses dengan memanggil operasi API S3 baru, GetDataAccess, untuk meminta akses ke satu objek, awalan, atau bucket dengan tingkat izin,, atau. READ WRITE READWRITE Instans S3 Access Grants mengevaluasi permintaan GetDataAccess terhadap pemberian yang dimilikinya. Jika ada pemberian yang cocok, S3 Access Grants mengasumsikan peran IAM yang terkait dengan lokasi pemberian yang cocok. S3 Access Grants kemudian mencakup izin sesi IAM ke bucket, prefiks, atau S3 Object yang ditentukan oleh cakupan pemberian. Waktu kedaluwarsa kredensyal akses sementara default menjadi 1 jam, tetapi Anda dapat mengaturnya ke nilai apa pun dari 15 menit hingga 12 jam.

Cara kerjanya

Dalam diagram berikut, lokasi Amazon S3 default dengan cakupan s3:// terdaftar dengan peran IAM s3ag-location-role. Peran IAM ini memiliki izin untuk melakukan tindakan Amazon S3 dalam akun saat kredensialnya diperoleh melalui S3 Access Grants.

Di lokasi ini, dua pemberian akses individu dibuat untuk dua pengguna IAM. Pengguna IAM Bob diberikan keduanya READ dan WRITE akses pada bob/ prefiks di bucket DOC-BUCKET-EXAMPLE. Peran IAM lainnya, Alice, hanya diberikan READ akses pada alice/ awalan di ember. DOC-BUCKET-EXAMPLE Hibah, berwarna biru, didefinisikan untuk Bob untuk mengakses prefiks bob/ di DOC-BUCKET-EXAMPLE bucket. Hibah, berwarna hijau, didefinisikan untuk Alice untuk mengakses prefiks alice/ di DOC-BUCKET-EXAMPLE bucket.

Saat tiba waktunya bagi Bob untuk melakukan READ data, peran IAM yang terkait dengan lokasi hibahnya memanggil operasi S3 Access Grants API GetDataAccess. Jika Bob mencoba READ prefiks atau S3 Object yang dimulai dengans3://DOC-BUCKET-EXAMPLE/bob/*, GetDataAccess permintaan mengembalikan satu set kredensial sesi IAM sementara dengan izin untuk s3://DOC-BUCKET-EXAMPLE/bob/*. Demikian pula, Bob dapat WRITE ke prefiks atau S3 Object apa pun yang dimulai dengan s3://DOC-BUCKET-EXAMPLE/bob/*, karena pemberian juga memungkinkan itu.

Demikian pula, Alice bisa READ apa saja yang dimulai dengan s3://DOC-BUCKET-EXAMPLE/alice/. Namun, jika dia mencoba WRITE apa pun ke bucket, prefiks, atau objek apa pun s3://, dia akan mendapatkan kesalahan Access Denied (403 Forbidden), karena tidak ada pemberian yang memberikannya WRITE akses ke data apa pun. Selain itu, jika Alice meminta tingkat akses apa pun (READ atau WRITE) ke data di luar s3://DOC-BUCKET-EXAMPLE/alice/, dia akan kembali menerima kesalahan Akses Ditolak.

Cara kerja Hibah Akses S3

Pola ini menskalakan ke sejumlah besar pengguna dan bucket dan menyederhanakan pengelolaan izin tersebut. Daripada mengedit kebijakan bucket S3 yang berpotensi besar setiap kali Anda ingin menambahkan atau menghapus hubungan akses prefiks pengguna individual, Anda dapat menambahkan dan menghapus masing-masing pemberian terpisah.