Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Konsep S3 Access Grants
S3 Access Grants memperkenalkan konsep-konsep berikut untuk skema aksesnya yang disederhanakan:
- Instans S3 Access Grants
-
Instans S3 Access Grants adalah kontainer logis untuk masing-masing pemberian yang menentukan siapa yang memiliki tingkat akses apa ke data Amazon S3 apa. Anda dapat memiliki satu instans S3 Access Grants per Wilayah AWS per Akun AWS. Anda menggunakan instance S3 Access Grants ini untuk mengontrol akses ke semua bucket di akun yang sama dan. Wilayah AWS Jika Anda ingin menggunakan S3 Access Grants untuk memberikan akses ke identitas pengguna dan grup di direktori perusahaan Anda, Anda juga harus mengaitkan instance S3 Access Grants Anda dengan instans Pusat Identitas AWS Identity and Access Management (IAM).
- Lokasi
-
Lokasi menentukan data mana yang dapat diberikan akses oleh instans S3 Access Grants Anda. S3 Access Grants bekerja dengan menjual kredensial IAM dengan akses tercakup ke prefiks, bucket, atau S3 Object tertentu. Anda mengaitkan lokasi S3 Access Grants dengan peran IAM, dari mana sesi sementara ini dibuat. Konfigurasi lokasi yang paling umum adalah satu lokasi di
s3://
untuk seluruh instans S3 Access Grants, yang dapat mencakup akses ke semua bucket S3 di akun dan Wilayah AWS. Anda juga dapat membuat beberapa lokasi di instans S3 Access Grants. Misalnya, Anda dapat mendaftarkan bucket sebagai lokasis3://DOC-EXAMPLE-BUCKET1
hibah yang ingin Anda batasi ke bucket ini, dan Anda juga dapat mendaftarkan lokasis3://
default. - Izin
-
Untuk mempersempit ruang lingkup akses dalam suatu lokasi, Anda membuat pemberian individual. Pemberian individu dalam instans S3 Access Grants memungkinkan entitas tertentu—pengguna utama IAM, atau pengguna atau grup di direktori perusahaan—mengakses prefiks, bucket, atau objek Amazon S3. Untuk setiap pemberian, Anda dapat menentukan cakupan yang berbeda (prefiks, bucket, atau objek) dan tingkat akses (
READ
,WRITE
, atauREADWRITE
). Misalnya, Anda mungkin memiliki pemberian yang memungkinkan grup direktori perusahaan tertentu,01234567-89ab-cdef-0123-456789abcdef
READ
akses kes3://DOC-EXAMPLE-BUCKET1/projects/items/*
. Hibah ini memberikan pengguna di grup tersebutREAD
akses ke setiap objek yang memiliki nama kunci dengan prefiksprojects/items/
di bucket bernamaDOC-EXAMPLE-BUCKET1
. - Akses S3 memberikan kredensial sementara
-
Aplikasi dapat meminta kredensyal just-in-time akses dengan memanggil operasi API S3 baru, GetDataAccess, untuk meminta akses ke satu objek, awalan, atau bucket dengan tingkat izin,, atau.
READ
WRITE
READWRITE
Instans S3 Access Grants mengevaluasi permintaanGetDataAccess
terhadap pemberian yang dimilikinya. Jika ada pemberian yang cocok, S3 Access Grants mengasumsikan peran IAM yang terkait dengan lokasi pemberian yang cocok. S3 Access Grants kemudian mencakup izin sesi IAM ke bucket, prefiks, atau S3 Object yang ditentukan oleh cakupan pemberian. Waktu kedaluwarsa kredensyal akses sementara default menjadi 1 jam, tetapi Anda dapat mengaturnya ke nilai apa pun dari 15 menit hingga 12 jam.
Cara kerjanya
Dalam diagram berikut, lokasi Amazon S3 default dengan cakupan s3://
terdaftar dengan peran IAM s3ag-location-role
. Peran IAM ini memiliki izin untuk melakukan tindakan Amazon S3 dalam akun saat kredensialnya diperoleh melalui S3 Access Grants.
Di lokasi ini, dua pemberian akses individu dibuat untuk dua pengguna IAM. Pengguna IAM Bob diberikan keduanya READ
dan WRITE
akses pada bob/
prefiks di bucket DOC-BUCKET-EXAMPLE
. Peran IAM lainnya, Alice, hanya diberikan READ
akses pada alice/
awalan di ember. DOC-BUCKET-EXAMPLE
Hibah, berwarna biru, didefinisikan untuk Bob untuk mengakses prefiks bob/
di DOC-BUCKET-EXAMPLE
bucket. Hibah, berwarna hijau, didefinisikan untuk Alice untuk mengakses prefiks alice/
di DOC-BUCKET-EXAMPLE
bucket.
Saat tiba waktunya bagi Bob untuk melakukan READ
data, peran IAM yang terkait dengan lokasi hibahnya memanggil operasi S3 Access Grants API GetDataAccess. Jika Bob mencoba READ
prefiks atau S3 Object yang dimulai dengans3://DOC-BUCKET-EXAMPLE/bob/*
, GetDataAccess
permintaan mengembalikan satu set kredensial sesi IAM sementara dengan izin untuk s3://DOC-BUCKET-EXAMPLE/bob/*
. Demikian pula, Bob dapat WRITE
ke prefiks atau S3 Object apa pun yang dimulai dengan s3://DOC-BUCKET-EXAMPLE/bob/*
, karena pemberian juga memungkinkan itu.
Demikian pula, Alice bisa READ
apa saja yang dimulai dengan s3://DOC-BUCKET-EXAMPLE/alice/
. Namun, jika dia mencoba WRITE
apa pun ke bucket, prefiks, atau objek apa pun s3://
, dia akan mendapatkan kesalahan Access Denied (403 Forbidden), karena tidak ada pemberian yang memberikannya WRITE
akses ke data apa pun. Selain itu, jika Alice meminta tingkat akses apa pun (READ
atau WRITE
) ke data di luar s3://DOC-BUCKET-EXAMPLE/alice/
, dia akan kembali menerima kesalahan Akses Ditolak.
![Cara kerja Hibah Akses S3](images/s3ag-how-it-works.png)
Pola ini menskalakan ke sejumlah besar pengguna dan bucket dan menyederhanakan pengelolaan izin tersebut. Daripada mengedit kebijakan bucket S3 yang berpotensi besar setiap kali Anda ingin menambahkan atau menghapus hubungan akses prefiks pengguna individual, Anda dapat menambahkan dan menghapus masing-masing pemberian terpisah.