Contoh 4 - Pemilik bucket memberikan izin lintas akun ke objek yang tidak dimilikinya - Amazon Simple Storage Service
Memahami izin lintas akun dan menggunakan peran IAMLangkah 0: Bersiap-siap untuk panduanLangkah 1: Melakukan tugas Akun ALangkah 2: Melakukan tugas Akun BLangkah 3: Lakukan tugas Akun CLangkah 4: MembersihkanSumber daya terkait

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Contoh 4 - Pemilik bucket memberikan izin lintas akun ke objek yang tidak dimilikinya

Dalam skenario contoh ini, Anda memiliki ember dan Anda telah mengaktifkan yang lain Akun AWS untuk mengunggah objek. Jika Anda telah menerapkan pengaturan yang diberlakukan pemilik bucket untuk Kepemilikan Objek S3 untuk bucket, Anda akan memiliki semua objek di bucket, termasuk objek yang ditulis oleh objek lain Akun AWS. Pendekatan ini menyelesaikan masalah bahwa objek tidak dimiliki oleh Anda, pemilik ember. Kemudian, Anda dapat mendelegasikan izin kepada pengguna di akun Anda sendiri atau ke orang lain Akun AWS. Misalkan pengaturan yang diberlakukan pemilik bucket untuk Kepemilikan Objek S3 tidak diaktifkan. Artinya, ember Anda dapat memiliki benda-benda yang lain Akun AWS sendiri.

Sekarang, seandainya sebagai pemilik bucket, Anda perlu memberikan izin lintas akun atas objek, terlepas dari siapa pemilik objek itu, kepada pengguna yang ada di akun lain. Sebagai contoh, pengguna tersebut bisa berupa aplikasi penagihan yang memerlukan akses terhadap metadata objek. Ada dua masalah inti:

  • Pemilik bucket tidak memiliki izin pada objek yang dibuat oleh orang lain Akun AWS. Agar pemilik bucket dapat memberikan izin pada objek yang tidak dimilikinya, pemilik objek harus terlebih dahulu memberikan izin kepada pemilik bucket. Pemilik objek adalah Akun AWS yang menciptakan objek. Pemilik bucket dapat mendelegasikan izin tersebut.

  • Akun pemilik bucket dapat mendelegasikan izin kepada pengguna di akunnya sendiri (lihatContoh 3: Pemilik bucket yang memberikan izin kepada penggunanya ke objek yang bukan miliknya). Namun, akun pemilik bucket tidak dapat mendelegasikan izin ke akun lain Akun AWS karena delegasi lintas akun tidak didukung.

Dalam skenario ini, pemilik bucket dapat membuat AWS Identity and Access Management (IAM) peran dengan izin untuk mengakses objek Kemudian, pemilik bucket dapat memberikan yang lain Akun AWS izin untuk mengambil peran, untuk sementara mengaktifkannya mengakses objek di ember.

catatan

S3 Object Ownership adalah setelan tingkat ember Amazon S3 yang dapat Anda gunakan untuk mengontrol kepemilikan objek yang diunggah ke bucket dan untuk menonaktifkan atau mengaktifkan. ACLs Secara default, Kepemilikan Objek disetel ke setelan diberlakukan pemilik Bucket, dan semuanya ACLs dinonaktifkan. Ketika ACLs dinonaktifkan, pemilik bucket memiliki semua objek di bucket dan mengelola akses ke mereka secara eksklusif dengan menggunakan kebijakan manajemen akses.

Mayoritas kasus penggunaan modern di Amazon S3 tidak lagi memerlukan penggunaan. ACLs Kami menyarankan agar Anda tetap ACLs dinonaktifkan, kecuali dalam keadaan yang tidak biasa di mana Anda perlu mengontrol akses untuk setiap objek secara individual. Dengan ACLs dinonaktifkan, Anda dapat menggunakan kebijakan untuk mengontrol akses ke semua objek di bucket, terlepas dari siapa yang mengunggah objek ke bucket Anda. Untuk informasi selengkapnya, lihat Mengontrol kepemilikan objek dan menonaktifkan bucket ACLs Anda.

Memahami izin lintas akun dan menggunakan peran IAM

IAMperan memungkinkan beberapa skenario untuk mendelegasikan akses ke sumber daya Anda, dan akses lintas akun adalah salah satu skenario utama. Dalam contoh ini, pemilik bucket, Akun A, menggunakan IAM peran untuk mendelegasikan sementara akses objek lintas akun ke pengguna di akun lain Akun AWS, Akun C. Setiap IAM peran yang Anda buat memiliki dua kebijakan berikut yang melekat padanya:

  • Kebijakan kepercayaan yang mengidentifikasi orang lain Akun AWS yang dapat mengambil peran.

  • Kebijakan akses yang menentukan izin—misalnya, s3:GetObject—yang diperkenankan saat seseorang mengambil peran tersebut. Untuk daftar izin yang dapat Anda tentukan dalam kebijakan, lihat Tindakan kebijakan untuk Amazon S3.

Bagian Akun AWS diidentifikasi dalam kebijakan kepercayaan kemudian memberikan izin penggunanya untuk mengambil peran tersebut. Pengguna kemudian dapat melakukan hal-hal berikut untuk mengakses objek:

  • Mengambil peran dan, sebagai tanggapan, mendapatkan kredensial keamanan sementara.

  • Dengan menggunakan kredensial keamanan sementara, pengguna dapat mengakses objek yang ada dalam bucket.

Untuk informasi selengkapnya tentang IAM peran, lihat IAMPeran di Panduan IAM Pengguna.

Berikut ini adalah ringkasan dari langkah-langkah penelusuran:

Izin lintas akun menggunakan IAM peran.

  1. Akun Pengguna administrator melampirkan kebijakan bucket yang memberikan izin bersyarat kepada Akun B untuk mengunggah objek.

  2. Administrator membuat IAM peran, membangun kepercayaan dengan Akun C, sehingga pengguna di akun tersebut dapat mengakses Akun A. Kebijakan akses yang dilampirkan pada peran membatasi apa yang dapat dilakukan pengguna di Akun C ketika pengguna mengakses Akun A.

  3. Administrator Akun B mengunggah objek ke bucket yang dimiliki oleh Akun A, memberikan izin kendali penuh kepada pemilik bucket.

  4. Administrator Akun C membuat pengguna dan melampirkan kebijakan pengguna yang memungkinkan pengguna untuk mengambil peran tersebut.

  5. Pengguna di Akun C terlebih dahulu harus mengambil peran tersebut, yang akan mengembalikan kredensial keamanan sementara kepada pengguna. Menggunakan kredensial sementara, pengguna kemudian dapat mengakses objek dalam bucket.

Untuk contoh ini, Anda memerlukan tiga akun. Tabel berikut menunjukkan cara kami merujuk akun-akun ini, dan pengguna administrator yang ada dalam akun-akun tersebut. Sesuai dengan IAM pedoman (lihatTentang menggunakan pengguna administrator untuk membuat sumber daya dan memberikan izin), kami tidak menggunakan Pengguna root akun AWS kredensi dalam panduan ini. Sebagai gantinya, Anda membuat pengguna administrator di setiap akun dan menggunakan kredensial tersebut saat membuat sumber daya dan memberikan mereka izin.

Akun AWS ID Akun disebut sebagai Pengguna administrator pada akun

1111-1111-1111

Akun A

AccountAadmin

2222-2222-2222

Akun B

AccountBadmin

3333-3333-3333

Akun C

AccountCadmin

Langkah 0: Bersiap-siap untuk panduan

catatan

Anda mungkin ingin membuka editor teks, dan menuliskan beberapa informasi saat Anda melalui langkah-langkahnya. Secara khusus, Anda akan memerlukan akunIDs, pengguna kanonikIDs, IAM pengguna Masuk URLs untuk setiap akun untuk terhubung ke konsol, dan Nama Sumber Daya Amazon (ARNs) IAM pengguna, dan peran.

  1. Pastikan Anda memiliki tiga Akun AWS dan setiap akun memiliki satu pengguna administrator seperti yang ditunjukkan pada tabel di bagian sebelumnya.

    1. Daftar untuk Akun AWS, sesuai kebutuhan. Kami menyebut akun ini sebagai Akun A, Akun B, dan Akun C.

    2. Menggunakan kredensi Akun A, masuk ke IAMkonsol dan lakukan hal berikut untuk membuat pengguna administrator:

      • Buat pengguna AccountAadmin dan catat kredensi keamanannya. Untuk informasi selengkapnya tentang menambahkan pengguna, lihat Membuat IAM pengguna di Akun AWS di Panduan Pengguna IAM.

      • Berikan hak administrator AccountAadmindengan melampirkan kebijakan pengguna yang memberikan akses penuh. Untuk petunjuk, lihat Mengelola IAM kebijakan di Panduan IAM Pengguna.

      • Di Dasbor IAM Konsol, perhatikan IAMUser Sign-In URL. Pengguna di akun ini harus menggunakan ini URL saat masuk ke AWS Management Console. Untuk informasi selengkapnya, lihat Masuk ke AWS Management Console sebagai IAM pengguna di Panduan IAM Pengguna.

    3. Ulangi langkah-langkah sebelumnya untuk membuat pengguna administrator di Akun B dan Akun C.

  2. Untuk Akun C, catat ID pengguna kanonik.

    Saat Anda membuat IAM peran di Akun A, kebijakan trust memberikan izin Akun C untuk mengambil peran dengan menentukan ID akun. Anda dapat menemukan informasi akun seperti berikut ini:

    1. Gunakan Anda Akun AWS ID atau alias akun, nama IAM pengguna, dan kata sandi untuk masuk ke konsol Amazon S3.

    2. Pilih nama bucket Amazon S3 untuk melihat detail tentang bucket tersebut.

    3. Pilih tab Izin dan kemudian pilih Daftar Kontrol Akses.

    4. Dalam Akses untuk Anda Akun AWSbagian, di kolom Akun adalah pengenal panjang, sepertic1daexampleaaf850ea79cf0430f33d72579fd1611c97f7ded193374c0b163b6. Ini adalah ID pengguna kanonis Anda.

  3. Saat membuat kebijakan bucket, Anda akan memerlukan informasi berikut. Perhatikan nilai-nilai ini:

    • ID pengguna Kanonik Akun A–Ketika administrator Akun A memberikan izin unggah objek bersyarat kepada administrator Akun B, kondisinya menetapkan ID pengguna kanonik dari Akun A yang harus mendapatkan kontrol penuh atas objek.

      catatan

      ID pengguna kanonik adalah konsep Amazon S3 saja. ID ini adalah ID akun 64 karakter yang dikaburkan.

    • Pengguna ARN untuk Administrator Akun B — Anda dapat menemukan pengguna ARN di IAMKonsol. Anda harus memilih pengguna dan menemukan pengguna ARN di tab Ringkasan.

      Dalam kebijakan bucket, Anda memberikan AccountBadmin izin untuk mengunggah objek dan Anda menentukan pengguna menggunakanARN. Berikut adalah contoh ARN nilai:

      arn:aws:iam::AccountB-ID:user/AccountBadmin

  4. Mengatur salah satu AWS Command Line Interface (CLI) atau AWS Tools for Windows PowerShell. Pastikan Anda menyimpan kredensi pengguna administrator sebagai berikut:

    • Jika menggunakan AWS CLI, buat profil, AccountAadmin danAccountBadmin, di file konfigurasi.

    • Jika menggunakan AWS Tools for Windows PowerShell, pastikan bahwa Anda menyimpan kredensi untuk sesi sebagai AccountAadmin dan. AccountBadmin

    Untuk petunjuk, silakan lihat Menyiapkan alat untuk penelusuran.

Langkah 1: Melakukan tugas Akun A

Dalam contoh ini, Akun A adalah pemilik bucket. Jadi pengguna AccountAadmin di Akun A akan melakukan hal berikut:

  • Buat bucket.

  • Lampirkan kebijakan bucket yang memberikan izin administrator Akun B untuk mengunggah objek.

  • Buat IAM peran yang memberikan izin Akun C untuk mengambil peran sehingga dapat mengakses objek di bucket.

Langkah 1.1: Masuk ke AWS Management Console

Menggunakan IAM pengguna Masuk URL untuk Akun A, pertama masuk ke AWS Management Console sebagai AccountAadmin pengguna. Pengguna ini akan membuat bucket dan melampirkan kebijakan pada bucket tersebut.

Langkah 1.2: Buat bucket dan melampirkan kebijakan bucket

Di konsol Amazon S3, lakukan berikut ini:

  1. Buat bucket. Latihan ini mengasumsikan bahwa nama bucketnya adalah amzn-s3-demo-bucket1.

    Untuk petunjuk, silakan lihat Buat bucket.

  2. Lampirkan kebijakan bucket berikut. Kebijakan memberikan izin bersyarat kepada administrator Akun B untuk mengunggah objek.

    Perbarui kebijakan dengan memberikan nilai Anda sendiri untuk amzn-s3-demo-bucket1AccountB-ID,, danCanonicalUserId-of-AWSaccountA-BucketOwner. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "111",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::AccountB-ID:user/AccountBadmin"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"
        },
        {
            "Sid": "112",
            "Effect": "Deny",
            "Principal": {
                "AWS": "arn:aws:iam::AccountB-ID:user/AccountBadmin"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-grant-full-control": "id=CanonicalUserId-of-AWSaccountA-BucketOwner"
                }
            }
        }
    ]
}

Langkah 1.3: Buat IAM peran untuk memungkinkan akses lintas akun Akun C di Akun A

Di IAMKonsol, buat IAM role (examplerole) yang memberikan izin Akun C untuk mengambil peran. Pastikan Anda masih masuk sebagai administrator Akun A karena peran harus dibuat di Akun A.

  1. Sebelum membuat peran, siapkan kebijakan terkelola yang menentukan izin yang diperlukan oleh peran tersebut. Anda kemudian perlu melampirkan kebijakan ini ke peran tersebut pada langkah berikutnya.

    1. Di panel navigasi di sebelah kiri, pilih Kebijakan, lalu pilih Buat Kebijakan.

    2. Di sebelah Buat Kebijakan Anda Sendiri, pilih Pilih.

    3. Masukkan access-accountA-bucket dalam kolom Nama Kebijakan.

    4. Salin kebijakan akses berikut ini dan tempelkan ke kolom Dokumen Kebijakan. Kebijakan akses memberikan s3:GetObject izin peran sehingga, ketika pengguna Akun C mengambil peran, kebijakan tersebut hanya dapat melakukan operasi. s3:GetObject

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"
    }
  ]
}

    5. Pilih Buat Kebijakan.

      Kebijakan baru muncul di daftar kebijakan terkelola.

  2. Di panel navigasi di sebelah kiri, pilih Peran dan kemudian pilih Buat Peran Baru.

  3. Di bawah Pilih Jenis Peran, pilih Peran untuk Akses Lintas Akun, lalu pilih tombol Pilih di samping Menyediakan akses antara Akun AWS Anda sendiri.

  4. Masukkan ID akun dari Akun C.

    Untuk panduan ini, Anda tidak perlu meminta pengguna untuk memiliki otentikasi multi-faktor (MFA) untuk mengambil peran, jadi biarkan opsi itu tidak dipilih.

  5. Pilih Langkah Berikutnya untuk mengatur izin yang akan dikaitkan dengan peran.

  6. Pilih kotak centang di samping kebijakan Access-Accounta-bucket yang Anda buat, lalu pilih Langkah Berikutnya.

    Halaman Tinjauan muncul sehingga Anda dapat mengonfirmasi pengaturan untuk peran tersebut sebelum dibuat. Satu item yang sangat penting untuk dicatat di halaman ini adalah tautan yang dapat Anda kirim kepada pengguna Anda yang perlu menggunakan peran ini. Pengguna yang menggunakan tautan langsung menuju halaman Switch Role dengan kolom Account ID dan Role Name yang sudah diisi. Anda juga dapat melihat tautan ini nanti di halaman Ringkasan Peran untuk peran lintas akun apa pun.

  7. Masukkan examplerole nama peran, lalu pilih Langkah Berikutnya.

  8. Setelah meninjau peran, pilih Buat Peran.

    Peran examplerole ditampilkan dalam daftar peran.

  9. Pilih nama peranexamplerole.

  10. Pilih tab Hubungan Kepercayaan.

  11. Pilih Tampilkan dokumen kebijakan dan verifikasi kebijakan kepercayaan yang ditampilkan cocok dengan kebijakan berikut.

    Kebijakan kepercayaan berikut ini membangun kepercayaan terhadap Akun C, dengan memungkinkannya untuk melakukan tindakan sts:AssumeRole. Untuk informasi selengkapnya, silakan lihat AssumeRoledi AWS Security Token Service APIReferensi.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::AccountC-ID:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  12. Perhatikan Amazon Resource Name (ARN) dari examplerole peran yang Anda buat.

    Kemudian dalam langkah-langkah berikut, Anda melampirkan kebijakan pengguna untuk mengizinkan IAM pengguna mengambil peran ini, dan Anda mengidentifikasi peran berdasarkan ARN nilainya.

Langkah 2: Melakukan tugas Akun B

Contoh bucket yang dimiliki oleh Akun A memerlukan objek yang dimiliki oleh akun lain. Pada langkah ini, administrator Akun B mengunggah objek dengan menggunakan alat baris perintah.

  • Menggunakan put-object AWS CLI perintah, unggah objek keamzn-s3-demo-bucket1. 

    aws s3api put-object --bucket amzn-s3-demo-bucket1 --key HappyFace.jpg --body HappyFace.jpg --grant-full-control id="canonicalUserId-ofTheBucketOwner" --profile AccountBadmin

    Perhatikan hal berikut:

    • --ProfileParameter menentukan AccountBadmin profil, sehingga objek dimiliki oleh Akun B.

    • Parameter grant-full-control memberikan izin kendali penuh kepada pemilik bucket pada objek sebagaimana yang diwajibkan oleh kebijakan bucket.

    • Parameter --body mengidentifikasi file sumber yang akan diunggah. Misalnya, jika file tersebut berada di drive C: dari a Windows komputer, Anda tentukanc:\HappyFace.jpg.

Langkah 3: Lakukan tugas Akun C

Pada langkah-langkah sebelumnya, Akun A telah menciptakan peranexamplerole, membangun kepercayaan dengan Akun C. Peran ini memungkinkan pengguna di Akun C untuk mengakses Akun A. Pada langkah ini, administrator Akun C membuat pengguna (Dave) dan mendelegasikan kepadanya sts:AssumeRole izin yang diterima dari Akun A. Pendekatan ini memungkinkan Dave untuk mengasumsikan examplerole dan untuk sementara mendapatkan akses ke Akun A. Kebijakan akses yang Akun A melekat pada peran membatasi apa yang dapat dilakukan Dave ketika dia mengakses Akun A—khususnya, masukkan objek. amzn-s3-demo-bucket1

Langkah 3.1: Buat pengguna di Akun C dan delegasikan izin untuk berasumsi examplerole

  1. Menggunakan login IAM pengguna URL untuk Akun C, pertama masuk ke AWS Management Console sebagai AccountCadmin pengguna.

  2. Di IAMkonsol, buat pengguna, Dave.

    Untuk step-by-step petunjuk, lihat Membuat IAM pengguna (AWS Management Console) di Panduan IAM Pengguna.

  3. Perhatikan kredensialnya Dave. Dave akan memerlukan kredensial ini untuk mengambil peran examplerole.

  4. Buat kebijakan inline bagi IAM pengguna Dave untuk mendelegasikan sts:AssumeRole izin kepada Dave tentang peran di Akun A. examplerole

    1. Pada panel navigasi di sebelah kiri, pilih Pengguna.

    2. Pilih nama pengguna Dave.

    3. Pada halaman rincian pengguna, pilih tab Izin dan kemudian perluas bagian Kebijakan Selaras.

    4. Pilih klik di sini (atau Buat Kebijakan Pengguna).

    5. Pilih Kebijakan Kustom, lalu pilih Pilihan.

    6. Masukkan nama untuk kebijakan pada kolom Nama Kebijakan.

    7. Salin kebijakan berikut ke kolom Dokumen Kebijakan.

      Anda harus memperbarui kebijakan dengan menyediakanAccountA-ID.

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["sts:AssumeRole"],
      "Resource": "arn:aws:iam::AccountA-ID:role/examplerole"
    }
  ]
}

    8. Pilih Terapkan Kebijakan.

  5. Simpan kredensi Dave ke file konfigurasi AWS CLI dengan menambahkan profil lain,AccountCDave.

    [profile AccountCDave]
aws_access_key_id = UserDaveAccessKeyID
aws_secret_access_key = UserDaveSecretAccessKey
region = us-west-2

Langkah 3.2: Asumsikan peran (examplerole) dan mengakses objek

Kini Dave dapat mengakses objek yang ada dalam bucket yang dimiliki oleh Akun A seperti berikut ini:

  • Dave terlebih dahulu harus mengambil examplerole menggunakan kredensialnya sendiri. Hal ini akan mengembalikan kredensial sementara.

  • Dengan menggunakan kredensial sementara, Dave kemudian akan dapat mengakses objek yang ada dalam bucket Akun A.

  1. Pada prompt perintah, jalankan yang berikut AWS CLI assume-roleperintah menggunakan AccountCDave profil.

    Anda harus memperbarui ARN nilai dalam perintah dengan memberikan di AccountA-ID mana examplerole didefinisikan.

    aws sts assume-role --role-arn arn:aws:iam::AccountA-ID:role/examplerole --profile AccountCDave --role-session-name test

    Sebagai tanggapan, AWS Security Token Service (AWS STS) mengembalikan kredensil keamanan sementara (ID kunci akses, kunci akses rahasia, dan token sesi).

  2. Simpan kredensil keamanan sementara di AWS CLI file konfigurasi di bawah TempCred profil.

    [profile TempCred]
aws_access_key_id = temp-access-key-ID
aws_secret_access_key = temp-secret-access-key
aws_session_token = session-token
region = us-west-2

  3. Pada prompt perintah, jalankan yang berikut AWS CLI perintah untuk mengakses objek menggunakan kredensil sementara. Misalnya, perintah menentukan head-object API untuk mengambil metadata objek untuk objek. HappyFace.jpg

    aws s3api get-object --bucket amzn-s3-demo-bucket1 --key HappyFace.jpg SaveFileAs.jpg --profile TempCred

    Karena kebijakan akses terlampir pada examplerole memungkinkan tindakan, Amazon S3 memproses permintaan. Anda dapat mencoba tindakan lain apa pun pada objek lain yang ada dalam bucket.

    Jika Anda mencoba tindakan lain—misalnya, get-object-acl —Anda akan mendapatkan izin ditolak karena peran tersebut tidak diizinkan tindakan itu.

    aws s3api get-object-acl --bucket amzn-s3-demo-bucket1 --key HappyFace.jpg --profile TempCred

    Kita menggunakan pengguna Dave untuk mengambil peran dan mengakses objek dengan menggunakan kredensial sementara. Ini juga bisa menjadi aplikasi di Akun C yang mengakses objek di amzn-s3-demo-bucket1. Aplikasi dapat memperoleh kredensial keamanan sementara, dan Akun C dapat mendelegasikan izin aplikasi untuk mengambil examplerole.

Langkah 4: Membersihkan

  1. Setelah selesai melakukan pengujian, Anda dapat melakukan hal berikut untuk membersihkan:

    1. Masuk ke AWS Management Consolemenggunakan kredensi Akun A, dan lakukan hal berikut:

      • Pada konsol Amazon S3, hapus kebijakan bucket yang terlampir pada amzn-s3-demo-bucket1. Dalam bucket Properti, hapus kebijakan yang ada dalam bagian Izin.

      • Jika bucket dibuat untuk latihan ini, pada konsol Amazon S3, hapus objek dan kemudian hapus bucket.

      • Di IAMKonsol, hapus yang examplerole Anda buat di Akun A. Untuk step-by-step petunjuk, lihat Menghapus IAM pengguna di Panduan IAM Pengguna.

      • Di IAMkonsol, hapus AccountAadminpengguna.

  2. Masuk ke IAMKonsol menggunakan kredensyal Akun B. Hapus pengguna AccountBadmin.

  3. Masuk ke IAMKonsol dengan menggunakan kredensyal Akun C. Hapus AccountCadmindan pengguna Dave.

Sumber daya terkait

Untuk informasi selengkapnya yang terkait dengan panduan ini, lihat sumber daya berikut di Panduan IAMPengguna: