Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Panduan yang menggunakan kebijakan untuk mengelola akses ke sumber daya Amazon S3
Topik ini menyediakan contoh penelusuran pendahuluan berikut ini untuk memberikan akses ke sumber daya Amazon S3. Contoh-contoh ini menggunakan AWS Management Console untuk membuat sumber daya (bucket, objek, pengguna) dan memberi mereka izin. Contoh-contoh ini kemudian menunjukkan kepada Anda cara memverifikasi izin menggunakan alat baris perintah, sehingga Anda tidak perlu menulis kode apa pun. Kami menyediakan perintah menggunakan AWS Command Line Interface (AWS CLI) dan AWS Tools for Windows PowerShell.
-
Contoh 1: Pemilik bucket yang memberikan izin bucket kepada penggunanya
IAMPengguna yang Anda buat di akun Anda tidak memiliki izin secara default. Dalam latihan ini, Anda memberikan izin kepada pengguna untuk melakukan operasi bucket dan objek.
-
Contoh 2: Pemilik bucket yang memberikan izin bucket lintas akun
Dalam latihan ini, pemilik bucket, Akun A, memberikan izin lintas akun ke Akun AWS lain, Akun B. Akun B kemudian mendelegasikan izin tersebut kepada pengguna dalam akunnya.
-
Mengelola izin objek saat pemilik objek dan bucket tidak sama
Skenario contoh dalam kasus ini adalah tentang pemilik bucket yang memberikan izin objek kepada orang lain, tetapi tidak semua objek dalam bucket dimiliki oleh pemilik bucket. Apa izin yang diperlukan pemilik bucket, dan bagaimana izin tersebut dapat didelegasikan?
Akun AWS Yang membuat ember disebut pemilik ember. Pemilik dapat memberikan Akun AWS izin lain untuk mengunggah objek, dan Akun AWS yang membuat objek memilikinya. Pemilik bucket tidak memiliki izin pada objek yang dibuat oleh Akun AWS lain. Jika pemilik bucket menulis kebijakan bucket yang memberikan akses ke objek, kebijakan tersebut tidak berlaku untuk objek yang dimiliki oleh akun lain.
Dalam hal ini, pemilik objek harus terlebih dahulu memberikan izin kepada pemilik bucket menggunakan objekACL. Pemilik bucket kemudian dapat mendelegasikan izin objek tersebut kepada orang lain, kepada pengguna di akunnya sendiri, atau ke akun lain Akun AWS, seperti yang diilustrasikan oleh contoh berikut.
-
Contoh 3: Pemilik bucket yang memberikan izin kepada penggunanya ke objek yang bukan miliknya
Dalam latihan ini, pemilik bucket terlebih dahulu mendapatkan izin dari pemilik objek. Pemilik bucket kemudian mendelegasikan izin tersebut kepada pengguna dalam akunnya sendiri.
-
Contoh 4 - Pemilik bucket memberikan izin lintas akun ke objek yang tidak dimilikinya
Setelah menerima izin dari pemilik objek, pemilik bucket tidak dapat mendelegasikan izin ke yang lain Akun AWS karena delegasi lintas akun tidak didukung (lihat). Delegasi izin Sebagai gantinya, pemilik bucket dapat membuat IAM peran dengan izin untuk melakukan operasi tertentu (seperti get object) dan mengizinkan orang lain Akun AWS untuk mengambil peran tersebut. Siapa pun yang akan mengambil peran tersebut kemudian dapat mengakses objeknya. Contoh ini menunjukkan bagaimana pemilik bucket dapat menggunakan IAM peran untuk mengaktifkan delegasi lintas akun ini.
-
Sebelum Anda mencoba contoh penelusuran
Contoh-contoh ini menggunakan AWS Management Console untuk membuat sumber daya dan memberikan izin. Untuk menguji izin, contoh menggunakan alat baris perintah, dan AWS CLI AWS Tools for Windows PowerShell, jadi Anda tidak perlu menulis kode apa pun. Untuk menguji izin, Anda harus menyiapkan salah satu alat ini. Untuk informasi selengkapnya, lihat Menyiapkan alat untuk penelusuran.
Selain itu, saat membuat sumber daya, contoh-contoh ini tidak menggunakan kredenal pengguna root dari file. Akun AWS Sebaliknya, Anda membuat pengguna administrator di akun ini untuk melakukan tugas-tugas tersebut.
Tentang menggunakan pengguna administrator untuk membuat sumber daya dan memberikan izin
AWS Identity and Access Management (IAM) merekomendasikan untuk tidak menggunakan kredensil pengguna root Anda Akun AWS untuk membuat permintaan. Sebagai gantinya, buat IAM pengguna atau peran, beri mereka akses penuh, lalu gunakan kredensialnya untuk membuat permintaan. Kami menyebut ini sebagai pengguna administratif atau peran. Untuk informasi selengkapnya, buka Pengguna root akun AWS kredensil dan IAM identitas di Referensi Umum AWSdan Praktik IAM Terbaik di Panduan Pengguna. IAM
Semua panduan contoh dalam bagian ini menggunakan kredensial pengguna administrator. Jika Anda belum membuat pengguna administrator untuk Anda Akun AWS, topik menunjukkan caranya.
Untuk masuk ke AWS Management Console menggunakan kredensi pengguna, Anda harus menggunakan IAM pengguna Masuk. URL IAMKonsol
