Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Concetti di S3 Access Grants
Flusso di lavoro S3 Access Grants
Il flusso di lavoro di S3 Access Grants è:
Crea un'istanza S3 Access Grants. Per informazioni, consulta Utilizzo delle istanze S3 Access Grants.
All'interno della tua istanza S3 Access Grants, registra le posizioni nei tuoi dati Amazon S3 e associa queste posizioni AWS Identity and Access Management a IAM () ruoli. Per informazioni, consulta Registrazione di una posizione.
Crea sovvenzioni per i beneficiari, che consentono ai beneficiari di accedere alle tue risorse S3. Per informazioni, consulta Utilizzo delle sovvenzioni in S3 Access Grants.
Il beneficiario richiede credenziali temporanee a S3 Access Grants. Per informazioni, consulta Richiedi l'accesso ai dati di Amazon S3 tramite S3 Access Grants.
L'assegnatario accede ai dati S3 utilizzando tali credenziali temporanee. Per informazioni, consulta Accesso ai dati S3 utilizzando le credenziali fornite da S3 Access Grants.
Per ulteriori informazioni, consulta Nozioni di base su S3 Access Grants.
- Istanze S3 Access Grants
-
Un'istanza S3 Access Grants è un contenitore logico per sovvenzioni individuali. Quando crei un'istanza S3 Access Grants, devi specificare un. Regione AWS Ciascuna Regione AWS istanza Account AWS può avere un'istanza S3 Access Grants. Per ulteriori informazioni, consulta Utilizzo delle istanze S3 Access Grants.
Se desideri utilizzare S3 Access Grants per concedere l'accesso alle identità di utenti e gruppi dalla tua directory aziendale, devi anche associare la tua istanza S3 Access Grants a un'istanza. AWS IAM Identity Center Per ulteriori informazioni, consulta S3 Access Grants e identità delle directory aziendali.
Un'istanza S3 Access Grants appena creata è vuota. È necessario registrare una posizione nell'istanza, che può essere il percorso predefinito di S3 (
s3://
), un bucket o un prefisso all'interno di un bucket. Dopo aver registrato almeno una posizione, puoi creare concessioni di accesso che consentono l'accesso ai dati in questa posizione registrata. - Posizioni
-
Un S3 Access Grants mappa i bucket o i prefissi di un ruolo (). AWS Identity and Access Management IAM S3 Access Grants assume questo IAM ruolo per fornire credenziali temporanee al beneficiario che accede a quella particolare posizione. Devi prima registrare almeno una sede nella tua istanza S3 Access Grants prima di poter creare una concessione di accesso.
Ti consigliamo di registrare la posizione predefinita (
s3://
) e mapparla a un IAM ruolo. La posizione nel percorso S3 predefinito (s3://
) copre l'accesso a tutti i bucket S3 presenti nel Regione AWS tuo account. Quando crei una concessione di accesso, puoi restringere l'ambito della concessione a un bucket, un prefisso o un oggetto all'interno della posizione predefinita.Casi d'uso più complessi di gestione degli accessi potrebbero richiedere la registrazione di una posizione superiore a quella predefinita. Alcuni esempi di tali casi d'uso sono:
-
Supponiamo che
amzn-s3-demo-bucket
è una posizione registrata nell'istanza S3 Access Grants a cui è mappato un IAM ruolo, ma a questo IAM ruolo viene negato l'accesso a un particolare prefisso all'interno del bucket. In questo caso, puoi registrare il prefisso a cui il IAM ruolo non ha accesso come posizione separata e mappare tale posizione a un ruolo diverso IAM con l'accesso necessario. -
Supponiamo di voler creare concessioni che limitano l'accesso solo agli utenti all'interno di un endpoint di cloud privato virtuale ()VPC. In questo caso, potete registrare una posizione per un bucket in cui il IAM ruolo limita l'accesso all'endpoint. VPC Successivamente, quando un beneficiario chiede le credenziali a S3 Access Grants, S3 Access Grants assume il ruolo della sede di vendere le credenziali temporanee. IAM Questa credenziale negherà l'accesso al bucket specifico a meno che il chiamante non si trovi all'interno dell'endpoint. VPC Questa autorizzazione di negazione viene applicata in aggiunta all'autorizzazione normale o READ READWRITE specificata WRITE nella concessione.
Se il tuo caso d'uso richiede la registrazione di più sedi nella tua istanza S3 Access Grants, puoi registrare una delle seguenti opzioni:
La posizione S3 predefinita ()
s3://
Un bucket (ad esempio,
amzn-s3-demo-bucket
) o secchi multipliUn bucket e un prefisso (ad esempio,
) o più prefissiamzn-s3-demo-bucket
/prefix*
Per il numero massimo di sedi che puoi registrare nella tua istanza S3 Access Grants, consulta. Limitazioni di S3 Access Grants Per ulteriori informazioni sulla registrazione di una sede S3 Access Grants, consulta. Registrazione di una posizione
Dopo aver registrato la prima posizione nell'istanza S3 Access Grants, nell'istanza non sono ancora presenti concessioni di accesso individuali. Pertanto, non è stato ancora concesso l'accesso a nessuno dei tuoi dati S3. Ora puoi creare concessioni di accesso per concedere l'accesso. Per ulteriori informazioni sulla creazione di sovvenzioni, consulta. Utilizzo delle sovvenzioni in S3 Access Grants
-
- Concessioni
-
Una sovvenzione individuale in un'istanza S3 Access Grants consente a un'identità specifica, un IAM responsabile o un utente o un gruppo in un elenco aziendale, di accedere all'interno di una posizione registrata nella tua istanza S3 Access Grants.
Quando crei una concessione, non devi concedere l'accesso all'intera sede registrata. Puoi restringere l'ambito di accesso della concessione all'interno di una località. Se la posizione registrata è il percorso S3 predefinito (
s3://
), devi restringere l'ambito della concessione a un bucket, un prefisso all'interno di un bucket o un oggetto specifico. Se la posizione registrata della concessione è un bucket o un prefisso, puoi dare accesso all'intero bucket o prefisso oppure puoi facoltativamente restringere l'ambito della concessione a un prefisso, sottoprefisso o un oggetto.Nella concessione, imposti anche il livello di accesso della concessione a, o. READ WRITE READWRITE Supponiamo di avere una concessione che consente al gruppo di directory aziendale di
01234567-89ab-cdef-0123-456789abcdef
READ accedere als3://
bucket. Gli utenti di questo gruppo possono avere READ accesso a ogni oggetto che ha un nome chiave dell'oggetto che inizia con il prefissoamzn-s3-demo-bucket
/projects/items/*projects/items/
nel bucket denominatoamzn-s3-demo-bucket
.Per il numero massimo di concessioni che puoi creare nella tua istanza S3 Access Grants, consulta. Limitazioni di S3 Access Grants Per ulteriori informazioni sulla creazione di sovvenzioni, consulta. Creazione di concessioni
- Credenziali temporanee di S3 Access Grants
-
Dopo aver creato una concessione, un'applicazione autorizzata che utilizza l'identità specificata nella concessione può richiedere le credenziali di just-in-time accesso. A tale scopo, l'applicazione richiama l'operazione GetDataAccessAPIS3. I beneficiari possono utilizzare questa API operazione per richiedere l'accesso ai dati S3 che hai condiviso con loro.
L'istanza S3 Access Grants valuta la richiesta
GetDataAccess
rispetto alle concessioni di cui dispone. Se esiste una sovvenzione corrispondente per il richiedente, S3 Access Grants assume il IAM ruolo associato alla sede registrata della sovvenzione corrispondente. S3 Access Grants analizza le autorizzazioni delle credenziali temporanee per accedere solo al bucket, al prefisso o all'oggetto S3 specificato dall'ambito della concessione.L'ora di scadenza delle credenziali di accesso temporanee è predefinita di 1 ora, ma è possibile impostarla su qualsiasi valore compreso tra 15 minuti e 12 ore. Vedi la durata massima della sessione nel riferimento. AssumeRoleAPI
Come funziona
Nel diagramma seguente, una posizione Amazon S3 predefinita con l's3://
ambito è registrata con IAM il ruolo. s3ag-location-role
Questo IAM ruolo dispone delle autorizzazioni per eseguire azioni Amazon S3 all'interno dell'account quando le sue credenziali vengono ottenute tramite S3 Access Grants.
All'interno di questa posizione, vengono create due concessioni di accesso individuali per due utenti. IAM All'IAMutente Bob vengono READ
concesse entrambe le opzioni e WRITE
l'accesso tramite il bob/
prefisso nel DOC-BUCKET-EXAMPLE
bucket. A un altro IAM ruolo, Alice, viene concesso solo READ
l'accesso al alice/
prefisso nel bucket. DOC-BUCKET-EXAMPLE
Viene definita una concessione, colorata in blu, per consentire a Bob di accedere al prefisso bob/
nel bucket DOC-BUCKET-EXAMPLE
. Viene definita una concessione, colorata in verde, per consentire ad Alice di accedere al prefisso alice/
nel bucket DOC-BUCKET-EXAMPLE
.
Quando Bob è il momento di passare ai READ
dati, il IAM ruolo associato alla località in cui si trova la sua concessione chiama l'operazione S3 Access Grants. GetDataAccessAPI Se Bob prova a utilizzare READ
qualsiasi prefisso o oggetto S3 che inizia cons3://DOC-BUCKET-EXAMPLE/bob/*
, la GetDataAccess
richiesta restituisce un set di credenziali di IAM sessione temporanee con l'autorizzazione a. s3://DOC-BUCKET-EXAMPLE/bob/*
Allo stesso modo, Bob può scrivere (WRITE
) su qualsiasi prefisso o oggetto S3 che inizi con s3://DOC-BUCKET-EXAMPLE/bob/*
, perché anche la concessione lo consente.
Alice, invece, può leggere (READ
) tutto ciò che inizia con s3://DOC-BUCKET-EXAMPLE/alice/
. Tuttavia, se prova a scrivere (WRITE
) qualunque cosa su un qualsiasi bucket, prefisso o oggetto in s3://
, riceverà un errore Accesso negato (403), perché non esiste alcuna concessione che le dia accesso in scrittura (WRITE
) ai dati. Inoltre, se Alice richiede un qualsiasi livello di accesso (READ
o WRITE
) ai dati esterni as3://DOC-BUCKET-EXAMPLE/alice/
, riceverà nuovamente un errore di accesso negato.
Questo modello si adatta a un numero elevato di utenti e bucket e semplifica la gestione di tali autorizzazioni. Anziché modificare le policy dei bucket S3 potenzialmente grandi ogni volta che desideri aggiungere o rimuovere una relazione di accesso prefisso-utente individuale, puoi aggiungere e rimuovere concessioni individuali e discrete.