Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Creazione di concessioni
Una concessione di accesso individuale in un'istanza S3 Access Grants consente a un'identità specifica, un AWS Identity and Access Management (IAM) principale o un utente o un gruppo in una directory aziendale, di accedere all'interno di una posizione registrata nell'istanza S3 Access Grants. Una posizione IAM associa i bucket o i prefissi a un ruolo. S3 Access Grants assume questo IAM ruolo per fornire credenziali temporanee agli assegnatari.
Dopo aver registrato almeno una sede nella tua istanza S3 Access Grants, puoi creare una concessione di accesso.
Il beneficiario può essere un IAM utente o un ruolo o un utente o un gruppo dell'elenco. Un utente della directory è un utente della directory aziendale o di una fonte di identità esterna associata all'istanza S3 Access Grants. Per ulteriori informazioni, consulta S3 Access Grants e identità delle directory aziendali. Per creare una concessione per un utente o un gruppo specifico della directory da IAM Identity Center, trova GUID quello che IAM Identity Center utilizza per identificare quell'utente in IAM Identity Center, ad esempio,. a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
Per ulteriori informazioni su come utilizzare IAM Identity Center per visualizzare le informazioni sugli utenti, vedere Visualizzare le assegnazioni di utenti e gruppi nella guida per l'AWS IAM Identity Center utente.
È possibile concedere l'accesso a un bucket, un prefisso o un oggetto. Un prefisso in Amazon S3 è una stringa di caratteri all'inizio del nome della chiave di un oggetto che viene utilizzata per organizzare gli oggetti all'interno di un bucket. Può trattarsi di qualsiasi stringa di caratteri consentiti, ad esempio i nomi delle chiavi degli oggetti nel bucket che iniziano con il prefisso. engineering/
Sottoprefisso
Quando concedi l'accesso a una posizione registrata, puoi utilizzare il Subprefix
campo per restringere l'ambito di accesso a un sottoinsieme dell'ambito di posizione. Se la posizione registrata che scegli per la concessione è il percorso S3 predefinito (s3://
), devi restringere l'ambito della concessione. Non è possibile creare una concessione di accesso per la posizione predefinita (s3://
), che consentirebbe al beneficiario l'accesso a tutti i bucket di un. Regione AWSÈ invece necessario restringere l'ambito della concessione a uno dei seguenti:
-
Un secchio:
s3://
bucket
/* -
Un prefisso all'interno di un bucket:
s3://
bucket
/prefix
* -
Un prefisso all'interno di un prefisso:
s3://
bucket
/prefixA
/prefixB
* -
Un oggetto:
s3://
bucket
/object-key-name
Se stai creando una concessione di accesso in cui la posizione registrata è un bucket, puoi inserire una delle seguenti informazioni nel Subprefix
campo per restringere l'ambito della concessione:
-
Un prefisso all'interno del bucket:
prefix
* -
Un prefisso all'interno di un prefisso:
prefixA/
prefixB
* -
Un oggetto:
/
object-key-name
Dopo aver creato la concessione, l'ambito della concessione visualizzato nella console Amazon S3 o restituito nella risposta API or AWS Command Line Interface (AWS CLI) è il risultato della concatenazione del percorso della posizione con. GrantScope
Subprefix
Assicurati che questo percorso concatenato sia mappato correttamente al bucket, al prefisso o all'oggetto S3 a cui desideri concedere l'accesso.
Nota
Se devi creare una concessione di accesso che conceda l'accesso a un solo oggetto, devi specificare che il tipo di concessione è per un oggetto. Per eseguire questa operazione in una API chiamata o in un CLI comando, passate il
s3PrefixType
parametro con il valoreObject
. Nella console Amazon S3, quando crei la concessione, dopo aver selezionato una posizione, in Ambito della concessione, seleziona la casella di controllo L'ambito della concessione è un oggetto.Non puoi creare una concessione a un bucket se il bucket non esiste ancora. Tuttavia, puoi creare una concessione a un prefisso che non esiste ancora.
Per il numero massimo di sovvenzioni che puoi creare nella tua istanza S3 Access Grants, vedi. Limitazioni di S3 Access Grants
Puoi creare una concessione di accesso utilizzando la console Amazon S3 AWS CLI, Amazon REST API S3 e. AWS SDKs
Per creare una concessione di accesso
Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/
-
Nel pannello di navigazione a sinistra, scegli Access Grants.
-
Nella pagina S3 Access Grants, scegli la regione che contiene l'istanza S3 Access Grants con cui vuoi lavorare.
Se utilizzi un'istanza S3 Access Grants per la prima volta, assicurati di aver completato il Passaggio 2: registra una posizione e di aver eseguito il Passaggio 3 della procedura guidata Configurazione dell'istanza Access Grants. Se hai già un'istanza S3 Access Grants, scegli Visualizza dettagli, quindi dalla scheda Concessioni, scegli Crea concessione.
-
Nella sezione Ambito della concessione, seleziona o inserisci una posizione registrata.
Se hai selezionato la posizione
s3://
predefinita, utilizza la casella Sottoprefisso per restringere l'ambito della concessione di accesso. Per ulteriori informazioni, consulta Sottoprefisso. Se concedi l'accesso solo a un oggetto, seleziona L'ambito della concessione è un oggetto. -
In Autorizzazioni e accesso, seleziona il livello di autorizzazione, ovvero Lettura, Scrittura o entrambi.
Quindi seleziona Tipo di assegnatario. Se hai aggiunto la tua directory aziendale a IAM Identity Center e associato questa istanza di IAM Identity Center alla tua istanza S3 Access Grants, puoi scegliere Directory identity da IAM Identity Center. Se scegli questa opzione, ottieni l'ID dell'utente o del gruppo da IAM Identity Center e inseriscilo in questa sezione.
Se il tipo di beneficiario è un IAM utente o un ruolo, scegli IAM principale. In Tipo IAM principale, scegli Utente o Ruolo. Quindi, in Utente IAM principale, scegli dall'elenco o inserisci l'ID dell'identità.
-
Per creare la concessione S3 Access Grants, seleziona Avanti o Crea concessione.
-
-
Se l'opzione Avanti o Crea concessione è disabilitata:
Impossibile creare una concessione
-
Potrebbe essere necessario registrare prima una posizione nell'istanza S3 Access Grants.
-
Potresti non disporre dell'autorizzazione
s3:CreateAccessGrant
per creare una concessione di accesso. Contatta l'amministratore dell'account.
-
Per installare AWS CLI, vedere Installazione di AWS CLI nella Guida per l'AWS Command Line Interface utente.
Gli esempi seguenti mostrano come creare una richiesta di concessione di accesso per un IAM principale e come creare una richiesta di concessione di accesso per un utente o un gruppo dell'elenco aziendale.
Per utilizzare i seguenti comandi di esempio, sostituisci
con le tue informazioni.user input
placeholders
Nota
Se stai creando una concessione di accesso che conceda l'accesso a un solo oggetto, includi il parametro --s3-prefix-type Object
richiesto.
Esempio Creare una richiesta di concessione di accesso per un IAM principale
aws s3control create-access-grant \ --account-id
111122223333
\ --access-grants-location-ida1b2c3d4-5678-90ab-cdef-EXAMPLE22222
\ --access-grants-location-configurationS3SubPrefix=prefixB*
\ --permissionREAD
\ --grantee GranteeType=IAM
,GranteeIdentifier=arn:aws:iam::123456789012
:user
/data-consumer-3
Esempio Crea una risposta alla concessione di accesso
{"CreatedAt": "2023-05-31T18:41:34.663000+00:00", "AccessGrantId": "
a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
", "AccessGrantArn": "arn:aws:s3:us-east-2
:111122223333
:access-grants/default/grant/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
", "Grantee": { "GranteeType": "IAM", "GranteeIdentifier": "arn:aws:iam::111122223333
:user/data-consumer-3" }, "AccessGrantsLocationId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222
", "AccessGrantsLocationConfiguration": { "S3SubPrefix": "prefixB*" }, "GrantScope": "s3://DOC-BUCKET-EXAMPLE/prefix*", "Permission": "READ" }
Creazione di una richiesta di autorizzazione di accesso per un utente o un gruppo di utenti della directory
Per creare una richiesta di autorizzazione all'accesso per un utente o un gruppo dell'elenco, è necessario innanzitutto ottenere la richiesta GUID per l'utente o il gruppo dell'elenco eseguendo uno dei seguenti comandi.
Esempio Ottieni un file GUID per un utente o un gruppo della directory
È possibile trovare l'IAMidentità GUID di un utente di Identity Center tramite la console di IAM Identity Center o utilizzando AWS CLI o AWS SDKs. Il comando seguente elenca gli utenti nell'istanza di IAM Identity Center specificata, con i relativi nomi e identificatori.
aws identitystore list-users --identity-store-id
d-1a2b3c4d1234
Questo comando elenca i gruppi nell'istanza di IAM Identity Center specificata.
aws identitystore list-groups --identity-store-id
d-1a2b3c4d1234
Esempio Creazione di una concessione di accesso per un utente o un gruppo di directory
Questo comando è simile alla creazione di una concessione per IAM utenti o ruoli, tranne che il tipo di assegnatario è DIRECTORY_USER
o DIRECTORY_GROUP
e l'identificatore del beneficiario è l'utente o il gruppo della GUID directory.
aws s3control create-access-grant \ --account-id
123456789012
\ --access-grants-location-iddefault
\ --access-grants-location-configurationS3SubPrefix="
" \ --permissionamzn-s3-demo-bucket
/rafael/*READWRITE
\ --grantee GranteeType=DIRECTORY_USER
,GranteeIdentifier=83d43802-00b1-7054-db02-f1d683aacba5
\
Per informazioni sul REST API supporto di Amazon S3 per la gestione delle concessioni di accesso, consulta le seguenti sezioni in Amazon Simple Storage Service Reference: API
Questa sezione fornisce esempi di come creare una concessione di accesso utilizzando AWS SDKs.