Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
I proprietari di dati S3 possono utilizzare S3 Access Grants per creare concessioni di accesso per le identità AWS Identity and Access Management (IAM) o per le identità degli elenchi aziendali. AWS IAM Identity Center Le identità IAM e le identità della directory del Centro identità IAM possono a loro volta utilizzare l'API ListCallerAccessGrants per elencare tutti i bucket Amazon S3, i prefissi e gli oggetti a cui possono accedere, come definito dai rispettivi S3 Access Grants. Utilizza questa API per scoprire tutti i dati S3 a cui un'identità IAM o di directory può accedere tramite S3 Access Grants.
È possibile utilizzare questa funzionalità per creare applicazioni che mostrano i dati accessibili a utenti finali specifici. Ad esempio, lo AWS Storage Browser per S3, un componente dell'interfaccia utente open source utilizzato dai clienti per accedere ai bucket S3, utilizza questa funzionalità per presentare agli utenti finali i dati a cui hanno accesso in Amazon S3, in base agli S3 Access Grants. Un altro esempio è la creazione di un'applicazione per la navigazione, il caricamento o il download di dati in Amazon S3: è possibile utilizzare questa funzione per costruire una struttura ad albero nell'applicazione che l'utente finale può poi sfogliare.
Nota
Per le identità degli elenchi aziendali, quando elenca le concessioni di accesso del chiamante, S3 Access Grants restituisce le concessioni dell'identità IAM utilizzata per la sessione con riconoscimento dell'identità. Per ulteriori informazioni sulle sessioni con riconoscimento dell'identità, consulta Concessione delle autorizzazioni per l'uso di sessioni di console con riconoscimento dell'identità nella Guida per l'utente.AWS Identity and Access Management
Il beneficiario, che sia un'identità IAM o un'identità di directory aziendale, può ottenere un elenco delle proprie concessioni di accesso utilizzando AWS Command Line Interface (AWS CLI), l'API REST di Amazon S3 e il. AWS SDKs
Per installare AWS CLI, vedere Installazione di AWS CLI nella Guida per l'AWS Command Line Interface utente.
Per utilizzare il seguente comando di esempio, sostituisci user input
placeholders
Esempio Elenca i permessi di accesso di un chiamante
Richiesta:
aws s3control list-caller-access-grants \ --account-id111122223333\ --regionus-east-2--max-results 5
Risposta:
{ "NextToken": "6J9S...", "CallerAccessGrantsList": [ { "Permission": "READWRITE", "GrantScope": "s3://amzn-s3-demo-bucket/prefix1/sub-prefix1/*", "ApplicationArn": "NA" }, { "Permission": "READWRITE", "GrantScope": "s3://amzn-s3-demo-bucket/prefix1/sub-prefix2/*", "ApplicationArn": "ALL" }, { "Permission": "READWRITE", "GrantScope": "s3://amzn-s3-demo-bucket/prefix1/sub-prefix3/*", "ApplicationArn": "arn:aws:sso::111122223333:application/ssoins-ssoins-1234567890abcdef/apl-abcd1234a1b2c3d" } ] }
Esempio Elenca i permessi di accesso di un chiamante per un bucket
È possibile restringere l'ambito dei risultati utilizzando il parametro grantscope.
Richiesta:
aws s3control list-caller-access-grants \ --account-id111122223333\ --regionus-east-2--grant-scope "s3://"" --max-results 1000amzn-s3-demo-bucket
Risposta:
{ "NextToken": "6J9S...", "CallerAccessGrantsList": [ { "Permission": "READ", "GrantScope": "s3://amzn-s3-demo-bucket*", "ApplicationArn": "ALL" }, { "Permission": "READ", "GrantScope": "s3://amzn-s3-demo-bucket/prefix1/*", "ApplicationArn": "arn:aws:sso::111122223333:application/ssoins-ssoins-1234567890abcdef/apl-abcd1234a1b2c3d" } ] }
Per informazioni sul supporto dell'API REST di Amazon S3 per ottenere un elenco delle concessioni di accesso del chiamante all'API, consulta Amazon ListCallerAccessGrantsSimple Storage Service API Reference.
Questa sezione fornisce un esempio di come i beneficiari richiedono credenziali temporanee a S3 Access Grants utilizzando il. AWS SDKs
