Ações do S3 aceitas no recurso Concessão de Acesso do S3

Acessar os dados do S3 usando credenciais fornecidas pelo recurso Concessão de Acesso do S3

Depois que um beneficiário obtém credenciais temporárias por meio de uma concessão de acesso, ele pode usar essas credenciais temporárias para chamar as operações de API do Amazon S3 para acessar os dados.

Os beneficiários podem acessar dados do S3 usando a AWS Command Line Interface (AWS CLI), os AWS SDKs e a API REST do Amazon S3. Além disso, é possível usar os plug-ins Python e Java da AWS para chamar o recurso Concessão de Acesso do S3.

Depois que o beneficiário obtém as credenciais temporárias da funcionalidade Concessões de Acesso do S3, ele pode configurar um perfil com essas credenciais para recuperar os dados.

Para instalar a AWS CLI, consulte Instalar a AWS CLI no Guia do usuário da AWS Command Line Interface.

Para usar os comandos a seguir, substitua os user input placeholders por suas próprias informações.

exemplo : configurar um perfil


aws configure set aws_access_key_id "$accessKey" --profile access-grants-consumer-access-profile
aws configure set aws_secret_access_key "$secretKey" --profile access-grants-consumer-access-profile
aws configure set aws_session_token "$sessionToken" --profile access-grants-consumer-access-profile

Para usar o comando a seguir, substitua os user input placeholders por suas próprias informações.

exemplo : obter os dados do S3

O beneficiário pode usar o comando get-object da AWS CLI para acessar os dados. O beneficiário também pode usar put-object, ls e outros comandos da AWS CLI do S3.


aws s3api get-object \
--bucket amzn-s3-demo-bucket1 \
--key myprefix \
--region us-east-2 \
--profile access-grants-consumer-access-profile

Esta seção fornece exemplos de como os beneficiários podem acessar os dados do S3 usando os AWS SDKs.

Ações do S3 aceitas no recurso Concessão de Acesso do S3

Um beneficiário pode usar a credencial temporária fornecida pelo recurso Concessão de Acesso do S3 para realizar ações do S3 nos dados do S3 aos quais ele tem acesso. Veja a seguir uma lista de ações permitidas do S3 que um beneficiário pode realizar. As ações permitidas dependem do nível de permissão indicado na concessão de acesso, como READ, WRITE ou READWRITE.

nota

Além das permissões do Amazon S3 listadas abaixo, o Amazon S3 pode chamar a permissão Decrypt do AWS Key Management Service (AWS KMS) (kms:decrypt) READ ou a GenerateDataKey do (AWS KMS) (kms:generateDataKey) WRITE. Essas permissões não autorizam acesso direto à chave do AWS KMS.

Ação do IAM no S3	Ação e documentação da API	Permissão do recurso Concessão de Acesso do S3	Recurso do S3
`s3:GetObject`	GetObject	`READ`	Objeto
`s3:GetObjectVersion`	GetObject	`READ`	Objeto
`s3:GetObjectAcl`	GetObjectAcl	`READ`	Objeto
`s3:GetObjectVersionAcl`	GetObjectAcl	`READ`	Objeto
`s3:ListMultipartUploads`	ListParts	`READ`	Objeto
`s3:PutObject`	PutObject, CreateMultipartUpload, UploadPart, UploadPartCopy, CompleteMultipartUpload	`WRITE`	Objeto
`s3:PutObjectAcl`	PutObjectAcl	`WRITE`	Objeto
`s3:PutObjectVersionAcl`	PutObjectAcl	`WRITE`	Objeto
`s3:DeleteObject`	DeleteObject	`WRITE`	Objeto
`s3:DeleteObjectVersion`	DeleteObject	`WRITE`	Objeto
`s3:AbortMultipartUpload`	AbortMultipartUpload	`WRITE`	Objeto
`s3:ListBucket`	HeadBucket, ListObjectsV2, ListObjects	`READ`	Bucket
`s3:ListBucketVersions`	ListObjectVersions	`READ`	Bucket
`s3:ListBucketMultipartUploads`	ListMultipartUploads	`READ`	Bucket

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Solicitar acesso aos dados do Amazon S3 por meio da funcionalidade Concessões de Acesso do S3

Listar as concessões de acesso do chamador