本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
開始使用 S3 Access Grants
Amazon S3 Access Grants 是 Amazon S3 的一項功能,可為您的 S3 資料提供可擴展的存取控制解決方案。S3 Access Grants 是 S3 憑證供應方,這表示您會在 S3 Access Grants 註冊您的授權清單和層級。之後,當使用者或用戶端需要存取您的 S3 資料時,必須先向 S3 Access Grants 取得憑證。如果有授權存取的對應授權,S3 Access Grants 會供應臨時、最低權限的存取憑證。然後使用者或用戶端就可以使用 S3 Access Grants 供應的憑證來存取您的 S3 資料。務必記住,如果您的 S3 資料需求強制要求複雜或大型許可組態,您可以使用 S3 Access Grants 來擴展使用者、群組、角色和應用程式的 S3 資料許可。
對於大多數使用案例,您可以使用 AWS Identity and Access Management (IAM) 搭配儲存貯體政策或 IAM 身分型政策來管理 S3 資料的存取控制。
但是,如果您有複雜的 S3 存取控制需求 (如下所述),那麼使用 S3 Access Grants 將十分有益:
您的儲存貯體政策大小限制為 20 KB。
您可以授予人員身分 (例如 Microsoft Entra ID,舊稱為 Azure Active Directory)、Okta 或 Ping 使用者和群組 S3 資料的存取權,以進行分析和大數據。
您必須提供跨帳户存取權,而不需頻繁更新 IAM 政策。
您的資料是非結構化的物件層級資料,而非採用結構化的列和欄格式。
S3 Access Grants 工作流程如下:
| 步驟 | 描述 |
|---|---|
| 1 | 建立 S3 Access Grants 執行個體 若要開始進行,請啟動將包含個別存取授權的 S3 Access Grants 執行個體。 |
| 2 | 註冊位置 其次,註冊 S3 資料位置 (例如,預設 |
| 3 | 建立授權 建立個別許可授權。在這些許可授權中指定已註冊的 S3 位置、位置內的資料存取範圍、承授者的身分及其存取層級 ( |
| 4 | 請求存取 S3 資料 當使用者、應用程式和 AWS 服務 想要存取 S3 資料時,他們會先提出存取要求。S3 Access Grants 會決定是否應授權請求。如果有授權存取的對應授權,S3 Access Grants 會使用與該授權相關聯的已註冊位置的 IAM 角色,將臨時憑證供應給請求者。 |
| 5 | 存取 S3 資料 應用程式使用 S3 Access Grants 供應的臨時憑證來存取 S3 資料。 |
