使用 S3 Access Grants 管理存取

為了遵守最低權限原則，您可以根據應用程式、人物角色、群組或組織單位來定義對 Amazon S3 資料的精細存取權。您可以根據存取模式的規模和複雜性，使用各種方法來達到對 Amazon S3 中資料的精細存取。

透過 AWS Identity and Access Management (IAM) 主體管理 Amazon S3 中資料集 small-to-medium 數量存取的最簡單方法是定義 IAM 許可政策和 S3 儲存貯體政策。只要必要的政策符合 S3 儲存貯體政策 (20 KB) 和 IAM 政策 (5 KB) 的政策大小限制，並且在每個帳戶允許的 IAM 主體數量範圍內，此策略就有效。

隨著資料集和使用案例數量的擴展，您可能需要更多政策空間。能夠為政策陳述式提供更多空間的方法，是使用 S3 存取點作為額外的 S3 儲存貯體端點，因為每個存取點都可以有自己的政策。您可以定義相當精細的存取控制模式，因為每個帳戶可以有數千個存取點， AWS 區域 每個存取點的政策大小最多可達 20 KB。雖然 S3 存取點會增加可用的政策空間量，但它需有一套機制，讓用戶端能夠為適當的資料集找到適當的存取點。

第三種方法是實作 IAM 工作階段中介裝置模式，您可以在其中針對每個存取工作階段實作存取決策邏輯，並動態產生短期 IAM 工作階段憑證。雖然 IAM 工作階段中介裝置方法可支援任意動態許可模式並有效擴展，但您必須建置存取模式邏輯。

您可以使用 S3 Access Grants 來管理 Amazon S3 資料的存取權，而不使用上述方法。S3 Access Grants 提供簡化的模型，可透過字首、儲存貯體或物件定義 Amazon S3 中資料的存取許可。此外，您可以使用 S3 Access Grants 來授予 IAM 主體的存取權，以及直接從公司目錄授予使用者或群組的存取權。

您時常透過將使用者和群組映射至資料集來定義 Amazon S3 中資料的許可。您可以使用 S3 Access Grants 來定義 Amazon S3 儲存貯體和物件內，使用者和角色與 S3 字首的直接存取映射。透過 S3 Access Grants 中簡化的存取結構描述，您可以依每個 S3 字首為基礎將唯讀、唯寫或讀寫存取權授予 IAM 主體，以及直接從公司目錄將存取權授予使用者或群組。應用程式可使用這些 S3 Access Grants 功能，以應用程式目前已驗證的使用者身分向 Amazon S3 請求資料。

當您將 S3 Access Grants 與的受信任身分傳播功能整合時 AWS IAM Identity Center，您的應用程式可以直接代表經過驗證的公司目錄使用者向 AWS 服務 (包括 S3 Access Grants) 提出請求。您的應用程式不再需要先將使用者映射至 IAM 主體。此外，由於最終使用者身分會一直傳播到 Amazon S3，因此，哪個使用者存取了哪個 S3 物件的稽核工作就更簡單。您不再需要重建不同使用者和 IAM 工作階段之間的關係。當您將 S3 Access Grants 與 IAM Identity Center 信任的身分傳播搭配使用時，Amazon S3 的每個 AWS CloudTrail 資料事件都包含代表其存取資料的最終使用者的直接參考。

如需有關 S3 Access Grants 的詳細資訊，請參閱下列主題。