使用 S3 Access Grants 管理存取

為了遵守最低權限原則，您可以根據應用程式、人物角色、群組或組織單位來定義對 Amazon S3 資料的精細存取權。您可以根據存取模式的規模和複雜性，使用各種方法來達到對 Amazon S3 中資料的精細存取。

由 AWS Identity and Access Management （IAM） 主體管理 small-to-mediumAmazon S3 中資料集數量存取的最簡單方法是定義IAM許可政策和 S3 儲存貯體政策。只要必要的政策符合 S3 儲存貯體政策 （20 KB） 和IAM政策 （5 KB） 的政策大小限制，以及每個帳戶允許的IAM主體數量，此策略即可運作。

隨著資料集和使用案例數量的擴展，您可能需要更多政策空間。能夠為政策陳述式提供更多空間的方法，是使用 S3 存取點作為額外的 S3 儲存貯體端點，因為每個存取點都可以有自己的政策。您可以定義相當精細的存取控制模式，因為 AWS 區域 每個帳戶可以有數千個存取點，每個存取點的政策大小上限為 20 KB。雖然 S3 存取點會增加可用的政策空間量，但它需有一套機制，讓用戶端能夠為適當的資料集找到適當的存取點。

第三個方法是實作IAM工作階段代理程式模式，其中您會實作存取決策邏輯，並為每個存取IAM工作階段動態產生短期工作階段憑證。雖然IAM工作階段代理程式方法支援任意動態許可模式並有效擴展，但您必須建置存取模式邏輯。

您可以使用 S3 Access Grants 來管理 Amazon S3 資料的存取權，而不使用上述方法。S3 Access Grants 提供簡化的模型，可透過字首、儲存貯體或物件定義 Amazon S3 中資料的存取許可。此外，您可以使用 S3 Access Grants 將存取權同時授予IAM委託人，以及從您的公司目錄直接授予使用者或群組。

您時常透過將使用者和群組映射至資料集來定義 Amazon S3 中資料的許可。您可以使用 S3 Access Grants 來定義 Amazon S3 儲存貯體和物件內，使用者和角色與 S3 字首的直接存取映射。使用 S3 Access Grants 中的簡化存取機制，您可以將per-S3-prefix的唯讀、唯讀或讀寫存取權授予IAM委託人，並從公司目錄中直接授予使用者或群組。應用程式可使用這些 S3 Access Grants 功能，以應用程式目前已驗證的使用者身分向 Amazon S3 請求資料。

當您將 S3 Access Grants 與 的受信任身分傳播功能整合時 AWS IAM Identity Center，您的應用程式可以直接代表已驗證的公司目錄使用者向 提出請求 AWS 服務 （包括 S3 Access Grants）。您的應用程式不再需要先將使用者映射至IAM主體。此外，由於最終使用者身分會一直傳播到 Amazon S3，因此，哪個使用者存取了哪個 S3 物件的稽核工作就更簡單。您不再需要重建不同使用者與IAM工作階段之間的關係。當您將 S3 Access Grants 與 IAM Identity Center 受信任身分傳播搭配使用時，Amazon S3 的每個AWS CloudTrail資料事件都會包含代表存取資料之最終使用者的直接參考。

如需有關 S3 Access Grants 的詳細資訊，請參閱下列主題。