使用政策管理 Amazon S3 資源存取權的逐步解說

本主題提供以下有關授予 Amazon S3 資源存取的簡介演練範例。這些範例會使 AWS Management Console 用建立資源 (值區、物件、使用者) 並授與權限。範例接著會示範如何使用命令列工具來驗證許可，因此您不需要撰寫任何程式碼。我們提供指令同時使用 AWS Command Line Interface (AWS CLI) 和 AWS Tools for Windows PowerShell.

範例 1：為其使用者授予儲存貯體許可的儲存貯體擁有者

您在帳戶中建立的 IAM 使用者預設沒有任何許可。在此練習中，您會授予使用者許可來執行儲存貯體與物件操作。
範例 2：授予跨帳戶儲存貯體許可的儲存貯體擁有者

在此練習中，儲存貯體擁有者 (帳戶 A) 會將跨帳戶許可授予另一個 AWS 帳戶(帳戶 B)。帳戶 B 接著會將這些許可委派給其帳戶中的使用者。
在物件擁有者與儲存貯體擁有者不同的情況下管理物件許可

此案例的情境範例是儲存貯體擁有者想要將物件許可授予其他人，但儲存貯體中並非所有物件都由儲存貯體擁有者所擁有。儲存貯體擁有者需要哪些許可，如何才能委派這些許可？

建立值區的 AWS 帳戶稱為「值區擁有者」。擁有者可以授與其他上載物件的 AWS 帳戶權限，而建立物件的權限則擁有 AWS 帳戶這些物件。儲存貯體擁有者並不擁有其他 AWS 帳戶所建立物件的許可。如果值區擁有者撰寫值區政策授與物件存取權，則該政策不會套用至其他帳戶所擁有的物件。

在此情況下，物件擁有者必須先使用物件 ACL 將許可授予儲存貯體擁有者。然後，值區擁有者可以將這些物件權限委派給其他人、自己帳戶中的使用者，或委派給其他使用者 AWS 帳戶，如下列範例所示。
- 範例 3：授予對其未擁有之物件的許可的儲存貯體擁有者
  
  在此練習中，儲存貯體擁有者必須先從物件擁有者取得許可。儲存貯體擁有者可接著將這些許可委派給其專屬帳戶中的使用者。
- 範例 4-值區擁有者將跨帳戶權限授與其不擁有的物件
  
  收到物件擁有者的權限後，值區擁有者無法將權限委派給其他人， AWS 帳戶因為不支援跨帳戶委派 (請參閱許可委派)。相反地，值區擁有者可以建立具有執行特定作業 (例如 get object) 許可的 IAM 角色，並允許其他 AWS 帳戶人擔任該角色。擔任該角色的任何人，皆可存取物件。此範例示範儲存貯體擁有者如何使用 IAM 角色來啟用此跨帳戶委派。

嘗試演練範例之前

這些範例使用 AWS Management Console 建立資源並授與權限。若要測試權限，範例會使用命令列工具 AWS CLI、和 AWS Tools for Windows PowerShell，因此您不需要撰寫任何程式碼。若要測試許可，您必須設定其中一個工具。如需詳細資訊，請參閱設定逐步解說的工具。

此外，在建立資源時，這些範例不會使用 AWS 帳戶. 反之，您會在這些帳戶中建立管理員使用者來執行這些任務。

關於使用管理員使用者來建立資源並授予許可

AWS Identity and Access Management (IAM) 建議不要使用您的 AWS 帳戶根使用者憑證來提出請求。反之，請建立 IAM 使用者或角色，並授予完整存取許可，然後使用該使用者或角色憑證來發出請求。我們將此稱為管理員使用者或角色。如需詳細資訊，請參閱《AWS 一般參考》中的 AWS 帳戶根使用者憑證與 IAM 身分，以及《IAM 使用者指南》中的 IAM 最佳實務。

本節中的所有演練範例會使用管理員使用者憑證。如果您尚未為您建立系統管理員使用者 AWS 帳戶，則主題會顯示如何進行。

若要使用 AWS Management Console 使用者認證登入，您必須使用 IAM 使用者登入 URL。IAM 主控台會為您的 AWS 帳戶. 這些主題示範如何取得 URL。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

控制對儲存貯體的存取

設定工具