本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用政策來管理 Amazon S3 資源存取權的逐步解說
本主題提供以下有關授予 Amazon S3 資源存取的簡介演練範例。這些範例使用 AWS Management Console 來建立資源 (儲存貯體、物件、使用者) 並授予其許可。範例接著會示範如何使用命令列工具來驗證許可,因此您不需要撰寫任何程式碼。我們同時使用 AWS Command Line Interface (AWS CLI) 和 提供命令 AWS Tools for Windows PowerShell。
-
您在帳戶中建立的 IAM 使用者預設沒有許可。在此練習中,您會授予使用者許可來執行儲存貯體與物件操作。
-
在此練習中,儲存貯體擁有者 (帳戶 A) 會將跨帳戶許可授予另一個 AWS 帳戶(帳戶 B)。帳戶 B 接著會將這些許可委派給其帳戶中的使用者。
-
在物件擁有者與儲存貯體擁有者不同的情況下管理物件許可
此案例的情境範例是儲存貯體擁有者想要將物件許可授予其他人,但儲存貯體中並非所有物件都由儲存貯體擁有者所擁有。儲存貯體擁有者需要哪些許可,如何才能委派這些許可?
建立儲存貯體 AWS 帳戶 的 稱為儲存貯體擁有者。擁有者可以授予其他 AWS 帳戶 許可來上傳物件,以及建立物件 AWS 帳戶 的 擁有物件。儲存貯體擁有者並不擁有其他 AWS 帳戶所建立物件的許可。如果儲存貯體擁有者寫入授予物件存取權的儲存貯體政策,則政策不適用於其他帳戶擁有的物件。
在此情況下,物件擁有者必須先使用物件 ACL 將許可授予儲存貯體擁有者。然後,儲存貯體擁有者可以將這些物件許可委派給其他人、自有帳戶中的使用者或其他使用者 AWS 帳戶,如下列範例所示。
-
在此練習中,儲存貯體擁有者必須先從物件擁有者取得許可。儲存貯體擁有者可接著將這些許可委派給其專屬帳戶中的使用者。
-
範例 4 - 將跨帳戶許可授予其未擁有的物件的儲存貯體擁有者
收到物件擁有者的許可後,儲存貯體擁有者無法將許可委派給其他 , AWS 帳戶 因為不支援跨帳戶委派 (請參閱 許可委派)。相反地,儲存貯體擁有者可以建立具有執行特定操作 (例如取得物件) 許可的 IAM 角色 AWS 帳戶 ,並允許另一個角色擔任該角色。擔任該角色的任何人,皆可存取物件。此範例顯示儲存貯體擁有者如何使用 IAM 角色來啟用此跨帳戶委派。
-
嘗試演練範例之前
這些範例使用 AWS Management Console 來建立資源和授予許可。若要測試許可,範例會使用命令列工具、 AWS CLI和 AWS Tools for Windows PowerShell,因此您不需要撰寫任何程式碼。若要測試許可,您必須設定其中一個工具。如需詳細資訊,請參閱設定演練的工具。
此外,建立 資源時,這些範例不會使用 的根使用者憑證 AWS 帳戶。反之,您會在這些帳戶中建立管理員使用者來執行這些任務。
關於使用管理員使用者來建立資源並授予許可
AWS Identity and Access Management (IAM) 建議不要使用 的根使用者憑證 AWS 帳戶 來提出請求。相反地,請建立 IAM 使用者或角色、授予他們完整存取權,然後使用其憑證來提出請求。我們將此稱為管理員使用者或角色。如需詳細資訊,請前往 中的AWS 帳戶根使用者 憑證和 IAM 身分,AWS 一般參考以及 IAM 使用者指南中的 Word 最佳實務。 IAM
本節中的所有演練範例會使用管理員使用者憑證。如果您尚未為 建立管理員使用者 AWS 帳戶,主題會示範如何進行。
若要 AWS Management Console 使用使用者憑證登入 ,您必須使用 IAM 使用者登入 URL。IAM 主控台