使用政策來管理 Amazon S3 資源存取權的逐步解說 - Amazon Simple Storage Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用政策來管理 Amazon S3 資源存取權的逐步解說

本主題提供以下有關授予 Amazon S3 資源存取的簡介演練範例。這些範例使用 AWS Management Console 來建立資源 (儲存貯體、物件、使用者) 並授予其許可。範例接著會示範如何使用命令列工具來驗證許可,因此您不需要撰寫任何程式碼。我們同時使用 AWS Command Line Interface (AWS CLI) 和 提供命令 AWS Tools for Windows PowerShell。

  • 範例 1:為其使用者授予儲存貯體許可的儲存貯體擁有者

    您在帳戶中建立的 IAM 使用者預設沒有許可。在此練習中,您會授予使用者許可來執行儲存貯體與物件操作。

  • 範例 2:授予跨帳戶儲存貯體許可的儲存貯體擁有者

    在此練習中,儲存貯體擁有者 (帳戶 A) 會將跨帳戶許可授予另一個 AWS 帳戶(帳戶 B)。帳戶 B 接著會將這些許可委派給其帳戶中的使用者。

  • 在物件擁有者與儲存貯體擁有者不同的情況下管理物件許可

    此案例的情境範例是儲存貯體擁有者想要將物件許可授予其他人,但儲存貯體中並非所有物件都由儲存貯體擁有者所擁有。儲存貯體擁有者需要哪些許可,如何才能委派這些許可?

    建立儲存貯體 AWS 帳戶 的 稱為儲存貯體擁有者。擁有者可以授予其他 AWS 帳戶 許可來上傳物件,以及建立物件 AWS 帳戶 的 擁有物件。儲存貯體擁有者並不擁有其他 AWS 帳戶所建立物件的許可。如果儲存貯體擁有者寫入授予物件存取權的儲存貯體政策,則政策不適用於其他帳戶擁有的物件。

    在此情況下,物件擁有者必須先使用物件 ACL 將許可授予儲存貯體擁有者。然後,儲存貯體擁有者可以將這些物件許可委派給其他人、自有帳戶中的使用者或其他使用者 AWS 帳戶,如下列範例所示。

嘗試演練範例之前

這些範例使用 AWS Management Console 來建立資源和授予許可。若要測試許可,範例會使用命令列工具、 AWS CLI和 AWS Tools for Windows PowerShell,因此您不需要撰寫任何程式碼。若要測試許可,您必須設定其中一個工具。如需詳細資訊,請參閱設定演練的工具

此外,建立 資源時,這些範例不會使用 的根使用者憑證 AWS 帳戶。反之,您會在這些帳戶中建立管理員使用者來執行這些任務。

關於使用管理員使用者來建立資源並授予許可

AWS Identity and Access Management (IAM) 建議不要使用 的根使用者憑證 AWS 帳戶 來提出請求。相反地,請建立 IAM 使用者或角色、授予他們完整存取權,然後使用其憑證來提出請求。我們將此稱為管理員使用者或角色。如需詳細資訊,請前往 中的AWS 帳戶根使用者 憑證和 IAM 身分AWS 一般參考以及 IAM 使用者指南中的 Word 最佳實務IAM

本節中的所有演練範例會使用管理員使用者憑證。如果您尚未為 建立管理員使用者 AWS 帳戶,主題會示範如何進行。

若要 AWS Management Console 使用使用者憑證登入 ,您必須使用 IAM 使用者登入 URL。IAM 主控台為您的 提供此 URL AWS 帳戶。這些主題會示範如何取得 URL。