本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用政策來管理 Amazon S3 資源存取的逐步解說
<a name="example-walkthroughs-managing-access"></a>

本主題提供以下有關授予 Amazon S3 資源存取的簡介演練範例。這些範例使用 AWS 管理主控台 來建立資源 （儲存貯體、物件、使用者） 並授予許可。範例接著會示範如何使用命令列工具來驗證許可，因此您不需要撰寫任何程式碼。我們同時使用 AWS Command Line Interface (AWS CLI) 和 提供命令 AWS Tools for Windows PowerShell。
+ [範例 1：為其使用者授予儲存貯體許可的儲存貯體擁有者](example-walkthroughs-managing-access-example1.md)

  您在帳戶中建立的 IAM 使用者預設沒有任何許可。在此練習中，您會授予使用者許可來執行儲存貯體與物件操作。
+ [範例 2：授予跨帳戶儲存貯體許可的儲存貯體擁有者](example-walkthroughs-managing-access-example2.md)

  在此練習中，儲存貯體擁有者 (帳戶 A) 會將跨帳戶許可授予另一個 AWS 帳戶(帳戶 B)。帳戶 B 接著會將這些許可委派給其帳戶中的使用者。
+ **在物件擁有者與儲存貯體擁有者不同的情況下管理物件許可**

  此案例的情境範例是儲存貯體擁有者想要將物件許可授予其他人，但儲存貯體中並非所有物件都由儲存貯體擁有者所擁有。儲存貯體擁有者需要哪些許可，如何才能委派這些許可？

   AWS 帳戶 建立儲存貯體的 稱為儲存*貯體擁有者*。擁有者可以授予其他 AWS 帳戶 許可來上傳物件，以及建立物件 AWS 帳戶 的 擁有物件。儲存貯體擁有者並不擁有其他 AWS 帳戶所建立物件的許可。如果儲存貯體擁有者撰寫授予物件存取權的儲存貯體政策，該政策不適用於其他帳戶所擁有的物件。

  在此情況下，物件擁有者必須先使用物件 ACL 將許可授予儲存貯體擁有者。然後，儲存貯體擁有者可以將這些物件許可委派給其他人、其自己的帳戶中的使用者或其他使用者 AWS 帳戶，如下列範例所示。
  + [範例 3：授予對其未擁有之物件的許可的儲存貯體擁有者](example-walkthroughs-managing-access-example3.md)

    在此練習中，儲存貯體擁有者必須先從物件擁有者取得許可。儲存貯體擁有者可接著將這些許可委派給其專屬帳戶中的使用者。
  + [範例 4 - 儲存貯體擁有者授予其未擁有之物件的跨帳戶許可](example-walkthroughs-managing-access-example4.md)

    從物件擁有者接收許可後，儲存貯體擁有者無法將許可委派給其他 ， AWS 帳戶 因為不支援跨帳戶委派 （請參閱 [許可委派](access-policy-language-overview.md#permission-delegation))。相反地，儲存貯體擁有者可以建立具有執行特定操作 （例如取得物件） 許可的 IAM 角色 AWS 帳戶 ，並允許另一個角色擔任該角色。擔任該角色的任何人，皆可存取物件。此範例示範儲存貯體擁有者如何使用 IAM 角色來啟用此跨帳戶委派。

## 嘗試演練範例之前
<a name="before-you-try-example-walkthroughs-manage-access"></a>

這些範例使用 AWS 管理主控台 來建立資源並授予許可。若要測試許可，範例會使用命令列工具、 AWS CLI和 AWS Tools for Windows PowerShell，因此您不需要撰寫任何程式碼。若要測試許可，您必須設定其中一個工具。如需詳細資訊，請參閱[為逐步解說設定工具](policy-eval-walkthrough-download-awscli.md)。

此外，建立資源時，這些範例不會使用 AWS 帳戶的根使用者憑證。反之，您會在這些帳戶中建立管理員使用者來執行這些任務。

### 關於使用管理員使用者來建立資源並授予許可
<a name="about-using-root-credentials"></a>

AWS Identity and Access Management (IAM) 建議不要使用您的 AWS 帳戶 根使用者憑證來提出請求。反之，請建立 IAM 使用者或角色，並授予完整存取許可，然後使用該使用者或角色憑證來發出請求。我們將此稱為管理員使用者或角色。如需詳細資訊，請參閱《AWS 一般參考》**中的 [AWS 帳戶根使用者 憑證與 IAM 身分](https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html)，以及《IAM 使用者指南》**中的 [IAM 最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。

本節中的所有演練範例會使用管理員使用者憑證。如果您尚未為 建立管理員使用者 AWS 帳戶，主題會向您展示方法。

若要 AWS 管理主控台 使用 使用者登入資料登入 ，您必須使用 IAM 使用者登入 URL。[IAM 主控台](https://console.aws.amazon.com/iam/)會將此 URL 提供給您的 AWS 帳戶。這些主題示範如何取得 URL。