Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Accès aux données S3 à l'aide des informations d'identification fournies par S3 Access Grants
Une fois qu'un bénéficiaire a obtenu des informations d'identification temporaires par le biais de son autorisation d'accès, il peut utiliser ces informations d'identification temporaires pour appeler les API opérations Amazon S3 afin d'accéder à vos données.
Les bénéficiaires peuvent accéder aux données S3 en utilisant le AWS Command Line Interface (AWS CLI), le AWS SDKs, et l'Amazon S3 RESTAPI. De plus, vous pouvez utiliser AWS Plug-ins Python
Une fois que le bénéficiaire a obtenu ses informations d’identification temporaires auprès des octrois d’accès S3, il peut configurer un profil avec ces informations d’identification pour récupérer les données.
Pour installer la AWS CLI, voir Installation du AWS CLI dans le .AWS Command Line Interface Guide de l'utilisateur.
Pour utiliser les exemples de commandes suivants, remplacez les user input
placeholders
Exemple : Configurer un profil
aws configure set aws_access_key_id "$accessKey" --profileaccess-grants-consumer-access-profileaws configure set aws_secret_access_key "$secretKey" --profileaccess-grants-consumer-access-profileaws configure set aws_session_token "$sessionToken" --profileaccess-grants-consumer-access-profile
Pour utiliser l'exemple de commande suivant, remplacez user input
placeholders
Exemple : Obtenir les données S3
Le bénéficiaire peut utiliser le get-object AWS CLI commande pour accéder aux données. Le bénéficiaire peut également utiliser put-object, ls, et autres S3 AWS CLI commandes.
aws s3api get-object \ --bucketamzn-s3-demo-bucket1\ --keymyprefix\ --regionus-east-2\ --profileaccess-grants-consumer-access-profile
Cette section fournit des exemples de la manière dont les bénéficiaires peuvent accéder à vos données S3 à l'aide du AWS SDKs.
Actions S3 prises en charge dans les autorisations d'accès S3
Un bénéficiaire peut utiliser les informations d'identification temporaires fournies par S3 Access Grants pour effectuer des actions S3 sur les données S3 auxquelles il a accès. Voici une liste des actions S3 autorisées qu'un bénéficiaire peut effectuer. Les actions autorisées dépendent du niveau d'autorisation accordé dans l'autorisation d'accès, soit READWRITE, soitREADWRITE.
Note
Outre les autorisations Amazon S3 répertoriées ci-dessous, Amazon S3 peut appeler le AWS Key Management Service (AWS KMS) READ Autorisation de déchiffrement (kms:decrypt) ou AWS KMS GenerateDataKey(kms:generateDataKey) WRITE autorisation. Ces autorisations ne permettent pas d'accéder directement au AWS KMS clé.
| IAMAction S3 | APIaction et documentation | S3 Access accorde l'autorisation | Ressource S3 |
|---|---|---|---|
s3:GetObject |
GetObject | READ |
Objet |
s3:GetObjectVersion |
GetObject | READ |
Objet |
s3:GetObjectAcl |
GetObjectAcl | READ |
Objet |
s3:GetObjectVersionAcl |
GetObjectAcl | READ |
Objet |
s3:ListMultipartUploads |
ListParts | READ |
Objet |
s3:PutObject |
PutObject, CreateMultipartUpload, UploadPart, UploadPartCopy, CompleteMultipartUpload | WRITE |
Objet |
s3:PutObjectAcl |
PutObjectAcl | WRITE |
Objet |
s3:PutObjectVersionAcl |
PutObjectAcl | WRITE |
Objet |
s3:DeleteObject |
DeleteObject | WRITE |
Objet |
s3:DeleteObjectVersion |
DeleteObject | WRITE |
Objet |
s3:AbortMultipartUpload |
AbortMultipartUpload | WRITE |
Objet |
s3:ListBucket |
HeadBucket, ListObjectsV2, ListObjects | READ |
Compartiment |
s3:ListBucketVersions |
ListObjectVersions | READ |
Compartiment |
s3:ListBucketMultipartUploads |
ListMultipartUploads | READ |
Compartiment |
