Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Minta akses ke data Amazon S3 melalui S3 Access Grants
Setelah Anda menggunakan Hibah Akses Amazon S3 untuk membuat hibah akses yang memberikan kepala sekolah AWS Identity and Access Management (IAM), identitas direktori perusahaan Anda, atau akses aplikasi resmi ke data S3 Anda, penerima hibah Anda dapat meminta kredensyal untuk mengakses data ini.
Saat aplikasi atau Layanan AWS menggunakan operasi GetDataAccess
API untuk meminta S3 Access Grants untuk mengakses data S3 Anda atas nama penerima hibah, S3 Access Grants terlebih dahulu memverifikasi bahwa Anda telah memberikan akses identitas ini ke data. Kemudian, S3 Access Grants menggunakan operasi AssumeRoleAPI untuk mendapatkan token kredensyal sementara dan menjualnya ke pemohon. Token kredensial sementara ini adalah token AWS Security Token Service (AWS STS).
Permintaan GetDataAccess
harus menyertakan parameter target
, yang menentukan ruang lingkup data S3 yang berlaku untuk kredensial sementara. Ruang lingkup target
ini dapat sama dengan ruang lingkup pemberian atau bagian dari ruang lingkup itu, tetapi ruang lingkup target
harus dalam ruang lingkup pemberian yang diberikan kepada pemohon. Permintaan juga harus menentukan permission
parameter untuk menunjukkan tingkat izin untuk kredensial sementara, apakah READ
, WRITE
, atau READWRITE
.
Pemohon dapat menentukan tingkat hak istimewa token sementara dalam permintaan kredensialnya. Dengan menggunakan parameter privilege
, pemohon dapat mengurangi atau meningkatkan ruang lingkup akses kredensial sementara, dalam batas-batas ruang lingkup pemberian. Nilai default privilege
parameter adalahDefault
, yang berarti bahwa cakupan target dari kredensi yang dikembalikan adalah cakupan hibah asli. Nilai lain yang mungkin untuk privilege
adalah Minimal
. Jika ruang lingkup target
dikurangi dari ruang lingkup pemberian asli, maka kredensial sementara dihilangkan cakupannya agar sesuai dengan ruang lingkup target
, selama ruang lingkup berada dalam ruang lingkup target
pemberian.
Tabel berikut merinci efek parameter privilege
pada dua pemberian. Satu pemberian memiliki ruang lingkup S3://
, yang mencakup seluruh DOC-EXAMPLE-BUCKET1
/bob/*bob/
prefiks dalam bucket
. Hibah lainnya memiliki ruang lingkup DOC-EXAMPLE-BUCKET1
S3://
, yang hanya mencakup DOC-EXAMPLE-BUCKET1
/bob/reports/*bob/reports/
prefiks di dalam bucket
. DOC-EXAMPLE-BUCKET1
Lingkup pemberian | Lingkup yang diminta | Keistimewaan | Lingkup yang dikembalikan | Efek |
---|---|---|---|---|
S3:// |
|
Default
|
|
Pemohon memiliki akses ke semua objek yang memiliki nama kunci yang dimulai dengan prefiks |
S3:// |
|
Minimal
|
|
Tanpa karakter wild card* setelah nama prefiks |
S3:// |
|
Minimal
|
|
Pemohon memiliki akses ke semua objek yang memiliki nama kunci yang dimulai dengan prefiks |
S3:// |
|
Default
|
|
Pemohon memiliki akses ke semua objek yang memiliki nama kunci yang dimulai dengan prefiks |
S3:// |
|
Minimal
|
|
Pemohon hanya memiliki akses ke objek dengan nama kunci |
Parameter durationSeconds
menetapkan durasi kredensial sementara, dalam hitungan detik. Nilai default adalah 3600
detik (1 jam), tetapi pemohon (penerima pemberian) dapat menentukan rentang dari 900
detik (15 menit) hingga 43200
detik (12 jam). Jika penerima pemberian meminta nilai yang lebih tinggi dari maksimum ini, permintaan gagal.
catatan
Dalam permintaan Anda untuk token sementara, jika lokasi adalah objek, tetapkan nilai parameter targetType
dalam permintaan Object
Anda. Parameter ini diperlukan hanya jika lokasi adalah objek dan tingkat hak istimewa adalah Minimal
. Jika lokasi adalah bucket atau prefiks, Anda tidak perlu menentukan parameter ini.
Untuk informasi selengkapnya, lihat GetDataAccessdi Referensi API Amazon Simple Storage Service.
Anda dapat meminta kredensyal sementara dengan menggunakan AWS Command Line Interface (AWS CLI), Amazon S3 REST API, dan SDK. AWS
Untuk menginstal AWS CLI, lihat Menginstal AWS CLI di Panduan AWS Command Line Interface Pengguna.
Untuk menggunakan perintah contoh berikut, ganti
dengan informasi Anda sendiri.user input
placeholders
contoh Meminta kredensial sementara
Permintaan:
aws s3control get-data-access \ --account-id
111122223333
\ --targets3://
\DOC-EXAMPLE-BUCKET
/prefixA*--permission
READ
\ --privilege Default \ --regionus-east-2
Respons:
{ "Credentials": { "AccessKeyId": "
Example-key-id
", "SecretAccessKey": "Example-access-key
", "SessionToken": "Example-session-token
", "Expiration": "2023-06-14T18:56:45+00:00
"}, "MatchedGrantTarget": "s3://
*" }DOC-EXAMPLE-BUCKET
/prefixA*
Untuk informasi tentang dukungan Amazon S3 REST API untuk meminta kredensyal sementara dari S3 Access Grants, lihat GetDataAccessdi Referensi API Amazon Simple Storage Service.
Bagian ini memberikan contoh bagaimana penerima hibah meminta kredensyal sementara dari S3 Access Grants dengan menggunakan SDK. AWS