Membuat pemberian

Pemberian akses individual dalam instans S3 Access Grants memungkinkan identitas tertentu—prinsipal AWS Identity and Access Management (IAM), atau pengguna atau grup di direktori perusahaan—untuk mendapatkan akses di dalam lokasi yang terdaftar di instans S3 Access Grants Anda. Lokasi memetakan ember atau awalan ke suatu peran. IAM S3 Access Grants mengasumsikan IAM peran ini untuk menjual kredensil sementara kepada penerima hibah.

Setelah mendaftarkan setidaknya satu lokasi di instans S3 Access Grants, Anda dapat membuat hibah akses.

Penerima hibah dapat berupa IAM pengguna atau peran atau pengguna direktori atau grup. Pengguna direktori adalah pengguna dari direktori perusahaan Anda atau sumber identitas eksternal yang Anda kaitkan dengan instans S3 Access Grants Anda. Untuk informasi selengkapnya, lihat S3 Access Grants dan identitas direktori perusahaan. Untuk membuat hibah untuk pengguna atau grup direktori tertentu dari Pusat IAM Identitas, temukan Pusat IAM Identitas GUID yang digunakan untuk mengidentifikasi pengguna tersebut di Pusat IAM Identitas, misalnya,a1b2c3d4-5678-90ab-cdef-EXAMPLE11111. Untuk informasi selengkapnya tentang cara menggunakan Pusat IAM Identitas untuk melihat informasi pengguna, lihat Melihat penetapan pengguna dan grup di panduan AWS IAM Identity Center pengguna.

Anda dapat memberikan akses ke bucket, awalan, atau objek. Prefiks di Amazon S3 adalah string karakter di awal nama kunci objek yang digunakan untuk mengatur objek dalam bucket. Ini bisa berupa string karakter yang diizinkan, misalnya, nama kunci objek di bucket Anda yang dimulai dengan engineering/ awalan.

Subprefiks

Saat memberikan akses ke lokasi terdaftar, Anda dapat menggunakan Subprefix bidang untuk mempersempit cakupan akses ke subset cakupan lokasi. Jika lokasi terdaftar yang Anda pilih untuk hibah adalah jalur S3 default (s3://), Anda harus mempersempit cakupan hibah. Anda tidak dapat membuat hibah akses untuk lokasi default (s3://), yang akan memberikan akses kepada penerima hibah ke setiap bucket dalam file. Wilayah AWS Sebagai gantinya, Anda harus mempersempit cakupan hibah menjadi salah satu dari yang berikut:

Sebuah ember: s3://bucket/*
Awalan dalam ember: s3://bucket/prefix*
Awalan dalam awalan: s3://bucket/prefixA/prefixB*
Sebuah objek: s3://bucket/object-key-name

Jika Anda membuat hibah akses di mana lokasi terdaftar adalah bucket, Anda dapat meneruskan salah satu dari berikut ini di Subprefix bidang untuk mempersempit cakupan hibah:

Awalan di dalam ember: prefix*
Awalan dalam awalan: prefixA/prefixB*
Sebuah objek: /object-key-name

Setelah Anda membuat hibah, cakupan hibah yang ditampilkan di konsol Amazon S3 atau GrantScope yang dikembalikan dalam respons API or AWS Command Line Interface (AWS CLI) adalah hasil dari menggabungkan jalur lokasi dengan. Subprefix Pastikan jalur gabungan ini dipetakan dengan benar ke bucket, prefiks, atau S3 Object yang ingin Anda berikan aksesnya.

catatan

Jika Anda perlu membuat hibah akses yang memberikan akses hanya ke satu objek, Anda harus menentukan bahwa jenis hibah adalah untuk objek. Untuk melakukan ini dalam API panggilan atau CLI perintah, berikan s3PrefixType parameter dengan nilaiObject. Di konsol Amazon S3, saat Anda membuat hibah, setelah memilih lokasi, di bawah Grant Scope, pilih kotak centang Grant scope is an object.
Anda tidak dapat membuat pemberian ke bucket jika bucket belum ada. Namun, Anda dapat membuat hibah ke awalan yang belum ada.
Untuk jumlah maksimum hibah yang dapat Anda buat di instance S3 Access Grants, lihat. Batasan S3 Access Grants

Anda dapat membuat hibah akses dengan menggunakan konsol Amazon S3, Amazon REST API S3 AWS CLI, dan. AWS SDKs

Untuk membuat pemberian akses

Masuk ke AWS Management Console dan buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/
Pada panel navigasi di sebelah kiri, pilih Access Grants.
Pada halaman S3 Access Grants, pilih Region yang berisi instance S3 Access Grants yang ingin Anda gunakan.

Jika Anda menggunakan instans S3 Access Grants untuk pertama kalinya, pastikan Anda telah menyelesaikan Langkah 2-daftarkan lokasi dan navigasikan ke Langkah 3 dari wizard Buat instans Access Grants. Jika Anda sudah memiliki instans S3 Access Grants, pilih Lihat detail, lalu dari tab Izin, pilih Buat pemberian.
1. Di bagian Cakupan pemberian, pilih atau masukkan lokasi yang telah terdaftar.
  
  Jika Anda memilih lokasi default s3://, gunakan kotak Subprefiks untuk mempersempit cakupan pemberian akses. Untuk informasi selengkapnya, lihat Subprefiks. Jika Anda memberikan akses hanya ke objek, pilih Ruang lingkup pemberian adalah sebuah objek.
2. Di bawah Izin dan akses, pilih tingkat Izin, baik Baca, Tulis, atau keduanya.
  
  Kemudian pilih jenis Jenis pemberian. Jika Anda telah menambahkan direktori perusahaan Anda ke Pusat IAM Identitas dan mengaitkan instance Pusat IAM Identitas ini dengan instans S3 Access Grants Anda, Anda dapat memilih identitas Direktori dari Pusat IAM Identitas. Jika Anda memilih opsi ini, dapatkan ID pengguna atau grup dari Pusat IAM Identitas dan masukkan di bagian ini.
  
  Jika tipe Penerima Hibah adalah IAM pengguna atau peran, pilih IAM prinsipal. Di bawah tipe IAM utama, pilih Pengguna atau Peran. Kemudian, di bawah pengguna IAM utama, pilih dari daftar atau masukkan ID identitas.
3. Untuk membuat pemberian S3 Access Grants, pilih Selanjutnya atau Buat pemberian.
Jika Selanjutnya atau Buat pemberian dinonaktifkan:
Tidak dapat membuat pemberian
- Anda mungkin perlu mendaftarkan lokasi terlebih dahulu di dalam instans S3 Access Grants Anda.
- Anda mungkin tidak memiliki izin s3:CreateAccessGrant untuk membuat akses. Menghubungi administrator akun Anda.

Untuk menginstal AWS CLI, lihat Menginstal AWS CLI di Panduan AWS Command Line Interface Pengguna.

Contoh berikut menunjukkan cara membuat permintaan hibah akses untuk IAM prinsipal dan cara membuat permintaan hibah akses untuk pengguna atau grup direktori perusahaan.

Untuk menggunakan perintah contoh berikut, ganti user input placeholders dengan informasi Anda sendiri.

catatan

Jika Anda membuat pemberian akses yang memberikan akses hanya ke satu objek, sertakan parameter --s3-prefix-type Object yang diperlukan.

contoh Buat permintaan hibah akses untuk IAM kepala sekolah


aws s3control create-access-grant \
--account-id 111122223333 \
--access-grants-location-id a1b2c3d4-5678-90ab-cdef-EXAMPLE22222 \
--access-grants-location-configuration S3SubPrefix=prefixB* \
--permission READ \
--grantee GranteeType=IAM,GranteeIdentifier=arn:aws:iam::123456789012:user/data-consumer-3

contoh Membuat respons pemberian akses


{"CreatedAt": "2023-05-31T18:41:34.663000+00:00",
    "AccessGrantId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "AccessGrantArn": "arn:aws:s3:us-east-2:111122223333:access-grants/default/grant/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Grantee": {
        "GranteeType": "IAM",
        "GranteeIdentifier": "arn:aws:iam::111122223333:user/data-consumer-3"
    },
    "AccessGrantsLocationId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
    "AccessGrantsLocationConfiguration": {
        "S3SubPrefix": "prefixB*"
    },
    "GrantScope": "s3://DOC-BUCKET-EXAMPLE/prefix*",
    "Permission": "READ"
}

Membuat permintaan pemberian akses untuk pengguna atau grup direktori

Untuk membuat permintaan hibah akses untuk pengguna atau grup direktori, Anda harus terlebih dahulu mendapatkan GUID untuk pengguna direktori atau grup dengan menjalankan salah satu perintah berikut.

contoh Dapatkan GUID untuk pengguna direktori atau grup

Anda dapat menemukan pengguna Pusat IAM Identitas melalui konsol Pusat IAM Identitas atau dengan menggunakan AWS CLI atau AWS SDKs. GUID Perintah berikut mencantumkan pengguna dalam contoh Pusat IAM Identitas yang ditentukan, dengan nama dan pengenal mereka.


aws identitystore list-users --identity-store-id d-1a2b3c4d1234

Perintah ini mencantumkan grup dalam contoh Pusat IAM Identitas yang ditentukan.


aws identitystore list-groups --identity-store-id d-1a2b3c4d1234

contoh Membuat pemberian akses untuk pengguna atau grup direktori

Perintah ini mirip dengan membuat hibah untuk IAM pengguna atau peran, kecuali jenis penerima hibah adalah DIRECTORY_USER atauDIRECTORY_GROUP, dan pengidentifikasi penerima hibah adalah GUID untuk pengguna direktori atau grup.


aws s3control create-access-grant \
--account-id 123456789012 \
--access-grants-location-id default \
--access-grants-location-configuration S3SubPrefix="DOC-EXAMPLE-BUCKET/rafael/*" \
--permission READWRITE \
--grantee GranteeType=DIRECTORY_USER,GranteeIdentifier=83d43802-00b1-7054-db02-f1d683aacba5 \

Untuk informasi tentang REST API dukungan Amazon S3 untuk mengelola hibah akses, lihat bagian berikut di Referensi Layanan Penyimpanan Sederhana Amazon: API

Bagian ini memberikan contoh cara membuat hibah akses dengan menggunakan AWS SDKs.

Topik

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Hapus lokasi terdaftar

Lihat izin

Membuat pemberian

Subprefiks

catatan

Untuk membuat pemberian akses

Tidak dapat membuat pemberian

catatan

contoh Buat permintaan hibah akses untuk IAM kepala sekolah

contoh Membuat respons pemberian akses

Membuat permintaan pemberian akses untuk pengguna atau grup direktori

contoh Dapatkan GUID untuk pengguna direktori atau grup

contoh Membuat pemberian akses untuk pengguna atau grup direktori

catatan

contoh Buat permintaan pemberian akses

contoh Membuat respons pemberian akses

Topik