Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Membuat pemberian
Setelah mendaftarkan setidaknya satu lokasi di instans Amazon S3 Access Grants, Anda dapat membuat pemberian akses. Hibah akses memberikan izin penerima pemberian untuk mengakses lokasi terdaftar.
Penerima hibah dapat berupa pengguna AWS Identity and Access Management (IAM) atau peran atau pengguna direktori atau grup. Pengguna direktori adalah pengguna dari direktori perusahaan atau sumber identitas eksternal yang Anda tambahkan ke dalam AWS IAM Identity Center
instans yang terkait dengan instans S3 Access Grants Anda. Untuk membuat pemberian untuk pengguna atau grup tertentu dari IAM Identity Center, temukan GUID yang digunakan IAM Identity Center untuk mengidentifikasi pengguna tersebut di Pusat Identitas IAM, misalnya, a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
.
Anda dapat memberikan akses ke sebuah bucket, prefiks, atau objek. Prefiks di Amazon S3 adalah string karakter di awal nama kunci objek yang digunakan untuk mengatur objek dalam bucket. Ini dapat berupa string karakter yang diizinkan, misalnya, nama kunci objek dalam bucket yang dimulai dengan prefiks engineering/
.
Subprefiks
Saat memberikan akses ke lokasi terdaftar, Anda dapat menggunakan bidang Subprefix
untuk mempersempit cakupan ke prefiks tertentu dalam bucket atau objek tertentu dalam bucket.
Anda tidak dapat membuat pemberian akses untuk lokasi s3://
default, yang akan memberikan akses kepada penerima pemberian ke setiap bucket di dalam Wilayah. Jika Anda memilih lokasi default s3://
sebagai lokasi pemberian, Anda harus mempersempit cakupan pemberian dengan menggunakan bidang Subprefix
untuk menentukan salah satu dari berikut ini:
-
Sebuah bucket—
s3://
bucket
/* -
Awalan dalam bucket—
s3://
bucket
/prefix
* -
Sebuah prefiks di dalam prefiks—
s3://
bucket
/prefixA
/prefixB
* -
Sebuah objek—
s3://
bucket
/object-key-name
Jika Anda membuat pemberian akses di mana lokasi terdaftar adalah bucket, Anda dapat meneruskan salah satu dari yang berikut ini di Subprefix
bidang:
-
Awalan di dalam bucket—
prefix
* -
Sebuah prefiks di dalam prefiks—
prefixA/
prefixB
* -
Sebuah objek—
/
object-key-name
Cakupan hibah yang ditampilkan di konsol Amazon S3 atau GrantScope
yang dikembalikan dalam respons API atau AWS Command Line Interface (AWS CLI) adalah hasil dari penggabungan jalur lokasi dengan. Subprefix
Pastikan jalur gabungan ini dipetakan dengan benar ke bucket, prefiks, atau S3 Object yang ingin Anda berikan aksesnya.
Jika Anda membuat pemberian akses yang memberikan akses hanya ke satu objek, tentukan dalam panggilan API atau perintah CLI yang menunjukkan bahwa s3PrefixType
adalah Object
.
catatan
Anda tidak dapat membuat pemberian ke bucket jika bucket belum ada. Namun, Anda dapat membuat pemberian ke prefiks yang belum ada.
Anda dapat membuat hibah akses dengan menggunakan konsol Amazon S3, API Amazon S3 REST AWS CLI, dan SDK. AWS
Untuk membuat pemberian akses
Masuk ke AWS Management Console dan buka konsol Amazon S3 di https://console.aws.amazon.com/s3/.
-
Pada panel navigasi di sebelah kiri, pilih Access Grants.
-
Pada halaman S3 Access Grants, pilih Region yang berisi instance S3 Access Grants yang ingin Anda gunakan.
Jika Anda menggunakan instans S3 Access Grants untuk pertama kalinya, pastikan Anda telah menyelesaikan Langkah 2-daftarkan lokasi dan navigasikan ke Langkah 3 dari wizard Buat instans Access Grants. Jika Anda sudah memiliki instans S3 Access Grants, pilih Lihat detail, lalu dari tab Izin, pilih Buat pemberian.
-
Di bagian Cakupan pemberian, pilih atau masukkan lokasi yang telah terdaftar.
Jika Anda memilih lokasi default
s3://
, gunakan kotak Subprefiks untuk mempersempit cakupan pemberian akses. Untuk informasi selengkapnya, lihat Subprefiks. Jika Anda memberikan akses hanya ke objek, pilih Ruang lingkup pemberian adalah sebuah objek. -
Di bawah Izin dan akses, pilih tingkat Izin, baik Baca, Tulis, atau keduanya.
Kemudian pilih jenis Jenis pemberian. Jika Anda telah menambahkan direktori perusahaan Anda ke IAM Identity Center dan mengaitkan instans IAM Identity Center ini dengan instans S3 Access Grants Anda, Anda dapat memilih Identitas direktori dari IAM Identity Center. Jika Anda memilih opsi ini, dapatkan ID pengguna atau grup dari IAM Identity Center dan masukkan di bagian ini.
Jika Jenis penerima adalah pengguna IAM atau peran, pilih Pengguna utama IAM. Di bawah Jenis pengguna utama IAM, pilih Pengguna atau Peran. Kemudian, di bawah Pengguna utama IAM, pilih dari daftar atau masukkan ID identitas.
-
Untuk membuat pemberian S3 Access Grants, pilih Selanjutnya atau Buat pemberian.
-
-
Jika Selanjutnya atau Buat pemberian dinonaktifkan:
Tidak dapat membuat pemberian
-
Anda mungkin perlu mendaftarkan lokasi terlebih dahulu di dalam instans S3 Access Grants Anda.
-
Anda mungkin tidak memiliki izin
s3:CreateAccessGrant
untuk membuat akses. Menghubungi administrator akun Anda.
-
Untuk menginstal AWS CLI, lihat Menginstal AWS CLI di Panduan AWS Command Line Interface Pengguna.
Contoh berikut menunjukkan cara membuat permintaan pemberian akses untuk pengguna utama IAM dan cara membuat permintaan pemberian akses untuk pengguna atau grup direktori perusahaan.
Untuk menggunakan perintah contoh berikut, ganti
dengan informasi Anda sendiri.user input
placeholders
catatan
Jika Anda membuat pemberian akses yang memberikan akses hanya ke satu objek, sertakan parameter --s3-prefix-type Object
yang diperlukan.
contoh Buat permintaan pemberian akses untuk pengguna utama IAM
aws s3control create-access-grant \ --account-id
111122223333
\ --access-grants-location-ida1b2c3d4-5678-90ab-cdef-EXAMPLE22222
\ --access-grants-location-configurationS3SubPrefix=prefixB*
\ --permissionREAD
\ --grantee GranteeType=IAM
,GranteeIdentifier=arn:aws:iam::123456789012
:user
/data-consumer-3
contoh Membuat respons pemberian akses
{"CreatedAt": "2023-05-31T18:41:34.663000+00:00", "AccessGrantId": "
a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
", "AccessGrantArn": "arn:aws:s3:us-east-2
:111122223333
:access-grants/default/grant/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
", "Grantee": { "GranteeType": "IAM", "GranteeIdentifier": "arn:aws:iam::111122223333
:user/data-consumer-3" }, "AccessGrantsLocationId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222
", "AccessGrantsLocationConfiguration": { "S3SubPrefix": "prefixB*" }, "GrantScope": "s3://DOC-BUCKET-EXAMPLE/prefix*", "Permission": "READ" }
Membuat permintaan pemberian akses untuk pengguna atau grup direktori
Untuk membuat permintaan pemberian akses untuk pengguna atau grup direktori, Anda harus terlebih dahulu mendapatkan GUID untuk pengguna direktori atau grup dengan menjalankan salah satu perintah berikut.
contoh Dapatkan GUID untuk pengguna direktori atau grup
Anda dapat menemukan GUID pengguna IAM Identity Center melalui konsol IAM Identity Center atau dengan menggunakan atau SDK AWS CLI . AWS Perintah berikut mencantumkan pengguna dalam contoh instans IAM Identity Center yang ditentukan, dengan nama dan pengenal mereka.
aws identitystore list-users --identity-store-id
d-1a2b3c4d1234
Perintah ini mencantumkan grup dalam instans IAM Identity Center yang ditentukan.
aws identitystore list-groups --identity-store-id
d-1a2b3c4d1234
contoh Membuat pemberian akses untuk pengguna atau grup direktori
Perintah ini mirip dengan membuat pemberian untuk pengguna atau peran IAM, kecuali jenis penerima pemberian adalah DIRECTORY_USER
atau DIRECTORY_GROUP
, dan pengidentifikasi penerima pemberian adalah GUID untuk pengguna direktori atau grup.
aws s3control create-access-grant \ --account-id
123456789012
\ --access-grants-location-iddefault
\ --access-grants-location-configurationS3SubPrefix="DOC-EXAMPLE-BUCKET/rafael/*
" \ --permissionREADWRITE
\ --grantee GranteeType=DIRECTORY_USER
,GranteeIdentifier=83d43802-00b1-7054-db02-f1d683aacba5
\
Untuk informasi tentang support API REST Amazon S3 untuk mengelola pemberian akses, lihat bagian berikut di Referensi API Amazon Storage Service:
Bagian ini memberikan contoh cara membuat pemberian akses dengan menggunakan SDK AWS .