Tutorial: Menyiapkan aplikasi AWS Transfer Family web dengan akses multi-bucket selektif

Tutorial ini memandu Anda dalam mengonfigurasi aplikasi web Transfer Family dengan izin bucket Amazon S3 khusus untuk satu pengguna. Anda akan belajar cara menyiapkan solusi yang memungkinkan pengguna mengunduh dari satu bucket dan mengunggah ke bucket lainnya sambil menjaga keamanan. Ini adalah tutorial lanjutan yang dibangun di atas konsep yang tercakup dalam tutorial dasar. Jika Anda baru mengenal aplikasi AWS Transfer Family web, pertimbangkan untuk memulai denganTutorial: Menyiapkan aplikasi web Transfer Family dasar.

Prasyarat

Sebelum Anda memulai tutorial ini, Anda perlu:

• Pusat Identitas IAM dikonfigurasi di wilayah yang sama dengan aplikasi AWS Transfer Family web Anda. Perhatikan bahwa hanya AWS mengizinkan satu instance Pusat Identitas IAM per AWS akun untuk semua Wilayah.

• Setidaknya satu pengguna dikonfigurasi di IAM Identity Center.

• Dua ember S3: satu untuk unduhan dan satu untuk unggahan.

catatan

Tutorial ini berbagi banyak prasyarat dengan tutorial aplikasi web dasar. Untuk informasi selengkapnya tentang menyiapkan Pusat Identitas IAM dan membuat pengguna, lihatTutorial: Menyiapkan aplikasi web Transfer Family dasar.

Langkah 1: Buat aplikasi web Transfer Family

Untuk membuat aplikasi web Transfer Family

1. Masuk ke AWS Management Console dan buka AWS Transfer Family konsol di https://console.aws.amazon.com/transfer/.

2. Di panel navigasi kiri, pilih Aplikasi Web.

3. Pilih Buat aplikasi web.

   Untuk akses autentikasi, perhatikan bahwa layanan secara otomatis menemukan AWS IAM Identity Center instance yang Anda atur sebagai prasyarat.

4. Di panel Jenis izin, pilih Buat dan gunakan peran layanan baru. Layanan ini menciptakan peran pembawa identitas untuk Anda. Peran pembawa identitas mencakup identitas pengguna yang diautentikasi dalam sesinya.

5. Di panel unit aplikasi Web, terima nilai default 1, atau sesuaikan ke nilai yang lebih tinggi jika diperlukan.

6. Tambahkan tag untuk membantu Anda mengatur aplikasi web Anda. Untuk tutorial, masukkan Nama untuk kunci dan aplikasi web Tutorial untuk nilainya.

   Tip

   Anda dapat mengedit nama aplikasi web langsung dari halaman daftar aplikasi Web setelah Anda membuatnya.

7. Pilih Berikutnya untuk membuka halaman aplikasi web Desain. Di layar ini, berikan informasi berikut.

   Anda dapat memberikan judul untuk aplikasi web Anda secara opsional. Anda juga dapat mengunggah file gambar untuk logo dan favicon Anda.

   • Untuk judul halaman, sesuaikan judul untuk tab browser yang dilihat pengguna Anda saat mereka terhubung ke aplikasi web. Jika Anda tidak memasukkan apa pun untuk judul halaman, defaultnya adalah Transfer Web App.

   • Untuk logo, unggah file gambar. Ukuran file maksimum untuk gambar logo Anda adalah 50 KB.

   • Untuk favicon, unggah file gambar. Ukuran file maksimum untuk favicon Anda adalah 20 KB.

8. Pilih Berikutnya, lalu pilih Buat aplikasi web.

Langkah 2: Konfigurasikan peran IAM untuk akses S3

Anda perlu membuat dua peran IAM: satu dengan akses khusus unduhan ke bucket pertama dan satu lagi dengan akses khusus unggah ke bucket kedua.

Kebijakan kepercayaan untuk kedua peran

Gunakan kebijakan kepercayaan berikut untuk kedua peran IAM:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AccessGrantsTrustPolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "access-grants.s3.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetSourceIdentity",
                "sts:SetContext"
            ]
        }
    ]
}

Kebijakan IAM untuk bucket unduhan

Buat peran IAM dengan kebijakan berikut untuk akses hanya-baca ke bucket unduhan Anda:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ObjectLevelReadPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion",
                "s3:GetObjectAcl",
                "s3:GetObjectVersionAcl",
                "s3:ListMultipartUploadParts",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket1"
            ]
        }
    ]
}

penting

Ganti amzn-s3-demo-bucket1 dengan nama sebenarnya dari bucket unduhan Anda.

Kebijakan IAM untuk upload bucket

Buat peran IAM lain dengan kebijakan berikut untuk akses tulis ke bucket upload Anda:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ObjectLevelWritePermissions",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:PutObjectVersionAcl",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:AbortMultipartUpload",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket2/*",
                "arn:aws:s3:::amzn-s3-demo-bucket2"
            ]
        }
    ]
}

penting

Ganti amzn-s3-demo-bucket2 dengan nama sebenarnya dari bucket upload Anda.

Langkah 3: Siapkan Hibah Akses S3

1. Buka konsol S3 dihttps://console.aws.amazon.com/s3/.

2. Di panel navigasi, pilih Access Grants.

3. Klik Buat contoh Hibah Akses S3.

4. Pilih opsi Add IAM Identity Center instance dan masukkan instance pusat identitas ARN.

5. Klik Berikutnya, lalu klik Batal untuk menyelesaikan pembuatan instance S3 Access Grants tanpa melanjutkan dengan langkah tambahan.

Langkah ini membuat instance S3 Access Grants. Anda sekarang akan mendaftarkan lokasi dan membuat hibah akses.

Langkah 4: Daftarkan lokasi bucket S3

Daftarkan kedua bucket S3 sebagai lokasi dengan Hibah Akses S3:

1. Di konsol S3 Access Grants, navigasikan ke Lokasi dan klik Daftar lokasi.

2. Di bawah Cakupan lokasi, pilih bucket S3 spesifik untuk unduhan (amzn-s3-demo-bucket1).

3. Saat diminta untuk memilih peran IAM, pilih peran IAM unduhan yang Anda buat sebelumnya.

4. Selesaikan proses pendaftaran.

5. Ulangi proses untuk mendaftarkan bucket upload (amzn-s3-demo-bucket2), pilih peran IAM upload saat diminta.

Langkah 5: Buat Hibah Akses

Buat dua hibah, satu untuk setiap lokasi terdaftar:

1. Di konsol S3 Access Grants, navigasikan ke Grants dan klik Create grant.

2. Di Lokasi, klik Jelajahi lokasi dan pilih lokasi bucket unduhan (amzn-s3-demo-bucket1).

3. Di Subprefix (opsional), enter * untuk mengizinkan akses ke seluruh bucket, atau tentukan jalur seperti membatasi akses folder1/folder2/* ke awalan tertentu.

   Menggunakan * akan mengatur cakupan hibah kes3://bucket-name/*, memungkinkan akses ke seluruh bucket. Untuk mengizinkan akses ke hanya awalan tertentu, masukkan jalur sepertifolder1/folder2/*, yang akan mengatur cakupan hibah kes3://bucket-name/folder1/folder2/*.

4. Di bawah Izin dan akses, pilih Baca untuk keranjang unduhan.

5. Dalam tipe Penerima hibah, pilih Identitas direktori dari Pusat Identitas IAM.

6. Untuk tipe utama IAM, pilih User dan masukkan User ID pengguna IAM Identity Center Anda.

7. Selesaikan proses pembuatan hibah.

8. Ulangi proses untuk membuat hibah untuk bucket upload (amzn-s3-demo-bucket2), tetapi pilih Baca-tulis untuk izin.

Langkah 6: Konfigurasikan kebijakan CORS untuk bucket S3

Konfigurasikan kebijakan CORS untuk kedua bucket S3 agar memungkinkan akses melalui: AWS Transfer Family WebApp

1. Buka konsol S3 dan arahkan ke bucket unduhan Anda (amzn-s3-demo-bucket1).

2. Pilih tab Izin.

3. Gulir ke bawah ke bagian Cross-Origin Resource Sharing (CORS) dan klik Edit.

4. Tambahkan konfigurasi CORS berikut, ganti WebAppEndpoint dengan URL WebApp titik akhir Anda yang sebenarnya:

   Anda dapat menemukan URL endpoint aplikasi web Anda di AWS Transfer Family konsol di bawah WebApps. Ini akan terlihat mirip dengan https://webapp-***************.transfer-webapp.us-west-2.on.aws.

   [
     {
       "AllowedHeaders": [
         "*"
       ],
       "AllowedMethods": [
         "GET",
         "PUT",
         "POST",
         "DELETE",
         "HEAD"
       ],
       "AllowedOrigins": [
         "https://WebAppEndpoint"
       ],
       "ExposeHeaders": [
         "last-modified",
         "content-length",
         "etag",
         "x-amz-version-id",
         "content-type",
         "x-amz-request-id",
         "x-amz-id-2",
         "date",
         "x-amz-cf-id",
         "x-amz-storage-class",
         "access-control-expose-headers"
       ],
       "MaxAgeSeconds": 3000
     }
   ]

5. Klik Simpan perubahan.

6. Ulangi proses untuk bucket upload Anda (amzn-s3-demo-bucket2).

Langkah 7: Uji konfigurasi

1. Buka URL aplikasi AWS Transfer Family web Anda. Anda dapat menemukan URL ini di AWS Transfer Family konsol WebApps di bawah bidang titik akhir Access.

2. Masuk menggunakan kredensil pengguna IAM Identity Center yang Anda konfigurasikan dengan hibah akses.

3. Setelah masuk, Anda akan melihat kedua lokasi S3 di beranda.

4. Arahkan ke keranjang unduhan (amzn-s3-demo-bucket1) dan verifikasi bahwa Anda dapat mengunduh file tetapi tidak mengunggah.

5. Arahkan ke bucket upload (amzn-s3-demo-bucket2) dan verifikasi bahwa Anda dapat mengunggah file.

Kesimpulan

Anda telah berhasil mengonfigurasi AWS Transfer Family WebApp dengan akses bucket S3 selektif untuk satu pengguna. Pengaturan ini memungkinkan pengguna untuk mengunduh dari satu bucket dan mengunggah ke bucket lainnya sambil menjaga keamanan melalui peran IAM dan S3 Access Grants.

Pendekatan ini dapat diperluas ke beberapa pengguna dengan membuat hibah tambahan di S3 Access Grants untuk setiap pengguna, memungkinkan kontrol granular atas izin akses bucket. Untuk informasi tentang penyiapan aplikasi web dasar, lihatTutorial: Menyiapkan aplikasi web Transfer Family dasar.