Accedere ai dati S3 utilizzando le credenziali fornite da S3 Access Grants

Una volta ottenute le credenziali temporanee attraverso la concessione di accesso, il beneficiario può utilizzare queste credenziali temporanee per chiamare le operazioni API di Amazon S3 per accedere ai tuoi dati.

I beneficiari possono accedere ai dati S3 utilizzando il sito AWS Command Line Interface (AWS CLI), gli SDK AWS e l'API REST di Amazon S3. Inoltre, è possibile utilizzare i plugin AWS Python e Java per chiamare S3 Access Grants

Utilizzo di AWS CLI

Dopo aver ottenuto le credenziali temporanee da S3 Access Grants, l'assegnatario può configurare un profilo con tali credenziali per richiamare i dati.

Per installare AWS CLI, consulta Installazione di AWS CLI nella Guida all'utente di AWS Command Line Interface.

Per utilizzare i seguenti comandi di esempio, sostituisci user input placeholders con le tue informazioni.

Esempio – Configura un profilo

aws configure set aws_access_key_id "$accessKey" --profile access-grants-consumer-access-profile
aws configure set aws_secret_access_key "$secretKey" --profile access-grants-consumer-access-profile
aws configure set aws_session_token "$sessionToken" --profile access-grants-consumer-access-profile

Per utilizzare il seguente esempio di comando, sostituisci user input placeholders con le tue informazioni.

Esempio – Ottieni i dati S3

L'assegnatario può utilizzare il comando get-object dell'AWS CLI per accedere ai dati. L'assegnatario può anche utilizzare put-object, ls e altri comandi AWS CLI S3.

aws s3api get-object \
--bucket amzn-s3-demo-bucket1 \
--key myprefix \
--region us-east-2 \
--profile access-grants-consumer-access-profile

Utilizzo degli SDK AWS

Questa sezione fornisce esempi di come gli assegnatari possono accedere ai dati S3 utilizzando gli AWS SDK.

Java

Per esempi su come ottenere dati S3 utilizzando credenziali temporanee, consulta come ottenere un oggetto utilizzando gli SDK AWS ed esempi di codice Amazon S3 per AWS SDK for Java 2.x.

Azioni S3 supportate in S3 Access Grants

Un beneficiario può utilizzare la credenziale temporanea fornita da S3 Access Grants per eseguire azioni S3 sui dati S3 a cui ha accesso. Di seguito è riportato un elenco di azioni S3 consentite che un beneficiario può eseguire. Le azioni consentite dipendono dal livello di autorizzazione concesso nella concessione di accesso, READ, WRITE, o READWRITE.

Nota

Oltre alle autorizzazioni di Amazon S3 elencate di seguito, Amazon S3 può richiedere l'autorizzazione AWS Key Management Service (AWS KMS) Decrypt (kms:decrypt) READ o l'autorizzazione AWS KMS GenerateDataKey (kms:generateDataKey) WRITE. Queste autorizzazioni non consentono l'accesso diretto alla chiave AWS KMS.

Azione S3 IAM	Azione e documento API	Autorizzazione S3 Access Grants	Risorsa S3
s3:GetObject	GetObject	READ	Oggetto
s3:GetObjectVersion	GetObject	READ	Oggetto
s3:GetObjectAcl	GetObjectAcl	READ	Oggetto
s3:GetObjectVersionAcl	GetObjectAcl	READ	Oggetto
s3:ListMultipartUploads	ListParts	READ	Oggetto
s3:PutObject	PutObject, CreateMultipartUpload, UploadPart, UploadPartCopy, CompleteMultipartUpload	WRITE	Oggetto
s3:PutObjectAcl	PutObjectAcl	WRITE	Oggetto
s3:PutObjectVersionAcl	PutObjectAcl	WRITE	Oggetto
s3:DeleteObject	DeleteObject	WRITE	Oggetto
s3:DeleteObjectVersion	DeleteObject	WRITE	Oggetto
s3:AbortMultipartUpload	AbortMultipartUpload	WRITE	Oggetto
s3:ListBucket	HeadBucket, ListObjectsV2, ListObjects	READ	Bucket
s3:ListBucketVersions	ListObjectVersions	READ	Bucket
s3:ListBucketMultipartUploads	ListMultipartUploads	READ	Bucket