Conceitos básicos da funcionalidade Concessões de Acesso do S3

A funcionalidade Concessões de Acesso do Amazon S3 é um recurso do Amazon S3 que fornece uma solução de controle de acesso escalável para os dados do S3. A funcionalidade Concessões de Acesso do S3 é um provedor de credenciais do S3, o que significa que você registra sua lista de concessões e respectivo nível na funcionalidade Concessões de Acesso do S3. Depois disso, quando os usuários ou clientes precisam acessar dados do S3, primeiro eles solicitam as credenciais à funcionalidade Concessões de Acesso do S3. Se houver uma concessão correspondente que autorize o acesso, a funcionalidade Concessões de Acesso do S3 proverá credenciais de acesso temporário com privilégio mínimo. Os usuários ou clientes podem usar as credenciais providas pela funcionalidade Concessões de Acesso do S3 para acessar dados do S3. Com isso em mente, se seus requisitos de dados do S3 exigirem uma configuração de permissão complexa ou grande, você poderá usar a funcionalidade Concessões de Acesso do S3 para escalar as permissões de dados do S3 para usuários, grupos, perfis e aplicações.

Para a maioria dos casos de uso, você pode gerenciar o controle de acesso aos dados do S3 usando o AWS Identity and Access Management (IAM) com políticas de bucket ou políticas baseadas em identidade do IAM.

No entanto, se você tiver requisitos complexos de controle de acesso ao S3, como os seguintes, o uso da funcionalidade Concessões de Acesso do S3 poderá ser muito vantajoso:

Você está atingindo o limite de tamanho da política de bucket de 20 KB.
Você concede a identidades humanas, por exemplo, usuários e grupos do Microsoft Entra ID (antes chamado de Azure Active Directory), Okta ou Ping, acesso aos dados do S3 para análises e big data.
Você precisa fornecer acesso entre contas sem fazer atualizações frequentes nas políticas do IAM.
Seus dados são não estruturados e estão em nível de objeto, em vez de estruturados e em formato de linha e coluna.

O fluxo de trabalho da funcionalidade Concessões de Acesso do S3 é o seguinte:

Etapas	Descrição
1	Criar uma instância da funcionalidade Concessões de Acesso do S3 Para começar, inicie uma instância da funcionalidade Concessões de Acesso do S3 que conterá as concessões de acesso individuais.
2	Registrar um local Depois, registre um local de dados do S3 (como o padrão `s3://`) e especifique um perfil do IAM padrão que a funcionalidade Concessões de Acesso do S3 assumirá ao fornecer acesso ao local de dados do S3. Você também pode adicionar locais personalizados a buckets ou prefixos específicos e mapeá-los para perfis do IAM personalizados.
3	Criar concessões Crie concessões de permissão individuais. Especifique nessas concessões de permissão o local registrado do S3, o escopo de acesso aos dados dentro do local, a identidade do beneficiário e o nível de acesso (`READ`, `WRITE` ou `READWRITE`).
4	Solicitar acesso aos dados do S3 Quando usuários, aplicações e Serviços da AWS desejam acessar dados do S3, primeiro eles fazem uma solicitação de acesso. A funcionalidade Concessões de Acesso do S3 determina se a solicitação deve ser autorizada. Se houver uma concessão correspondente que autorize o acesso, a funcionalidade Concessões de Acesso do S3 usará o perfil do IAM do local registrado associado a essa concessão para prover credenciais temporárias ao solicitante.
5	Acessar dados do S3 As aplicações usam as credenciais temporárias fornecidas pela funcionalidade Concessões de Acesso do S3 para acessar os dados do S3.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Concessões de Acesso do S3 e identidades de diretórios corporativos

Criar uma instância da funcionalidade Concessões de Acesso do S3