Criar uma instância da funcionalidade Concessões de Acesso do S3

Para começar a usar a funcionalidade Concessões de Acesso do Amazon S3, comece criando uma instância da funcionalidade Concessões de Acesso do S3. Você só pode criar uma instância da funcionalidade Concessões de Acesso do S3 por Região da AWS por conta. A instância da funcionalidade Concessões de Acesso do S3 serve como contêiner para as funcionalidades desse recurso, que incluem locais registrados e concessões.

Com a funcionalidade Concessões de Acesso do S3, você pode criar concessões de permissão para os dados do S3 para usuários e perfis do AWS Identity and Access Management (IAM). Se você adicionou seu diretório de identidades corporativas ao AWS IAM Identity Center, poderá associar essa instância do Centro de Identidade do IAM do seu diretório corporativo à instância da funcionalidade Concessões de Acesso do S3. Depois de fazer isso, você poderá criar concessões de acesso para os usuários e grupos corporativos. Se você ainda não adicionou seu diretório de identidades corporativas ao Centro de Identidade do IAM, poderá associar a instância da funcionalidade Concessões de Acesso do S3 a uma instância do Centro de Identidade do IAM posteriormente.

Você pode criar uma instância da funcionalidade Concessões de Acesso do S3 usando o console do Amazon S3, a AWS Command Line Interface (AWS CLI), AWS SDKs ou a API REST do Amazon S3.

Uso do console do S3

Antes de conceder acesso aos dados do S3 com a funcionalidade Concessões de Acesso do S3, primeiro é necessário criar uma instância da funcionalidade Concessões de Acesso do S3 na mesma Região da AWS dos dados do S3.

Pré-requisitos

Se você quiser conceder acesso aos dados do S3 usando identidades de um diretório corporativo, adicione o diretório de identidades corporativas ao AWS IAM Identity Center. Se você ainda não estiver com tudo pronto para fazer isso, poderá associar a instância da funcionalidade Concessões de Acesso do S3 a uma instância do Centro de Identidade do IAM posteriormente.

Como criar uma instância da funcionalidade Concessões de Acesso do S3

1. Faça login no AWS Management Console e abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

2. Na barra de navegação, escolha o nome da Região da AWS exibida no momento. Em seguida, escolha a região para a qual você deseja mudar.

3. No painel de navegação, escolha Access Grants.

4. Na página Concessões de Acesso do S3, escolha Criar instância da funcionalidade Concessões de Acesso do S3.

   1. Na Etapa 1 do assistente Configurar instância do Access Grants, verifique se você deseja criar a instância na Região da AWS atual. Garanta que seja a mesma Região da AWS em que os dados do S3 estão localizados. Você pode criar uma instância da funcionalidade Concessões de Acesso do S3 por Região da AWS por conta.

   2. (Opcional) Se você adicionou seu diretório de identidades corporativas ao AWS IAM Identity Center, poderá associar essa instância do Centro de Identidade do IAM do seu diretório corporativo à instância da funcionalidade Concessões de Acesso do S3.

      Para fazer isso, selecione Adicionar instância do Centro de Identidade do IAM em região. Depois, insira o nome do recurso da Amazon (ARN) da instância do Centro de Identidade do IAM.

      Se você ainda não adicionou seu diretório de identidades corporativas ao Centro de Identidade do IAM, poderá associar a instância da funcionalidade Concessões de Acesso do S3 a uma instância do Centro de Identidade do IAM posteriormente.

   3. Para criar a instância da funcionalidade Concessões de Acesso do S3, escolha Próximo. Para registrar um local, consulte Etapa 2: Registrar um local.

5. Se as opções Próximo ou Criar instância da funcionalidade Concessões de Acesso do S3 estiverem desabilitadas:

   Não é possível criar a instância

   • Talvez você já tenha uma instância da funcionalidade Concessões de Acesso do S3 na mesma Região da AWS. No painel de navegação, escolha Access Grants. Na página Concessões de Acesso do S3, role para baixo até a seção Instância da funcionalidade Concessões de Acesso do S3 em sua conta para determinar se já existe uma instância.

   • Talvez você não tenha a permissão s3:CreateAccessGrantsInstance necessária para criar uma instância da funcionalidade Concessões de Acesso do S3. Entre em contato com o administrador da conta. Para conferir as permissões adicionais que são necessárias ao associar uma instância do Centro de Identidade do IAM a uma instância da funcionalidade Concessões de Acesso do S3, consulte CreateAccessGrantsInstance.

Usando a AWS CLI

Para instalar a AWS CLI, consulte Instalar a AWS CLI no Guia do usuário da AWS Command Line Interface.

Para usar o comando a seguir, substitua os user input placeholders por suas próprias informações.

exemplo Criar uma instância da funcionalidade Concessões de Acesso do S3

aws s3control create-access-grants-instance \
--account-id 111122223333 \
--region us-east-2 

Resposta:

{
    "CreatedAt": "2023-05-31T17:54:07.893000+00:00",
    "AccessGrantsInstanceId": "default",
    "AccessGrantsInstanceArn": "arn:aws:s3:us-east-2:111122223333:access-grants/default"
}

Uso da API REST

Você pode usar a API REST do Amazon S3 para criar uma instância da funcionalidade Concessões de Acesso do S3. Para obter informações sobre o suporte à API REST para gerenciar instâncias da funcionalidade Concessões de Acesso do S3, consulte as seguintes seções na Referência da API do Amazon Simple Storage Service:

• AssociateAccessGrantsIdentityCenter

• CreateAccessGrantsInstance

• DeleteAccessGrantsInstance

• DissociateAccessGrantsIdentityCenter

• GetAccessGrantsInstance

• GetAccessGrantsInstanceForPrefix

• GetAccessGrantsInstanceResourcePolicy

• ListAccessGrantsInstances

• PutAccessGrantsInstanceResourcePolicy

Uso dos AWS SDKs

Esta seção fornece um exemplo de como criar uma instância da funcionalidade Concessões de Acesso do S3 usando os AWS SDKs.

Java

Este exemplo cria a instância da funcionalidade Concessões de Acesso do S3, que serve como um contêiner para as concessões de acesso individuais. Você pode ter uma instância da funcionalidade Concessões de Acesso do S3 por Região da AWS em sua conta. A resposta inclui o ID de instância default e um nome do recurso da Amazon (ARN) que é gerado para a instância da funcionalidade Concessões de Acesso do S3.

exemplo Criar uma solicitação de instância da funcionalidade Concessões de Acesso do S3

public void createAccessGrantsInstance() {
CreateAccessGrantsInstanceRequest createRequest = CreateAccessGrantsInstanceRequest.builder().accountId("111122223333").build();
CreateAccessGrantsInstanceResponse createResponse = s3Control.createAccessGrantsInstance(createRequest);LOGGER.info("CreateAccessGrantsInstanceResponse: " + createResponse);
}

Resposta:

CreateAccessGrantsInstanceResponse(
CreatedAt=2023-06-07T01:46:20.507Z,
AccessGrantsInstanceId=default,
AccessGrantsInstanceArn=arn:aws:s3:us-east-2:111122223333:access-grants/default) 

Tópicos

• Ver os detalhes de uma instância da funcionalidade Concessões de Acesso do S3
• Associar ou desassociar uma instância do Centro de Identidade do IAM
• Excluir uma instância da funcionalidade Concessões de Acesso do S3