Demonstrações de exemplo: gerenciar o acesso aos recursos do Amazon S3 - Amazon Simple Storage Service

Demonstrações de exemplo: gerenciar o acesso aos recursos do Amazon S3

Este tópico fornece exemplos de demonstrações introdutórias para conceder acesso aos recursos do Amazon S3. Esses exemplos usam o AWS Management Console para criar recursos (buckets, objetos, usuários) e conceder permissões a eles. Em seguida, os exemplos mostram como verificar as permissões usando as ferramentas da linha de comando, para que nenhum código precise ser escrito. Fornecemos comandos usando tanto a AWS Command Line Interface (CLI) quanto o AWS Tools for Windows PowerShell.

  • Exemplo 1: Proprietário do bucket que concede permissões do bucket aos usuários

    Por padrão, os usuários do IAM criados na conta não têm permissões. Neste exercício, você concederá uma permissão de usuário para realizar operações no bucket e no objeto.

  • Exemplo 2: Proprietário do bucket concedendo permissões de bucket entre contas

    Neste exercício, um proprietário do bucket, conta A, concede permissões entre contas a outra Conta da AWS, conta B. Em seguida, a conta B delega essas permissões aos usuários em sua conta.

  • Gerenciar permissões de objeto quando os proprietários do bucket e do objeto são diferentes

    Nesse caso, os cenários do exemplo são um proprietário de bucket que concede permissões de objeto para outros, mas nem todos os objetos do bucket pertencem ao proprietário do bucket. De quais permissões o proprietário do bucket precisa e como ele pode delegar essas permissões?

    A Conta da AWS que cria um bucket é chamada de proprietária do bucket. O proprietário pode conceder permissões a outras Contas da AWS para carregar objetos, e os proprietários desses objetos são as Contas da AWS que os criaram. O proprietário do bucket não tem permissões sobre os objetos criados por outras Contas da AWS. Se o proprietário do bucket escreve uma política de bucket concedendo acesso aos objetos, a política não se aplica aos objetos pertencentes a outras contas.

    Nesse caso, o proprietário do objeto deve, primeiro, conceder permissões ao proprietário do bucket usando uma ACL do objeto. Em seguida, o proprietário do bucket pode autorizar essas permissões de objeto para outros, para usuários em sua própria conta ou para outra Conta da AWS, conforme ilustrado pelos exemplos a seguir.

    • Exemplo 3: O proprietário do bucket concede permissões para objetos que não possui

      Neste exercício, primeiro o proprietário do bucket obtém permissões do proprietário do objeto. Em seguida, o proprietário do bucket delega tais permissões para usuários em sua própria conta.

    • Exemplo 4: Proprietário do bucket concede permissões entre contas a objetos que não possui

      Depois de receber as permissões do proprietário do objeto, o proprietário do bucket não pode delegar permissões a outras Contas da AWS, já que a delegação entre contas não é compatível (consulte Delegação de permissão). Em vez disso, o proprietário do bucket pode criar uma função do IAM com permissões para realizar determinadas operações (como obter objeto) e permitir que outra Conta da AWS assuma essa função. Qualquer um que assumir a função pode, então, acessar os objetos. Este exemplo mostra como um proprietário do bucket pode usar uma função do IAM para habilitar essa delegação de conta cruzada.

Antes de tentar as demonstrações de exemplo

Esses exemplos usam o AWS Management Console para criar recursos e conceder permissões. Para testar permissões, os exemplos usam ferramentas da linha de comando, a AWS Command Line Interface (CLI), e o AWS Tools for Windows PowerShell para que nenhum código precise ser escrito. Para testar permissões você precisará configurar uma dessas ferramentas. Para obter mais informações, consulte Configurar as ferramentas para as demonstrações de exemplo.

Além disso, ao criar recursos, esses exemplos não usam credenciais raiz de uma Conta da AWS. Em vez disso, crie um usuário administrador nessas contas para executar essas tarefas.

Sobre o uso de um usuário administrador para criar recursos e conceder permissões

O AWS Identity and Access Management (IAM) recomenda não usar credenciais raiz da sua Conta da AWS para fazer solicitações. Em vez disso, crie um usuário do IAM, conceda acesso total a esse usuário e, em seguida, use as credenciais desse usuário para fazer solicitações. Esse usuário é conhecido como usuário administrador. Para obter mais informações, consulte Credenciais da conta de root vs. credenciais de usuário do IAM na Referência geral da AWS e as Práticas recomendadas do IAM no Guia do usuário do IAM.

Todos as demonstrações com exemplos nesta seção usam as credenciais do usuário administrador. Caso você não tenha criado um usuário administrador para sua Conta da AWS, os tópicos mostram como fazê-lo.

Observe que para fazer login no AWS Management Console usando as credenciais de usuário, você deverá usar o URL de login do usuário do IAM. O console do IAM fornece esse URL para sua Conta da AWS. Os tópicos mostram como obter o URL.