Antes de tentar as demonstrações de exemplo

Demonstrações que usam políticas para gerenciar o acesso a recursos do Amazon S3

Este tópico fornece exemplos de demonstrações introdutórias para conceder acesso aos recursos do Amazon S3. Esses exemplos usam o AWS Management Console para criar recursos (buckets, objetos, usuários) e conceder permissões a eles. Em seguida, os exemplos mostram como verificar as permissões usando as ferramentas da linha de comando, para que nenhum código precise ser escrito. Fornecemos comandos usando tanto a AWS Command Line Interface (AWS CLI) quanto o AWS Tools for Windows PowerShell.

Exemplo 1: Proprietário do bucket que concede permissões do bucket aos usuários

Por padrão, os usuários do IAM criados na conta não têm permissões. Neste exercício, você concederá uma permissão de usuário para realizar operações no bucket e no objeto.
Exemplo 2: Proprietário do bucket concedendo permissões de bucket entre contas

Neste exercício, um proprietário do bucket, conta A, concede permissões entre contas a outra Conta da AWS, conta B. Em seguida, a conta B delega essas permissões aos usuários em sua conta.
Gerenciar permissões de objeto quando os proprietários do bucket e do objeto são diferentes

Nesse caso, os cenários do exemplo são um proprietário de bucket que concede permissões de objeto para outros, mas nem todos os objetos do bucket pertencem ao proprietário do bucket. De quais permissões o proprietário do bucket precisa e como ele pode delegar essas permissões?

A Conta da AWS que cria um bucket é chamada de proprietária do bucket. O proprietário pode conceder permissões a outras Contas da AWS para carregar objetos, e os proprietários desses objetos são as Contas da AWS que os criaram. O proprietário do bucket não tem permissões sobre os objetos criados por outras Contas da AWS. Quando o proprietário do bucket escreve uma política de bucket concedendo acesso aos objetos, ela não se aplica aos objetos pertencentes a outras contas.

Nesse caso, o proprietário do objeto deve, primeiro, conceder permissões ao proprietário do bucket usando uma ACL do objeto. Em seguida, o proprietário do bucket pode autorizar essas permissões de objeto para outros, para usuários em sua própria conta ou para outra Conta da AWS, conforme ilustrado pelos exemplos a seguir.
- Exemplo 3: O proprietário do bucket concede permissões para objetos que não possui
  
  Neste exercício, primeiro o proprietário do bucket obtém permissões do proprietário do objeto. Em seguida, o proprietário do bucket delega tais permissões para usuários em sua própria conta.
- Exemplo 4: proprietário do bucket concede permissão entre contas a objetos que não possui
  
  Após o recebimento das permissões do proprietário do objeto, o proprietário do bucket não pode delegar permissões a outras Contas da AWS, já que a delegação entre contas não é permitida (consulte Delegação de permissão). Em vez disso, o proprietário do bucket pode criar uma função do IAM com permissões para realizar determinadas operações (como obter objeto) e permitir que outra Conta da AWS assuma essa função. Qualquer um que assumir a função pode, então, acessar os objetos. Este exemplo mostra como um proprietário do bucket pode usar uma função do IAM para habilitar essa delegação de conta cruzada.

Antes de tentar as demonstrações de exemplo

Esses exemplos usam o AWS Management Console para criar recursos e conceder permissões. Para testar permissões, os exemplos usam ferramentas de linha de comando, a AWS CLI e o AWS Tools for Windows PowerShell para que não seja necessário escrever nenhum código. Para testar permissões, você deve configurar uma dessas ferramentas. Para ter mais informações, consulte Configurar as ferramentas para as demonstrações.

Além disso, ao criar recursos, esses exemplos não usam as credenciais de usuário-raiz de uma Conta da AWS. Em vez disso, crie um usuário administrador nessas contas para executar essas tarefas.

Sobre o uso de um usuário administrador para criar recursos e conceder permissões

O AWS Identity and Access Management (IAM) recomenda não usar as credenciais do usuário raiz da sua Conta da AWS para fazer solicitações. Em vez disso, crie um perfil ou usuário do IAM, conceda acesso total a esse perfil ou usuário, depois use as credenciais desse perfil ou usuário para fazer solicitações. Essa entidade é conhecida como perfil ou usuário administrador. Para obter mais informações, acesse Credenciais de Usuário raiz da conta da AWS e identidades do IAM na Referência geral da AWS e Práticas recomendadas do IAM no Guia do usuário do IAM.

Todos as demonstrações com exemplos nesta seção usam as credenciais do usuário administrador. Caso você não tenha criado um usuário administrador para sua Conta da AWS, os tópicos mostram como fazê-lo.

Para fazer login no AWS Management Console usando as credenciais de usuário, é necessário usar o URL de login do usuário do IAM. O console do IAM fornece esse URL para sua Conta da AWS. Os tópicos mostram como obter o URL.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Controlar o acesso ao bucket

Configurar as ferramentas