As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Concedendo acesso a um bucket do Amazon S3
Quando você cria um compartilhamento de arquivos, seu File Gateway exige acesso para carregar arquivos em seu bucket do Amazon S3 e realizar ações em qualquer ponto de acesso ou endpoint de nuvem privada virtual (VPC) que ele usa para se conectar ao bucket. Para conceder esse acesso, seu File Gateway assume uma função AWS Identity and Access Management (IAM) associada a uma política do IAM que concede esse acesso.
A função exige essa política do IAM e um relacionamento de confiança do serviço de token de segurança (STS) para ela. A política determina quais ações a função pode realizar. Além disso, seu bucket do S3 e todos os pontos de acesso ou VPC endpoints associados devem ter uma política de acesso que permita que a função do IAM os acesse.
Você mesmo pode criar a função e a política de acesso, ou seu File Gateway pode criá-las para você. Se o seu File Gateway criar a política para você, a política conterá uma lista de ações do S3. Para obter informações sobre funções e permissões, consulte Criação de uma função para delegar permissões a um AWS service (Serviço da AWS) no Guia do usuário do IAM.
O exemplo a seguir é uma política de confiança que permite que seu File Gateway assuma uma função do IAM.
Importante
O Storage Gateway pode assumir funções de serviço existentes que são passadas usando a ação iam:PassRole política, mas não oferece suporte às políticas do IAM que usam a chave de iam:PassedToService contexto para limitar a ação a serviços específicos.
Para obter mais informações, consulte os seguintes tópicos no Guia do usuário do AWS Identity and Access Management :
Se você não quiser que seu File Gateway crie uma política em seu nome, você pode criar sua própria política e anexá-la ao seu compartilhamento de arquivos. Para obter mais informações sobre como fazer isso, consulte Criar um compartilhamento de arquivos.
O exemplo de política a seguir permite que seu File Gateway execute todas as ações do Amazon S3 listadas na política. A primeira parte da declaração permite que todas as ações listadas sejam executadas no bucket do S3 chamado amzn-s3-demo-bucket. A segunda parte permite as ações listadas em todos os objetos no amzn-s3-demo-bucket.
O exemplo de política a seguir é semelhante ao anterior, mas permite que seu gateway de arquivos execute as ações necessárias para acessar um bucket por meio de um ponto de acesso.
nota
Se você precisar conectar seu compartilhamento de arquivos a um bucket do S3 por meio de um VPC endpoint, consulte as políticas de endpoint para o Amazon S3 no Guia do usuário.AWS PrivateLink
nota
Para buckets criptografados, o compartilhamento de arquivos deve usar a chave na conta do bucket do S3 de destino.
