本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
開始使用 S3 Access Grants
Amazon S3 Access Grants 是 Amazon S3 的一項功能,可為您的 S3 資料提供可擴展的存取控制解決方案。S3 Access Grants 是 S3 憑證供應方,這表示您會在 S3 Access Grants 註冊您的授權清單和層級。之後,當使用者或用戶端需要存取您的 S3 資料時,必須先向 S3 Access Grants 取得憑證。如果有授權存取的對應授權,S3 Access Grants 會供應臨時、最低權限的存取憑證。然後使用者或用戶端就可以使用 S3 Access Grants 供應的憑證來存取您的 S3 資料。務必記住,如果您的 S3 資料需求強制要求複雜或大型許可組態,您可以使用 S3 Access Grants 來擴展使用者、群組、角色和應用程式的 S3 資料許可。
對於大多數使用案例,您可以使用以下方式管理 S3 資料的存取控制 AWS Identity and Access Management (IAM)使用存儲桶策略或IAM基於身份的策略。
但是,如果您有複雜的 S3 存取控制需求 (如下所述),那麼使用 S3 Access Grants 將十分有益:
您的儲存貯體政策大小限制為 20 KB。
您授予人類身份,例如,Microsoft Entra ID (以前 Azure Active Directory), Okta,或 Ping 使用者和群組,存取 S3 資料以進行分析和巨量資料。
您必須在不經常更新IAM政策的情況下提供跨帳戶存取權限。
您的資料是非結構化的物件層級資料,而非採用結構化的列和欄格式。
S3 Access Grants 工作流程如下:
步驟 | 描述 |
---|---|
1 | 建立 S3 Access Grants 執行個體 若要開始進行,請啟動將包含個別存取授權的 S3 Access Grants 執行個體。 |
2 | 註冊位置 其次,註冊 S3 資料位置 (例如預設值 |
3 | 建立授權 建立個別許可授權。在這些許可授權中指定已註冊的 S3 位置、位置內的資料存取範圍、承授者的身分及其存取層級 ( |
4 | 請求存取 S3 資料 當使用者、應用程式和 AWS 服務 想要訪問 S3 數據,他們首先發出訪問請求。S3 Access Grants 會決定是否應授權請求。如果有授權存取的對應授權,S3 Access Grants 會使用與該授權相關聯的已註冊位置IAM角色,將臨時登入資料傳回給請求者。 |
5 | 存取 S3 資料 應用程式使用 S3 Access Grants 供應的臨時憑證來存取 S3 資料。 |