建立 S3 Access Grants 執行個體 - Amazon Simple Storage Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立 S3 Access Grants 執行個體

若要開始使用 Amazon S3 Access Grants,您必須先建立 S3 Access Grants 執行個體。每個帳戶只能建立一個 S3 存取授與執行 AWS 區域 個體。S3 Access Grants 執行個體可作為 S3 Access Grants 資源的容器,其中包括註冊的位置和授權。

使用 S3 存取授權,您可以為 AWS Identity and Access Management (IAM) 使用者和角色建立 S3 資料的許可授與。如果您已將公司身分目錄新增至 AWS IAM Identity Center,您可以將公司目錄的這個 IAM 身分中心執行個體與 S3 Access Grants 執行個體建立關聯。完成此操作之後,就可以為公司使用者和群組建立存取授權。如果您尚未將公司目錄新增至 IAM Identity Center,您可以稍後再將 S3 Access Grants 執行個體與 IAM Identity Center 執行個體建立關聯。

您可以使用 Amazon S3 主控台 AWS Command Line Interface (AWS CLI)、Amazon S3 REST API 和 AWS 開發套件來建立 S3 存取授與執行個體。

您必須先建立與 S3 資料相同的 S3 存取授與執行個體,才能使用 S3 存取授權授予對 S3 資料 AWS 區域 的存取權限。

必要條件

如果您想要使用公司目錄中的身分來授予 S3 資料的存取權,請新增公司身分目錄至 AWS IAM Identity Center。如果您尚未準備好這樣做,可以稍後再將 S3 Access Grants 執行個體與 IAM Identity Center 執行個體建立關聯。

建立 S3 Access Grants 執行個體
  1. 登入 AWS Management Console 並開啟 Amazon S3 主控台,網址為 https://console.aws.amazon.com/s3/

  2. 在導覽列中,選擇目前顯示的名稱 AWS 區域。接下來,選擇您要切換到的區域。

  3. 在左側導覽窗格中,選擇 Access Grants

  4. S3 Access Grants 頁面上,選擇建立 S3 Access Grants 執行個體

    1. 設定 Access Grants 執行個體精靈的步驟 1 中,確認您要在目前的 AWS 區域中建立執行個體。請確定這與 S3 資料所 AWS 區域 在的位置相同。您可以為每個帳戶建立一個 S3 存取授與執行 AWS 區域 個體。

    2. (選擇性) 如果您已將公司身分目錄新增至 AWS IAM Identity Center,您可以將公司目錄的這個 IAM 身分中心執行個體與 S3 Access Grants 執行個體建立關聯。

      若要這樣做,請選取區域中新增 IAM Identity Center 執行個體。然後輸入 IAM Identity Center 執行個體 Amazon Resource Name (ARN)。

      如果您尚未將公司目錄新增至 IAM Identity Center,您可以稍後再將 S3 Access Grants 執行個體與 IAM Identity Center 執行個體建立關聯。

    3. 若要建立 S3 Access Grants 執行個體,請選擇下一步。若要註冊位置,請參閱步驟 2 - 註冊位置

  5. 如果下一步建立 S3 Access Grants 執行個體為停用狀態:

    無法建立執行個體
    • 您可能在相同 AWS 區域中已有 S3 Access Grants 執行個體。在左側導覽窗格中,選擇 Access Grants。在 S3 Access Grants 頁面上,向下捲動至您帳戶中的 S3 Access Grants 執行個體區段,以判斷執行個體是否已存在。

    • 您可能沒有建立 S3 Access Grants 執行個體所需的 s3:CreateAccessGrantsInstance 許可。請聯絡您的帳戶管理員。如需將 IAM Identity Center 執行個體與 S3 Access Grants 執行個體建立關聯所需的其他許可,請參閱 CreateAccessGrantsInstance

若要安裝 AWS CLI,請參閱《AWS Command Line Interface 使用者指南》 AWS CLI中的〈裝〉

若要使用下列範例命令,請以您自己的資訊取代 user input placeholders

範例 建立 S3 Access Grants 執行個體
aws s3control create-access-grants-instance \ --account-id 111122223333 \ --region us-east-2

回應:

{ "CreatedAt": "2023-05-31T17:54:07.893000+00:00", "AccessGrantsInstanceId": "default", "AccessGrantsInstanceArn": "arn:aws:s3:us-east-2:111122223333:access-grants/default" }

您可以使用 Amazon S3 REST API 建立 S3 Access Grants 執行個體。如需有關管理 S3 Access Grants 執行個體的 REST API 支援資訊,請參閱《Amazon Simple Storage Service API 參考》中的下列各節:

本節提供如何使用 AWS SDK 建立 S3 Access Grants 執行個體的範例。

Java

此範例會建立 S3 Access Grants 執行個體,作為個別存取授權的容器。您的帳戶 AWS 區域 中每個可以有一個 S3 存取授與執行個體。回應包括執行個體 ID default,以及針對 S3 Access Grants 執行個體產生的 Amazon Resource Name (ARN)。

範例 建立 S3 Access Grants 執行個體請求
public void createAccessGrantsInstance() { CreateAccessGrantsInstanceRequest createRequest = CreateAccessGrantsInstanceRequest.builder().accountId("111122223333").build(); CreateAccessGrantsInstanceResponse createResponse = s3Control.createAccessGrantsInstance(createRequest);LOGGER.info("CreateAccessGrantsInstanceResponse: " + createResponse); }

回應:

CreateAccessGrantsInstanceResponse( CreatedAt=2023-06-07T01:46:20.507Z, AccessGrantsInstanceId=default, AccessGrantsInstanceArn=arn:aws:s3:us-east-2:111122223333:access-grants/default)