使用政策來管理 Amazon S3 資源存取的逐步解說

本主題提供以下有關授予 Amazon S3 資源存取的簡介演練範例。這些範例使用 AWS Management Console 來建立資源 （儲存貯體、物件、使用者） 並授予其許可。範例接著會示範如何使用命令列工具來驗證許可，因此您不需要撰寫任何程式碼。我們同時使用 AWS Command Line Interface (AWS CLI) 和 提供命令 AWS Tools for Windows PowerShell。

• 範例 1：為其使用者授予儲存貯體許可的儲存貯體擁有者

  您在帳戶中建立的 IAM 使用者預設沒有任何許可。在此練習中，您會授予使用者許可來執行儲存貯體與物件操作。

• 範例 2：授予跨帳戶儲存貯體許可的儲存貯體擁有者

  在此練習中，儲存貯體擁有者 (帳戶 A) 會將跨帳戶許可授予另一個 AWS 帳戶(帳戶 B)。帳戶 B 接著會將這些許可委派給其帳戶中的使用者。

• 在物件擁有者與儲存貯體擁有者不同的情況下管理物件許可

  此案例的情境範例是儲存貯體擁有者想要將物件許可授予其他人，但儲存貯體中並非所有物件都由儲存貯體擁有者所擁有。儲存貯體擁有者需要哪些許可，如何才能委派這些許可？

  建立儲存貯體 AWS 帳戶 的 稱為儲存貯體擁有者。擁有者可以授予其他 AWS 帳戶 許可來上傳物件，以及建立物件 AWS 帳戶 的 擁有物件。儲存貯體擁有者並不擁有其他 AWS 帳戶所建立物件的許可。如果儲存貯體擁有者撰寫授予物件存取權的儲存貯體政策，該政策不適用於其他帳戶所擁有的物件。

  在此情況下，物件擁有者必須先使用物件 ACL 將許可授予儲存貯體擁有者。然後，儲存貯體擁有者可以將這些物件許可委派給其他人、其自己的帳戶中的使用者或另一個使用者 AWS 帳戶，如下列範例所示。

  • 範例 3：授予對其未擁有之物件的許可的儲存貯體擁有者

    在此練習中，儲存貯體擁有者必須先從物件擁有者取得許可。儲存貯體擁有者可接著將這些許可委派給其專屬帳戶中的使用者。

  • 範例 4 - 儲存貯體擁有者授予其未擁有之物件的跨帳戶許可

    收到物件擁有者的許可後，儲存貯體擁有者無法將許可委派給其他 ， AWS 帳戶 因為不支援跨帳戶委派 （請參閱 許可委派)。相反地，儲存貯體擁有者可以建立具有執行特定操作 （例如取得物件） 許可的 IAM 角色 AWS 帳戶 ，並允許另一個角色擔任該角色。擔任該角色的任何人，皆可存取物件。此範例示範儲存貯體擁有者如何使用 IAM 角色來啟用此跨帳戶委派。

嘗試演練範例之前

這些範例使用 AWS Management Console 來建立資源並授予許可。若要測試許可，範例會使用命令列工具 AWS CLI、 和 AWS Tools for Windows PowerShell，因此您不需要撰寫任何程式碼。若要測試許可，您必須設定其中一個工具。如需詳細資訊，請參閱為逐步解說設定工具。

此外，建立資源時，這些範例不會使用 AWS 帳戶的根使用者憑證。反之，您會在這些帳戶中建立管理員使用者來執行這些任務。

關於使用管理員使用者來建立資源並授予許可

AWS Identity and Access Management (IAM) 建議不要使用您的 AWS 帳戶 根使用者憑證來提出請求。反之，請建立 IAM 使用者或角色，並授予完整存取許可，然後使用該使用者或角色憑證來發出請求。我們將此稱為管理員使用者或角色。如需詳細資訊，請參閱《AWS 一般參考》中的 AWS 帳戶根使用者 憑證與 IAM 身分，以及《IAM 使用者指南》中的 IAM 最佳實務。

本節中的所有演練範例會使用管理員使用者憑證。如果您尚未為 建立管理員使用者 AWS 帳戶，主題會示範如何執行。

若要 AWS Management Console 使用使用者登入資料登入 ，您必須使用 IAM 使用者登入 URL。IAM 主控台會將此 URL 提供給您的 AWS 帳戶。這些主題示範如何取得 URL。