授予 Amazon S3 儲存貯體的存取權 - AWS Storage Gateway

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

授予 Amazon S3 儲存貯體的存取權

當您建立檔案共享時,您的 File Gateway 需要存取,才能將檔案上傳到 Amazon S3 儲存貯體,並對其用來連線至儲存貯體的任何存取點或虛擬私有雲端 (VPC) 端點執行動作。若要授予此存取權,您的 File Gateway 會擔任與授予此存取權的 IAM 政策相關聯的 AWS Identity and Access Management (IAM) 角色。

此角色需要此 IAM 政策和 Security Token Service (STS) 的信任關係。政策決定角色可以執行的動作。此外,您的 S3 儲存貯體和任何相關聯的存取點或 VPC 端點必須具有允許 IAM 角色存取它們的存取政策。

您可以自行建立角色和存取政策,或者您的檔案閘道可以為您建立。如果您的檔案閘道為您建立政策,則政策會包含 S3 動作的清單。如需角色和許可的相關資訊,請參閱《IAM 使用者指南》中的建立角色以將許可委派給 AWS 服務

下列範例是信任政策,可讓您的檔案閘道擔任 IAM 角色。

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "storagegateway.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
重要

Storage Gateway 可以擔任使用iam:PassRole政策動作傳遞的現有服務角色,但不支援使用iam:PassedToService內容金鑰將動作限制為特定服務的 IAM 政策。

如需詳細資訊,請參閱《AWS Identity and Access Management 使用者指南》中的以下主題:

如果您不希望檔案閘道代表您建立政策,您可以建立自己的政策,並將其連接至檔案共享。如需如何進行該服務的詳細資訊,請參閱建立檔案共享

下列範例政策可讓您的檔案閘道執行政策中列出的所有 Amazon S3 動作。陳述式的第一部分允許對名為 amzn-s3-demo-bucket 的 S3 儲存貯體執行所有列出的動作。第二個部分允許對 amzn-s3-demo-bucket 的所有物件執行列出的動作。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:GetAccelerateConfiguration",
                "s3:GetBucketLocation",
                "s3:GetBucketVersioning",
                "s3:ListBucket",
                "s3:ListBucketVersions",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Effect": "Allow"
        }
    ]
}

下列範例政策類似於上述政策,但允許您的檔案閘道執行透過存取點存取儲存貯體所需的動作。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:us-east-1:111122223333:accesspoint/TestAccessPointName/*",
            "Effect": "Allow"
        }
    ]
}
注意

如果您需要透過 VPC 端點將檔案共用連線至 S3 儲存貯體,請參閱AWS PrivateLink 《 使用者指南》中的 Amazon S3 的端點政策

注意

對於加密的儲存貯體,檔案共用必須使用目的地 S3 儲存貯體帳戶中的 金鑰。