管理存取控制

您可以使用 AWS Identity and Access Management (IAM) 政策來控制使用者對 AWS Transfer Family 資源的存取。IAM 政策是一種語句，通常是 JSON 格式，允許特定級別的資源訪問權限。您可以使用 IAM 政策來定義要允許使用者執行而不執行的檔案操作。您也可以使用 IAM 政策來定義要讓使用者存取的 Amazon S3 儲存貯體或儲存貯體。若要為使用者指定這些政策，您可以為其建立 IAM 角色， AWS Transfer Family 該角色具有 IAM 政策和信任關聯性。

每個使用者都會獲指派一個 IAM 角色。 AWS Transfer Family 使用的 IAM 角色類型稱為服務角色。當使用者登入您的伺服器時， AWS Transfer Family 會假設對應至該使用者的 IAM 角色。若要了解如何建立可讓使用者存取 Amazon S3 儲存貯體的 IAM 角色，請參閱 IAM 使用者指南中的建立角色以委派許可給 AWS 服務。

您可以使用 IAM 政策中的特定許可，授予 Amazon S3 物件的唯寫存取權。如需詳細資訊，請參閱 授予僅寫入和列出檔案的能力。

AWS 儲存區部落格包含一篇文章，詳細說明如何設定最低權限存取權限。如需詳細資訊，請參閱在AWS Transfer Family 工作流程中實作最低權限存取。

注意

如果您的 Amazon S3 儲存貯體使用 AWS Key Management Service (AWS KMS) 加密，則必須在政策中指定其他許可。如需詳細資訊，請參閱 Amazon S3 中的資料加密。此外，您可以在 IAM 使用者指南中查看有關工作階段政策的詳細資訊。

主題

• 允許讀取和寫入訪問 Amazon S3 存儲桶
• 為 Amazon S3 儲存貯體建立工作階段政策
• 防止使用者mkdir在 S3 儲存貯體中執行