Arbeiten mit Gewährungen in S3 Access Grants

Eine individuelle Zugriffsberechtigung in einer S3 Access Grants-Instanz ermöglicht es einer bestimmten Identität — einem AWS Identity and Access Management (IAM-) Prinzipal oder einem Benutzer oder einer Gruppe in einem Unternehmensverzeichnis —, Zugriff von einem Standort aus zu erhalten, der in Ihrer S3 Access Grants-Instanz registriert ist. Ein Speicherort ordnet Buckets oder Präfixe einer IAM-Rolle zu. S3 Access Grants übernimmt diese IAM-Rolle, um temporäre Anmeldeinformationen an Gewährungsempfänger weiterzugeben.

Sie müssen in Ihrer S3-Access-Grants-Instance mindestens einen Speicherort registrieren, bevor Sie eine Zugriffsgewährung erstellen können.

Der Empfänger kann ein IAM-Benutzer, eine IAM-Rolle, ein Verzeichnisbenutzer oder eine Verzeichnisgruppe sein. Ein Verzeichnisbenutzer ist ein Benutzer aus Ihrem Unternehmensverzeichnis oder einer externen Identitätsquelle, den Sie mit Ihrer S3-Access-Grants-Instance verknüpft haben. Weitere Informationen finden Sie unter S3 Access Grants und Unternehmensverzeichnisidentitäten. Um eine Gewährung für einen bestimmten Verzeichnisbenutzer oder -gruppe über IAM Identity Center zu erstellen, suchen Sie die GUID, mit der dieser Benutzer in IAM Identity Center identifiziert wird, zum Beispiel a1b2c3d4-5678-90ab-cdef-EXAMPLE11111. Weitere Informationen zur Verwendung von IAM Identity Center zum Anzeigen von Benutzerinformationen finden Sie im AWS IAM Identity Center -Benutzerhandbuch unter Anzeigen von Benutzer- und Gruppenzuweisungen.

Sie können Zugriff auf einen Bucket, ein Präfix oder ein Objekt gewähren. Ein Präfix in Amazon S3 ist eine Zeichenfolge am Anfang eines Objektschlüsselnamens, mit der die Objekte in einem Bucket organisiert werden. Dabei kann es sich um eine beliebige Zeichenfolge handeln, z. B. um Objektschlüsselnamen in Ihrem Bucket, die mit dem Präfix engineering/ beginnen.