Einrichtung von Amazon S3 Access Grants mit IAM Identity Center - AWS IAM Identity Center
VoraussetzungenKonfiguration von S3 Access Grants für die Verbreitung vertrauenswürdiger Identitäten über das IAM Identity CenterAmazon S3 Access Grant erstellen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichtung von Amazon S3 Access Grants mit IAM Identity Center

Amazon S3 Access Grants bietet die Flexibilität, eine identitätsbasierte, detaillierte Zugriffskontrolle für S3-Standorte zu gewähren. Sie können Amazon S3 verwendenAccess Grants, um Ihren Unternehmensbenutzern und -gruppen direkten Zugriff auf den Amazon S3 S3-Bucket zu gewähren. Gehen Sie wie folgt vor, um S3 Access Grants mit IAM Identity Center zu aktivieren und eine vertrauenswürdige Identitätsverbreitung zu erreichen.

Voraussetzungen

Bevor Sie mit diesem Tutorial beginnen können, müssen Sie Folgendes einrichten:

Konfiguration von S3 Access Grants für die Verbreitung vertrauenswürdiger Identitäten über das IAM Identity Center

Wenn Sie bereits eine Amazon S3 Access Grants S3-Instance mit einem registrierten Standort haben, gehen Sie wie folgt vor:

  1. Ordnen Sie Ihre IAM Identity Center-Instance zu.

  2. Erstellen Sie einen Zuschuss.

Wenn Sie noch kein Amazon S3 Access Grants erstellt haben, gehen Sie wie folgt vor:

  1. Eine Access Grants S3-Instance erstellen — Sie können jeweils eine Access Grants S3-Instance erstellen AWS-Region. Achten Sie beim Erstellen der Access Grants S3-Instanz darauf, das Kästchen IAM Identity Center-Instanz hinzufügen zu aktivieren und den ARN Ihrer IAM Identity Center-Instanz anzugeben. Klicken Sie auf Weiter.

    Die folgende Abbildung zeigt die Seite „Access GrantsS3-Instance erstellen“ in der Amazon S3 Access Grants S3-Konsole:

    Seite „Access GrantsS3-Instance“ in der S3 Access Grants-Konsole erstellen.

  2. Standort registrieren — Nachdem Sie eine Amazon S3 Access Grants S3-Instance AWS-Region in Ihrem Konto erstellt und erstellt haben, registrieren Sie einen S3-Standort in dieser Instance. Ein Access Grants S3-Standort ordnet die Standard-S3-Region (S3://), einen Bucket oder ein Präfix einer IAM-Rolle zu. S3 Access Grants übernimmt diese Amazon S3 S3-Rolle, um temporäre Anmeldeinformationen an den Empfänger weiterzugeben, der auf diesen bestimmten Standort zugreift. Sie müssen zuerst mindestens einen Standort in Ihrer Access Grants S3-Instance registrieren, bevor Sie eine Zugriffsberechtigung erstellen können.

    Geben Sie für den Bereich Standort ans3://, der alle Ihre Buckets in dieser Region umfasst. Dies ist der empfohlene Standortbereich für die meisten Anwendungsfälle. Wenn Sie ein Anwendungsbeispiel für erweitertes Zugriffsmanagement haben, können Sie den Standortbereich auf einen bestimmten Bereich s3://bucket oder ein bestimmtes Präfix innerhalb eines Buckets festlegens3://bucket/prefix-with-path. Weitere Informationen finden Sie unter Einen Standort registrieren im Amazon Simple Storage Service-Benutzerhandbuch.

    Anmerkung

    Stellen Sie sicher, dass die S3-Speicherorte der AWS Glue Tabellen, auf die Sie Zugriff gewähren möchten, in diesem Pfad enthalten sind.

    Das Verfahren erfordert, dass Sie eine IAM-Rolle für den Standort konfigurieren. Diese Rolle sollte Berechtigungen für den Zugriff auf den Standortbereich beinhalten. Sie können den S3-Konsolenassistenten verwenden, um die Rolle zu erstellen. Sie müssen Ihren Access Grants S3-Instance-ARN in den Richtlinien für diese IAM-Rolle angeben. Der Standardwert Ihres Access Grants S3-Instance-ARN istarn:aws:s3:Your-Region:Your-AWS-Account-ID:access-grants/default.

    Die folgende Beispielberechtigungsrichtlinie erteilt Amazon S3 S3-Berechtigungen für die von Ihnen erstellte IAM-Rolle. Und die darauf folgende Beispiel-Vertrauensrichtlinie ermöglicht es dem Access Grants S3-Dienstprinzipal, die IAM-Rolle zu übernehmen.

    1. Berechtigungsrichtlinie

      Um diese Richtlinien zu verwenden, ersetzen Sie die Richtlinie italicized placeholder text im Beispiel durch Ihre eigenen Informationen. Weitere Anweisungen finden Sie unter Richtlinie erstellen oder Richtlinie bearbeiten.

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ObjectLevelReadPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion",
                "s3:GetObjectAcl",
                "s3:GetObjectVersionAcl",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "Your-AWS-Account-ID"
                },
                "ArnEquals": {
                    "s3:AccessGrantsInstanceArn": [
                        "Your-Custom-Access-Grants-Location-ARN"
                    ]
                }
            }
        },
        {
            "Sid": "ObjectLevelWritePermissions",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:PutObjectVersionAcl",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:AbortMultipartUpload"
            ],
            "Resource": [
                "arn:aws:s3:::*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "Your-AWS-Account-ID"
                },
                "ArnEquals": {
                    "s3:AccessGrantsInstanceArn": [
                        "Your-Custom-Access-Grants-Location-ARN"
                    ]
                }
            }
        },
        {
            "Sid": "BucketLevelReadPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "Your-AWS-Account-ID"
                },
                "ArnEquals": {
                    "s3:AccessGrantsInstanceArn": [
                        "Your-Custom-Access-Grants-Location-ARN"
                    ]
                }
            }
        },
        "//Optionally add the following section if you use SSE-KMS encryption",
        {
            "Sid": "KMSPermissions",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

    2. Vertrauensrichtlinie

      Gewähren Sie in der Vertrauensrichtlinie für IAM-Rollen dem S3-Access-Grants-Service (access-grants.s3.amazonaws.com)-Prinzipal Zugriff auf die IAM-Rolle, die Sie erstellt haben. Hierzu können Sie eine JSON-Datei mit den folgenden Anweisungen erstellen. Informationen zum Hinzufügen der Vertrauensrichtlinie zu Ihrem Konto finden Sie unter Erstellen einer Rolle mit benutzerdefinierten Vertrauensrichtlinien.

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1234567891011",
            "Effect": "Allow",
            "Principal": {
                "Service": "access-grants.s3.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetSourceIdentity"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "Your-AWS-Account-ID",
                    "aws:SourceArn": "Your-Custom-Access-Grants-Location-ARN"
                }
            }
        },
        "//For an IAM Identity Center use case, add:",
        {
            "Sid": "Stmt1234567891012",
            "Effect": "Allow",
            "Principal": {
                "Service": "access-grants.s3.amazonaws.com"
            },
            "Action": "sts:SetContext",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "Your-AWS-Account-ID",
                    "aws:SourceArn": "Your-Custom-Access-Grants-Location-ARN"
                },
                "ForAllValues:ArnEquals": {
                    "sts:RequestContextProviders": "arn:aws:iam::aws:contextProvider/IdentityCenter"
                }
            }
        }
    ]
}

Amazon S3 Access Grant erstellen

Wenn Sie über eine Amazon S3 Access Grants S3-Instance mit einem registrierten Standort verfügen und Ihre IAM Identity Center-Instance damit verknüpft haben, können Sie einen Grant erstellen. Gehen Sie auf der Seite „Grant erstellen“ der S3-Konsole wie folgt vor:

Erstellen einer Erteilung

  1. Wählen Sie den im vorherigen Schritt erstellten Standort aus. Sie können den Umfang des Zuschusses reduzieren, indem Sie ein Unterpräfix hinzufügen. Das Unterpräfix kann ein bucketbucket/prefix, oder ein Objekt im Bucket sein. Weitere Informationen finden Sie unter Subprefix im Amazon Simple Storage Service-Benutzerhandbuch.

  2. Wählen Sie unter Berechtigungen und Zugriff je nach Bedarf Lesen und/oder Schreiben aus.

  3. Wählen Sie unter Granter type die Option Directory Identity form IAM Identity Center aus.

  4. Geben Sie die IAM Identity Center-Benutzer- oder Gruppen-ID ein. Sie finden den Benutzer und die Gruppe IDs in der IAM Identity Center-Konsole in den Abschnitten Benutzer und Gruppe. Klicken Sie auf Weiter.

  5. Überprüfen Sie auf der Seite „Überprüfen und beenden“ die Einstellungen für den S3 Access Grant und wählen Sie dann Create Grant aus.

    Die folgende Abbildung zeigt die Seite „Grant erstellen“ in der Amazon S3 Access Grants S3-Konsole:

    Erstellen Sie die Grant-Seite in der Amazon S3 Access Grants-Konsole.