Konfiguration von IAM-Rollen für Transfer Family Family-Web-Apps - AWS Transfer Family

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration von IAM-Rollen für Transfer Family Family-Web-Apps

Sie benötigen zwei Rollen: eine für die Verwendung als Identitätsträgerrolle für Ihre Web-App und eine zweite für die Konfiguration einer Zugriffsgewährung. Eine Identitätsträgerrolle ist eine Rolle, die die Identität eines authentifizierten Benutzers in seine Sitzungen einbezieht. Sie wird verwendet, um Anträge auf Datenzugriff im Namen des Benutzers an S3 Access Grants zu stellen.

Anmerkung

Sie können das Verfahren zum Erstellen einer Identitätsträgerrolle überspringen. Informationen dazu, wie der Transfer Family Family-Dienst die Identitätsträgerrolle erstellt, finden Sie unterEine Transfer Family Family-Web-App erstellen.

Sie können das Verfahren zum Erstellen einer Rolle mit Zugriffsberechtigungen überspringen. Wählen Sie im Verfahren zum Erstellen einer Zugriffsberechtigung in dem Schritt, in dem Sie einen S3-Standort registrieren, die Option Neue Rolle erstellen aus.

Erstellen Sie eine Rolle als Identitätsträger

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/

  2. Wählen Sie Rollen und anschließend Rolle erstellen aus.

  3. Wählen Sie Benutzerdefinierte Vertrauensrichtlinie und fügen Sie dann den folgenden Code ein.

    {
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service":"transfer.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ]
        }
    ]
}

  4. Wählen Sie Weiter und überspringen Sie dann „Berechtigungen hinzufügen“ und wählen Sie erneut Weiter aus.

  5. Geben Sie beispielsweise einen Namen einweb-app-identity-bearer.

  6. Wählen Sie Rolle erstellen, um die Identitätsträgerrolle zu erstellen.

  7. Wählen Sie die Rolle, die Sie gerade erstellt haben, aus der Liste aus und wählen Sie dann im Bereich „Berechtigungsrichtlinien“ die Option „Berechtigungen hinzufügen“ > „Inline-Richtlinie erstellen“.

  8. Wählen Sie im Richtlinien-Editor JSON aus und fügen Sie dann den folgenden Codeblock ein.

    {
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetDataAccess",
                "s3:ListCallerAccessGrants",
                "s3:ListAccessGrantsInstances"
            ],
            "Resource": "*"
        }
    ]
}

  9. Geben Sie AllowS3AccessGrants den Richtliniennamen ein und wählen Sie dann Richtlinie erstellen aus.

Als Nächstes erstellen Sie die Rolle, die S3 Access Grants übernimmt, um temporäre Anmeldeinformationen an den Empfänger zu verkaufen.

Anmerkung

Wenn Sie dem Dienst erlauben, die Rolle des Identitätsträgers für Sie zu erstellen, sorgt diese Rolle für den Schutz eines verwirrten Stellvertreters. Daher unterscheidet sich der Code von dem, der hier angezeigt wird.

Erstellen Sie eine Rolle mit Zugriffsberechtigungen

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie Rollen und anschließend Rolle erstellen aus. Diese Rolle sollte über die Berechtigung verfügen, auf Ihre S3-Daten in der zuzugreifen AWS-Region.

  3. Wählen Sie Benutzerdefinierte Vertrauensrichtlinie und fügen Sie dann den folgenden Code ein.

    {
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "access-grants.s3.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ]
        }
    ]
}

  4. Wählen Sie Weiter und fügen Sie eine Mindestrichtlinie hinzu, wie unter Standort registrieren beschrieben. Obwohl dies nicht empfohlen wird, können Sie die FullAccess verwaltete AmazonS3-Richtlinie hinzufügen, da diese für Ihre Anforderungen möglicherweise zu großzügig ist.

  5. Wählen Sie Weiter und geben Sie einen Namen ein (zum Beispiel). access-grants-location

  6. Wählen Sie Rolle erstellen, um die Rolle zu erstellen.

Anmerkung

Wenn Sie dem Dienst gestatten, die Rolle „Zugriffsberechtigungen“ für Sie zu erstellen, sorgt diese Rolle für den Schutz eines verwirrten Stellvertreters. Daher unterscheidet sich der Code von dem, der hier angezeigt wird.