Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configurar las funciones de IAM para las aplicaciones web Transfer Family
Necesitará dos funciones: una para usarla como función portadora de identidad para su aplicación web y otra para configurar una concesión de acceso. Un rol de portador de identidad es un rol que incluye la identidad de un usuario autenticado en sus sesiones. Se utiliza para solicitar el acceso a los datos a S3 Access Grants en nombre del usuario.
nota
Puede omitir el procedimiento de creación de un rol de portador de identidad. Para obtener información sobre cómo hacer que el servicio Transfer Family cree el rol de portador de identidad, consulteCrear una aplicación web Transfer Family.
Puede omitir el procedimiento de creación de un rol de concesión de acceso. En el procedimiento para crear una concesión de acceso, en el paso en el que se registra una ubicación de S3, seleccione Crear un nuevo rol.
Cree un rol de portador de identidad
Inicie sesión en la consola de IAM AWS Management Console y ábrala en. https://console.aws.amazon.com/iam/
-
Elija Funciones y, a continuación, Crear función.
-
Elija Política de confianza personalizada y, a continuación, pegue el siguiente código.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service":"transfer.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] } ] } -
Selecciona Siguiente y, a continuación, omite Añadir permisos y vuelve a seleccionar Siguiente.
-
Introduce un nombre, por ejemplo
web-app-identity-bearer. -
Elija Crear rol para crear el rol de portador de identidad.
-
Elija el rol que acaba de crear de la lista y, a continuación, en el panel de políticas de permisos, elija Añadir permisos > Crear política integrada.
-
En el editor de políticas, selecciona JSON y, a continuación, pega el siguiente bloque de código.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetDataAccess", "s3:ListCallerAccessGrants", "s3:ListAccessGrantsInstances" ], "Resource": "*" } ] } -
Para el nombre de la política, introduzca y
AllowS3AccessGrants, a continuación, seleccione Crear política.
A continuación, debe crear la función que S3 Access Grants asume para vender las credenciales temporales al concesionario.
nota
Si permite que el servicio cree el rol de portador de identidad para usted, ese rol establece una protección de adjunto confusa. Por lo tanto, su código es diferente al que se muestra aquí.
Cree un rol de concesión de acceso
Inicie sesión en la consola de IAM AWS Management Console y ábrala en https://console.aws.amazon.com/iam/
. -
Elija Funciones y, a continuación, Crear función. Este rol debe tener permiso para acceder a sus datos de S3 en Región de AWS.
-
Elija Política de confianza personalizada y, a continuación, pegue el siguiente código.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "access-grants.s3.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] } ] } -
Selecciona Siguiente y agrega una política mínima como se describe en Registrar una ubicación. Si bien no es recomendable, puede añadir la política FullAccess gestionada de AmazonS3, que puede resultar demasiado permisiva para sus necesidades.
-
Seleccione Siguiente e introduzca un nombre (por ejemplo).
access-grants-location -
Elija Crear rol para crear el rol.
nota
Si permites que el servicio cree la función de concesión de acceso por ti, esa función establece una confusa protección de diputado. Por lo tanto, su código es diferente al que se muestra aquí.
