Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Konsep S3 Access Grants
<a name="access-grants-concepts"></a>

**Alur kerja Hibah Akses S3**  
Alur kerja S3 Access Grants adalah: 

1. Buat instance S3 Access Grants. Lihat [Bekerja dengan instans S3 Access Grants](access-grants-instance.md).

1. Dalam instans S3 Access Grants Anda, daftarkan lokasi di data Amazon S3 Anda, dan petakan lokasi ini AWS Identity and Access Management ke peran (IAM). Lihat [Mendaftarkan lokasi](access-grants-location-register.md). 

1. Buat hibah untuk penerima hibah, yang memberi penerima hibah akses ke sumber daya S3 Anda. Lihat [Bekerja dengan hibah di S3 Access Grants](access-grants-grant.md).

1. Penerima hibah meminta kredensil sementara dari S3 Access Grants. Lihat [Minta akses ke data Amazon S3 melalui S3 Access Grants](access-grants-credentials.md).

1. Penerima hibah mengakses data S3 menggunakan kredensyal sementara tersebut. Lihat [Mengakses data S3 menggunakan kredensyal yang dijual oleh S3 Access Grants](access-grants-get-data.md).

Untuk informasi selengkapnya, lihat [Memulai S3 Access Grants](access-grants-get-started.md).

 **Instans S3 Access Grants**   
*Instance S3 Access Grants* *adalah wadah logis untuk hibah individu.* Saat Anda membuat instance S3 Access Grants, Anda harus menentukan. Wilayah AWS Masing-masing Wilayah AWS di dalam Anda Akun AWS dapat memiliki satu instance S3 Access Grants. Untuk informasi selengkapnya, lihat [Bekerja dengan instans S3 Access Grants](access-grants-instance.md).  
Jika Anda ingin menggunakan S3 Access Grants untuk memberikan akses ke identitas pengguna dan grup dari direktori perusahaan Anda, Anda juga harus mengaitkan instance S3 Access Grants Anda dengan sebuah instance. AWS IAM Identity Center Untuk informasi selengkapnya, lihat [S3 Access Grants dan identitas direktori perusahaan](access-grants-directory-ids.md).  
Instance S3 Access Grants yang baru dibuat kosong. Anda harus mendaftarkan lokasi dalam instance, yang dapat berupa jalur default S3 (`s3://`), bucket, atau awalan dalam bucket. Setelah Anda mendaftarkan setidaknya satu lokasi, Anda dapat membuat hibah akses yang memberikan akses ke data di lokasi terdaftar ini.

 **Lokasi**   
Akses S3 Memberikan *lokasi* memetakan bucket atau awalan ke peran (IAM). AWS Identity and Access Management S3 Access Grants mengasumsikan peran IAM ini untuk menjual kredensyal sementara kepada penerima hibah yang mengakses lokasi tertentu. Anda harus terlebih dahulu mendaftarkan setidaknya satu lokasi di instans S3 Access Grants sebelum Anda dapat membuat hibah akses.   
Kami menyarankan Anda mendaftarkan lokasi default (`s3://`) dan memetakannya ke peran IAM. Lokasi di jalur S3 default (`s3://`) mencakup akses ke semua bucket S3 Anda di akun Anda Wilayah AWS . Saat membuat hibah akses, Anda dapat mempersempit cakupan hibah menjadi bucket, awalan, atau objek di dalam lokasi default.  
Kasus penggunaan manajemen akses yang lebih kompleks mungkin mengharuskan Anda untuk mendaftar lebih dari lokasi default. Beberapa contoh kasus penggunaan tersebut adalah:  
+ Misalkan lokasi terdaftar di instance S3 Access Grants Anda dengan peran IAM yang dipetakan ke sana, tetapi peran IAM ini ditolak akses ke awalan tertentu di dalam bucket. *amzn-s3-demo-bucket* Dalam hal ini, Anda dapat mendaftarkan awalan yang tidak dapat diakses oleh peran IAM sebagai lokasi terpisah dan memetakan lokasi tersebut ke peran IAM yang berbeda dengan akses yang diperlukan. 
+ Misalkan Anda ingin membuat hibah yang membatasi akses hanya ke pengguna dalam titik akhir virtual private cloud (VPC). Dalam hal ini, Anda dapat mendaftarkan lokasi untuk bucket di mana peran IAM membatasi akses ke titik akhir VPC. Kemudian, ketika penerima hibah meminta S3 Access Grants untuk kredensialnya, S3 Access Grants mengasumsikan peran IAM lokasi untuk menjual kredenal sementara. Kredensyal ini akan menolak akses ke bucket tertentu kecuali penelepon berada dalam titik akhir VPC. Izin penolakan ini diterapkan selain izin BACA, TULIS, atau READWRITE reguler yang ditentukan dalam hibah.
Jika kasus penggunaan Anda mengharuskan Anda mendaftarkan beberapa lokasi di instans S3 Access Grants, Anda dapat mendaftarkan salah satu dari berikut ini:  
+ Lokasi S3 default () `s3://`
+ Ember (misalnya,*amzn-s3-demo-bucket*) atau beberapa ember
+ Sebuah ember dan awalan (misalnya,`amzn-s3-demo-bucket/prefix*`) atau beberapa awalan
Untuk jumlah maksimum lokasi yang dapat Anda daftarkan di instans S3 Access Grants, lihat. [Batasan S3 Access Grants](access-grants-limitations.md) Untuk informasi selengkapnya tentang mendaftarkan lokasi S3 Access Grants, lihat. [Mendaftarkan lokasi](access-grants-location-register.md)   
Setelah Anda mendaftarkan lokasi pertama di instans S3 Access Grants, instans Anda masih tidak memiliki hibah akses individual di dalamnya. Jadi, belum ada akses yang diberikan ke data S3 Anda. Anda sekarang dapat membuat hibah akses untuk memberikan akses. Untuk informasi selengkapnya tentang membuat hibah, lihat[Bekerja dengan hibah di S3 Access Grants](access-grants-grant.md). 

 **Izin**   
*Hibah* individu dalam instans S3 Access Grants memungkinkan identitas tertentu—prinsipal IAM, atau pengguna atau grup di direktori perusahaan—untuk mendapatkan akses di dalam lokasi yang terdaftar di instans S3 Access Grants Anda.   
Saat Anda membuat hibah, Anda tidak perlu memberikan akses ke seluruh lokasi yang terdaftar. Anda dapat mempersempit ruang lingkup akses hibah di dalam suatu lokasi. Jika lokasi terdaftar adalah jalur S3 default (`s3://`), Anda harus mempersempit cakupan hibah ke bucket, awalan dalam bucket, atau objek tertentu. Jika lokasi hibah yang terdaftar adalah bucket atau awalan, maka Anda dapat memberikan akses ke seluruh bucket atau awalan, atau Anda dapat secara opsional mempersempit cakupan hibah ke awalan, subprefiks, atau objek.  
Dalam hibah, Anda juga mengatur tingkat akses hibah ke READ, WRITE, atau READWRITE. Misalkan Anda memiliki hibah yang memberi grup direktori perusahaan `01234567-89ab-cdef-0123-456789abcdef` READ akses ke bucket`s3://amzn-s3-demo-bucket/projects/items/*`. Pengguna dalam grup ini dapat memiliki akses BACA ke setiap objek yang memiliki nama kunci objek yang dimulai dengan awalan `projects/items/` di bucket bernama*amzn-s3-demo-bucket*.   
Untuk jumlah maksimum hibah yang dapat Anda buat di instance S3 Access Grants, lihat. [Batasan S3 Access Grants](access-grants-limitations.md) Untuk informasi selengkapnya tentang membuat hibah, lihat[Membuat pemberian](access-grants-grant-create.md).

 **Akses S3 memberikan kredensial sementara**   
Setelah Anda membuat hibah, aplikasi resmi yang menggunakan identitas yang ditentukan dalam hibah dapat meminta *kredensyal just-in-time akses*. Untuk melakukan ini, aplikasi memanggil operasi API [GetDataAccess](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetDataAccess.html)S3. Penerima hibah dapat menggunakan operasi API ini untuk meminta akses ke data S3 yang telah Anda bagikan dengan mereka.   
Instans S3 Access Grants mengevaluasi permintaan `GetDataAccess` terhadap pemberian yang dimilikinya. Jika ada hibah yang cocok untuk pemohon, S3 Access Grants mengasumsikan peran IAM yang terkait dengan lokasi terdaftar dari hibah yang cocok. S3 Access Grants mencakup izin kredensyal sementara untuk hanya mengakses bucket, awalan, atau objek S3 yang ditentukan oleh cakupan hibah.  
Waktu kedaluwarsa kredensyal akses sementara default menjadi 1 jam, tetapi Anda dapat mengaturnya ke nilai apa pun dari 15 menit hingga 12 jam. Lihat sesi durasi maksimum di referensi [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)API. 

## Cara kerjanya
<a name="access-grants-concepts-how"></a>

Dalam diagram berikut, lokasi Amazon S3 default dengan cakupan `s3://` terdaftar dengan peran IAM `s3ag-location-role`. Peran IAM ini memiliki izin untuk melakukan tindakan Amazon S3 dalam akun saat kredensialnya diperoleh melalui S3 Access Grants. 

Di lokasi ini, dua pemberian akses individu dibuat untuk dua pengguna IAM. Pengguna IAM Bob diberikan keduanya `READ` dan `WRITE` akses pada `bob/` prefiks di bucket `DOC-BUCKET-EXAMPLE`. Peran IAM lainnya, Alice, hanya diberikan `READ` akses pada `alice/` awalan di ember. `DOC-BUCKET-EXAMPLE` Hibah, berwarna biru, didefinisikan untuk Bob untuk mengakses prefiks `bob/` di `DOC-BUCKET-EXAMPLE` bucket. Hibah, berwarna hijau, didefinisikan untuk Alice untuk mengakses prefiks `alice/` di `DOC-BUCKET-EXAMPLE` bucket.

Saat tiba waktunya bagi Bob untuk melakukan `READ` data, peran IAM yang terkait dengan lokasi hibahnya memanggil operasi S3 Access Grants API [GetDataAccess](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetDataAccess.html). Jika Bob mencoba `READ` prefiks atau S3 Object yang dimulai dengan`s3://DOC-BUCKET-EXAMPLE/bob/*`, `GetDataAccess` permintaan mengembalikan satu set kredensial sesi IAM sementara dengan izin untuk `s3://DOC-BUCKET-EXAMPLE/bob/*`. Demikian pula, Bob dapat `WRITE` ke prefiks atau S3 Object apa pun yang dimulai dengan `s3://DOC-BUCKET-EXAMPLE/bob/*`, karena pemberian juga memungkinkan itu.

Demikian pula, Alice bisa `READ` apa saja yang dimulai dengan `s3://DOC-BUCKET-EXAMPLE/alice/`. Namun, jika dia mencoba `WRITE` apa pun ke bucket, prefiks, atau objek apa pun `s3://`, dia akan mendapatkan kesalahan Access Denied (403 Forbidden), karena tidak ada pemberian yang memberikannya `WRITE` akses ke data apa pun. Selain itu, jika Alice meminta tingkat akses apa pun (`READ` atau `WRITE`) ke data di luar `s3://DOC-BUCKET-EXAMPLE/alice/`, dia akan kembali menerima kesalahan Akses Ditolak.

![\[Cara kerja Hibah Akses S3\]](http://docs.aws.amazon.com/id_id/AmazonS3/latest/userguide/images/s3ag-how-it-works.png)


Pola ini menskalakan ke sejumlah besar pengguna dan bucket dan menyederhanakan pengelolaan izin tersebut. Daripada mengedit kebijakan bucket S3 yang berpotensi besar setiap kali Anda ingin menambahkan atau menghapus hubungan akses prefiks pengguna individual, Anda dapat menambahkan dan menghapus masing-masing pemberian terpisah.