Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menyiapkan Hibah Akses Amazon S3 dengan Pusat Identitas IAM
[Amazon S3 Access Grants](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-get-started.html) memberikan fleksibilitas untuk memberikan kontrol akses butir halus berbasis identitas ke lokasi S3. Anda dapat menggunakan Amazon S3 Access Grants untuk memberikan akses bucket Amazon S3 langsung ke pengguna dan grup perusahaan Anda. Ikuti langkah-langkah ini untuk mengaktifkan S3 Access Grants dengan IAM Identity Center dan mencapai propagasi identitas tepercaya.
## Prasyarat
Sebelum Anda dapat memulai dengan tutorial ini, Anda harus mengatur yang berikut:
+ [Aktifkan Pusat Identitas IAM](enable-identity-center.md). [Contoh organisasi](organization-instances-identity-center.md) direkomendasikan. Untuk informasi selengkapnya, lihat [Prasyarat dan pertimbangan](trustedidentitypropagation-overall-prerequisites.md).
## Mengkonfigurasi Hibah Akses S3 untuk propagasi identitas tepercaya melalui IAM Identity Center
**Jika Anda sudah memiliki Access Grants instans Amazon S3 dengan lokasi terdaftar, ikuti langkah-langkah berikut:**
1. [Kaitkan instans Pusat Identitas IAM](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-idc.html) Anda.
1. [Buat hibah](#tip-tutorial-s3-create-grant).
**Jika Anda belum membuat Amazon S3Access Grants, ikuti langkah-langkah ini:**
1. [https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html) - Anda dapat membuat satu Access Grants instance S3 per. Wilayah AWS Saat Anda membuat Access Grants instance S3, pastikan untuk mencentang kotak **Add IAM Identity Center instance** dan berikan ARN dari instance IAM Identity Center Anda. Pilih **Selanjutnya**.
Gambar berikut menunjukkan halaman Access Grants instans Create S3 di konsol Amazon Access Grants S3:
![\[Buat halaman Access Grants instans S3 di konsol S3 Access Grants.\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/s3-tutorial-step-1.1.png)
1. **Daftarkan lokasi** - Setelah Anda [membuat Access Grants instans Amazon S3](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html) Wilayah AWS di akun Anda, Anda [mendaftarkan lokasi S3 dalam contoh](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-location-register.html) itu. Access GrantsLokasi S3 memetakan default S3 region (`S3://`), bucket, atau awalan ke peran IAM. S3 Access Grants mengasumsikan peran Amazon S3 ini untuk menjual kredensil sementara kepada penerima hibah yang mengakses lokasi tertentu. Anda harus terlebih dahulu mendaftarkan setidaknya satu lokasi di Access Grants instans S3 Anda sebelum Anda dapat membuat hibah akses.
Untuk **cakupan Lokasi**, tentukan`s3://`, yang mencakup semua bucket Anda di Wilayah tersebut. Ini adalah ruang lingkup lokasi yang direkomendasikan untuk sebagian besar kasus penggunaan. Jika Anda memiliki kasus penggunaan manajemen akses lanjutan, Anda dapat mengatur cakupan lokasi ke bucket `s3://bucket` atau awalan tertentu dalam bucket`s3://bucket/prefix-with-path`. Untuk informasi selengkapnya, lihat [Mendaftarkan lokasi](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-location-register.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.
**catatan**
Pastikan lokasi S3 dari AWS Glue tabel yang ingin Anda berikan aksesnya disertakan dalam jalur ini.
Prosedur ini mengharuskan Anda untuk mengonfigurasi peran IAM untuk lokasi. Peran ini harus mencakup izin untuk mengakses cakupan lokasi. Anda dapat menggunakan wizard konsol S3 untuk membuat peran. Anda harus menentukan ARN Access Grants instans S3 Anda dalam kebijakan untuk peran IAM ini. Nilai default `arn:aws:s3:Your-Region:Your-AWS-Account-ID:access-grants/default` ARN Access Grants instans S3 Anda adalah.
Contoh kebijakan izin berikut memberikan izin Amazon S3 ke peran IAM yang Anda buat. Dan contoh kebijakan kepercayaan yang mengikutinya memungkinkan prinsipal Access Grants layanan S3 untuk mengambil peran IAM.
1. **Kebijakan izin**
Untuk menggunakan kebijakan ini, ganti kebijakan *italicized placeholder text* dalam contoh dengan informasi Anda sendiri. Untuk petunjuk tambahan, lihat [Membuat kebijakan](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) atau [Mengedit kebijakan](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectLevelReadPermissions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion",
"s3:GetObjectAcl",
"s3:GetObjectVersionAcl",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "ObjectLevelWritePermissions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectVersionAcl",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "BucketLevelReadPermissions",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "OptionalKMSPermissionsForSSEEncryption",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"*"
]
}
]
}
```
------
1. **Kebijakan kepercayaan**
Dalam kebijakan kepercayaan peran IAM, berikan akses utama layanan S3 Access Grants (`access-grants.s3.amazonaws.com`) ke peran IAM yang Anda buat. Untuk melakukannya, Anda dapat membuat file JSON yang berisi pernyataan berikut ini. Untuk menambahkan kebijakan kepercayaan ke akun Anda, lihat [Membuat peran menggunakan kebijakan kepercayaan khusus](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-custom.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1234567891011",
"Effect": "Allow",
"Action": [
"sts:AssumeRole",
"sts:SetSourceIdentity"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "Your-Custom-Access-Grants-Location-ARN"
}
}
},
{
"Sid": "Stmt1234567891012",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "Your-Custom-Access-Grants-Location-ARN"
},
"ForAllValues:ArnEquals": {
"sts:RequestContextProviders": "arn:aws:iam::aws:contextProvider/IdentityCenter"
}
}
}
]
}
```
------
## Buat Hibah Akses Amazon S3
Jika Anda memiliki Access Grants instans Amazon S3 dengan lokasi terdaftar dan Anda telah mengaitkan instans Pusat Identitas IAM Anda dengannya, Anda dapat [membuat](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-grant-create.html) hibah. Di halaman **Create Grant** konsol S3, lengkapi yang berikut ini:
**Buat hibah**
1. Pilih lokasi yang dibuat pada langkah sebelumnya. Anda dapat mengurangi cakupan hibah dengan menambahkan sub-awalan. Sub-awalan dapat berupa`bucket`,`bucket/prefix`, atau objek dalam ember. Untuk informasi selengkapnya, lihat [Subprefix](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-grant-create.html#subprefix) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.
1. Di bawah **Izin dan akses**, pilih **Baca** dan atau **Tulis** tergantung pada kebutuhan Anda.
1. Pada **tipe Granter**, pilih **Directory Identity form IAM Identity** Center.
1. Berikan **ID Pengguna atau Grup** Pusat Identitas IAM. Anda dapat menemukan pengguna dan grup IDs di konsol Pusat Identitas IAM di bawah [bagian **Pengguna** dan **Grup**](howtoviewandchangepermissionset.md). Pilih **Selanjutnya**.
1. Pada halaman **Review and Finish**, tinjau pengaturan untuk S3 Access Grant dan kemudian pilih **Create Grant**.
Gambar berikut menunjukkan halaman Buat Hibah di konsol Amazon S3Access Grants:
![\[Buat halaman Grant di konsol Amazon S3 Access Grants.\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/s3-tutorial-step-1.4.png)