Konfigurasikan peran IAM untuk aplikasi web Transfer Family

Anda akan memerlukan dua peran: satu untuk digunakan sebagai peran pembawa identitas untuk aplikasi web Anda, dan yang kedua digunakan untuk mengonfigurasi hibah akses. Peran pembawa identitas adalah peran yang mencakup identitas pengguna yang diautentikasi dalam sesinya. Ini digunakan untuk membuat permintaan ke S3 Access Grants untuk akses data atas nama pengguna.

catatan

Anda dapat melewati prosedur untuk membuat peran pembawa identitas. Untuk informasi tentang meminta layanan Transfer Family membuat peran pembawa identitas, lihatMembuat aplikasi web Transfer Family.

Anda dapat melewati prosedur untuk membuat peran hibah akses. Dalam prosedur untuk membuat hibah akses, pada langkah di mana Anda mendaftarkan lokasi S3, pilih Buat peran baru.

Buat peran pembawa identitas

Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.
Pilih Peran, lalu Buat peran.

Pilih Kebijakan kepercayaan khusus, lalu tempelkan kode berikut.


{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service":"transfer.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ]
        }
    ]
}

Pilih Berikutnya dan kemudian lewati Tambahkan izin dan pilih Berikutnya lagi.
Masukkan nama, misalnyaweb-app-identity-bearer.
Pilih Buat peran untuk membuat peran pembawa identitas.
Pilih peran yang baru saja Anda buat dari daftar, lalu di panel Kebijakan izin, pilih Tambahkan izin > Buat kebijakan sebaris.

Di editor Kebijakan, pilih JSON dan kemudian tempel di blok kode berikut.


{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetDataAccess",
                "s3:ListCallerAccessGrants",
                "s3:ListAccessGrantsInstances"
            ],
            "Resource": "*"
        }
    ]
}

Untuk nama kebijakan, masukkanAllowS3AccessGrants, lalu pilih Buat kebijakan.

Selanjutnya, Anda membuat peran yang diasumsikan oleh S3 Access Grants untuk menjual kredensi sementara kepada penerima hibah.

catatan

Jika Anda mengizinkan layanan untuk membuat peran pembawa identitas untuk Anda, peran itu menetapkan perlindungan wakil yang membingungkan. Oleh karena itu, kodenya berbeda dari apa yang ditampilkan di sini.

Buat peran hibah akses

Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.
Pilih Peran, lalu Buat peran. Peran ini harus memiliki izin untuk mengakses data S3 Anda di file. Wilayah AWS

Pilih Kebijakan kepercayaan khusus, lalu tempelkan kode berikut.


{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "access-grants.s3.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ]
        }
    ]
}

Pilih Berikutnya tambahkan kebijakan minimal seperti yang dijelaskan dalam Daftarkan lokasi. Meskipun tidak disarankan, Anda dapat menambahkan kebijakan FullAccess terkelola AmazonS3, yang mungkin terlalu permisif untuk kebutuhan Anda.
Pilih Berikutnya, dan masukkan nama (misalnyaaccess-grants-location).
Pilih Buat peran untuk membuat peran.

catatan

Jika Anda mengizinkan layanan untuk membuat peran hibah akses untuk Anda, peran tersebut menetapkan perlindungan wakil yang membingungkan. Oleh karena itu, kodenya berbeda dari apa yang ditampilkan di sini.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Konfigurasikan penyedia identitas Anda

Mengkonfigurasi aplikasi web Transfer Family