Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione dei ruoli IAM per le app web Transfer Family
Avrai bisogno di due ruoli: uno da usare come portatore di identità per la tua app web e un secondo da usare per configurare una concessione di accesso. Un ruolo di portatore di identità è un ruolo che include l'identità di un utente autenticato nelle sue sessioni. Viene utilizzato per effettuare richieste a S3 Access Grants per l'accesso ai dati per conto dell'utente.
Nota
Puoi saltare la procedura per la creazione di un ruolo di portatore di identità. Per informazioni sulla creazione del ruolo di portatore di identità da parte del servizio Transfer Family, vedereCrea un'app web Transfer Family.
Puoi saltare la procedura per la creazione di un ruolo di concessione di accesso. Nella procedura per la creazione di una concessione di accesso, nella fase in cui registri una sede S3, scegli Crea nuovo ruolo.
Crea un ruolo di portatore di identità
Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Scegli Ruoli, quindi Crea ruolo.
-
Scegli Politica di fiducia personalizzata, quindi incolla il codice seguente.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service":"transfer.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] } ] } -
Scegli Avanti, quindi salta Aggiungi autorizzazioni e seleziona nuovamente Avanti.
-
Inserisci un nome, ad esempio.
web-app-identity-bearer -
Scegli Crea ruolo per creare il ruolo di portatore di identità.
-
Scegli il ruolo che hai appena creato dall'elenco, quindi nel pannello Politiche di autorizzazione, scegli Aggiungi autorizzazioni > Crea politica in linea.
-
Nell'editor delle politiche, seleziona JSON e quindi incolla il seguente blocco di codice.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetDataAccess", "s3:ListCallerAccessGrants", "s3:ListAccessGrantsInstances" ], "Resource": "*" } ] } -
Per il nome della policy, inserisci
AllowS3AccessGrants, quindi seleziona Crea policy.
Successivamente, crei il ruolo che S3 Access Grants assume per fornire credenziali temporanee all'assegnatario.
Nota
Se consenti al servizio di creare per te il ruolo di portatore di identità, quel ruolo crea una confusa protezione sostitutiva. Pertanto, il suo codice è diverso da quello visualizzato qui.
Crea un ruolo per le concessioni di accesso
Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Scegli Ruoli, quindi Crea ruolo. Questo ruolo dovrebbe avere l'autorizzazione ad accedere ai tuoi dati S3 in. Regione AWS
-
Scegli Custom Trust Policy, quindi incolla il codice seguente.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "access-grants.s3.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] } ] } -
Scegli Avanti e aggiungi una politica minima come descritto in Registrare una sede. Sebbene non sia consigliato, puoi aggiungere la politica FullAccess gestita di AmazonS3, che potrebbe essere troppo permissiva per le tue esigenze.
-
Scegli Avanti e inserisci un nome (ad esempio).
access-grants-location -
Scegli Crea ruolo per creare il ruolo.
Nota
Se consenti al servizio di creare il ruolo Access Grants al posto tuo, quel ruolo creerà confusione nella protezione dei sostituti. Pertanto, il suo codice è diverso da quello visualizzato qui.
