As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Conceder acesso a um bucket do Amazon S3
Quando você cria um compartilhamento de arquivos, o Gateway de Arquivos precisa de acesso para fazer upload de arquivos no bucket do Amazon S3 e para realizar ações em quaisquer pontos de acesso ou endpoints da nuvem privada virtual (VPC) que ele usa para se conectar ao bucket. Para conceder esse acesso, seu File Gateway assume uma função AWS Identity and Access Management (IAM) associada a uma política do IAM que concede esse acesso.
A função exige essa política do IAM e um relacionamento de confiança do serviço de token de segurança (STS) para ela. A política determina quais ações a função pode realizar. Além disso, o bucket do S3 e todos os pontos de acesso ou endpoints da VPC associados devem ter uma política de acesso que permita que o perfil do IAM os acesse.
Você pode criar o perfil e a política de acesso por conta própria, ou o Gateway de Arquivos pode criá-los para você. Se o Gateway de Arquivos criar a política para você, ela terá uma lista de ações do S3. Para obter informações sobre perfis e permissões, consulte Criar um perfil para delegar permissões a um AWS service (Serviço da AWS) no Guia do usuário do IAM.
O exemplo de política de confiança a seguir permite que o Gateway de Arquivos assuma um perfil do IAM.
Importante
O Storage Gateway pode assumir perfis de serviço existentes que são passados usando a ação de política iam:PassRole, mas não oferece suporte às políticas do IAM que usam a chave de contexto iam:PassedToService para limitar a ação a serviços específicos.
Para saber mais, consulte os seguintes tópicos no Manual do usuário do AWS Identity and Access Management :
Se não quiser que o Gateway de Arquivos crie uma política em seu nome, você pode criar sua própria política e anexá-la ao compartilhamento de arquivos. Para obter mais informações sobre como fazer isso, consulte Criar um compartilhamento de arquivos.
O exemplo de política a seguir permite que o Gateway de Arquivos realize todas as ações do Amazon S3 listadas na política. A primeira parte da declaração permite que todas as ações listadas sejam executadas no bucket do S3 chamado amzn-s3-demo-bucket. A segunda parte permite as ações listadas em todos os objetos no amzn-s3-demo-bucket.
O exemplo de política a seguir é semelhante ao anterior, mas permite que o Gateway de Arquivos execute as ações necessárias para acessar um bucket por meio de um ponto de acesso.
nota
Se você precisar conectar o compartilhamento de arquivos a um bucket do S3 por meio de um endpoint da VPC, consulte Políticas de endpoint para o Amazon S3 no Guia do usuário do AWS PrivateLink .
nota
Para buckets criptografados, o compartilhamento de arquivos deve usar a chave na conta do bucket do S3 de destino.
