Pré-requisitos Configurando concessões de acesso do S3 para propagação confiável de identidade por meio do IAM Identity Center Crie uma concessão de acesso ao Amazon S3

Configuração de concessões de acesso ao Amazon S3 com o IAM Identity Center

O Amazon S3 Access Grants oferece a flexibilidade de conceder controle de acesso refinado baseado em identidade aos locais do S3. Você pode usar o Amazon S3 Access Grants para conceder acesso ao bucket do Amazon S3 diretamente aos seus usuários e grupos corporativos. Siga estas etapas para habilitar o S3 Access Grants com o IAM Identity Center e obter uma propagação de identidade confiável.

Pré-requisitos

Antes de começar com este tutorial, você precisará configurar o seguinte:

Ative o IAM Identity Center. A instância da organização é recomendada. Para obter mais informações, consulte Pré-requisitos e considerações.

Configurando concessões de acesso do S3 para propagação confiável de identidade por meio do IAM Identity Center

Se você já tem uma Access Grants instância do Amazon S3 com um local registrado, siga estas etapas:

Se você Access Grants ainda não criou um Amazon S3, siga estas etapas:

Crie uma Access Grants instância S3 - Você pode criar uma Access Grants instância S3 por. Região da AWS Ao criar a Access Grants instância S3, certifique-se de marcar a caixa Adicionar instância do IAM Identity Center e fornecer o ARN da sua instância do IAM Identity Center. Escolha Próximo.

A imagem a seguir mostra a página Criar Access Grants instância S3 no console Amazon Access Grants S3:

Registre um local - Depois de criar e criar uma Access Grants instância do Amazon S3 Região da AWS em sua conta, você registra um local do S3 nessa instância. Uma Access Grants localização do S3 mapeia a região padrão do S3 (S3://), um bucket ou um prefixo para uma função do IAM. O S3 Access Grants assume essa função do Amazon S3 para fornecer credenciais temporárias ao beneficiário que está acessando aquele local específico. Primeiro, você deve registrar pelo menos um local na sua Access Grants instância do S3 antes de criar uma concessão de acesso.

Para o escopo de localização, especifiques3://, o que inclui todos os seus buckets nessa região. Esse é o escopo de localização recomendado para a maioria dos casos de uso. Se você tiver um caso de uso de gerenciamento de acesso avançado, poderá definir o escopo do local para um intervalo s3://bucket ou prefixo específico dentro de um intervalos3://bucket/prefix-with-path. Para obter mais informações, consulte Registrar um local no Guia do usuário do Amazon Simple Storage Service.

nota

Certifique-se de que as localizações S3 das AWS Glue tabelas às quais você deseja conceder acesso estejam incluídas nesse caminho.

O procedimento exige que você configure uma função do IAM para o local. Essa função deve incluir permissões para acessar o escopo do local. Você pode usar o assistente do console S3 para criar a função. Você precisará especificar o ARN da sua Access Grants instância do S3 nas políticas para essa função do IAM. O valor padrão do arn:aws:s3:Your-Region:Your-AWS-Account-ID:access-grants/default ARN da sua Access Grants instância do S3 é.

O exemplo de política de permissão a seguir dá ao Amazon S3 permissões para a função do IAM que você criou. E o exemplo de política de confiança a seguir permite que o diretor de Access Grants serviço do S3 assuma a função do IAM.

Política de permissão

Para usar essas políticas, substitua a política italicized placeholder text no exemplo por suas próprias informações. Para obter instruções adicionais, consulte Criar uma política ou Editar uma política.

JSON


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ObjectLevelReadPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion",
                "s3:GetObjectAcl",
                "s3:GetObjectVersionAcl",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "Your-AWS-Account-ID"
                },
                "ArnEquals": {
                    "s3:AccessGrantsInstanceArn": [
                        "Your-Custom-Access-Grants-Location-ARN"
                    ]
                }
            }
        },
        {
            "Sid": "ObjectLevelWritePermissions",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:PutObjectVersionAcl",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:AbortMultipartUpload"
            ],
            "Resource": [
                "arn:aws:s3:::*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "Your-AWS-Account-ID"
                },
                "ArnEquals": {
                    "s3:AccessGrantsInstanceArn": [
                        "Your-Custom-Access-Grants-Location-ARN"
                    ]
                }
            }
        },
        {
            "Sid": "BucketLevelReadPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "Your-AWS-Account-ID"
                },
                "ArnEquals": {
                    "s3:AccessGrantsInstanceArn": [
                        "Your-Custom-Access-Grants-Location-ARN"
                    ]
                }
            }
        },
        "//Optionally add the following section if you use SSE-KMS encryption",
        {
            "Sid": "KMSPermissions",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Política de confiança

Na política de confiança do perfil do IAM, dê à entidade principal do serviço Concessão de Acesso do S3 (access-grants.s3.amazonaws.com) acesso ao perfil do IAM que você criou. Para fazer isso, você pode criar um arquivo JSON que contém as instruções a seguir. Para adicionar a política de confiança à sua conta, consulte Criar uma função usando políticas de confiança personalizadas.

Crie uma concessão de acesso ao Amazon S3

Se você tiver uma Access Grants instância do Amazon S3 com um local registrado e tiver associado sua instância do IAM Identity Center a ela, poderá criar uma concessão. Na página Create Grant do console S3, preencha o seguinte:

Criar uma concessão

Selecione o local criado na etapa anterior. Você pode reduzir o escopo da concessão adicionando um subprefixo. O subprefixo pode ser um bucketbucket/prefix, ou um objeto no bucket. Para obter mais informações, consulte Subprefix no Guia do usuário do Amazon Simple Storage Service.
Em Permissões e acesso, selecione Ler e/ou Gravar de acordo com suas necessidades.
Em Tipo de concedente, escolha Identidade de diretório no IAM Identity Center.
Forneça o ID de usuário ou grupo do IAM Identity Center. Você pode encontrar o usuário e o grupo IDs no console do IAM Identity Center nas seções Usuário e Grupo. Escolha Próximo.
Na página Revisar e concluir, revise as configurações do S3 Access Grant e selecione Criar concessão.

A imagem a seguir mostra a página Create Grant no console do Amazon S3: Access Grants

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

AWS Lake Formation

Aplicações gerenciadas pelo cliente