As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurar funções do IAM para aplicativos web Transfer Family
Você precisará de duas funções: uma para usar como portador de identidade para seu aplicativo web e uma segunda para configurar uma concessão de acesso. Uma função de portador de identidade é uma função que inclui a identidade de um usuário autenticado em suas sessões. Ele é usado para fazer solicitações ao S3 Access Grants para acesso aos dados em nome do usuário.
nota
Você pode pular o procedimento para criar uma função de portador de identidade. Para obter informações sobre como fazer com que o serviço Transfer Family crie a função de portador de identidade, consulteCrie um aplicativo web Transfer Family.
Você pode pular o procedimento para criar uma função de concessão de acesso. No procedimento para criar uma concessão de acesso, na etapa em que você registra um local do S3, escolha Criar nova função.
Crie uma função de portador de identidade
Faça login no Console de gerenciamento da AWS e abra o console do IAM em https://console.aws.amazon.com/iam/
. -
Escolha Funções e, em seguida, Criar função.
-
Escolha Política de confiança personalizada e cole o código a seguir.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service":"transfer.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] } ] } -
Escolha Avançar e, em seguida, pule Adicionar permissões e selecione Avançar novamente.
-
Insira um nome, por exemplo
web-app-identity-bearer. -
Escolha Criar função para criar a função de portador de identidade.
-
Escolha a função que você acabou de criar na lista e, no painel Políticas de permissões, escolha Adicionar permissões > Criar política embutida.
-
No editor de políticas, selecione JSON e cole o bloco de código a seguir.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetDataAccess", "s3:ListCallerAccessGrants", "s3:ListAccessGrantsInstances" ], "Resource": "*" } ] } -
Para o nome da política
AllowS3AccessGrants, insira e selecione Criar política.
Em seguida, você cria a função que o S3 Access Grants assume para fornecer credenciais temporárias ao beneficiário.
nota
Se você permitir que o serviço crie a função de portador de identidade para você, essa função configurará uma proteção adjunta confusa. Portanto, seu código é diferente do que é exibido aqui.
Crie uma função de concessão de acesso
Faça login no Console de gerenciamento da AWS e abra o console do IAM em https://console.aws.amazon.com/iam/
. -
Escolha Funções e, em seguida, Criar função. Essa função deve ter permissão para acessar seus dados do S3 no Região da AWS.
-
Escolha Política de confiança personalizada e cole o código a seguir.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "access-grants.s3.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] } ] } -
Escolha Avançar para adicionar uma política mínima conforme descrito em Registrar um local. Embora não seja recomendado, você pode adicionar a política FullAccess gerenciada do AmazonS3, que pode ser muito permissiva para suas necessidades.
-
Escolha Avançar e insira um nome (por exemplo
access-grants-location). -
Escolha Criar função para criar a função.
nota
Se você permitir que o serviço crie a função de concessão de acesso para você, essa função configurará uma proteção adjunta confusa. Portanto, seu código é diferente do que é exibido aqui.
