本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
授予文件共享和存储桶的访问权限和权限
激活并运行您的 S3 文件网关后,您可以添加其他文件共享并授予对 Amazon S3 存储桶的访问权限,包括与网关 AWS 账户 不同的存储桶和文件共享。以下各节介绍如何使用 IAM 角色为您的网关提供 Amazon S3 存储桶和 VPC 终端节点的访问权限、防止某些安全问题以及如何将文件共享连接到跨存储桶。 AWS 账户
有关如何创建新文件共享的信息,请参阅创建文件共享。
本节包含以下主题,这些主题提供了有关如何授予文件共享和 Amazon S3 存储桶的访问权限和权限的更多信息:
主题
-
授予对 Amazon S3 存储桶的访问权限-了解如何授予文件网关访问权限,以便将文件上传到您的 Amazon S3 存储桶,以及如何对其用于连接存储桶的任何接入点或亚马逊虚拟私有云 (Amazon VPC) 终端节点执行操作。
-
防止跨服务混淆代理-了解如何防止出现常见的安全问题,即无权执行操作的实体可能会强迫权限更高的实体执行操作。
-
使用文件共享进行跨账户访问-了解如何向亚马逊云科技账户和该账户的用户授予访问属于另一个亚马逊云科技账户的资源的访问权限。
注意
如果您的文件网关使用 SSE-KMS 或 DSSE-KMS 进行加密,请确保与文件共享关联的 IAM 角色包括 kms: encrypt、kms: decrypt、kms: *、kms: 和 kms: 权限。ReEncrypt GenerateDataKey DescribeKey有关更多信息,请参阅对 Storage Gateway 使用基于身份的策略(IAM 策略)。
