使用文件共享进行跨账户访问 - AWS Storage Gatewa
资源

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用文件共享进行跨账户访问

跨账户访问就是为 Amazon Web Services 账户和该账户的用户授予访问权限,以便访问属于另一个 Amazon Web Services 账户的资源。有了文件网关,您可以使用一个 Amazon Web Services 账户中的文件共享来访问属于另一个 Amazon Web Services 账户的 Amazon S3 存储桶中的对象。

使用一个 Amazon Web Services 账户拥有的文件共享来访问另一个 Amazon Web Services 账户中的 S3 存储桶

  1. 确保 S3 存储桶拥有者已授权您的 Amazon Web Services 账户访问您需要访问的 S3 存储桶以及该存储桶中的对象。有关如何授予此访问权限的信息,请参阅《Amazon Simple Storage Service 用户指南》中的示例 2:存储桶所有者授予跨账户存储桶权限。有关所需权限的列表,请参阅授予对 Amazon S3 存储桶的访问权限

  2. 确保您的文件共享用来访问 S3 存储桶的 IAM 角色包含 s3:GetObjectAcls3:PutObjectAcl 等操作的权限。此外,确保 IAM 角色包括允许您的账户代入该 IAM 角色的信任策略。有关信任策略的示例,请参阅授予对 Amazon S3 存储桶的访问权限

    如果您的文件共享使用现有角色来访问 S3 存储桶,您应包含 s3:GetObjectAcl 和 s3:PutObjectAcl 操作的权限。IAM 角色还需要一个允许您的帐户带入此角色的信任策略。有关信任策略的示例,请参阅授予对 Amazon S3 存储桶的访问权限

  3. 在家中创建文件共享或编辑文件共享设置时,选择 S3 存储桶所有者可以访问的 Gat eway 文件。https://console.aws.amazon.com/storagegateway/

在为跨账户访问权限创建或更新文件共享并在本地挂载该文件共享后,我们强烈建议您测试设置。为此,您可以列出目录内容或者编写测试文件并确保这些文件在 S3 存储桶中显示为对象。

重要

确保设置正确的策略以授予跨账户访问文件共享所使用的账户。如果您未这样做,则通过本地应用程序对文件所做的更新不能传播到您正在使用的 Amazon S3 存储桶。

有关访问策略和访问控制列表的更多信息,请参阅以下内容:

《Amazon Simple Storage Service 用户指南》中的使用可用访问策略选项的准则

《Amazon Simple Storage Service 用户指南》中的访问控制列表(ACL)概述