建立 S3 Access Grants 執行個體 - Amazon Simple Storage Service

建立 S3 Access Grants 執行個體

若要開始使用 Amazon S3 Access Grants,您必須先建立 S3 Access Grants 執行個體。每個帳戶的每個 AWS 區域 只能建立一個 S3 Access Grants 執行個體。S3 Access Grants 執行個體可作為 S3 Access Grants 資源的容器,其中包括註冊的位置和授權。

您可以使用 S3 Access Grants 為 AWS Identity and Access Management (IAM) 使用者和角色建立 S3 資料的許可授權。如果您已新增公司身分目錄至 AWS IAM Identity Center,則可將公司目錄的這個 IAM Identity Center 執行個體與 S3 Access Grants 執行個體建立關聯。完成此操作之後,就可以為公司使用者和群組建立存取授權。如果您尚未將公司目錄新增至 IAM Identity Center,您可以稍後再將 S3 Access Grants 執行個體與 IAM Identity Center 執行個體建立關聯。

您可以使用 Amazon S3 主控台、AWS Command Line Interface (AWS CLI)、Amazon S3 REST API 和 AWS SDK 建立 S3 Access Grants 執行個體。

您必須先在與 S3 資料相同的 AWS 區域 中建立 S3 Access Grants 執行個體,才能使用 S3 Access Grants 授予 S3 資料的存取權。

必要條件

如果您想要使用公司目錄中的身分來授予 S3 資料的存取權,請新增公司身分目錄至 AWS IAM Identity Center。如果您尚未準備好這樣做,可以稍後再將 S3 Access Grants 執行個體與 IAM Identity Center 執行個體建立關聯。

建立 S3 Access Grants 執行個體

  1. 登入 AWS 管理主控台,並開啟位於 https://console.aws.amazon.com/s3/ 的 Amazon S3 主控台。

  2. 在導覽列中,選擇目前顯示的 AWS 區域名稱。接下來,選擇您想要切換到的區域。

  3. 在左側導覽窗格中,選擇 Access Grants

  4. S3 Access Grants 頁面上,選擇建立 S3 Access Grants 執行個體

    1. 設定 Access Grants 執行個體精靈的步驟 1 中,確認您要在目前的 AWS 區域 中建立執行個體。請確定這與 S3 資料所在的 AWS 區域 相同。每個帳戶的每個 AWS 區域 可建立一個 S3 Access Grants 執行個體。

    2. (選用) 如果您已新增公司身分目錄至 AWS IAM Identity Center,則可將公司目錄的這個 IAM Identity Center 執行個體與 S3 Access Grants 執行個體建立關聯。

      若要這樣做,請選取區域中新增 IAM Identity Center 執行個體。然後輸入 IAM Identity Center 執行個體 Amazon Resource Name (ARN)。

      如果您尚未將公司目錄新增至 IAM Identity Center,您可以稍後再將 S3 Access Grants 執行個體與 IAM Identity Center 執行個體建立關聯。

    3. 若要建立 S3 Access Grants 執行個體,請選擇下一步。若要註冊位置,請參閱步驟 2 - 註冊位置

  5. 如果下一步建立 S3 Access Grants 執行個體為停用狀態:

    無法建立執行個體

    • 您可能在相同 AWS 區域 中已有 S3 Access Grants 執行個體。在左側導覽窗格中,選擇 Access Grants。在 S3 Access Grants 頁面上,向下捲動至您帳戶中的 S3 Access Grants 執行個體區段,以判斷執行個體是否已存在。

    • 您可能沒有建立 S3 Access Grants 執行個體所需的 s3:CreateAccessGrantsInstance 許可。請聯絡您的帳戶管理員。如需將 IAM Identity Center 執行個體與 S3 Access Grants 執行個體建立關聯所需的其他許可,請參閱 CreateAccessGrantsInstance

若要安裝 AWS CLI ,請參閱《AWS Command Line Interface 使用者指南》中的安裝 AWS CLI

若要使用下列範例命令,請以您自己的資訊取代 user input placeholders

範例 建立 S3 Access Grants 執行個體 
aws s3control create-access-grants-instance \
--account-id 111122223333 \
--region us-east-2

回應:

{
    "CreatedAt": "2023-05-31T17:54:07.893000+00:00",
    "AccessGrantsInstanceId": "default",
    "AccessGrantsInstanceArn": "arn:aws:s3:us-east-2:111122223333:access-grants/default"
}

您可以使用 Amazon S3 REST API 建立 S3 Access Grants 執行個體。如需有關管理 S3 Access Grants 執行個體的 REST API 支援資訊,請參閱《Amazon Simple Storage Service API 參考》中的下列各節:

本節提供如何使用 AWS SDK 建立 S3 Access Grants 執行個體的範例。

Java

此範例會建立 S3 Access Grants 執行個體,作為個別存取授權的容器。您帳戶中的每個 AWS 區域 可擁有一個 S3 Access Grants 執行個體。回應包括執行個體 ID default,以及針對 S3 Access Grants 執行個體產生的 Amazon Resource Name (ARN)。

範例 建立 S3 Access Grants 執行個體請求
public void createAccessGrantsInstance() {
CreateAccessGrantsInstanceRequest createRequest = CreateAccessGrantsInstanceRequest.builder().accountId("111122223333").build();
CreateAccessGrantsInstanceResponse createResponse = s3Control.createAccessGrantsInstance(createRequest);LOGGER.info("CreateAccessGrantsInstanceResponse: " + createResponse);
}

回應:

CreateAccessGrantsInstanceResponse(
CreatedAt=2023-06-07T01:46:20.507Z,
AccessGrantsInstanceId=default,
AccessGrantsInstanceArn=arn:aws:s3:us-east-2:111122223333:access-grants/default)