使用 IAM 授權地區端點 API 操作

AWS Identity and Access Management (IAM) 是一種 AWS 服務，可協助管理員安全地控制對 AWS 資源的存取權。IAM 管理員可控制哪些人員可進行身分驗證 (登入) 並獲得授權 (具有許可權)，以使用目錄儲存貯體和 S3 Express One Zone 操作中的 Amazon S3 資源。您可以免費使用 IAM。

使用者預設沒有目錄儲存貯體的許可。若要授予存取目錄儲存貯體的許可，您可以使用 IAM 建立使用者、群組或角色，並將許可附加至這些身分。如需有關 IAM 的詳細資訊，請參閱《IAM 使用者指南》中的 IAM 安全最佳實務。

若要提供存取權，您可以透過下列方式新增許可至您的使用者、群組或角色：

如需有關適用於 S3 Express One Zone 的 IAM 的詳細資訊，請參閱下方主題。

主體

當您建立資源型政策以授予儲存貯體的存取權時，您必須使用 Principal 元素來指定可對該資源提出動作或操作請求的人員或應用程式。對於目錄儲存貯體政策，您可以使用下列主體：

如需詳細資訊，請參閱《IAM 使用者指南》中的 Principal。

資源

目錄儲存貯體的 Amazon Resource Names (ARN) 包含 s3express 命名空間、AWS 區域、AWS 帳戶 ID，以及包括 AWS 區域 ID (可用區域或本地區域 ID) 的目錄儲存貯體名稱。

若要存取並對目錄儲存貯體執行動作，您必須使用下列 ARN 格式：

arn:aws:s3express:region:account-id:bucket/base-bucket-name--zone-id--x-s3

若要存取目錄儲存貯體的存取點並在其上執行動作，您必須使用下列 ARN 格式：

arn:aws::s3express:region:account-id:accesspoint/accesspoint-basename--zone-id--xa-s3

如需有關 ARN 的詳細資訊，請參閱《IAM 使用者指南》中的 Amazon Resource Names (ARNs)。如需有關資源的詳細資訊，請參閱《IAM 使用者指南》中的 IAM JSON 政策元素︰Resource。

目錄儲存貯體的動作

在 IAM 身分型政策或資源型政策中，您可以定義可允許或拒絕哪些 S3 動作。動作對應於特定 API 操作。使用目錄儲存貯體時，您可以使用 S3 Express One Zone 命名空間來授予許可權，稱為 s3express。

當您允許授予 s3express:CreateSession 權限時，CreateSession API 操作會針對所有區域端點 API (物件層級) 操作擷取暫時工作階段字符。這些工作階段字符會傳回可用於所有其他區域端點 API 操作的憑證。因此，您不需要使用 IAM 政策授予區域 API 操作的存取權限。反之，CreateSession 會啟用所有物件層級操作的存取權。如需區域 API 操作和許可權清單，請參閱驗證和授權請求。

若要進一步了解 CreateSession API 操作，請參閱《Amazon Simple Storage Service API 參考》中的 CreateSession。

您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS 中執行操作的許可。在政策中使用動作時，通常會允許或拒絕存取相同名稱的 API 操作。不過，在某些情況下，單一動作可控制對多個 API 操作的存取。儲存貯體層級動作的存取權只能在 IAM 身分型政策 (使用者或角色) 中授予，無法在儲存貯體政策中授予。

如需如何設定存取點政策的詳細資訊，請參閱設定使用目錄儲存貯體的存取點的 IAM 政策。

如需詳細資訊，請參閱適用於 Amazon S3 Express 的動作、資源和條件索引鍵。