本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 IAM 授權地區端點 API 操作
AWS Identity and Access Management (IAM) 是 AWS 服務 ,可協助管理員安全地控制對 AWS 資源的存取。IAM 管理員可控制誰可以進行身分驗證 (登入) 和授權 (具有許可),以在目錄儲存貯體和 Amazon S3 S3 資源。您可以免費使用 IAM。
使用者預設沒有目錄儲存貯體的許可。若要授予存取目錄儲存貯體的許可,您可以使用 IAM 建立使用者、群組或角色,並將許可附加至這些身分。如需有關 IAM 的詳細資訊,請參閱《IAM 使用者指南》中的 IAM 安全最佳實務。
若要提供存取權,您可以透過下列方式新增許可至您的使用者、群組或角色:
-
中的使用者和群組 AWS IAM Identity Center – 建立許可集。請按照 AWS IAM Identity Center 使用者指南 中的 建立權限合集 說明進行操作。
-
IAM 中透過身分提供者管理的使用者:建立聯合身分的角色。請按照 IAM 使用者指南 的 為第三方身分提供者 (聯合) 建立角色 中的指示進行操作。
-
IAM 角色和使用者:建立您的使用者可擔任的角色。請依照《IAM 使用者指南》中的建立角色以將許可委派給 IAM 使用者的指示進行。
如需有關適用於 S3 Express One Zone 的 IAM 的詳細資訊,請參閱下方主題。
主體
當您建立資源型政策以授予儲存貯體的存取權時,您必須使用 Principal 元素來指定可對該資源提出動作或操作請求的人員或應用程式。對於目錄儲存貯體政策,您可以使用下列主體:
-
AWS 帳戶
-
IAM 使用者
-
IAM 角色
-
聯合身分使用者
如需詳細資訊,請參閱《IAM 使用者指南》中的 Principal。
資源
目錄儲存貯體的 Amazon Resource Name (ARNs) 包含s3express命名空間、 AWS 區域、 AWS 帳戶 ID 和目錄儲存貯體名稱,其中包含 AWS 區域 ID。(可用區域或本機區域 ID)。
若要存取並對目錄儲存貯體執行動作,您必須使用下列 ARN 格式:
arn:aws:s3express:region:account-id:bucket/base-bucket-name--zone-id--x-s3
若要存取目錄儲存貯體的存取點並對其執行動作,您必須使用下列 ARN 格式:
arn:aws::s3express:region:account-id:accesspoint/accesspoint-basename--zone-id--xa-s3
如需有關 ARN 的詳細資訊,請參閱《IAM 使用者指南》中的 Amazon Resource Names (ARNs)。如需有關資源的詳細資訊,請參閱《IAM 使用者指南》中的 IAM JSON 政策元素︰Resource。
目錄儲存貯體的動作
在 IAM 身分型政策或資源型政策中,您可以定義可允許或拒絕哪些 S3 動作。動作對應於特定 API 操作。使用目錄儲存貯體時,您必須使用 S3 Express One Zone 命名空間來授予稱為 的許可s3express。
當您允許 s3express:CreateSession許可時,CreateSessionAPI 操作會擷取所有區域端點 API (物件層級) 操作的臨時工作階段字符。工作階段字符會傳回用於所有其他區域端點 API 操作的登入資料。因此,您不會使用 IAM 政策授予區域 API 操作的存取許可。反之, CreateSession會啟用所有物件層級操作的存取。如需區域 API 操作和許可的清單,請參閱驗證和授權請求。
若要進一步了解 CreateSession API 操作,請參閱《Amazon Simple Storage Service API 參考》中的 CreateSession。
您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS中執行操作的許可。在政策中使用動作時,通常會允許或拒絕存取相同名稱的 API 操作。不過,在某些情況下,單一動作可控制對多個 API 操作的存取。儲存貯體層級動作的存取權只能在 IAM 身分型政策 (使用者或角色) 中授予,無法在儲存貯體政策中授予。
如需如何設定存取點政策的詳細資訊,請參閱設定 IAM 政策以使用目錄儲存貯體的存取點。
如需詳細資訊,請參閱 Amazon S3 Express 的動作、資源和條件索引鍵。
