本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定 Transfer Family Web 應用程式的 Amazon S3 Access Grants
本主題說明如何使用 Amazon S3 Access Grants 新增存取授權。此存取授權定義直接存取您公司目錄中的使用者和群組的資料,並根據授權just-in-time、最低權限的臨時憑證。S3 Access Grants 執行個體中的個別授權允許公司目錄中的特定使用者或群組,在 S3 Access Grants 執行個體中註冊的位置內取得存取權。如需詳細資訊,請參閱《Amazon S3 使用者指南》中的 S3 Access Grants 概念。 Amazon S3
注意
您無法將 IAM Identity Center 目錄與 Transfer Family Web 應用程式以外的 S3 Access Grants 搭配使用。
您必須指定身分傳播的 Amazon S3 存取授權。Amazon S3 存取授權會存放最終使用者必須存取的資料。當您的最終使用者登入 Transfer Family Web 應用程式時,S3 Access Grants 會將使用者的身分傳遞給信任的應用程式。本節說明如何新增和設定 Amazon S3 存取授權執行個體,以及 Amazon S3 儲存貯體的存取授權。
注意
準備好您的 IAM Identity Center 執行個體 ARN 和使用者或群組 ID,因為您需要它們來完成設定您的存取授權。
使用 Amazon S3 Access Grants 建立授權
登入 AWS Management Console ,並在 https://console.aws.amazon.com/s3/
:// 開啟 Amazon S3 主控台。 -
建立儲存貯體,或記下要與 Web 應用程式搭配使用的現有儲存貯體。如需建立儲存貯體的資訊,請參閱 Amazon S3 使用者指南。
-
從左側導覽窗格中,選擇存取授權。
-
選擇建立 S3 存取授權執行個體,並提供下列資訊。
-
在
區域為的區域中選取新增 IAM Identity Center 執行個體 AWS 區域。如果您未使用 IAM Identity Center 做為身分提供者,請清除此方塊。 -
貼上您的 IAM Identity Center 執行個體 ARN。
選擇 Next (下一步) 繼續。
-
-
將 S3 儲存貯體或字首註冊為位置。我們建議您註冊預設位置
s3://,並將其映射至 IAM 角色。此預設路徑的位置涵蓋對您帳戶 中所有 Amazon S3 儲存貯體 AWS 區域 的存取。建立存取授權時,您可以將範圍縮小為預設位置內的儲存貯體、字首或物件。請提供下列資訊。
-
對於範圍,瀏覽儲存貯體或輸入儲存貯體的名稱,以及選擇性的字首。
-
針對 IAM 角色,選擇建立新角色,讓服務建立角色。
或者,您可以自行建立角色,如中所述設定 Transfer Family Web 應用程式的 IAM 角色,然後在此處輸入其 ARN。
選擇 Next (下一步) 繼續。
-
-
在建立授予畫面中,提供下列詳細資訊。
-
針對許可,選取讀取和寫入。存取授予許可可以是唯讀或讀取和寫入,但不支援唯讀。
-
針對承授者類型,從 IAM Identity Center 選擇目錄身分。
-
對於目錄身分類型,根據您要立即註冊的類型,選取使用者或群組。
-
在 IAM Identity Center 使用者/群組 ID 中,貼上您的使用者或群組的 ID。此 ID 可在 IAM Identity Center 主控台和使用者和群組資料表中的 Transfer Family Web 應用程式中使用。
選擇下一步。
-
-
檢閱畫面上的設定。如果一切正確,請選擇完成以建立存取授權。或者,您可以選擇取消或上一個進行變更。
這會完成 Web 應用程式的設定。您已設定的使用者和群組可以在存取點造訪 Web 應用程式、登入,以及上傳和下載檔案。
