开始使用 S3 Access Grants - Amazon Simple Storage Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

开始使用 S3 Access Grants

Amazon S3 Access Grants 是 Amazon S3 的一项功能,为 S3 数据提供了可扩展的访问控制解决方案。S3 Access Grants 是 S3 凭证供应商,这意味着您将向 S3 Access Grants 注册您的授权列表和级别。此后,当用户或客户端需要访问您的 S3 数据时,他们首先需向 S3 Access Grants 索要凭证。如果有相应的授权来授予访问权限,则 S3 Access Grants 会分发最低权限的临时访问凭证。之后,用户或客户端可以使用 S3 Access Grants 分发的凭证来访问 S3 数据。考虑到这一点,如果您的 S3 数据要求指示进行复杂或大规模的权限配置,则可以使用 S3 Access Grants 来扩展用户、组、角色和应用程序的 S3 数据权限。

对于大多数使用场景,您可以通过使用带存储桶策略的 Amazon Identity and Access Management(IAM)或基于 IAM 身份的策略来管理 S3 数据的访问控制。

不过,如果您有复杂的 S3 访问控制要求(例如以下要求),则可通过使用 S3 Access Grants 获得大量好处:

  • 您达到了存储桶策略大小限制 20 KB。

  • 您可以向人类身份(例如 Microsoft Entra ID(以前称作 Azure Active Directory)、Okta 或 Ping 用户和组)授予对 S3 数据的访问权限以进行分析和大数据处理。

  • 您必须提供跨账户访问,而不是频繁更新 IAM 策略。

  • 您的数据是非结构化的对象级数据,而不是采用行和列格式的结构化数据。

S3 Access Grants 工作流如下所示:

步骤 描述
1 创建 S3 访问权限管控实例

要开始使用,请启动一个 S3 Access Grants 实例,其中包含您的个人访问授权。

2 注册位置

紧接着,注册一个 S3 数据位置(例如默认位置 s3://),然后指定 S3 Access Grants 在提供对 S3 数据位置的访问权限时所代入的默认 IAM 角色。您还可以将自定义位置添加到特定的存储桶或前缀,并将其映射到自定义 IAM 角色。

3 创建授权

创建单个权限授权。在这些权限授权中指定注册的 S3 位置、该位置内的数据访问范围、被授权者的身份及其访问级别(READWRITEREADWRITE)。

4 请求对 S3 数据的访问权限

当用户、应用程序和 Amazon Web Services 服务 需要访问 S3 数据时,他们首先会发出访问请求。S3 Access Grants 决定是否应授权请求。如果有相应的授权来授予访问权限,则 S3 Access Grants 会使用与该授权关联的注册位置的 IAM 角色,以再次将临时凭证分发给请求者。

5 访问 S3 数据

应用程序使用 S3 Access Grants 分发的临时凭证来访问 S3 数据。