本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为文件共享和存储桶授予访问权限和权限
激活并运行您的 S3 文件网关后,您可以添加其他文件共享并授予对 Amazon S3 存储桶的访问权限,包括与网关 Amazon Web Services 账户 不同的存储桶和文件共享。以下各节说明如何使用 IAM 角色为网关提供 Amazon S3 存储桶和 VPC 端点的访问权限、防止出现某些安全问题以及如何跨 Amazon Web Services 账户将文件共享连接到存储桶。
有关如何创建新文件共享的信息,请参阅创建文件共享。
本节包含以下主题,这些主题提供有关如何为文件共享和 Amazon S3 存储桶授予访问权限和权限的额外信息:
主题
-
授予对 Amazon S3 存储桶的访问权限:了解如何为文件网关授予访问权限,以便将文件上传到 Amazon S3 存储桶,以及对其用于连接存储桶的任何接入点或 Amazon Virtual Private Cloud(Amazon VPC)端点执行操作。
-
防止跨服务混淆代理:了解如何防止常见的安全性问题,即不具有某操作执行权限的实体可能会迫使具有更高权限的实体执行该操作。
-
使用文件共享进行跨账户访问:了解如何为 Amazon Web Services 账户和该账户的用户授予访问权限,以便访问属于另一个 Amazon Web Services 账户的资源。
注意
如果您的文件网关使用 SSE-KMS 或 DSSE-KMS 进行加密,请确保与文件共享关联的 IAM 角色包括 kms: encrypt、kms: decrypt、kms: *、kms: 和 kms: 权限。ReEncrypt GenerateDataKey DescribeKey有关更多信息,请参阅为 Storage Gateway 使用基于身份的策略(IAM 策略)。