使用文件共享进行跨账户访问 - Amazon Storage Gatewa
资源
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用文件共享进行跨账户访问

跨账户访问是指亚马逊云科技账户和该账户的用户被授予访问属于另一个亚马逊云科技账户的资源的权限。借助 File Gateways,您可以使用一个亚马逊云科技账户中的文件共享来访问属于另一个亚马逊云科技账户的 Amazon S3 存储桶中的对象。

使用一个亚马逊云科技账户拥有的文件共享访问另一个 Amazon Web Services 账户中的 S3 存储桶

  1. 确保 S3 存储桶拥有者已授予您的 Amazon Web Services 账户访问您需要访问的 S3 存储桶以及该存储桶中的对象的访问权限。有关如何授予此访问权限的信息,请参阅 Amazon Simple Storage Service 用户指南中的示例 2:授予跨账户存储桶权限的存储桶拥有者。有关所需权限的列表,请参阅授予对 Amazon S3 存储桶的访问权限

  2. 确保您的文件共享用来访问 S3 存储桶的 IAM 角色包含 s3:GetObjectAcls3:PutObjectAcl 等操作的权限。此外,确保 IAM 角色包括允许您的账户代入该 IAM 角色的信任策略。有关信任策略的示例,请参阅授予对 Amazon S3 存储桶的访问权限

    如果您的文件共享使用现有角色来访问 S3 存储桶,您应包含 s3:GetObjectAcl 和 s3:PutObjectAcl 操作的权限。IAM 角色还需要一个允许您的帐户带入此角色的信任策略。有关信任策略的示例,请参阅授予对 Amazon S3 存储桶的访问权限

  3. 在家中创建文件共享或编辑文件共享设置时,选择 S3 存储桶所有者可以访问的 Gat eway 文件。https://console.aws.amazon.com/storagegateway/

在为跨账户访问权限创建或更新文件共享并在本地挂载该文件共享后,我们强烈建议您测试设置。为此,您可以列出目录内容或者编写测试文件并确保这些文件在 S3 存储桶中显示为对象。

重要

确保设置正确的策略以授予跨账户访问文件共享所使用的账户。否则,通过本地应用程序对文件进行的更新不会传播到您正在使用的 Amazon S3 存储桶。

有关访问策略和访问控制列表的更多信息,请参阅以下内容:

《亚马逊简单存储服务用户指南》中可用访问策略选项的使用指南

《Amazon Simple Storage Service 用户指南》中的访问控制列表(ACL)概述