管理访问控制 - Amazon Transfer Family
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理访问控制

您可以使用 () 策略控制用户对 Amazon Transfer Family 资源的访问权限。 策略是一个语句(通常采用 JSON 格式),它允许对资源进行特定级别的访问。您可以使用 策略来定义希望允许 SFTP 用户执行和不执行哪些文件操作。您还可以使用 策略来定义希望允许用户访问哪些 存储桶。要为用户指定这些策略,您可以为 创建一个 角色,该角色具有与之关联的 策略和信任关系。

为每个 SFTP 用户分配一个 角色。 使用的 Amazon Transfer Family 角色的类型称作服务角色。当用户登录您的 SFTP 服务器时, 会代入映射到用户的 角色。若要了解如何为用户访问 Amazon S3 存储桶创建 IAM 角色,请参见IAM 用户指南中的创建角色以为 Amazon 服务授权

您可以使用 IAM 策略中的特定权限授予对 Amazon S3 对象的只写访问权限。有关更多信息,请参阅 授予仅写入和列出文件的权限

注意

如果您的 Amazon S3 存储桶已使用 Amazon Key Management Service (Amazon KMS) 加密,您必须在策略中指定其他权限。有关更多信息,请参阅 Amazon S3 中的数据加密。此外,您可以在 IAM 用户指南中查看有关 会话策略的更多信息。