本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 为 Transfer Family 网络应用程序配置 Amazon S3 访问授权 本主题介绍如何使用 Amazon S3 访问授权添加访问授权。此访问授权定义了直接向公司目录中的用户和群组访问您的数据的权限 just-in-time,并根据授权提供最低权限的临时证书。S3 访问权限授予实例中的个人授权允许公司目录中的特定用户或群组在您的 S3 访问权限授予实例中注册的位置内获得访问权限。有关更多详细信息,请参阅 [Amazon S3 用户指南中的 S3 访问权限授予概念](https://docs.amazonaws.cn/AmazonS3/latest/userguide/access-grants-concepts.html)。 **注意** 除了 Transfer Family 网络应用程序外,您不能将 IAM 身份中心目录与 S3 访问权限授予一起使用。 您必须为身份传播指定 Amazon S3 访问授权。Amazon S3 访问权限授予存储您的最终用户必须访问的数据。当您的最终用户登录您的 Transfer Family 网络应用程序时,S3 访问权限授予会将用户的身份传递给受信任的应用程序。本节介绍如何添加和配置 Amazon S3 访问授权实例,然后为 Amazon S3 存储桶添加和配置访问授权。 **注意** 准备好您[的 IAM Identity Center 实例 ARN](webapp-identity-center.md#identity-center-arn) 和用户或群组 ID,因为您需要它们来完成访问权限的设置。 **使用 Amazon S3 访问授权创建授权** 1. 登录 Amazon Web Services 管理控制台 并打开 Amazon S3 控制台,网址为[https://console.aws.amazon.com/s3/](https://console.amazonaws.cn/s3/)。 1. 创建存储分区,或记下现有存储分区以用于您的 Web 应用程序。有关创建存储桶的信息,请参阅 [Amazon S3 用户指南](https://docs.amazonaws.cn/AmazonS3/latest/userguide/)。 1. 从左侧导航窗格中选择 “**访问授权**”。 1. 选择**创建 S3 访问权限授予实例**,并提供以下信息。 + 在 “您的*your-Region*位置*your-Region*” **中选择 “添加 IAM 身份中心实例**” Amazon Web Services 区域。如果您没有使用 IAM Identity Center 作为身份提供商,请清除此框。 + 粘贴您的 IAM 身份中心实例 ARN。 ![\[屏幕显示 Amazon S3 创建访问授权实例对话框以及示例值。\]](http://docs.amazonaws.cn/transfer/latest/userguide/images/webapp-grants-instance.png) 选择**下一步**以继续。 1. 将 S3 **存储桶或前缀注册为位置。**我们建议您注册默认位置`s3://`,并将其映射到 IAM 角色。此默认路径上的位置可以访问您账户中的所有 Amazon S3 存储桶。 Amazon Web Services 区域 创建访问权限时,您可以将范围缩小到默认位置内的存储桶、前缀或对象。 提供以下信息: + 对于**范围**,请浏览存储桶或输入存储桶的名称以及可选的前缀。 + 对于 IAM 角色,选择**创建新角色**让服务创建角色。 或者,您可以自己创建角色(如所述)[为 Transfer Family 网络应用程序配置 IAM 角色](webapp-roles.md),然后在此处输入其 ARN。 ![\[屏幕显示 Amazon S3 将 S3 存储桶或前缀注册为位置对话框,其中包含默认范围和创建新角色设置。\]](http://docs.amazonaws.cn/transfer/latest/userguide/images/webapp-grants-register-new.png) 选择**下一步**以继续。 1. 在 “**创建授权**” 屏幕中,提供以下详细信息。 + 在 “**权限**” 中,选择 “**读取**” 和 “**写入**”。访问权限可以是只读或读写,但不支持只写。 + 对于**被授权者类型**,请**从 IAM 身份中心选择目录身份**。 + 对于 “**目录” 身份类型**,选择 “**用户**” 或 “**组**”,具体取决于您要立即注册的类型。 + 在 **IAM 身份中心 user/group ID** 中,粘贴您的用户或群组的 ID。此 ID 可在 **IAM Identity Center** 控制台中找到,也可以在你的 Transfer Family 网络应用程序的用户和群组表中找到。 ![\[屏幕显示带有示例值的 Amazon S3 创建拨款对话框。\]](http://docs.amazonaws.cn/transfer/latest/userguide/images/webapp-access-grant-details.png) 选择**下一步**。 1. 查看屏幕上的设置。如果一切正确,请选择 “**完成**” 以创建访问授权。或者,您可以选择 “**取消**” 或 “**上一**步” 进行更改。 ![\[屏幕显示带有示例值的 “查看并完成” 对话框。\]](http://docs.amazonaws.cn/transfer/latest/userguide/images/webapp-access-grants-review.png) ![\[以列表视图显示新访问权限的屏幕。\]](http://docs.amazonaws.cn/transfer/latest/userguide/images/webapp-access-grants-finished.png) 这就完成了 Web 应用程序的设置。您配置的用户和群组可以在接入点访问 Web 应用程序、登录以及上传和下载文件。