您可以使用临时安全凭证和会话令牌来授予用户访问权,而不是将其他 IAM 用户添加到 Amazon S3 帐户。 或者,您可以创建角色 ARN (Amazon 资源名称) ,然后授予该角色访问帐户的许可权。 然后,可信用户可以使用该角色。
您可以将角色策略分配给临时凭证以限制许可权。 例如,您可以分配对特定 S3 存储区的只读访问权或访问权。
您可以设置下列其中一个认证组合:
- 访问密钥, 密钥和 会话令牌
- 访问密钥, 密钥, 角色 ARN, 角色会话名称和可选的 持续时间秒数
- 访问密钥, 密钥, 角色 ARN, 角色会话名称, 外部标识, 和可选的 持续时间秒数
访问密钥,密钥和会话令牌
使用 AWS API 中的 AWS 安全性令牌服务 (AWS STS) 操作来获取临时安全凭证。 这些凭证由访问密钥,密钥和在可配置时间内到期的会话令牌组成。 有关指示信息,请参阅 AWS 文档: Requesting temporary security credentials。
访问密钥,密钥,角色 ARN ,角色会话名称和可选持续时间 (秒)
如果其他人有自己的 S3 帐户,那么您可以为该人员创建临时角色以访问您的 S3 帐户。 使用 AWS 管理控制台或 AWS CLI 创建角色。 请参阅创建角色将权限委托给 IAM 用户。
角色 ARN 是连接角色的 Amazon 资源名称。
角色会话名称 向 S3 管理员标识会话。 例如, IAM 用户名。
持续时间秒 参数是可选的。 最短为 15 分钟。 最大值为 36 小时,缺省值为 1 小时。 每次建立连接时,将启动持续时间 (以秒计) 计时器。
然后,提供 访问密钥, 密钥, 角色 ARN和 角色会话名称的值。 以及将创建连接的用户的可选 持续时间 (秒) 。
访问密钥,密钥,角色 ARN ,角色会话名称,外部标识和可选持续时间 (秒)
如果其他人有自己的 S3 帐户,那么您可以为该人员创建临时角色以访问您的 S3 帐户。 通过此组合, 外部标识 是您指定的唯一字符串,用户必须输入此字符串以实现额外安全性。 首先,使用 AWS 管理控制台或 AWS CLI 创建角色。 请参阅 创建角色以将许可权委派给 IAM 用户。 要创建外部标识,请参阅 如何在向第三方授予对 AWS 资源的访问权时使用外部标识。
然后,提供 访问密钥, 密钥, 角色 ARN, 角色会话名称和 外部标识的值。 以及将创建连接的用户的可选 持续时间 (秒) 。
了解更多信息
父主题: Amazon S3 连接