Translation not up to date
Zamiast dodawać innego użytkownika IAM do konta Amazon S3 , można nadać im dostęp do tymczasowych referencji zabezpieczeń i tokenu sesji. Można także utworzyć rolę ARN roli (nazwa zasobu Amazon), a następnie nadać uprawnienie do tej roli w celu uzyskania dostępu do konta. Zaufany użytkownik może następnie użyć tej roli.
Aby ograniczyć uprawnienia, można przypisać strategie ról do tymczasowych informacji autoryzacyjnych. Na przykład można przypisać dostęp tylko do odczytu lub dostęp do konkretnego zasobnika S3 .
Wymaganie wstępne: Użytkownik musi być właścicielem IAM konta Amazon S3 .
Istnieje możliwość skonfigurowania jednej z następujących kombinacji uwierzytelniania:
- Klucz dostępu, Klucz tajnyi Znacznik sesji
- Klucz dostępu, Klucz tajny, ARN roli, Nazwa sesji rolii opcjonalny parametr Czas trwania
- Klucz dostępu, Klucz tajny, ARN roli, Nazwa sesji roli, Identyfikator zewnętrzny, i opcjonalnie Czas trwania (sekundy)
Klucz dostępu, klucz tajny i znacznik sesji
Aby uzyskać tymczasowe referencje zabezpieczeń, należy użyć operacji AWS Security Token Service (AWS STS) w interfejsie API AWS . Te informacje autoryzacyjne składają się z klucza dostępu, klucza tajnego i znacznika sesji, który traci ważność w konfigurowalnej ilości czasu. Odpowiednie instrukcje zawiera dokumentacja AWS : Żądanie tymczasowych referencji zabezpieczeń.
Klucz dostępu, klucz tajny, ARN roli, nazwa sesji roli i opcjonalny czas trwania
Jeśli ktoś inny ma własne konto S3 , można utworzyć tymczasową rolę dla tej osoby w celu uzyskania dostępu do konta S3 . Utwórz rolę za pomocą konsoli zarządzania AWS lub interfejsu CLI AWS . Więcej informacji na ten temat zawiera sekcja Tworzenie roli w celu delegowania uprawnień do użytkownika IAM .
ARN roli jest nazwą zasobu Amazon dla roli połączenia.
Nazwa sesji roli identyfikuje sesję z administratorami S3 . Na przykład nazwa użytkownika IAM.
Parametr Czas trwania (w sekundach) jest opcjonalny. Minimum to 15 minut. Wartość domyślna wynosi 36 godzin, a wartość domyślna to 1 godzina. Czas trwania (w sekundach) jest uruchamiany za każdym razem, gdy połączenie jest nawiążane.
Następnie należy podać wartości dla opcji Klucz dostępu, Klucz tajny, Rola ARN, Nazwa sesji roli, i opcjonalny parametr Czas trwania dla użytkownika, który utworzy połączenie.
Klucz dostępu, klucz tajny, ARN roli, nazwa sesji roli, identyfikator zewnętrzny i opcjonalny czas trwania (w sekundach)
Jeśli ktoś inny ma własne konto S3 , można utworzyć tymczasową rolę dla tej osoby w celu uzyskania dostępu do konta S3 . W przypadku tej kombinacji Zewnętrzny identyfikator jest unikalnym łańcuchem określonym przez użytkownika i który musi zostać wprowadzony dla dodatkowego zabezpieczenia. Najpierw należy utworzyć rolę za pomocą konsoli AWS Management Console lub interfejsu CLI AWS . Więcej informacji na ten temat zawiera sekcja Tworzenie roli w celu delegowania uprawnień do użytkownika IAM. Informacje na temat tworzenia identyfikatora zewnętrznego zawiera sekcja Jak używać zewnętrznego identyfikatora podczas nadawania dostępu do zasobów AWS osobie trzeciej.
Następnie należy podać wartości dla opcji Klucz dostępu, Klucz tajny, Rola ARN, Nazwa sesji roli, Identyfikator zewnętrzny, i opcjonalny parametr Czas trwania dla użytkownika, który utworzy połączenie.
Więcej inform.
Nazwy zasobów Amazon (Amazon Resource Names-ARNs)
Temat nadrzędny: PołączenieAmazon S3