Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengotorisasi operasi API endpoint Regional dengan IAM
AWS Identity and Access Management (IAM) adalah sebuah Layanan AWS yang membantu administrator mengontrol akses ke sumber daya dengan aman. AWS Administrator IAM mengontrol siapa yang dapat diautentikasi (masuk) dan diotorisasi (memiliki izin) untuk menggunakan sumber daya Amazon S3 dalam bucket direktori dan operasi S3 Express One Zone. Anda dapat menggunakan IAM tanpa biaya tambahan.
Secara default, pengguna tidak memiliki izin untuk bucket direktori. Untuk memberikan izin akses bagi bucket direktori, Anda dapat menggunakan IAM untuk membuat pengguna, grup, atau peran dan melampirkan izin ke identitas tersebut. Untuk informasi selengkapnya tentang IAM, lihat Praktik terbaik keamanan di IAM di Panduan Pengguna IAM.
Untuk memberikan akses, Anda dapat menambahkan izin ke pengguna, grup, atau peran Anda melalui cara berikut:
-
Pengguna dan grup di AWS IAM Identity Center - Buat set izin. Ikuti instruksi di Buat rangkaian izin di Panduan Pengguna AWS IAM Identity Center .
-
Pengguna yang dikelola di IAM melalui penyedia identitas-Buat peran untuk federasi identitas. Ikuti instruksi dalam Membuat peran untuk penyedia identitas pihak ketiga (federasi) di Panduan Pengguna IAM.
-
Peran dan pengguna IAM–Buat peran yang dapat diambil oleh pengguna Anda. Ikuti instruksi dalam Membuat peran untuk mendelegasikan izin ke pengguna IAM di Panduan Pengguna IAM.
Untuk informasi tentang pengaturan IAM untuk S3 Express One Zone, lihat topik berikut.
Topik
Pengguna utama
Saat membuat kebijakan berbasis sumber daya untuk memberikan akses ke bucket, Anda harus menggunakan elemen Principal
tersebut untuk menentukan orang atau aplikasi yang dapat membuat permintaan tindakan atau operasi pada sumber daya tersebut. Untuk kebijakan bucket direktori, Anda dapat menggunakan pengguna utama berikut:
-
AWS Akun
-
Pengguna IAM
-
Peran IAM
-
Pengguna gabungan
Untuk informasi selengkapnya, lihat Principal dalam Panduan Pengguna IAM.
Sumber daya
Amazon Resource Names (ARNs) untuk bucket direktori berisi s3express
namespace, ID AWS akun, dan nama bucket direktori, yang menyertakan ID Zona. Wilayah AWS AWS (Availability Zone atau Local Zone ID).
Untuk mengakses dan melakukan tindakan pada bucket direktori Anda, Anda harus menggunakan format ARN berikut ini:
arn:aws:s3express:
region
:account-id
:bucket/base-bucket-name
--zone-id
--x-s3
Untuk mengakses dan melakukan tindakan pada titik akses Anda untuk bucket direktori, Anda harus menggunakan format ARN berikut:
arn:aws::s3express:
region
:account-id
:accesspoint/accesspoint-basename
--zone-id
--xa-s3
Untuk informasi selengkapnya ARNs, lihat Amazon Resource Names (ARNs)di Panduan Pengguna IAM. Untuk informasi selengkapnya tentang sumber daya, lihat Elemen Kebijakan JSON IAM: Resource dalam Panduan Pengguna IAM.
Tindakan untuk ember direktori
Dalam kebijakan berbasis identitas atau kebijakan berbasis sumber daya IAM, Anda menentukan tindakan S3 yang diizinkan atau ditolak. Tindakan sesuai dengan operasi API tertentu. Dengan bucket direktori, Anda harus menggunakan namespace S3 Express One Zone untuk memberikan izin, yang disebut. s3express
Saat Anda mengizinkan s3express:CreateSession
izin, operasi CreateSession
API mengambil token sesi sementara untuk semua operasi Zonal endpoint API (level objek). Token sesi mengembalikan kredensil yang digunakan untuk semua operasi API titik akhir Zonal lainnya. Akibatnya, Anda tidak memberikan izin akses ke operasi API Zonal dengan kebijakan IAM. Sebagai gantinya, CreateSession
aktifkan akses untuk semua operasi tingkat objek. Untuk daftar operasi dan izin API Zonal, lihat Mengautentikasi dan mengotorisasi permintaan.
Untuk mempelajari lebih lanjut tentang operasi API CreateSession
, lihat CreateSession di Referensi API Amazon Simple Storage Service.
Anda dapat menyebutkan tindakan berikut dalam elemen Action
pernyataan kebijakan IAM. Gunakan kebijakan untuk memberikan izin untuk melaksanakan operasi dalam AWS. Saat Anda menggunakan tindakan dalam kebijakan, Anda biasanya mengizinkan atau menolak akses ke operasi API dengan nama yang sama. Namun, dalam beberapa kasus, satu tindakan mengendalikan akses ke lebih dari satu operasi API. Akses ke tindakan tingkat bucket dapat diberikan hanya dalam kebijakan berbasis identitas IAM (pengguna atau peran) dan bukan kebijakan bucket.
Untuk informasi selengkapnya tentang cara mengonfigurasi kebijakan titik akses, lihatMengkonfigurasi kebijakan IAM untuk menggunakan titik akses untuk bucket direktori.
Untuk informasi selengkapnya, lihat Kunci tindakan, sumber daya, dan kondisi untuk Amazon S3 Express.