View a markdown version of this page

S3 檔案如何與 IAM 搭配使用 - Amazon Simple Storage Service
身分型政策資源型政策用戶端的 S3 檔案動作用戶端的 S3 檔案條件索引鍵檔案系統政策範例POSIX 權限Security groups (安全群組)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

S3 檔案如何與 IAM 搭配使用

此頁面說明 AWS Identity and Access Management (IAM) 如何使用 S3 檔案,以及如何使用 IAM 政策來控制檔案系統的存取。

S3 檔案使用 IAM 進行兩種不同的存取控制類型:

  • API 存取 — 控制誰可以建立、管理和刪除 S3 檔案資源,例如檔案系統、掛載目標和存取點。您可以使用連接到 IAM 使用者、群組或角色的身分型政策來控制此存取。

  • 用戶端存取 — 控制用戶端 (您掛載的運算資源) 在連線後可以使用檔案系統執行的操作,例如以根使用者身分讀取、寫入或存取檔案。您可以使用資源型政策、身分型政策、存取點和 POSIX 許可的組合來控制此存取。

您可以使用 IAM,允許用戶端在檔案系統上執行特定動作,包括唯讀、寫入和根存取。IAM 身分識別政策或檔案系統資源政策中的動作具有「允許」許可,可允許存取該動作。身分識別和資源政策均不需要同時授與許可。

連結 S3 儲存貯體上的 S3 儲存貯體政策也會控管從運算資源和檔案系統到 S3 儲存貯體的存取。您也必須確保來源儲存貯體的儲存貯體政策不會拒絕從運算資源或檔案系統存取。如需詳細資訊,請參閱 Amazon S3 的儲存貯體政策

身分型政策

身分型政策是您連接到 IAM 使用者、群組或角色的 JSON 政策。您可以透過撰寫自訂政策或連接 AWS 受管政策來提供這些許可。如需 API 存取和用戶端存取之可用 受管政策的詳細資訊,請參閱 AWS Amazon S3 檔案的 受管政策

S3 檔案也允許用戶端直接從來源 S3 儲存貯體讀取檔案資料,以最佳化讀取效能。在運算資源上掛載 S3 檔案系統時,您必須將內嵌政策新增至運算資源的 IAM 角色,以授予從指定 S3 儲存貯體讀取物件的許可。掛載協助程式會使用這些許可來讀取 S3 資料。如需此政策的詳細資訊,請參閱 將檔案系統連接至 AWS 運算資源的 IAM 角色

資源型政策

檔案系統政策是您直接連接到檔案系統的 IAM 資源型政策,以控制用戶端存取。您可以使用檔案系統政策,授予或拒絕用戶端執行掛載、寫入和根存取等操作的許可。

檔案系統具有空白 (預設) 檔案系統政策,或正好有一個明確的政策。S3 檔案系統政策有 20,000 個字元的限制。如需建立和管理檔案系統政策的資訊,請參閱 建立檔案系統政策

用戶端的 S3 檔案動作

您可以在檔案系統政策中指定下列動作,以控制用戶端存取:

Action Description
s3files:ClientMount 提供檔案系統的唯讀存取權。
s3files:ClientWrite 在檔案系統上提供具有寫入權限。
s3files:ClientRootAccess 存取檔案系統時,提供使用根使用者的功能。

用戶端的 S3 檔案條件索引鍵

您可以在檔案系統政策的 Condition元素中使用下列條件索引鍵,以進一步精簡存取控制:

條件金鑰 Description 運算子
s3files:AccessPointArn 用戶端所連線之 S3 檔案存取點的 ARN。 String

檔案系統政策範例

範例:授予只讀存取權

下列檔案系統政策僅授予 IAM 角色 ClientMount(唯讀) ReadOnly 許可。將 111122223333 取代為 AWS 您的帳戶 ID。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/ReadOnly"
            },
            "Action": [
                "s3files:ClientMount"
            ]
        }
    ]
}

範例:授予對 S3 檔案存取點的存取權

下列檔案系統政策使用條件元素,在透過指定的存取點進行掛載時,授予特定存取點對檔案系統的完整存取權。將存取點 ARN 和帳戶 ID 取代為您的值。如需詳細資訊,請參閱建立 S3 檔案系統的存取點

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::555555555555:role/S3FilesAccessPointFullAccess"
            },
            "Action": [
                "s3files:Client*"
            ],
            "Condition": {
                "StringEquals": {
                    "s3files:AccessPointArn": "arn:partition:s3files:region:account-id:file-system/fs-1234567890/access-point/fsap-0987654321"
                }
            }
        }
    ]
}

POSIX 權限

IAM 授權成功後,S3 檔案會在檔案和目錄層級強制執行標準 POSIX (Unix 樣式) 許可。POSIX 許可會根據與每個檔案和目錄相關聯的使用者 ID (UID)、群組 ID (GID) 和許可位元 (讀取、寫入、執行) 來控制存取。存取點可以對所有請求強制執行特定的 POSIX 使用者身分,簡化共用資料集的存取管理。如需詳細資訊,請參閱建立 S3 檔案系統的存取點

Security groups (安全群組)

安全群組可做為網路層級防火牆,控制運算資源與檔案系統掛載目標之間的流量。如需設定安全群組以開始使用 S3 檔案的詳細資訊,請參閱 Security groups (安全群組)