Erstellen einer S3-Access-Grants-Instance
Um mit der Verwendung von Amazon S3 Access Grants zu beginnen, erstellen Sie zunächst eine S3-Access-Grants-Instance. Sie können pro AWS-Region und Konto nur eine S3-Access-Grants-Instance erstellen. Die S3-Access-Grants-Instance dient als Container für Ihre S3-Access-Grants-Ressourcen, zu denen registrierte Speicherorte und Gewährungen gehören.
Mit S3 Access Grants können Sie Berechtigungsgewährungen für Ihre S3-Daten für AWS Identity and Access Management (IAM)-Benutzer und -Rollen erstellen. Wenn Sie Ihr Unternehmensidentitätsverzeichnis zu AWS IAM Identity Center hinzugefügt haben, können Sie diese IAM-Identity-Center-Instance Ihres Unternehmensverzeichnisses mit Ihrer S3-Access-Grants-Instance verknüpfen. Anschließend können Sie Zugriffsgewährungen für die Benutzer und Gruppen Ihres Unternehmens erstellen. Wenn Sie Ihr Unternehmensverzeichnis noch nicht zu IAM Identity Center hinzugefügt haben, können Sie Ihre S3-Access-Grants-Instance auch noch später mit einer IAM-Identity-Center-Instance verknüpfen.
Sie können eine S3-Access-Grants-Instance über die Amazon-S3-Konsole, die AWS Command Line Interface (AWS CLI), die Amazon-S3-REST-API und AWS SDKs erstellen.
Bevor Sie über S3 Access Grants den Zugriff auf Ihre S3-Daten gewähren können, müssen Sie zunächst eine S3-Access-Grants-Instance in derselben AWS-Region erstellen, in der sich auch Ihre S3-Daten befinden.
Voraussetzungen
Wenn Sie mittels Identitäten aus Ihrem Unternehmensverzeichnis Zugriff auf Ihre S3-Daten gewähren möchten, müssen Sie Ihr Unternehmensidentitätsverzeichnis zu AWS IAM Identity Center hinzufügen. Wenn Sie dazu noch nicht bereit sind, können Sie Ihre S3-Access-Grants-Instance auch später noch mit einer IAM-Identity-Center-Instance verknüpfen.
So erstellen Sie eine S3-Access-Grants-Instance
Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/
. -
Wählen Sie auf der Navigationsleiste den Namen der aktuell angezeigten AWS-Region aus. Wählen Sie dann die Region aus, zu der Sie wechseln möchten.
-
Wählen Sie im linken Navigationsbereich Zugriffsgewährungen aus.
-
Wählen Sie auf der Seite S3 Access Grants die Option S3-Access-Grants-Instance erstellen aus.
-
Überprüfen Sie in Schritt 1 des Assistenten Access-Grants-Instance einrichten, ob Sie die Instance in der aktuellen AWS-Region erstellen. Dies muss dieselbe AWS-Region sein, in der sich auch Ihre S3-Daten befinden. Sie können pro AWS-Region und Konto nur eine S3-Access-Grants-Instance erstellen.
-
(Optional) Wenn Sie Ihr Unternehmensidentitätsverzeichnis zu AWS IAM Identity Center hinzugefügt haben, können Sie diese IAM-Identity-Center-Instance Ihres Unternehmensverzeichnisses mit Ihrer S3-Access-Grants-Instance verknüpfen.
Wählen Sie hierzu IAM-Identity-Center-Instance in
Regionhinzufügen aus. Geben Sie dann den Amazon-Ressourcennamen (ARN) der IAM-Identity-Center-Instance ein.Wenn Sie Ihr Unternehmensverzeichnis noch nicht zu IAM Identity Center hinzugefügt haben, können Sie Ihre S3-Access-Grants-Instance auch noch später mit einer IAM-Identity-Center-Instance verknüpfen.
-
Um die S3-Access-Grants-Instance zu erstellen, wählen Sie Weiter aus. Informationen zur Registrierung eines Speicherorts finden Sie unter Schritt 2 – Registrieren eines Speicherorts.
-
-
Wenn Weiter oder S3-Access-Grants-Instance erstellen deaktiviert ist:
Instance kann nicht erstellt werden
-
Möglicherweise gibt es bereits eine S3-Access-Grants-Instance in derselben AWS-Region. Wählen Sie im linken Navigationsbereich Zugriffsgewährungen aus. Scrollen Sie auf der Seite S3 Access Grants nach unten zum Abschnitt S3-Access-Grants-Instance in Ihrem Konto, um festzustellen, ob es bereits eine Instance gibt.
-
Möglicherweise verfügen Sie nicht über die Berechtigung
s3:CreateAccessGrantsInstance, die für die Erstellung einer S3-Access-Grants-Instance erforderlich ist. Nehmen Sie Kontakt mit Ihrem Kontoadministrator auf. Informationen zu zusätzlichen Berechtigungen, die für die Zuordnung einer IAM-Identity-Center-Instance zu Ihrer S3-Access-Grants-Instance erforderlich sind, finden Sie unter CreateAccessGrantsInstance .
-
Informationen zum Installieren von AWS CLI finden Sie unter Installieren von AWS CLI im AWS Command Line Interface-Benutzerhandbuch.
Wenn Sie den folgenden Beispielbefehl verwenden möchten, ersetzen Sie user input
placeholders
Beispiel Erstellen einer S3-Access-Grants-Instance
aws s3control create-access-grants-instance \ --account-id111122223333\ --regionus-east-2
Antwort:
{ "CreatedAt": "2023-05-31T17:54:07.893000+00:00", "AccessGrantsInstanceId": "default", "AccessGrantsInstanceArn": "arn:aws:s3:us-east-2:111122223333:access-grants/default" }
Sie können die Amazon-S3-REST-API verwenden, um eine S3-Access-Grants-Instance zu erstellen. Informationen zur REST-API-Unterstützung für die Verwaltung einer S3-Access-Grants-Instance finden Sie in den folgenden Abschnitten in der Amazon-Simple-Storage-Service-API-Referenz:
Dieser Abschnitt enthält ein Beispiel dafür, wie Sie mit den AWS SDKs eine S3-Access-Grants-Instance erstellen.
