AWS云服务Amazon S3 Access Grants已正式在其亚太地区——马来西亚区域推出!目前所有AWS用户均可在亚太地区(马来西亚)区域创建Amazon S3 Access Grants。除此之外,Amazon S3 Access Grants早已全面支持全球30+个地区,包括美国、日本、香港、韩国、新加坡、悉尼、印度等等。
Amazon S3 Access Grants支持区域:
| AWS区域代码 | AWS区域名称 |
| us-east-1 | 美国东部(弗吉尼亚州北部) |
| us-east-2 | 美国东部(俄亥俄州) |
| us-west-1 | 美国西部(加利福尼亚北部) |
| us-west-2 | 美国西部(俄勒冈州) |
| af-south-1 | 非洲(开普敦) |
| ap-east-1 | 亚太地区(香港) |
| ap-northeast-1 | 亚太地区(东京) |
| ap-northeast-2 | 亚太地区 (首尔) |
| ap-northeast-3 | 亚太地区(大阪) |
| ap-south-1 | 亚太地区(孟买) |
| ap-south-2 | 亚太地区(海得拉巴) |
| ap-southeast-1 | 亚太地区(新加坡) |
| ap-southeast-2 | 亚太地区(悉尼) |
| ap-southeast-3 | 亚太地区(雅加达) |
| ap-southeast-4 | 亚太地区(墨尔本) |
| ca-central-1 | 加拿大(中部) |
| ca-west-1 | 加拿大西部(卡尔加里) |
| eu-central-1 | 欧洲地区(法兰克福) |
| eu-central-2 | 欧洲(苏黎世) |
| eu-north-1 | 欧洲地区(斯德哥尔摩) |
| eu-south-1 | 欧洲地区(米兰) |
| eu-south-2 | 欧洲(西班牙) |
| eu-west-1 | 欧洲地区(爱尔兰) |
| eu-west-2 | 欧洲地区(伦敦) |
| eu-west-3 | 欧洲地区(巴黎) |
| il-central-1 | 以色列(特拉维夫) |
| me-central-1 | 中东(阿联酋) |
| me-south-1 | 中东(巴林) |
| sa-east-1 | 南美洲(圣保罗) |
| us-gov-east-1 | AWS GovCloud(美国东部) |
| us-gov-west-1 | AWS GovCloud(美国西部) |
Amazon S3 Access Grants的主要作用是管理目录用户和组的Amazon S3权限,将Active Directory或AWS Identity and Access Management (IAM) 委托人等目录中的身份映射到S3中的数据集,从而通过根据最终用户的企业身份自动向最终用户授予Amazon S3访问权限,帮助用户大规模管理数据权限。
Amazon S3 Access Grants的用处:
1、管理目录用户和组的Amazon S3权限
由于Amazon S3访问授权建立在AWS Identity Center的可信身份传播功能之上,允许Amazon S3直接对目录用户和组进行身份验证和授权。与AWS Identity Center集成,Amazon S3 Access Grants支持各种常见的身份提供商,例如Entra ID、Okta、Ping、OneLogin等。
2、最终用户可审计性
通过与CloudTrail的增强集成,最终用户通过Amazon S3 Access Grants对S3的访问在CloudTrail中审计,直至目录用户身份。
3、扩展Amazon S3权限
用户可以使用Amazon S3 Access Grants来扩展S3权限,以实施精细的S3权限。借助Amazon S3 Access Grants,用户可以以直观的授权方式定义S3访问权限,每个账户每个区域最多100000个授权,仅向用户和应用程序提供他们需要的Amazon S3数据。
4、通过第三方集成集中管理数据湖
使用Amazon S3的用户可能有一个数据湖堆栈,包括Amazon S3以及其他流行的分析产品,如 Amazon Redshift、Databricks和Snowflake。Amazon S3 Access Grants与Immuta和Informatica集成,因此用户可以集中管理Amazon S3 Access Grants。
另外,Amazon S3 Access Grants可以将Microsoft Entra ID等目录中的身份或AWS Identity and Access Management (IAM) 主体映射到Amazon S3中的数据集,帮助用户根据最终用户的企业身份自动向其授予Amazon S3 Access Grants,从而大规模管理数据权限。
Amazon S3 Access Grants的工作流程:
1、创建Amazon S3 Access Grants实例。
2、在Amazon S3 Access Grants访问授权实例中,在Amazon S3数据中注册位置,并将这些位置映射到AWS Identity and Access Management (IAM) 角色。
3、为被授权者创建授权,从而为被授权者提供对Amazon S3资源的访问权限。
4、被授权者从Amazon S3 Access Grants请求临时凭证。
5、被授权者使用这些临时凭证访问Amazon S3数据。
Amazon S3 Access Grants位置:
Amazon S3 Access Grants的作用是将存储桶或前缀与AWS Identity and Access Management(IAM)角色建立映射关系。当被授权者访问特定位置时,S3 Access Grants会代入对应的IAM角色,为其提供临时访问凭证。不过在创建访问授权前,必须先在S3 Access Grants实例中注册至少一个位置。
AWS官方建议注册默认位置(s3://),并将它映射到IAM角色。默认Amazon S3路径(s3://)下的位置涵盖了对账户所在AWS区域内所有Amazon S3存储桶的访问权限。后续在创建访问授权时,还能进一步缩小授权范围,精确到默认位置内的某个存储桶、前缀或对象。
在一些复杂的访问管理场景中,仅注册默认位置无法满足需求,以下是两种典型情况:
1、权限细化场景
假设amzn-s3-demo-bucket是已注册位置,与之映射的IAM角色被禁止访问该存储桶内的特定前缀。这时,可以把该前缀单独注册为新位置,并映射到具备相应权限的其他IAM角色,实现更精细的权限控制。
2、VPC终端节点访问限制场景
若想创建授权,限制只有Virtual Private Cloud(VPC)终端节点内的用户能访问,可注册存储桶位置,并为其映射的IAM角色设置仅允许VPC终端节点访问的权限。当被授权者请求凭证时,Amazon S3 Access Grants代入该IAM角色生成临时凭证,凭证会拒绝非VPC终端节点内用户对特定存储桶的访问,且此拒绝权限会叠加在授权指定的READ、WRITE或READWRITE等常规权限之上 。
如果实际使用场景需要注册多个位置,可选择以下任意类型进行注册:
- 默认Amazon S3位置:即s3://,涵盖区域内所有存储桶访问;
- 单个或多个存储桶:如amzn-s3-demo-bucket;
- 单个存储桶及单个或多个前缀:例如amzn-s3-demo-bucket/prefix* 。
如今,Amazon S3在全球36个区域存储着数百万亿个对象,成为几乎所有行业和应用领域的主要存储方案。点击下方专属链接,个人和企业注册即享12个月免费体验,可用于存储和检索任意数量的数据对象,每月免费5GB存储空间。
亚马逊云科技官网:点击领取12个月免费Amazon S3
相关推荐:
(本文由美国主机侦探原创,转载请注明出处“美国主机侦探”和原文地址!)
微信扫码加好友进群
主机优惠码及时掌握
QQ群号:938255063
主机优惠发布与交流
区域推出&url=https://www.idcspy.com/121909.html&pic=https://www.idcspy.com/wp-content/uploads/2025/05/Amazon-S3-150x150.jpg){kind=link}
区域推出&url=https://www.idcspy.com/121909.html&pics=https://www.idcspy.com/wp-content/uploads/2025/05/Amazon-S3-150x150.jpg){kind=link}