SPL-65-版本2.3.4

©2020 Amazon Web 服务，Inc.及其分支机构。版权所有。未经Amazon Web 服务，Inc.事先书面许可，不得全部或部分复制或再分发此作品。禁止商业复制，借出或出售。

错误或纠正？给我们发电子邮件 [电子邮件 protected].

还有其他问题吗？与我们联系  //aws.amazon.com/contact-us/aws-training/

总览

Amazon Simple Storage Service（Amazon S3）是一种对象存储服务，可提供行业领先的可扩展性，数据可用性，安全性和性能。这意味着各种规模和行业的客户都可以使用它来存储和保护各种用例的任何数量的数据，例如网站，移动应用程序，备份和还原，存档，企业应用程序，IoT设备和大数据分析。 亚马逊S3提供了易于使用的管理功能，因此您可以组织数据并配置经过微调的访问控制，以满足您的特定业务，组织和合规性要求。 亚马逊S3专为99.999999999％（11 9）的耐用性而设计，并为世界各地的公司存储数百万个应用程序的数据。

造访亚马逊 S3产品信息页 有关其他详细信息，功能和有关该服务的简短介绍视频。

本实验将通过AWS管理控制台向您介绍Amazon S3的基础知识。

涵盖的主题

完成实验后，您将知道如何：

• 在Amazon S3中创建存储桶
• 将对象添加到存储桶
• 管理对对象或存储桶的访问权限
• 创建存储桶策略
• 使用存储桶版本控制

开始实验

1. 在屏幕顶部，通过点击启动实验室 开始实验

这将开始配置实验室资源的过程。将显示提供实验室资源的估计时间。您必须等待资源调配后再继续。

 如果系统提示您输入令牌，请使用分配给您的令牌（或您购买的积分）。

2. 通过单击打开实验室 打开控制台

这将自动将您登录到AWS管理控制台。

 除非有指示，否则请勿更改地区.

常见的登录错误

错误：联合登录凭证

如果看到此消息：

• 关闭浏览器选项卡以返回到初始实验室窗口
• 等待几秒钟
• 请点击 打开控制台 再次

现在，您应该能够访问AWS管理控制台。

错误：您必须先注销

如果您看到该消息， 您必须先注销，然后再登录其他AWS账户：

• 请点击 点击这里
• 关闭浏览器选项卡以返回到初始Qwiklabs窗口
• 请点击 打开控制台 再次

任务1：创建一个存储桶

亚马逊S3中的每个对象都存储在存储桶中。在此任务中，您将创建存储桶并检查存储桶配置选项。

3. 在AWS管理控制台的左上方，选择 服务 菜单，然后选择 S3.

 您也可以在服务菜单顶部搜索S3

4. 选择 创建桶 然后配置：

• 值区名称： 
• 更换 数 有一个随机数

 值区名称的长度必须介于3到63个字符之间，并且只能包含小写字母，数字或连字符。它们在所有Amazon S3中也必须是唯一的，而不管帐户或地区如何，并且在创建存储桶后不能更改它们。输入存储桶名称时，将显示一个帮助框，显示任何违反命名规则的情况。有关更多信息的链接，请参考实验末尾的“其他资源”部分。

• 离开 地区 默认值

 选择特定区域可以使您优化延迟，最小化成本或满足法规要求。除非您将对象明确转移到另一个区域，否则存储在区域中的对象永远不会离开该区域。

5. 选择 创建桶

任务2：将对象上传到存储桶

现在，您已经创建了存储桶，可以存储对象了。对象可以是任何类型的文件：文本文件，照片，视频，zip文件等。将对象添加到Amazon S3时，可以选择将元数据包含在对象中，并设置权限以控制对该对象的访问。

在此任务中，您将对象上载到S3存储桶。

6. 右键单击此链接，然后将图片下载到您的计算机： Sheep.png

7. 在里面 S3管理控制台，请选择以名称开头的存储桶 Mybucket.

8. 选择  Upload

这将启动一个上传向导，可以帮助您上传文件。通过从文件选择器中选择文件或将其拖到S3窗口中，可以使用此向导上载文件。

9. 选择 新增档案

10. 浏览并选择 Sheep.png 您先前下载的文件。

11. 选择 上载

您可以从屏幕底部的“传输”面板中观看上传进度。由于这是一个很小的文件，因此您可能看不到传输。文件上传后，它将显示在存储桶中。

 如果文件在上传后几秒钟内未显示在存储桶中，则可能需要选择  右上方的刷新按钮。

任务3：将对象公开

在此任务中，您将对存储桶和对象配置权限，以使该对象可公开访问。

首先，您尝试访问该对象以确认其默认情况下是私有的。

12. 选择 Sheep.png 文档名称。

Sheep.png概述页面随即打开。请注意，屏幕左上方的导航会更新，并带有一个链接，可返回到存储桶概述页面。

13. 复制 对象网址 链接显示在窗口底部。

该链接应类似于： 

14. 在新的浏览器选项卡中，将链接粘贴到地址字段中，然后按 输入.

您会收到 拒绝访问 错误。这是因为默认情况下，Amazon S3中的对象是私有的。

要解决拒绝访问错误，请将对象配置为可公开访问。

15. 保持此浏览器选项卡处于打开状态，但是使用S3管理控制台返回到Web浏览器选项卡。

16. 在Sheep.png概述页面上，选择 权限 标签。

17. 在下面 公共访问 部分，选择  大家。屏幕右侧将出现一个新的设置窗格。

18. 选择  读取物件。注意显示有关具有公共访问权的对象的警告消息。

19. 选择 保存

屏幕上方会显示一条错误消息，因为存储桶已配置为不允许公共访问。存储桶设置会覆盖应用于单个对象的所有权限。

20. 在屏幕的左上角，选择带有您先前创建的存储桶名称的链接。

21. 选择 权限 标签。的 禁止公共访问 按钮突出显示。如果不是，请选择它。

22. 选择 编辑 更改设置。

23. 取消选择 块 所有 公共访问 选项，然后取消选择所有其他选项。

请注意，所有单个选项均保持取消选中状态。取消选择所有公共访问权限时，必须随后选择适用于您的情况和安全目标的单个选项。 ACL和存储桶策略都将在以后的实验中使用，因此在此示例中，它们均保持取消选中状态。在生产环境中，建议使用尽可能少的允许设置。有关更多信息的链接，请参考实验末尾的“其他资源”部分。

24. 选择 保存

25. 将打开一个对话框，要求您确认更改。类型  在字段中，然后选择 确认

A 公共访问设置已成功更新 消息显示。

26. 选择 总览 标签。

27. 选择 Sheep.png 文档名称。

28. 在Sheep.png概述页面上，选择 权限 标签。

29. 在下面 公共访问 部分，选择  大家。屏幕右侧将出现一个新的设置窗格。

30. 选择  读取物件。注意显示有关具有公共访问权的对象的警告消息。

31. 选择 保存

32. 返回显示的浏览器标签 拒绝访问 并刷新  这一页。

之所以显示该图片，是因为该图片现在可以公开访问。

33. 关闭显示您的图片的Web浏览器选项卡，然后使用Amazon S3管理控制台返回到该选项卡。

在此示例中，您仅授予对特定对象的读取访问权限。如果您希望授予对整个存储桶的访问权限，请使用存储桶策略。

任务4：创建存储桶策略

存储桶策略是与S3存储桶关联的一组权限。它可用于控制对整个存储桶或存储桶中特定目录的访问。在此任务中，您将一个新文件上传到存储桶，并确认该文件不可公开访问。然后，您可以使用AWS Policy Generator创建一个存储桶策略，该策略允许对存储桶中的所有对象进行公共读取访问。

34. 右键单击此链接，然后将文本文件下载到您的计算机： sample-file.txt

35. 在里面 S3管理控制台 标签，在窗口的左上角选择您的存储桶的名称。

36. 选择  上载 并使用与上一个任务相同的上传过程上传 sample-file.txt 您下载的文件。

37. 选择 sample-file.txt 文档名称。将打开sample-file.txt概述页面。

38. 复制 对象网址 链接显示在窗口底部。

39. 在新的浏览器选项卡中，将链接粘贴到地址字段中，然后按 输入.

再来一次， 拒绝访问 将显示。您需要配置存储桶策略以授予对 所有 存储桶中的对象，而不必分别指定每个对象的权限。

40. 保持此浏览器标签页处于打开状态，但使用 S3管理控制台.

41. 在窗口的左上角选择存储桶的名称。

您应该看到存储桶中的对象列表。如果不是，请导航回您的存储桶，以查看已上传对象的列表。

42. 选择 权限 标签。

43. 在里面 权限 标签，选择 铲斗政策

一个空白 桶策略编辑器 被陈列。存储桶策略可以手动创建，也可以在 AWS Policy Generator.

在创建策略之前，您将需要复制存储桶的ARN（Amazon资源名称）。

 ARN在所有AWS中唯一标识AWS资源。 ARN的每个部分都以“：”分隔，代表指向指定资源的路径的特定部分。这些部分可能会有所不同，具体取决于所引用的服务，但通常遵循以下格式：

arn：划分:服务:地区:帐户ID:资源

亚马逊S3在ARN中不需要区域或帐户ID参数，因此这些部分留为空白。但是，仍使用“：”分隔各节，因此它看起来类似于 arn：aws：s3 ::: Mybucket45647467

有关更多信息的链接，请参考实验末尾的“其他资源”部分。

44. 将存储桶的ARN复制到剪贴板。它显示在策略编辑器的顶部。

45. 选择 政策制定者 页面底部的链接。

一个新的Web浏览器选项卡将随AWS Policy Generator打开。

 AWS策略使用JSON格式，并用于配置AWS服务的精细权限。您可以使用JSON手动编写策略，但是AWS Policy Generator允许您使用友好的Web界面创建策略。

46. 在里面 AWS策略生成器 窗口，配置以下内容：

• 选择策略类型： S3存储桶策略
• 影响：  允许
• 主要： 

 在主体上使用*表示 任何人 将能够执行策略中的操作。请参阅练习结尾处的其他资源部分，以获取有关AWS JSON策略元素的更多信息的链接。

• AWS服务： 亚马逊S3
• 动作：  获取对象

 得到 获取对象 操作将授予从Amazon S3检索对象的权限。请参阅练习结尾处的其他资源部分，以获取有关可用于Amazon S3策略中的操作的更多信息的链接。

• 亚马逊资源名称（ARN）： 粘贴先前复制的ARN。
• 在ARN的末尾，附加 

ARN应该类似于： arn：aws：s3 ::: Mybucket45647467 / *

 亚马逊资源名称（ARN）是在AWS中引用资源的标准方法。在这种情况下，ARN指的是您的S3存储桶。在存储桶名称的末尾添加/ *允许该策略应用于所有对象 内 桶。

47. 选择 添加声明。您配置的语句的详细信息将添加到按钮下方的表格中。您可以将多个语句添加到策略。

48. 选择 产生政策.

将显示一个新窗口，以JSON格式显示生成的策略。它看起来应该类似于：

{
  "Id": "Policy1557511288767",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1557511286634",
      "Action": [
        "s3:GetObject"
      ],
      "Effect": "允许",
      "Resource": "arn：aws：s3 ::: Mybucket45647467 / *",
      "Principal": "*"
    }
  ]
}

 确认它  出现在您的存储桶名称之后，如上面示例中的“资源”行中所示。

49. 将您创建的策略复制到剪贴板。

50. 关闭Web浏览器选项卡，然后使用Bucket策略编辑器返回到该选项卡。

51. 将您创建的存储桶策略粘贴到 桶策略编辑器.

52. 选择 保存

您刚刚将存储桶策略应用于了存储桶。使用此策略，您现在可以公开访问存储桶中的所有对象。

请注意屏幕顶部的警告消息横幅，该存储桶现在具有公共访问权限。的 铲斗政策 按钮和 权限 标签都标有 上市 标签。

53. 返回显示的浏览器标签 拒绝访问 并刷新  这一页。

现在，该页面显示您上传的文件中包含的文本。这是因为存储桶策略适用于存储桶 整体上，而不必分别授予每个对象各自的权限。

54. 保持此Web浏览器选项卡处于打开状态以用于下一个任务，然后使用S3管理控制台返回该选项卡。

任务5：探索版本控制

版本控制是一种将对象的多个变体保留在同一存储桶中的方法。您可以使用版本控制来保留，检索和还原存储在Amazon S3存储桶中的每个对象的每个版本。使用版本控制，您可以轻松地从意外的用户操作和应用程序故障中恢复。

在此任务中，您将打开存储桶的版本控制，然后上传在上一个任务中使用的文本文件的修改后的版本。

55. 您应该位于上一个任务的“ S3存储桶权限”选项卡上。如果不是，请选择屏幕左上方的存储桶链接，以返回到存储桶概述页面。

56. 选择 物产 标签。

57. 选择 版本控制.

58. 选择  启用版本控制 然后选择 保存

您会注意到，Versioning（版本控制）框左下角的圆圈现在以选中标记突出显示，并显示Enabled（启用）。

 已为整个存储桶以及该存储桶中的所有对象启用版本控制。不能为单个对象启用它。

 启用版本控制时，还存在成本方面的考虑。有关更多信息的链接，请参考实验末尾的“其他资源”部分。

59. 右键单击此链接，然后使用与上一个任务中的文本文件相同的名称将文本文件保存到您的计算机中： sample-file.txt.

 尽管此文件与先前的文件具有相同的名称，但它包含新的文本。

60. 在S3管理控制台中，选择 总览 标签。

您应该注意到一个新版本 隐藏节目 按钮显示在对象列表上方。

61. 选择  Upload 并使用与上一个任务相同的上传过程上传新的sample-file.txt文件。

62. 转到包含sample-file.txt文件内容的浏览器选项卡。

63. 记下页面上的内容，然后刷新  这一页。

注意，添加了新的一行文本。

 亚马逊S3始终返回 最新版本 如果未另外指定版本，则表示对象的名称。

您还可以在S3管理控制台中获取可用版本的列表。

64. 用文本文件的内容关闭Web浏览器选项卡。

65. 在S3管理控制台中，选择 sample-file.txt 文档名称。将打开sample-file.txt概述页面。

66. 选择 最新版本  在对象名称的右侧，然后选择底部版本（即 不 最新版本）。

67. 选择 打开

现在，您应该使用S3管理控制台查看文件的第一个版本。

 但是，如果您尝试使用对象URL链接访问sample-file.txt文件的较旧版本，则会收到拒绝访问消息。这是预期的，因为您在上一个任务中创建的存储桶策略仅允许访问该对象的最新版本的权限。为了访问该对象的先前版本，您需要更新存储桶策略以包括 “ s3：GetObjectVersion” 允许。以下是带有附加策略的示例存储桶策略 “ s3：GetObjectVersion” 添加了允许您使用链接访问较早版本的操作。您无需使用此示例更新存储桶策略。

{
  "Id": "Policy1557511288767",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1557511286634",
      "Action": [
        "s3:GetObject",
        “ s3：GetObjectVersion”
      ],
      "Effect": "允许",
      "Resource": "arn：aws：s3 ::: Mybucket45647467 / *",
      "Principal": "*"
    }
  ]
}

68. 在左上角选择存储桶名称的链接，以返回到存储桶“概述”标签。

69. 在对象列表上方，选择 节目 在 隐藏节目 旁边的按钮 版本号.

视图将更改以显示每个对象的可用版本，以及哪个版本是最新的。注意 Sheep.png 对象只有一个版本，版本ID为 空值。这是因为在为此存储桶启用版本控制之前已上传对象。

还要注意，您现在可以选择版本名称链接，以直接导航到控制台中对象的该版本。

70. 选择 隐藏 在 隐藏节目 按钮返回到默认对象视图。

71. 选中左侧的复选框 sample-file.txt 文件。

72. 选择对象后，选择 动作  按钮，然后选择 删除

73. 的 删除物件 出现窗口。选择 删除 按钮。

sample-file.txt对象不再显示在存储桶中。但是，如果错误删除了该对象，则可以使用版本控制来恢复它。

74. 选择 节目 在 隐藏节目 按钮。

请注意，再次显示了sample-file.txt对象，但最新版本是 删除标记。同时列出了前两个版本。如果在存储桶上启用了版本控制，则不会立即删除对象。相反，Amazon S3插入一个删除标记，该标记成为当前的对象版本。该对象的先前版本不会被删除。请参阅练习结尾处的“其他资源”部分，以获取有关版本控制的更多信息的链接。

75. 选中sample-file.txt对象版本左侧的复选框， （删除标记）

76. 选择对象后，选择 动作  按钮，然后选择 删除

77. 的 删除物件 出现窗口。选择 删除 按钮。

78. 选择 隐藏 在 隐藏节目 按钮。

请注意，sample-file.txt对象已还原到存储桶中。删除删除标记已将对象有效地恢复到其先前的状态。请参考练习末尾的“其他资源”部分，以获取有关取消删除S3对象的更多信息的链接。

您也可以删除对象的特定版本。

79. 在对象列表上方，选择 节目 在 隐藏节目 旁边的按钮 版本号.

您应该看到两个版本的 sample.txt 目的。

80. 选中最新版本左侧的复选框 sample-file.txt 目的。

81. 选择对象后，选择 动作  按钮，然后选择 删除

82. 的 删除物件 出现窗口。选择 删除 按钮。

请注意，现在只有一个版本的sample-file.txt文件。删除对象的特定版本时，不会创建删除标记。该对象将被永久删除。请参阅练习结尾处的“其他资源”部分，以获取有关在Amazon S3中删除对象版本的更多信息的链接。

83. 选择 隐藏 在 隐藏节目 按钮。

84. 选择 sample-file.txt 文档名称。将打开sample-file.txt概述页面。

85. 复制 对象网址 链接显示在窗口底部。

86. 在新的浏览器选项卡中，将链接粘贴到地址字段中，然后按 输入.

显示sample-file.txt对象的原始版本的文本。

结论

 恭喜你！您已经成功学习了如何：

• 在Amazon S3中创建存储桶
• 将对象添加到存储桶
• 管理对象的访问权限
• 创建存储桶策略
• 使用存储桶版本控制

结束实验室

请按照以下步骤关闭控制台，结束实验并评估体验。

87. 返回AWS管理控制台。

88. 在导航栏上，单击 [电子邮件 protected]<AccountNumber>，然后单击 登出.

89. 请点击 结束实验室

90. 请点击 好

91. （可选的）：

• 选择适用的星数 
• 输入评论

• 请点击 提交

  • 1星=非常不满意
  • 2星=不满意
  • 3星=中立
  • 4星=满意
  • 5星=非常满意

如果您不想提供反馈，则可以关闭对话框。

额外资源

• 亚马逊S3
• 亚马逊S3培训
• 编辑对象权限
• 亚马逊S3存储桶命名规则
• 亚马逊S3阻止公共访问
• Amazon资源名称（ARN）和AWS服务命名空间文档
• AWS JSON策略元素文档
• 亚马逊S3的操作，资源和条件键
• 亚马逊S3版本控制
• 在Amazon S3中取消删除对象
• 在Amazon S3中删除对象版本

• 亚马逊S3版本控制成本注意事项

• 有关AWS培训和认证的更多信息，请参阅  http://aws.amazon.com/training/ .

• 有关更多AWS自定进度实验室，请参阅  http://amazon.qwiklabs.com .

有关反馈，建议或更正，请发送电子邮件至 [电子邮件 protected].