Ten przewodnik jest dla administratora organizacji (org-admina). Pokazuje, jak zalogować się do panelu organizacji, zarządzać użytkownikami i nadawać im uprawnienia do S3 przez graficzny edytor polityk IAM.
Jako org-admin zarządzasz wyłącznie swoją organizacją — panel automatycznie rozpoznaje Twoją firmę po koncie, którym się logujesz.
Wejdź na ścieżkę /org. Zostaniesz przekierowany do logowania OIDC w realmie swojej organizacji. Dostęp do panelu mają tylko konta należące do grupy administratorów (admins) Twojego realmu.
📷 [Zrzut ekranu: panel /org — sekcje „Użytkownicy organizacji" oraz „Polityka IAM" i „Szyfrowanie (SSE-KMS)"]
W sekcji „Użytkownicy organizacji" widzisz wszystkie konta w swojej firmie. Każdy z nich to przyszły użytkownik S3 — to za pomocą swojego loginu wymienia token na tymczasowe poświadczenia (patrz Dostęp do S3).
📷 [Zrzut ekranu: lista użytkowników organizacji z przyciskami „Dodaj użytkownika" i „Usuń"]
⚠️ Imię i nazwisko są wymagane. Konto bez wypełnionych pól imienia/nazwiska nie zaloguje się poprawnie (zobaczy komunikat „Account is not fully set up"). Uzupełnij oba pola przy zakładaniu.
Uprawnienia do S3 opisuje polityka IAM. Zamiast ręcznie pisać JSON, używasz graficznego edytora z gotowymi presetami.
📷 [Zrzut ekranu: graficzny edytor polityk IAM — wybór presetu (Pełny dostęp / Tylko odczyt), podgląd JSON, przycisk „Zapisz"]
Wybierz preset, w razie potrzeby podejrzyj wygenerowany JSON (format AWS-IAM 2012-10-17) i kliknij „Zapisz". Polityka zostaje zapisana po stronie storage i zaczyna obowiązywać dla wszystkich użytkowników organizacji.
Edytor pilnuje, żeby polityka nie wychodziła poza prefiks Twojej firmy. Każdy zasób (Resource) musi mieścić się w arn:aws:s3:::<slug>-*.
arn:aws:s3:::acme-* — w porządku (cały namespace organizacji acme).arn:aws:s3:::acme-backups/* — w porządku (konkretny bucket).arn:aws:s3:::* lub arn:aws:s3:::inna-firma-* — odrzucone przy zapisie (polityka wychodzi poza prefiks).Dzięki temu nie da się przypadkiem nadać uprawnień do cudzych danych — granica organizacji jest egzekwowana po stronie systemu.
Każda organizacja ma własny klucz szyfrujący po stronie serwera (SSE-KMS). W sekcji szyfrowania panelu możesz nim zarządzać:
📷 [Zrzut ekranu: sekcja „Szyfrowanie (SSE-KMS)" z opcjami „Rotuj klucz" i „Wyłącz klucz"]