Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von Tags mit S3 Access Points für Verzeichnis-Buckets
Ein AWS Tag ist ein Schlüssel-Wert-Paar, das Metadaten zu Ressourcen enthält, in diesem Fall Amazon S3 Access Points für Verzeichnis-Buckets. Sie können Access Points kennzeichnen, wenn Sie sie erstellen, oder Tags auf vorhandenen Access Points verwalten. Allgemeine Informationen zu Tags finden Sie unterTagging für die Kostenzuweisung oder die attributebasierte Zugriffskontrolle (ABAC).
Anmerkung
Für die Verwendung von Tags auf Access Points für Directory-Buckets fallen keine zusätzlichen Gebühren an, die über die standardmäßigen S3-API-Anforderungsraten hinausgehen. Weitere Informationen finden Sie unter Amazon S3 – Preise
Gängige Methoden zur Verwendung von Tags mit Zugriffspunkten für Directory-Buckets
Mit der attributebasierten Zugriffskontrolle (ABAC) können Sie Zugriffsberechtigungen skalieren und den Zugriff auf Access Points für Verzeichnis-Buckets auf der Grundlage ihrer Tags gewähren. Weitere Informationen zu ABAC in Amazon S3 finden Sie unter Verwenden von Tags für ABAC.
ABAC für S3-Zugriffspunkte
Amazon S3 Access Points unterstützen die attributebasierte Zugriffskontrolle (ABAC) mithilfe von Tags. Verwenden Sie Tag-basierte Bedingungsschlüssel in Ihren AWS Organisations-, IAM- und Access Point-Richtlinien. Für Unternehmen unterstützt ABAC in Amazon S3 die Autorisierung über mehrere AWS Konten hinweg.
In Ihren IAM-Richtlinien können Sie den Zugriff auf Zugriffspunkte für Verzeichnis-Buckets anhand der Bucket-Tags steuern, indem Sie die folgenden globalen Bedingungsschlüssel verwenden:
-
aws:ResourceTag/key-name-
Verwenden Sie diesen Schlüssel, um das Tag-Schlüssel-Wert-Paar, das Sie in der Richtlinie angeben, mit dem Schlüssel-Wert-Paar zu vergleichen, das der Ressource zugeordnet ist. Beispiel: Sie können verlangen, dass der Zugriff auf eine Ressource nur gewährt wird, wenn die Ressource über den angefügten Tag-Schlüssel
Deptmit dem WertMarketingverfügt. Weitere Informationen finden Sie unter Steuern des Zugriffs auf AWS Ressourcen.
-
-
aws:RequestTag/key-name-
Verwenden Sie diesen Schlüssel, um das Tag-Schlüssel-Wert-Paar, das in der Anforderung übergeben wurde, mit dem Tag-Paar zu vergleichen, das Sie in der Richtlinie angeben. Sie können beispielsweise prüfen, ob die Anforderung den Tag-Schlüssel
Deptenthält und dieser den WertAccountinghat. Weitere Informationen finden Sie unter Steuern des Zugriffs bei AWS Anfragen. Sie können diesen Bedingungsschlüssel verwenden, um einzuschränken, welche Tag-Schlüssel-Wert-Paare während derTagResourceCreateAccessPointAPI-Operationen übergeben werden können.
-
-
aws:TagKeys-
Verwenden Sie diesen Schlüssel, um die Tag-Schlüssel in einer Anforderung mit den Schlüsseln zu vergleichen, die Sie in der Richtlinie angeben. Wir empfehlen, dass Sie bei der Verwendung von Richtlinien zur Zugriffskontrolle mithilfe von Tags den
aws:TagKeys-Bedingungsschlüssel verwenden, um festzulegen, welche Tag-Schlüssel zulässig sind. Beispiele für Richtlinien und weitere Informationen finden Sie unter Steuern des Zugriffs anhand von Tagschlüsseln. Sie können einen Zugriffspunkt für Verzeichnis-Buckets mit Tags erstellen. Um das Tagging während desCreateAccessPointAPI-Vorgangs zu ermöglichen, müssen Sie eine Richtlinie erstellen, die sowohl die als auch die Aktionens3express:TagResourceumfasst.s3express:CreateAccessPointAnschließend können Sie mithilfe desaws:TagKeysBedingungsschlüssels die Verwendung bestimmter Tags in derCreateAccessPointAnfrage erzwingen.
-
-
s3express:AccessPointTag/tag-key-
Verwenden Sie diesen Bedingungsschlüssel, um über Zugriffspunkte mithilfe von Tags Berechtigungen für bestimmte Daten zu erteilen. Bei der Verwendung
aws:ResourceTag/tag-keyin einer IAM-Richtlinie müssen sowohl der Access Point als auch der Bucket, auf den der Access Point verweist, dasselbe Tag haben, da beide bei der Autorisierung berücksichtigt werden. Wenn Sie den Zugriff auf Ihre Daten ausschließlich über das Access-Point-Tag kontrollieren möchten, können Sie den Bedingungsschlüssel verwendens3express:AccessPointTag/tag-key.
-
Beispiel für ABAC-Richtlinien für Access Points für Directory-Buckets
Sehen Sie sich das folgende Beispiel für ABAC-Richtlinien für Zugriffspunkte für Directory-Buckets an.
1.1 — IAM-Richtlinie zum Erstellen oder Ändern von Access Points mit bestimmten Tags
In dieser IAM-Richtlinie können Benutzer oder Rollen mit dieser Richtlinie nur dann Access Points erstellen, wenn sie die Access Points mit dem Tag-Schlüssel project und dem Tag-Wert Trinity in der Anfrage zur Erstellung des Access Points kennzeichnen. Sie können auch Tags auf vorhandenen Zugriffspunkten für Verzeichnis-Buckets hinzufügen oder ändern, sofern die TagResource Anfrage das Schlüssel-Wert-Paar des Tags enthält. project:Trinity
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateAccessPointWithTags", "Effect": "Allow", "Action": [ "s3express:CreateAccessPoint", "s3express:TagResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/project": [ "Trinity" ] } } } ] }
1.2 — Access Point-Richtlinie zur Einschränkung von Vorgängen im Bucket mithilfe von Tags
In dieser Access Point-Richtlinie können IAM-Prinzipale (Benutzer und Rollen) nur dann Operationen mithilfe der CreateSession Aktion auf dem Access Point ausführen, wenn der Wert des Access project Point-Tags mit dem Wert des project Prinzipal-Tags übereinstimmt.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowObjectOperations", "Effect": "Allow", "Principal": { "AWS": "111122223333" }, "Action": "s3express:CreateSession", "Resource": "arn:aws::s3express:region:111122223333:access-point/", "Condition": { "StringEquals": { "aws:ResourceTag/project": "${aws:PrincipalTag/project}" } } } ] }my-access-point
1.3 — IAM-Richtlinie zur Änderung von Tags auf vorhandenen Ressourcen unter Beibehaltung der Tagging-Governance
In dieser IAM-Richtlinie können IAM-Prinzipale (Benutzer oder Rollen) Tags auf einem Access Point nur ändern, wenn der Wert des Access Point-Tags mit dem Wert des project Prinzipal-Tags übereinstimmt. project Nur die vier in den aws:TagKeys Bedingungsschlüsseln cost-center angegebenen Tags project environmentowner,, und sind für diese Access Points zulässig. Dies trägt zur Durchsetzung der Tag-Governance bei, verhindert unbefugte Tag-Änderungen und sorgt dafür, dass das Tagging-Schema an Ihren Access Points einheitlich bleibt.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnforceTaggingRulesOnModification", "Effect": "Allow", "Action": [ "s3express:TagResource" ], "Resource": "arn:aws::s3express:region:111122223333:accesspoint/", "Condition": { "StringEquals": { "aws:ResourceTag/project": "${aws:PrincipalTag/project}" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "my-access-pointproject", "environment", "owner", "cost-center" ] } } } ] }
1.4 — Verwendung des Bedingungsschlüssels s3express: AccessPointTag
In dieser IAM-Richtlinie erlaubt die Bedingungsanweisung den Zugriff auf die Daten des Buckets nur, wenn der Access Point, der für den Zugriff auf den Bucket verwendet wird, den Tag-Schlüssel Environment und den Tag-Wert hat. Production
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToSpecificAccessPoint", "Effect": "Allow", "Action": "*", "Resource": "arn:aws::s3express:region:111122223333:accesspoint/", "Condition": { "StringEquals": { "s3express:AccessPointTag/Environment": "Production" } } } ] }my-access-point
Arbeiten mit Tags für Access Points für Directory-Buckets
Sie können Tags für Access Points für Directory-Buckets mithilfe der Amazon S3 S3-Konsole, der AWS Befehlszeilenschnittstelle (CLI) AWS SDKs, der oder mithilfe von S3 APIs: TagResourceUntagResource, und ListTagsForResourcehinzufügen oder verwalten. Weitere Informationen finden Sie unter:
Themen
