Verwenden von Tags mit S3 Access Points für allgemeine Buckets - Amazon Simple Storage Service
Gängige Methoden zur Verwendung von Tags mit Access PointsArbeiten mit Tags für Access Points für Allzweck-Buckets

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von Tags mit S3 Access Points für allgemeine Buckets

Ein AWS Tag ist ein Schlüssel-Wert-Paar, das Metadaten zu Ressourcen, in diesem Fall Amazon S3 Access Points, enthält. Sie können Access Points kennzeichnen, wenn Sie sie erstellen, oder Tags auf vorhandenen Access Points verwalten. Allgemeine Informationen zu Tags finden Sie unterTagging für die Kostenzuweisung oder die attributebasierte Zugriffskontrolle (ABAC).

Anmerkung

Für die Verwendung von Tags auf Access Points fallen keine zusätzlichen Gebühren an, die über die standardmäßigen S3-API-Anforderungsgebühren hinausgehen. Weitere Informationen finden Sie unter Amazon S3 – Preise.

Gängige Methoden zur Verwendung von Tags mit Access Points

Mit der attributebasierten Zugriffskontrolle (ABAC) können Sie Zugriffsberechtigungen skalieren und Access Points anhand ihrer Tags Zugriff gewähren. Weitere Informationen zu ABAC in Amazon S3 finden Sie unter Verwenden von Tags für ABAC.

ABAC für S3-Zugriffspunkte

Amazon S3 Access Points unterstützen die attributebasierte Zugriffskontrolle (ABAC) mithilfe von Tags. Verwenden Sie Tag-basierte Bedingungsschlüssel in Ihren AWS Organisations-, IAM- und Access Point-Richtlinien. Für Unternehmen unterstützt ABAC in Amazon S3 die Autorisierung über mehrere AWS Konten hinweg.

In Ihren IAM-Richtlinien können Sie den Zugriff auf Access Points anhand der Tags der Access Points steuern, indem Sie die folgenden globalen Bedingungsschlüssel verwenden:

  • aws:ResourceTag/key-name

    • Verwenden Sie diesen Schlüssel, um das Tag-Schlüssel-Wert-Paar, das Sie in der Richtlinie angeben, mit dem Schlüssel-Wert-Paar zu vergleichen, das der Ressource zugeordnet ist. Beispiel: Sie können verlangen, dass der Zugriff auf eine Ressource nur gewährt wird, wenn die Ressource über den angefügten Tag-Schlüssel Dept mit dem Wert Marketing verfügt. Weitere Informationen finden Sie unter Steuern des Zugriffs auf AWS Ressourcen.

  • aws:RequestTag/key-name

    • Verwenden Sie diesen Schlüssel, um das Tag-Schlüssel-Wert-Paar, das in der Anforderung übergeben wurde, mit dem Tag-Paar zu vergleichen, das Sie in der Richtlinie angeben. Sie können beispielsweise prüfen, ob die Anforderung den Tag-Schlüssel Dept enthält und dieser den Wert Accounting hat. Weitere Informationen finden Sie unter Steuern des Zugriffs bei AWS Anfragen. Sie können diesen Bedingungsschlüssel verwenden, um einzuschränken, welche Tag-Schlüssel-Wert-Paare während der TagResource CreateAccessPoint API-Operationen übergeben werden können.

  • aws:TagKeys

    • Verwenden Sie diesen Schlüssel, um die Tag-Schlüssel in einer Anforderung mit den Schlüsseln zu vergleichen, die Sie in der Richtlinie angeben. Wir empfehlen, dass Sie bei der Verwendung von Richtlinien zur Zugriffskontrolle mithilfe von Tags den aws:TagKeys-Bedingungsschlüssel verwenden, um festzulegen, welche Tag-Schlüssel zulässig sind. Beispiele für Richtlinien und weitere Informationen finden Sie unter Steuern des Zugriffs anhand von Tagschlüsseln. Sie können einen Access Point mit Tags erstellen. Um das Tagging während des CreateAccessPoint API-Vorgangs zu ermöglichen, müssen Sie eine Richtlinie erstellen, die s3:TagResource sowohl die s3:CreateAccessPoint Aktionen als auch umfasst. Anschließend können Sie mithilfe des aws:TagKeys Bedingungsschlüssels die Verwendung bestimmter Tags in der CreateAccessPoint Anfrage erzwingen.

  • s3:AccessPointTag/tag-key

    • Verwenden Sie diesen Bedingungsschlüssel, um über Zugriffspunkte mithilfe von Tags Berechtigungen für bestimmte Daten zu erteilen. Bei der Verwendung aws:ResourceTag/tag-key in einer IAM-Richtlinie müssen sowohl der Access Point als auch der Bucket, auf den der Access Point verweist, dasselbe Tag haben, da beide bei der Autorisierung berücksichtigt werden. Wenn Sie den Zugriff auf Ihre Daten ausschließlich über das Access-Point-Tag kontrollieren möchten, können Sie den Bedingungsschlüssel verwendens3:AccessPointTag/tag-key.

Beispiel für ABAC-Richtlinien für Access Points

Sehen Sie sich das folgende Beispiel für ABAC-Richtlinien für Amazon S3 Access Points an.

1.1 — IAM-Richtlinie zum Erstellen oder Ändern von Buckets mit bestimmten Tags

In dieser IAM-Richtlinie können Benutzer oder Rollen mit dieser Richtlinie nur dann Access Points erstellen, wenn sie die Access Points mit dem Tag-Schlüssel project und dem Tag-Wert Trinity in der Anfrage zur Erstellung von Access Points kennzeichnen. Sie können auch Tags an vorhandenen Access Points hinzufügen oder ändern, sofern die TagResource Anfrage das Schlüssel-Wert-Paar des Tags enthält. project:Trinity 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CreateAccessPointWithTags",
      "Effect": "Allow",
      "Action": [
        "s3:CreateAccessPoint",
        "s3:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/project": [
            "Trinity"
          ]
        }
      }
    }
  ]
}

1.2 — Access Point-Richtlinie zur Einschränkung von Vorgängen auf dem Access Point mithilfe von Tags

In dieser Access Point-Richtlinie können IAM-Prinzipale (Benutzer und Rollen) nur dann Operationen mithilfe der GetObject Aktion auf dem Access Point ausführen, wenn der Wert des Access project Point-Tags mit dem Wert des project Prinzipal-Tags übereinstimmt.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowObjectOperations",
      "Effect": "Allow",
      "Principal": {
        "AWS": "111122223333"
      },
      "Action": "s3:GetObject",
      "Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        }
      }
    }
  ]
}

1.3 — IAM-Richtlinie zur Änderung von Tags auf vorhandenen Ressourcen unter Beibehaltung der Tagging-Governance

In dieser IAM-Richtlinie können IAM-Prinzipale (Benutzer oder Rollen) Tags auf einem Access Point nur ändern, wenn der Wert des Access Point-Tags mit dem Wert des project Prinzipal-Tags übereinstimmt. project Nur die vier in den aws:TagKeys Bedingungsschlüsseln cost-center angegebenen Tags project environmentowner,, und sind für diese Access Points zulässig. Dies trägt zur Durchsetzung der Tag-Governance bei, verhindert unbefugte Tag-Änderungen und sorgt dafür, dass das Tagging-Schema an Ihren Access Points einheitlich bleibt.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "EnforceTaggingRulesOnModification",
      "Effect": "Allow",
      "Action": [
        "s3:TagResource"
      ],
      "Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": [
            "project",
            "environment",
            "owner",
            "cost-center"
          ]
        }
      }
    }
  ]
}

1.4 — Verwendung des AccessPointTag Bedingungsschlüssels s3:

In dieser IAM-Richtlinie ermöglicht die Bedingungsanweisung den Zugriff auf die Daten des Buckets, wenn der Access Point über den Tag-Schlüssel Environment und den Tag-Wert Production verfügt. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAccessToSpecificAccessPoint",
      "Effect": "Allow",
      "Action": "*",
      "Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
      "Condition": {
        "StringEquals": {
          "s3:AccessPointTag/Environment": "Production"
        }
      }
    }
  ]
}

1.5 — Verwendung einer Bucket-Delegate-Richtlinie

In Amazon S3 können Sie den Zugriff auf Ihre S3-Bucket-Richtlinie oder die Kontrolle über Ihre S3-Bucket-Richtlinie an ein anderes AWS Konto oder an einen bestimmten AWS Identity and Access Management (IAM-) Benutzer oder eine bestimmte Rolle in dem anderen Konto delegieren. Die Delegate-Bucket-Richtlinie gewährt diesem anderen Konto, Benutzer oder dieser Rolle die Berechtigung für Ihren Bucket und seine Objekte. Weitere Informationen finden Sie unter Delegierung von Berechtigungen.

Wenn Sie eine Bucket-Richtlinie für Delegierte verwenden, z. B. die folgende: 

{
  "Version": "2012-10-17",
    "Statement": {
      "Principal": {"AWS": "*"},
        "Effect": "Allow",
        "Action": ["s3:*"],
        "Resource":["arn:aws::s3:::amzn-s3-demo-bucket/*", "arn:aws::s3:::amzn-s3-demo-bucket"],
           "Condition": {
             "StringEquals" : {
                "s3:DataAccessPointAccount" : "111122223333"
             }
           }
    }
}

In der folgenden IAM-Richtlinie ermöglicht die Bedingungsanweisung den Zugriff auf die Daten des Buckets, wenn der Access Point über den Tag-Schlüssel Environment und den Tag-Wert verfügt. Production 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAccessToSpecificAccessPoint",
      "Effect": "Allow",
      "Action": "*",
      "Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
      "Condition": {
        "StringEquals": {
          "s3:AccessPointTag/Environment": "Production"
        }
      }
    }
  ]
}

Arbeiten mit Tags für Access Points für Allzweck-Buckets

Sie können Tags für Access Points mithilfe der Amazon S3 S3-Konsole, der AWS Befehlszeilenschnittstelle (CLI) AWS SDKs, der oder mithilfe von S3 APIs: TagResourceUntagResource, und hinzufügen oder verwalten ListTagsForResource. Weitere Informationen finden Sie unter:

Themen