Ersetzen der Zugriffssteuerungsliste (ACL) - Amazon Simple Storage Service
Beschränkungen und Einschränkungen

Ersetzen der Zugriffssteuerungsliste (ACL)

Sie können Amazon S3 Batch Operations verwenden, um umfangreiche Batch-Vorgänge für Amazon-S3-Objekte durchzuführen. Der Vorgang Zugriffssteuerungsliste (ACL) ersetzen ersetzt die Zugriffssteuerungslisten (ACLs) für jedes Objekt, das im Manifest aufgeführt ist. Mithilfe von ACLs können Sie festlegen, wer auf ein Objekt zugreifen darf, und welche Aktionen die Person ausführen darf.

Anmerkung

Die meisten modernen Anwendungsfälle in Amazon S3 erfordern keine ACLs mehr. Wir empfehlen Ihnen, ACLs deaktiviert zu lassen, außer unter ungewöhnlichen Umständen, in denen Sie den Zugriff für jedes Objekt einzeln steuern müssen. Wenn ACLs deaktiviert sind, können Sie mithilfe von Richtlinien den Zugriff auf alle Objekte in Ihrem Bucket steuern, unabhängig davon, wer die Objekte in Ihren Bucket hochgeladen hat. Weitere Informationen finden Sie unter Weitere Informationen finden Sie unter Steuern des Eigentums an Objekten und Deaktivieren von ACLs für Ihren Bucket..

S3 Batch Operations unterstützt benutzerdefinierte ACLs, die von Ihnen festgelegt werden, sowie vorgefertigte ACLs, die von Amazon S3 mit vordefinierten Gruppen von Zugriffsberechtigungen bereitgestellt werden.

Wenn die Objekte in Ihrem Manifest zu einem versionierten Bucket gehören, können Sie die ACLs auf bestimmten Versionen der einzelnen Objekte anwenden. Geben Sie hierzu für jedes Objekt im Manifest eine Versions-ID an. Wenn Sie für kein Objekt eine Versions-ID angeben, wendet S3 Batch Operations die ACL auf die aktuelle Version des Objekts an.

Weitere Informationen zu ACLs in Amazon S3 erhalten Sie unter Zugriffskontrolllisten (ACL) – Übersicht.

S3 Block Public Access

Wenn Sie den öffentlichen Zugriff auf alle Objekte in einem Bucket einschränken möchten, sollten Sie Amazon S3 Block Public Access anstelle von S3 Batch Operations zum Anwenden von ACLs verwenden. Block Public Access kann den öffentlichen Zugriff auf einen Bucket oder ein Konto mithilfe einer einzelnen, einfachen Operation einschränken, die sich zudem auch noch schnell umsetzen lässt. Wegen dieses Verhaltens ist Amazon S3 Block Public Access die bessere Wahl, wenn Sie die Absicht haben, den öffentlichen Zugriff auf alle Objekte in einem Bucket oder einem Konto einzuschränken. Verwenden Sie S3 Batch Operations, nur dann wenn Sie eine benutzerdefinierte ACL auf jedes Objekt im Manifest anwenden möchten. Weitere Informationen über die S3 Block Public Access finden Sie unter Blockieren des öffentlichen Zugriffs auf Ihren Amazon-S3-Speicher.

S3 Object Ownership

Wenn sich die Objekte im Manifest in einem Bucket befinden, der die Einstellung Bucket-Eigentümer erzwungen für Object Ownership verwendet, kann die Operation Zugriffssteuerungslisten (ACLs) ersetzen nur Objekt-ACLs angeben, die dem Bucket-Eigentümer die volle Kontrolle gewähren. In diesem Fall kann die Operation Zugriffssteuerungslisten (ACLs) ersetzen keine Objekt-ACL-Berechtigungen für andere AWS-Konten oder Gruppen erteilen. Weitere Informationen finden Sie unter Weitere Informationen finden Sie unter Steuern des Eigentums an Objekten und Deaktivieren von ACLs für Ihren Bucket..

Beschränkungen und Einschränkungen

Wenn Sie Batch Operations verwenden, um ACLs zu ersetzen, gelten die folgenden Einschränkungen und Beschränkungen:

  • Die AWS Identity and Access Management (IAM)-Rolle, die Sie zum Ausführen der Aufgabe Ersetzen der Zugriffssteuerungsliste (ACL) angeben, muss über Berechtigungen zum Durchführen der zugrunde liegenden Amazon-S3-PutObjectAcl-Operation verfügen. Weitere Informationen zu den erforderlichen Berechtigungen finden Sie unter PutObjectAcl in der API-Referenz zu Amazon Simple Storage Service.

  • S3-Batch-Vorgänge verwenden die Amazon S3 PutObjectAcl-Operation, um die angegebene ACL auf jedes Objekt im Manifest anzuwenden. Daher gelten alle Einschränkungen und Begrenzungen, die auf den zugrunde liegenden PutObjectAcl-Vorgang zutreffen, auch für die S3-Batch-Operations-Aufgaben Zugriffssteuerungslisten (ACLs) ersetzen.

  • Ein einziger Auftrag zum Ersetzen der Zugriffssteuerungsliste kann ein Manifest mit bis zu 20 Milliarden Objekten unterstützen.