Verwenden von Tags mit S3-Verzeichnis-Buckets - Amazon Simple Storage Service
Gängige Methoden zur Verwendung von Tags mit Verzeichnis-BucketsVerwaltung von Tags für Verzeichnis-Buckets

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von Tags mit S3-Verzeichnis-Buckets

Ein AWS Tag ist ein Schlüssel-Wert-Paar, das Metadaten zu Ressourcen enthält, in diesem Fall Amazon S3 S3-Verzeichnis-Buckets. Sie können S3-Verzeichnis-Buckets kennzeichnen, wenn Sie sie erstellen, oder Tags in vorhandenen Verzeichnis-Buckets verwalten. Allgemeine Informationen zu Tags finden Sie unter. Tagging für die Kostenzuweisung oder die attributebasierte Zugriffskontrolle (ABAC)

Anmerkung

Für die Verwendung von Tags in Directory-Buckets fallen keine zusätzlichen Gebühren an, die über die standardmäßigen S3-API-Anforderungsraten hinausgehen. Weitere Informationen finden Sie unter Amazon S3 – Preise.

Gängige Methoden zur Verwendung von Tags mit Verzeichnis-Buckets

Verwenden Sie Tags in Ihren S3-Verzeichnis-Buckets für:

  1. Kostenzuweisung — Verfolgen Sie die Speicherkosten anhand des Bucket-Tags. AWS Fakturierung und Kostenmanagement Weitere Informationen finden Sie unter Verwenden von Tags für ABAC.

  2. Attributbasierte Zugriffskontrolle (ABAC) — Skalieren Sie die Zugriffsberechtigungen und gewähren Sie Zugriff auf S3-Verzeichnis-Buckets auf der Grundlage ihrer Tags. Weitere Informationen finden Sie unter Verwenden von Tags für ABAC.

Anmerkung

Sie können dieselben Tags sowohl für die Kostenzuweisung als auch für die Zugriffskontrolle verwenden.

ABAC für S3-Verzeichnis-Buckets

Amazon S3 S3-Verzeichnis-Buckets unterstützen die attributebasierte Zugriffskontrolle (ABAC) mithilfe von Tags. Verwenden Sie Tag-basierte Bedingungsschlüssel in Ihren AWS Organisations-, IAM- und S3-Verzeichnis-Bucket-Richtlinien. Für Unternehmen unterstützt ABAC in Amazon S3 die Autorisierung über mehrere AWS Konten hinweg.

In Ihren IAM-Richtlinien können Sie den Zugriff auf S3-Verzeichnis-Buckets anhand der Bucket-Tags steuern, indem Sie die folgenden globalen Bedingungsschlüssel verwenden:

  • aws:ResourceTag/key-name

    • Verwenden Sie diesen Schlüssel, um das Tag-Schlüssel-Wert-Paar, das Sie in der Richtlinie angeben, mit dem Schlüssel-Wert-Paar zu vergleichen, das der Ressource zugeordnet ist. Beispiel: Sie können verlangen, dass der Zugriff auf eine Ressource nur gewährt wird, wenn die Ressource über den angefügten Tag-Schlüssel Dept mit dem Wert Marketing verfügt. Weitere Informationen finden Sie unter Steuern des Zugriffs auf AWS Ressourcen.

  • aws:RequestTag/key-name

    • Verwenden Sie diesen Schlüssel, um das Tag-Schlüssel-Wert-Paar, das in der Anforderung übergeben wurde, mit dem Tag-Paar zu vergleichen, das Sie in der Richtlinie angeben. Sie können beispielsweise prüfen, ob die Anforderung den Tag-Schlüssel Dept enthält und dieser den Wert Accounting hat. Weitere Informationen finden Sie unter Steuern des Zugriffs bei AWS Anfragen. Sie können diesen Bedingungsschlüssel verwenden, um einzuschränken, welche Tag-Schlüssel-Wert-Paare während der TagResource CreateBucket API-Operationen übergeben werden können.

  • aws:TagKeys

    • Verwenden Sie diesen Schlüssel, um die Tag-Schlüssel in einer Anforderung mit den Schlüsseln zu vergleichen, die Sie in der Richtlinie angeben. Wir empfehlen, dass Sie bei der Verwendung von Richtlinien zur Zugriffskontrolle mithilfe von Tags den aws:TagKeys-Bedingungsschlüssel verwenden, um festzulegen, welche Tag-Schlüssel zulässig sind. Beispiele für Richtlinien und weitere Informationen finden Sie unter Steuern des Zugriffs anhand von Tagschlüsseln. Sie können einen S3-Verzeichnis-Bucket mit Tags erstellen. Um das Tagging während des CreateBucket API-Vorgangs zu ermöglichen, müssen Sie eine Richtlinie erstellen, die s3express:TagResource sowohl die s3express:CreateBucket Aktionen als auch umfasst. Anschließend können Sie mithilfe des aws:TagKeys Bedingungsschlüssels die Verwendung bestimmter Tags in der CreateBucket Anfrage erzwingen.

  • s3express:BucketTag/tag-key

    • Verwenden Sie diesen Bedingungsschlüssel, um mithilfe von Tags Berechtigungen für bestimmte Daten in Verzeichnis-Buckets zu erteilen. Wenn Sie über einen Access Point auf einen Verzeichnis-Bucket zugreifen, verweist dieser Bedingungsschlüssel sowohl bei der Autorisierung für den Access Point als auch für den Directory-Bucket auf die Tags im Verzeichnis-Bucket, während der aws:ResourceTag/tag-key nur auf die Tags der Ressource verweist, für die er autorisiert wurde.

Beispiel für ABAC-Richtlinien für Verzeichnis-Buckets

Sehen Sie sich das folgende Beispiel für ABAC-Richtlinien für Amazon S3 S3-Verzeichnis-Buckets an.

1.1 — IAM-Richtlinie zum Erstellen oder Ändern von Buckets mit bestimmten Tags

In dieser IAM-Richtlinie können Benutzer oder Rollen mit dieser Richtlinie nur S3-Verzeichnis-Buckets erstellen, wenn sie den Bucket mit dem Tag-Schlüssel project und dem Tag-Wert Trinity in der Bucket-Erstellungsanfrage kennzeichnen. Sie können auch Tags zu vorhandenen S3-Verzeichnis-Buckets hinzufügen oder ändern, sofern die TagResource Anfrage das Tag-Schlüssel-Wert-Paar enthält. project:Trinity Diese Richtlinie gewährt keine Lese-, Schreib- oder Löschberechtigungen für die Buckets oder ihre Objekte. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CreateBucketWithTags",
      "Effect": "Allow",
      "Action": [
        "s3express:CreateBucket",
        "s3express:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/project": [
            "Trinity"
          ]
        }
      }
    }
  ]
}

1.2 — Bucket-Richtlinie zur Einschränkung von Vorgängen im Bucket mithilfe von Tags

In dieser Bucket-Richtlinie können IAM-Prinzipale (Benutzer und Rollen) nur dann Operationen mithilfe der CreateSession Aktion für den Bucket ausführen, wenn der Wert des project Bucket-Tags mit dem Wert des project Prinzipal-Tags übereinstimmt.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowObjectOperations",
      "Effect": "Allow",
      "Principal": {
        "AWS": "111122223333"
      },
      "Action": "s3express:CreateSession",
      "Resource": "arn:aws::s3express:us-west-2:111122223333:bucket/amzn-s3-demo-bucket--usw2-az1--x-s3",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        }
      }
    }
  ]
}

1.3 — IAM-Richtlinie zur Änderung von Tags auf vorhandenen Ressourcen unter Beibehaltung der Tagging-Governance

In dieser IAM-Richtlinie können IAM-Prinzipale (Benutzer oder Rollen) Tags in einem Bucket nur ändern, wenn der Wert des Bucket-Tags mit dem Wert des project Prinzipal-Tags übereinstimmt. project Nur die vier in den aws:TagKeys Bedingungsschlüsseln cost-center angegebenen Tags project environmentowner,, und sind für diese Verzeichnis-Buckets zulässig. Dies hilft, die Tag-Governance durchzusetzen, verhindert unbefugte Tag-Änderungen und sorgt dafür, dass das Tagging-Schema in Ihren Buckets konsistent bleibt.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "EnforceTaggingRulesOnModification",
      "Effect": "Allow",
      "Action": [
        "s3express:TagResource"
      ],
      "Resource": "arn:aws::s3express:us-west-2:111122223333:bucket/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": [
            "project",
            "environment",
            "owner",
            "cost-center"
          ]
        }
      }
    }
  ]
}

1.4 — Verwendung des Bedingungsschlüssels s3express: BucketTag

In dieser IAM-Richtlinie erlaubt die Bedingungsanweisung den Zugriff auf die Daten des Buckets nur, wenn der Bucket den Tag-Schlüssel Environment und den Tag-Wert enthält. Production 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAccessToSpecificAccessPoint",
      "Effect": "Allow",
      "Action": "*",
      "Resource": "arn:aws::s3express:us-west-2:111122223333:accesspoint/*",
      "Condition": {
        "StringEquals": {
          "s3express:BucketTag/Environment": "Production"
        }
      }
    }
  ]
}

Verwaltung von Tags für Verzeichnis-Buckets

Sie können Tags für S3-Verzeichnis-Buckets mithilfe der Amazon S3 S3-Konsole, der AWS Befehlszeilenschnittstelle (CLI) AWS SDKs, der oder mithilfe von S3 APIs: TagResourceUntagResource, und ListTagsForResourcehinzufügen oder verwalten. Weitere Informationen finden Sie unter:

Themen