Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von Tags mit S3-Verzeichnis-Buckets
Ein AWS Tag ist ein Schlüssel-Wert-Paar, das Metadaten zu Ressourcen enthält, in diesem Fall Amazon S3 S3-Verzeichnis-Buckets. Sie können S3-Verzeichnis-Buckets taggen, wenn Sie sie erstellen, oder Tags in vorhandenen Verzeichnis-Buckets verwalten. Für die Verwendung von Tags in Verzeichnis-Buckets fallen keine zusätzlichen Gebühren an, die über die standardmäßigen S3-API-Anforderungsraten hinausgehen. Weitere Informationen finden Sie unter Amazon S3 – Preise
Wie funktionieren Tags
Amazon S3 S3-Verzeichnis-Buckets unterstützen zwei Arten von Tags:
-
AWS-generierte Tags: Wendet diese Tags AWS automatisch an, und Sie können sie nicht ändern oder entfernen. Weitere Informationen zu AWS-generierten Tags finden Sie unter Verwenden von AWS-generierten Tags.
-
Benutzerdefinierte Tags: Sie wenden diese Tags auf Ihre S3-Verzeichnis-Buckets oder andere Ressourcen an und verwalten sie.
Benutzerdefinierte Tags
Ein benutzerdefiniertes Tag ist ein Tag-Schlüssel-Wert-Paar, das Sie zur Kennzeichnung Ihrer Ressourcen verwenden. Benutzerdefinierte Tags bestehen aus einem erforderlichen Schlüssel und einem optionalen Wert. Dies sind die Hauptbestandteile eines benutzerdefinierten Tags:
Der Tag-Schlüssel
Der Tag-Schlüssel ist der erforderliche Name des Tags. project
Ist zum Beispiel der Tag-Schlüssel im folgenden Tag-Schlüssel-Wert-Paar:
Schlüssel | Value (Wert) |
---|---|
project |
Trinity |
Der Tag-Schlüssel ist eine Zeichenfolge, bei der Groß- und Kleinschreibung beachtet wird und zwischen 1 und 128 Unicode-Zeichen enthalten muss.
Der Tag-Wert
Der Tag-Wert ist eine optionale Zeichenfolge. Zum Beispiel Trinity
ist der Tag-Wert in diesem Tag-Schlüssel-Wert-Paar:
Schlüssel | Value (Wert) |
---|---|
project |
Trinity |
Der Tag-Wert ist eine Zeichenfolge, bei der Groß- und Kleinschreibung beachtet wird und zwischen 0 und 256 Unicode-Zeichen enthalten kann.
Einzelheiten zu den in benutzerdefinierten Tags zulässigen Zeichen und zu anderen Einschränkungen finden Sie im Benutzerhandbuch unter Einschränkungen für benutzerdefinierte Tags.AWS Fakturierung und Kostenmanagement
Das Tag-Set
Jeder S3-Verzeichnis-Bucket hat einen Tagsatz, der alle Tag-Schlüssel- und Wertepaare enthält, die diesem Bucket zugewiesen sind. Ein Tag-Set kann bis zu 50 benutzerdefinierte Tags enthalten oder leer sein.
Jeder Schlüssel in einem Tag-Set muss zwar einzigartig sein, Sie können jedoch denselben Wert mehrmals verwenden. Sie können beispielsweise denselben Wert für die folgenden zwei Tag-Schlüssel verwenden: Trinity
Schlüssel | Value (Wert) |
---|---|
project |
Trinity |
cost-center |
Trinity |
Wenn Sie innerhalb eines Buckets ein Tag hinzufügen, das denselben Schlüssel wie ein vorhandenes Tag hat, überschreibt der neue Wert den alten Wert.
AWS wendet Ihren Tags keine semantische Bedeutung an. Wir interpretieren Markierungen streng als Zeichenfolgen.
Um Tags hinzuzufügen, aufzulisten, zu ändern oder zu löschen, können Sie die Amazon S3 S3-Konsole, die AWS Befehlszeilenschnittstelle (AWS CLI) oder die Amazon S3 S3-API verwenden.
Gängige Methoden zur Verwendung von Tags
Verwenden Sie Tags in Ihren S3-Verzeichnis-Buckets für:
-
Kostenzuweisung — Verfolgen Sie die Speicherkosten anhand des Bucket-Tags. AWS Fakturierung und Kostenmanagement
-
Attributbasierte Zugriffskontrolle (ABAC) — Skalieren Sie die Zugriffsberechtigungen und gewähren Sie Zugriff auf S3-Verzeichnis-Buckets auf der Grundlage ihrer Tags.
Anmerkung
Sie können dieselben Tags sowohl für die Kostenzuweisung als auch für die Zugriffskontrolle verwenden.
Verwenden von Tags für die Kostenzuweisung
Verfolgen Sie Ihre Amazon S3 S3-Speicherkosten, indem Sie Tags auf S3-Verzeichnis-Buckets anwenden und diese Tags für die Kostenzuweisung aktivieren.
Um mit der Kostenverfolgung zu beginnen:
-
Fügen Sie Tags zu Ihren S3-Verzeichnis-Buckets hinzu oder verwenden Sie vorhandene Tags. Weitere Informationen zum Hinzufügen von benutzerdefinierten Tags zu Ihren Verzeichnis-Buckets finden Sie unter. Mit Tags arbeiten Sie können Buckets beispielsweise mit einem Tag kennzeichnen, das ein Projekt oder eine Gruppe von Projekten identifiziert.
-
Aktivieren Sie die Tags für die Kostenzuweisung in der AWS Fakturierung und Kostenmanagement Konsole. Weitere Informationen finden Sie im AWS Fakturierung und Kostenmanagement Benutzerhandbuch unter Aktivieren von benutzerdefinierten Kostenzuweisungs-Tags. Sie können benutzerdefinierte oder AWS generierte Tags aktivieren. Weitere Informationen finden Sie unter Kosten mithilfe von AWS Kostenzuordnungs-Tags organisieren und nachverfolgen.
AWS verwendet die aktivierten Tags, um Ihre Ressourcenkosten in verschiedenen Abrechnungs- und Kostenmanagement-Tools zu organisieren, z. B.:
-
Bericht zur Kostenverteilung
Bietet einen allgemeinen Überblick über die Kosten, die nach Ihren aktivierten Stichwörtern geordnet sind. Weitere Informationen finden Sie unter Verwenden des monatlichen Kostenzuordnungsberichts im AWS Billing User Guide.
-
Kosten- und Nutzungsbericht (CUR)
Bietet die detailliertesten AWS Kosten- und Nutzungsdaten, einschließlich Tag-basierter Kostenaufschlüsselungen. Weitere Informationen finden Sie unter Was sind AWS Kosten- und Nutzungsberichte? im AWS Datenexport-Benutzerhandbuch.
Verwendung von Tags für die attributbasierte Zugriffskontrolle (ABAC)
Die attributebasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen auf der Grundlage von Attributen, d. h. Tags, definiert werden. Sie können Tags an AWS Identity and Access Management (IAM-) Entitäten (Benutzer oder Rollen) und an AWS Ressourcen wie Amazon S3-Verzeichnis-Buckets anhängen. Anschließend kontrollieren Sie die Berechtigungen für diese Ressourcen mithilfe von tagbasierten Bedingungen in Zugriffskontrollrichtlinien, um Vorgänge zuzulassen oder zu verweigern, wenn diese Bedingungen erfüllt sind.
ABAC für S3-Verzeichnis-Buckets
Amazon S3 S3-Verzeichnis-Buckets unterstützen die attributebasierte Zugriffskontrolle (ABAC) mithilfe von Tags. Verwenden Sie tagbasierte Bedingungsschlüssel in Ihren AWS Organisations-, IAM- und S3-Verzeichnis-Bucket-Richtlinien. Für Unternehmen unterstützt ABAC in Amazon S3 die Autorisierung über mehrere AWS Konten hinweg.
In Ihren IAM-Richtlinien können Sie den Zugriff auf S3-Verzeichnis-Buckets anhand der Bucket-Tags steuern, indem Sie die folgenden globalen Bedingungsschlüssel verwenden:
-
aws:ResourceTag/key-name
-
Verwenden Sie diesen Schlüssel, um das Tag-Schlüssel-Wert-Paar, das Sie in der Richtlinie angeben, mit dem Schlüssel-Wert-Paar zu vergleichen, das der Ressource zugeordnet ist. Beispiel: Sie können verlangen, dass der Zugriff auf eine Ressource nur gewährt wird, wenn die Ressource über den angefügten Tag-Schlüssel
Dept
mit dem WertMarketing
verfügt. Weitere Informationen finden Sie unter Steuern des Zugriffs auf AWS Ressourcen.
-
-
aws:RequestTag/key-name
-
Verwenden Sie diesen Schlüssel, um das Tag-Schlüssel-Wert-Paar, das in der Anforderung übergeben wurde, mit dem Tag-Paar zu vergleichen, das Sie in der Richtlinie angeben. Sie können beispielsweise prüfen, ob die Anforderung den Tag-Schlüssel
Dept
enthält und dieser den WertAccounting
hat. Weitere Informationen finden Sie unter Steuern des Zugriffs bei AWS Anfragen. Sie können diesen Bedingungsschlüssel verwenden, um einzuschränken, welche Tag-Schlüssel-Wert-Paare während derTagResource
CreateBucket
API-Operationen übergeben werden können.
-
-
aws:TagKeys
-
Verwenden Sie diesen Schlüssel, um die Tag-Schlüssel in einer Anforderung mit den Schlüsseln zu vergleichen, die Sie in der Richtlinie angeben. Wir empfehlen, dass Sie bei der Verwendung von Richtlinien zur Zugriffskontrolle mithilfe von Tags den
aws:TagKeys
-Bedingungsschlüssel verwenden, um festzulegen, welche Tag-Schlüssel zulässig sind. Beispiele für Richtlinien und weitere Informationen finden Sie unter Steuern des Zugriffs anhand von Tagschlüsseln. Sie können einen S3-Verzeichnis-Bucket mit Tags erstellen. Um das Tagging während desCreateBucket
API-Vorgangs zu ermöglichen, müssen Sie eine Richtlinie erstellen, dies3express:TagResource
sowohl dies3express:CreateBucket
Aktionen als auch umfasst. Anschließend können Sie mithilfe desaws:TagKeys
Bedingungsschlüssels die Verwendung bestimmter Tags in derCreateBucket
Anfrage erzwingen.
-
-
s3express:BucketTag/tag-key
-
Verwenden Sie diesen Bedingungsschlüssel, um mithilfe von Tags Berechtigungen für bestimmte Daten in Verzeichnis-Buckets zu erteilen. Beim Zugriff auf einen Verzeichnis-Bucket über einen Access Point verweist dieser Bedingungsschlüssel sowohl bei der Autorisierung für den Access Point als auch für den Directory-Bucket auf die Tags im Verzeichnis-Bucket, während der
aws:ResourceTag/tag-key
nur auf die Tags der Ressource verweist, für die er autorisiert wurde.
-
Beispielrichtlinien
Sehen Sie sich das folgende Beispiel für ABAC-Richtlinien für Amazon S3 S3-Verzeichnis-Buckets an.
1.1 — IAM-Richtlinie zum Erstellen oder Ändern von Buckets mit bestimmten Tags
In dieser IAM-Richtlinie können Benutzer oder Rollen mit dieser Richtlinie nur S3-Verzeichnis-Buckets erstellen, wenn sie den Bucket mit dem Tag-Schlüssel project
und dem Tag-Wert Trinity
in der Bucket-Erstellungsanfrage kennzeichnen. Sie können auch Tags zu vorhandenen S3-Verzeichnis-Buckets hinzufügen oder ändern, sofern die TagResource
Anfrage das Tag-Schlüssel-Wert-Paar enthält. project:Trinity
Diese Richtlinie gewährt keine Lese-, Schreib- oder Löschberechtigungen für die Buckets oder ihre Objekte.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateBucketWithTags", "Effect": "Allow", "Action": [ "s3express:CreateBucket", "s3express:TagResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/project": [ "
Trinity
" ] } } } ] }
1.2 — Bucket-Richtlinie zur Einschränkung von Vorgängen im Bucket mithilfe von Tags
In dieser Bucket-Richtlinie können IAM-Prinzipale (Benutzer und Rollen) nur dann Operationen mithilfe der CreateSession
Aktion für den Bucket ausführen, wenn der Wert des project
Bucket-Tags mit dem Wert des project
Prinzipal-Tags übereinstimmt.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowObjectOperations", "Effect": "Allow", "Principal": { "AWS": "
111122223333
" }, "Action": "s3express:CreateSession", "Resource": "arn:aws:s3express:us-west-2
:111122223333
:bucket/", "Condition": { "StringEquals": { "aws:ResourceTag/project": "${aws:PrincipalTag/project}" } } } ] }
amzn-s3-demo-bucket--usw2-az1--x-s3
1.3 — IAM-Richtlinie zur Änderung von Tags auf vorhandenen Ressourcen unter Beibehaltung der Tagging-Governance
In dieser IAM-Richtlinie können IAM-Prinzipale (Benutzer oder Rollen) Tags in einem Bucket nur ändern, wenn der Wert des Bucket-Tags mit dem Wert des project
Prinzipal-Tags übereinstimmt. project
Nur die vier in den aws:TagKeys
Bedingungsschlüsseln cost-center
angegebenen Tags project
environment
owner
,, und sind für diese Verzeichnis-Buckets zulässig. Dies hilft, die Tag-Governance durchzusetzen, verhindert unbefugte Tag-Änderungen und sorgt dafür, dass das Tagging-Schema in Ihren Buckets konsistent bleibt.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnforceTaggingRulesOnModification", "Effect": "Allow", "Action": [ "s3express:TagResource" ], "Resource": "arn:aws:s3express:*:*:bucket/*", "Condition": { "StringEquals": { "aws:ResourceTag/project": "${aws:PrincipalTag/project}" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "
project
", "environment
", "owner
", "cost-center
" ] } } } ] }
1.4 — Verwendung des Bedingungsschlüssels s3express: BucketTag
In dieser IAM-Richtlinie erlaubt die Bedingungsanweisung den Zugriff auf die Daten des Buckets nur, wenn der Bucket den Tag-Schlüssel Environment
und den Tag-Wert hat. Production
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToSpecificAccessPoint", "Effect": "Allow", "Action": "*", "Resource": "arn:aws:s3express:*:*:accesspoint/*", "Condition": { "StringEquals": { "s3express:BucketTag/Environment": "Production" } } } ] }
Mit Tags arbeiten
Sie können Tags für S3-Verzeichnis-Buckets mithilfe der Amazon S3 S3-Konsole, der AWS Befehlszeilenschnittstelle (CLI) AWS SDKs, der oder mithilfe von S3 APIs: TagResourceUntagResource, und ListTagsForResourcehinzufügen oder verwalten. Weitere Informationen finden Sie unter: