Richtlinienbeispiele für ACLs
Sie können den Zugriff auf Amazon S3 über Bedingungsschlüssel in Bucket-Richtlinien steuern.
Themen
Erteilen der s3:PutObject-Berechtigung mit einer Bedingung, die erfordert, dass der Bucket-Eigentümer die vollständige Kontrolle erhält
Die Operation PUT Object erlaubt Access Control List (ACL)-spezifische Header, mit denen Sie ACL-spezifische Berechtigungen erteilen können. Mit diesen Schlüsseln kann der Bucket-Eigentümer eine Bedingung festlegen, die bestimmte Zugriffsberechtigungen erfordert, wenn der Benutzer ein Objekt hochlädt.
Angenommen, Konto A besitzt einen Bucket und der Kontoadministrator möchte Dave, einem Benutzer in Konto B, Berechtigungen zum Hochladen von Objekten erteilen. Standardmäßig gehören Objekte, die Dave hochgeladen hat, zu Konto B, und Konto A besitzt keine Berechtigungen für diese Objekte. Da der Bucket-Eigentümer die Rechnungen bezahlt, benötigt er volle Berechtigungen für die Objekte, die Dave hochlädt. Der Administrator von Konto A kann für diesen Zweck Dave die Berechtigung s3:PutObject erteilen. Dies erfolgt unter der Bedingung, dass die Anforderung ACL-spezifische Header enthält, die die vollständige Berechtigung explizit gewähren oder eine vordefinierte ACL verwenden. Weitere Informationen finden Sie unter PUT Object.
Erfordert den x-amz-full-control-Header
Sie können in der Anforderung den Header x-amz-full-control mit vollständiger Kontrollberechtigung für den Bucket-Eigentümer anfordern. Die folgende Bucket-Richtlinie erteilt dem Benutzer Dave die Berechtigung s3:PutObject mit einer Bedingung, die den Bedingungsschlüssel s3:x-amz-grant-full-control enthält, in die Anforderung den Header x-amz-full-control aufzunehmen.
Anmerkung
In diesem Beispiel geht es um die kontoübergreifende Berechtigung. Wenn Dave (der die Berechtigung erhält) jedoch zu dem AWS-Konto gehört, das den Bucket besitzt, ist diese bedingte Berechtigung nicht erforderlich. Grund hierfür ist, dass das übergeordnete Konto, dem Dave angehört, Eigentümer von Objekten ist, die der Benutzer hochlädt.
Hinzufügen einer expliziten Zugriffsverweigerung
Die vorherige Bucket-Richtlinie erteilt dem Benutzer Dave in Konto B eine bedingte Berechtigung. Während diese Richtlinie in Kraft ist, ist es Dave möglich, die gleiche Berechtigung ohne Bedingung über eine andere Richtlinie zu erhalten. Beispiel: Dave kann einer Gruppe angehören, der Sie die Berechtigung s3:PutObject bedingungslos erteilen. Um solche Berechtigungslücken zu vermeiden, können Sie eine strengere Zugriffsrichtlinie schreiben, indem Sie eine explizite Zugriffsverweigerung hinzufügen. In diesem Beispiel verweigern Sie explizit die Upload-Berechtigung für Benutzer Dave, wenn er nicht die erforderlichen Header in die Anforderung einbindet, die dem Bucket-Eigentümer volle Berechtigungen gewährt. Eine explizite Verweigerung ersetzt immer eine anderswo erteilte Erlaubnis. Im Folgenden finden Sie das geänderte Zugriffsrichtlinienbeispiel mit hinzugefügter expliziter Ablehnung.
Testen der Richtlinie mit der AWS CLI
Wenn Sie zwei AWS-Konten haben, können Sie die Richtlinie mit AWS Command Line Interface (AWS CLI) testen. Sie fügen die Richtlinie an und verwenden die Anmeldeinformationen von Dave, um die Berechtigung mit dem AWS CLI-Befehl put-object zu testen. Sie stellen dem Benutzer Dave die Anmeldeinformationen bereit, indem Sie den Parameter --profile hinzufügen. Sie erteilen dem Bucket-Eigentümer die volle Kontrolle, indem Sie den Parameter --grant-full-control hinzufügen. Weitere Informationen zur Einrichtung und Verwendung der AWS CLI finden Sie unter Entwickeln mit Amazon S3 über die AWS CLI in der API-Referenz zu Amazon S3.
aws s3api put-object --bucketexamplebucket--key HappyFace.jpg --body c:\HappyFace.jpg --grant-full-control id="AccountA-CanonicalUserID" --profile AccountBUserProfile
Erfordert den x-amz-acl-Header
Sie können den Header x-amz-acl mit einer vordefinierten ACL anfordern, die dem Bucket-Eigentümer die vollständige Kontrollberechtigung erteilt. Um den Header x-amz-acl in der Anforderung erforderlich zu machen, können Sie das Schlüssel-Wert-Paar im Block Condition ersetzen und den Bedingungsschlüssel s3:x-amz-acl wie im folgenden Beispiel dargestellt angeben.
"Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } }
Um die Berechtigung mithilfe der AWS CLI zu testen, geben Sie den Parameter --acl an. Die AWS CLI fügt dann beim Senden der Anforderung den Header x-amz-acl hinzu.
aws s3api put-object --bucketexamplebucket--key HappyFace.jpg --body c:\HappyFace.jpg --acl "bucket-owner-full-control" --profile AccountBadmin
Erteilen der s3:PutObject-Berechtigung mit einer Bedingung für den x-amz-acl-Header
Die folgende Bucket-Richtlinie erteilt die s3:PutObject-Berechtigung für zwei AWS-Konten, wenn die Anforderung den Header x-amz-acl enthält, durch den das Objekt öffentlich lesbar ist. Der Condition-Block verwendet die StringEquals-Bedingung und ist mit dem Schlüssel-Wert-Paar "s3:x-amz-acl":["public-read"] zur Auswertung versehen. Im Schlüssel-Wert-Paar ist s3:x-amz-acl ein Amazon S3–spezifischer Schlüssel, wie durch das Präfix s3: angezeigt ist.
Wichtig
Nicht alle Bedingungen machen für alle Aktionen auch Sinn. Beispielsweise ist es sinnvoll, die Bedingung s3:LocationConstraint für eine Richtlinie einzufügen, die die Amazon-S3-Berechtigung s3:CreateBucket erteilt. Es ist jedoch nicht sinnvoll, diese Bedingung in eine Richtlinie aufzunehmen, die die s3:GetObject-Genehmigung erteilt. Amazon S3 kann auf semantische Fehler dieses Typs testen, die Amazon-S3-spezifische Bedingungen beinhalten. Wenn Sie jedoch eine Richtlinie für eine(n) IAM-Benutzer oder -Rolle erstellen und eine semantisch ungültige Amazon-S3-Bedingung einfügen, wird kein Fehler gemeldet, weil IAM keine Amazon-S3-Bedingungen validieren kann.
