Festlegen von Object Ownership beim Erstellen eines Buckets - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Festlegen von Object Ownership beim Erstellen eines Buckets

Wenn Sie einen Bucket erstellen, können Sie S3 Object Ownership konfigurieren. Informationen zum Festlegen von Object Ownership für einen vorhandenen Bucket finden Sie unter Einstellung für Object Ownership für einen vorhandenen Bucket.

S3 Object Ownership ist eine Einstellung auf Amazon S3-Bucket-Ebene, mit der Sie Zugriffskontrolllisten (ACLs) deaktivieren und die Verantwortung für jedes Objekt in Ihrem Bucket übernehmen können, wodurch die Zugriffsverwaltung für in Amazon S3 gespeicherte Daten vereinfacht wird. Standardmäßig ist für S3 Object Ownership die erzwungene Einstellung Bucket Owner festgelegt und ACLs für neue Buckets deaktiviert. Bei ACLs deaktivierter Option besitzt der Bucket-Besitzer jedes Objekt im Bucket und verwaltet den Zugriff auf Daten ausschließlich mithilfe von Zugriffsverwaltungsrichtlinien. Wir empfehlen, die ACLs Option deaktiviert zu lassen, außer in Ausnahmefällen, in denen Sie den Zugriff für jedes Objekt einzeln steuern müssen.

Object Ownership verfügt über drei Einstellungen, mit denen Sie den Besitz von in Ihren Bucket hochgeladenen Objekten kontrollieren und deaktivieren oder aktivieren können ACLs:

ACLs deaktiviert

  • Bucket Owner erforced (Standard) — ACLs sind deaktiviert, und der Bucket-Besitzer besitzt automatisch jedes Objekt im Bucket und hat die volle Kontrolle darüber. ACLs wirkt sich nicht mehr auf die Berechtigungen für Daten im S3-Bucket aus. Der Bucket verwendet Richtlinien, um die Zugriffssteuerung zu definieren.

ACLs enabled

  • Bucket-Eigentümer bevorzugt – Der Bucket-Eigentümer besitzt und hat die volle Kontrolle über neue Objekte, die andere Konten mit der bucket-owner-full-control-vordefinierten ACL.

  • Objekt-Writer — AWS-Konto Derjenige, der ein Objekt hochlädt, besitzt das Objekt, hat die volle Kontrolle darüber und kann anderen Benutzern Zugriff darauf gewähren. ACLs

Berechtigungen: Um die Einstellung Bucket-Eigentümer erzwungen oder Bucket-Eigentümer bevorzugt anzuwenden, müssen Sie über die folgenden Berechtigungen verfügen: s3:CreateBucket und s3:PutBucketOwnershipControls. Wenn Sie einen Bucket mit aktivierter Einstellung Object writer (Objektschreiber), sind keine zusätzlichen Berechtigungen erforderlich. Weitere Informationen zu Amazon-S3-Berechtigungen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3 in der Service-Authorization-Referenz.

Weitere Informationen zu den Berechtigungen für S3-API-Operationen nach S3-Ressourcentypen finden Sie unter Erforderliche Berechtigungen für Amazon-S3-API-Operationen.

Wichtig

In den meisten modernen Anwendungsfällen in Amazon S3 ist die Verwendung von nicht mehr erforderlich ACLs, und wir empfehlen, diese zu deaktivieren, ACLs außer in ungewöhnlichen Fällen, in denen Sie den Zugriff für jedes Objekt einzeln steuern müssen. Mit Object Ownership können Sie Richtlinien für die Zugriffskontrolle deaktivieren ACLs und sich auf diese verlassen. Wenn Sie die Option deaktivieren ACLs, können Sie ganz einfach einen Bucket mit Objekten verwalten, die von verschiedenen AWS Konten hochgeladen wurden. Sie als Bucket-Eigentümer besitzen alle Objekte im Bucket und können den Zugriff darauf mithilfe von Richtlinien verwalten.

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie in der Navigationsleiste oben auf der Seite den Namen der aktuell angezeigten Datei aus AWS-Region. Wählen Sie anschließend die Region aus, in der Sie einen Bucket erstellen möchten.

    Anmerkung

    • Die Region einmal erstellter Buckets kann nicht nachträglich geändert werden.

    • Wählen Sie eine Region in der Nähe aus, um Latenz und Kosten gering zu halten und behördliche Vorschriften zu erfüllen. In einer Region gespeicherte Objekte verbleiben so lange in der Region, bis sie explizit in eine andere Region verschoben werden. Eine Liste von Amazon S3 finden Sie AWS-Regionen unter AWS-Service Endpoints in der Allgemeine Amazon Web Services-Referenz.

  3. Wählen Sie im linken Navigationsbereich Allzweck-Buckets aus.

  4. Wählen Sie Create Bucket (Bucket erstellen) aus. Anschließend wird die Seite Bucket erstellen geöffnet.

  5. Geben Sie unter Bucket Name (Bucket-Name) einen Namen für den Bucket ein.

    Der Bucket-Name ...:

    • Muss innerhalb einer Partition einzigartig sein. Eine Partition ist eine Gruppierung von Regionen. AWS hat derzeit drei Partitionen: aws (kommerzielle Regionen), aws-cn (China Regionen) und aws-us-gov (AWS GovCloud (US) Regions).

    • Muss zwischen 3 und 63 Zeichen lang sein.

    • Besteht nur aus Kleinbuchstaben, Zahlen, Punkten (.) und Bindestrichen (). - Aus Gründen der Kompatibilität empfehlen wir, die Verwendung von Punkten (.) in Bucket-Namen zu vermeiden, mit Ausnahme von Buckets, die nur für statisches Website-Hosting verwendet werden.

    • Muss mit einer Zahl oder einem Buchstaben beginnen und enden.

    • Eine vollständige Liste der Regeln zur Benennung von Buckets finden Sie unter. Benennungsregeln für Allzweck-Buckets

    Wichtig

    • Der Name eines einmal erstellten Buckets kann nicht nachträglich geändert werden.

    • Nehmen Sie keine vertraulichen Informationen in den Bucket-Namen auf. Der Bucket-Name ist in dem Bereich sichtbar URLs, der auf die Objekte im Bucket verweist.

  6. (Optional) Unter Allgemeine Konfiguration können Sie wählen, ob Sie die Einstellungen eines vorhandenen Buckets in Ihren neuen Bucket kopieren möchten. Wenn Sie die Einstellungen eines vorhandenen Buckets nicht kopieren möchten, fahren Sie mit dem nächsten Schritt fort.

    Anmerkung

    Diese Option:

    • Ist in der Amazon S3-Konsole nicht verfügbar AWS CLI und ist nur in der Amazon S3 S3-Konsole verfügbar

    • Kopiert die Bucket-Richtlinie nicht aus dem vorhandenen Bucket in den neuen Bucket

    Um die Einstellungen eines vorhandenen Buckets zu kopieren, wählen Sie unter Einstellungen aus vorhandenem Bucket kopieren die Option Bucket auswählen aus. Das Fenster Bucket auswählen wird geöffnet. Suchen Sie den Bucket mit den Einstellungen, die Sie kopieren möchten, und wählen Sie Bucket auswählen aus. Das Fenster „Bucket auswählen“ wird geschlossen, und das Fenster „Bucket erstellen“ wird erneut geöffnet.

    Unter Einstellungen aus vorhandenem Bucket kopieren wird nun der Name des ausgewählten Buckets angezeigt. Die Einstellungen Ihres neuen Buckets stimmen jetzt mit den Einstellungen des Buckets überein, den Sie ausgewählt haben. Wenn Sie die kopierten Einstellungen entfernen möchten, wählen Sie Standardwerte wiederherstellen. Überprüfen Sie die verbleibenden Bucket-Einstellungen auf der Seite Bucket erstellen. Wenn Sie keine Änderungen vornehmen möchten, können Sie mit dem letzten Schritt fortfahren.

  7. Wählen Sie unter Object Ownership eine der folgenden Einstellungen aus, um die Inhaberschaft von Objekten, die in Ihren Bucket hochgeladen wurden, zu deaktivieren oder zu aktivieren ACLs und zu kontrollieren:

    ACLs deaktiviert

    • Bucket-Besitzer erzwungen (Standard) — ACLs sind deaktiviert, und der Bucket-Besitzer besitzt automatisch jedes Objekt im Allzweck-Bucket und hat die volle Kontrolle darüber. ACLs wirken sich nicht mehr auf die Zugriffsberechtigungen für Daten im S3-Allzweck-Bucket aus. Der Bucket verwendet ausschließlich Richtlinien, um die Zugriffssteuerung zu definieren.

      ACLs sind standardmäßig deaktiviert. Für die meisten modernen Anwendungsfälle in Amazon S3 ist die Verwendung von nicht mehr erforderlich ACLs. Wir empfehlen, die ACLs Option weiterhin zu deaktivieren, außer in Ausnahmefällen, in denen Sie den Zugriff für jedes Objekt einzeln steuern müssen. Weitere Informationen finden Sie unter Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket.

    ACLs enabled

    • Bucket-Eigentümer bevorzugt – Der Bucket-Eigentümer besitzt und hat die volle Kontrolle über neue Objekte, die andere Konten mit der bucket-owner-full-control-vordefinierten ACL.

      Wenn Sie die Einstellung Bucket-Eigentümer bevorzugt anwenden, damit alle Amazon-S3-Uploads die von bucket-owner-full-control vordefinierte ACL enthalten, können Sie eine Bucket-Richtlinie hinzufügen, die nur Objekt-Uploads zulässt, die diese ACL verwenden.

    • Objektschreiber — AWS-Konto Derjenige, der ein Objekt hochlädt, besitzt das Objekt, hat die volle Kontrolle darüber und kann anderen Benutzern Zugriff darauf gewähren. ACLs

    Anmerkung

    Die Standardeinstellung ist Bucket-Eigentümer erzwungen. Um die Standardeinstellung anzuwenden und ACLs deaktiviert zu lassen, ist nur die s3:CreateBucket entsprechende Berechtigung erforderlich. Zum Aktivieren ACLs benötigen Sie die s3:PutBucketOwnershipControls entsprechende Genehmigung.

  8. Wählen Sie unter Einstellungen "Öffentlichen Zugriff beschränken" für diesen Bucket die Einstellungen zum Beschränken des öffentlichen Zugriffs aus, die Sie auf den Bucket anwenden möchten.

    Alle vier Einstellungen zum Blockieren des öffentlichen Zugriffs sind standardmäßig aktiviert. Es wird empfohlen, alle Einstellungen aktiviert zu lassen, es sei denn, Sie wissen, dass Sie eine oder mehrere dieser Einstellungen für Ihren Anwendungsfall deaktivieren müssen. Weitere Informationen zum Blockieren des öffentlichen Zugriffs finden Sie unter Blockieren des öffentlichen Zugriffs auf Ihren Amazon-S3-Speicher.

    Anmerkung

    Zum Aktivieren aller Einstellungen zum Blockieren des öffentlichen Zugriffs ist nur die s3:CreateBucket-Berechtigung erforderlich. Wenn Sie eine der Einstellungen zum Blockieren des öffentlichen Zugriffs deaktivieren möchten, benötigen Sie die s3:PutBucketPublicAccessBlock-Berechtigung.

  9. (Optional) Standardmäßig ist Bucket Versioning deaktiviert. Das Versioning ermöglicht Ihnen, mehrere Versionen eines Objekts im selben Bucket aufzubewahren. Sie können Versioning verwenden, um sämtliche Versionen aller Objekte in Ihrem Bucket zu speichern, abzurufen oder wiederherzustellen. Daten lassen sich dank Versioning nach unbeabsichtigten Benutzeraktionen und Anwendungsfehlern leichter wiederherstellen. Weitere Informationen über das Versioning finden Sie unter Beibehalten mehrerer Versionen von Objekten mit der S3-Versionsverwaltung.

    Um die Versionierung für Ihren Bucket zu aktivieren, wählen Sie Aktivieren aus.

  10. (Optional) Unter Tags können Sie auswählen, ob Sie Ihrem Bucket Tags hinzufügen möchten. Bei der AWS Kostenzuweisung können Sie Bucket-Tags verwenden, um die Abrechnung für Ihre Nutzung eines Buckets mit Anmerkungen zu versehen. Ein Tag ist ein Schlüssel-Wert-Paar, das eine Bezeichnung repräsentiert, die Sie einem Bucket zuweisen. Weitere Informationen finden Sie unter Verwenden von Kostenzuordnungs-Markierungen für S3-Buckets.

    Wenn Sie ein Bucket-Tag hinzuzufügen, geben Sie einen Key (Schlüssel) und optional einen Value (Wert) ein. Wählen Sie dann Add Tag (Tag hinzufügen) aus.

  11. Um die Standardverschlüsselung zu konfigurieren, wählen Sie unter Verschlüsselungstyp eine der folgenden Optionen aus:

    • Serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3)

    • Serverseitige Verschlüsselung mit AWS Key Management Service Schlüsseln (SSE-KMS)

    • Zweischichtige serverseitige Verschlüsselung mit AWS Key Management Service () Schlüsseln (AWS KMS DSSE-KMS)

      Wichtig

      Wenn Sie die Option SSE-KMS oder DSSE-KMS für Ihre Standardverschlüsselungskonfiguration verwenden, unterliegen Sie dem RPS-Kontingent (Anfragen pro Sekunde) von. AWS KMSWeitere Informationen zu AWS KMS Kontingenten und zur Beantragung einer Kontingenterhöhung finden Sie unter Kontingente im Entwicklerhandbuch.AWS Key Management Service

    Buckets und neue Objekte werden mithilfe einer serverseitigen Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3) als Basisebene der Verschlüsselungskonfiguration verschlüsselt. Weitere Informationen zur Standardverschlüsselung finden Sie unter Einstellen des Verhaltens der serverseitigen Verschlüsselung für Amazon S3-Buckets. Weitere Informationen zu SSE-S3 finden Sie unter Verwenden serverseitiger Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3).

    Weitere Informationen zur Verwendung der serverseitigen Verschlüsselung zur Verschlüsselung Ihrer Daten finden Sie unter. Datenschutz durch Verschlüsselung

  12. Wenn Sie sich für serverseitige Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3) oder Serverseitige Dual-Layer-Verschlüsselung mit AWS Key Management Service () -Schlüsseln (DSSE-KMS AWS KMS) entschieden haben, gehen Sie wie folgt vor:

    1. Geben Sie unter AWS KMS -Schlüssel Ihren KMS-Schlüssel auf eine der folgenden Arten an:

      • Um aus einer Liste verfügbarer KMS-Schlüssel auszuwählen, wählen Sie Wählen Sie aus Ihrem und wählen Sie Ihren AWS KMS keys KMS-Schlüssel aus der Liste der verfügbaren Schlüssel aus.

        Sowohl der Von AWS verwalteter Schlüssel (aws/s3) als auch Ihr vom Kunden verwalteter Schlüssel werden in dieser Liste angezeigt. Weitere Informationen über vom Kunden verwaltete Schlüssel finden Sie unter Kundenschlüssel und AWS -Schlüssel im Entwicklerhandbuch zu AWS Key Management Service .

      • Wählen Sie zum Eingeben des KMS-Schlüssel-ARN AWS KMS key -ARN eingeben aus und geben Sie Ihren KMS-Schlüssel-ARN in das angezeigte Feld ein.

      • Um einen neuen vom Kunden verwalteten Schlüssel in der AWS KMS Konsole zu erstellen, wählen Sie Create a KMS Key aus.

        Weitere Informationen zum Erstellen eines finden Sie AWS KMS key unter Creating Keys im AWS Key Management Service Developer Guide.

      Wichtig

      Sie können nur KMS-Schlüssel verwenden, die im selben AWS-Region Bucket verfügbar sind. Die Amazon-S3-Konsole führt nur die ersten 100 KMS-Schlüssel auf, die in derselben Region wie der Bucket verfügbar sind. Um einen KMS-Schlüssel zu verwenden, der nicht aufgeführt ist, müssen Sie Ihren KMS-Schlüssel-ARN eingeben. Wenn Sie einen KMS-Schlüssel verwenden möchten, der einem anderen Konto gehört, benötigen Sie zunächst die Berechtigung, den Schlüssel zu verwenden, und dann müssen Sie den KMS-Schlüssel ARN eingeben. Weitere Informationen zu kontoübergreifenden Berechtigungen für KMS-Schlüssel finden Sie im AWS Key Management Service Entwicklerhandbuch unter Erstellen von KMS-Schlüsseln, die von anderen Konten verwendet werden können. Weitere Informationen zu SSE-KMS finden Sie unter Angeben der serverseitigen Verschlüsselung mit AWS KMS -(SSE-KMS). Weitere Informationen zu DSSE-KMS finden Sie unter Verwendung der zweischichtigen serverseitigen Verschlüsselung mit AWS KMS Schlüsseln (DSSE-KMS).

      Wenn Sie einen AWS KMS key für die serverseitige Verschlüsselung in Amazon S3 verwenden, müssen Sie einen KMS-Schlüssel für die symmetrische Verschlüsselung wählen. Amazon S3 unterstützt nur KMS-Schlüssel mit symmetrischer Verschlüsselung und keine asymmetrischen KMS-Schlüssel. Weitere Informationen finden Sie unter Erkennen von symmetrischen und asymmetrischen KMS-Schlüsseln im Entwicklerhandbuch zu AWS Key Management Service .

    2. Wenn Sie Ihren Bucket so konfigurieren, dass er die Standardverschlüsselung mit SSE-KMS verwendet, können Sie auch S3 Bucket Keys verwenden. S3-Bucket-Keys senken die Kosten für die Verschlüsselung, indem sie den Anforderungsverkehr von Amazon S3 zu verringern AWS KMS. Weitere Informationen finden Sie unter Reduzieren des Preises von SSE-KMS mit Amazon-S3-Bucket-Schlüsseln. S3-Bucket-Schlüssel werden für DSSE-KMS nicht unterstützt.

      Standardmäßig sind S3 Bucket Keys in der Amazon S3 S3-Konsole aktiviert. Wir empfehlen, S3 Bucket Keys aktiviert zu lassen, um Ihre Kosten zu senken. Um S3 Bucket Keys für Ihren Bucket zu deaktivieren, wählen Sie unter Bucket Key die Option Disable aus.

  13. (Optional) S3 Object Lock schützt neue Objekte davor, gelöscht oder überschrieben zu werden. Weitere Informationen finden Sie unter Sperren von Objekten mit Object Lock. Wenn Sie S3 Object Lock aktivieren möchten, gehen Sie wie folgt vor:

    1. Wählen Sie Erweiterte Einstellungen aus.

      Wichtig

      Durch die Aktivierung von Object Lock wird automatisch die Versionierung für den Bucket aktiviert. Nachdem Sie den Bucket aktiviert und erfolgreich erstellt haben, müssen Sie auf der Registerkarte Eigenschaften des Buckets auch die Standardeinstellungen für Object Lock für die Aufbewahrung und den gesetzlichen Aufbewahrungszeitraum konfigurieren.

    2. Wenn Sie die Objektsperre aktivieren möchten, wählen Sie Enable (Aktivieren) aus, lesen Sie die angezeigte Warnung und bestätigen Sie sie.

    Anmerkung

    Um einen Bucket mit aktivierter Objektsperre zu erstellen, benötigen Sie die folgenden Berechtigungen: s3:CreateBuckets3:PutBucketVersioning, unds3:PutBucketObjectLockConfiguration.

  14. Wählen Sie Create Bucket (Bucket erstellen) aus.

Um den Objekteigentum festzulegen, wenn Sie einen neuen Bucket erstellen, verwenden Sie den create-bucket AWS CLI Befehl mit dem --object-ownership Parameter.

In diesem Beispiel wird die Einstellung „Bucket-Eigentümer erzwungen“ für einen neuen Bucket mithilfe der AWS CLI angewendet:

aws s3api create-bucket --bucket  amzn-s3-demo-bucket --region us-east-1 --object-ownership BucketOwnerEnforced
Wichtig

Wenn Sie bei der Erstellung eines Buckets mithilfe von keinen Objekteigentümer festlegen AWS CLI, ist die Standardeinstellung ObjectWriter (ACLs aktiviert).

In diesem Beispiel wird die Einstellung „Bucket-Eigentümer erzwungen“ für einen neuen Bucket mithilfe von AWS SDK für Java festgelegt:

    // Build the ObjectOwnership for CreateBucket
    CreateBucketRequest createBucketRequest = CreateBucketRequest.builder()
            .bucket(bucketName)
            .objectOwnership(ObjectOwnership.BucketOwnerEnforced)
            .build()

     // Send the request to Amazon S3 
     s3client.createBucket(createBucketRequest);

Informationen dazu, wie Sie bei der Erstellung eines neuen Buckets mithilfe der AWS::S3::Bucket AWS CloudFormation Ressource Objektbesitz festlegen können, finden Sie OwnershipControlsAWS::S3::Bucketim AWS CloudFormation Benutzerhandbuch.

Wenn Sie die Einstellung „Bucket-Eigentümer erzwungen“ für S3 Object Ownership anwenden möchten, verwenden Sie die API-Operation CreateBucket, wobei der x-amz-object-ownership-Anforderungsheader auf BucketOwnerEnforced festgelegt ist. Weitere Informationen und Beispiele finden Sie unter CreateBucket in der API-Referenz zu Amazon Simple Storage Service.

Nächste Schritte: Nach der Anwendung der Einstellungen „Von Bucket-Besitzer erzwungen“ oder „Von Bucket-Besitzer bevorzugt“ auf den Objektbesitz können Sie die folgenden Schritte ausführen:

  • Bucket-Besitzer erzwungen — Erfordert, dass alle neuen Buckets mithilfe einer IAM- oder ACLs Organisationsrichtlinie mit deaktivierter Einstellung erstellt werden.

  • Bucket-Eigentümer bevorzugt- Fügen Sie eine S3-Bucket-Richtlinie hinzu, um die bucket-owner-full-control vordefinierte ACL für alle Objekt-Uploads in Ihren Bucket anzufordern.