View a markdown version of this page

Identitätsbasierte IAM-Richtlinien für Verzeichnis-Buckets - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Identitätsbasierte IAM-Richtlinien für Verzeichnis-Buckets

Bevor Sie Verzeichnis-Buckets erstellen können, müssen Sie Ihrer AWS Identity and Access Management (IAM)-Rolle oder Ihren -Benutzern die erforderlichen Berechtigungen erteilen. Diese Beispielrichtlinie ermöglicht den Zugriff auf den CreateSession-API-Vorgang (zur Verwendung mit API-Vorgängen auf zonalem Endpunkt [Objektebene]) und auf alle API-Operationen des regionalen Endpunkts (Bucket-Ebene). Diese Richtlinie ermöglicht die Verwendung des CreateSession-API-Vorgangs mit allen Verzeichnis-Buckets, aber die API-Operationen für regionale Endpunkte sind nur für die Verwendung mit dem angegebenen Verzeichnis-Bucket zulässig. Wenn Sie diese Beispielrichtlinie verwenden möchten, ersetzen Sie user input placeholders durch Ihre eigenen Informationen.

Anmerkung

Es hat sich bewährt, nur die Berechtigungen zu gewähren, die für die Ausführung einer Aufgabe erforderlich sind (geringste Rechte). Entfernen Sie alle Aktionen aus dieser Richtlinie, die für Ihren Anwendungsfall nicht erforderlich sind. Eine vollständige Liste der S3 Express One Zone-Aktionen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für S3 Express One Zone in der Serviceautorisierungsreferenz.

Beispiel— Identity-based Richtlinie für den Zugriff auf Verzeichnis-Buckets
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowRegionalEndpointAPIs",
            "Effect": "Allow",
            "Action": [
                "s3express:CreateBucket",
                "s3express:DeleteBucket",
                "s3express:DeleteBucketPolicy",
                "s3express:GetBucketPolicy",
                "s3express:PutBucketPolicy",
                "s3express:GetEncryptionConfiguration",
                "s3express:PutEncryptionConfiguration",
                "s3express:GetLifecycleConfiguration",
                "s3express:PutLifecycleConfiguration",
                "s3express:GetInventoryConfiguration",
                "s3express:PutInventoryConfiguration",
                "s3express:GetMetricsConfiguration",
                "s3express:PutMetricsConfiguration"
            ],
            "Resource": "arn:aws:s3express:region:account-id:bucket/bucket-base-name--zone-id--x-s3"
        },
        {
            "Sid": "AllowListAndCreateSession",
            "Effect": "Allow",
            "Action": [
                "s3express:ListAllMyDirectoryBuckets",
                "s3express:CreateSession"
            ],
            "Resource": "*"
        }
    ]
}

Diese Richtlinie besteht aus zwei Aussagen:

  • Die erste Anweisung gewährt Berechtigungen für API-Operationen auf regionalen Endpunkten (Bucket-Ebene) in einem bestimmten Verzeichnis-Bucket. Sie können Aktionen entfernen, die Sie für Ihren Anwendungsfall nicht benötigen.

  • Die zweite Anweisung gewährt Berechtigungen für ListAllMyDirectoryBuckets undCreateSession. Diese Aktionen unterstützen keine Berechtigungen auf Ressourcenebene, also ist es so. Resource "*" Die CreateSession Berechtigung aktiviert alle API-Operationen für zonale Endpunkte (Objektebene), wie, und. PutObject GetObject DeleteObject