Autorisieren regionaler Endpunkt-API-Operationen mit IAM - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Autorisieren regionaler Endpunkt-API-Operationen mit IAM

AWS Identity and Access Management (IAM) hilft Administratoren dabei AWS-Service , den Zugriff auf Ressourcen sicher zu kontrollieren. AWS IAM-Administratoren kontrollieren, wer authentifiziert (angemeldet) und autorisiert werden kann (über Berechtigungen verfügt), Amazon S3 S3-Ressourcen in Verzeichnis-Buckets und S3 Express One Zone-Vorgängen zu verwenden. Sie können IAM ohne zusätzliche Kosten nutzen.

Standardmäßig haben Benutzer keine Berechtigungen für Verzeichnis-Buckets. Um Zugriffsberechtigungen für Verzeichnis-Buckets zu gewähren, können Sie IAM verwenden, um Benutzer, Gruppen oder Rollen zu erstellen und diesen Identitäten Berechtigungen zuzuweisen. Weitere Informationen finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.

Um Zugriff zu gewähren, können Sie Ihren Benutzern, Gruppen oder Rollen auf die folgenden Weisen Berechtigungen hinzufügen:

Weitere Informationen zu IAM für S3 Express One Zone finden Sie in den folgenden Themen.

Prinzipale

Wenn Sie eine ressourcenbasierte Richtlinie erstellen, um Zugriff auf Ihre Buckets zu gewähren, müssen Sie das Principal-Element verwenden, um die Person oder Anwendung anzugeben, die eine Anforderung für eine Aktion oder einen Vorgang auf dieser Ressource stellen kann. Für Verzeichnis-Bucket-Richtlinien können Sie die folgenden Prinzipale verwenden:

  • Ein AWS Konto

  • Ein IAM-Benutzer

  • Eine IAM-Rolle

  • Ein Verbundbenutzer

Weitere Informationen finden Sie unter Principal im IAM-Benutzerhandbuch.

Ressourcen

Amazon-Ressourcennamen (ARNs) für Verzeichnis-Buckets enthalten den s3express Namespace, die AWS-Region, die AWS Konto-ID und den Verzeichnis-Bucket-Namen, der die AWS Zonen-ID enthält. (eine Availability Zone oder eine lokale Zonen-ID).

Wenn Sie auf Ihren Verzeichnis-Bucket zugreifen und Aktionen für diesen ausführen möchten, müssen Sie das folgende ARN-Format verwenden:

arn:aws:s3express:region:account-id:bucket/base-bucket-name--zone-id--x-s3

Um auf Ihren Access Point für einen Directory-Bucket zuzugreifen und Aktionen auf Ihrem Access Point auszuführen, müssen Sie das folgende ARN-Format verwenden:

arn:aws::s3express:region:account-id:accesspoint/accesspoint-basename--zone-id--xa-s3

Weitere Informationen zu ARNs finden Sie Amazon Resource Names (ARNs)im IAM-Benutzerhandbuch. Weitere Informationen zu Ressourcen finden Sie unter IAM-JSON-Richtlinienelemente: Resource im IAM-Benutzerhandbuch.

Aktionen für Verzeichnis-Buckets

In einer auf IAM-Identitäten oder auf Ressourcen basierenden Richtlinie legen Sie fest, welche S3--Aktionen zugelassen sind oder oder abgelehnt werden. Aktionen entsprechen bestimmten API-Operationen. Bei Verzeichnis-Buckets müssen Sie den S3 Express One Zone-Namespace verwenden, um Berechtigungen zu gewähren, genannt. s3express

Wenn Sie die s3express:CreateSession Erlaubnis erteilen, ruft der CreateSession API-Vorgang ein temporäres Sitzungstoken für alle API-Operationen (Objektebene) an zonalen Endpunkten ab. Das Sitzungstoken gibt Anmeldeinformationen zurück, die für alle anderen API-Operationen an zonalen Endpunkten verwendet werden. Daher gewähren Sie keine Zugriffsberechtigungen für zonale API-Operationen mit IAM-Richtlinien. CreateSessionAktiviert stattdessen den Zugriff für alle Operationen auf Objektebene. Eine Liste der zonalen API-Operationen und -Berechtigungen finden Sie unter Anfragen authentifizieren und autorisieren.

Weitere Informationen zum CreateSession-API-Vorgang finden Sie unter CreateSession in der Amazon-Simple-Storage-Service-API-Referenz.

Sie können die folgenden Aktionen im Element Action einer IAM-Richtlinienanweisung angeben. Verwenden Sie Richtlinien, um Berechtigungen zum Ausführen einer Operation in AWS zu erteilen. Wenn Sie eine Aktion in einer Richtlinie verwenden, gestatten oder verweigern Sie in der Regel den Zugriff auf den API-Vorgang mit demselben Namen. Dabei kann es mitunter vorkommen, dass eine einzige Aktion den Zugriff auf mehr als eine API-Operation steuert. Der Zugriff auf Aktionen auf Bucket-Ebene kann nur über identitätsbasierte IAM-Richtlinien (Benutzer oder Rolle) und nicht über Bucket-Richtlinien gewährt werden.

Weitere Informationen über das Konfigurieren von Zugangspunktrichtlinien finden Sie unter Konfiguration von IAM-Richtlinien für die Verwendung von Access Points für Directory-Buckets.

Weitere Informationen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3 Express.