Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zugriffsverwaltung

Amazon S3 enthält eine Vielzahl von Zugriffsverwaltungstools. Im Folgenden finden Sie eine Liste dieser Features und Tools. Sie benötigen nicht alle diese Zugriffsverwaltungstools, aber Sie müssen eines oder mehrere verwenden, um Zugriff auf Ihre Amazon-S3-Buckets, Objekte und andere S3-Ressourcen zu gewähren. Die ordnungsgemäße Anwendung dieser Tools kann sicherstellen, dass Ihre Ressourcen nur für die vorgesehenen Benutzer zugänglich sind.

Das am häufigsten verwendete Zugriffsverwaltungstool ist eine Zugriffsrichtlinie. Eine Zugriffsrichtlinie kann eine ressourcenbasierte Richtlinie sein, die an eine AWS Ressource angehängt ist, z. B. eine Bucket-Richtlinie für einen Bucket. Eine Zugriffsrichtlinie kann auch eine identitätsbasierte Richtlinie sein, die an eine AWS Identity and Access Management (IAM)-Identität angefügt ist, z B. einen IAM-Benutzer, eine -Gruppe oder eine -Rolle. Eine Zugriffsrichtlinie beschreibt, wer Zugriff auf welche Objekte hat. Schreiben Sie eine Zugriffsrichtlinie, um IAM-Benutzern, Gruppen AWS-Konten und Rollen die Erlaubnis zu erteilen, Operationen an einer Ressource auszuführen. Sie können beispielsweise einem anderen Konto die PUT Object Erlaubnis erteilen, AWS-Konto sodass das andere Konto Objekte in Ihren Bucket hochladen kann.

Nachstehend sind die in Amazon S3 verfügbaren Zugriffsverwaltungstools aufgeführt. Eine umfassendere Anleitung zur Amazon-S3-Zugriffssteuerung finden Sie unter Zugriffskontrolle in Amazon S3.

Bucket-Richtlinie

Eine Amazon-S3-Bucket-Richtlinie ist eine ressourcenbasierte AWS Identity and Access Management (IAM)-Richtlinie im JSON-Format, die an einen bestimmten Bucket angehängt ist. Verwenden Sie Bucket-Richtlinien, um anderen Identitäten AWS-Konten oder IAM-Identitäten Berechtigungen für den Bucket und die darin enthaltenen Objekte zu gewähren. Viele Anwendungsfälle für die S3-Zugriffsverwaltung können durch die Verwendung einer Bucket-Richtlinie abgedeckt werden. Mit Bucket-Richtlinien können Sie den Zugriff auf Buckets personalisieren, um sicherzustellen, dass nur die von Ihnen genehmigten Identitäten auf Ressourcen zugreifen und Aktionen innerhalb dieser ausführen können. Weitere Informationen finden Sie unter Bucket-Richtlinien für Amazon S3.

Identitätsbasierte Richtlinien

Eine identitätsbasierte oder IAM-Benutzerrichtlinie ist eine Art von AWS Identity and Access Management (IAM)-Richtlinie. Eine identitätsbasierte Richtlinie ist eine JSON-formatierte Richtlinie, die IAM-Benutzern, -Gruppen oder -Rollen in Ihrem AWS -Konto zugewiesen wird. Sie können identitätsbasierte Richtlinien verwenden, um einer IAM-Identität Zugriff auf Ihre Buckets oder Objekte zu gewähren. Sie können IAM-Benutzer, Gruppen und Rollen in Ihrem Konto erstellen und ihnen Zugriffsrichtlinien zuordnen. Sie können dann Zugriff auf AWS -Ressourcen gewähren, einschließlich Amazon-S3-Ressourcen. Weitere Informationen finden Sie unter Identitätsbasierte Richtlinien für Amazon S3.

S3 Access Grants

Verwenden Sie S3 Access Grants, um Zugriffsgewährungen für Ihre Amazon-S3-Daten für beide Identitäten in Unternehmensidentitätsverzeichnissen wie Active Directory, und für AWS Identity and Access Management (IAM)-Identitäten zu erstellen. S3 Access Grants hilft Ihnen dabei, Datenberechtigungen in großem Umfang zu verwalten. Darüber hinaus protokolliert S3 Access Grants die Identität des Endbenutzers und die Anwendung, die für den Zugriff auf die S3-Daten in AWS CloudTrail verwendet wurde. Dies bietet einen detaillierten Auditverlauf bis hin zur Endbenutzeridentität für alle Zugriffe auf die Daten in Ihren S3-Buckets. Weitere Informationen finden Sie unter Verwalten des Zugriffs mit S3-Zugriffsberechtigungen.

Zugriffspunkte

Amazon S3 Access Points vereinfacht die Verwaltung des Datenzugriffs in großem Maßstab für Anwendungen, die gemeinsam genutzte Datensätze auf S3 verwenden. Zugangspunkte sind benannte Netzwerkendpunkte, die einem Bucket zugeordnet sind. Sie können Zugangspunkte verwenden, um S3-Objektoperationen in großem Maßstab auszuführen, wie z. B. das Hochladen und Abrufen von Objekten. Einem Bucket können bis zu 10 000 Zugangspunkte zugeordnet sein, und für jeden Zugangspunkt können Sie unterschiedliche Berechtigungen und Netzwerksteuerungen erzwingen, um Ihnen detaillierte Kontrolle über den Zugriff auf Ihre S3-Objekte zu ermöglichen. S3 Access Points können mit Buckets im selben Konto oder in einem anderen vertrauenswürdigen Konto verknüpft werden. Bei Access-Points-Richtlinien handelt es sich um ressourcenbasierte Richtlinien, die in Verbindung mit der zugrunde liegenden Bucket-Richtlinie bewertet werden. Weitere Informationen finden Sie unter Verwaltung des Zugriffs auf gemeinsam genutzte Datensätze in Allzweck-Buckets mit Zugriffspunkten.

Zugriffskontrollliste (Access Control List, ACL)

Eine ACL ist eine Liste von Zuschüssen, in der der Empfänger und die erteilte Genehmigung identifiziert werden. ACLs anderen AWS-Konten Personen grundlegende Lese- oder Schreibberechtigungen gewähren. ACLs verwenden Sie ein Amazon S3 S3-spezifisches XML-Schema. Eine ACL ist eine Art von AWS Identity and Access Management (IAM)-Richtlinie. Eine Objekt-ACL wird verwendet, um den Zugriff auf ein Objekt zu verwalten, und eine Bucket-ACL wird verwendet, um den Zugriff auf einen Bucket zu verwalten. Bei Bucket-Richtlinien gibt es eine einzige Richtlinie für den gesamten Bucket, aber Objekte ACLs werden für jedes Objekt angegeben. Es wird empfohlen, die Option ACLs ausgeschaltet zu lassen, außer in Ausnahmefällen, in denen Sie den Zugriff für jedes Objekt einzeln steuern müssen. Weitere Informationen zur Verwendung finden ACLs Sie unterKontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket.

Object Ownership

Um den Zugriff auf Ihre Objekte zu verwalten, müssen Sie der Eigentümer des Objekts sein. Sie können die Bucket-Einstellung für Object Ownership verwenden, um die Eigentümerschaft von Objekten zu steuern, die in Ihren Bucket hochgeladen werden. Verwenden Sie auch Object Ownership, um die Option zu aktivieren ACLs. Standardmäßig ist für Object Ownership die Einstellung Bucket Owner erforced festgelegt, und alle Optionen ACLs sind deaktiviert. Wenn ACLs diese Option deaktiviert ist, besitzt der Bucket-Besitzer alle Objekte im Bucket und verwaltet ausschließlich den Zugriff auf Daten. Um den Zugriff zu verwalten, verwendet der Bucket-Besitzer Richtlinien oder ein anderes Zugriffsverwaltungstool, ausgenommen ACLs. Weitere Informationen finden Sie unter Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket.

Eine umfassendere Anleitung zur Amazon-S3-Zugriffssteuerung und weitere bewährte Methoden finden Sie unter Zugriffskontrolle in Amazon S3.