Konfigurieren des Zugriffs auf Amazon-S3-Buckets - Amazon Bedrock
Anfügen von Berechtigungen an eine IAM-Identität, um ihr Zugriff auf einen Amazon-S3-Bucket zu gewährenFügen Sie eine Bucket-Richtlinie an einen Amazon-S3-Bucket an, um einem anderen Konto den Zugriff darauf zu erlauben.(Erweiterte Sicherheitsoption) Fügen Sie Bedingungen in eine Anweisung ein, um einen exakten Zugriff zu erhalten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren des Zugriffs auf Amazon-S3-Buckets

Für mehrere Features von Amazon Bedrock ist Zugriff auf Daten erforderlich, die in Amazon-S3-Buckets gespeichert sind. Für den Zugriff auf diese Daten müssen Sie die folgenden Berechtigungen konfigurieren:

Anwendungsfall Berechtigungen
Berechtigungen zum Abrufen von Daten aus dem S3-Bucket s3: GetObject

s3: ListBucket
Berechtigungen zum Schreiben von Daten in den S3-Bucket s3: PutObject
Berechtigungen zum Entschlüsseln des KMS-Schlüssels, der den S3-Bucket verschlüsselt hat kms:Decrypt

km: DescribeKey

Die Identitäten oder Ressourcen, denen Sie die oben genannten Berechtigungen anfügen müssen, hängen von den folgenden Faktoren ab:

  • Mehrere Features in Amazon Bedrock verwenden Servicerollen. Wenn ein Feature eine Servicerolle verwendet, müssen Sie die Berechtigungen so konfigurieren, dass die Servicerolle und nicht die IAM-Identität des Benutzers Zugriff auf die S3-Daten hat. Einige Features von Amazon Bedrock können automatisch eine Servicerolle für Sie erstellen und der Servicerolle die erforderlichen identitätsbasierten Berechtigungen zuordnen, wenn Sie die AWS-Managementkonsole verwenden.

  • Einige Features in Amazon Bedrock ermöglichen es einer Identität, auf einen S3-Bucket in einem anderen Konto zuzugreifen. Wenn auf S3-Daten von einem anderen Konto aus zugegriffen werden muss, muss der Bucket-Eigentümer die oben genannten ressourcenbasierten Berechtigungen in eine S3-Bucket-Richtlinie aufnehmen, die an den S3-Bucket angehängt ist.

Im Folgenden wird beschrieben, wie Sie ermitteln, wo Sie die erforderlichen Berechtigungen für den Zugriff auf S3-Daten anhängen müssen:

  • IAM-Identitätsberechtigungen

    • Wenn Sie eine Servicerolle in der Konsole automatisch erstellen können, werden die Berechtigungen für die Servicerolle konfiguriert, sodass Sie sie nicht selbst konfigurieren müssen.

    • Wenn Sie lieber eine benutzerdefinierte Servicerolle verwenden möchten oder es sich bei der Identität, für die Zugriff erforderlich ist, nicht um eine Servicerolle handelt, finden Sie unter Anfügen von Berechtigungen an eine IAM-Identität, um ihr Zugriff auf einen Amazon-S3-Bucket zu gewähren weitere Informationen zum Erstellen einer identitätsbasierten Richtlinie mit den entsprechenden Berechtigungen unter.

  • Ressourcenbasierte Berechtigungen

    • Wenn die Identität Zugriff auf S3-Daten in demselben Konto erfordert, müssen Sie dem Bucket, der die Daten enthält, keine S3-Bucket-Richtlinie anhängen.

    • Wenn die Identität Zugriff auf S3-Daten in einem anderen Konto erfordert, finden Sie unter Fügen Sie eine Bucket-Richtlinie an einen Amazon-S3-Bucket an, um einem anderen Konto den Zugriff darauf zu erlauben. weitere Informationen zum Erstellen einer S3-Bucket-Richtlinie mit den entsprechenden Berechtigungen.

      Wichtig

      Durch die automatische Erstellung einer Servicerolle in der werden AWS-Managementkonsole der Rolle die richtigen identitätsbasierten Berechtigungen zugewiesen. Sie müssen jedoch trotzdem die S3-Bucket-Richtlinie konfigurieren, wenn sich die Identität, für die Zugriff darauf erforderlich ist, in einer anderen befindet. AWS-Konto

Weitere Informationen finden Sie unter den folgenden Links:

Gehen Sie die Themen durch, die sich auf Ihren Anwendungsfall beziehen:

Anfügen von Berechtigungen an eine IAM-Identität, um ihr Zugriff auf einen Amazon-S3-Bucket zu gewähren

Dieses Thema enthält eine Vorlage für eine Richtlinie zum Anfügen an eine IAM-Identität. Die Richtlinie umfasst die folgenden Anweisungen, mit denen Berechtigungen definiert werden, um einer IAM-Identität Zugriff auf einen S3-Bucket zu gewähren:

  1. Berechtigungen zum Abrufen von Daten aus einem S3-Bucket Diese Anweisung beinhaltet auch eine Bedingung, die den Bedingungsschlüssel s3:prefix verwendet, um den Zugriff auf einen bestimmten Ordner im Bucket einzuschränken. Weitere Informationen zu dieser Bedingung finden Sie im Abschnitt Benutzerrichtlinie in Beispiel 2: Abrufen einer Liste von Objekten in einem Bucket mit einem bestimmten Präfix.

  2. (Wenn Sie Daten an einen S3-Speicherort schreiben müssen) Berechtigungen zum Schreiben von Daten in einen S3-Bucket. Diese Anweisung beinhaltet auch eine Bedingung, die den aws:ResourceAccount Bedingungsschlüssel verwendet, um den Zugriff auf Anfragen zu beschränken, die von einer bestimmten Person gesendet werdenAWS-Konto.

  3. (Wenn der S3-Bucket mit einem KMS-Schlüssel verschlüsselt ist) Berechtigungen zur Beschreibung und Entschlüsselung des KMS-Schlüssels, mit dem der S3-Bucket verschlüsselt wurde.

    Anmerkung

    Wenn für Ihren S3-Bucket die Versionsverwaltung aktiviert ist, kann jede Objektversion, die Sie mit diesem Feature hochladen, einen eigenen Verschlüsselungsschlüssel haben. Sie sind dafür verantwortlich, zu verwalten, welcher Verschlüsselungsschlüssel für welche Objektversion verwendet wurde.

Fügen Sie die Anweisungen, Ressourcen und Bedingungen in der folgenden Richtlinie hinzu, ändern und entfernen Sie sie und ersetzen Sie ${values} sie nach Bedarf:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ReadS3Bucket",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::${S3Bucket}",
                "arn:aws:s3:::${S3Bucket}/*"
            ]
        },
        {
            "Sid": "WriteToS3Bucket",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::${S3Bucket}",
                "arn:aws:s3:::${S3Bucket}/*"
            ]
        },
        {
            "Sid": "DecryptKMSKey",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/${KMSKeyId}"
        }
    ]
}

Nachdem Sie die Richtlinie an Ihren Anwendungsfall angepasst haben, fügen Sie sie der Servicerolle (oder IAM-Identität) hinzu, die Zugriff auf den S3-Bucket benötigt. Informationen zum Anfügen von Berechtigungen an eine IAM-Identität finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen.

Fügen Sie eine Bucket-Richtlinie an einen Amazon-S3-Bucket an, um einem anderen Konto den Zugriff darauf zu erlauben.

Dieses Thema enthält eine Vorlage für eine ressourcenbasierte Richtlinie, die an einen S3-Bucket angehängt werden kann, damit eine IAM-Identität auf Daten im Bucket zugreifen kann. Die Richtlinie umfasst die folgenden Anweisungen, mit denen Berechtigungen definiert werden, um einer Identität Zugriff auf einen Bucket zu gewähren:

  1. Berechtigungen zum Abrufen von Daten aus einem S3-Bucket

  2. (Wenn Sie Daten an einen S3-Speicherort schreiben müssen) Berechtigungen zum Schreiben von Daten in einen S3-Bucket.

  3. (Wenn der S3-Bucket mit einem KMS-Schlüssel verschlüsselt ist) Berechtigungen zur Beschreibung und Entschlüsselung des KMS-Schlüssels, mit dem der S3-Bucket verschlüsselt wurde.

    Anmerkung

    Wenn für Ihren S3-Bucket die Versionsverwaltung aktiviert ist, kann jede Objektversion, die Sie mit diesem Feature hochladen, einen eigenen Verschlüsselungsschlüssel haben. Sie sind dafür verantwortlich, zu verwalten, welcher Verschlüsselungsschlüssel für welche Objektversion verwendet wurde.

Die Berechtigungen ähneln den identitätsbasierten Berechtigungen, die unter Anfügen von Berechtigungen an eine IAM-Identität, um ihr Zugriff auf einen Amazon-S3-Bucket zu gewähren beschrieben sind. Für jede Anweisung müssen Sie jedoch auch die Identität angeben, für die Sie der Ressource im Feld Principal Berechtigungen erteilen möchten. Geben Sie die Identität (bei den meisten Features in Amazon Bedrock ist dies die Servicerolle) in das Feld Principal ein. Fügen Sie die Aussagen, Ressourcen und Bedingungen in der folgenden Richtlinie hinzu, ändern und entfernen Sie sie und ersetzen Sie ${values} sie nach Bedarf:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ReadS3Bucket",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/ServiceRole"
            },
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::${S3Bucket}",
                "arn:aws:s3:::${S3Bucket}/*"
            ]
        },
        {
            "Sid": "WriteToS3Bucket",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/ServiceRole"
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::${S3Bucket}",
                "arn:aws:s3:::${S3Bucket}/*"
            ]
        },
        {
            "Sid": "DecryptKMSKey",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/ServiceRole"
            },
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/${KMSKeyId}"
        }
    ]
}

Nachdem Sie die Richtlinie an Ihren Anwendungsfall angepasst haben, fügen Sie sie an den S3-Bucket an. Informationen zum Anfügen einer Richtlinie zu einem S3-Bucket finden Sie unter Hinzufügen einer Bucket-Richtlinie mit der Amazon-S3-Konsole.

(Erweiterte Sicherheitsoption) Fügen Sie Bedingungen in eine Anweisung ein, um einen exakten Zugriff zu erhalten

Für eine bessere Kontrolle über die Identitäten, die auf Ihre Ressourcen zugreifen dürfen, können Sie Bedingungen in eine Richtlinienanweisung aufnehmen. Die Richtlinie in diesem Thema enthält ein Beispiel, das die folgenden Bedingungsschlüssel verwendet:

  • s3:prefix – Ein S3-Bedingungsschlüssel, der den Zugriff auf einen bestimmten Ordner in einem S3-Bucket einschränkt. Weitere Informationen zu diesem Bedingungsschlüssel finden Sie im Abschnitt Benutzerrichtlinie in Beispiel 2: Abrufen einer Liste von Objekten in einem Bucket mit einem bestimmten Präfix.

  • aws:ResourceAccount— Ein globaler Bedingungsschlüssel, der den Zugriff auf Anfragen von einer bestimmten AWS-Konto Person einschränkt.

Die folgende Richtlinie beschränkt den Lesezugriff auf den my-folder Ordner im amzn-s3-demo-bucket S3-Bucket und den Schreibzugriff für den amzn-s3-demo-destination-bucket S3-Bucket auf Anfragen von AWS-Konto mit der ID: 111122223333

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ReadS3Bucket",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition" : {
                "StringEquals" : {
                    "s3:prefix": "my-folder" 
                }
            }
        },
        {
            "Sid": "WriteToS3Bucket",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-destination-bucket",
                "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "111122223333"
                }
            }
        }
    ]
}

Weitere Informationen zu Bedingungen und Bedingungsschlüsseln finden Sie unter den folgenden Links: