Administrator-Einrichtung - Amazon Quick
Gewähren Sie Amazon Quick Access auf Amazon S3 S3-BucketsBereiten Sie die Einrichtung der IAM-Rolle und der Richtlinien vorVPC-Zugriff für Amazon S3 Connector in Amazon Quick konfigurierenBeschränken Sie den Zugriff auf Amazon S3 S3-Buckets mit IAM-Richtlinienzuweisungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Administrator-Einrichtung

Bevor Benutzer Amazon S3 S3-Integrationen und Wissensdatenbanken erstellen können, muss ein Amazon Quick-Administrator die folgenden Einrichtungsaufgaben ausführen.

Gewähren Sie Amazon Quick Access auf Amazon S3 S3-Buckets

Gewähren Sie Amazon Quick Access auf die Amazon S3 S3-Buckets, die Ihr Unternehmen benötigt. Dies gilt unabhängig davon, ob sich die Buckets auf demselben AWS Konto oder auf einem anderen Konto befinden.

  1. Wählen Sie in der Amazon Quick Admin-Konsole unter Berechtigungen die Option AWS Ressourcen aus.

  2. Aktivieren Sie unter Zugriff und Autodiscovery für diese Ressourcen zulassen das Kontrollkästchen Amazon S3.

  3. Wählen Sie S3-Buckets auswählen aus.

  4. Wählen Sie im Dialogfeld Amazon S3 S3-Buckets auswählen die Registerkarte aus, die Ihrem Bucket-Standort entspricht:

    • Mit Quick Account verknüpfte S3-Buckets — Wählen Sie die Buckets aus der Liste aus, auf die Amazon Quick zugreifen soll. Ausgewählte Buckets haben standardmäßig nur Leseberechtigungen.

    • S3-Buckets, auf die Sie mit Across zugreifen können AWS — Stellen Sie bei kontoübergreifenden Buckets sicher, dass der Kontoinhaber Ihr Konto autorisiert hat. Wählen Sie Anderes Bucket verwenden, geben Sie den Bucket-Namen ein und wählen Sie S3-Bucket hinzufügen aus.

  5. (Optional) Wählen Sie für kontoübergreifende Buckets den Bucket-Zugriff auf den Ersteller der Wissensdatenbank beschränken aus, um den Zugriff so einzuschränken, dass nur der Benutzer, der die Wissensdatenbank erstellt, den Bucket verwenden kann.

  6. Wählen Sie Finish (Abschließen).

Die ausgewählten Buckets sind jetzt für Benutzer während der Erstellung der Wissensdatenbank zugänglich.

Bereiten Sie die Einrichtung der IAM-Rolle und der Richtlinien vor

Die Amazon S3 S3-Integration verwendet AWS Authentifizierung für den Zugriff auf Ihre Amazon S3 S3-Buckets. Bereiten Sie Ihre IAM-Rollen- und Richtlinienkonfiguration vor, bevor Benutzer die Integration einrichten.

Erforderliche IAM-Berechtigungen

Stellen Sie sicher, dass Ihr AWS Konto über die folgenden Mindestberechtigungen für den Amazon S3 S3-Bucket verfügt:

  • s3:GetObject— Objekte aus dem Bucket lesen.

  • s3:ListBucket— Listet den Inhalt des Buckets auf.

  • s3:GetBucketLocation— Ruft Informationen zur Bucket-Region ab.

  • s3:GetObjectVersion— Ruft Objektversionen ab.

  • s3:ListBucketVersions— Listet Bucket-Versionen auf.

Amazon S3 S3-Bucket-Berechtigungen für kontoübergreifenden Zugriff konfigurieren

Wenn Sie mit einem anderen AWS Konto auf Amazon S3 S3-Buckets zugreifen, müssen Sie die IAM-Richtlinien im AWS Quellkonto konfigurieren.

So konfigurieren Sie Amazon S3 S3-Bucket-Berechtigungen für den kontoübergreifenden Zugriff

  1. Melden Sie sich bei der AWS Management Console für das Konto an, das den Amazon S3 S3-Bucket enthält.

  2. Öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

  3. Wählen Sie den Bucket aus, auf den Sie Zugriff gewähren möchten.

  4. Wählen Sie Permissions und anschließend Bucket Policy.

  5. Fügen Sie eine Bucket-Richtlinie mit den folgenden Elementen hinzu:

    • Version— Auf „2012-10-17" setzen

    • Statement— Array mit Grundsatzerklärungen mit:

      • Sid— „AllowQuickSuiteS3Access“

      • Effect— „Zulassen“

      • Principal— AWS ARN für die Amazon Quick-Servicerolle in Ihrem Konto. Der Principal sollte zum Beispiel so aussehen: "Principal": { "AWS": "arn:aws:iam::<quick_account_id>:role/service-role/aws-quicksight-service-role-v0" }

      • Action— Reihe von Amazon S3 S3-Berechtigungen: s3:GetObject, s3:ListBucket, s3:GetBucketLocation, s3:GetObjectVersion, s3: ListBucketVersions

      • Resource— „*“ (gilt für den aktuellen Schlüssel), der Amazon S3 S3-Bucket-Pfad sollte wie folgt aussehen: "Resource": [ "arn:aws:s3:::bucket_name"]

  6. Wählen Sie Änderungen speichern aus.

Konfigurieren Sie KMS-Schlüsselberechtigungen (wenn Ihr Bucket Verschlüsselung verwendet)

Wenn Ihr Amazon S3 S3-Bucket AWS KMS-Verschlüsselung verwendet, führen Sie die folgenden Schritte aus.

Um KMS-Schlüsselberechtigungen zu konfigurieren

  1. Öffnen Sie die AWS Key Management Service (AWS KMS) -Konsole unter https://console.aws.amazon.com/kms.

  2. Wählen Sie den KMS-Schlüssel, der zur Verschlüsselung Ihres Amazon S3 S3-Buckets verwendet wird.

  3. Wählen Sie Key policy (Schlüsselrichtlinie) und dann Edit (Bearbeiten) aus.

  4. Fügen Sie der Schlüsselrichtlinie eine Erklärung mit den folgenden Strukturelementen hinzu:

    • Sid – "AllowQuickSuiteKMSAccess"

    • Effect— „Zulassen“

    • Principal— AWS ARN für die Amazon Quick-Servicerolle in Ihrem Konto. Der Principal sollte zum Beispiel so aussehen: "Principal": { "AWS": "arn:aws:iam::<quick_account_id>:role/service-role/aws-quicksight-service-role-v0" }

    • Action— Reihe von KMS-Berechtigungen: kms: Decrypt, kms: DescribeKey

    • Resource— „*“ (gilt für den aktuellen Schlüssel), der Amazon S3 S3-Bucket-Pfad sollte wie folgt aussehen: "Resource": [ "arn:aws:s3:::bucket_name"]

  5. Wählen Sie Änderungen speichern aus.

  6. Warten Sie 2-3 Minuten, bis die Richtlinienänderungen wirksam werden.

VPC-Zugriff für Amazon S3 Connector in Amazon Quick konfigurieren

VPC-Berechtigungen stellen sicher, dass Amazon Quick nur über sichere VPC- oder VPC-Endpunktverbindungen auf Ihren Amazon S3 S3-Bucket zugreifen kann.

Erforderliche Änderung der Richtlinie

Fügen Sie diese Erklärung zu Ihrer Bucket-Zugriffsrichtlinie hinzu, damit Amazon Quick über VPC-Endpunkte auf Ihren Bucket zugreifen kann:

{
  "Sid": "Allow-Quick-access"		 	 	 ,
  "Principal": "arn:aws:iam::Quick Account:role/service-role/aws-quicksight-service-role-v0",
  "Action": "s3:*",
  "Effect": "Allow",
  "Resource": [
    "arn:aws:s3:::amzn-s3-demo-bucket",
    "arn:aws:s3:::amzn-s3-demo-bucket/*"
  ],
  "Condition": {
    "Null": {
      "aws:SourceVpce": "false"
    }
  }
}

  • Ersetzen Sie es amzn-s3-demo-bucket durch Ihren Bucket-Namen.

  • Quick AccountErsetzen Sie es durch Ihr Amazon Quick-Konto.

Die "aws:SourceVpce": "false" Bedingung stellt sicher, dass Amazon Quick nur über VPC-Endpunkte auf Ihren Bucket zugreifen kann, sodass Ihre Sicherheitsanforderungen eingehalten werden.

Richtlinien ablehnen

Wenn Ihr Bucket über eine Richtlinie verfügt, die den Datenverkehr über Deny Policy auf eine bestimmte VPC oder einen VPC-Endpunkt beschränkt, müssen Sie diese Richtlinie rückgängig machen, da Verweigerungsrichtlinien Vorrang vor Zulassungsrichtlinien haben.

Beispiel:

{
   "Version":"2012-10-17"		 	 	 ,                   
   "Id": "Policy1415115909152",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPCE-only",
       "Principal": "*",
       "Action": "s3:*",
       "Effect": "Deny",
       "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket",
                    "arn:aws:s3:::amzn-s3-demo-bucket/*"],
       "Condition": {
         "StringNotEquals": {
           "aws:SourceVpce": "vpce-0abcdef1234567890"
         }
       }
     }
   ]
}

Sollte umgekehrt werden in:

{
   "Version":"2012-10-17"		 	 	 ,                   
   "Id": "Policy1415115909152",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPCE-only",
       "Principal": "*",
       "Action": "s3:*",
       "Effect": "Allow",
       "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket",
                    "arn:aws:s3:::amzn-s3-demo-bucket/*"],
       "Condition": {
         "StringEquals": {
           "aws:SourceVpce": "vpce-0abcdef1234567890"
         }
       }
     }
   ]
}

Best Practices

Beschränken Sie den Zugriff auf Ihre Amazon Quick-Rolle

Die Zugriffsrichtlinien sollten vorschreiben, dass es sich bei dem Anrufer um Ihren Amazon Quick-Rollen-ARN oder mindestens um Ihr Amazon Quick-Konto handelt. Dadurch wird sichergestellt, dass Anrufe trotz der Zulassung von VPC-Verkehr nur aus den erwarteten Quellen kommen.

Sicherheitsempfehlungen

  • Beschränken Sie die Richtlinien für den sichersten Datenverkehr auf Ihre Amazon Quick-Rolle

  • Überprüfen Sie Ihre Bucket-Richtlinien regelmäßig, um sicherzustellen, dass sie dem Prinzip der geringsten Rechte entsprechen

Beschränken Sie den Zugriff auf Amazon S3 S3-Buckets mit IAM-Richtlinienzuweisungen

Sie können steuern, welche Amazon S3 S3-Buckets Ihre Amazon Quick-Benutzer zur Erstellung von Wissensdatenbanken verwenden können, indem Sie IAM-Richtlinien erstellen und diese über Amazon Quick IAM-Richtlinienzuweisungen bestimmten Benutzern, Gruppen oder allen Benutzern zuweisen. Auf diese Weise können Sie anhand bestimmter Bereiche einschränken, wer Wissensdatenbanken erstellen kann, einschließlich ACL-fähiger Wissensdatenbanken.

Anmerkung

Über Amazon Quick zugewiesene IAM-Richtlinien haben Vorrang vor Richtlinien auf AWS Ressourcenebene. Um sicherzustellen, dass Ihre Zugriffsanforderungen erfüllt werden, konfigurieren Sie Ihre IAM-Richtlinien entsprechend.

Sie können beispielsweise bestimmten Benutzern, die Zugriff auf ACL-fähige Buckets benötigen, eine restriktive Richtlinie zuweisen, während Sie allen Benutzern für Buckets, die keine ACL sind, eine umfassendere Richtlinie zuweisen.

Schritt 1: Erstellen Sie eine Amazon S3 S3-Zugriffsrichtlinie in IAM

Erstellen Sie in der IAM-Konsole eine AWS IAM-Richtlinie, die definiert, auf welche Amazon S3 S3-Buckets Benutzer für die Erstellung von Wissensdatenbanken zugreifen können. Die folgende Beispielrichtlinie gewährt Zugriff auf zwei spezifische Buckets:

{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-1",
                "arn:aws:s3:::amzn-s3-demo-bucket-2"
            ]
        },
        {
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket-2/*"
            ]
        },
        {
            "Action": [
                "s3:ListBucketMultipartUploads",
                "s3:GetBucketLocation"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-1",
                "arn:aws:s3:::amzn-s3-demo-bucket-2"
            ]
        },
        {
            "Action": [
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket-2/*"
            ]
        }
    ]
}

Ersetzen Sie amzn-s3-demo-bucket-1 und amzn-s3-demo-bucket-2 durch die Namen der Amazon S3 S3-Buckets, auf die Sie Zugriff gewähren möchten.

Schritt 2: Weisen Sie die Richtlinie in Amazon Quick zu

Nachdem Sie die IAM-Richtlinie erstellt haben, weisen Sie sie Amazon Quick-Benutzern oder -Gruppen zu.

  1. Wählen Sie in der Amazon Quick Admin-Konsole unter Berechtigungen die Option IAM-Richtlinienzuweisungen aus.

  2. Wählen Sie Neue Zuweisung hinzufügen aus.

  3. Geben Sie einen Namen für die Zuweisung ein.

  4. Suchen Sie auf der Seite „IAM-Richtlinie auswählen“ nach der IAM-Richtlinie, die Sie in Schritt 1 erstellt haben, und wählen Sie sie aus. Wählen Sie Weiter aus.

  5. Wählen Sie auf der Seite „Benutzer und Gruppen zuweisen“ eine der folgenden Optionen aus:

    • Wählen Sie Allen Benutzern und Gruppen zuweisen aus, um die Richtlinie auf alle aktuellen und future Benutzer anzuwenden.

    • Suchen Sie nach bestimmten Benutzern oder Gruppen, denen Sie die Richtlinie zuweisen möchten, und wählen Sie sie aus.

    Wählen Sie Weiter aus.

  6. Überprüfen Sie auf der Seite Änderungen überprüfen und aktivieren Ihre Zuweisungsdetails und wählen Sie Speichern und aktivieren aus.

Benutzer, denen durch eine IAM-Richtlinienzuweisung nicht ausdrücklich Zugriff gewährt wurde, können nicht auf die eingeschränkten Amazon S3 S3-Buckets zugreifen, um Integrationen oder Wissensdatenbanken zu erstellen.