Bucket-Richtlinien für Amazon S3 - Amazon Simple Storage Service

Bucket-Richtlinien für Amazon S3

Eine Bucket-Richtlinie ist eine auf Ressourcen basierende Richtlinie, die Sie verwenden können, um Zugriffsberechtigungen für Ihren Amazon-S3-Bucket und die darin enthaltenen Objekte zu erteilen. Nur der Bucket-Eigentümer kann einem Bucket eine Richtlinie zuordnen. Die dem Bucket zugeordneten Berechtigungen gelten für alle Objekte im Bucket, die dem Bucket-Eigentümer gehören. Diese Berechtigungen gelten nicht für Objekte, die anderen AWS-Konten gehören.

S3 Object Ownership ist eine Amazon-S3-Einstellung auf Bucket-Ebene, mit der Sie die Eigentümerschaft von Objekten steuern können, die in Ihre Buckets hochgeladen werden, und Zugriffssteuerungslisten (ACLs) deaktivieren oder aktivieren können. Standardmäßig ist Object Ownership auf die Einstellung „Bucket-Eigentümer erzwungen“ festgelegt und alle ACLs sind deaktiviert. Der Bucket-Eigentümer besitzt alle Objekte im Bucket und verwaltet den Datenzugriff ausschließlich mithilfe von Richtlinien.

Bucket-Richtlinien verwenden JSON-basierte AWS Identity and Access Management (IAM)-Richtliniensprache. Sie können Bucket-Richtlinien verwenden, um Berechtigungen für die Objekte in einem Bucket hinzuzufügen oder zu verweigern. Bucket-Richtlinien können Anforderungen basierend auf den Elementen in der Richtlinie erlauben oder verweigern. Diese Elemente umfassen den Anforderer, S3-Aktionen, Ressourcen und Aspekte oder Bedingungen der Anforderung (z. B. die IP-Adresse, die für die Anforderung verwendet wird).

Sie können z. B. eine Bucket-Richtlinie erstellen, die Folgendes bewirkt:

  • Erteilt anderen Konten kontoübergreifende Berechtigungen für das Hochladen von Objekten in Ihren S3-Bucket

  • Stellt sicher, dass Sie als Bucket-Eigentümer die volle Kontrolle über die hochgeladenen Objekte haben

Weitere Informationen finden Sie unter Beispiele für Amazon-S3-Bucket-Richtlinien.

Wichtig

Sie können eine Bucket-Richtlinie nicht verwenden, um Löschungen oder Übergänge durch eine S3-Lifecycle-Regel zu verhindern. Selbst wenn Ihre Bucket-Richtlinie beispielsweise alle Aktionen für alle Prinzipale ablehnt, funktioniert Ihre S3-Lifecycle-Konfiguration weiterhin wie gewohnt.

Die Themen in diesem Abschnitt enthalten Beispiele und zeigen Ihnen, wie Sie in der S3-Konsole eine Bucket-Richtlinie hinzufügen können. Weitere Informationen über identitätsbasierten Richtlinien finden Sie unter Identitätsbasierte Richtlinien für Amazon S3. Weitere Informationen zur Sprache der Bucket-Richtlinie finden Sie unter Richtlinien und Berechtigungen in Amazon S3.

Weitere Informationen zu den Berechtigungen für S3-API-Operationen nach S3-Ressourcentypen finden Sie unter Erforderliche Berechtigungen für Amazon-S3-API-Operationen.

Themen