Bevor Sie die beispiehalften Walkthroughs ausprobieren

Anleitungen, die Richtlinien verwenden, um den Zugriff auf Ihre Amazon-S3-Ressourcen zu verwalten

In diesem Thema werden die folgenden einführenden Anleitungsbeispiele für das Gewähren des Zugriffs aufs Amazon-S3-Ressourcen bereitgestellt. Diese Beispiele verwenden die AWS-Managementkonsole, um Ressourcen (Buckets, Objekte, Benutzer) zu erstellen und diesen Berechtigungen zu erteilen. Anschließend zeigen die Beispiele auf, wie Sie Berechtigungen mithilfe der Befehlszeilen-Tools überprüfen können, sodass Sie keinen Code schreiben müssen. Wir stellen Befehle zur Verfügung, die sowohl die AWS Command Line Interface (AWS CLI) als auch AWS Tools for Windows PowerShell verwenden.

Beispiel 1: Bucket-Eigentümer erteilt seinen Benutzern Bucket-Berechtigungen

Die in Ihrem Konto erstellten IAM-Benutzer verfügen standardmäßig über keine Berechtigungen. In dieser Übung erteilen Sie einem Benutzer die Berechtigung, Bucket- und Objekt-Vorgänge auszuführen.
Beispiel 2: Bucket-Eigentümer erteilt kontoübergreifende Bucket-Berechtigungen

In dieser Übung gewährt ein Bucket-Eigentümer, Konto A, einem anderen AWS-Konto, Konto B, kontoübergreifende Berechtigungen. Konto B delegiert diese Berechtigungen anschließend an Benutzer in seinem Konto.
Verwalten von Objektberechtigungen, wenn der Objekt- und der Bucket-Eigentümer nicht identisch sind

Bei den Beispielszenarien in diesem Fall geht es um einen Bucket-Eigentümer, der anderen Objektberechtigungen erteilt, es gehören jedoch nicht alle Objekte im Bucket dem Bucket-Eigentümer. Welche Berechtigungen benötigt der Bucket-Eigentümer und wie kann er diese Berechtigungen delegieren?

Das AWS-Konto, das einen Bucket erstellt, wird als Bucket-Eigentümer bezeichnet. Der Eigentümer kann anderen AWS-Konten die Berechtigung zum Hochladen von Objekten erteilen und die AWS-Konten, die Objekte erstellen, besitzen diese. Der Bucket-Eigentümer hat keine Berechtigungen für diese Objekte, die von anderen erstellt wurden AWS-Konten. Wenn der Bucket-Eigentümer eine Bucket-Richtlinie erstellt, die Zugriff auf Objekte erteilt, gilt diese Richtlinie nicht für Objekte, die sich im Besitz von anderen Konten befinden.

In diesem Fall muss der Objekteigentümer zuerst dem Bucket-Eigentümer über eine Objekt-ACL Berechtigungen erteilen. Der Bucket-Eigentümer kann diese Objektberechtigungen anschließend an andere delegieren – an Benutzer in seinem eigenen Konto oder an ein anderes AWS-Konto wie in den folgenden Beispielen dargestellt.
- Beispiel 3: Bucket-Eigentümer, der Berechtigungen für Objekte erteilt, die ihm nicht gehören
  
  In dieser Übung erhält der Bucket-Eigentümer zuerst Berechtigungen von dem Objekteigentümer. Der Bucket-Eigentümer delegiert diese Berechtigungen anschließend an Benutzer in seinem eigenen Konto.
- Beispiel 4 – Der Bucket-Eigentümer erteilt eine kontenübergreifende Berechtigung für Objekte, die ihm nicht gehören
  
  Nach Erhalt von Berechtigungen vom Objekteigentümer kann der Bucket-Eigentümer die Berechtigung nicht an andere AWS-Konten delegieren, da die kontoübergreifende Delegierung nicht unterstützt wird (siehe Berechtigungsdelegation). Stattdessen kann der Bucket-Eigentümer eine IAM-Rolle mit Berechtigungen erstellen, um bestimmte Vorgänge (wie beispielsweise das Abrufen von Objekten) auszuführen, und einem anderen AWS-Konto erlauben, diese Rolle anzunehmen. Jeder, der diese Rolle annimmt, kann anschließend auf Objekte zugreifen. Dieses Beispiel zeigt, wie ein Bucket-Eigentümer diese kontoübergreifende Delegation mithilfe einer IAM-Rolle aktivieren kann.

Bevor Sie die beispiehalften Walkthroughs ausprobieren

Diese Beispiele verwenden die AWS-Managementkonsole, um Ressourcen zu erstellen und Berechtigungen zu erteilen. Zum Testen der Berechtigungen verwenden die Beispiele die Befehlszeilen-Tools, AWS CLI und AWS Tools for Windows PowerShell, sodass Sie keinen Code schreiben müssen. Zum Testen der Berechtigungen müssen Sie eins dieser Tools einrichten. Weitere Informationen finden Sie unter Einrichten der Tools für die Anleitungen.

Darüber hinaus verwenden diese Beispiele beim Erstellen von Ressourcen keine Root-Benutzer-Anmeldeinformationen von einem AWS-Konto. Sie erstellen stattdessen einen Administratorbenutzer in diesen Konten, um diese Aufgaben auszuführen.

Informationen zur Verwendung eines Administratorbenutzers zum Erstellen von Ressourcen und Erteilen von Berechtigungen

AWS Identity and Access Management (IAM) rät davon ab, die Anmeldeinformationen des Root-Benutzers Ihres AWS-Konto für Anfragen zu nutzen. Erstellen Sie stattdessen eine(n) IAM-Benutzer oder eine -Rolle, gewähren Sie diesem/r vollständigen Zugriff und verwenden Sie anschließend die Anmeldeinformationen dieses Benutzers/dieser Rolle zum Erstellen von Anfragen. Wir bezeichnen dies als Administratorbenutzer oder -rolle. Weitere Informationen finden Sie unter Root-Benutzer des AWS-Kontos-Anmeldeinformationen und IAM-Identitäten in der Allgemeine AWS-Referenz und unter Bewährte IAM-Methoden im IAM-Benutzerhandbuch.

Alle Beispielanleitungen in diesem Abschnitt verwenden die Anmeldeinformationen des Administratorbenutzers. Wenn Sie noch keinen Administratorbenutzer für Ihr AWS-Konto erstellt haben, erfahren Sie in diesen Themen, wie dies geht.

Um sich mit den Benutzeranmeldeinformationen bei der AWS-Managementkonsole anzumelden, müssen Sie die IAM-Benutzer-Anmelde-URL verwenden. Die IAM-Konsole stellt diese URL für Ihr AWS-Konto bereit. In diesen Themen erfahren Sie, wie Sie die URL abrufen können.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Beispiele für identitätsbasierte Richtlinien

Einrichten von Tools