Voraussetzungen für die Deaktivierung von ACLs - Amazon Simple Storage Service
Überprüfen Sie Bucket- und Objekt-ACLs und migrieren Sie ACL-BerechtigungenIdentifizieren von Anforderungen, für die eine ACL zur Autorisierung erforderlich warÜberprüfen und aktualisieren Sie Bucket-Richtlinien, die ACL-bezogene Bedingungsschlüssel verwendenBeispielanwendungsfälle

Voraussetzungen für die Deaktivierung von ACLs

Eine Bucket-Zugriffssteuerungsliste (ACL) in Amazon S3 ist ein Mechanismus, mit dem Sie granulare Berechtigungen für einzelne Objekte innerhalb eines S3-Buckets definieren können, indem Sie angeben, welche AWS Konten oder Gruppen auf diese Objekte zugreifen und sie ändern können. Die meisten modernen Anwendungsfälle in Amazon S3 erfordern keine ACLs mehr. Wir empfehlen Ihnen, AWS Identity and Access Management-(IAM) und Bucket-Richtlinien zur Verwaltung des Zugriffs zu verwenden und ACLs deaktiviert zu lassen, außer in Fällen, in denen Sie den Zugriff für jedes Objekt einzeln steuern müssen.

Wenn Sie ACLs auf Ihrem Bucket aktiviert haben, müssen Sie die folgenden Voraussetzungen erfüllen, bevor Sie ACLs deaktivieren:

Überprüfen Sie Bucket- und Objekt-ACLs und migrieren Sie ACL-Berechtigungen

Wenn Sie ACLs deaktivieren, wirken sich die von Bucket- und Objekt-ACLs gewährten Berechtigungen nicht mehr auf den Zugriff aus. Bevor Sie ACLs deaktivieren, überprüfen Sie Ihre Bucket- und Objekt-ACLs.

Jede Ihrer vorhandenen Bucket- und Objekt-ACLs hat ein Äquivalent in einer IAM-Richtlinie. Die folgenden Beispiele für Bucket-Richtlinien zeigen, wie READ- und WRITE-Berechtigungen für Bucket- und Objekt-ACLs IAM-Berechtigungen zugeordnet werden. Weitere Informationen dazu, wie jede ACL in IAM-Berechtigungen übersetzt wird, finden Sie unter Mapping der ACL-Berechtigungen und Zugriffsrichtlinienberechtigungen.

Bevor Sie ACLs deaktivieren:

  • Wenn Ihre Bucket ACL Zugriff außerhalb Ihres AWS-Kontos gewährt, müssen Sie zunächst Ihre Bucket ACL-Berechtigungen in Ihre Bucket-Richtlinie migrieren.

  • Als Nächstes setzen Sie Ihre Bucket-ACL auf die standardmäßige private ACL zurück.

  • Wir empfehlen Ihnen außerdem, Ihre ACL-Berechtigungen auf Objektebene zu überprüfen und sie in Ihre Bucket-Richtlinie zu übertragen.

Wenn Ihre Bucket-ACLs anderen Personen außerhalb Ihres Kontos Lese- oder Schreibrechte gewähren, müssen Sie diese Rechte in Ihre Bucket-Richtlinie migrieren, bevor Sie die ACLs deaktivieren können. Nachdem Sie diese Berechtigungen migriert haben, können Sie Object Ownership auf die Einstellung Bucket owner enforced setzen. Wenn Sie keine Bucket-ACLs migrieren, die Lese- oder Schreibzugriff außerhalb Ihres Kontos gewähren, schlägt Ihre Anfrage zum Anwenden der Einstellung „Bucket-Eigentümer erzwungen“ fehl und gibt den Fehlercode InvalidBucketAclWithObjectOwnership zurück.

Wenn Ihre Bucket-ACL Zugriff außerhalb Ihres AWS-Konto gewährt, müssen Sie vor dem Deaktivieren von ACLs Ihre Bucket-ACL-Berechtigungen in Ihre Bucket-Richtlinie migrieren und Ihre Bucket-ACL auf die private Standard-ACL zurücksetzen. Wenn Sie nicht migrieren und zurücksetzen, schlägt Ihre Anforderung, die vom Bucket-Eigentümer erzwungene Einstellung zum Deaktivieren von ACLs anzuwenden, fehl und gibt den Fehlercode InvalidBucketAclWithObjectOwnership zurück. Wir empfehlen Ihnen auch, die ACL-Berechtigungen für das Objekt zu überprüfen und sie in Ihre Bucket-Richtlinie zu migrieren.

Informationen zum Überprüfen und Migrieren von ACL-Berechtigungen zu Bucket-Richtlinien finden Sie in den folgenden Themen.

Beispiele für Bucket-Richtlinie

Diese Beispiel-Bucket-Richtlinien zeigen Ihnen, wie Sie READ- und WRITE-Bucket- und Objekt-ACL-Berechtigungen für einen Drittanbieter AWS-Konto in eine Bucket-Richtlinie migrieren. READ_ACP- und WRITE_ACP-ACLs sind für Richtlinien weniger relevant, da sie ACL-bezogene Berechtigungen gewähren (s3:GetBucketAcl, s3:GetObjectAcl, s3:PutBucketAcl und s3:PutObjectAcl).

Beispiel — READ-ACL für einen Bucket

Wenn Ihr Bucket über eine READ-ACL verfügt, die dem AWS-Konto 111122223333 die Berechtigung zum Auflisten des Inhalts Ihres Buckets gewährt, können Sie eine Bucket-Richtlinie schreiben, die s3:ListBucket-, s3:ListBucketVersions- und s3:ListBucketMultipartUploads-Berechtigungen für Ihren Bucket gewährt.

JSON
{
		"Version":"2012-10-17",		 	 	 
		"Statement": [
			{
				"Sid": "Permission to list the objects in a bucket",
				"Effect": "Allow",
				"Principal": {
					"AWS": [

						"arn:aws:iam::111122223333:root"
					]
				},
				"Action": [
					"s3:ListBucket",
					"s3:ListBucketVersions",
					"s3:ListBucketMultipartUploads"
				],
				"Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
			}
		]
	}
Beispiel – READ-ACLs für jedes Objekt in einem Bucket

Wenn jedes Objekt in Ihrem Bucket über eine READ-ACL verfügt, die Zugriff auf das AWS-Konto 111122223333 gewährt, können Sie eine Bucket-Richtlinie schreiben, die diesem Konto für jedes Objekt in Ihrem Bucket s3:GetObject- und s3:GetObjectVersion-Berechtigungen gewährt.

JSON
{
		"Version":"2012-10-17",		 	 	 
		"Statement": [
			{
				"Sid": "Read permission for every object in a bucket",
				"Effect": "Allow",
				"Principal": {
					"AWS": [
						"arn:aws:iam::111122223333:root"
					]
				},
				"Action": [
					"s3:GetObject",
					"s3:GetObjectVersion"
				],
				"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
			}
		]
	}

Dieses Beispiel-Ressourcenelement gewährt Zugriff auf ein bestimmtes Objekt.

"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/OBJECT-KEY"
Beispiel – WRITE-ACL, die Berechtigungen zum Schreiben von Objekten in einen Bucket erteilt

Wenn Ihr Bucket über eine WRITE-ACL verfügt, die dem AWS-Konto 111122223333 die Berechtigung zum Schreiben von Objekten in Ihren Bucket gewährt, können Sie eine Bucket-Richtlinie schreiben, die s3:PutObject-Berechtigung für Ihren Bucket erteilt.

JSON
{
		"Version":"2012-10-17",		 	 	 
		"Statement": [
			{
				"Sid": "Permission to write objects to a bucket",
				"Effect": "Allow",
				"Principal": {
					"AWS": [
						"arn:aws:iam::111122223333:root"
					]
				},
				"Action": [
					"s3:PutObject"
				],
				"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
			}
		]
	}

Überprüfen und Migrieren von ACL-Berechtigungen mit der S3-Konsole

So überprüfen Sie die ACL-Berechtigungen eines Buckets

  1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie in der Liste Buckets den Namen des Buckets aus.

  3. Wählen Sie die Registerkarte Permissions (Berechtigungen).

  4. Überprüfen Sie unter Zugriffskontrollliste (ACL) Ihre Bucket-ACL-Berechtigungen.

So überprüfen Sie die ACL-Berechtigungen eines Objekts

  1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie in der Liste Buckets den Namen des Buckets aus, der Ihr Objekt enthält.

  3. Wählen Sie in der Liste Objekts (Objekte) den Objektnamen aus.

  4. Wählen Sie die Registerkarte Permissions (Berechtigungen).

  5. Überprüfen Sie unter Zugriffskontrollliste (ACL) Ihre Objekt-ACL-Berechtigungen.

So migrieren Sie ACL-Berechtigungen und aktualisieren Ihre Bucket-ACL

  1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie in der Liste Buckets den Namen des Buckets aus.

  3. Wählen Sie auf der Registerkarte Berechtigungen unter Bucket-Richtlinie die Option Bearbeiten aus.

  4. Fügen Sie im Feld Richtlinie Ihre Bucket-Richtlinie hinzu oder aktualisieren Sie sie.

    Beispiele für Bucket-Richtlinien finden Sie unter Beispiele für Bucket-Richtlinie und Beispielanwendungsfälle.

  5. Wählen Sie Save Changes (Änderungen speichern).

  6. Aktualisieren Sie Ihre Bucket ACL um Zuschüsse für andere Gruppen oder AWS-Konten zu entfernen.

  7. Wenden Sie die Einstellung Bucket-Eigentümer erzwungen für die Objekteigentümerschaft an.

Verwendung der AWS CLI um ACL-Berechtigungen zu überprüfen und zu migrieren

  1. Um die Bucket ACL für Ihren Bucket zurückzugeben, verwenden Sie den AWS CLI-Befehl get-bucket-acl:

    aws s3api get-bucket-acl --bucket amzn-s3-demo-bucket

    Zum Beispiel gewährt dieser Bucket-ACL WRITE- und READ-Zugriff auf ein Drittanbieter-Konto. In dieser ACL wird das Drittanbieterkonto durch die kanonische Benutzer-ID identifiziert. Um die Einstellung „Bucket-Eigentümer erzwungen“ anzuwenden und ACLs zu deaktivieren, müssen Sie diese Berechtigungen für das Drittanbieterkonto zu einer Bucket-Richtlinie migrieren. 

    {
		"Owner": {
			"DisplayName": "DOC-EXAMPLE-ACCOUNT-OWNER",
			"ID": "852b113e7a2f25102679df27bb0ae12b3f85be6BucketOwnerCanonicalUserID"
		},
		"Grants": [
			{
				"Grantee": {
					"DisplayName": "DOC-EXAMPLE-ACCOUNT-OWNER",
					"ID": "852b113e7a2f25102679df27bb0ae12b3f85be6BucketOwnerCanonicalUserID",
					"Type": "CanonicalUser"
				},
				"Permission": "FULL_CONTROL"
			},
			{
				"Grantee": {
					"DisplayName": "THIRD-PARTY-EXAMPLE-ACCOUNT",
					"ID": "72806de9d1ae8b171cca9e2494a8d1335dfced4ThirdPartyAccountCanonicalUserID",
					"Type": "CanonicalUser"
				},
				"Permission": "READ"
			},
			{
				"Grantee": {
					"DisplayName": "THIRD-PARTY-EXAMPLE-ACCOUNT",
					"ID": "72806de9d1ae8b171cca9e2494a8d1335dfced4ThirdPartyAccountCanonicalUserID",
					"Type": "CanonicalUser"
				},
				"Permission": "WRITE"
			}
		]
	}

    Weitere Beispiel-ACLs finden Sie unter Beispielanwendungsfälle.

  2. Migrieren Sie Ihre Bucket-ACL-Berechtigungen auf eine Bucket-Richtlinie:

    In diesem Beispiel gewährt Bucket-Richtlinien s3:PutObject und s3:ListBucketBerechtigungen für ein Drittanbieterkonto. In der Bucket-Richtlinie wird das Drittanbieterkonto durch die AWS-Konto-ID (111122223333) identifiziert.

    aws s3api put-bucket-policy --bucket amzn-s3-demo-bucket --policy file://policy.json

	policy.json:
	{
		"Version": "2012-10-17"		 	 	 ,		 	 	 TCX5-2025-waiver;,
		"Statement": [
			{
				"Sid": "PolicyForCrossAccountAllowUpload",
				"Effect": "Allow",
				"Principal": {
					"AWS": [
						"arn:aws:iam::111122223333:root"
					]
				},
				"Action": [
					"s3:PutObject",
					"s3:ListBucket"
				],
				"Resource": [
					"arn:aws:s3:::amzn-s3-demo-bucket",
					"arn:aws:s3:::amzn-s3-demo-bucket/*"
			}
		]
	}

    Weitere Beispiele für Bucket-Richtlinien finden Sie unter Beispiele für Bucket-Richtlinie und Beispielanwendungsfälle.

  3. Um die ACL für ein bestimmtes Objekt zurückzugeben, verwenden Sie den AWS CLI-Befehl get-object-acl.

    aws s3api get-object-acl --bucket amzn-s3-demo-bucket --key EXAMPLE-OBJECT-KEY

  4. Migrieren Sie bei Bedarf Objekt-ACL-Berechtigungen auf Ihre Bucket-Richtlinie.

    Dieses Beispiel-Ressourcenelement gewährt Zugriff auf ein bestimmtes Objekt in einer Bucket-Richtlinie.

    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/EXAMPLE-OBJECT-KEY"

  5. Setzen Sie die ACL für Ihren Bucket auf die Standard-ACL zurück.

    aws s3api put-bucket-acl --bucket amzn-s3-demo-bucket --acl private

  6. Wenden Sie die Einstellung „Bucket-Eigentümer erzwungen“ für die Objekteigentümerschaft an.

Identifizieren von Anforderungen, für die eine ACL zur Autorisierung erforderlich war

Wenn Sie Amazon-S3-Anforderungen identifizieren möchten, für die ACLs zur Autorisierung erforderlich waren, können Sie den Wert aclRequired in den Amazon-S3-Serverzugriffsprotokollen oder AWS CloudTrail verwenden. Wenn für die Anforderung eine ACL zur Autorisierung erforderlich war oder wenn Sie PUT-Anfragen haben, die eine ACL angeben, lautet die Zeichenfolge Yes. Wenn keine ACLs erforderlich waren oder Sie eine vordefinierte bucket-owner-full-control-ACL einrichten oder die Anfragen von Ihrer Bucket-Richtlinie zugelassen werden, lautet die aclRequired-Wertzeichenfolge in den Amazon S3-Serverzugriffsprotokollen „-“ und in CloudTrail fehlt sie. Weitere Informationen zu den erwarteten Werten für aclRequired finden Sie unter aclRequired-Werte für allgemeine Amazon-S3-Anfragen.

Wenn Sie PutBucketAcl- oder PutObjectAcl-Anfragen mit Headern haben, die ACL-basierte Berechtigungen gewähren, mit Ausnahme der vordefinierten bucket-owner-full-control-ACL, müssen Sie diese Header entfernen, bevor Sie ACLs deaktivieren können. Andernfalls schlagen Ihre Anfragen fehl.

Für alle anderen Anfragen, für die eine ACL zur Autorisierung erforderlich war, migrieren Sie diese ACL-Berechtigungen zu Bucket-Richtlinien. Entfernen Sie dann alle Bucket-ACLs, bevor Sie die Einstellung „Bucket-Eigentümer erzwungen“ aktivieren.

Anmerkung

Entfernen Sie keine Objekt-ACLs. Andernfalls verlieren Anwendungen, die bezüglich Berechtigungen auf Objekt-ACLs angewiesen sind, den Zugriff.

Wenn Sie feststellen, dass für keine Anfrage eine ACL für die Autorisierung erforderlich ist, können Sie mit der Deaktivierung der ACLs fortfahren. Weitere Informationen zur Identifizierung von Anfragen finden Sie unter Verwenden von Amazon-S3-Serverzugriffsprotokollen zur Identifizierung von Anforderungen und Identifizieren von Amazon-S3-Anfragen mit CloudTrail.

Überprüfen und aktualisieren Sie Bucket-Richtlinien, die ACL-bezogene Bedingungsschlüssel verwenden

Nachdem Sie die Einstellung „Bucket-Eigentümer erzwungen“ zum Deaktivieren von ACLs angewendet haben, können neue Objekte nur dann in Ihren Bucket hochgeladen werden, wenn die Anforderung Vollzugriffs-ACLs des Bucket-Eigentümers verwendet oder keine ACL angibt. Bevor Sie ACLs deaktivieren, überprüfen Sie Ihre Bucket-Richtlinie auf ACL-bezogene Bedingungsschlüssel.

Wenn Ihre Bucket-Richtlinie einen ACL-bezogenen Bedingungsschlüssel verwendet, um die bucket-owner-full-control vordefinierte ACL (z. B. s3:x-amz-acl) anzufordern, müssen Sie Ihre Bucket-Richtlinie nicht aktualisieren. Die folgende Bucket-Richtlinie verwendet das s3:x-amz-acl, um die vordefinierte bucket-owner-full-control-ACL für S3-PutObject-Anforderungen anzufordern. Diese Richtlinie erfordert immer noch, dass der Objekt-Writer die vordefinierte bucket-owner-full-control-ACL angibt. Buckets mit deaktivierten ACLs akzeptieren diese ACL jedoch weiterhin, sodass Anfragen weiterhin erfolgreich sind, ohne dass clientseitige Änderungen erforderlich sind.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "OnlyAllowWritesToMyBucketWithBucketOwnerFullControl",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:user/ExampleUser"
                ]
            },
            "Action": [
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}

Wenn Ihre Bucket-Richtlinie jedoch einen Zustandsschlüssel im Zusammenhang mit ACL verwendet, der eine andere Zugriffssteuerungsliste erfordert, müssen Sie diesen Bedingungsschlüssel entfernen. Diese Beispiel-Bucket-Richtlinie erfordert die public-read-ACL für PutObject-S3-Anforderungen und muss daher vor dem Deaktivieren von ACLs aktualisiert werden.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Only allow writes to my bucket with public read access",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:user/ExampleUser"                ]
            },
            "Action": [
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "public-read"
                }
            }
        }
    ]
}

Beispielanwendungsfälle

Die folgenden Beispiele zeigen, wie Sie ACL-Berechtigungen für bestimmte Anwendungsfälle zu Bucket-Richtlinien migrieren.

Gewähren von Zugriff auf die S3-Protokollbereitstellungsgruppe für die Protokollierung des Serverzugriffs

Wenn Sie die Einstellung „Von Bucket-Besitzer erzwungen“ zur Deaktivierung von ACLs für einen Serverzugriffsprotokollierungs-Ziel-Bucket (Ziel-Bucket) verwenden möchten, müssen Sie die Bucket-ACL-Berechtigungen für die S3-Protokollbereitstellungsgruppe zum Prinzipal des Protokollierungsservices (logging.s3.amazonaws.com) in einer Bucket-Richtlinie migrieren. Weitere Informationen zu Berechtigungen für die Protokollzustellung finden Sie unter Berechtigungen für Protokollbereitstellung.

Diese Bucket-ACL gewährt WRITE- und READ_ACP-Zugriff auf die S3-Logbereitstellungsgruppe:

{
    "Owner": {
        "DisplayName": "DOC-EXAMPLE-ACCOUNT-OWNER", 
        "ID": "852b113e7a2f25102679df27bb0ae12b3f85be6BucketOwnerCanonicalUserID"
    }, 
    "Grants": [
        {
            "Grantee": {
                "Type": "CanonicalUser", 
                "DisplayName": "DOC-EXAMPLE-ACCOUNT-OWNER", 
                "ID": "852b113e7a2f25102679df27bb0ae12b3f85be6BucketOwnerCanonicalUserID"
            }, 
            "Permission": "FULL_CONTROL"
        }, 
        {
            "Grantee": {
                "Type": "Group", 
                "URI": "http://acs.amazonaws.com/groups/s3/LogDelivery"
            }, 
            "Permission": "WRITE"
        }, 
        {
            "Grantee": {
                "Type": "Group", 
                "URI": "http://acs.amazonaws.com/groups/s3/LogDelivery"
            }, 
            "Permission": "READ_ACP"
        }
    ]
}
So migrieren Sie Bucket-ACL-Berechtigungen für die S3-Protokollbereitstellungsgruppe zum Protokollierungsdienstprinzipal in einer Bucket-Richtlinie

  1. Fügen Sie Ihrem Ziel-Bucket die folgende Bucket-Richtlinie hinzu. wobei Sie die Beispielwerte ersetzen.

    aws s3api put-bucket-policy --bucket amzn-s3-demo-bucket --policy file://policy.json

policy.json:						{
    {
    "Version": "2012-10-17"		 	 	 ,		 	 	 TCX5-2025-waiver;,
    "Statement": [
        {
            "Sid": "S3ServerAccessLogsPolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "logging.s3.amazonaws.com"
            },
            "Action": [
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/EXAMPLE-LOGGING-PREFIX*",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:s3:::SOURCE-BUCKET-NAME"
                },
                "StringEquals": {
                    "aws:SourceAccount": "SOURCE-AWS-ACCOUNT-ID"
                }
            }
        }
    ]
}

  2. Setzen Sie die ACL für Ihren Ziel-Bucket auf die Standard-ACL zurück.

    aws s3api put-bucket-acl --bucket amzn-s3-demo-bucket --acl private

  3. Wenden Sie die Einstellung „Von Bucket-Besitzer erzwungen“ für den Objektbesitz auf Ihren Ziel-Bucket an.

Öffentlichen Lesezugriff auf die Objekte in einem Bucket gewähren

Wenn Ihre Objekt-ACLs öffentlichen Lesezugriff auf alle Objekte in Ihrem Bucket gewähren, können Sie diese ACL-Berechtigungen auf eine Bucket-Richtlinie migrieren.

Diese Objekt-ACL gewährt öffentlichen Lesezugriff auf ein Objekt in einem Bucket:

{
    "Owner": {
        "DisplayName": "DOC-EXAMPLE-ACCOUNT-OWNER",
        "ID": "852b113e7a2f25102679df27bb0ae12b3f85be6BucketOwnerCanonicalUserID"
    },
    "Grants": [
        {
            "Grantee": {
                "DisplayName": "DOC-EXAMPLE-ACCOUNT-OWNER",
                "ID": "852b113e7a2f25102679df27bb0ae12b3f85be6BucketOwnerCanonicalUserID",
                "Type": "CanonicalUser"
            },
            "Permission": "FULL_CONTROL"
        },
        {
            "Grantee": {
                "Type": "Group",
                "URI": "http://acs.amazonaws.com/groups/global/AllUsers"
            },
            "Permission": "READ"
        }
    ]
}
So migrieren Sie Berechtigungen für öffentliche Lese-ACL auf eine Bucket-Richtlinie

  1. Um öffentlichen Lesezugriff auf alle Objekte in Ihrem Bucket zu gewähren, fügen Sie die folgende Bucket-Richtlinie hinzu und ersetzen Sie die Beispielwerte.

    aws s3api put-bucket-policy --bucket amzn-s3-demo-bucket --policy file://policy.json

policy.json:
{
    "Version": "2012-10-17"		 	 	 ,		 	 	 TCX5-2025-waiver;,
    "Statement": [
        {
            "Sid": "PublicReadGetObject",
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

    Um öffentlichen Zugriff auf ein bestimmtes Objekt in einer Bucket-Richtlinie zu gewähren, verwenden Sie das folgende Format für das Resource-Element. 

    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/OBJECT-KEY"

    Um öffentlichen Zugriff auf alle Objekte mit einem bestimmten Präfix zu gewähren, verwenden Sie das folgende Format für das Resource-Element. 

    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/PREFIX/*"

  2. Wenden Sie die Einstellung „Bucket-Eigentümer erzwungen“ für die Objekteigentümerschaft an.

Gewähren von Amazon-ElastiCache (Redis OOS)-Zugriff auf Ihren S3-Bucket

Sie können Ihr ElastiCache (Redis OSS)-Backup in einen S3-Bucket exportieren, wodurch Sie von außerhalb von ElastiCache Zugriff auf das Backup erhalten. Um Ihre Sicherung in einen S3-Bucket zu exportieren, müssen Sie ElastiCache-Berechtigungen erteilen, um einen Snapshot in den Bucket zu kopieren. Wenn Sie in einer Bucket-ACL Berechtigungen für ElastiCache erteilt haben, müssen Sie diese Berechtigungen zu einer Bucket-Richtlinie migrieren, bevor Sie die Einstellung „Bucket-Eigentümer erzwungen“ anwenden, um ACLs zu deaktivieren. Weitere Informationen finden Sie unter Gewähren Sie ElastiCache Zugriff auf Ihren Amazon-S3-Bucket im Amazon-ElastiCache-Benutzerhandbuch.

Das folgende Beispiel zeigt die Bucket-ACL-Berechtigungen, die ElastiCache Berechtigungen erteilen. 

{
    "Owner": {
        "DisplayName": "DOC-EXAMPLE-ACCOUNT-OWNER",
        "ID": "852b113e7a2f25102679df27bb0ae12b3f85be6BucketOwnerCanonicalUserID"
    },
    "Grants": [
        {
            "Grantee": {
                "DisplayName": "DOC-EXAMPLE-ACCOUNT-OWNER",
                "ID": "852b113e7a2f25102679df27bb0ae12b3f85be6BucketOwnerCanonicalUserID",
                "Type": "CanonicalUser"
            },
            "Permission": "FULL_CONTROL"
        },
        {
            "Grantee": {
                "DisplayName": "aws-scs-s3-readonly",
                "ID": "540804c33a284a299d2547575ce1010f2312ef3da9b3a053c8bc45bf233e4353",
                "Type": "CanonicalUser"
            },
            "Permission": "READ"
        },
        {
            "Grantee": {
                "DisplayName": "aws-scs-s3-readonly",
                "ID": "540804c33a284a299d2547575ce1010f2312ef3da9b3a053c8bc45bf233e4353",
                "Type": "CanonicalUser"
            },
            "Permission": "WRITE"
        },
        {
            "Grantee": {
                "DisplayName": "aws-scs-s3-readonly",
                "ID": "540804c33a284a299d2547575ce1010f2312ef3da9b3a053c8bc45bf233e4353",
                "Type": "CanonicalUser"
            },
            "Permission": "READ_ACP"
        }
    ]
}
So migrieren Sie Bucket-ACL-Berechtigungen für ElastiCache (Redis OSS) zu einer Bucket-Richtlinie

  1. Fügen Sie Ihrem Bucket die folgende Bucket-Richtlinie hinzu und ersetzen Sie die Beispielwerte.

    aws s3api put-bucket-policy --bucket amzn-s3-demo-bucket --policy file://policy.json

policy.json:
{
    "Version": "2012-10-17"		 	 	 ,		 	 	 TCX5-2025-waiver;,
    "Statement": [
        {
            "Sid": "Stmt15399483",
            "Effect": "Allow",
            "Principal": {
                "Service": "Region.elasticache-snapshot.amazonaws.com"
            },
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:GetBucketAcl",
                "s3:ListMultipartUploadParts",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

  2. Setzen Sie die ACL für Ihren Bucket auf die Standard-ACL zurück:

    aws s3api put-bucket-acl --bucket amzn-s3-demo-bucket --acl private

  3. Wenden Sie die Einstellung „Bucket-Eigentümer erzwungen“ für die Objekteigentümerschaft an.