Auftraggeber Ressourcen Aktionen für Verzeichnis-Buckets

Autorisieren regionaler Endpunkt-API-Operationen mit IAM

AWS Identity and Access Management (IAM) ist ein AWS-Service, mit dem Administratoren den Zugriff auf AWS-Ressourcen sicher steuern können. IAM-Administratoren steuern, wer authentifiziert (angemeldet) und autorisiert (berechtigt) werden kann, Amazon S3-Ressourcen in Verzeichnis-Buckets und S3 Express One Zone-Vorgängen zu nutzen. Sie können IAM ohne zusätzliche Kosten nutzen.

Standardmäßig haben Benutzer keine Berechtigungen für Verzeichnis-Buckets. Um Zugriffsberechtigungen für Verzeichnis-Buckets zu gewähren, können Sie IAM verwenden, um Benutzer, Gruppen oder Rollen zu erstellen und diesen Identitäten Berechtigungen zuzuweisen. Weitere Informationen finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.

Um Zugriff zu gewähren, können Sie Ihren Benutzern, Gruppen oder Rollen auf die folgenden Weisen Berechtigungen hinzufügen:

Benutzer und Gruppen in AWS IAM Identity Center – Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center-Benutzerhandbuch.
In IAM über einen Identitätsanbieter verwaltete Benutzer – Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anweisungen unter Erstellen einer Rolle für einen externen Identitätsanbieter (Verbund) im IAM-Benutzerhandbuch.
IAM-Rollen und -Benutzer – Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anweisungen in Erstellen einer Rolle, um Berechtigungen an einen IAM-Benutzer zu delegieren im IAM-Benutzerhandbuch.

Weitere Informationen zu IAM für S3 Express One Zone finden Sie in den folgenden Themen.

Themen

Auftraggeber

Wenn Sie eine ressourcenbasierte Richtlinie erstellen, um Zugriff auf Ihre Buckets zu gewähren, müssen Sie das Principal-Element verwenden, um die Person oder Anwendung anzugeben, die eine Anforderung für eine Aktion oder einen Vorgang auf dieser Ressource stellen kann. Für Verzeichnis-Bucket-Richtlinien können Sie die folgenden Prinzipale verwenden:

Ein AWS-Konto
Ein IAM-Benutzer
Eine IAM-Rolle
Ein Verbundbenutzer

Weitere Informationen finden Sie unter Principal im IAM-Benutzerhandbuch.

Ressourcen

Amazon-Ressourcennamen (ARNs) für Verzeichnis-Buckets enthalten den s3express-Namespace, die AWS-Region, die AWS-Konto-ID und den Verzeichnis-Bucket-Namen, der die AWS-Zone-ID (eine Availability Zone oder Local Zone ID) beinhaltet.

Wenn Sie auf Ihren Verzeichnis-Bucket zugreifen und Aktionen für diesen ausführen möchten, müssen Sie das folgende ARN-Format verwenden:


arn:aws:s3express:region:account-id:bucket/base-bucket-name--zone-id--x-s3

Um auf Ihren Zugangspunkt für einen Verzeichnis-Bucket zuzugreifen und dort Aktionen auszuführen, müssen Sie das folgende ARN-Format verwenden:


arn:aws::s3express:region:account-id:accesspoint/accesspoint-basename--zone-id--xa-s3

Weitere Informationen finden Sie unter Amazon Resource Names (ARNs) im IAM-Benutzerhandbuch. Weitere Informationen zu Ressourcen finden Sie unter IAM-JSON-Richtlinienelemente: Resource im IAM-Benutzerhandbuch.

Aktionen für Verzeichnis-Buckets

In einer auf IAM-Identitäten oder auf Ressourcen basierenden Richtlinie legen Sie fest, welche S3--Aktionen zugelassen sind oder oder abgelehnt werden. Aktionen entsprechen bestimmten API-Operationen. Bei Verzeichnis-Buckets müssen Sie den Namespace „S3 Express One Zone“ verwenden, um Berechtigungen zu erteilen, die als s3express bezeichnet werden.

Wenn Sie die Berechtigung s3express:CreateSession zulassen, ruft die API-Operation CreateSession ein temporäres Sitzungs-Token für alle Zonal Endpunkt API-Operationen (Objektebene) ab. Das Sitzungs-Token gibt Anmeldeinformationen zurück, die für alle anderen Vorgänge der Zonal Endpunkt API verwendet werden. Daher gewähren Sie mit IAM-Richtlinien keine Zugriffsberechtigungen für zonale API-Vorgänge. CreateSession aktiviert stattdessen den Zugriff für alle Operationen auf Objektebene. Eine Liste der Zonal-API-Vorgänge und Berechtigungen finden Sie unter Authentifizierung und Autorisierung von Anfragen.

Weitere Informationen zum CreateSession-API-Vorgang finden Sie unter CreateSession in der Amazon-Simple-Storage-Service-API-Referenz.

Sie können die folgenden Aktionen im Element Action einer IAM-Richtlinienanweisung angeben. Verwenden Sie Richtlinien, um Berechtigungen zum Ausführen einer Operation in AWS zu erteilen. Wenn Sie eine Aktion in einer Richtlinie verwenden, gestatten oder verweigern Sie in der Regel den Zugriff auf den API-Vorgang mit demselben Namen. Dabei kann es mitunter vorkommen, dass eine einzige Aktion den Zugriff auf mehr als eine API-Operation steuert. Der Zugriff auf Aktionen auf Bucket-Ebene kann nur über identitätsbasierte IAM-Richtlinien (Benutzer oder Rolle) und nicht über Bucket-Richtlinien gewährt werden.

Weitere Informationen über das Konfigurieren von Zugangspunktrichtlinien finden Sie unter Konfigurieren von IAM-Richtlinien für die Verwendung von Zugangspunkten für Verzeichnis-Buckets.

Weitere Informationen finden Sie unter Aktionen, Ressourcen und Zustandsschlüssel für Amazon S3 Express.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Authentifizieren und Autorisieren von Anforderungen

Identitätsbasierte Richtlinien