Zugriffsverwaltung

Amazon S3 enthält eine Vielzahl von Zugriffsverwaltungstools. Im Folgenden finden Sie eine Liste dieser Features und Tools. Sie benötigen nicht alle diese Zugriffsverwaltungstools, aber Sie müssen eines oder mehrere verwenden, um Zugriff auf Ihre Amazon-S3-Buckets, Objekte und andere S3-Ressourcen zu gewähren. Die ordnungsgemäße Anwendung dieser Tools kann sicherstellen, dass Ihre Ressourcen nur für die vorgesehenen Benutzer zugänglich sind.

Das am häufigsten verwendete Zugriffsverwaltungstool ist eine Zugriffsrichtlinie. Eine Zugriffsrichtlinie kann eine ressourcenbasierte Richtlinie sein, die an eine AWS-Ressource angehängt ist, z .B. eine Bucket-Richtlinie für einen Bucket. Eine Zugriffsrichtlinie kann auch eine identitätsbasierte Richtlinie sein, die an eine AWS Identity and Access Management (IAM)-Identität angefügt ist, z B. einen IAM-Benutzer, eine -Gruppe oder eine -Rolle. Eine Zugriffsrichtlinie beschreibt, wer Zugriff auf welche Objekte hat. Schreiben Sie eine Zugriffsrichtlinie, um AWS-Konten und IAM-Benutzern, -Gruppen und -Rollen die Erlaubnis zu erteilen, Operationen an einer Ressource auszuführen. Sie können beispielsweise die PUT Object-Berechtigung einem anderen AWS-Konto-Konto erteilen, sodass das andere Konto Objekte in Ihren Bucket hochladen kann.

Nachstehend sind die in Amazon S3 verfügbaren Zugriffsverwaltungstools aufgeführt. Eine umfassendere Anleitung zur Amazon-S3-Zugriffssteuerung finden Sie unter Zugriffskontrolle in Amazon S3.

Bucket-Richtlinie

Eine Amazon-S3-Bucket-Richtlinie ist eine ressourcenbasierte AWS Identity and Access Management (IAM)-Richtlinie im JSON-Format, die an einen bestimmten Bucket angehängt ist. Verwenden Sie Bucket-Richtlinien, um anderen AWS-Konten oder IAM-Identitäten Berechtigungen für den Bucket und die darin enthaltenen Objekte zu erteilen. Viele Anwendungsfälle für die S3-Zugriffsverwaltung können durch die Verwendung einer Bucket-Richtlinie abgedeckt werden. Mit Bucket-Richtlinien können Sie den Zugriff auf Buckets personalisieren, um sicherzustellen, dass nur die von Ihnen genehmigten Identitäten auf Ressourcen zugreifen und Aktionen innerhalb dieser ausführen können. Weitere Informationen finden Sie unter Bucket-Richtlinien für Amazon S3.

Identitätsbasierte Richtlinien

Eine identitätsbasierte oder IAM-Benutzerrichtlinie ist eine Art von AWS Identity and Access Management (IAM)-Richtlinie. Eine identitätsbasierte Richtlinie ist eine JSON-formatierte Richtlinie, die IAM-Benutzern, -Gruppen oder -Rollen in Ihrem AWS-Konto zugewiesen wird. Sie können identitätsbasierte Richtlinien verwenden, um einer IAM-Identität Zugriff auf Ihre Buckets oder Objekte zu gewähren. Sie können IAM-Benutzer, Gruppen und Rollen in Ihrem Konto erstellen und ihnen Zugriffsrichtlinien zuordnen. Sie können dann Zugriff auf AWS-Ressourcen gewähren, einschließlich Amazon-S3-Ressourcen. Weitere Informationen finden Sie unter Identitätsbasierte Richtlinien für Amazon S3.

S3 Access Grants

Verwenden Sie S3 Access Grants, um Zugriffsgewährungen für Ihre Amazon-S3-Daten für beide Identitäten in Unternehmensidentitätsverzeichnissen wie Active Directory, und für AWS Identity and Access Management (IAM)-Identitäten zu erstellen. S3 Access Grants hilft Ihnen dabei, Datenberechtigungen in großem Umfang zu verwalten. Darüber hinaus protokolliert S3 Access Grants die Identität des Endbenutzers und die Anwendung, die für den Zugriff auf die S3-Daten in AWS CloudTrail verwendet wurde. Dies bietet einen detaillierten Auditverlauf bis hin zur Endbenutzeridentität für alle Zugriffe auf die Daten in Ihren S3-Buckets. Weitere Informationen finden Sie unter Verwalten des Zugriffs mit S3-Zugriffsberechtigungen.

Zugriffspunkte

Amazon S3 Access Points vereinfacht die Verwaltung des Datenzugriffs in großem Maßstab für Anwendungen, die gemeinsam genutzte Datensätze auf S3 verwenden. Zugangspunkte sind benannte Netzwerkendpunkte, die einem Bucket zugeordnet sind. Sie können Zugangspunkte verwenden, um S3-Objektoperationen in großem Maßstab auszuführen, wie z. B. das Hochladen und Abrufen von Objekten. Einem Bucket können bis zu 10 000 Zugangspunkte zugeordnet sein, und für jeden Zugangspunkt können Sie unterschiedliche Berechtigungen und Netzwerksteuerungen erzwingen, um Ihnen detaillierte Kontrolle über den Zugriff auf Ihre S3-Objekte zu ermöglichen. S3 Access Points können mit Buckets im selben Konto oder in einem anderen vertrauenswürdigen Konto verknüpft werden. Bei Access-Points-Richtlinien handelt es sich um ressourcenbasierte Richtlinien, die in Verbindung mit der zugrunde liegenden Bucket-Richtlinie bewertet werden. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf gemeinsam genutzte Datensätze mit Zugangspunkten.

Zugriffskontrollliste (Access Control List, ACL)

Eine ACL listet die erteilten Gewährungen auf, die den Empfänger und die erteilte Berechtigung identifizieren. Sie können ACLs verwenden, um anderen AWS-Konten grundlegende Lese- oder Schreibberechtigungen zu erteilen. ACLs verwenden ein für Amazon S3 spezifisches XML-Schema. Eine ACL ist eine Art von AWS Identity and Access Management (IAM)-Richtlinie. Eine Objekt-ACL wird verwendet, um den Zugriff auf ein Objekt zu verwalten, und eine Bucket-ACL wird verwendet, um den Zugriff auf einen Bucket zu verwalten. Bei Bucket-Richtlinien gibt es eine einzige Richtlinie für den gesamten Bucket, während Objekt-ACLs für jedes einzelne Objekt festgelegt werden. Wir empfehlen, ACLs deaktiviert zu lassen, außer in außergewöhnlichen Fällen, in denen Sie den Zugriff für jedes Objekt individuell steuern müssen. Weitere Informationen zur Verwendung von ACLs finden Sie unter Weitere Informationen finden Sie unter Steuern des Eigentums an Objekten und Deaktivieren von ACLs für Ihren Bucket..

Warnung

Die meisten modernen Anwendungsfälle in Amazon S3 erfordern keine Verwendung von ACLs.

Object Ownership

Um den Zugriff auf Ihre Objekte zu verwalten, müssen Sie der Eigentümer des Objekts sein. Sie können die Bucket-Einstellung für Object Ownership verwenden, um die Eigentümerschaft von Objekten zu steuern, die in Ihren Bucket hochgeladen werden. Verwenden Sie außerdem Object Ownership, um ACLs zu aktivieren. Standardmäßig ist Object Ownership auf die Einstellung Bucket-Eigentümer erzwungen festgelegt und alle ACLs sind deaktiviert. Wenn ACLs deaktiviert sind, besitzt der Bucket-Eigentümer alle Objekte im Bucket und verwaltet den Zugriff auf die Daten ausschließlich selbst. Um den Zugriff zu verwalten, verwendet der Bucket-Eigentümer Richtlinien oder ein anderes Zugriffsverwaltungstool, ausgenommen ACLs. Weitere Informationen finden Sie unter Weitere Informationen finden Sie unter Steuern des Eigentums an Objekten und Deaktivieren von ACLs für Ihren Bucket..

Eine umfassendere Anleitung zur Amazon-S3-Zugriffssteuerung und weitere bewährte Methoden finden Sie unter Zugriffskontrolle in Amazon S3.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Konfigurations- und Schwachstellenanalyse

Amazon S3-Dateninventar