Zugriff auf Access Points verwalten - FSx für ONTAP
Benutzeridentität und Autorisierung des DateisystemsS3-API-Autorisierung anfordernS3 Block Public AccessRichtlinien für IAM-Zugangspunkte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zugriff auf Access Points verwalten

Sie können jeden S3-Zugriffspunkt mit unterschiedlichen Berechtigungen und Netzwerkkontrollen konfigurieren, die S3 für jede Anfrage anwendet, die über diesen Access Point gestellt wird. S3 Access Points unterstützen Ressourcenrichtlinien AWS Identity and Access Management (IAM), mit denen Sie die Nutzung des Access Points nach Ressourcen, Benutzern oder anderen Bedingungen steuern können. Damit eine Anwendung oder ein Benutzer über einen Access Point auf Dateien zugreifen kann, müssen sowohl der Access Point als auch das zugrunde liegende Volume die Anfrage zulassen. Weitere Informationen finden Sie unter Richtlinien für IAM-Zugangspunkte.

Amazon S3 S3-Zugriffspunkte FSx für ONTAP verwenden ein duales Autorisierungsmodell, das AWS IAM-Berechtigungen mit Berechtigungen auf Dateisystemebene kombiniert. Dieser Ansatz stellt sicher, dass Datenzugriffsanfragen sowohl auf der AWS Service-Ebene als auch auf der Ebene des zugrunde liegenden Dateisystems ordnungsgemäß autorisiert werden.

Damit eine Anwendung oder ein Benutzer erfolgreich über einen Access Point auf Daten zugreifen kann, müssen sowohl die S3-Zugriffspunktrichtlinie als auch das zugrunde liegende FSx ONTAP-Volume die Anfrage zulassen.

Benutzeridentität und Autorisierung des Dateisystems

Wenn Sie einen S3-Zugriffspunkt für ein FSx for ONTAP-Volume erstellen, geben Sie eine Dateisystemidentität an, die zur Autorisierung aller Dateisystemanfragen verwendet wird, die über diesen Access Point gestellt werden. Diese Dateisystemidentität bestimmt, welche Zugriffsebene auf die zugrunde liegenden Dateien und Verzeichnisse auf der Grundlage des Berechtigungsmodells des Dateisystems gewährt wird. Der Dateisystembenutzer ist ein Benutzerkonto im zugrunde liegenden FSx Amazon-Dateisystem. Wenn der Dateisystembenutzer nur Lesezugriff hat, sind nur Leseanfragen autorisiert, die über den Access Point gestellt werden, und Schreibanforderungen werden blockiert. Wenn der Dateisystembenutzer über Lese- und Schreibzugriff verfügt, sind sowohl Lese- als auch Schreibanforderungen an das angehängte Volume autorisiert, die über den Zugriffspunkt gestellt werden.

Für die Dateisystemidentität gibt es zwei Typen:

  • UNIX-Identität — Verwenden Sie eine UNIX-Identität (Benutzername), wenn Sie auf Volumes mit UNIX-Sicherheitsstil zugreifen

  • Windows-Identität — Verwenden Sie eine Windows-Identität (Domäne und Benutzername), wenn Sie auf Volumes mit NTFS-Sicherheitsstil zugreifen.

Wenn Sie eine UNIX- oder Windows-Identität angeben, werden alle S3-API-Operationen, die über den Access Point ausgeführt werden, mithilfe der Berechtigungen dieses Benutzers im Dateisystem autorisiert.

Die Dateisystemidentität, die Sie dem Access Point zuordnen, bestimmt die Zugriffsebene auf Dateien und Verzeichnisse. Wenn Sie den Access Point beispielsweise der UNIX-Stammidentität (UID 0) zuordnen, die in der Regel über vollständige Dateizugriffsberechtigungen für das Dateisystem verfügt, werden alle Dateioperationen autorisiert. Wenn Sie den Access Point dagegen einer eingeschränkten Benutzeridentität zuordnen, würden Dateioperationen auf das beschränkt, worauf dieser Benutzer auf der Grundlage des Berechtigungsmodells des Dateisystems zugreifen kann.

Sie sollten den UNIX-Dateisystem-Identitätstyp für Volumes mit UNIX-Sicherheitsstil und den Windows-Identitätstyp für Volumes mit NTFS-Sicherheitsstil verwenden. Durch diese Ausrichtung wird sichergestellt, dass das Autorisierungsmodell der Sicherheitskonfiguration des Volumes entspricht.

Bei Volumes im UNIX-Sicherheitsstil verwendet das Dateisystem Modus-Bits oder NFSv4 ACLs zur Zugriffskontrolle. Bei Datenträgern im NTFS-Sicherheitsstil verwendet das Dateisystem Windows ACLs zur Zugriffskontrolle.

Wichtig

Das Anhängen eines S3-Zugriffspunkts an ein FSx For-ONTAP-Volume hat keine Auswirkung auf das Verhalten des Volumes, wenn direkt über NFS oder SMB auf das Volume zugegriffen wird. Alle bestehenden Operationen für das Volume funktionieren weiterhin wie bisher. Einschränkungen, die Sie in eine S3-Zugriffspunkt-Richtlinie aufnehmen, gelten nur für Anfragen, die über den Access Point gestellt werden.

S3-API-Autorisierung anfordern

Wenn Sie eine S3-API-Anfrage über einen Access Point stellen, der an ein FSx for NetApp ONTAP-Volume angeschlossen ist, bewertet Amazon S3 die IAM-Berechtigungen des aufrufenden Prinzipals anhand der IAM-Ressourcenrichtlinie des Access Points. Der IAM-Hauptaufrufer muss im Rahmen seiner identitätsbasierten Richtlinien über die erforderlichen Berechtigungen verfügen, und die Ressourcenrichtlinie des Access Points muss die angeforderte Aktion ebenfalls zulassen.

Amazon S3 bewertet alle relevanten Richtlinien — einschließlich Benutzerrichtlinien, Zugriffspunktrichtlinien, VPC-Endpunktrichtlinien und Richtlinien zur Servicekontrolle —, um zu entscheiden, ob die Anfrage autorisiert werden soll.

Sie können einen S3-Zugriffspunkt auch so konfigurieren, dass er nur Anfragen von einer bestimmten Virtual Private Cloud (VPC) akzeptiert, um den Datenzugriff einzuschränken. Weitere Informationen finden Sie unter Erstellen von Zugriffspunkten, die auf eine Virtual Private Cloud beschränkt sind.

S3 Block Public Access

Amazon S3 S3-Zugriffspunkte, die an ein FSx for ONTAP-Volume angeschlossen sind, werden automatisch so konfiguriert, dass Block Public Access aktiviert ist, was Sie nicht ändern können.

Richtlinien für IAM-Zugangspunkte

Amazon S3 Access Points unterstützen Ressourcenrichtlinien AWS Identity and Access Management (IAM), mit denen Sie die Nutzung des Access Points nach Ressourcen, Benutzern oder anderen Bedingungen steuern können. Damit eine Anwendung oder ein Benutzer über einen Access Point auf Objekte zugreifen kann, müssen sowohl der Access Point als auch die zugrunde liegende Datenquelle die Anfrage zulassen.

Die s3:PutAccessPointPolicy Genehmigung ist erforderlich, um eine optionale Zugriffspunktrichtlinie zu erstellen.

Nachdem Sie einen S3-Zugriffspunkt an ein FSx Amazon-Volume angeschlossen haben, funktionieren alle bestehenden Operationen für das Volume weiterhin wie zuvor. Einschränkungen, die Sie in eine Zugriffspunktrichtlinie einschließen, gelten nur für Anforderungen, die über diesen Zugriffspunkt eingehen. Weitere Informationen finden Sie unter Konfigurieren von IAM-Richtlinien für die Verwendung von Zugriffspunkten im Amazon Simple Storage Service-Benutzerhandbuch.

Sie können eine Zugriffspunktrichtlinie konfigurieren, wenn Sie über die FSx Amazon-Konsole einen Access Point erstellen, der an ein FSx for ONTAP-Volume angeschlossen ist. Um eine Zugriffspunktrichtlinie auf einem vorhandenen S3-Zugriffspunkt hinzuzufügen, zu ändern oder zu löschen, können Sie die S3-Konsole, CLI oder API verwenden.