Senden von Anforderungen - Amazon Simple Storage Service
Über ZugriffsschlüsselAnforderungsendpunkte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Senden von Anforderungen

Amazon S3 ist ein REST Service. Sie können Anfragen an Amazon S3 senden, indem Sie die REST API oder die AWS SDK (siehe Beispielcode und Bibliotheken) Wrapper-Bibliotheken verwenden RESTAPI, die das zugrunde liegende Amazon S3 umschließen und so Ihre Programmieraufgaben vereinfachen.

Jede Interaktion mit Amazon S3 erfolgt entweder authentifiziert oder anonym. Die Authentifizierung ist ein Vorgang, bei dem die Identität des Auftraggebers, der auf ein Amazon Web Services (AWS) Produkt zugreifen möchte, überprüft wird. Authentifizierte Anforderungn müssen einen Signaturwert enthalten, der den Sender der Anforderung authentifiziert. Der Signaturwert wird teilweise aus den Zugriffsschlüsseln des Anforderers ( AWS Zugriffsschlüssel-ID und geheimer Zugriffsschlüssel) generiert. Weitere Informationen zum Abrufen von Zugriffsschlüsseln finden Sie unter Wie erhalte ich Sicherheitsanmeldeinformationen? in der Allgemeine AWS-Referenz.

Wenn Sie den verwenden AWS SDK, berechnen die Bibliotheken die Signatur anhand der von Ihnen bereitgestellten Schlüssel. Wenn Sie jedoch direkte REST API Aufrufe in Ihrer Anwendung tätigen, müssen Sie den Code zur Berechnung der Signatur schreiben und der Anfrage hinzufügen.

Themen

Über Zugriffsschlüssel

In den folgenden Abschnitten werden die Arten der Zugriffsschlüssel vorgestellt, die Sie verwenden können, um authentifizierte Anfragen zu senden.

AWS-Konto Zugriffstasten

Die Kontozugriffsschlüssel bieten vollen Zugriff auf die AWS Ressourcen, die dem Konto gehören. Im Folgenden finden Sie Beispiele für Zugriffsschlüssel:

  • Zugriffsschlüssel-ID (eine alphanumerische Zeichenfolge mit 20 Zeichen). Zum Beispiel: AKIAIOSFODNN7EXAMPLE

  • Geheimer Zugriffsschlüssel (eine Zeichenfolge mit 40 Zeichen). Zum Beispiel: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

Die Zugriffsschlüssel-ID identifiziert eindeutig eine AWS-Konto. Sie können diese Zugriffsschlüssel verwenden, um authentifizierte Anforderungen an Amazon S3 zu senden.

IAMBenutzerzugriffsschlüssel

Sie können einen AWS-Konto für Ihr Unternehmen erstellen. Möglicherweise gibt es jedoch mehrere Mitarbeiter in der Organisation, die Zugriff auf die AWS Ressourcen Ihrer Organisation benötigen. Die gemeinsame Nutzung Ihrer AWS-Konto Zugangsschlüssel verringert die Sicherheit, und es ist möglicherweise nicht praktikabel, AWS-Konten für jeden Mitarbeiter individuelle Zugangsschlüssel zu erstellen. Darüber hinaus können Sie Ressourcen wie Buckets und Objekte nicht einfach freigeben, da sie im Besitz verschiedener Konten sind. Um Ressourcen freizugeben, müssen Sie Berechtigungen gewähren. Dies bedeutet zusätzlichen Aufwand.

In solchen Szenarien können Sie AWS Identity and Access Management (IAM) verwenden, um Benutzer unter Ihnen AWS-Konto mit ihren eigenen Zugriffsschlüsseln zu erstellen und IAM Benutzerrichtlinien anzuhängen, die diesen Benutzern die entsprechenden Ressourcenzugriffsberechtigungen gewähren. IAMDamit Sie diese Benutzer besser verwalten können, können Sie Benutzergruppen erstellen und Berechtigungen auf Gruppenebene gewähren, die für alle Benutzer in dieser Gruppe gelten.

Diese Benutzer werden als IAM Benutzer bezeichnet, die Sie innerhalb von Ihnen erstellen und verwalten. AWS Das übergeordnete Konto steuert die Möglichkeiten der Benutzer, auf zuzugreife AWS. Alle Ressourcen, die ein IAM Benutzer erstellt, unterliegen der Kontrolle des Elternteils und werden von diesem bezahlt AWS-Konto. Diese IAM Benutzer können authentifizierte Anfragen mit ihren eigenen Sicherheitsanmeldedaten an Amazon S3 senden. Weitere Informationen zum Erstellen und Verwalten von Benutzern unter Ihrem AWS-Konto Konto finden Sie auf der Seite mit den AWS Identity and Access Management Produktdetails.

Temporäre Sicherheitsanmeldeinformationen

Neben der Erstellung von IAM Benutzern mit eigenen Zugriffsschlüsseln können Sie IAM auch jedem IAM Benutzer temporäre Sicherheitsanmeldedaten (temporäre Zugriffsschlüssel und ein Sicherheitstoken) gewähren, damit dieser auf Ihre AWS Dienste und Ressourcen zugreifen kann. Sie können Benutzer auch außerhalb von in Ihrem System verwalte AWS. Diese Benutzer werden als verbundene Benutzer bezeichnet. Darüber hinaus können Benutzer Anwendungen sein, die Sie für den Zugriff auf Ihre AWS Ressourcen erstellen.

IAMbietet Ihnen die AWS Security Token Service API Möglichkeit, temporäre Sicherheitsanmeldedaten anzufordern. Sie können entweder die AWS STS API oder die verwenden AWS SDK, um diese Anmeldeinformationen anzufordern. Der API gibt temporäre Sicherheitsanmeldeinformationen (Zugriffsschlüssel-ID und geheimer Zugriffsschlüssel) und ein Sicherheitstoken zurück. Diese Anmeldeinformationen sind nur für die Dauer gültig, die Sie bei der Anforderung angeben. Sie verwenden die Zugriffsschlüssel-ID und den geheimen Schlüssel auf die gleiche Weise, wie Sie sie verwenden, wenn Sie Anfragen mit Ihren Zugangsschlüsseln AWS-Konto oder IAM Benutzerzugriffsschlüsseln senden. Zusätzlich muss jede Anfrage, die Sie an Amazon S3 senden, das Token enthalten.

Ein IAM Benutzer kann diese temporären Sicherheitsanmeldedaten für seinen eigenen Gebrauch anfordern oder sie an Verbundbenutzer oder -anwendungen weitergeben. Wenn Sie temporäre Sicherheitsanmeldeinformationen für Verbundbenutzer anfordern, müssen Sie einen Benutzernamen und eine IAM Richtlinie angeben, in der die Berechtigungen definiert werden, die Sie diesen temporären Sicherheitsanmeldedaten zuordnen möchten. Der Verbundbenutzer kann nicht mehr Berechtigungen erhalten als der übergeordnete IAM Benutzer, der die temporären Anmeldeinformationen angefordert hat.

Sie können diese temporären Sicherheitsanmeldeinformationen beim Senden von Anfragen an Amazon S3 verwenden. Die API Bibliotheken berechnen den erforderlichen Signaturwert anhand dieser Anmeldeinformationen, um Ihre Anfrage zu authentifizieren. Wenn Sie beim Senden von Anfragen abgelaufene Anmeldeinformationen verwenden, lehnt Amazon S3 die Anfrage ab.

Informationen zum Signieren von Anfragen mithilfe temporärer Sicherheitsanmeldedaten in Ihren REST API Anfragen finden Sie unterAnfragen signieren und authentifizieren REST. Hinweise zum Senden von Anfragen mit AWS SDKs finden Sie unterSenden von Anfragen unter Verwendung der AWS-SDKs.

Weitere Informationen zur IAM Unterstützung temporärer Sicherheitsanmeldedaten finden Sie unter Temporäre Sicherheitsanmeldedaten im IAMBenutzerhandbuch.

Für zusätzliche Sicherheit können Sie beim Zugriff auf Ihre Amazon S3 S3-Ressourcen eine Multifaktor-Authentifizierung (MFA) verlangen, indem Sie eine Bucket-Richtlinie konfigurieren. Weitere Informationen finden Sie unter Erforderlich MFA. Nachdem Sie MFA auf Ihre Amazon S3 S3-Ressourcen zugreifen müssen, können Sie auf diese Ressourcen nur zugreifen, indem Sie temporäre Anmeldeinformationen angeben, die mit einem MFA Schlüssel erstellt wurden. Weitere Informationen finden Sie auf der Detailseite zur AWS Multi-Faktor-Authentifizierung und unter Konfiguration MFA — Geschützter API Zugriff im IAMBenutzerhandbuch.

Anforderungsendpunkte

Sie senden REST Anfragen an den vordefinierten Endpunkt des Dienstes. Eine Liste aller AWS Dienste und der entsprechenden Endpunkte finden Sie unter Regionen und Endpunkte in der. Allgemeine AWS-Referenz