Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Richtlinien und Berechtigungen in Amazon S3
Diese Seite bietet eine Übersicht über Bucket- und Benutzerrichtlinien in Amazon S3 und beschreibt die Basiselemente einer Richtlinie. Jedes aufgelistete Element verweist auf weitere Details zu diesem Element und auf Beispiele für die Verwendung dieses Elements.
Eine vollständige Liste der Amazon S3-Aktionen, -Ressourcen und -Bedingungen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3 in der Service-Autorisierungs-Referenz.
In ihrer einfachsten Form enthält eine Richtlinie die folgenden Elemente:
-
Ressource: Der Amazon-S3-Bucket, das Objekt, der Zugangspunkt oder der Auftrag, für den die Richtlinie gilt. Verwenden Sie den Amazon-Ressourcennamen (ARN) des Buckets, Objekts, Zugangspunkts oder Auftrags, um die Ressource zu identifizieren.
Ein Beispiel für Operationen auf Bucket-Ebene:
-
"Resource": "arn:aws:s3:::.bucket_name"Beispiele für Operationen auf Objektebene:
-
"Resource": "arn:aws:s3:::aller Objekte im Bucket.bucket_name/*"-
"Resource": "arn:aws:s3:::für Objekte unter einem bestimmten Präfix im Bucket.bucket_name/prefix/*"Weitere Informationen finden Sie unter Amazon-S3-Ressourcen.
-
Aktionen – Für jede Ressource unterstützt Amazon S3 eine Reihe von Vorgänge. Sie identifizieren RessourcenVorgänge, die Sie zulassen (oder ablehnen) können, indem Sie Aktionsschlüsselwörter verwenden.
Beispielsweise ermöglicht die Berechtigung
s3:ListBucketdem Benutzer die Verwendung der Amazon-S3-Operation GET Bucket (List Objects). Weitere Informationen zur Verwendung von Amazon-S3-Aktionen finden Sie unter Amazon S3-Richtlinienaktionen. Eine vollständige Liste der Amazon-S3-Aktionen finden Sie unter Aktionen. -
Auswirkung – zeigt die Auswirkung, wenn ein Benutzer die spezifische Aktion anfordert – entweder Allow (Zugriffserlaubnis) oder Deny (Zugriffsverweigerung).
Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten ("allow"), ist der Zugriff automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So könnten Sie z. B. sicherstellen, dass ein Benutzer nicht auf die Ressource zugreifen kann, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Auswirkung.
-
Prinzipal – Das Konto oder der Benutzer, das oder der Zugriff auf die Aktionen und Ressourcen in der Anweisung hat. In einer Bucket-Richtlinie ist der Prinzipal der Benutzer, das Konto, der Service oder eine andere Entität, der/die/das der Empfänger dieser Berechtigung ist. Weitere Informationen finden Sie unter Prinzipale.
-
Bedingung – Bedingungen für den Zeitpunkt, an dem eine Richtlinie in Kraft ist. Sie können AWS-weite Schlüssel und Amazon S3-spezifische Schlüssel verwenden, um Bedingungen in einer Amazon S3-Zugriffsrichtlinie anzugeben. Weitere Informationen finden Sie unter Beispiele für Amazon-S3-Bedingungsschlüssel.
Die folgende beispielhafte Bucket-Richtlinie zeigt die Elemente Auswirkung, Prinzipal, Aktion und Ressource. Die Richtlinie gewährt Akua, einem Benutzer in Konto-ID , s3:GetObjects3:GetBucketLocation, und s3:ListBucket Amazon S3 Berechtigungen für den awsexamplebucket1 Bucket.
{ "Version": "2012-10-17", "Id": "ExamplePolicy01", "Statement": [ { "Sid": "ExampleStatement01", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:user/Akua" }, "Action": [ "s3:GetObject", "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::awsexamplebucket1/*", "arn:aws:s3:::awsexamplebucket1" ] } ] }
Weitere Informationen finden Sie in den folgenden Themen. Ausführliche Informationen zur Richtliniensprache finden Sie unter Richtlinien und Berechtigungen und IAM-JSON-Richtlinienreferenz im IAM-Benutzerhandbuch.
