Amazon Simple Storage Service
Entwicklerhandbuch (API-Version 2006-03-01)

Übersicht über die Zugriffsrichtliniensprache

Die Themen in diesem Abschnitt beschreiben die Schlüsselelemente für die Bucket- und Benutzerrichtlinien, wie sie in Amazon S3 verwendet werden. Die vollständigen Informationen über die Richtliniensprache finden Sie unter Übersicht über IAM-Richtlinien und in den Themen zur AWS IAM-Richtlinienreferenz im IAM-Benutzerhandbuch.

Anmerkung

Bucket-Richtlinien sind auf eine Größe von 20 KB beschränkt.

Allgemeine Elemente einer Zugriffsrichtlinie

In ihrer einfachsten Form enthält eine Richtlinie die folgenden Elemente:

  • Ressourcen – Buckets und Objekte sind die Ressourcen in Amazon S3, für die Sie Berechtigungen gewähren oder verweigern können. In einer Richtlinie identifizieren Sie die Ressource mithilfe eines Amazon-Ressourcennamens (ARN).

  • Aktionen –– Für jede Ressource unterstützt Amazon S3 eine Reihe von Operationen. Sie identifizieren Ressourcenoperationen, die Sie zulassen (oder ablehnen) können, indem Sie Aktionsschlüsselwörter verwenden (siehe Angeben von Berechtigungen in einer Richtlinie).

    Beispielsweise erlaubt die Berechtigung s3:ListBucket dem Benutzer die Amazon S3-Operation GET Bucket (List Objects).

  • Auswirkung – Zeigt, was die Auswirkung ist, wenn ein Benutzer die spezifische Aktion anfordert – entweder „Allow (Zugriffserlaubnis)“ oder „Deny (Zugriffsverweigerung)“.

    Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten ("allow"), ist der Zugriff automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. Damit können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.

  • Prinzipal –– Das Konto oder der Benutzer, der Zugriff auf die Aktionen und Ressourcen in der Anweisung hat. In einer Bucket-Richtlinie ist der Prinzipal der Benutzer, das Konto, der Dienst oder eine andere Entität, die der Empfänger dieser Berechtigung ist.

Die folgende Beispiel-Bucket-Richtlinie zeigt die zuvor genannten allgemeinen Richtlinienelemente. Die Richtlinie gibt Dave, einem Benutzer im Konto Account-ID, s3:GetObject, s3:GetBucketLocation und s3:ListBucket Amazon S3-Berechtigungen über den examplebucket-Bucket.

{ "Version": "2012-10-17", "Id": "ExamplePolicy01", "Statement": [ { "Sid": "ExampleStatement01", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::Account-ID:user/Dave" }, "Action": [ "s3:GetObject", "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::examplebucket/*", "arn:aws:s3:::examplebucket" ] } ] }

Weitere Informationen über die Elemente der Zugriffsrichtlinien finden Sie in den folgenden Themen:

In den folgenden Themen finden Sie zusätzliche Richtlinienbeispiele: