Richtlinien und Berechtigungen in Amazon S3 - Amazon Simple Storage Service

Richtlinien und Berechtigungen in Amazon S3

Diese Seite bietet eine Übersicht über Bucket- und Benutzerrichtlinien in Amazon S3 und beschreibt die Basiselemente einer Richtlinie. Jedes aufgelistete Element verweist auf weitere Details zu diesem Element und auf Beispiele für die Verwendung dieses Elements.

Die vollständige Liste der Amazon S3-Aktionen, -Ressourcen und -Bedingungen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3.

Übersicht über die Richtliniensprache

In ihrer einfachsten Form enthält eine Richtlinie die folgenden Elemente:

  • Ressourcen – Buckets, Objekte, Zugriffspunkte und Aufgaben sind die Amazon S3-Ressourcen, für die Sie Berechtigungen zulassen oder ablehnen können. In einer Richtlinie identifizieren Sie die Ressource mithilfe eines Amazon-Ressourcennamens (ARN). Weitere Informationen finden Sie unter Amazon S3-Ressourcen.

  • Aktionen – Amazon S3 unterstützt für jede Ressource einen Satz von Operationen. Sie identifizieren Ressourcenoperationen, die Sie zulassen (oder ablehnen) können, indem Sie Aktionsschlüsselwörter verwenden.

    Beispielsweise ermöglicht die Berechtigung s3:ListBucket dem Benutzer die Verwendung der Amazon S3-Operation GET Bucket (List Objects). Weitere Informationen finden Sie unter Amazon S3-Aktionen.

  • Auswirkung – Zeigt die Auswirkung, wenn ein Benutzer die spezifische Aktion anfordert; entweder allow (Zugriffserlaubnis) oder deny (Zugriffsverweigerung).

    Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten ("allow"), ist der Zugriff automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit ablehnen. So können Sie sicherstellen, dass Benutzer nicht auf die Ressource zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie erteilt wird. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Auswirkung.

  • Prinzipal – Das Konto oder der Benutzer, das oder der Zugriff auf die Aktionen und Ressourcen in der Anweisung hat. In einer Bucket-Richtlinie ist der Prinzipal der Benutzer, das Konto, der Service oder eine andere Entität, der/die/das der Empfänger dieser Berechtigung ist. Weitere Informationen finden Sie unter Prinzipale.

  • Bedingung – Bedingungen für den Zeitpunkt, an dem eine Richtlinie in Kraft ist. Sie können AWS‐weite Schlüssel und Amazon S3‐spezifische Schlüssel verwenden, um Bedingungen in einer Amazon S3-Zugriffsrichtlinie anzugeben. Weitere Informationen finden Sie unter Amazon S3-Bedingungsschlüssel.

Die folgende Bucket-Beispielrichtlinie enthält die zuvor genannten Richtlinienelemente. Die Richtlinie gibt Dave, einem Benutzer im Konto Account-ID, s3:GetObject, s3:GetBucketLocation und s3:ListBucket Amazon S3-Berechtigungen über den examplebucket-Bucket.

{ "Version": "2012-10-17", "Id": "ExamplePolicy01", "Statement": [ { "Sid": "ExampleStatement01", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::Account-ID:user/Dave" }, "Action": [ "s3:GetObject", "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::examplebucket/*", "arn:aws:s3:::examplebucket" ] } ] }

Ausführliche Informationen zur Richtliniensprache finden Sie unter Richtlinien und Berechtigungen und IAM-JSON-Richtlinienreferenz im IAM-Benutzerhandbuch.