Schritt 0: Vorbereitung auf den Walkthrough Schritt 1: Erstellen von Ressourcen (einen Bucket und einen IAM-Benutzer) in Konto A und Erteilen von Berechtigungen Schritt 2: Testen der Berechtigungen

Beispiel 1: Bucket-Eigentümer erteilt seinen Benutzern Bucket-Berechtigungen

Wichtig

Das Erteilen von Berechtigungen für IAM-Rollen ist eine bessere Vorgehensweise als die Erteilung von Berechtigungen an einzelne Benutzer. Weitere Informationen zur Vorgehensweise finden Sie unter Hintergrund: Kontoübergreifende Berechtigungen und die Verwendung von IAM-Rollen.

Themen

Schritt 0: Vorbereitung auf den Walkthrough
Schritt 1: Erstellen von Ressourcen (einen Bucket und einen IAM-Benutzer) in Konto A und Erteilen von Berechtigungen
Schritt 2: Testen der Berechtigungen

In dieser Übung AWS-Konto besitzt ein einen Bucket und es hat einen IAM-Benutzer im Konto. Standardmäßig hat der Benutzer keine Berechtigungen. Damit der Benutzer alle Aufgaben ausführen kann, muss das übergeordnete Konto ihm Berechtigungen erteilen. Der Bucket-Eigentümer und das übergeordnete Konto sind identisch. Um den Benutzern Berechtigungen für den Bucket zu erteilen, AWS-Konto kann die daher eine Bucket-Richtlinie, eine Benutzerrichtlinie oder beides verwenden. Der Kontobesitzer gewährt einige Berechtigungen unter Verwendung einer Bucket-Richtlinie und andere Berechtigungen unter Verwendung einer Benutzerrichtlinie.

Die folgenden Schritte fasen das detaillierte Beispiel zusammen:

Der Kontoadministrator erstellt eine Bucket-Richtlinie, die dem Benutzer verschiedene Berechtigungen erteilt.
Der Kontoadministrator weist dem Benutzer eine Benutzerrichtlinie zu, die ihm zusätzliche Berechtigungen erteilt.
Anschließend probiert der Benutzer Berechtigungen aus, die über die Bucket-Richtlinie und die Benutzerrichtlinie erteilt wurden.

Für dieses Beispiel benötigen Sie eine AWS-Konto. Anstatt die Anmeldeinformationen des Root-Benutzers für das Konto zu verwenden, erstellen Sie einen Administrator-Benutzer (siehe Informationen zur Verwendung eines Administratorbenutzers zum Erstellen von Ressourcen und Erteilen von Berechtigungen). Wir verweisen wie folgt auf die AWS-Konto und den Administratorbenutzer:

Konto-ID	Konto bezeichnet als	Administratorbenutzer im Konto
`1111-1111-1111`	Konto A	AccountAadmin

Anmerkung

Der Administratorbenutzer in diesem Beispiel ist AccountAadmin, was sich auf Konto A bezieht, und nicht AccountAdmin.

Alle Aufgaben in Verbindung mit dem Erstellen von Benutzern und Gewähren von Berechtigungen werden in der AWS Management Console ausgeführt. Um die Berechtigungen zu überprüfen, verwendet die Anleitung die Befehlszeilen-Tools ( AWS Command Line Interface CLI) und AWS Tools for Windows PowerShell, um die Berechtigungen zu überprüfen, sodass Sie keinen Code schreiben müssen.

Schritt 0: Vorbereitung auf den Walkthrough

Stellen Sie sicher, dass Sie über ein verfügen AWS-Konto und dass es einen Benutzer mit Administratorrechten hat.
1. Melden Sie sich nach Bedarf für ein -Konto an. Wir bezeichnen dieses Konto als Konto A.
  1. Rufen Sie https://aws.amazon.com/s3 auf und klicken Sie auf Sign Up (Registrieren).
  2. Folgen Sie den Anweisungen auf dem Bildschirm.
    
    AWS benachrichtigt Sie per E-Mail, wenn Ihr Konto aktiv ist und Ihnen zur Nutzung zur Verfügung steht.
2. Erstellen Sie in Konto A einen Administratorbenutzer AccountAadmin. Melden Sie sich mit den Anmeldeinformationen von Konto A in der IAM-Konsole an und gehen Sie wie folgt vor:
  1. Erstellen Sie einen Benutzer AccountAadmin und notieren Sie sich die Sicherheitsanmeldeinformationen des Benutzers.
    
    Detaillierte Anweisungen finden Sie unter Erstellen eines IAM-Benutzers in Ihrem AWS-Konto im IAM-Benutzerhandbuch.
  2. Erteilen Sie AccountAadmin Administratorrechte, indem Sie eine Benutzerrichtlinie anfügen, die vollen Zugriff gewährt.
    
    Weitere Informationen finden Sie unter Arbeiten mit Richtlinien im IAM-Benutzerhandbuch.
  3. Notieren Sie sich die Anmelde-URL des IAM-Benutzers für AccountAadmin. Sie brauchen diese URL, wenn Sie sich bei der AWS Management Console anmelden. Weitere Informationen darüber, wo Sie diese finden, finden Sie unter Wie sich Benutzer in Ihrem Konto anmelden im IAM-Benutzerhandbuch. Notieren Sie die URLs für alle Konten.
Richten Sie entweder die AWS Command Line Interface (CLI) oder die ein AWS Tools for Windows PowerShell. Stellen Sie sicher, dass Sie die Anmeldeinformationen speichern, wie folgt:
- Wenn Sie die verwenden AWS CLI, erstellen Sie ein Profil AccountAadminin der Konfigurationsdatei.
- Wenn Sie die verwenden AWS Tools for Windows PowerShell, stellen Sie sicher, dass Sie die Anmeldeinformationen für die Sitzung als speichern AccountAadmin.
Anweisungen finden Sie unter Einrichten der Tools für die beispielhaften Walkthroughs.

Schritt 1: Erstellen von Ressourcen (einen Bucket und einen IAM-Benutzer) in Konto A und Erteilen von Berechtigungen

Melden Sie sich mit den Anmeldeinformationen des Benutzers AccountAadmin in Konto A und der speziellen Anmelde-URL des IAM-Benutzers bei der an AWS Management Console und gehen Sie wie folgt vor:

Ressourcen erstellen (einen Bucket und einen IAM-Benutzer)
1. Erstellen Sie in der Amazon-S3-Konsole einen Bucket. Notieren Sie sich die , AWS-Region in der Sie sie erstellt haben. Anweisungen finden Sie unter Erstellen eines Buckets.
2. Gehen Sie in der IAM-Konsole wie folgt vor:
  1. Erstellen Sie einen Benutzer, Dave.
    
    step-by-step Anweisungen finden Sie unter Erstellen von IAM-Benutzern (AWS Management Console) im IAM-Benutzerhandbuch.
  2. Notieren Sie sich die UserDave Anmeldeinformationen.
  3. Notieren Sie den Amazon-Ressourcennamen (ARN) für den Benutzer Dave. Wählen Sie in der IAM-Konsole den Benutzer aus, und auf der Registerkarte Zusammenfassung wird der Benutzer-ARN angezeigt.
Erteilen Sie Berechtigungen.

Da der Bucket-Eigentümer und das übergeordnete Konto, zu dem der Benutzer gehört, identisch sind, AWS-Konto kann die Benutzerberechtigungen mithilfe einer Bucket-Richtlinie, einer Benutzerrichtlinie oder beidem erteilen. In diesem Beispiel machen Sie beides. Wenn das Objekt auch demselben Konto gehört, kann der Bucket-Eigentümer in der Bucket-Richtlinie (oder einer IAM-Richtlinie) Objektberechtigungen erteilen.
1. Fügen Sie in der Amazon-S3-Konsole die folgende Bucket-Richtlinie an awsexamplebucket1 an.
  
  Die Richtlinie enthält zwei Anweisungen.
  - Die erste Anweisung erteilt Dave Berechtigungen für die Bucket-Operationen s3:GetBucketLocation und s3:ListBucket.
  - Die zweite Anweisung erteilt die s3:GetObject-Berechtigung. Konto A gehört auch das Objekt, deshalb kann der Kontoadministrator die s3:GetObject-Berechtigung erteilen.
  In der Principal-Anweisung wird Dave durch seinen Benutzer-ARN identifiziert. Weitere Informationen zu Richtlinienelementen finden Sie unter Bucket-Richtlinien und Benutzerrichtlinien.
```
{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "statement1",
         "Effect": "Allow",
         "Principal": {
            "AWS": "arn:aws:iam::AccountA-ID:user/Dave"
         },
         "Action": [
            "s3:GetBucketLocation",
            "s3:ListBucket"
         ],
         "Resource": [
            "arn:aws:s3:::awsexamplebucket1"
         ]
      },
      {
         "Sid": "statement2",
         "Effect": "Allow",
         "Principal": {
            "AWS": "arn:aws:iam::AccountA-ID:user/Dave"
         },
         "Action": [
             "s3:GetObject"
         ],
         "Resource": [
            "arn:aws:s3:::awsexamplebucket1/*"
         ]
      }
   ]
}
```
2. Erstellen Sie mithilfe der folgenden Richtlinie eine Inlinerichtlinie für den Benutzer Dave. Die Richtlinie erteilt dem Benutzer Dave die s3:PutObject-Berechtigung. Sie müssen die Richtlinie aktualisieren, indem Sie Ihren Bucket-Namen angeben.
```
{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "PermissionForObjectOperations",
         "Effect": "Allow",
         "Action": [
            "s3:PutObject"
         ],
         "Resource": [
            "arn:aws:s3:::awsexamplebucket1/*"
         ]
      }
   ]
}
```
  Weitere Informationen finden Sie unter Verwenden von eingebundenen Richtlinien im IAM-Benutzerhandbuch. Beachten Sie, dass Sie sich mit den Anmeldeinformationen von Konto A an der Konsole anmelden müssen.

Schritt 2: Testen der Berechtigungen

Überprüfen Sie unter Verwendung der Anmeldeinformationen von Dave, ob die Berechtigungen funktionieren. Sie haben die Wahl zwischen den folgenden beiden Verfahren.

Testen mit der AWS CLI

Aktualisieren Sie die AWS CLI Konfigurationsdatei, indem Sie das folgende UserDaveAccountA-Profil hinzufügen. Weitere Informationen finden Sie unter Einrichten der Tools für die beispielhaften Walkthroughs.
```
[profile UserDaveAccountA]
aws_access_key_id = access-key
aws_secret_access_key = secret-access-key
region = us-east-1
```
Überprüfen Sie, ob Dave Vorgänge ausführen kann, für die ihm in der Benutzerrichtlinie Berechtigungen erteilt wurden. Laden Sie ein Beispielobjekt mit dem folgenden AWS CLI put-object Befehl hoch.

Der Parameter --body im Befehl identifiziert die hochzuladende Quelldatei. Befindet sich die Datei beispielsweise im Stammverzeichnis auf dem Laufwerk C: eines Windows-Computers, geben Sie c:\HappyFace.jpg an. Der Parameter --key gibt den Schlüsselnamen für das Objekt an.
```
aws s3api put-object --bucket awsexamplebucket1 --key HappyFace.jpg --body HappyFace.jpg --profile UserDaveAccountA
```
Führen Sie den folgenden AWS CLI Befehl aus, um das Objekt abzurufen.
```
aws s3api get-object --bucket awsexamplebucket1 --key HappyFace.jpg OutputFile.jpg --profile UserDaveAccountA
```

Testen mit der AWS Tools for Windows PowerShell

Speichern Sie die Anmeldeinformationen von Dave als AccountADave. Anschließend verwenden Sie diese Anmeldeinformationen für ein PUT und ein GET für ein Objekt.
```
set-awscredentials -AccessKey AccessKeyID -SecretKey SecretAccessKey -storeas AccountADave
```

Laden Sie ein Beispielobjekt mit dem AWS Tools for Windows PowerShell Write-S3Object Befehl hoch, indem Sie die gespeicherten Anmeldeinformationen des Benutzers Dave verwenden.


Write-S3Object -bucketname awsexamplebucket1 -key HappyFace.jpg -file HappyFace.jpg -StoredCredentials AccountADave

Laden Sie das zuvor hochgeladene Objekt herunter.


Read-S3Object -bucketname awsexamplebucket1 -key HappyFace.jpg -file Output.jpg -StoredCredentials AccountADave

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Einrichten von Tools

Erteilen von kontoübergreifenden Berechtigungen