Prinzipale - Amazon Simple Storage Service

Prinzipale

Das Element Principal gibt an, welchem Benutzer, Konto, Dienst oder welcher anderen Entität der Zugriff auf eine Ressource gewährt oder verweigert wird. Die folgenden sind Beispiele legen den Principal fest. Weitere Informationen finden Sie unter Prinzipal im IAM-Benutzerhandbuch.

Erteilen von Berechtigungen für ein AWS-Konto

Um Berechtigungen für ein AWS-Konto zu erteilen, identifizieren Sie das Konto im folgenden Format.

"AWS":"account-ARN"

Im Folgenden sind einige Beispiele aufgeführt.

"Principal":{"AWS":"arn:aws:iam::AccountNumber-WithoutHyphens:root"}
"Principal":{"AWS":["arn:aws:iam::AccountNumber1-WithoutHyphens:root","arn:aws:iam::AccountNumber2-WithoutHyphens:root"]}

Amazon S3 unterstützt auch eine kanonische Benutzer-ID, eine verschleierte Form der AWS-Konto-ID. Sie können diese ID im folgenden Format angeben.

"CanonicalUser":"64-digit-alphanumeric-value"

Im Folgenden wird ein Beispiel gezeigt.

"Principal":{"CanonicalUser":"64-digit-alphanumeric-value"}

Informationen darüber, wo Sie die kanonische Benutzer-ID für Ihr Konto finden, finden Sie unter Suchen Ihrer kanonischen Benutzer-ID für das Konto.

Wichtig

Wenn Sie eine kanonische Benutzer-ID in einer Richtlinie verwenden, ändert Amazon S3 möglicherweise die kanonische ID in die entsprechende AWS-Konto-ID. Dies hat keine Auswirkungen auf die Richtlinie, da beide IDs dasselbe Konto identifizieren.

Erteilen von Berechtigungen für einen IAM-Benutzer

Um einem IAM-Benutzer in Ihrem Konto die Berechtigung zu erteilen, müssen Sie ein "AWS":"user-ARN"-Name-Wert-Paar bereitstellen.

"Principal":{"AWS":"arn:aws:iam::account-number-without-hyphens:user/username"}

Erteilen anonymer Berechtigungen

Um jedem Benutzer Berechtigung zu erteilen, auch als anonymer Zugriff bezeichnet, legen Sie den Platzhalter ("*") auf den Wert Principal fest. Wenn Sie beispielsweise ihren Bucket als Website konfigurieren, müssen Sie alle Objekte im Bucket öffentlich zugänglich machen. Die folgenden Elemente sind gleichwertig.

"Principal":"*"
"Principal":{"AWS":"*"}
Warnung

Seien Sie vorsichtig, wenn Sie anonymen Zugriff auf Ihren S3-Bucket erteilen. Wenn Sie anonymen Zugriff gewähren, kann jeder auf der ganzen Welt auf Ihren Bucket zugreifen. Wir empfehlen dringend, nie einen anonymen Schreibzugriff auf Ihren S3-Bucket zu gewähren.

Anfordern von Zugriff über CloudFront-URLs

Sie können anfordern, dass Ihre Benutzer auf Ihre Amazon S3-Inhalte über Amazon CloudFront-URLs und nicht über Amazon S3-URLs zugreifen. Hierzu erstellen Sie eine CloudFront-Ursprungszugriffsidentität (Origin Access Identity, OAI). Anschließend ändern Sie die Berechtigungen für Ihren Bucket oder für die Objekte in Ihrem Bucket. Das Format für die Angabe des OAI in einer Principal-Anweisung ist wie folgt.

"Principal":{"CanonicalUser":"Amazon S3 Canonical User ID assigned to origin access identity"}

Weitere Informationen finden Sie unter Verwenden einer Ursprungszugriffsidentität zum Einschränken des Zugriffs auf Ihre Amazon S3-Inhalte im Entwicklerhandbuch für Amazon CloudFront.