Amazon Simple Storage Service
Entwicklerhandbuch (API-Version 2006-03-01)

Angeben eines Prinzipals in einer Richtlinie

Das Element Principal gibt an, welchem Benutzer, Konto, Dienst oder welcher anderen Entität der Zugriff auf eine Ressource gewährt oder verweigert wird. Die folgenden sind Beispiele legen den Principal fest. Für weitere Informationen vgl. Prinzipal im IAM-Benutzerhandbuch.

  • Um Berechtigungen für ein AWS-Konto zu erteilen, identifizieren Sie das Konto im folgenden Format.

    "AWS":"account-ARN"

    Beispiel:

    "Principal":{"AWS":"arn:aws:iam::AccountNumber-WithoutHyphens:root"}

    Amazon S3 unterstützt auch eine kanonische Benutzer-ID, eine verschleierte Form der AWS-Konto-ID. Sie können diese ID im folgenden Format angeben.

    "CanonicalUser":"64-digit-alphanumeric-value"

    Beispiel:

    "Principal":{"CanonicalUser":"64-digit-alphanumeric-value"}

    Informationen darüber, wo Sie die kanonische Benutzer-ID für Ihr Konto finden, finden Sie unter Suchen Ihrer kanonischen Benutzer-ID für das Konto.

    Wichtig

    Wenn Sie eine kanonische Benutzer-ID in einer Richtlinie verwenden, ändert Amazon S3 möglicherweise die kanonische ID in die entsprechende AWS-Konto-ID. Dies hat keine Auswirkungen auf die Richtlinie, da beide IDs dasselbe Konto identifizieren.

  • Um einem IAM-Benutzer in Ihrem Konto die Berechtigung zu erteilen, müssen Sie ein "AWS":"user-ARN"-Name-Wert-Paar bereitstellen.

    "Principal":{"AWS":"arn:aws:iam::account-number-without-hyphens:user/username"}
  • Um jedem Benutzer die Berechtigung zu erteilen, was auch als anonymer Zugriff bezeichnet wird, legen Sie den Platzhalter "*" als Principal-Wert fest. Wenn Sie beispielsweise ihren Bucket als Website konfigurieren, müssen Sie alle Objekte im Bucket öffentlich zugänglich machen. Folgende Elemente sind gleichwertig:

    "Principal":"*"
    "Principal":{"AWS":"*"}

    Warnung

    Seien Sie vorsichtig, wenn Sie anonymen Zugriff auf Ihren S3-Bucket erteilen. Wenn Sie anonymen Zugriff gewähren, kann jeder auf der ganzen Welt auf Ihren Bucket zugreifen. Wir empfehlen dringend, nie einen anonymen Schreibzugriff auf Ihren S3-Bucket zu gewähren.

  • Sie können fordern, dass Ihre Benutzer über Amazon S3-URLs (anstelle von Amazon S3-URLs) auf Ihre Amazon CloudFront-Inhalte zugreifen. Dazu erstellen Sie eine CloudFront OAI (Origin Access Identity) und ändern dann die Berechtigungen für Ihren Bucket oder für die Objekte in Ihrem Bucket. Das Format für die Angabe des OAI in einer Principal Anweisung lautet:

    "Principal":{"CanonicalUser":"Amazon S3 Canonical User ID assigned to origin access identity"}

    Weitere Informationen finden Sie unter Verwenden einer Ursprungszugriffsidentität zum Einschränken des Zugriffs auf Ihre Amazon S3-Inhalte im Entwicklerhandbuch für Amazon CloudFront.

Weitere Informationen über andere Sprachelemente in Zugriffsrichtlinien finden Sie unter Übersicht über die Zugriffsrichtliniensprache.