Einrichten von Berechtigungen - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichten von Berechtigungen

Wenn Sie die Replikation einrichten, müssen Sie die erforderlichen Berechtigungen wie folgt einholen:

  • Amazon S3 benötigt Berechtigungen, um Objekte in Ihrem Namen zu replizieren. Sie erteilen diese Berechtigungen, indem Sie eine IAM-Rolle erstellen und die Rolle in der Replikationskonfiguration festlegen.

  • Wenn sich der Quell- und der Ziel-Bucket im Besitz verschiedener Konten befinden, muss der Eigentümer des Ziel-Buckets dem Quell-Bucket-Eigentümer die Berechtigungen zum Speichern der Replikate erteilen.

Erstellen einer IAM-Rolle

Standardmäßig sind alle Amazon-S3-Ressourcen – Buckets, Objekte und zugehörige Unterressourcen – privat, sodass nur der Ressourcenbesitzer auf die Ressource zugreifen kann. Amazon S3 benötigt Berechtigungen zum Lesen und Replizieren von Objekten aus dem Quell-Bucket. Sie erteilen diese Berechtigungen, indem Sie eine IAM-Rolle erstellen und die Rolle in der Replikations-Konfiguration festlegen.

In diesem Abschnitt werden die Vertrauensrichtlinie und die mindestens erforderliche Berechtigungsrichtlinie erläutert. Die Beispiel-Walkthroughs enthalten step-by-step Anweisungen zum Erstellen einer IAM-Rolle. Weitere Informationen finden Sie unter Anleitungen: Beispiele zum Konfigurieren der Replikation.

  • Im folgenden Beispiel wird eine Vertrauensrichtlinie gezeigt, bei der Sie Amazon S3 als den Service-Prinzipal identifizieren, der die Rolle übernehmen kann.

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"s3.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
  • Im folgenden Beispiel wird eine Vertrauensrichtlinie gezeigt, bei der Sie Amazon S3 und S3-Batchvorgänge als Service-Prinzipale identifizieren. Dies ist nützlich, wenn Sie einen Batchreplikationsauftrag erstellen. Weitere Informationen finden Sie unter Erstellen eines Batch-Replikationsauftrags für eine erste Replikationsregel oder ein neues Ziel.

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service": [ "s3.amazonaws.com", "batchoperations.s3.amazonaws.com" ] }, "Action":"sts:AssumeRole" } ] }

    Weitere Informationen zu IAM-Rollen finden Sie unter IAM-Rollen im IAM-Benutzerhandbuch.

  • Im folgenden Beispiel wird eine Zugriffsrichtlinie gezeigt, bei der Sie der Rolle die Berechtigungen erteilen, Replikationsaufgaben in Ihrem Namen durchzuführen. Wenn Amazon S3 die Rolle annimmt, verfügt es über die Berechtigungen, die Sie in dieser Richtlinie angeben. In dieser Richtlinie ist DOC-EXAMPLE-BUCKET1 der Quell-Bucket und DOC-EXAMPLE-BUCKET2 der Ziel-Bucket.

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:GetReplicationConfiguration", "s3:ListBucket" ], "Resource":[ "arn:aws:s3:::DOC-EXAMPLE-BUCKET1" ] }, { "Effect":"Allow", "Action":[ "s3:GetObjectVersionForReplication", "s3:GetObjectVersionAcl", "s3:GetObjectVersionTagging" ], "Resource":[ "arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*" ] }, { "Effect":"Allow", "Action":[ "s3:ReplicateObject", "s3:ReplicateDelete", "s3:ReplicateTags" ], "Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET2/*" } ] }

    Die Zugriffsrichtlinie erteilt Berechtigungen für folgenden Aktionen:

    • s3:GetReplicationConfiguration und s3:ListBucket – Berechtigungen für diese Aktionen im DOC-EXAMPLE-BUCKET1-Bucket (Quell-Bucket) erlauben es Amazon S3, die Replikationskonfiguration abzurufen und den Bucket-Inhalt aufzulisten. (Das aktuelle Berechtigungsmodell erfordert die s3:ListBucket-Berechtigung für den Zugriff auf Löschmarkierungen.)

    • s3:GetObjectVersionForReplication und s3:GetObjectVersionAcl – Berechtigungen für diese Aktionen, die für alle Objekte erteilt wurden, erlauben es Amazon S3, eine bestimmte Objektversion und eine mit Objekten verknüpfte Zugriffssteuerungsliste (ACL) abzurufen.

    • s3:ReplicateObject und s3:ReplicateDelete – Berechtigungen für diese Aktionen für alle Objekte im DOC-EXAMPLE-BUCKET2-Bucket (Ziel-Bucket) erlauben es Amazon S3, Objekte oder Löschmarkierungen in den Ziel-Bucket zu replizieren. Informationen zu Löschmarkierungen finden Sie unter Auswirkungen von LöschVorgänge auf die Replikation.

      Anmerkung

      Berechtigungen für die Aktion s3:ReplicateObject im DOC-EXAMPLE-BUCKET2-Bucket (dem Ziel-Bucket) ermöglichen auch die Replikation von Metadaten wie Objekt-Tags und ACLs. Daher müssen Sie für die s3:ReplicateTags-Aktion keine explizite Berechtigung erteilen.

    • s3:GetObjectVersionTagging – Berechtigungen für diese Aktion für Objekte im DOC-EXAMPLE-BUCKET1-Bucket (Quell-Bucket) gestatten es Amazon S3, Objekt-Tags für die Replikation zu lesen. Weitere Informationen finden Sie unter Kategorisieren des Speichers mithilfe von Markierungen. Wenn Amazon S3 nicht über diese Berechtigungen verfügt, repliziert es die Objekte, aber nicht die Objekt-Markierungen.

    Eine Liste der Amazon-S3-Aktionen finden Sie unter Amazon S3-Richtlinienaktionen.

    Wichtig

    Das AWS-Konto , dem die IAM-Rolle gehört, muss über Berechtigungen für die Aktionen verfügen, die es der IAM-Rolle gewährt.

    Angenommen, der Quell-Bucket enthält beispielsweise Objekte, die im Besitz eines anderen AWS-Konto sind. Der Eigentümer der Objekte muss dem AWS-Konto , das die IAM-Rolle besitzt, die erforderlichen Berechtigungen explizit über die Objekt-ACL erteilen. Andernfalls kann Amazon S3 nicht auf die Objekte zugreifen, und die Replikation dieser Objekte schlägt fehl. Weitere Informationen zu ACL-Berechtigungen finden Sie unter Zugriffskontrolllisten (ACL) – Übersicht.

    Die hier beschriebenen Berechtigungen gehören zur Mindest-Replikationskonfiguration. Wenn Sie optionale Replikations-Konfigurationen hinzufügen möchten, müssen Sie Amazon S3 zusätzliche Berechtigungen erteilen. Weitere Informationen finden Sie unter Zusätzliche Replikations-Konfigurationen.

Erteilen von Berechtigungen, wenn sich der Quell- und der Ziel-Bucket im Besitz verschiedener befinden AWS-Konten

Wenn sich der Quell- und der Ziel-Bucket im Besitz von unterschiedlichen Konten befinden, muss der Eigentümer des Ziel-Buckets auch eine Bucket-Richtlinie hinzufügen, um dem Eigentümer des Quell-Buckets die Berechtigung zum Ausführen von Replikationsaktionen wie folgt zu erteilen. In dieser Richtlinie ist DOC-EXAMPLE-BUCKET2 der Ziel-Bucket.

Anmerkung

Das ARN-Format der Rolle kann anders aussehen. Wenn die Rolle mit der Konsole erstellt wurde, lautet das ARN-Format arn:aws:iam::account-ID:role/service-role/role-name. Wenn die Rolle mit der erstellt wurde AWS CLI, lautet das ARN-Format arn:aws:iam::account-ID :role/role-name. Weitere Informationen finden Sie unter IAM-Rollen im IAM-Benutzerhandbuch.

{ "Version":"2012-10-17", "Id":"PolicyForDestinationBucket", "Statement":[ { "Sid":"Permissions on objects", "Effect":"Allow", "Principal":{ "AWS":"arn:aws:iam::SourceBucket-account-ID:role/service-role/source-account-IAM-role" }, "Action":[ "s3:ReplicateDelete", "s3:ReplicateObject" ], "Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET2/*" }, { "Sid":"Permissions on bucket", "Effect":"Allow", "Principal":{ "AWS":"arn:aws:iam::SourceBucket-account-ID:role/service-role/source-account-IAM-role" }, "Action": [ "s3:List*", "s3:GetBucketVersioning", "s3:PutBucketVersioning" ], "Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET2" } ] }

Ein Beispiel finden Sie unter Konfigurieren der Replikation, wenn sich Quell- und Ziel-Buckets im Eigentum verschiedener Konten befinden.

Wenn Objekte im Quell-Bucket mit einem Tag versehen sind, beachten Sie Folgendes:

  • Wenn der Eigentümer des Quell-Buckets Amazon S3 die Berechtigung für die Aktionen s3:GetObjectVersionTagging und s3:ReplicateTags zum Replizieren von Objekt-Tags (über die IAM-Rolle) erteilt, repliziert Amazon S3 die Tags zusammen mit den Objekten. Weitere Information zur IAM-Rolle finden Sie unter Erstellen einer IAM-Rolle.

  • Wenn der Eigentümer des Ziel-Buckets die Tags nicht replizieren will, kann er die folgende Anweisung zur Richtlinie für den Ziel-Bucket hinzufügen, um die Berechtigung für die Aktion s3:ReplicateTags explizit zu verweigern. In dieser Richtlinie ist DOC-EXAMPLE-BUCKET2 der Ziel-Bucket.

    ... "Statement":[ { "Effect":"Deny", "Principal":{ "AWS":"arn:aws:iam::SourceBucket-account-id:role/service-role/source-account-IAM-role" }, "Action":"s3:ReplicateTags", "Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET2/*" } ] ...

Gewähren von Berechtigungen für S3-Batch-Operationen

Die S3-Batch-Replikation bietet Ihnen eine Möglichkeit, Objekte zu replizieren, die existierten, bevor eine Replikationskonfiguration vorhanden war, Objekte, die zuvor repliziert wurden, und Objekte, bei denen die Replikation fehlgeschlagen ist. Beim Erstellen der ersten Regel in einer neuen Replikationskonfiguration oder beim Hinzufügen eines neuen Ziels zu einer vorhandenen Konfiguration über die AWS Management Console können Sie einen einmaligen Batch-Replikationsauftrag erstellen. Sie können die Batch-Replikation auch für eine bestehende Replikationskonfiguration initiieren, indem Sie einen Batch-Operationsauftrag erstellen.

Beispiele für Batch-Replikations-IAM-Rollen und -Richtlinien finden Sie unter Konfigurieren von IAM-Richtlinien für die Batch-Replikation.

Ändern des Replikatbesitzers

Wenn der Quell- und der Ziel-Bucket unterschiedlich AWS-Konten sind, können Sie Amazon S3 anweisen, die Eigentümerschaft des Replikats zu dem zu ändern AWS-Konto , dem der Ziel-Bucket gehört. Weitere Informationen zum Außerkraftsetzen des Besitzers finden Sie unter Ändern des Replikat-Eigentümers.

Aktivieren des Empfangs replizierter Objekte aus einem Quell-Bucket

Sie können schnell die Richtlinien generieren, die erforderlich sind, um den Empfang replizierter Objekte aus einem Quell-Bucket über die AWS Management Console zu aktivieren.

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im linken Navigationsbereich Buckets aus.

  3. Wählen Sie in der Liste Buckets den Bucket aus, den Sie als Ziel-Bucket verwenden möchten.

  4. Wählen Sie die Registerkarte Management (Verwaltung) aus und scrollen Sie nach unten zu Replication rules (Replikationsregeln).

  5. Wählen Sie für Actions (Aktionen) die Option Receive replicated objects (Replizierte Objekte empfangen) aus.

    Folgen Sie den Anweisungen, geben Sie die AWS-Konto ID des Quell-Bucket-Kontos ein und wählen Sie Richtlinien generieren aus. Daraufhin werden eine Amazon-S3-Bucket-Richtlinie und eine KMS-Schlüsselrichtlinie erstellt.

  6. Wenn Sie diese Richtlinie Ihrer bestehenden Bucket-Richtlinie hinzufügen möchten, wählen Sie entweder Apply settings (Einstellungen anwenden) oder Copy (Kopieren) aus, um die Änderungen manuell zu kopieren.

  7. (Optional) Kopieren Sie die AWS KMS Richtlinie in die gewünschte KMS-Schlüsselrichtlinie in der AWS Key Management Service -Konsole.