Amazon S3-Aktionen - Amazon Simple Storage Service

Amazon S3-Aktionen

Amazon S3 definiert eine Reihe von Berechtigungen, die Sie in einer Richtlinie angeben können. Dies sind Schlüsselwörter. Jedes Schlüsselwort ist einer bestimmten Amazon S3-Operation zugeordnet. Weitere Informationen zu Amazon S3-Operationen finden Sie unter Aktionen im Amazon Simple Storage Service API Reference.

Informationen dazu, wie Sie Berechtigungen in Amazon S3 in einer Richtlinie angeben, finden Sie in den folgenden Beispielrichtlinien. Eine Liste der Amazon S3-Aktionen, -Ressourcen und -Bedingungsschlüssel für die Verwendung in Richtlinien finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3. Eine vollständige Liste der Amazon S3-Aktionen finden Sie unter Actions (Aktionen).

Die folgende Beispiel-Bucket-Richtlinie erteilt die Berechtigungen s3:PutObject und s3:PutObjectAcl für den Benutzer (Dave). Wenn Sie das Element Principal entfernen, können Sie die Richtlinie einem Benutzer zuweisen. Dies sind Objektoperationen. Dementsprechend identifiziert der Teil relative-id des Resource-ARN Objekte (examplebucket/*). Weitere Informationen finden Sie unter Amazon S3-Ressourcen.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "statement1", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::AccountB-ID:user/Dave" }, "Action": ["s3:PutObject","s3:PutObjectAcl"], "Resource": "arn:aws:s3:::examplebucket/*" } ] }

Berechtigungen für alle Amazon S3-Aktionen

Sie können ein Platzhalterzeichen verwenden, um die Berechtigung für alle Amazon S3-Aktionen zu erteilen.

"Action": "*"

Die folgende Beispiel-Benutzerrichtlinie erteilt die Berechtigungen s3:CreateBucket, s3:ListAllMyBuckets und s3:GetBucketLocation für einen Benutzer. Für alle diese Berechtigungen legen Sie den Teil relative-id des Resource-ARN auf „*“ fest. Bei allen anderen Bucket-Aktionen müssen Sie einen Bucket-Namen angegeben. Weitere Informationen finden Sie unter Amazon S3-Ressourcen.

{ "Version":"2012-10-17", "Statement":[ { "Sid":"statement1", "Effect":"Allow", "Action":[ "s3:CreateBucket", "s3:ListAllMyBuckets", "s3:GetBucketLocation" ], "Resource":[ "arn:aws:s3:::*" ] } ] }

Richtlinie für den Konsolenzugriff

Wenn ein Benutzer die AWS Management Console verwenden möchte, um Buckets und den Inhalt eines dieser Buckets anzuzeigen, muss der Benutzer die Berechtigungen s3:GetBucketLocation und s3:ListAllMyBuckets besitzen. Ein Beispiel finden Sie unter Richtlinie für den Konsolenzugriff im Blogbeitrag Schreiben von IAM-Richtlinien: So gewähren Sie Zugriff auf einen S3 Bucket.

Die folgende Beispiel-Benutzerrichtlinie erteilt die s3:GetBucketAcl-Berechtigung für den Bucket examplebucket für den Benutzer Dave.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "statement1", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::Account-ID:user/Dave" }, "Action": [ "s3:GetObjectVersion", "s3:GetBucketAcl" ], "Resource": "arn:aws:s3:::examplebucket" } ] }

LÖSCHEN von Objektberechtigungen

Sie können Objekte löschen, indem Sie explizit die DELETE-Objekt-API aufrufen oder ihren Lebenszyklus konfigurieren (vgl. Verwaltung des Objektlebenszyklus), damit Amazon S3 die Objekte entfernen kann, wenn ihr Lebenszyklus abläuft. Um explizit Benutzer oder Konten vom Löschen von Objekten zu sperren, müssen Sie ihnen die Berechtigungen s3:DeleteObject, s3:DeleteObjectVersion und s3:PutLifecycleConfiguration explizit entziehen.

Explizite Zugriffsverweigerung

Standardmäßig besitzen Benutzer keine Berechtigungen. Wenn Sie Benutzer erstellen, Benutzer zu Gruppen hinzufügen und diesen Berechtigungen erteilen, erhalten diese möglicherweise bestimmte Berechtigungen, die Sie nicht erteilen möchten. Dann können Sie explizite Sperren verwenden, die alle anderen Berechtigungen außer Kraft setzen, die ein Benutzer möglicherweise hat, und somit die Benutzerberechtigungen für bestimmte Aktionen verweigern.

Die folgende Beispiel-Benutzerrichtlinie erteilt die Berechtigung s3:GetAccountPublicAccessBlock für einen Benutzer. Für diese Berechtigungen legen Sie den Wert Resource auf "*" fest. Weitere Informationen finden Sie unter Amazon S3-Ressourcen.

{ "Version":"2012-10-17", "Statement":[ { "Sid":"statement1", "Effect":"Allow", "Action":[ "s3:GetAccountPublicAccessBlock" ], "Resource":[ "*" ] } ] }