Verwalten des öffentlichen Zugriffs auf einen Multi-Regions-Zugriffspunkt Anzeigen der Einstellungen für die Blockierung des öffentlichen Zugriffs für einen Multi-Region Access Point Verwenden einer Richtlinie für Multi-Region Access Points Bearbeiten der Richtlinie für Multi-Region Access Points Beispielrichtlinien für Multi-Region Access Points

Berechtigungen

Amazon S3 Multi-Region Access Points können den Datenzugriff für Amazon-S3-Buckets in mehreren AWS-Regionen vereinfachen. Multi-Region Access Points sind benannte globale Endpunkte, mit denen Sie Datenzugriffsoperationen für Objekte in Amazon S3 ausführen können, z. B. GetObject und PutObject. Jeder Multi-Region Access Point kann für jede Anforderung, die über den globalen Endpunkt eingehen, über unterschiedliche Berechtigungen und Netzwerkkontrollen verfügen.

Jeder Multi-Region Access Point kann außerdem eine benutzerdefinierte Zugriffsrichtlinie erzwingen, die in Verbindung mit der Bucket-Richtlinie funktioniert, welche dem zugrunde liegenden Bucket angefügt ist. Damit eine Anforderung erfolgreich ist, müssen alle folgenden Komponenten die Operation zulassen:

Die Richtlinie der Multi-Region Access Points
Die zugrunde liegendeAWS Identity and Access Management (IAM)-Richtlinie
Die zugrunde liegende Bucket-Richtlinie (an die die Anforderung weitergeleitet wird)

Sie können jede Richtlinie für Multi-Region Access Points so konfigurieren, dass nur Anforderungen von bestimmten IAM-Benutzern oder -Gruppen akzeptiert werden. Ein Beispiel für diese Vorgehensweise finden Sie in Beispiel 2 unter Beispielrichtlinien für Multi-Region Access Points. Um den Amazon-S3-Datenzugriff auf ein privates Netzwerk zu beschränken, können Sie die Richtlinie für Multi-Region Access Points auch so konfigurieren, dass Anforderungen nur von einer Virtual Private Cloud (VPC) akzeptiert werden.

Nehmen wir zum Beispiel an, dass Sie eine GetObject-Anforderung über einen Multi-Region Access Point mithilfe eines Benutzers namens AppDataReader in Ihrem AWS-Konto stellen. Um sicherzustellen, dass die Anforderung nicht abgelehnt wird, muss der Benutzer AppDataReader die s3:GetObject-Berechtigung vom Multi-Region Access Point und von jedem Bucket, der dem Multi-Region Access Point zugrunde liegt, erhalten. AppDataReader kann keine Daten aus einem Bucket abrufen, der diese Berechtigung nicht erteilt.

Wichtig

Das Delegieren der Zugriffskontrolle für einen Bucket an eine Richtlinie eines Multi-Region Access Points ändert nicht das Verhalten des Buckets, wenn auf den Bucket über den Bucket-Namen oder den Amazon-Ressourcennamen (ARN) zugegriffen wird. Alle Operationen, die direkt für den Bucket ausgeführt werden, funktionieren weiterhin wie zuvor. Einschränkungen, die Sie in eine Richtlinie für Multi-Region Access Points einschließen, gelten nur für Anforderungen, die über diesen Multi-Region Access Point eingehen.

Verwalten des öffentlichen Zugriffs auf einen Multi-Regions-Zugriffspunkt

Multi-Regions-Zugriffspunkte unterstützen unabhängige Block-Einstellungen des öffentlichen Zugriffs für jeden Multi-Regions-Zugriffspunkt. Wenn Sie einen Multi-Regions-Zugriffspunkt erstellen, können Sie die Block-Einstellungen des öffentlichen Zugriffs für diesen Multi-Regions–Zugriffspunkt festlegen.

Anmerkung

Alle Einstellungen für „Öffentlichen Zugriff blockieren“, die unter „Einstellungen „Öffentlichen Zugriff beschränken“ für dieses Konto (in Ihrem eigenen Konto) oder Einstellungen „Öffentlichen Zugriff beschränken“ für externe Buckets aktiviert sind, gelten auch dann, wenn die unabhängigen Einstellungen für „Öffentlichen Zugriff blockieren“ für Ihren Multi-Region Access Point deaktiviert sind.

Für jede Anforderung, die über einen Multi-Region Access Point erfolgt, wertet Amazon S3 die Einstellungen zum Blockieren des öffentlichen Zugriffs für Folgendes aus:

Den Multi-Region Access Point
Die zugrunde liegenden Buckets (einschließlich externer Buckets)
Das Konto, das den Multi-Region Access Point besitzt
Das Konto, das die zugrunde liegenden Buckets besitzt (einschließlich externer Konten)

Wenn eine dieser Einstellungen darauf hinweist, dass die Anforderung gesperrt werden soll, lehnt Amazon S3 die Anforderung ab. Weitere Hinweise zur Funktion Amazon S3 Block Public Access finden Sie unter Blockieren des öffentlichen Zugriffs auf Ihren Amazon-S3-Speicher.

Wichtig

Alle Einstellungen für die Blockierung des öffentlichen Zugriffs sind für neue Multi-Region Access Points standardmäßig aktiviert. Sie müssen alle Einstellungen, die Sie nicht auf einen Multi-Regions-Zugriffspunkt anwenden möchten, explizit deaktivieren.

Nach dem Erstellen eines Multi-Region Access Point können Sie die Block-Public-Access-Einstellungen für den Access Point nicht mehr ändern.

Anzeigen der Einstellungen für die Blockierung des öffentlichen Zugriffs für einen Multi-Region Access Point

So zeigen Sie die Einstellungen für die Blockierung des öffentlichen Zugriffs für einen Multi-Region Access Point an

Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.
Wählen Sie im linken Navigationsbereich Multi-Region Access Points aus.
Wählen Sie den Namen des Multi-Region Access Points aus, den Sie überprüfen möchten.
Wählen Sie die Registerkarte Permissions (Berechtigungen).
Überprüfen Sie unter Block Public Access settings for this Multi-Region Access Point (Einstellungen für die Blockierung des öffentlichen Zugriffs für diesen Multi-Region Access Point) die Einstellungen für die Blockierung des öffentlichen Zugriffs für Ihren Multi-Region Access Point.

Anmerkung
Nachdem der Multi-Region Access Point erstellt wurde, können Sie die Einstellungen für die Blockierung des öffentlichen Zugriffs nicht mehr bearbeiten. Wenn Sie den öffentlichen Zugriff blockieren möchten, stellen Sie daher sicher, dass Ihre Anwendungen ohne öffentlichen Zugriff ordnungsgemäß funktionieren, bevor Sie einen Multi-Region Access Point erstellen.

Verwenden einer Richtlinie für Multi-Region Access Points

Das folgende Beispiel einer Richtlinie für Multi-Region Access Points gewährt einem IAM-Benutzer Zugriff zum Auflisten und Herunterladen von Dateien aus Ihrem Multi-Region Access Point. Wenn Sie diese Beispielrichtlinie verwenden möchten, ersetzen Sie user input placeholders durch Ihre eigenen Informationen.


 {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::123456789012:user/JohnDoe" 
         },
         "Action":[
            "s3:ListBucket",
            "s3:GetObject"
         ],
         "Resource":[
            "arn:aws:s3::111122223333:accesspoint/MultiRegionAccessPoint_alias",
            "arn:aws:s3::111122223333:accesspoint/MultiRegionAccessPoint_alias/object/*"
         ]
      }
   ]
}

Verwenden Sie den folgenden Befehl put-multi-region-access-point-policy, um die Richtlinie für Multi-Region Access Points über die AWS Command Line Interface (AWS CLI) mit dem angegebenen Multi-Region Access Point zu verknüpfen. Wenn Sie dieses Beispielbefehl verwenden möchten, ersetzen Sie user input placeholders durch Ihre Informationen. Jeder Multi-Region Access Point kann nur über eine Richtlinie verfügen. Daher ersetzt eine an Aktion put-multi-region-access-point-policy gerichtete Anforderung jede vorhandene Richtlinie, die dem angegebenen Multi-Region Access Point zugeordnet ist.

Verwenden Sie den folgenden Befehl, um die Ergebnisse der vorherigen Operation abzufragen:

Verwenden Sie den folgenden Befehl, um Ihre Richtlinie für Multi-Region Access Points abzurufen:

Bearbeiten der Richtlinie für Multi-Region Access Points

Die Richtlinie für Multi-Region Access Points (in JSON geschrieben) bietet Speicherzugriff auf die Amazon-S3-Buckets, die mit diesem Multi-Region Access Point verwendet werden. Sie können bestimmten Prinzipalen die Ausführung verschiedener Aktionen auf Ihrem Multi-Region Access Point erlauben oder verweigern. Wenn eine Anforderung über den Multi-Region Access Point an einen Bucket weitergeleitet wird, gelten sowohl die Zugriffsrichtlinien für den Multi-Region Access Point als auch den Bucket. Die restriktivere Zugriffsrichtlinie hat immer Vorrang.

Anmerkung

Wenn ein Bucket Objekte enthält, die anderen Konten gehören, gilt die Richtlinie für Multi-Region Access Points nicht für Objekte, die anderen AWS-Konten gehören.

Nachdem Sie eine Richtlinie für Multi-Region Access Points angewendet haben, kann die Richtlinie nicht mehr gelöscht werden. Sie können entweder die Richtlinie bearbeiten oder eine neue Richtlinie erstellen, die die bestehende überschreibt.

So bearbeiten Sie die Richtlinie für Multi-Region Access Points

Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.
Wählen Sie im linken Navigationsbereich Multi-Region Access Points aus.
Wählen Sie den Namen des Multi-Region Access Point aus, für den Sie die Richtlinie bearbeiten möchten.
Wählen Sie die Registerkarte Permissions (Berechtigungen).
Scrollen Sie nach unten zum Abschnitt Richtlinie für Multi-Region Access Points. Wählen Sie Edit (Bearbeiten) aus, um die Richtlinie (in JSON) zu bearbeiten.
Die Seite Edit Multi-Region Access Point policy (Richtlinie für Multi-Region Access Points bearbeiten) wird angezeigt. Sie können die Richtlinie entweder direkt in das Textfeld eingeben oder Add statement (Anweisung hinzufügen) auswählen, um Richtlinienelemente aus einer Dropdownliste auszuwählen.

Anmerkung
Die Konsole zeigt automatisch den Amazon-Ressourcennamen (ARN) für den Multi-Region Access Point an, den Sie in der Richtlinie verwenden können. Für Beispielrichtlinien für Multi-Region Access Points vgl. Beispielrichtlinien für Multi-Region Access Points.

Beispielrichtlinien für Multi-Region Access Points

Amazon S3 Multi-Region Access Points unterstützen AWS Identity and Access Management (IAM)-Ressourcenrichtlinien. Mithilfe dieser Richtlinien können Sie die Verwendung des Multi-Region Access Point nach Ressource, Benutzer oder anderen Bedingungen steuern. Damit eine Anwendung oder ein Benutzer über einen Multi-Region Access Point auf Objekte zugreifen kann, müssen sowohl der Multi-Region Access Point Zugriffspunkt als auch der zugrunde liegende Bucket den gleichen Zugriff erlauben.

Gehen Sie folgendermaßen vor, um den gleichen Zugriff sowohl auf den Multi-Region Access Point als auch auf den zugrunde liegenden Bucket zu erlauben:

(Empfohlen) Wenn Sie die Zugriffskontrollen bei der Verwendung eines Amazon S3 Multi-Region Access Points vereinfachen möchten, delegieren Sie die Zugriffskontrolle für den Amazon-S3-Bucket an den Multi-Region Access Point. Ein Beispiel für diese Vorgehensweise finden Sie in Beispiel 1 in diesem Abschnitt.
Fügen Sie der Richtlinie des zugrunde liegenden Buckets dieselben Berechtigungen hinzu, die in der Richtlinie des Multi Region Access Points enthalten sind.

Wichtig

Beispiel 1 – Delegieren des Zugriffs auf bestimmte Multi-Region Access Points in Ihrer Bucket-Richtlinie (für dasselbe Konto oder kontoübergreifend)

Das folgende Beispiel für eine Bucket-Richtlinie gewährt vollständigen Bucket-Zugriff auf einen bestimmten Multi-Region Access Point. Dies bedeutet, dass der gesamte Zugriff auf diesen Bucket durch die Richtlinien gesteuert wird, die dem Multi-Region Access Point angefügt sind. Wir empfehlen, Ihre Buckets auf diese Weise für alle Anwendungsfälle zu konfigurieren, die keinen direkten Zugriff auf den Bucket erfordern. Sie können diese Bucket-Richtlinienstruktur für Multi-Region Access Points in demselben Konto oder einem anderen Konto verwenden.


{
    "Version": "2012-10-17",
    "Statement" : [
    {
        "Effect": "Allow",
        "Principal" : { "AWS": "*" },
        "Action" : "*",
        "Resource" : [ "Bucket ARN", "Bucket ARN/*"],
        "Condition": {
            "StringEquals" : { "s3:DataAccessPointArn" : "MultiRegionAccessPoint_ARN" }
        }
    }]
}

Anmerkung

Wenn Sie für mehrere Multi-Region Access Points Zugriff erteilen, stellen Sie sicher, dass Sie jeden einzelnen Multi-Region Access Point auflisten.

Beispiel 2 – Gewähren des Zugriffs auf einen Multi-Region Access Point für ein Konto in Ihrer Richtlinie für Multi-Region Access Points

Die folgende Richtlinie für Multi-Region Access Points gewährt dem Konto 123456789012 die Berechtigung zum Auflisten und Lesen der Objekte, die in dem Multi-Region Access Point enthalten sind, der durch den MultiRegionAccessPoint_ARN definiert wird.


{
  "Version":"2012-10-17",
  "Statement": [
    {
       "Effect": "Allow",
       "Principal": {
          "AWS":"arn:aws:iam::123456789012:user/JohnDoe"
       },
       "Action":[
          "s3:ListBucket",
          "s3:GetObject"
       ],
       "Resource":[ 
          "MultiRegionAccessPoint_ARN",
          "MultiRegionAccessPoint_ARN/object/*"
       ]
     }
  ]
}

Beispiel 3 – Richtlinie für Multi-Region Access Points, die eine Bucket-Auflistung ermöglicht

Die folgende Richtlinie für Multi-Region Access Points gewährt dem Konto 123456789012 die Berechtigung zum Auflisten der Objekte, die in dem Multi-Region Access Point enthalten sind, der durch den MultiRegionAccessPoint_ARN definiert wird.


{
   "Version":"2012-10-17",
   "Statement": [
      {
       "Effect": "Allow",
       "Principal": {
        "AWS": "arn:aws:iam::123456789012:user/JohnDoe"
        },
        "Action": "s3:ListBucket",
        "Resource": "MultiRegionAccessPoint_ARN"
       }
    ]
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verwenden von Multi-Region Access Points

Beschränkungen und Einschränkungen