Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Berechtigungen
Amazon S3 Multiregion Access Points können den Datenzugriff für Amazon S3 S3-Buckets in mehreren Bereichen vereinfachen. AWS-Regionen Multi-Region Access Points sind benannte globale Endpunkte, mit denen Sie Datenzugriffsoperationen für Objekte in Amazon S3 ausführen können, z. B. GetObject
und PutObject
. Jeder Multi-Region Access Point kann für jede Anforderung, die über den globalen Endpunkt eingehen, über unterschiedliche Berechtigungen und Netzwerkkontrollen verfügen.
Jeder Multi-Region Access Point kann außerdem eine benutzerdefinierte Zugriffsrichtlinie erzwingen, die in Verbindung mit der Bucket-Richtlinie funktioniert, welche dem zugrunde liegenden Bucket angefügt ist. Damit eine Anforderung erfolgreich ist, müssen alle folgenden Komponenten die Operation zulassen:
-
Die Richtlinie der Multi-Region Access Points
-
Die zugrunde liegende Richtlinie AWS Identity and Access Management () IAM
-
Die zugrunde liegende Bucket-Richtlinie (an die die Anforderung weitergeleitet wird)
Sie können jede Access Point-Richtlinie für mehrere Regionen so konfigurieren, dass sie nur Anfragen von bestimmten IAM Benutzern oder Gruppen akzeptiert. Ein Beispiel für diese Vorgehensweise finden Sie in Beispiel 2 unter Beispielrichtlinien für Multi-Region Access Points. Um den Amazon S3 S3-Datenzugriff auf ein privates Netzwerk zu beschränken, können Sie die Multi-Region-Zugriffspunkt-Richtlinie so konfigurieren, dass nur Anfragen von einer virtuellen privaten Cloud akzeptiert werden (VPC).
Nehmen wir zum Beispiel an, dass Sie eine GetObject
Anfrage über einen Multi-Region-Access Point stellen, indem Sie einen Benutzer verwenden, der AppDataReader
in Ihrem AWS Konto angerufen wird. Um sicherzustellen, dass die Anforderung nicht abgelehnt wird, muss der Benutzer AppDataReader
die s3:GetObject
-Berechtigung vom Multi-Region Access Point und von jedem Bucket, der dem Multi-Region Access Point zugrunde liegt, erhalten. AppDataReader
kann keine Daten aus einem Bucket abrufen, der diese Berechtigung nicht erteilt.
Wichtig
Das Delegieren der Zugriffskontrolle für einen Bucket an eine Multi-Region-Access Point-Richtlinie ändert nichts am Verhalten des Buckets, wenn direkt über seinen Bucket-Namen oder Amazon-Ressourcennamen () ARN auf den Bucket zugegriffen wird. Alle Operationen, die direkt für den Bucket ausgeführt werden, funktionieren weiterhin wie zuvor. Einschränkungen, die Sie in eine Richtlinie für Multi-Region Access Points einschließen, gelten nur für Anforderungen, die über diesen Multi-Region Access Point eingehen.
Verwalten des öffentlichen Zugriffs auf einen Multi-Regions-Zugriffspunkt
Multi-Regions-Zugriffspunkte unterstützen unabhängige Block-Einstellungen des öffentlichen Zugriffs für jeden Multi-Regions-Zugriffspunkt. Wenn Sie einen Multi-Regions-Zugriffspunkt erstellen, können Sie die Block-Einstellungen des öffentlichen Zugriffs für diesen Multi-Regions–Zugriffspunkt festlegen.
Anmerkung
Alle Einstellungen für „Öffentlichen Zugriff blockieren“, die unter „Einstellungen „Öffentlichen Zugriff beschränken“ für dieses Konto (in Ihrem eigenen Konto) oder Einstellungen „Öffentlichen Zugriff beschränken“ für externe Buckets aktiviert sind, gelten auch dann, wenn die unabhängigen Einstellungen für „Öffentlichen Zugriff blockieren“ für Ihren Multi-Region Access Point deaktiviert sind.
Für jede Anforderung, die über einen Multi-Region Access Point erfolgt, wertet Amazon S3 die Einstellungen zum Blockieren des öffentlichen Zugriffs für Folgendes aus:
-
Den Multi-Region Access Point
-
Die zugrunde liegenden Buckets (einschließlich externer Buckets)
-
Das Konto, das den Multi-Region Access Point besitzt
Das Konto, das die zugrunde liegenden Buckets besitzt (einschließlich externer Konten)
Wenn eine dieser Einstellungen darauf hinweist, dass die Anforderung gesperrt werden soll, lehnt Amazon S3 die Anforderung ab. Weitere Hinweise zur Funktion Amazon S3 Block Public Access finden Sie unter Blockieren des öffentlichen Zugriffs auf Ihren Amazon-S3-Speicher.
Wichtig
Alle Einstellungen für die Blockierung des öffentlichen Zugriffs sind für neue Multi-Region Access Points standardmäßig aktiviert. Sie müssen alle Einstellungen, die Sie nicht auf einen Multi-Regions-Zugriffspunkt anwenden möchten, explizit deaktivieren.
Nach dem Erstellen eines Multi-Region Access Point können Sie die Block-Public-Access-Einstellungen für den Access Point nicht mehr ändern.
Anzeigen der Einstellungen für die Blockierung des öffentlichen Zugriffs für einen Multi-Region Access Point
So zeigen Sie die Einstellungen für die Blockierung des öffentlichen Zugriffs für einen Multi-Region Access Point an
-
Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/
. -
Wählen Sie im linken Navigationsbereich Multi-Region Access Points aus.
-
Wählen Sie den Namen des Multi-Region Access Points aus, den Sie überprüfen möchten.
-
Wählen Sie die Registerkarte Berechtigungen.
-
Überprüfen Sie unter Block Public Access settings for this Multi-Region Access Point (Einstellungen für die Blockierung des öffentlichen Zugriffs für diesen Multi-Region Access Point) die Einstellungen für die Blockierung des öffentlichen Zugriffs für Ihren Multi-Region Access Point.
Anmerkung
Nachdem der Multi-Region Access Point erstellt wurde, können Sie die Einstellungen für die Blockierung des öffentlichen Zugriffs nicht mehr bearbeiten. Wenn Sie den öffentlichen Zugriff blockieren möchten, stellen Sie daher sicher, dass Ihre Anwendungen ohne öffentlichen Zugriff ordnungsgemäß funktionieren, bevor Sie einen Multi-Region Access Point erstellen.
Verwenden einer Richtlinie für Multi-Region Access Points
Die folgende Beispielrichtlinie für Access Points für mehrere Regionen gewährt einem IAM Benutzer Zugriff auf das Auflisten und Herunterladen von Dateien von Ihrem Multi-Region-Access Point. Wenn Sie diese Beispielrichtlinie verwenden möchten, ersetzen Sie
durch Ihre eigenen Informationen.user
input placeholders
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "AWS":"arn:aws:iam::
123456789012
:user/JohnDoe
" }, "Action":[ "s3:ListBucket", "s3:GetObject" ], "Resource":[ "arn:aws:s3::111122223333
:accesspoint/MultiRegionAccessPoint_alias
", "arn:aws:s3::111122223333
:accesspoint/MultiRegionAccessPoint_alias
/object/*" ] } ] }
Verwenden Sie den folgenden Befehl put-multi-region-access-point-policy
, um die Richtlinie für Multi-Region Access Points über die AWS Command Line Interface
(AWS CLI) mit dem angegebenen Multi-Region Access Point zu verknüpfen. Wenn Sie diesen Beispielbefehl verwenden möchten, ersetzen Sie
durch Ihre Informationen. Jeder Multi-Region Access Point kann nur über eine Richtlinie verfügen. Daher ersetzt eine an Aktion user input
placeholders
put-multi-region-access-point-policy
gerichtete Anforderung jede vorhandene Richtlinie, die dem angegebenen Multi-Region Access Point zugeordnet ist.
Verwenden Sie den folgenden Befehl, um die Ergebnisse der vorherigen Operation abzufragen:
Verwenden Sie den folgenden Befehl, um Ihre Richtlinie für Multi-Region Access Points abzurufen:
Bearbeiten der Richtlinie für Multi-Region Access Points
Die Multi-Region-Zugriffspunkt-Richtlinie (beschriebenJSON) ermöglicht den Speicherzugriff auf die Amazon S3 S3-Buckets, die mit diesem Multi-Region-Access Point verwendet werden. Sie können bestimmten Prinzipalen die Ausführung verschiedener Aktionen auf Ihrem Multi-Region Access Point erlauben oder verweigern. Wenn eine Anforderung über den Multi-Region Access Point an einen Bucket weitergeleitet wird, gelten sowohl die Zugriffsrichtlinien für den Multi-Region Access Point als auch den Bucket. Die restriktivere Zugriffsrichtlinie hat immer Vorrang.
Anmerkung
Wenn ein Bucket Objekte enthält, die anderen Konten gehören, gilt die Richtlinie für Multi-Region Access Points nicht für Objekte, die anderen AWS-Konten gehören.
Nachdem Sie eine Richtlinie für Multi-Region Access Points angewendet haben, kann die Richtlinie nicht mehr gelöscht werden. Sie können entweder die Richtlinie bearbeiten oder eine neue Richtlinie erstellen, die die bestehende überschreibt.
So bearbeiten Sie die Richtlinie für Multi-Region Access Points
-
Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/
. -
Wählen Sie im linken Navigationsbereich Multi-Region Access Points aus.
-
Wählen Sie den Namen des Multi-Region Access Point aus, für den Sie die Richtlinie bearbeiten möchten.
-
Wählen Sie die Registerkarte Berechtigungen.
-
Scrollen Sie nach unten zum Abschnitt Richtlinie für Multi-Region Access Points. Wählen Sie Bearbeiten, um die Richtlinie zu aktualisieren (inJSON).
-
Die Seite Edit Multi-Region Access Point policy (Richtlinie für Multi-Region Access Points bearbeiten) wird angezeigt. Sie können die Richtlinie entweder direkt in das Textfeld eingeben oder Add statement (Anweisung hinzufügen) auswählen, um Richtlinienelemente aus einer Dropdownliste auszuwählen.
Anmerkung
In der Konsole wird automatisch der Amazon Resource Name (ARN) für den multiregionalen Access Point angezeigt, den Sie in der Richtlinie verwenden können. Für Beispielrichtlinien für Multi-Region Access Points vgl. Beispielrichtlinien für Multi-Region Access Points.
Beispielrichtlinien für Multi-Region Access Points
Amazon S3 Multiregion Access Points unterstützen Ressourcenrichtlinien AWS Identity and Access Management (IAM). Mithilfe dieser Richtlinien können Sie die Verwendung des Multi-Region Access Point nach Ressource, Benutzer oder anderen Bedingungen steuern. Damit eine Anwendung oder ein Benutzer über einen Multi-Region Access Point auf Objekte zugreifen kann, müssen sowohl der Multi-Region Access Point Zugriffspunkt als auch der zugrunde liegende Bucket den gleichen Zugriff erlauben.
Gehen Sie folgendermaßen vor, um den gleichen Zugriff sowohl auf den Multi-Region Access Point als auch auf den zugrunde liegenden Bucket zu erlauben:
-
(Empfohlen) Wenn Sie die Zugriffskontrollen bei der Verwendung eines Amazon S3 Multi-Region Access Points vereinfachen möchten, delegieren Sie die Zugriffskontrolle für den Amazon-S3-Bucket an den Multi-Region Access Point. Ein Beispiel für diese Vorgehensweise finden Sie in Beispiel 1 in diesem Abschnitt.
-
Fügen Sie der Richtlinie des zugrunde liegenden Buckets dieselben Berechtigungen hinzu, die in der Richtlinie des Multi Region Access Points enthalten sind.
Wichtig
Das Delegieren der Zugriffskontrolle für einen Bucket an eine Multi-Region-Access Point-Richtlinie ändert nichts am Verhalten des Buckets, wenn direkt über seinen Bucket-Namen oder Amazon-Ressourcennamen () ARN auf den Bucket zugegriffen wird. Alle Operationen, die direkt für den Bucket ausgeführt werden, funktionieren weiterhin wie zuvor. Einschränkungen, die Sie in eine Richtlinie für Multi-Region Access Points einschließen, gelten nur für Anforderungen, die über diesen Multi-Region Access Point eingehen.
Beispiel 1 – Delegieren des Zugriffs auf bestimmte Multi-Region Access Points in Ihrer Bucket-Richtlinie (für dasselbe Konto oder kontoübergreifend)
Das folgende Beispiel für eine Bucket-Richtlinie gewährt vollständigen Bucket-Zugriff auf einen bestimmten Multi-Region Access Point. Dies bedeutet, dass der gesamte Zugriff auf diesen Bucket durch die Richtlinien gesteuert wird, die dem Multi-Region Access Point angefügt sind. Wir empfehlen, Ihre Buckets auf diese Weise für alle Anwendungsfälle zu konfigurieren, die keinen direkten Zugriff auf den Bucket erfordern. Sie können diese Bucket-Richtlinienstruktur für Multi-Region Access Points in demselben Konto oder einem anderen Konto verwenden.
{ "Version": "2012-10-17", "Statement" : [ { "Effect": "Allow", "Principal" : { "AWS": "*" }, "Action" : "*", "Resource" : [ "
Bucket ARN
", "Bucket ARN
/*"], "Condition": { "StringEquals" : { "s3:DataAccessPointArn" : "MultiRegionAccessPoint_ARN
" } } }] }
Anmerkung
Wenn Sie für mehrere Multi-Region Access Points Zugriff erteilen, stellen Sie sicher, dass Sie jeden einzelnen Multi-Region Access Point auflisten.
Beispiel 2 – Gewähren des Zugriffs auf einen Multi-Region Access Point für ein Konto in Ihrer Richtlinie für Multi-Region Access Points
Die folgende Richtlinie für multiregionale Access Points ermöglicht es dem Konto
, die Objekte aufzulisten und zu lesen, die sich in dem multiregionalen Access Point befinden, der durch den 123456789012
.MultiRegionAccessPoint_ARN
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS":"arn:aws:iam::
123456789012
:user/JohnDoe
" }, "Action":[ "s3:ListBucket", "s3:GetObject" ], "Resource":[ "MultiRegionAccessPoint_ARN
", "MultiRegionAccessPoint_ARN/object/*
" ] } ] }
Beispiel 3 – Richtlinie für Multi-Region Access Points, die eine Bucket-Auflistung ermöglicht
Die folgende Richtlinie für multiregionale Access Points ermöglicht es Benutzerkonten
, die Objekte aufzulisten, die sich in dem multiregionalen Access Point befinden, definiert durch 123456789012
.MultiRegionAccessPoint_ARN
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
123456789012
:user/JohnDoe
" }, "Action": "s3:ListBucket", "Resource": "MultiRegionAccessPoint_ARN
" } ] }