Einrichten von IAM mit S3 on Outposts

AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu kontrollieren. AWS IAM-Administratoren steuern, wer authentifiziert (angemeldet) und autorisiert (im Besitz von Berechtigungen) ist, Amazon S3 auf Outpost-Ressourcen zu nutzen. IAM ist ein AWS-Service , den Sie ohne zusätzliche Kosten verwenden können. Standardmäßig haben IAM-Benutzer keine Berechtigungen für S3 auf Outpost-Ressourcen und -Vorgänge. Um Zugriffsberechtigungen für S3 auf Outpost-Ressourcen und API-Operationen zu gewähren, können Sie IAM verwenden, um Benutzer, Gruppen oder Rollen zu erstellen und Berechtigungen zuzuweisen.

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

• Benutzer und Gruppen in AWS IAM Identity Center:

  Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center -Benutzerhandbuch.

• Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:

  Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anweisungen unter Erstellen einer Rolle für einen externen Identitätsanbieter (Verbund) im IAM-Benutzerhandbuch.

• IAM-Benutzer:

  • Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Folgen Sie den Anweisungen unter Erstellen einer Rolle für einen IAM-Benutzer im IAM-Benutzerhandbuch.

  • (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter Hinzufügen von Berechtigungen zu einem Benutzer (Konsole) im IAM-Benutzerhandbuch.

Zusätzlich zu den IAM-Richtlinien unterstützt S3 on Outposts sowohl Bucket- als auch Zugriffspunkt-Richtlinien. Bucket-Richtlinien und Zugriffspunk-Richtlinien sind ressourcenbasierte Richtlinien, die mit der S3-on-Outposts-Ressource verbunden sind.

• Eine Bucket-Richtlinie ist mit dem Bucket verknüpft und erlaubt oder verweigert Anfragen an den Bucket und die darin enthaltenen Objekte auf der Grundlage der Elemente in der Richtlinie.

• Im Gegensatz dazu ist eine Zugriffspunkt-Richtlinie mit dem Zugriffspunkt verbunden und erlaubt oder verweigert Anfragen an den Zugriffspunkt.

Die Zugriffspunkt-Richtlinie funktioniert mit der Bucket-Richtlinie, die dem zugrunde liegenden S3-on-Outposts-Bucket zugeordnet ist. Damit eine Anwendung oder ein Benutzer über einen S3-on-Outposts-Zugriffspunkt auf Objekte in einem S3-on-Outposts-Bucket zugreifen kann, müssen sowohl die Zugriffspunkt- als auch die Bucket-Richtlinie die Anfrage zulassen.

Einschränkungen, die Sie in eine Zugriffspunktrichtlinie einschließen, gelten nur für Anforderungen, die über diesen Zugriffspunkt eingehen. Wenn beispielsweise ein Zugriffspunkt mit einem Bucket verbunden ist, können Sie die Zugriffspunkt-Richtlinie nicht verwenden, um Anfragen, die direkt an den Bucket gerichtet sind, zuzulassen oder zu verweigern. Einschränkungen, die Sie auf eine Bucket-Richtlinie anwenden, können jedoch Anfragen zulassen oder verweigern, die direkt an den Bucket oder über den Zugriffspunkt gestellt werden.

In einer IAM-Richtlinie oder einer ressourcenbasierten Richtlinie legen Sie fest, welche S3-on-Outposts-Aktionen erlaubt oder abgelehnt werden sollen. S3 on Outposts-Aktionen entsprechen spezifischen S3-on-Outposts-API-Operationen. Aktionen von S3 on Outposts verwenden das Namespace-Präfix s3-outposts:. Anfragen an die S3-on-Outposts-Kontroll-API in einer AWS-Region und Anfragen an die Objekt-API-Endpunkte auf dem Outpost werden mithilfe von IAM authentifiziert und anhand des Namespace-Präfixes autorisiert. s3-outposts: Zur Zusammenarbeit mit S3 on Outposts konfigurieren Sie Ihre IAM-Benutzer und autorisieren diese anhand des IAM-Namespace für s3-outposts:.

Weitere Informationen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3 on Outposts in der Service-Autorisierungs-Referenz.

Anmerkung

• Zugriffssteuerungslisten (ACLs) werden von S3 on Outposts nicht unterstützt.

• S3 on Outposts setzt standardmäßig den Bucket-Besitzer als Objekteigentümer ein, um sicherzustellen, dass der Eigentümer eines Buckets nicht am Zugriff auf oder am Löschen von Objekten gehindert werden kann.

• In S3 on Outposts ist S3 Block Public Access stets aktiviert, um sicherzustellen, dass nie öffentlich auf Objekte zugegriffen werden kann.

Weitere Informationen zur Einrichtung von IAM für S3 on Outposts finden Sie in den folgenden Themen.

Prinzipale für die Richtlinien von S3 on Outposts

Wenn Sie eine ressourcenbasierte Richtlinie erstellen, um Zugriff auf Ihren S3-on-Outposts-Bucket zu gewähren, müssen Sie das Principal-Element verwenden, um die Person oder Anwendung anzugeben, die eine Anfrage für eine Aktion oder einen Vorgang auf dieser Ressource stellen kann. Für S3-on-Outposts-Richtlinien können Sie einen der folgenden Prinzipals verwenden:

• Ein AWS-Konto

• Ein IAM-Benutzer

• Eine IAM-Rolle

• Alle Prinzipale durch Angabe eines Platzhalters (*) in einer Richtlinie, die ein Condition-Element zur Beschränkung des Zugriffs auf einen bestimmten IP-Bereich verwendet

Wichtig

Sie können keine Richtlinie für einen S3-on-Outposts-Bucket schreiben, die einen Platzhalter (*) im Principal-Element verwendet, es sei denn, die Richtlinie enthält auch eine Condition, die den Zugriff auf einen bestimmten IP-Bereich beschränkt. Mit dieser Beschränkung wird sichergestellt, dass es keinen öffentlichen Zugriff auf Ihren S3-on-Outposts-Bucket gibt. Ein Beispiel finden Sie unter Beispielrichtlinien für S3 on Outposts.

Weitere Informationen zu den Principal-Element finden Sie unter AWS -JSON-Richtlinienelemente: Prinzipal im IAM-Benutzerhandbuch.

Ressourcen-ARNs für S3 on Outposts

Amazon-Ressourcennamen (ARNs) für S3 auf Outposts enthalten die Outpost-ID zusätzlich zu der AWS-Region , in der sich der Outpost befindet, der AWS-Konto ID und dem Ressourcennamen. Wenn Sie auf Ihre Outposts-Buckets und -Objekte zugreifen und Aktionen für diese ausführen möchten, müssen Sie eines der ARN-Formate verwenden, die in der folgenden Tabelle aufgeführt sind.

Der partition Wert im ARN bezieht sich auf eine Gruppe von AWS-Regionen. Jeder AWS-Konto ist auf eine Partition beschränkt. Im Folgenden werden die unterstützten Partitionen angezeigt:

• aws – AWS-Regionen

• aws-us-gov— Regionen AWS GovCloud (US)

ARN-Formate für S3 on Outposts
ARN für Amazon S3 on Outposts	ARN-Format	Beispiel
Bucket-ARN	arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id/bucket/bucket_name	arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904/bucket/example-s3-bucket1
Zugriffspunkt-ARN	arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id/accesspoint/accesspoint_name	arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904/accesspoint/access-point-name
Objekt-ARN	arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id/bucket/bucket_name/object/object_key	arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904/bucket/example-s3-bucket1/object/myobject
ARN des Zugriffspunktobjekts in S3 on Outposts (wird in Richtlinien verwendet)	arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id/accesspoint/accesspoint_name/object/object_key	arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904/accesspoint/access-point-name/object/myobject
ARN für S3 on Outposts	arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id	arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904

Beispielrichtlinien für S3 on Outposts

Beispiel : Bucket-Richtlinie für S3 auf Outposts mit einem Principal AWS-Konto

Die folgende Bucket-Richtlinie verwendet einen AWS-Konto Principal, um Zugriff auf einen S3 on Outposts-Bucket zu gewähren. Wenn Sie diese Bucket-Richtlinie verwenden möchten, ersetzen Sie user input placeholders durch Ihre eigenen Informationen.

{
   "Version":"2012-10-17",
   "Id":"ExampleBucketPolicy1",
   "Statement":[
      {
         "Sid":"statement1",
         "Effect":"Allow",
         "Principal":{
            "AWS":"123456789012"
         },
         "Action":"s3-outposts:*",
         "Resource":"arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outposts-bucket"
      }
   ]
}

Beispiel : S3-on-Outposts-Bucket-Richtlinie mit Platzhalterprinzipal (*) und Bedingungsschlüssel, um den Zugriff auf einen bestimmten IP-Bereich zu beschränken

Die folgende Bucket-Richtlinie verwendet einen Platzhalterprinzipal (*) mit der aws:SourceIp-Bedingung, um den Zugriff auf einen bestimmten IP-Bereich zu beschränken. Wenn Sie diese Bucket-Richtlinie verwenden möchten, ersetzen Sie user input placeholders durch Ihre eigenen Informationen.

{
    "Version": "2012-10-17",
    "Id": "ExampleBucketPolicy2",
    "Statement": [
        {
            "Sid": "statement1",
            "Effect": "Allow",
            "Principal": { "AWS" : "*" },
            "Action":"s3-outposts:*",
            "Resource":"arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outposts-bucket",
            "Condition" : {
                "IpAddress" : {
                    "aws:SourceIp": "192.0.2.0/24" 
                },
                "NotIpAddress" : {
                    "aws:SourceIp": "198.51.100.0/24" 
                } 
            } 
        } 
    ]
} 

Berechtigungen für S3-on-Outposts-Endpunkte

S3 on Outposts erfordert eigene Berechtigungen in IAM, um S3-on-Outposts-Endpunktaktionen zu verwalten.

Anmerkung

• Für Endpunkte, die den Zugriffstyp des kundeneigenen IP-Adresspools (CoIP-Pool) verwenden, müssen Sie außerdem über Berechtigungen zum Arbeiten mit IP-Adressen aus Ihrem CoIP-Pool verfügen, wie in der folgenden Tabelle beschrieben.

• Für gemeinsame Konten, die über Outposts auf S3 zugreifen AWS Resource Access Manager, können Benutzer mit diesen gemeinsamen Konten keine eigenen Endpunkte in einem gemeinsamen Subnetz erstellen. Wenn ein Benutzer in einem freigegebenen Konto seine eigenen Endpunkte verwalten möchte, muss das freigegebene Konto ein eigenes Subnetz in Outposts erstellen. Weitere Informationen finden Sie unter S3 auf Outposts teilen mit AWS RAM.

S3-on-Outposts-Endpunkt-bezogene IAM-Berechtigungen
Action	IAM-Berechtigungen
CreateEndpoint	s3-outposts:CreateEndpoint ec2:CreateNetworkInterface ec2:DescribeNetworkInterfaces ec2:DescribeVpcs ec2:DescribeSecurityGroups ec2:DescribeSubnets ec2:CreateTags iam:CreateServiceLinkedRole Für Endpunkte, die den Zugriffstyp des kundeneigenen On-Premises-IP-Adresspools (CoIP-Pool) verwenden, sind die folgenden zusätzlichen Berechtigungen erforderlich: s3-outposts:CreateEndpoint ec2:DescribeCoipPools ec2:GetCoipPoolUsage ec2:AllocateAddress ec2:AssociateAddress ec2:DescribeAddresses ec2:DescribeLocalGatewayRouteTableVpcAssociations
DeleteEndpoint	s3-outposts:DeleteEndpoint ec2:DeleteNetworkInterface ec2:DescribeNetworkInterfaces Für Endpunkte, die den Zugriffstyp des kundeneigenen On-Premises-IP-Adresspools (CoIP-Pool) verwenden, sind die folgenden zusätzlichen Berechtigungen erforderlich: s3-outposts:DeleteEndpoint ec2:DisassociateAddress ec2:DescribeAddresses ec2:ReleaseAddress
ListEndpoints	s3-outposts:ListEndpoints

Anmerkung

Sie können Ressourcen-Markierungen in einer IAM-Richtlinie verwenden, um Berechtigungen zu verwalten.

Serviceverknüpfte Rollen für S3 on Outposts

S3 on Outposts verwendet mit dem IAM-Service verknüpfte Rollen, um einige Netzwerkressourcen in Ihrem Namen zu erstellen. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für S3 on Outposts.