Verwalten des Zugriffs mit S3-Zugriffsberechtigungen - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwalten des Zugriffs mit S3-Zugriffsberechtigungen

Zur Einhaltung des Grundsatzes der geringsten Berechtigung definieren Sie die Details des Zugriffs auf Ihre Amazon-S3-Daten basierend auf Anwendungen, Personas, Gruppen oder Organisationseinheiten. Abhängig von Umfang und Komplexität der Zugriffsmuster können Sie verschiedene Ansätze zur Gewährung eines detaillierten Zugriffs auf Ihre Daten in Amazon S3 verwenden.

Der einfachste Ansatz zur Verwaltung des Zugriffs auf eine small-to-medium Anzahl von Datensätzen in Amazon S3 durch AWS Identity and Access Management (IAM-) Principals besteht darin, IAM-Berechtigungsrichtlinien und S3-Bucket-Richtlinien zu definieren. Diese Strategie funktioniert, solange die notwendigen Richtlinien innerhalb der Größenbeschränkungen der S3-Bucket-Richtlinien (20 KB) und der IAM-Richtlinien (5 KB) und innerhalb der Anzahl der pro Konto zulässigen IAM-Prinzipale liegen.

Wenn die Zahl Ihrer Datensätze und Anwendungsfälle wächst, werden auch Richtlinien wichtiger. Ein Ansatz, der Richtlinienanweisungen deutlich mehr Raum gibt, besteht in der Verwendung von S3-Zugangspunkten als zusätzlichen Endpunkten für S3-Buckets, da jeder Zugangspunkt eine eigene Richtlinie haben kann. Sie können recht detaillierte Zugriffskontrollmuster definieren, da Sie Tausende von Zugriffspunkten AWS-Region pro Konto haben können, wobei für jeden Zugriffspunkt eine Richtlinie mit einer Größe von bis zu 20 KB gelten kann. S3-Zugangspunkte vergrößern zwar den verfügbaren Raum für Richtlinien, erfordern jedoch einen Mechanismus, mit dem Clients den richtigen Zugangspunkt für den richtigen Datensatz finden können.

Ein dritter Ansatz besteht in der Implementierung eines Musters mit IAM-Session-Brokern. Hier implementieren Sie eine Logik für die Zugriffsentscheidung und generieren für jede Zugriffssitzung dynamisch kurzfristige Anmeldeinformationen für IAM-Sitzungen. Der Ansatz mit IAM-Sitzungsbrokern unterstützt willkürlich dynamische Berechtigungsmuster und kann effektiv skaliert werden. Sie müssen jedoch die Zugriffsmusterlogik erstellen.

Sie können anstelle dieser Ansätze S3 Access Grants verwenden, um den Zugriff auf Ihre Amazon-S3-Daten zu verwalten. S3 Access Grants bietet ein vereinfachtes Modell für die Definition von Zugriffsberechtigungen für Daten in Amazon S3 nach Präfix, Bucket oder Objekt. Darüber hinaus können Sie S3 Access Grants verwenden, um IAM-Prinzipalen und Benutzern oder Gruppen im Unternehmensverzeichnis Zugriff zu gewähren.

In der Regel definieren Sie Berechtigungen für Daten in Amazon S3, indem Sie Benutzer und Gruppen Datensätzen zuordnen. Sie können mit S3 Access Grants die direkte Zuordnung von S3-Präfixen zu Benutzern und Rollen in Amazon-S3-Buckets und -Objekten definieren. Mit dem vereinfachten Zugriffsschema in S3 Access Grants können Sie IAM-Prinzipalen und Benutzern oder Gruppen im Unternehmensverzeichnis Lese-, Schreib- oder Lese-Schreib-Zugriff auf S3-Präfix-Basis gewähren. Über diese S3-Access-Grants-Funktionen können Anwendungen im Namen des aktuell authentifizierten Benutzers der Anwendung Daten von Amazon S3 anfordern.

Wenn Sie S3 Access Grants mit der Funktion zur Verbreitung vertrauenswürdiger Identitäten von integrieren AWS IAM Identity Center, können Ihre Anwendungen Anfragen AWS-Services (einschließlich S3 Access Grants) direkt im Namen eines authentifizierten Unternehmensverzeichnisbenutzers stellen. Ihre Anwendungen müssen den Benutzer nicht mehr zuerst einem IAM-Prinzipal zuordnen. Darüber hinaus wird die Überprüfung vereinfacht, welcher Benutzer auf welches S3-Objekt zugegriffen hat, da Endbenutzeridentitäten bis zu Amazon S3 weitergegeben werden. Sie müssen die Beziehung zwischen Benutzern und IAM-Sitzungen nicht mehr rekonstruieren. Wenn Sie S3 Access Grants mit der Weitergabe vertrauenswürdiger Identitäten im IAM Identity Center kombinieren, enthält jedes AWS CloudTrail-Datenereignis für Amazon S3 einen direkten Verweis auf den Endbenutzer, in dessen Namen auf die Daten zugegriffen wurde.

Weitere Informationen zu S3 Access Grants finden Sie in den folgenden Themen.

Themen