Konfiguration von IAM-Richtlinien für die Verwendung von Access Points für Directory-Buckets - Amazon Simple Storage Service
Richtlinienbeispiele für Zugriffspunkte für Verzeichnis-BucketsBedingungsschlüsselDelegieren der Zugangskontrolle an ZugriffspunkteErteilen von Berechtigungen für kontoübergreifende Zugriffspunkte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration von IAM-Richtlinien für die Verwendung von Access Points für Directory-Buckets

Access Points unterstützen Ressourcenrichtlinien AWS Identity and Access Management (IAM), mit denen Sie die Nutzung des Access Points nach Ressourcen, Benutzern oder anderen Bedingungen steuern können. Damit eine Anwendung oder ein Benutzer über einen Access Point auf Objekte zugreifen kann, müssen sowohl der Access Point als auch die zugrunde liegende Bucket-Richtlinie die Anfrage zulassen.

Wichtig

Durch das Hinzufügen eines Access Points zu einem Directory-Bucket wird das Verhalten des Buckets nicht geändert, wenn auf den Bucket direkt über den Namen des Buckets zugegriffen wird. Alle vorhandenen Vorgänge für den Bucket funktionieren weiterhin wie zuvor. Einschränkungen, die Sie in eine Zugriffspunktrichtlinie oder einen Zugriffspunktbereich aufnehmen, gelten nur für Anfragen, die über diesen Access Point gestellt werden.

Achten Sie bei der Verwendung von IAM-Ressourcenrichtlinien darauf, Sicherheitswarnungen, Fehler, allgemeine Warnungen und Vorschläge zu beheben, die AWS Identity and Access Management Access Analyzer vor dem Speichern Ihrer Richtlinie angezeigt wurden. IAM Access Analyzer führt Richtlinienprüfungen durch, um Ihre Richtlinie anhand der IAM-Richtliniengrammatik und der bewährten Methoden zu validieren. Diese Prüfungen generieren Ergebnisse und bieten Empfehlungen, die Sie beim Erstellen von Richtlinien unterstützen, die funktionsfähig sind und den bewährten Methoden für Sicherheit entsprechen.

Weitere Informationen zum Validieren von Richtlinien mit IAM Access Analyzer finden Sie unter Validierung der IAM-Access-Analyzer-Richtlinien im IAM-Benutzerhandbuch. Eine Liste der Warnungen, Fehler und Vorschläge, die von IAM Access Analyzer zurückgegeben werden, finden Sie unter IAM-Access-Analyzer-Richtlinienprüfungsreferenz.

Richtlinienbeispiele für Zugriffspunkte für Verzeichnis-Buckets

Die folgenden Zugriffspunktrichtlinien veranschaulichen, wie Anfragen an einen Verzeichnis-Bucket gesteuert werden können. Für Zugriffspunktrichtlinien ist ein Bucket ARNs oder ein Access Point erforderlich ARNs. Zugriffspunkt-Aliase werden in Richtlinien nicht unterstützt. Im Folgenden finden Sie ein Beispiel für einen Access Point-ARN:


  arn:aws:s3express:region:account-id:accesspoint/myaccesspoint--zoneID--xa-s3

Sie können den ARN des Access Points in den Details eines Access Points einsehen. Weitere Informationen finden Sie unter Sehen Sie sich Details zu Ihren Access Points für Directory-Buckets an.

Anmerkung

Berechtigungen, die in einer Zugriffspunktrichtlinie erteilt werden, sind nur wirksam, wenn der zugrunde liegende Bucket auch denselben Zugriff zulässt. Sie können dies auf zwei Arten erreichen:

  1. (Empfohlen) Delegieren Sie die Zugriffssteuerung vom Bucket an den Zugriffspunkt, wie unter Delegieren der Zugangskontrolle an Zugriffspunkte beschrieben.

  2. Fügen Sie der Richtlinie des zugrunde liegenden Buckets dieselben Berechtigungen hinzu, die in der Zugriffspunktrichtlinie enthalten sind.

Beispiel 1 — Dienststeuerungsrichtlinie zur Beschränkung von Zugriffspunkten auf VPC-Netzwerkursprünge

Die folgende Dienststeuerungsrichtlinie erfordert, dass alle neuen Access Points mit einem VPC-Netzwerkursprung (Virtual Private Cloud) erstellt werden. Mit dieser Richtlinie können Benutzer in Ihrer Organisation keinen Access Point einrichten, auf den über das Internet zugegriffen werden kann.

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Effect": "Deny",
        "Action": "s3express:CreateAccessPoint",
        "Resource": "*",
        "Condition": {
            "StringNotEquals": {
                "s3express:AccessPointNetworkOrigin": "VPC"
            }
        }
    }
  ]
}
Beispiel 2 — Zugriffspunktrichtlinie zur Beschränkung des Bucket-Zugriffs auf Access Points mit VPC-Netzwerkursprung

Die folgende Zugriffspunktrichtlinie beschränkt den gesamten Zugriff auf den Bucket amzn-s3-demo-bucket--zoneID--x-s3 auf einen Access Point mit einem VPC-Netzwerkursprung.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Principal": "*",
            "Action": "s3express:CreateSession",
            "Effect": "Deny",
            "Resource": "arn:aws:s3express:region:111122223333:bucket/amzn-s3-demo-bucket--zoneID--x-s3",
            "Condition": {
                "StringNotEqualsIfExists": {
                    "s3express:AccessPointNetworkOrigin": "VPC"
                }
            }
        }
    ]
}

Bedingungsschlüssel

Zugriffspunkte für Verzeichnis-Buckets verfügen über Bedingungsschlüssel, die Sie in IAM-Richtlinien verwenden können, um den Zugriff auf Ihre Ressourcen zu steuern. Die folgenden Bedingungsschlüssel stellen nur einen Teil einer IAM-Richtlinie dar. Vollständige Richtlinienbeispiele finden Sie unter Richtlinienbeispiele für Zugriffspunkte für Verzeichnis-Buckets, Delegieren der Zugangskontrolle an Zugriffspunkte und Erteilen von Berechtigungen für kontoübergreifende Zugriffspunkte.

s3express:DataAccessPointArn

Dieses Beispiel zeigt, wie der Zugriff nach dem Amazon-Ressourcennamen (ARN) eines Access Points gefiltert wird und entspricht allen Access Points für AWS-Konto 111122223333 in Regionregion:

"Condition" : {
    "StringLike": {
        "s3express:DataAccessPointArn": "arn:aws:s3express:region:111122223333:accesspoint/*"
    }
}
s3express:DataAccessPointAccount

Dieses Beispiel zeigt einen Zeichenfolgenoperator, mit dem Sie die Konto-ID des Besitzers eines Zugriffspunkts abgleichen können. Das folgende Beispiel entspricht allen Zugriffspunkten im Besitz des AWS-Konto s 111122223333.

"Condition" : {
    "StringEquals": {
        "s3express:DataAccessPointAccount": "111122223333"
    }
}
s3express:AccessPointNetworkOrigin

Dieses Beispiel zeigt einen Zeichenfolgenoperator, den Sie verwenden können, um für den Netzwerkursprung entweder Internet oder VPC abzugleichen. Im folgenden Beispiel werden nur Zugriffspunkte mit einem VPC-Ursprung abgeglichen.

"Condition" : {
    "StringEquals": {
        "s3express:AccessPointNetworkOrigin": "VPC"
    }
}
s3express:Permissions

Sie können s3express:Permissions es verwenden, um den Zugriff auf bestimmte API-Operationen im Access Point-Bereich einzuschränken. Folgende API-Operationen werden unterstützt:

  • PutObject

  • GetObject

  • DeleteObject

  • ListBucket(erforderlich fürListObjectsV2)

  • GetObjectAttributes

  • AbortMultipartUpload

  • ListBucketMultipartUploads

  • ListMultipartUploadParts

Anmerkung

Bei der Verwendung von Bedingungsschlüsseln ForAllValues mit mehreren Werten empfehlen wir die Verwendung von Allow with-Anweisungen und ForAnyValue Deny with-Anweisungen. Weitere Informationen finden Sie unter Mehrwertige Kontextschlüssel im IAM-Benutzerhandbuch.

Weitere Informationen zur Verwendung von Bedingungsschlüsseln mit Amazon S3 finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3 in der Service-Authorization-Referenz.

Weitere Informationen zu den erforderlichen Berechtigungen für S3-API-Operationen nach S3-Ressourcentypen finden Sie unter. Erforderliche Berechtigungen für Amazon-S3-API-Operationen

Delegieren der Zugangskontrolle an Zugriffspunkte

Sie können die Zugriffskontrolle von der Bucket-Richtlinie an die Zugriffspunkt-Richtlinie delegieren. Die folgende Bucket-Beispielrichtlinie ermöglicht Vollzugriff auf alle Zugriffspunkte, die dem Konto des Bucket-Eigentümers gehören. Nach der Anwendung der Richtlinie wird der gesamte Zugriff auf diesen Bucket durch Zugriffspunktrichtlinien gesteuert. Wir empfehlen, Ihre Buckets auf diese Weise für alle Anwendungsfälle zu konfigurieren, die keinen direkten Zugriff auf den Bucket erfordern.

Beispiel Bucket-Richtlinie, die die Zugriffskontrolle an Access Points delegiert
{
    "Version": "2012-10-17",
    "Statement" : [
    {
        "Effect": "Allow",
        "Principal" : { "AWS": "*" },
        "Action" : "*",
        "Resource" : [ "Bucket ARN",
        "Condition": {
            "StringEquals" : { "s3express:DataAccessPointAccount" : "Bucket owner's account ID" }
        }
    }]
}

Erteilen von Berechtigungen für kontoübergreifende Zugriffspunkte

Wenn Sie einen Zugriffspunkt für einen Bucket erstellen möchten, der einem anderen Konto gehört, müssen Sie zuerst den Zugriffspunkt erstellen, indem Sie den Bucket-Namen und die Kontobesitzer-ID angeben. Dann muss der Bucket-Eigentümer die Bucket-Richtlinie aktualisieren, um Anfragen vom Zugriffspunkt zu autorisieren. Ein Zugriffspunkt wird insofern ähnlich erstellt wie ein DNS-CNAME, als der Zugriffspunkt keinen Zugriff auf den Bucket-Inhalt bietet. Der gesamte Bucket-Zugriff wird durch die Bucket-Richtlinie kontrolliert. Die folgende Bucket-Beispielrichtlinie erlaubt GET- und LIST- Anfragen an den Bucket von einem Zugriffspunkt aus, der einem vertrauenswürdigen AWS-Konto gehört.

Bucket ARNErsetzen Sie es durch den ARN des Buckets.

Beispiel der Bucket-Richtlinie, die Berechtigungen an eine andere delegiert AWS-Konto

{
    "Version": "2012-10-17",
    "Statement" : [
    {
        "Effect": "Allow",
        "Principal" : { "AWS": "*" },
        "Action" : "s3express:CreateSession",
        "Resource" : [ "Bucket ARN" ],
        "Condition": {
            "StringEquals" : { 
                "s3express:DataAccessPointAccount": "Access point owner's account ID" 
            },
            "ForAllValues:StringEquals": {
                "s3express:Permissions": [
                    "GetObject",
                    "ListBucket"
                ]
            }
        }
    }]
}