Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Übersicht über die Zugriffskontrollliste (ACL)
Mit Amazon S3 S3-Zugriffskontrolllisten (ACLs) können Sie den Zugriff auf Buckets und Objekte verwalten. Jedem Bucket und Objekt ist eine Unterressource ACL angehängt. Es definiert, welchen AWS-Konten Gruppen Zugriff gewährt wird und welche Art von Zugriff gewährt wird. Wenn eine Anfrage für eine Ressource eingeht, überprüft Amazon S3 die entsprechende Anfrage, ACL um sicherzustellen, dass der Anforderer über die erforderlichen Zugriffsberechtigungen verfügt.
S3 Object Ownership ist eine Einstellung auf Amazon S3 S3-Bucket-Ebene, mit der Sie sowohl das Eigentum an den Objekten kontrollieren können, die in Ihren Bucket hochgeladen werden, als auch um sie zu deaktivieren oder zu aktivieren. ACLs Standardmäßig ist für Object Ownership die erzwungene Einstellung des Bucket-Besitzers festgelegt, und alle sind ACLs deaktiviert. Wenn ACLs diese Option deaktiviert ist, besitzt der Bucket-Besitzer alle Objekte im Bucket und verwaltet den Zugriff darauf ausschließlich mithilfe von Zugriffsverwaltungsrichtlinien.
Für die meisten modernen Anwendungsfälle in Amazon S3 ist die Verwendung von nicht mehr erforderlichACLs. Wir empfehlen, die ACLs Option deaktiviert zu lassen, außer in Ausnahmefällen, in denen Sie den Zugriff für jedes Objekt einzeln steuern müssen. Wenn diese ACLs Option deaktiviert ist, können Sie mithilfe von Richtlinien den Zugriff auf alle Objekte in Ihrem Bucket steuern, unabhängig davon, wer die Objekte in Ihren Bucket hochgeladen hat. Weitere Informationen finden Sie unter Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket.
Wichtig
Wenn Ihr Bucket die Einstellung „Vom Bucket-Eigentümer erzwungen“ für S3 Object Ownership verwendet, müssen Sie Richtlinien verwenden, um Zugriff auf Ihren Bucket und die darin enthaltenen Objekte zu gewähren. Wenn die Einstellung „Bucket Owner erforced“ aktiviert ist, schlagen Anfragen zur Einrichtung von Zugriffskontrolllisten (ACLs) oder zur Aktualisierung ACLs fehl und geben den AccessControlListNotSupported
Fehlercode zurück. Leseanfragen ACLs werden weiterhin unterstützt.
Wenn Sie einen Bucket oder ein Objekt erstellen, erstellt Amazon S3 eine StandardeinstellungACL, die dem Eigentümer der Ressource die volle Kontrolle über die Ressource gewährt. Dies wird im folgenden Beispiel-Bucket gezeigt ACL (das Standardobjekt ACL hat dieselbe Struktur):
<?xml version="1.0" encoding="UTF-8"?> <AccessControlPolicy xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> <Owner> <ID>*** Owner-Canonical-User-ID ***</ID> <DisplayName>owner-display-name</DisplayName> </Owner> <AccessControlList> <Grant> <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="Canonical User"> <ID>*** Owner-Canonical-User-ID ***</ID> <DisplayName>display-name</DisplayName> </Grantee> <Permission>FULL_CONTROL</Permission> </Grant> </AccessControlList> </AccessControlPolicy>
Das Beispiel ACL enthält ein Owner
Element, das den Besitzer anhand der AWS-Konto kanonischen Benutzer-ID identifiziert. Anweisungen zum Auffinden Ihrer kanonischen Benutzer-ID finden Sie unter Eine AWS-Konto kanonische Benutzer-ID finden. Das Grant
Element identifiziert den Empfänger (entweder eine AWS-Konto oder eine vordefinierte Gruppe) und die erteilte Berechtigung. Dieser Standard ACL hat ein Grant
Element für den Besitzer. Sie erteilen Berechtigungen, indem Sie Grant
-Elemente hinzufügen, wobei jedes Recht den Empfänger und die Berechtigung identifiziert.
Anmerkung
Ein ACL kann bis zu 100 Zuschüsse haben.
Themen
Wer ist ein Empfänger?
Ein Stipendiat kann eine AWS-Konto oder eine der vordefinierten Amazon S3 S3-Gruppen sein. Sie erteilen einem die Erlaubnis, AWS-Konto indem Sie die E-Mail-Adresse oder die kanonische Benutzer-ID verwenden. Wenn Sie jedoch in Ihrem Zuschussantrag eine E-Mail-Adresse angeben, findet Amazon S3 die kanonische Benutzer-ID für dieses Konto und fügt sie dem hinzu. ACL Das Ergebnis enthält ACLs immer die kanonische Benutzer-ID für den AWS-Konto, nicht die E-Mail-Adresse des. AWS-Konto
Wenn Sie Zugriffsrechte erteilen, geben Sie jeden Empfänger als
-Paar an, wobei type
="value
"
einer der folgenden ist:type
id
— Wenn der angegebene Wert die kanonische Benutzer-ID eines ist AWS-Kontouri
– Wenn Sie einer vordefinierten Gruppe Berechtigungen erteilenemailAddress
– Wenn der angegebene Wert die E-Mail-Adresse eines AWS-Konto ist
Wichtig
Die Verwendung von E-Mail-Adressen zur Angabe eines Berechtigungsempfängers wird ausschließlich in den folgenden AWS -Regionen unterstützt:
-
USA Ost (Nord-Virginia)
-
USA West (Nordkalifornien)
-
USA West (Oregon)
-
Asien-Pazifik (Singapur)
-
Asien-Pazifik (Sydney)
-
Asien-Pazifik (Tokio)
-
Europa (Irland)
-
Südamerika (São Paulo)
Eine Liste aller unterstützten Amazon-S3-Regionen und -Endpunkte finden Sie unter Regionen und Endpunkte in der Allgemeine Amazon Web Services-Referenz.
Beispiel: E-Mail-Adresse
Der folgende x-amz-grant-read
Header gewährt beispielsweise den durch E-Mail-Adressen AWS-Konten identifizierten Adressen die Erlaubnis, Objektdaten und ihre Metadaten zu lesen:
x-amz-grant-read: emailAddress="xyz@example.com", emailAddress="abc@example.com"
Warnung
Wenn Sie anderen Personen AWS-Konten Zugriff auf Ihre Ressourcen gewähren, sollten Sie sich bewusst sein, dass diese ihre Berechtigungen an Benutzer unter ihren Konten delegieren AWS-Konten können. Man spricht auch von einem kontenübergreifenden Zugriff. Informationen zur Verwendung des kontoübergreifenden Zugriffs finden Sie im Benutzerhandbuch unter Erstellen einer Rolle zur Delegierung von Berechtigungen an einen IAM Benutzer. IAM
Eine AWS-Konto kanonische Benutzer-ID finden
Die kanonische Benutzer-ID ist Ihrem AWS-Konto zugeordnet. Diese ID besteht aus einer langen Zeichenfolge, wie z. B.:
79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be
Informationen dazu, wie Sie die kanonische Benutzer-ID für Ihr Konto finden, finden Sie unter Finden Sie die kanonische Benutzer-ID für Ihr Konto AWS-Konto im Referenzhandbuch zur Kontoverwaltung.AWS
Sie können die kanonische Benutzer-ID eines auch nachschlagen, AWS-Konto indem Sie die eines Buckets oder ACL eines Objekts lesen, für das er Zugriffsberechtigungen besitzt. AWS-Konto Wenn einer Person AWS-Konto durch eine Erteilungsanfrage Berechtigungen erteilt werden, wird dem ein Eintrag ACL mit der kanonischen Benutzer-ID des Kontos hinzugefügt.
Anmerkung
Falls Sie Ihren Bucket öffentlich machen (nicht empfohlen), können beliebige, nicht authentifizierte Benutzer Objekte in den Bucket hochladen. Diese anonymen Benutzer haben kein AWS-Konto. Wenn ein anonymer Benutzer ein Objekt in Ihren Bucket hochlädt, fügt Amazon S3 eine spezielle kanonische Benutzer-ID (65a011a29cdf8ec533ec3d1ccaae921c
) als Objekteigentümer in der hinzu. ACL Weitere Informationen finden Sie unter Amazon-S3-Bucket- und Objekt-Eigentümerschaft.
Vordefinierte Gruppen in Amazon S3
Amazon S3 besitzt mehrere vordefinierte Gruppen. Wenn Sie einer Gruppe Kontozugriff gewähren, geben Sie eine der Amazon S3 URIs anstelle einer kanonischen Benutzer-ID an. Amazon S3 stellt die folgenden vordefinierten Gruppen bereit:
-
Gruppe „Authentifizierte Benutzer“ – Repräsentiert durch
http://acs.amazonaws.com/groups/global/AuthenticatedUsers
.Diese Gruppe steht für alles. AWS-KontenDie Zugriffsberechtigung für diese Gruppe ermöglicht es jedem AWS-Konto , auf die Ressource zuzugreifen. Alle Anfragen müssen jedoch signiert (authentifiziert) sein.
Warnung
Wenn Sie der Gruppe Authentifizierte Benutzer Zugriff gewähren, kann jeder AWS authentifizierte Benutzer auf der Welt auf Ihre Ressource zugreifen.
-
Gruppe „Alle Benutzer“ – Repräsentiert durch
http://acs.amazonaws.com/groups/global/AllUsers
.Die Zugriffsberechtigung für diese Gruppe gestattet jedem, auf die Ressource zuzugreifen. Die Anfragen können signiert (authentifiziert) oder nicht signiert (anonym) sein. Nicht signierte Anfragen lassen den Authentifizierungs-Header in der Anfrage weg.
Warnung
Wir empfehlen dringend, dass Sie nie der Gruppe Alle Benutzer
WRITE
-,WRITE_ACP
- oderFULL_CONTROL
-Berechtigungen erteilen. WährendWRITE
-Berechtigungen es Nichtbesitzern beispielsweise nicht erlauben, vorhandene Objekte zu überschreiben oder zu löschen, erlaubenWRITE
-Berechtigungen jedem, Objekte in Ihrem Bucket zu speichern, für die Ihnen eine Rechnung gestellt wird. Weitere Informationen zu diesen Berechtigungen finden Sie im folgenden Abschnitt Welche Berechtigungen kann ich erteilen?. -
Gruppe „Protokollbereitstellung“ – Repräsentiert durch
http://acs.amazonaws.com/groups/s3/LogDelivery
.Die
WRITE
-Berechtigung für einen Bucket gestattet dieser Gruppe, Serverzugriff-Protokolle (siehe Protokollieren von Anfragen mit Server-Zugriffsprotokollierung) in den Bucket zu schreiben.
Anmerkung
Bei der Nutzung kann ACLs es sich bei einem Empfänger um eine AWS-Konto oder eine der vordefinierten Amazon S3 S3-Gruppen handeln. Der Empfänger kann jedoch kein Benutzer sein. IAM Weitere Informationen zu den AWS Benutzern und den darin enthaltenen IAM Berechtigungen finden Sie unter Verwenden AWS Identity and Access Management.
Welche Berechtigungen kann ich erteilen?
In der folgenden Tabelle sind die Berechtigungen aufgeführt, die Amazon S3 in einem unterstütztACL. Der Satz von ACL Berechtigungen ist für ein Objekt ACL und einen Bucket identischACL. Je nach Kontext (Bucket ACL oder ObjektACL) gewähren diese ACL Berechtigungen jedoch Berechtigungen für bestimmte Buckets oder Objektoperationen. Die Tabelle listet die Berechtigungen auf und beschreibt, was sie im Kontext der Objekte und Buckets bedeuten.
Weitere Informationen zu ACL Berechtigungen in der Amazon S3 S3-Konsole finden Sie unterKonfiguration ACLs.
Berechtigung | Bei Rechteerteilung für einen Bucket | Bei Rechteerteilung für ein Objekt |
---|---|---|
READ |
Gestattet dem Empfänger, die Objekte im Bucket aufzulisten | Gestattet dem Empfänger, die Objektedaten und seine Metadaten zu lesen |
WRITE |
Gestattet dem Empfänger, neue Objekte im Bucket zu erstellen. Für die Bucket- und Objekteigentümer vorhandener Objekte können auch Löschungen und Überschreibungen dieser Objekte ermöglicht werden. | Nicht zutreffend |
READ_ACP |
Ermöglicht dem Empfänger, den Bucket zu lesen ACL | Ermöglicht dem Empfänger, das Objekt zu lesen ACL |
WRITE_ACP |
Ermöglicht dem Empfänger, das ACL für den entsprechenden Bucket zu schreiben | Ermöglicht dem Empfänger, das ACL für das entsprechende Objekt zu schreiben |
FULL_CONTROL |
Gewährt dem Berechtigungsempfänger die READ -, WRITE -, READ_ACP - und WRITE_ACP - Berechtigungen für den Bucket |
Gewährt dem Berechtigungsempfänger die READ -, READ_ACP - und WRITE_ACP -Berechtigungen für das Objekt |
Warnung
Seien Sie beim Gewähren von Zugriffsberechtigungen auf Ihre S3-Buckets und -Objekte vorsichtig. Beispielsweise kann der Berechtigungsempfänger nach dem Gewähren des WRITE
-Zugriffs auf einen Bucket Objekte im Bucket erstellen. Wir empfehlen dringend, dass Sie vor dem Erteilen von Berechtigungen den gesamten Abschnitt zu Übersicht über die Zugriffskontrollliste (ACL) lesen.
Zuordnung von ACL Berechtigungen und Zugriffsrichtlinienberechtigungen
Wie in der obigen Tabelle gezeigt, ACL erlaubt an nur eine begrenzte Anzahl von Berechtigungen, verglichen mit der Anzahl von Berechtigungen, die Sie in einer Zugriffsrichtlinie festlegen können (siehePolitische Maßnahmen für Amazon S3). Jede dieser Berechtigungen erlaubt einen oder mehrere Amazon-S3-Vorgänge.
Die folgende Tabelle zeigt, wie die einzelnen ACL Berechtigungen den entsprechenden Zugriffsrichtlinienberechtigungen zugeordnet werden. Wie Sie sehen können, erlaubt die Zugriffsrichtlinie mehr Berechtigungen als ACL jede. Sie werden ACLs hauptsächlich verwendet, um grundlegende Lese-/Schreibberechtigungen zu gewähren, ähnlich wie Dateisystemberechtigungen. Weitere Informationen darüber, wann Sie eine verwenden solltenACL, finden Sie unter. Identity and Access Management für Amazon S3
Weitere Informationen zu ACL Berechtigungen in der Amazon S3 S3-Konsole finden Sie unterKonfiguration ACLs.
ACLErlaubnis | Entsprechende Zugriffsrichtlinien-Berechtigungen, wenn die ACL Erlaubnis für einen Bucket erteilt wird | Entsprechende Zugriffsrichtlinienberechtigungen, wenn die ACL Berechtigung für ein Objekt erteilt wird |
---|---|---|
READ |
s3:ListBucket , s3:ListBucketVersions und s3:ListBucketMultipartUploads |
s3:GetObject und s3:GetObjectVersion |
WRITE |
Der Bucket-Eigentümer kann jedes Objekt im Bucket erstellen, überschreiben und löschen, und der Objekteigentümer hat Wenn der Empfänger der Bucket-Besitzer ist, ACL ermöglicht die Erteilung von |
Nicht zutreffend |
READ_ACP |
s3:GetBucketAcl
|
s3:GetObjectAcl und s3:GetObjectVersionAcl |
WRITE_ACP |
s3:PutBucketAcl |
s3:PutObjectAcl und s3:PutObjectVersionAcl |
FULL_CONTROL |
Entspricht der Erteilung von READ WRITE ,READ_ACP , und WRITE_ACP ACL Berechtigungen. Dementsprechend entspricht diese ACL Berechtigung einer Kombination aus entsprechenden Zugriffsrichtlinienberechtigungen. |
Entspricht der Gewährung von READ READ_ACP , und WRITE_ACP ACL Berechtigungen. Dementsprechend entspricht diese ACL Berechtigung einer Kombination aus entsprechenden Zugriffsrichtlinienberechtigungen. |
Bedingungsschlüssel
Wenn Sie Zugriffsrichtlinienberechtigungen gewähren, können Sie Bedingungsschlüssel verwenden, um den Wert für für ein Objekt mithilfe einer Bucket-Richtlinie einzuschränken. ACL Die folgenden Kontextschlüssel entsprechenACLs. Sie können diese Kontextschlüssel verwenden, um die Verwendung eines bestimmten Elements ACL in einer Anfrage vorzuschreiben:
s3:x-amz-grant-read
- Erfordert Lesezugriff.s3:x-amz-grant-write
- Erfordert Schreibzugriff.s3:x-amz-grant-read-acp
‐ Lesezugriff auf den Bucket erforderlichACL.s3:x-amz-grant-write-acp
‐ Schreibzugriff auf den Bucket erforderlichACL.s3:x-amz-grant-full-control
- Erfordert vollständige Kontrolle.s3:x-amz-acl
- Erfordert eine Eingemacht ACL.
Richtlinien, die ACL -spezifische Header beinhalten, finden Sie beispielsweise unter. Gewährung von PutObject s3-Berechtigungen mit einer Bedingung, die voraussetzt, dass der Bucket-Besitzer die volle Kontrolle erhält Eine vollständige Liste der Amazon S3-spezifischen Bedingungsschlüssel finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3 in der Service Authorization Reference.
Weitere Informationen zu den Berechtigungen für API S3-Operationen nach S3-Ressourcentypen finden Sie unterErforderliche Berechtigungen für Amazon S3 API S3-Operationen.
aclRequired
-Werte für allgemeine Amazon-S3-Anfragen
Um Amazon S3 S3-Anfragen zu identifizieren, die ACLs für eine Autorisierung erforderlich sind, können Sie den aclRequired
Wert in den Amazon S3 S3-Serverzugriffsprotokollen oder verwenden AWS CloudTrail. Der aclRequired
Wert, der in CloudTrail unseren Amazon S3-Serverzugriffsprotokollen erscheint, hängt davon ab, welche Operationen aufgerufen wurden, und von bestimmten Informationen über den Anforderer, Objekteigentümer und Bucket-Besitzer. Wenn keine erforderlich ACLs waren, oder wenn Sie die Option „Gespeichertbucket-owner-full-control
“ ACL festlegen oder wenn die Anfragen gemäß Ihrer Bucket-Richtlinie zulässig sind, lautet die aclRequired
Wertzeichenfolge in den Amazon S3-Serverzugriffsprotokollen -
"" und fehlt in CloudTrail.
In den folgenden Tabellen sind die erwarteten aclRequired
Werte in CloudTrail unseren Amazon S3 S3-Serverzugriffsprotokollen für die verschiedenen Amazon S3 API S3-Operationen aufgeführt. Sie können diese Informationen verwenden, um zu verstehen, von welchen Amazon S3 S3-Vorgängen ACLs die Autorisierung abhängt. In den folgenden Tabellen stellen A, B und C die verschiedenen Konten dar, die dem Anforderer, Objekteigentümer und Bucket-Besitzer zugeordnet sind. Einträge mit einem Sternchen (*) geben eines der Konten A, B oder C an.
Anmerkung
PutObject
Die Operationen in der folgenden Tabelle weisen, sofern nicht anders angegeben, auf Anfragen hin, für die kein Wert festgelegt wurdeACL, sofern es sich nicht um einen ACL handelt bucket-owner-full-control
ACL. Ein Nullwert für aclRequired
gibt an, dass dieser aclRequired
Wert in den AWS CloudTrail Protokollen fehlt.
Die folgende Tabelle zeigt die aclRequired
Werte für CloudTrail.
Vorgangsname | Auftraggeber | Objekteigentümer | Bucket-Eigentümer | Bucket-Richtlinie gewährt Zugriff | aclRequired Wert |
Grund |
---|---|---|---|---|---|---|
GetObject |
A | A | A | Sie können zwischen Yes und No wählen | Null | Zugriff auf dasselbe Konto |
GetObject |
A | B | A | Sie können zwischen Yes und No wählen | Null | Zugriff auf dasselbe Konto mit erzwungenem Bucket-Eigentümer |
GetObject |
A | A | B | Ja | Null | Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff |
GetObject |
A | A | B | Nein | Ja | Der kontoübergreifende Zugriff ist abhängig von ACL |
GetObject |
A | A | B | Ja | Null | Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff |
GetObject |
A | B | B | Nein | Ja | Der kontenübergreifende Zugriff ist abhängig von ACL |
GetObject |
A | B | C | Ja | Null | Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff |
GetObject |
A | B | C | Nein | Ja | Der kontenübergreifende Zugriff ist abhängig von ACL |
PutObject |
A | Nicht zutreffend | A | Sie können zwischen Yes und No wählen | Null | Zugriff auf dasselbe Konto |
PutObject |
A | Nicht zutreffend | B | Ja | Null | Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff |
PutObject |
A | Nicht zutreffend | B | Nein | Ja | Der kontenübergreifende Zugriff ist abhängig von ACL |
PutObject mit einem ACL (außerbucket-owner-full-control ) |
* | Nicht zutreffend | * | Sie können zwischen Yes und No wählen | Ja | Zuschüsse beantragen ACL |
ListObjects |
A | Nicht zutreffend | A | Sie können zwischen Yes und No wählen | Null | Zugriff auf dasselbe Konto |
ListObjects |
A | Nicht zutreffend | B | Ja | Null | Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff |
ListObjects |
A | Nicht zutreffend | B | Nein | Ja | Der kontenübergreifende Zugriff ist abhängig von ACL |
DeleteObject |
A | Nicht zutreffend | A | Sie können zwischen Yes und No wählen | Null | Zugriff auf dasselbe Konto |
DeleteObject |
A | Nicht zutreffend | B | Ja | Null | Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff |
DeleteObject |
A | Nicht zutreffend | B | Nein | Ja | Der kontenübergreifende Zugriff ist abhängig von ACL |
PutObjectAcl |
* | * | * | Sie können zwischen Yes und No wählen | Ja | Zuschüsse beantragen ACL |
PutBucketAcl |
* | Nicht zutreffend | * | Sie können zwischen Yes und No wählen | Ja | Zuschüsse beantragen ACL |
Anmerkung
REST.PUT.OBJECT
Die Operationen in der folgenden Tabelle weisen, sofern nicht anders angegeben, auf Anfragen hin, die keinen Wert festlegenACL, es sei denn, der ACL ist ein bucket-owner-full-control
ACL. Eine aclRequired
-Wertzeichenfolge von „-
“ gibt einen Nullwert in den Amazon-S3-Serverzugriffsprotokollen an.
Die folgende Tabelle zeigt die aclRequired
Werte für Amazon S3 S3-Serverzugriffsprotokolle.
Vorgangsname | Auftraggeber | Objekteigentümer | Bucket-Eigentümer | Bucket-Richtlinie gewährt Zugriff | aclRequired Wert |
Grund |
---|---|---|---|---|---|---|
REST.GET.OBJECT |
A | A | A | Sie können zwischen Yes und No wählen | - | Zugriff auf dasselbe Konto |
REST.GET.OBJECT |
A | B | A | Sie können zwischen Yes und No wählen | - | Zugriff auf dasselbe Konto mit erzwungenem Bucket-Eigentümer |
REST.GET.OBJECT |
A | A | B | Ja | - | Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff |
REST.GET.OBJECT |
A | A | B | Nein | Ja | Der kontoübergreifende Zugriff ist abhängig von ACL |
REST.GET.OBJECT |
A | B | B | Ja | - | Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff |
REST.GET.OBJECT |
A | B | B | Nein | Ja | Der kontenübergreifende Zugriff ist abhängig von ACL |
REST.GET.OBJECT |
A | B | C | Ja | - | Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff |
REST.GET.OBJECT |
A | B | C | Nein | Ja | Der kontenübergreifende Zugriff ist abhängig von ACL |
REST.PUT.OBJECT |
A | Nicht zutreffend | A | Sie können zwischen Yes und No wählen | - | Zugriff auf dasselbe Konto |
REST.PUT.OBJECT |
A | Nicht zutreffend | B | Ja | - | Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff |
REST.PUT.OBJECT |
A | Nicht zutreffend | B | Nein | Ja | Der kontenübergreifende Zugriff ist abhängig von ACL |
REST.PUT.OBJECT mit einem ACL (außerbucket-owner-full-control ) |
* | Nicht zutreffend | * | Sie können zwischen Yes und No wählen | Ja | Zuschüsse beantragen ACL |
REST.GET.BUCKET |
A | Nicht zutreffend | A | Sie können zwischen Yes und No wählen | - | Zugriff auf dasselbe Konto |
REST.GET.BUCKET |
A | Nicht zutreffend | B | Ja | - | Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff |
REST.GET.BUCKET |
A | Nicht zutreffend | B | Nein | Ja | Der kontenübergreifende Zugriff ist abhängig von ACL |
REST.DELETE.OBJECT |
A | Nicht zutreffend | A | Sie können zwischen Yes und No wählen | - | Zugriff auf dasselbe Konto |
REST.DELETE.OBJECT |
A | Nicht zutreffend | B | Ja | - | Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff |
REST.DELETE.OBJECT |
A | Nicht zutreffend | B | Nein | Ja | Der kontenübergreifende Zugriff ist abhängig von ACL |
REST.PUT.ACL |
* | * | * | Sie können zwischen Yes und No wählen | Ja | Zuschüsse beantragen ACL |
Stichprobe ACL
Das folgende Beispiel ACL für einen Bucket identifiziert den Eigentümer der Ressource und eine Reihe von Zuschüssen. Das Format ist die XML Darstellung von ACL in Amazon S3 RESTAPI. Der Bucket-Eigentümer hat die FULL_CONTROL
über die Ressource. Darüber hinaus wird ACL gezeigt, wie zwei der vordefinierten Amazon S3 S3-Gruppen AWS-Konten, die im vorherigen Abschnitt beschrieben wurden, Berechtigungen für eine Ressource erteilt werden, die durch eine kanonische Benutzer-ID identifiziert werden.
<?xml version="1.0" encoding="UTF-8"?> <AccessControlPolicy xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> <Owner> <ID>Owner-canonical-user-ID</ID> <DisplayName>display-name</DisplayName> </Owner> <AccessControlList> <Grant> <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="CanonicalUser"> <ID>Owner-canonical-user-ID</ID> <DisplayName>display-name</DisplayName> </Grantee> <Permission>FULL_CONTROL</Permission> </Grant> <Grant> <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="CanonicalUser"> <ID>user1-canonical-user-ID</ID> <DisplayName>display-name</DisplayName> </Grantee> <Permission>WRITE</Permission> </Grant> <Grant> <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="CanonicalUser"> <ID>user2-canonical-user-ID</ID> <DisplayName>display-name</DisplayName> </Grantee> <Permission>READ</Permission> </Grant> <Grant> <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="Group"> <URI>http://acs.amazonaws.com/groups/global/AllUsers</URI> </Grantee> <Permission>READ</Permission> </Grant> <Grant> <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="Group"> <URI>http://acs.amazonaws.com/groups/s3/LogDelivery</URI> </Grantee> <Permission>WRITE</Permission> </Grant> </AccessControlList> </AccessControlPolicy>
Eingemacht ACL
Amazon S3 unterstützt eine Reihe vordefinierter Zuschüsse, die als vorgefertigte Zuschüsse bezeichnet ACLs werden. Jeder Status ACL enthält einen vordefinierten Satz von Stipendiaten und Berechtigungen. In der folgenden Tabelle sind die vordefinierten Zuschüsse ACLs und die zugehörigen vordefinierten Zuschüsse aufgeführt.
Eingesetzt ACL | Gilt für | Berechtigungen wurden hinzugefügt zu ACL |
---|---|---|
private |
Bucket und Objekt | Der Eigentümer erhält FULL_CONTROL . Niemand anderer hat Zugriffsrechte (Standard). |
public-read |
Bucket und Objekt | Der Eigentümer erhält FULL_CONTROL . Die AllUsers -Gruppe (siehe Wer ist ein Empfänger?) erhält READ -Zugriff. |
public-read-write |
Bucket und Objekt | Der Eigentümer erhält FULL_CONTROL . Die AllUsers -Gruppe erhält READ - und WRITE -Zugriff. Eine solche Erteilung von Rechten für einen Bucket wird im Allgemeinen nicht empfohlen. |
aws-exec-read |
Bucket und Objekt | Der Eigentümer erhält FULL_CONTROL . Amazon EC2 erhält READ Zugriff auf GET ein Amazon Machine Image (AMI) -Paket von Amazon S3. |
authenticated-read |
Bucket und Objekt | Der Eigentümer erhält FULL_CONTROL . Die AuthenticatedUsers -Gruppe erhält READ -Zugriff. |
bucket-owner-read |
Objekt | Der Objekt-Eigentümer erhält FULL_CONTROL . Der Bucket-Eigentümer erhält READ -Zugriff. Wenn Sie ACL bei der Erstellung eines Buckets angeben, dass dieser Wert gespeichert ist, ignoriert Amazon S3 ihn. |
bucket-owner-full-control |
Object | Sowohl der Objekt-Eigentümer, als auch der Bucket-Eigentümer erhalten FULL_CONTROL für das Objekt. Wenn Sie ACL bei der Erstellung eines Buckets angeben, dass dieser Wert gespeichert ist, ignoriert Amazon S3 ihn. |
log-delivery-write |
Bucket | Die LogDelivery -Gruppe erhält WRITE - und READ_ACP -Berechtigungen für den Bucket. Weitere Informationen über Protokolle finden Sie unter (Protokollieren von Anfragen mit Server-Zugriffsprotokollierung). |
Anmerkung
Sie können ACLs in Ihrer Anfrage nur eines dieser vorgefertigten Objekte angeben.
Mithilfe des Anforderungsheaders geben Sie ACL in Ihrer Anfrage einen x-amz-acl
vorgefertigten Wert an. Wenn Amazon S3 eine Anfrage mit einer gespeicherten ACL Anfrage erhält, werden die vordefinierten Zuschüsse ACL der Ressource hinzugefügt.