Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Übersicht über die Zugriffskontrollliste (ACL)
Mit Amazon S3 S3-Zugriffskontrolllisten (ACLs) können Sie den Zugriff auf Buckets und Objekte verwalten. Jedem Bucket und Objekt ist eine Unterressource ACL angehängt. Es definiert welche AWS-Konten oder Gruppen, denen Zugriff gewährt wird, und die Art des Zugriffs. Wenn eine Anfrage für eine Ressource eingeht, überprüft Amazon S3 die entsprechende Anfrage, ACL um sicherzustellen, dass der Anforderer über die erforderlichen Zugriffsberechtigungen verfügt.
S3 Object Ownership ist eine Einstellung auf Amazon S3 S3-Bucket-Ebene, mit der Sie sowohl das Eigentum an den Objekten kontrollieren können, die in Ihren Bucket hochgeladen werden, als auch um sie zu deaktivieren oder zu aktivieren. ACLs Standardmäßig ist für Object Ownership die erzwungene Einstellung des Bucket-Besitzers festgelegt, und alle sind ACLs deaktiviert. Wenn ACLs diese Option deaktiviert ist, besitzt der Bucket-Besitzer alle Objekte im Bucket und verwaltet den Zugriff darauf ausschließlich mithilfe von Zugriffsverwaltungsrichtlinien.
Für die meisten modernen Anwendungsfälle in Amazon S3 ist die Verwendung von nicht mehr erforderlichACLs. Wir empfehlen, die ACLs Option deaktiviert zu lassen, außer in Ausnahmefällen, in denen Sie den Zugriff für jedes Objekt einzeln steuern müssen. Wenn diese ACLs Option deaktiviert ist, können Sie mithilfe von Richtlinien den Zugriff auf alle Objekte in Ihrem Bucket steuern, unabhängig davon, wer die Objekte in Ihren Bucket hochgeladen hat. Weitere Informationen finden Sie unter Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket.
Wichtig
Wenn Ihr Bucket die Einstellung „Vom Bucket-Eigentümer erzwungen“ für S3 Object Ownership verwendet, müssen Sie Richtlinien verwenden, um Zugriff auf Ihren Bucket und die darin enthaltenen Objekte zu gewähren. Wenn die Einstellung „Bucket Owner erforced“ aktiviert ist, schlagen Anfragen zur Einrichtung von Zugriffskontrolllisten (ACLs) oder zur Aktualisierung ACLs fehl und geben den AccessControlListNotSupported Fehlercode zurück. Leseanfragen ACLs werden weiterhin unterstützt.
Wenn Sie einen Bucket oder ein Objekt erstellen, erstellt Amazon S3 eine StandardeinstellungACL, die dem Eigentümer der Ressource die volle Kontrolle über die Ressource gewährt. Dies wird im folgenden Beispiel-Bucket gezeigt ACL (das Standardobjekt ACL hat dieselbe Struktur):
<?xml version="1.0" encoding="UTF-8"?> <AccessControlPolicy xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> <Owner> <ID>*** Owner-Canonical-User-ID ***</ID> <DisplayName>owner-display-name</DisplayName> </Owner> <AccessControlList> <Grant> <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="Canonical User"> <ID>*** Owner-Canonical-User-ID ***</ID> <DisplayName>display-name</DisplayName> </Grantee> <Permission>FULL_CONTROL</Permission> </Grant> </AccessControlList> </AccessControlPolicy>
Das Beispiel ACL enthält ein Owner Element, das den Besitzer anhand der AWS-Konto ist die kanonische Benutzer-ID. Anweisungen zum Auffinden Ihrer kanonischen Benutzer-ID finden Sie unter Suche nach einem AWS-Konto kanonische Benutzer-ID. Das Grant Element identifiziert den Empfänger (entweder ein AWS-Konto oder eine vordefinierte Gruppe) und die erteilte Genehmigung. Diese Standardeinstellung ACL hat ein Grant Element für den Besitzer. Sie erteilen Berechtigungen, indem Sie Grant-Elemente hinzufügen, wobei jedes Recht den Empfänger und die Berechtigung identifiziert.
Anmerkung
Ein ACL kann bis zu 100 Zuschüsse haben.
Themen
Wer ist ein Empfänger?
Ein Stipendiat kann ein sein AWS-Konto oder eine der vordefinierten Amazon S3 S3-Gruppen. Sie erteilen die Erlaubnis einem AWS-Konto mit der E-Mail-Adresse oder der kanonischen Benutzer-ID. Wenn Sie jedoch in Ihrem Zuschussantrag eine E-Mail-Adresse angeben, findet Amazon S3 die kanonische Benutzer-ID für dieses Konto und fügt sie dem hinzu. ACL Die Ergebnisse enthalten ACLs immer die kanonische Benutzer-ID für AWS-Konto, nicht die E-Mail-Adresse des AWS-Konto.
Wenn Sie Zugriffsrechte erteilen, geben Sie jeden Empfänger als type="value"type
id— Wenn der angegebene Wert die kanonische Benutzer-ID eines ist AWS-Kontouri– Wenn Sie einer vordefinierten Gruppe Berechtigungen erteilenemailAddress— Wenn der angegebene Wert die E-Mail-Adresse eines ist AWS-Konto
Wichtig
Die Verwendung von E-Mail-Adressen zur Angabe eines Empfängers wird nur in den folgenden Fällen unterstützt AWS Regionen:
-
USA Ost (Nord-Virginia)
-
USA West (Nordkalifornien)
-
USA West (Oregon)
-
Asien-Pazifik (Singapur)
-
Asien-Pazifik (Sydney)
-
Asien-Pazifik (Tokio)
-
Europa (Irland)
-
Südamerika (São Paulo)
Eine Liste aller von Amazon S3 unterstützten Regionen und Endpunkte finden Sie unter Regionen und Endpunkte in der Allgemeine Amazon Web Services-Referenz.
Beispiel: E-Mail-Adresse
Der folgende x-amz-grant-read Header gewährt beispielsweise AWS-Konten anhand von E-Mail-Adressen identifizierte Berechtigungen zum Lesen von Objektdaten und deren Metadaten:
x-amz-grant-read: emailAddress="xyz@example.com", emailAddress="abc@example.com"
Warnung
Wenn Sie andere gewähren AWS-Konten Zugriff auf Ihre Ressourcen, beachten Sie, dass AWS-Konten können ihre Berechtigungen an Benutzer unter ihren Konten delegieren. Man spricht auch von einem kontenübergreifenden Zugriff. Informationen zur Verwendung des kontoübergreifenden Zugriffs finden Sie unter Erstellen einer Rolle zur Delegierung von Berechtigungen an einen IAM Benutzer im IAM Benutzerhandbuch.
Suche nach einem AWS-Konto kanonische Benutzer-ID
Die kanonische Benutzer-ID ist mit Ihrer verknüpft AWS-Konto. Diese ID besteht aus einer langen Zeichenfolge, z. B.:
79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be
Informationen darüber, wie Sie die kanonische Benutzer-ID für Ihr Konto finden, finden Sie unter Finden Sie die kanonische Benutzer-ID für Ihr AWS-Konto in der AWS Referenzhandbuch zur Kontoverwaltung.
Sie können auch die kanonische Benutzer-ID eines nachschlagen AWS-Konto indem Sie die ACL eines Buckets oder eines Objekts lesen, zu dem AWS-Konto hat Zugriffsberechtigungen. Wenn eine Einzelperson AWS-Konto denen durch eine Erteilungsanfrage Berechtigungen erteilt wurden, wird dem ein Eintrag ACL mit der kanonischen Benutzer-ID des Kontos hinzugefügt.
Anmerkung
Falls Sie Ihren Bucket öffentlich machen (nicht empfohlen), können beliebige, nicht authentifizierte Benutzer Objekte in den Bucket hochladen. Diese anonymen Benutzer haben kein AWS-Konto. Wenn ein anonymer Benutzer ein Objekt in Ihren Bucket hochlädt, fügt Amazon S3 eine spezielle kanonische Benutzer-ID (65a011a29cdf8ec533ec3d1ccaae921c) als Objekteigentümer in der hinzu. ACL Weitere Informationen finden Sie unter Amazon-S3-Bucket- und Objekt-Eigentümerschaft.
Vordefinierte Gruppen in Amazon S3
Amazon S3 besitzt mehrere vordefinierte Gruppen. Wenn Sie einer Gruppe Kontozugriff gewähren, geben Sie eine der Amazon S3 URIs anstelle einer kanonischen Benutzer-ID an. Amazon S3 stellt die folgenden vordefinierten Gruppen bereit:
-
Gruppe „Authentifizierte Benutzer“ – Repräsentiert durch
http://acs.amazonaws.com/groups/global/AuthenticatedUsers.Diese Gruppe steht für alle AWS-Konten. Die Zugriffsberechtigung für diese Gruppe erlaubt jede AWS-Konto um auf die Ressource zuzugreifen. Alle Anfragen müssen jedoch signiert (authentifiziert) sein.
Warnung
Wenn Sie der Gruppe „Authentifizierte Benutzer“ Zugriff gewähren, können alle AWS Ein authentifizierter Benutzer auf der ganzen Welt kann auf Ihre Ressource zugreifen.
-
Gruppe „Alle Benutzer“ – Repräsentiert durch
http://acs.amazonaws.com/groups/global/AllUsers.Die Zugriffsberechtigung für diese Gruppe gestattet jedem, auf die Ressource zuzugreifen. Die Anfragen können signiert (authentifiziert) oder nicht signiert (anonym) sein. Nicht signierte Anfragen lassen den Authentifizierungs-Header in der Anfrage weg.
Warnung
Wir empfehlen dringend, dass Sie nie der Gruppe Alle Benutzer
WRITE-,WRITE_ACP- oderFULL_CONTROL-Berechtigungen erteilen. WährendWRITE-Berechtigungen es Nichtbesitzern beispielsweise nicht erlauben, vorhandene Objekte zu überschreiben oder zu löschen, erlaubenWRITE-Berechtigungen jedem, Objekte in Ihrem Bucket zu speichern, für die Ihnen eine Rechnung gestellt wird. Weitere Informationen zu diesen Berechtigungen finden Sie im folgenden Abschnitt Welche Berechtigungen kann ich erteilen?. -
Gruppe „Protokollbereitstellung“ – Repräsentiert durch
http://acs.amazonaws.com/groups/s3/LogDelivery.Die
WRITE-Berechtigung für einen Bucket gestattet dieser Gruppe, Serverzugriff-Protokolle (siehe Protokollieren von Anfragen mit Server-Zugriffsprotokollierung) in den Bucket zu schreiben.
Anmerkung
Bei der Nutzung ACLs kann ein Stipendiat ein AWS-Konto oder eine der vordefinierten Amazon S3 S3-Gruppen. Der Empfänger kann jedoch kein IAM Benutzer sein. Weitere Informationen zur AWS Benutzer und darin enthaltene BerechtigungenIAM, siehe Verwenden AWS Identity and Access Management.
Welche Berechtigungen kann ich erteilen?
In der folgenden Tabelle sind die Berechtigungen aufgeführt, die Amazon S3 in einem unterstütztACL. Der Satz von ACL Berechtigungen ist für ein Objekt ACL und einen Bucket identischACL. Je nach Kontext (Bucket ACL oder ObjektACL) gewähren diese ACL Berechtigungen jedoch Berechtigungen für bestimmte Buckets oder Objektoperationen. Die Tabelle listet die Berechtigungen auf und beschreibt, was sie im Kontext der Objekte und Buckets bedeuten.
Weitere Informationen zu ACL Berechtigungen in der Amazon S3 S3-Konsole finden Sie unterKonfiguration ACLs.
ACLBerechtigungen | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Berechtigung | Bei Rechteerteilung für einen Bucket | Bei Rechteerteilung für ein Objekt | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
READ |
Gestattet dem Empfänger, die Objekte im Bucket aufzulisten | Gestattet dem Empfänger, die Objektedaten und seine Metadaten zu lesen | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
WRITE |
Gestattet dem Empfänger, neue Objekte im Bucket zu erstellen. Für die Bucket- und Objekteigentümer vorhandener Objekte können auch Löschungen und Überschreibungen dieser Objekte ermöglicht werden. | Nicht zutreffend | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
READ_ACP |
Ermöglicht dem Empfänger, den Bucket zu lesen ACL | Ermöglicht dem Empfänger, das Objekt zu lesen ACL | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
WRITE_ACP |
Ermöglicht dem Empfänger, das ACL für den entsprechenden Bucket zu schreiben | Ermöglicht dem Empfänger, das ACL für das entsprechende Objekt zu schreiben | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
FULL_CONTROL |
Gewährt dem Berechtigungsempfänger die READ-, WRITE-, READ_ACP- und WRITE_ACP- Berechtigungen für den Bucket |
Gewährt dem Berechtigungsempfänger die READ-, READ_ACP- und WRITE_ACP-Berechtigungen für das Objekt |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Warnung
Seien Sie beim Gewähren von Zugriffsberechtigungen auf Ihre S3-Buckets und -Objekte vorsichtig. Beispielsweise kann der Berechtigungsempfänger nach dem Gewähren des WRITE-Zugriffs auf einen Bucket Objekte im Bucket erstellen. Wir empfehlen dringend, dass Sie vor dem Erteilen von Berechtigungen den gesamten Abschnitt zu Übersicht über die Zugriffskontrollliste (ACL) lesen.
Zuordnung von ACL Berechtigungen und Zugriffsrichtlinienberechtigungen
Wie in der obigen Tabelle dargestellt, ACL erlaubt an nur eine begrenzte Anzahl von Berechtigungen, verglichen mit der Anzahl von Berechtigungen, die Sie in einer Zugriffsrichtlinie festlegen können (siehePolitische Maßnahmen für Amazon S3). Jede dieser Berechtigungen erlaubt einen oder mehrere Amazon-S3-Vorgänge.
Die folgende Tabelle zeigt, wie die einzelnen ACL Berechtigungen den entsprechenden Zugriffsrichtlinienberechtigungen zugeordnet werden. Wie Sie sehen können, erlaubt die Zugriffsrichtlinie mehr Berechtigungen als ACL jede. Sie werden ACLs hauptsächlich verwendet, um grundlegende Lese-/Schreibberechtigungen zu gewähren, ähnlich wie Dateisystemberechtigungen. Weitere Informationen darüber, wann Sie eine verwenden solltenACL, finden Sie unter. Identity and Access Management für Amazon S3
Weitere Informationen zu ACL Berechtigungen in der Amazon S3 S3-Konsole finden Sie unterKonfiguration ACLs.
| ACLErlaubnis | Entsprechende Zugriffsrichtlinien-Berechtigungen, wenn die ACL Erlaubnis für einen Bucket erteilt wird | Entsprechende Zugriffsrichtlinienberechtigungen, wenn die ACL Berechtigung für ein Objekt erteilt wird |
|---|---|---|
READ |
s3:ListBucket, s3:ListBucketVersions und s3:ListBucketMultipartUploads |
s3:GetObject und s3:GetObjectVersion |
WRITE |
Der Bucket-Eigentümer kann jedes Objekt im Bucket erstellen, überschreiben und löschen, und der Objekteigentümer hat Wenn der Empfänger der Bucket-Besitzer ist, ACL ermöglicht die Erteilung von |
Nicht zutreffend |
READ_ACP |
s3:GetBucketAcl
|
s3:GetObjectAcl und s3:GetObjectVersionAcl |
WRITE_ACP |
s3:PutBucketAcl |
s3:PutObjectAcl und s3:PutObjectVersionAcl |
FULL_CONTROL |
Entspricht der Erteilung von READWRITE,READ_ACP, und WRITE_ACP ACL Berechtigungen. Dementsprechend entspricht diese ACL Berechtigung einer Kombination aus entsprechenden Zugriffsrichtlinienberechtigungen. |
Entspricht der Gewährung von READREAD_ACP, und WRITE_ACP ACL Berechtigungen. Dementsprechend entspricht diese ACL Berechtigung einer Kombination aus entsprechenden Zugriffsrichtlinienberechtigungen. |
Bedingungsschlüssel
Wenn Sie Zugriffsrichtlinienberechtigungen gewähren, können Sie Bedingungsschlüssel verwenden, um den Wert für für ein Objekt mithilfe einer Bucket-Richtlinie einzuschränken. ACL Die folgenden Kontextschlüssel entsprechenACLs. Sie können diese Kontextschlüssel verwenden, um die Verwendung eines bestimmten Elements ACL in einer Anfrage vorzuschreiben:
s3:x-amz-grant-read- Erfordert Lesezugriff.s3:x-amz-grant-write- Erfordert Schreibzugriff.s3:x-amz-grant-read-acp‐ Lesezugriff auf den Bucket erforderlichACL.s3:x-amz-grant-write-acp‐ Schreibzugriff auf den Bucket erforderlichACL.s3:x-amz-grant-full-control- Erfordert vollständige Kontrolle.s3:x-amz-acl- Erfordert eine In Dosen ACL.
Richtlinien, die ACL -spezifische Header beinhalten, finden Sie beispielsweise unter. Gewährung von PutObject s3-Berechtigungen mit einer Bedingung, die voraussetzt, dass der Bucket-Besitzer die volle Kontrolle erhält Eine vollständige Liste der Amazon S3-spezifischen Bedingungsschlüssel finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3 in der Service Authorization Reference.
Weitere Informationen zu den Berechtigungen für API S3-Operationen nach S3-Ressourcentypen finden Sie unterErforderliche Berechtigungen für Amazon S3 API S3-Operationen.
aclRequired-Werte für allgemeine Amazon-S3-Anfragen
Um Amazon S3 S3-Anfragen zu identifizieren, die ACLs für eine Autorisierung erforderlich sind, können Sie den aclRequired Wert in den Amazon S3 S3-Serverzugriffsprotokollen verwenden oder AWS CloudTrail. Der aclRequired Wert, der in CloudTrail unseren Amazon S3-Serverzugriffsprotokollen erscheint, hängt davon ab, welche Operationen aufgerufen wurden, und von bestimmten Informationen über den Anforderer, Objekteigentümer und Bucket-Besitzer. Wenn keine erforderlich ACLs waren, oder wenn Sie die Option „Gespeichertbucket-owner-full-control“ ACL festlegen oder wenn die Anfragen gemäß Ihrer Bucket-Richtlinie zulässig sind, lautet die aclRequired Wertzeichenfolge in den Amazon S3-Serverzugriffsprotokollen - "" und fehlt in CloudTrail.
In den folgenden Tabellen sind die erwarteten aclRequired Werte in CloudTrail unseren Amazon S3 S3-Serverzugriffsprotokollen für die verschiedenen Amazon S3 API S3-Operationen aufgeführt. Sie können diese Informationen verwenden, um zu verstehen, von welchen Amazon S3 S3-Vorgängen ACLs die Autorisierung abhängt. In den folgenden Tabellen stellen A, B und C die verschiedenen Konten dar, die dem Anforderer, Objekteigentümer und Bucket-Besitzer zugeordnet sind. Einträge mit einem Sternchen (*) geben eines der Konten A, B oder C an.
Anmerkung
PutObjectDie Operationen in der folgenden Tabelle weisen, sofern nicht anders angegeben, auf Anfragen hin, für die kein Wert festgelegt wurdeACL, sofern es sich nicht um einen ACL handelt bucket-owner-full-controlACL. Ein Nullwert für aclRequired gibt an, dass dieser Wert aclRequired fehlt in AWS CloudTrail Protokolle.
aclRequiredWerte für CloudTrail | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Vorgangsname | Auftraggeber | Objekteigentümer | Bucket-Eigentümer | Bucket-Richtlinie gewährt Zugriff | aclRequired Wert |
Grund | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
GetObject |
A | A | A | Sie können zwischen Yes und No wählen | Null | Zugriff auf dasselbe Konto | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | B | A | Sie können zwischen Yes und No wählen | Null | Zugriff auf dasselbe Konto mit erzwungenem Bucket-Eigentümer | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | A | B | Ja | Null | Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | A | B | Nein | Ja | Der kontenübergreifende Zugriff ist abhängig von ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | A | B | Ja | Null | Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | B | B | Nein | Ja | Der kontenübergreifende Zugriff ist abhängig von ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | B | C | Ja | Null | Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | B | C | Nein | Ja | Der kontenübergreifende Zugriff ist abhängig von ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
PutObject |
A | Nicht zutreffend | A | Sie können zwischen Yes und No wählen | Null | Zugriff auf dasselbe Konto | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | Nicht zutreffend | B | Ja | Null | Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | Nicht zutreffend | B | Nein | Ja | Der kontenübergreifende Zugriff ist abhängig von ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
PutObjectmit einem ACL (außerbucket-owner-full-control) |
* | Nicht zutreffend | * | Sie können zwischen Yes und No wählen | Ja | Zuschüsse beantragen ACL | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ListObjects |
A | Nicht zutreffend | A | Sie können zwischen Yes und No wählen | Null | Zugriff auf dasselbe Konto | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | Nicht zutreffend | B | Ja | Null | Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | Nicht zutreffend | B | Nein | Ja | Der kontenübergreifende Zugriff ist abhängig von ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
DeleteObject |
A | Nicht zutreffend | A | Sie können zwischen Yes und No wählen | Null | Zugriff auf dasselbe Konto | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | Nicht zutreffend | B | Ja | Null | Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | Nicht zutreffend | B | Nein | Ja | Der kontenübergreifende Zugriff ist abhängig von ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
PutObjectAcl |
* | * | * | Sie können zwischen Yes und No wählen | Ja | Zuschüsse beantragen ACL | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
PutBucketAcl |
* | Nicht zutreffend | * | Sie können zwischen Yes und No wählen | Ja | Zuschüsse beantragen ACL | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Anmerkung
REST.PUT.OBJECTDie Operationen in der folgenden Tabelle weisen, sofern nicht anders angegeben, auf Anfragen hin, die keinen Wert festlegenACL, es sei denn, der ACL ist ein bucket-owner-full-controlACL. Eine aclRequired-Wertzeichenfolge von „-“ gibt einen Nullwert in den Amazon-S3-Serverzugriffsprotokollen an.
aclRequired-Werte für Amazon-S3-Server-Zugriffsprotokolle | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Vorgangsname | Auftraggeber | Objekteigentümer | Bucket-Eigentümer | Bucket-Richtlinie gewährt Zugriff | aclRequired Wert |
Grund | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
REST.GET.OBJECT |
A | A | A | Sie können zwischen Yes und No wählen | - | Zugriff auf dasselbe Konto | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | B | A | Sie können zwischen Yes und No wählen | - | Zugriff auf dasselbe Konto mit erzwungenem Bucket-Eigentümer | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | A | B | Ja | - | Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | A | B | Nein | Ja | Der kontenübergreifende Zugriff ist abhängig von ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | B | B | Ja | - | Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | B | B | Nein | Ja | Der kontenübergreifende Zugriff ist abhängig von ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | B | C | Ja | - | Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | B | C | Nein | Ja | Der kontenübergreifende Zugriff ist abhängig von ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
REST.PUT.OBJECT |
A | Nicht zutreffend | A | Sie können zwischen Yes und No wählen | - | Zugriff auf dasselbe Konto | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | Nicht zutreffend | B | Ja | - | Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | Nicht zutreffend | B | Nein | Ja | Der kontenübergreifende Zugriff ist abhängig von ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
REST.PUT.OBJECTmit einem ACL (außerbucket-owner-full-control) |
* | Nicht zutreffend | * | Sie können zwischen Yes und No wählen | Ja | Zuschüsse beantragen ACL | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
REST.GET.BUCKET |
A | Nicht zutreffend | A | Sie können zwischen Yes und No wählen | - | Zugriff auf dasselbe Konto | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | Nicht zutreffend | B | Ja | - | Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | Nicht zutreffend | B | Nein | Ja | Der kontenübergreifende Zugriff ist abhängig von ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
REST.DELETE.OBJECT |
A | Nicht zutreffend | A | Sie können zwischen Yes und No wählen | - | Zugriff auf dasselbe Konto | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | Nicht zutreffend | B | Ja | - | Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | Nicht zutreffend | B | Nein | Ja | Der kontenübergreifende Zugriff ist abhängig von ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
REST.PUT.ACL |
* | * | * | Sie können zwischen Yes und No wählen | Ja | Zuschüsse beantragen ACL | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Stichprobe ACL
Das folgende Beispiel ACL für einen Bucket identifiziert den Eigentümer der Ressource und eine Reihe von Zuschüssen. Das Format ist die XML Darstellung von ACL in Amazon S3 RESTAPI. Der Bucket-Eigentümer hat die FULL_CONTROL über die Ressource. Darüber hinaus ACL zeigt das, wie Berechtigungen für eine Ressource an zwei Personen erteilt werden AWS-Konten, identifiziert durch die kanonische Benutzer-ID und zwei der vordefinierten Amazon S3 S3-Gruppen, die im vorherigen Abschnitt besprochen wurden.
<?xml version="1.0" encoding="UTF-8"?> <AccessControlPolicy xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> <Owner> <ID>Owner-canonical-user-ID</ID> <DisplayName>display-name</DisplayName> </Owner> <AccessControlList> <Grant> <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="CanonicalUser"> <ID>Owner-canonical-user-ID</ID> <DisplayName>display-name</DisplayName> </Grantee> <Permission>FULL_CONTROL</Permission> </Grant> <Grant> <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="CanonicalUser"> <ID>user1-canonical-user-ID</ID> <DisplayName>display-name</DisplayName> </Grantee> <Permission>WRITE</Permission> </Grant> <Grant> <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="CanonicalUser"> <ID>user2-canonical-user-ID</ID> <DisplayName>display-name</DisplayName> </Grantee> <Permission>READ</Permission> </Grant> <Grant> <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="Group"> <URI>http://acs.amazonaws.com/groups/global/AllUsers</URI> </Grantee> <Permission>READ</Permission> </Grant> <Grant> <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="Group"> <URI>http://acs.amazonaws.com/groups/s3/LogDelivery</URI> </Grantee> <Permission>WRITE</Permission> </Grant> </AccessControlList> </AccessControlPolicy>
In Dosen ACL
Amazon S3 unterstützt eine Reihe vordefinierter Zuschüsse, die als vorgefertigte Zuschüsse bezeichnet ACLs werden. Jeder Status ACL enthält einen vordefinierten Satz von Stipendiaten und Berechtigungen. In der folgenden Tabelle sind die vordefinierten Zuschüsse ACLs und die zugehörigen vordefinierten Zuschüsse aufgeführt.
| Eingesetzt ACL | Gilt für | Berechtigungen wurden hinzugefügt zu ACL |
|---|---|---|
private |
Bucket und Objekt | Der Eigentümer erhält FULL_CONTROL. Niemand anderer hat Zugriffsrechte (Standard). |
public-read |
Bucket und Objekt | Der Eigentümer erhält FULL_CONTROL. Die AllUsers-Gruppe (siehe Wer ist ein Empfänger?) erhält READ-Zugriff. |
public-read-write |
Bucket und Objekt | Der Eigentümer erhält FULL_CONTROL. Die AllUsers-Gruppe erhält READ- und WRITE-Zugriff. Eine solche Erteilung von Rechten für einen Bucket wird im Allgemeinen nicht empfohlen. |
aws-exec-read |
Bucket und Objekt | Der Eigentümer erhält FULL_CONTROL. Amazon EC2 erhält READ Zugriff auf GET ein Amazon Machine Image (AMI) -Paket von Amazon S3. |
authenticated-read |
Bucket und Objekt | Der Eigentümer erhält FULL_CONTROL. Die AuthenticatedUsers-Gruppe erhält READ-Zugriff. |
bucket-owner-read |
Objekt | Der Objekt-Eigentümer erhält FULL_CONTROL. Der Bucket-Eigentümer erhält READ-Zugriff. Wenn Sie ACL bei der Erstellung eines Buckets angeben, dass dieser Wert gespeichert ist, ignoriert Amazon S3 ihn. |
bucket-owner-full-control |
Object | Sowohl der Objekt-Eigentümer, als auch der Bucket-Eigentümer erhalten FULL_CONTROL für das Objekt. Wenn Sie ACL bei der Erstellung eines Buckets angeben, dass dieser Wert gespeichert ist, ignoriert Amazon S3 ihn. |
log-delivery-write |
Bucket | Die LogDelivery-Gruppe erhält WRITE- und READ_ACP-Berechtigungen für den Bucket. Weitere Informationen über Protokolle finden Sie unter (Protokollieren von Anfragen mit Server-Zugriffsprotokollierung). |
Anmerkung
Sie können ACLs in Ihrer Anfrage nur eines dieser vorgefertigten Objekte angeben.
Mithilfe des Anforderungsheaders geben Sie ACL in Ihrer Anfrage einen x-amz-acl vorgefertigten Wert an. Wenn Amazon S3 eine Anfrage mit einer gespeicherten ACL Anfrage erhält, werden die vordefinierten Zuschüsse ACL der Ressource hinzugefügt.
