Übersicht über die Zugriffskontrollliste (ACL)

Mit Amazon S3 S3-Zugriffskontrolllisten (ACLs) können Sie den Zugriff auf Buckets und Objekte verwalten. Jedem Bucket und Objekt ist eine Unterressource ACL angehängt. Es definiert, welchen AWS-Konten Gruppen Zugriff gewährt wird und welche Art von Zugriff gewährt wird. Wenn eine Anfrage für eine Ressource eingeht, überprüft Amazon S3 die entsprechende Anfrage, ACL um sicherzustellen, dass der Anforderer über die erforderlichen Zugriffsberechtigungen verfügt.

S3 Object Ownership ist eine Einstellung auf Amazon S3 S3-Bucket-Ebene, mit der Sie sowohl das Eigentum an den Objekten kontrollieren können, die in Ihren Bucket hochgeladen werden, als auch um sie zu deaktivieren oder zu aktivieren. ACLs Standardmäßig ist für Object Ownership die erzwungene Einstellung des Bucket-Besitzers festgelegt, und alle sind ACLs deaktiviert. Wenn ACLs diese Option deaktiviert ist, besitzt der Bucket-Besitzer alle Objekte im Bucket und verwaltet den Zugriff darauf ausschließlich mithilfe von Zugriffsverwaltungsrichtlinien.

Für die meisten modernen Anwendungsfälle in Amazon S3 ist die Verwendung von nicht mehr erforderlichACLs. Wir empfehlen, die ACLs Option deaktiviert zu lassen, außer in Ausnahmefällen, in denen Sie den Zugriff für jedes Objekt einzeln steuern müssen. Wenn diese ACLs Option deaktiviert ist, können Sie mithilfe von Richtlinien den Zugriff auf alle Objekte in Ihrem Bucket steuern, unabhängig davon, wer die Objekte in Ihren Bucket hochgeladen hat. Weitere Informationen finden Sie unter Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket.

Wichtig

Wenn Ihr Bucket die Einstellung „Vom Bucket-Eigentümer erzwungen“ für S3 Object Ownership verwendet, müssen Sie Richtlinien verwenden, um Zugriff auf Ihren Bucket und die darin enthaltenen Objekte zu gewähren. Wenn die Einstellung „Bucket Owner erforced“ aktiviert ist, schlagen Anfragen zur Einrichtung von Zugriffskontrolllisten (ACLs) oder zur Aktualisierung ACLs fehl und geben den AccessControlListNotSupported Fehlercode zurück. Leseanfragen ACLs werden weiterhin unterstützt.

Wenn Sie einen Bucket oder ein Objekt erstellen, erstellt Amazon S3 eine StandardeinstellungACL, die dem Eigentümer der Ressource die volle Kontrolle über die Ressource gewährt. Dies wird im folgenden Beispiel-Bucket gezeigt ACL (das Standardobjekt ACL hat dieselbe Struktur):

<?xml version="1.0" encoding="UTF-8"?>
<AccessControlPolicy xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
  <Owner>
    <ID>*** Owner-Canonical-User-ID ***</ID>
    <DisplayName>owner-display-name</DisplayName>
  </Owner>
  <AccessControlList>
    <Grant>
      <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
               xsi:type="Canonical User">
        <ID>*** Owner-Canonical-User-ID ***</ID>
        <DisplayName>display-name</DisplayName>
      </Grantee>
      <Permission>FULL_CONTROL</Permission>
    </Grant>
  </AccessControlList>
</AccessControlPolicy> 

Das Beispiel ACL enthält ein Owner Element, das den Besitzer anhand der AWS-Konto kanonischen Benutzer-ID identifiziert. Anweisungen zum Auffinden Ihrer kanonischen Benutzer-ID finden Sie unter Eine AWS-Konto kanonische Benutzer-ID finden. Das Grant Element identifiziert den Empfänger (entweder eine AWS-Konto oder eine vordefinierte Gruppe) und die erteilte Berechtigung. Dieser Standard ACL hat ein Grant Element für den Besitzer. Sie erteilen Berechtigungen, indem Sie Grant-Elemente hinzufügen, wobei jedes Recht den Empfänger und die Berechtigung identifiziert.

Anmerkung

An ACL kann bis zu 100 Zuschüsse vergeben werden.

Wer ist ein Empfänger?

Ein Stipendiat kann eine AWS-Konto oder eine der vordefinierten Amazon S3 S3-Gruppen sein. Sie erteilen einem die Erlaubnis, AWS-Konto indem Sie die E-Mail-Adresse oder die kanonische Benutzer-ID verwenden. Wenn Sie jedoch in Ihrem Zuschussantrag eine E-Mail-Adresse angeben, findet Amazon S3 die kanonische Benutzer-ID für dieses Konto und fügt sie dem hinzu. ACL Das Ergebnis enthält ACLs immer die kanonische Benutzer-ID für den AWS-Konto, nicht die E-Mail-Adresse des. AWS-Konto

Wenn Sie Zugriffsrechte erteilen, geben Sie jeden Empfänger als type="value"-Paar an, wobei type einer der folgenden ist:

• id— Wenn der angegebene Wert die kanonische Benutzer-ID eines ist AWS-Konto

• uri – Wenn Sie einer vordefinierten Gruppe Berechtigungen erteilen

• emailAddress – Wenn der angegebene Wert die E-Mail-Adresse eines AWS-Konto ist

Wichtig

Die Verwendung von E-Mail-Adressen zur Angabe eines Berechtigungsempfängers wird ausschließlich in den folgenden AWS -Regionen unterstützt:

• USA Ost (Nord-Virginia)

• USA West (Nordkalifornien)

• USA West (Oregon)

• Asien-Pazifik (Singapur)

• Asien-Pazifik (Sydney)

• Asien-Pazifik (Tokio)

• Europa (Irland)

• Südamerika (São Paulo)

Eine Liste aller unterstützten Amazon-S3-Regionen und -Endpunkte finden Sie unter Regionen und Endpunkte in der Allgemeine Amazon Web Services-Referenz.

Beispiel: E-Mail-Adresse

Der folgende x-amz-grant-read Header gewährt beispielsweise den durch E-Mail-Adressen AWS-Konten identifizierten Adressen die Erlaubnis, Objektdaten und ihre Metadaten zu lesen:

x-amz-grant-read: emailAddress="xyz@example.com", emailAddress="abc@example.com"

Warnung

Wenn Sie anderen Personen AWS-Konten Zugriff auf Ihre Ressourcen gewähren, sollten Sie sich bewusst sein, dass diese ihre Berechtigungen an Benutzer unter ihren Konten delegieren AWS-Konten können. Man spricht auch von einem kontenübergreifenden Zugriff. Informationen zur Verwendung des kontoübergreifenden Zugriffs finden Sie im Benutzerhandbuch unter Erstellen einer Rolle zur Delegierung von Berechtigungen an einen IAM Benutzer. IAM

Eine AWS-Konto kanonische Benutzer-ID finden

Die kanonische Benutzer-ID ist Ihrem AWS-Konto zugeordnet. Diese ID besteht aus einer langen Zeichenfolge, wie z. B.:

79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be

Informationen darüber, wie Sie die kanonische Benutzer-ID für Ihr Konto finden, finden Sie unter Finden Sie die kanonische Benutzer-ID für Ihr Konto AWS-Konto im Referenzhandbuch zur Kontoverwaltung.AWS

Sie können die kanonische Benutzer-ID eines auch nachschlagen, AWS-Konto indem Sie die eines Buckets oder ACL eines Objekts lesen, für das er Zugriffsberechtigungen besitzt. AWS-Konto Wenn einer Person AWS-Konto durch eine Erteilungsanfrage Berechtigungen erteilt werden, wird dem ein Eintrag ACL mit der kanonischen Benutzer-ID des Kontos hinzugefügt.

Anmerkung

Falls Sie Ihren Bucket öffentlich machen (nicht empfohlen), können beliebige, nicht authentifizierte Benutzer Objekte in den Bucket hochladen. Diese anonymen Benutzer haben kein AWS-Konto. Wenn ein anonymer Benutzer ein Objekt in Ihren Bucket hochlädt, fügt Amazon S3 eine spezielle kanonische Benutzer-ID (65a011a29cdf8ec533ec3d1ccaae921c) als Objekteigentümer in der hinzu. ACL Weitere Informationen finden Sie unter Amazon-S3-Bucket- und Objekt-Eigentümerschaft.

Vordefinierte Gruppen in Amazon S3

Amazon S3 besitzt mehrere vordefinierte Gruppen. Wenn Sie einer Gruppe Kontozugriff gewähren, geben Sie eine der Amazon S3 URIs anstelle einer kanonischen Benutzer-ID an. Amazon S3 stellt die folgenden vordefinierten Gruppen bereit:

• Gruppe „Authentifizierte Benutzer“ – Repräsentiert durch http://acs.amazonaws.com/groups/global/AuthenticatedUsers.

  Diese Gruppe steht für alles. AWS-KontenDie Zugriffsberechtigung für diese Gruppe ermöglicht es jedem AWS-Konto , auf die Ressource zuzugreifen. Alle Anfragen müssen jedoch signiert (authentifiziert) sein.

  Warnung

  Wenn Sie der Gruppe Authentifizierte Benutzer Zugriff gewähren, kann jeder AWS authentifizierte Benutzer auf der Welt auf Ihre Ressource zugreifen.

• Gruppe „Alle Benutzer“ – Repräsentiert durch http://acs.amazonaws.com/groups/global/AllUsers.

  Die Zugriffsberechtigung für diese Gruppe gestattet jedem, auf die Ressource zuzugreifen. Die Anfragen können signiert (authentifiziert) oder nicht signiert (anonym) sein. Nicht signierte Anfragen lassen den Authentifizierungs-Header in der Anfrage weg.

  Warnung

  Wir empfehlen dringend, dass Sie nie der Gruppe Alle Benutzer WRITE-, WRITE_ACP- oder FULL_CONTROL-Berechtigungen erteilen. Während WRITE-Berechtigungen es Nichtbesitzern beispielsweise nicht erlauben, vorhandene Objekte zu überschreiben oder zu löschen, erlauben WRITE-Berechtigungen jedem, Objekte in Ihrem Bucket zu speichern, für die Ihnen eine Rechnung gestellt wird. Weitere Informationen zu diesen Berechtigungen finden Sie im folgenden Abschnitt Welche Berechtigungen kann ich erteilen?.

• Gruppe „Protokollbereitstellung“ – Repräsentiert durch http://acs.amazonaws.com/groups/s3/LogDelivery.

  Die WRITE-Berechtigung für einen Bucket gestattet dieser Gruppe, Serverzugriff-Protokolle (siehe Protokollieren von Anfragen mit Server-Zugriffsprotokollierung) in den Bucket zu schreiben.

Anmerkung

Bei der Nutzung kann ACLs es sich bei einem Empfänger um eine AWS-Konto oder eine der vordefinierten Amazon S3 S3-Gruppen handeln. Der Empfänger kann jedoch kein Benutzer sein. IAM Weitere Informationen zu den AWS Benutzern und den darin enthaltenen IAM Berechtigungen finden Sie unter Verwenden AWS Identity and Access Management.

Welche Berechtigungen kann ich erteilen?

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die Amazon S3 in einem unterstütztACL. Der Satz von ACL Berechtigungen ist für ein Objekt ACL und einen Bucket identischACL. Je nach Kontext (Bucket ACL oder ObjektACL) gewähren diese ACL Berechtigungen jedoch Berechtigungen für bestimmte Buckets oder Objektoperationen. Die Tabelle listet die Berechtigungen auf und beschreibt, was sie im Kontext der Objekte und Buckets bedeuten.

Weitere Informationen zu ACL Berechtigungen in der Amazon S3 S3-Konsole finden Sie unterKonfiguration ACLs.

ACLBerechtigungen
Berechtigung	Bei Rechteerteilung für einen Bucket	Bei Rechteerteilung für ein Objekt
READ	Gestattet dem Empfänger, die Objekte im Bucket aufzulisten	Gestattet dem Empfänger, die Objektedaten und seine Metadaten zu lesen
WRITE	Gestattet dem Empfänger, neue Objekte im Bucket zu erstellen. Für die Bucket- und Objekteigentümer vorhandener Objekte können auch Löschungen und Überschreibungen dieser Objekte ermöglicht werden.	Nicht zutreffend
READ_ACP	Ermöglicht dem Empfänger, den Bucket zu lesen ACL	Ermöglicht dem Empfänger, das Objekt zu lesen ACL
WRITE_ACP	Ermöglicht dem Empfänger, das ACL für den entsprechenden Bucket zu schreiben	Ermöglicht dem Empfänger, das ACL für das entsprechende Objekt zu schreiben
FULL_CONTROL	Gewährt dem Berechtigungsempfänger die READ-, WRITE-, READ_ACP- und WRITE_ACP- Berechtigungen für den Bucket	Gewährt dem Berechtigungsempfänger die READ-, READ_ACP- und WRITE_ACP-Berechtigungen für das Objekt

Warnung

Seien Sie beim Gewähren von Zugriffsberechtigungen auf Ihre S3-Buckets und -Objekte vorsichtig. Beispielsweise kann der Berechtigungsempfänger nach dem Gewähren des WRITE-Zugriffs auf einen Bucket Objekte im Bucket erstellen. Wir empfehlen dringend, dass Sie vor dem Erteilen von Berechtigungen den gesamten Abschnitt zu Übersicht über die Zugriffskontrollliste (ACL) lesen.

Zuordnung von ACL Berechtigungen und Zugriffsrichtlinienberechtigungen

Wie in der obigen Tabelle gezeigt, ACL erlaubt an nur eine begrenzte Anzahl von Berechtigungen, verglichen mit der Anzahl von Berechtigungen, die Sie in einer Zugriffsrichtlinie festlegen können (siehePolitische Maßnahmen für Amazon S3). Jede dieser Berechtigungen erlaubt einen oder mehrere Amazon-S3-Vorgänge.

Die folgende Tabelle zeigt, wie die einzelnen ACL Berechtigungen den entsprechenden Zugriffsrichtlinienberechtigungen zugeordnet werden. Wie Sie sehen können, erlaubt die Zugriffsrichtlinie mehr Berechtigungen als ACL jede. Sie werden ACLs hauptsächlich verwendet, um grundlegende Lese-/Schreibberechtigungen zu gewähren, ähnlich wie Dateisystemberechtigungen. Weitere Informationen darüber, wann Sie eine verwenden solltenACL, finden Sie unter. Identity and Access Management für Amazon S3

Weitere Informationen zu ACL Berechtigungen in der Amazon S3 S3-Konsole finden Sie unterKonfiguration ACLs.

ACLErlaubnis	Entsprechende Zugriffsrichtlinien-Berechtigungen, wenn die ACL Erlaubnis für einen Bucket erteilt wird	Entsprechende Zugriffsrichtlinienberechtigungen, wenn die ACL Berechtigung für ein Objekt erteilt wird
READ	s3:ListBucket, s3:ListBucketVersions und s3:ListBucketMultipartUploads	s3:GetObject und s3:GetObjectVersion
WRITE	s3:PutObject Der Bucket-Eigentümer kann jedes Objekt im Bucket erstellen, überschreiben und löschen, und der Objekteigentümer hat FULL_CONTROL über sein Objekt. Wenn der Empfänger der Bucket-Besitzer ist, ACL ermöglicht die Erteilung von WRITE Berechtigungen in einem Bucket außerdem, dass die s3:DeleteObjectVersion Aktion für jede Version in diesem Bucket ausgeführt werden kann.	Nicht zutreffend
READ_ACP	s3:GetBucketAcl	s3:GetObjectAcl und s3:GetObjectVersionAcl
WRITE_ACP	s3:PutBucketAcl	s3:PutObjectAcl und s3:PutObjectVersionAcl
FULL_CONTROL	Entspricht der Erteilung von READWRITE,READ_ACP, und WRITE_ACP ACL Berechtigungen. Dementsprechend entspricht diese ACL Berechtigung einer Kombination aus entsprechenden Zugriffsrichtlinienberechtigungen.	Entspricht der Gewährung von READREAD_ACP, und WRITE_ACP ACL Berechtigungen. Dementsprechend entspricht diese ACL Berechtigung einer Kombination aus entsprechenden Zugriffsrichtlinienberechtigungen.

Bedingungsschlüssel

Wenn Sie Zugriffsrichtlinienberechtigungen gewähren, können Sie Bedingungsschlüssel verwenden, um den Wert für für ein Objekt mithilfe einer Bucket-Richtlinie einzuschränken. ACL Die folgenden Kontextschlüssel entsprechenACLs. Sie können diese Kontextschlüssel verwenden, um die Verwendung eines bestimmten Elements ACL in einer Anfrage vorzuschreiben:

• s3:x-amz-grant-read - Erfordert Lesezugriff.

• s3:x-amz-grant-write - Erfordert Schreibzugriff.

• s3:x-amz-grant-read-acp‐ Lesezugriff auf den Bucket erforderlichACL.

• s3:x-amz-grant-write-acp‐ Schreibzugriff auf den Bucket erforderlichACL.

• s3:x-amz-grant-full-control - Erfordert vollständige Kontrolle.

• s3:x-amz-acl - Erfordert eine Eingemacht ACL.

Richtlinien, die ACL -spezifische Header beinhalten, finden Sie beispielsweise unter. Gewährung von PutObject s3-Berechtigungen mit einer Bedingung, die voraussetzt, dass der Bucket-Besitzer die volle Kontrolle erhält Eine vollständige Liste der Amazon S3-spezifischen Bedingungsschlüssel finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3 in der Service Authorization Reference.

aclRequired-Werte für allgemeine Amazon-S3-Anfragen

Um Amazon S3 S3-Anfragen zu identifizieren, die ACLs für eine Autorisierung erforderlich sind, können Sie den aclRequired Wert in den Amazon S3 S3-Serverzugriffsprotokollen oder verwenden AWS CloudTrail. Der aclRequired Wert, der in CloudTrail unseren Amazon S3-Serverzugriffsprotokollen erscheint, hängt davon ab, welche Operationen aufgerufen wurden, und von bestimmten Informationen über den Anforderer, Objekteigentümer und Bucket-Besitzer. Wenn keine erforderlich ACLs waren, oder wenn Sie die Option „Gespeichertbucket-owner-full-control“ ACL festlegen oder wenn die Anfragen gemäß Ihrer Bucket-Richtlinie zulässig sind, lautet die aclRequired Wertzeichenfolge in den Amazon S3-Serverzugriffsprotokollen - "" und fehlt in CloudTrail.

In den folgenden Tabellen sind die erwarteten aclRequired Werte in CloudTrail unseren Amazon S3 S3-Serverzugriffsprotokollen für die verschiedenen Amazon S3 API S3-Operationen aufgeführt. Sie können diese Informationen verwenden, um zu verstehen, von welchen Amazon S3 S3-Vorgängen ACLs die Autorisierung abhängt. In den folgenden Tabellen stellen A, B und C die verschiedenen Konten dar, die dem Anforderer, Objekteigentümer und Bucket-Besitzer zugeordnet sind. Einträge mit einem Sternchen (*) geben eines der Konten A, B oder C an.

Anmerkung

PutObjectDie Operationen in der folgenden Tabelle weisen, sofern nicht anders angegeben, auf Anfragen hin, für die kein Wert festgelegt wurdeACL, sofern es sich nicht um einen ACL handelt bucket-owner-full-controlACL. Ein Nullwert für aclRequired gibt an, dass dieser aclRequired Wert in den AWS CloudTrail Protokollen fehlt.

aclRequiredWerte für CloudTrail
Vorgangsname	Auftraggeber	Objekteigentümer	Bucket-Eigentümer	Bucket-Richtlinie gewährt Zugriff	aclRequired Wert	Grund
GetObject	A	A	A	Sie können zwischen Yes und No wählen	Null	Zugriff auf dasselbe Konto
	A	B	A	Sie können zwischen Yes und No wählen	Null	Zugriff auf dasselbe Konto mit erzwungenem Bucket-Eigentümer
	A	A	B	Ja	Null	Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff
	A	A	B	Nein	Ja	Der kontenübergreifende Zugriff ist abhängig von ACL
	A	A	B	Ja	Null	Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff
	A	B	B	Nein	Ja	Der kontenübergreifende Zugriff ist abhängig von ACL
	A	B	C	Ja	Null	Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff
	A	B	C	Nein	Ja	Der kontenübergreifende Zugriff ist abhängig von ACL
PutObject	A	Nicht zutreffend	A	Sie können zwischen Yes und No wählen	Null	Zugriff auf dasselbe Konto
	A	Nicht zutreffend	B	Ja	Null	Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff
	A	Nicht zutreffend	B	Nein	Ja	Der kontenübergreifende Zugriff ist abhängig von ACL
PutObjectmit einem ACL (außerbucket-owner-full-control)	*	Nicht zutreffend	*	Sie können zwischen Yes und No wählen	Ja	Zuschüsse beantragen ACL
ListObjects	A	Nicht zutreffend	A	Sie können zwischen Yes und No wählen	Null	Zugriff auf dasselbe Konto
	A	Nicht zutreffend	B	Ja	Null	Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff
	A	Nicht zutreffend	B	Nein	Ja	Der kontenübergreifende Zugriff ist abhängig von ACL
DeleteObject	A	Nicht zutreffend	A	Sie können zwischen Yes und No wählen	Null	Zugriff auf dasselbe Konto
	A	Nicht zutreffend	B	Ja	Null	Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff
	A	Nicht zutreffend	B	Nein	Ja	Der kontenübergreifende Zugriff ist abhängig von ACL
PutObjectAcl	*	*	*	Sie können zwischen Yes und No wählen	Ja	Zuschüsse beantragen ACL
PutBucketAcl	*	Nicht zutreffend	*	Sie können zwischen Yes und No wählen	Ja	Zuschüsse beantragen ACL

Anmerkung

REST.PUT.OBJECTDie Operationen in der folgenden Tabelle weisen, sofern nicht anders angegeben, auf Anfragen hin, die keinen Wert festlegenACL, es sei denn, der ACL ist ein bucket-owner-full-controlACL. Eine aclRequired-Wertzeichenfolge von „-“ gibt einen Nullwert in den Amazon-S3-Serverzugriffsprotokollen an.

aclRequired-Werte für Amazon-S3-Server-Zugriffsprotokolle
Vorgangsname	Auftraggeber	Objekteigentümer	Bucket-Eigentümer	Bucket-Richtlinie gewährt Zugriff	aclRequired Wert	Grund
REST.GET.OBJECT	A	A	A	Sie können zwischen Yes und No wählen	-	Zugriff auf dasselbe Konto
	A	B	A	Sie können zwischen Yes und No wählen	-	Zugriff auf dasselbe Konto mit erzwungenem Bucket-Eigentümer
	A	A	B	Ja	-	Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff
	A	A	B	Nein	Ja	Der kontenübergreifende Zugriff ist abhängig von ACL
	A	B	B	Ja	-	Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff
	A	B	B	Nein	Ja	Der kontenübergreifende Zugriff ist abhängig von ACL
	A	B	C	Ja	-	Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff
	A	B	C	Nein	Ja	Der kontenübergreifende Zugriff ist abhängig von ACL
REST.PUT.OBJECT	A	Nicht zutreffend	A	Sie können zwischen Yes und No wählen	-	Zugriff auf dasselbe Konto
	A	Nicht zutreffend	B	Ja	-	Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff
	A	Nicht zutreffend	B	Nein	Ja	Der kontenübergreifende Zugriff ist abhängig von ACL
REST.PUT.OBJECTmit einem ACL (außerbucket-owner-full-control)	*	Nicht zutreffend	*	Sie können zwischen Yes und No wählen	Ja	Zuschüsse beantragen ACL
REST.GET.BUCKET	A	Nicht zutreffend	A	Sie können zwischen Yes und No wählen	-	Zugriff auf dasselbe Konto
	A	Nicht zutreffend	B	Ja	-	Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff
	A	Nicht zutreffend	B	Nein	Ja	Der kontenübergreifende Zugriff ist abhängig von ACL
REST.DELETE.OBJECT	A	Nicht zutreffend	A	Sie können zwischen Yes und No wählen	-	Zugriff auf dasselbe Konto
	A	Nicht zutreffend	B	Ja	-	Von Bucket-Richtlinie gewährter kontoübergreifender Zugriff
	A	Nicht zutreffend	B	Nein	Ja	Der kontenübergreifende Zugriff ist abhängig von ACL
REST.PUT.ACL	*	*	*	Sie können zwischen Yes und No wählen	Ja	Zuschüsse beantragen ACL

Stichprobe ACL

Das folgende Beispiel ACL für einen Bucket identifiziert den Eigentümer der Ressource und eine Reihe von Zuschüssen. Das Format ist die XML Darstellung von ACL in Amazon S3 RESTAPI. Der Bucket-Eigentümer hat die FULL_CONTROL über die Ressource. Darüber hinaus wird ACL gezeigt, wie zwei der vordefinierten Amazon S3 S3-Gruppen AWS-Konten, die im vorherigen Abschnitt beschrieben wurden, Berechtigungen für eine Ressource erteilt werden, die durch eine kanonische Benutzer-ID identifiziert werden.

<?xml version="1.0" encoding="UTF-8"?>
<AccessControlPolicy xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
  <Owner>
    <ID>Owner-canonical-user-ID</ID>
    <DisplayName>display-name</DisplayName>
  </Owner>
  <AccessControlList>
    <Grant>
      <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="CanonicalUser">
        <ID>Owner-canonical-user-ID</ID>
        <DisplayName>display-name</DisplayName>
      </Grantee>
      <Permission>FULL_CONTROL</Permission>
    </Grant>
    
    <Grant>
      <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="CanonicalUser">
        <ID>user1-canonical-user-ID</ID>
        <DisplayName>display-name</DisplayName>
      </Grantee>
      <Permission>WRITE</Permission>
    </Grant>

    <Grant>
      <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="CanonicalUser">
        <ID>user2-canonical-user-ID</ID>
        <DisplayName>display-name</DisplayName>
      </Grantee>
      <Permission>READ</Permission>
    </Grant>

    <Grant>
      <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="Group">
        <URI>http://acs.amazonaws.com/groups/global/AllUsers</URI> 
      </Grantee>
      <Permission>READ</Permission>
    </Grant>
    <Grant>
      <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="Group">
        <URI>http://acs.amazonaws.com/groups/s3/LogDelivery</URI>
      </Grantee>
      <Permission>WRITE</Permission>
    </Grant>

  </AccessControlList>
</AccessControlPolicy>

Eingemacht ACL

Amazon S3 unterstützt eine Reihe vordefinierter Zuschüsse, die als vorgefertigte Zuschüsse bezeichnet ACLs werden. Jeder Status ACL enthält einen vordefinierten Satz von Stipendiaten und Berechtigungen. In der folgenden Tabelle sind die vordefinierten Zuschüsse ACLs und die zugehörigen vordefinierten Zuschüsse aufgeführt.

Eingesetzt ACL	Gilt für	Berechtigungen wurden hinzugefügt zu ACL
private	Bucket und Objekt	Der Eigentümer erhält FULL_CONTROL. Niemand anderer hat Zugriffsrechte (Standard).
public-read	Bucket und Objekt	Der Eigentümer erhält FULL_CONTROL. Die AllUsers-Gruppe (siehe Wer ist ein Empfänger?) erhält READ-Zugriff.
public-read-write	Bucket und Objekt	Der Eigentümer erhält FULL_CONTROL. Die AllUsers-Gruppe erhält READ- und WRITE-Zugriff. Eine solche Erteilung von Rechten für einen Bucket wird im Allgemeinen nicht empfohlen.
aws-exec-read	Bucket und Objekt	Der Eigentümer erhält FULL_CONTROL. Amazon EC2 erhält READ Zugriff auf GET ein Amazon Machine Image (AMI) -Paket von Amazon S3.
authenticated-read	Bucket und Objekt	Der Eigentümer erhält FULL_CONTROL. Die AuthenticatedUsers-Gruppe erhält READ-Zugriff.
bucket-owner-read	Objekt	Der Objekt-Eigentümer erhält FULL_CONTROL. Der Bucket-Eigentümer erhält READ-Zugriff. Wenn Sie ACL bei der Erstellung eines Buckets angeben, dass dieser Wert gespeichert ist, ignoriert Amazon S3 ihn.
bucket-owner-full-control	Object	Sowohl der Objekt-Eigentümer, als auch der Bucket-Eigentümer erhalten FULL_CONTROL für das Objekt. Wenn Sie ACL bei der Erstellung eines Buckets angeben, dass dieser Wert gespeichert ist, ignoriert Amazon S3 ihn.
log-delivery-write	Bucket	Die LogDelivery-Gruppe erhält WRITE- und READ_ACP-Berechtigungen für den Bucket. Weitere Informationen über Protokolle finden Sie unter (Protokollieren von Anfragen mit Server-Zugriffsprotokollierung).

Anmerkung

Sie können ACLs in Ihrer Anfrage nur eines dieser vorgefertigten Objekte angeben.

Mithilfe des Anforderungsheaders geben Sie ACL in Ihrer Anfrage einen x-amz-acl vorgefertigten Wert an. Wenn Amazon S3 eine Anfrage mit einer gespeicherten ACL Anfrage erhält, werden die vordefinierten Zuschüsse ACL der Ressource hinzugefügt.