Zugriffsverwaltung mit ACLs - Amazon Simple Storage Service

Zugriffsverwaltung mit ACLs

Zugriffskontrolllisten (ACLs) sind eine der auf Ressourcen basierenden Optionen (siehe Übersicht über die Verwaltung von Zugriffsberechtigungen), mit denen Sie den Zugriff auf Ihre Buckets und Objekte verwalten können. Sie können ACLs verwenden, um anderen AWS-Konten grundlegende Lese-/Schreibberechtigungen zu erteilen. Es gibt Limits für die Verwaltung von Berechtigungen mit ACLs.

Sie können beispielsweise nur anderen AWS-Konten Berechtigungen erteilen. Sie können keine Berechtigungen für Benutzer in Ihrem Konto erteilen. Sie können keine bedingten Berechtigung erteilen, und Sie können nicht explizit Berechtigungen verweigern. ACLs sind für spezifische Szenarien geeignet. Wenn ein Bucket-Eigentümer beispielsweise anderen AWS-Konten gestattet, Objekte hochzuladen, können diese Objekte nur unter Verwendung von Objekt-ACLs durch das AWS-Konto verwaltet werden, dem das Objekt gehört.

Wenn ein anderes AWS-Konto ein Objekt in Ihren S3-Bucket hochlädt, besitzt dieses Konto (der Objektschreiber) standardmäßig das Objekt, hat Zugriff darauf und kann anderen Benutzern über ACLs Zugriff darauf gewähren. Sie können Object Ownership verwenden, um dieses Standardverhalten so zu ändern, dass ACLs deaktiviert sind und Sie als Bucket-Eigentümer automatisch jedes Objekt in Ihrem Bucket besitzen. Daher basiert die Zugriffskontrolle für Ihre Daten auf Richtlinien wie IAM-Richtlinien, S3-Bucket-Richtlinien, Endpunktrichtlinien für Virtual Private Cloud (VPC) und AWS Organizations Service-Kontrollrichtlinien (SCPs).

Die meisten modernen Anwendungsfälle in Amazon S3 erfordern keine ACLs mehr, und wir empfehlen Ihnen, ACLs zu deaktivieren, außer unter ungewöhnlichen Umständen, in denen Sie den Zugriff für jedes Objekt einzeln steuern müssen. Mit Object Ownership können Sie ACLs deaktivieren und sich auf Richtlinien für die Zugriffssteuerung verlassen. Wenn Sie ACLs deaktivieren, können Sie einfach einen Bucket mit Objekten verwalten, die von verschiedenen AWS-Konten hochgeladen wurden. Sie als Bucket-Eigentümer besitzen alle Objekte im Bucket und können den Zugriff darauf mithilfe von Richtlinien verwalten. Weitere Informationen finden Sie unter Weitere Informationen finden Sie unter Steuern des Eigentums an Objekten und Deaktivieren von ACLs für Ihren Bucket..

Wichtig

Wenn Ihr Bucket die erzwungene Einstellung für den Bucket-Eigentümer für S3 Object Ownership verwendet, müssen Sie Richtlinien verwenden, um Zugriff auf Ihren Bucket und die darin enthaltenen Objekte zu gewähren. Anfragen zum Festlegen von ACLs oder Update-ACLs schlagen fehl und geben den AccessControlListNotSupported-Fehlercode zurück. Anfragen zum Lesen von ACLs werden weiterhin unterstützt.

Weitere Informationen zu ACLs finden Sie in den folgenden Themen.