Hinzufügen einer Bucket-Richtlinie mit der Amazon-S3-Konsole - Amazon Simple Storage Service

Hinzufügen einer Bucket-Richtlinie mit der Amazon-S3-Konsole

Sie können die Amazon-S3-Konsole verwenden, um eine neue Bucket-Richtlinie hinzuzufügen oder eine vorhandene Bucket-Richtlinie zu bearbeiten. Eine Bucket-Richtlinie ist eine auf Ressourcen basierende AWS Identity and Access Management (IAM) Richtlinie. Sie können einem Bucket eine Bucket-Richtlinie hinzufügen, um anderen AWS-Konten oder IAM-Benutzern Zugriffsberechtigungen für den Bucket und die darin enthaltenen Objekte zu erteilen. Objektberechtigungen gelten nur für die Objekte, die der Bucket-Eigentümer erstellt. Weitere Informationen zu Bucket-Richtlinien finden Sie unter Übersicht über die Verwaltung von Zugriffsberechtigungen.

Wenn ein anderes AWS-Konto ein Objekt in Ihren S3-Bucket hochlädt, besitzt dieses Konto (der Objektschreiber) standardmäßig das Objekt, hat Zugriff darauf und kann anderen Benutzern über ACLs Zugriff darauf gewähren. Sie können Object Ownership verwenden, um dieses Standardverhalten so zu ändern, dass ACLs deaktiviert sind und Sie als Bucket-Eigentümer automatisch jedes Objekt in Ihrem Bucket besitzen. Daher basiert die Zugriffskontrolle für Ihre Daten auf Richtlinien wie IAM-Richtlinien, S3-Bucket-Richtlinien, Endpunktrichtlinien für Virtual Private Cloud (VPC) und AWS Organizations Service-Kontrollrichtlinien (SCPs). Weitere Informationen finden Sie unter Weitere Informationen finden Sie unter Steuern des Eigentums an Objekten und Deaktivieren von ACLs für Ihren Bucket..

Beheben Sie Sicherheitswarnungen, Fehler, allgemeine Warnungen und Vorschläge von AWS Identity and Access Management Access Analyzer bevor Sie Ihre Richtlinie speichern. IAM Access Analyzer führt Richtlinienprüfungen durch, um Ihre Richtlinie anhand der IAM-Richtliniengrammatik und der bewährten Methoden zu validieren. Diese Prüfungen generieren Ergebnisse und bieten umsetzbare Empfehlungen, die Sie beim Erstellen von Richtlinien unterstützen, die funktionsfähig sind und den bewährten Methoden für Sicherheit entsprechen. Weitere Informationen zum Validieren von Richtlinien mit IAM Access Analyzer finden Sie unter Validierung der IAM-Access-Analyzer-Richtlinien im IAM-Benutzerhandbuch. Eine Liste der Warnungen, Fehler und Vorschläge, die von IAM Access Analyzer zurückgegeben werden, finden Sie unter IAM-Access-Analyzer-Richtlinienprüfungsreferenz.

Eine Bucket-Richtlinie erstellen oder bearbeiten

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie in der Liste Buckets den Namen des Buckets aus, für den Sie eine Bucket-Richtlinie erstellen wollen oder dessen Bucket-Richtlinie Sie bearbeiten wollen.

  3. Wählen Sie Permissions (Berechtigungen).

  4. Wählen Sie unter Bucket policy (Bucket-Richtlinie) Edit (Bearbeiten) aus. Dies öffnet die Seite Bucket-Richtlinie bearbeiten.

  5. Untersuchen Sie auf der Seite Edit bucket policy (Bucket-Richtlinie bearbeiten) Policy examples (Richtlinienbeispiele) im Amazon-S3-Benutzerhandbuch, wählen Sie Policy generator (Richtliniengenerator) aus, um automatisch eine Richtlinie zu generieren, oder bearbeiten Sie die JSON im Abschnitt Policy (Richtlinie).

    Wenn Sie Richtliniengenerator wählen, wird der AWS-Richtliniengenerator in einem neuen Fenster geöffnet:

    1. Wählen Sie auf der Seite AWS-Richtliniengenerator unter Richtlinientyp auswählen die Option S3-Bucket-Richtlinie aus.

    2. Fügen Sie eine Anweisung hinzu, indem Sie die Informationen in die bereitgestellten Felder eingeben, und wählen Sie dann Anweisung hinzufügen. Wiederholen Sie diesen Vorgang für so viele Anweisungen, wie Sie hinzufügen möchten. Weitere Informationen zu diesen Feldern finden Sie in der Referenz zu den IAM-JSON-Richtlinienelementen im IAM-Benutzerhandbuch.

      Anmerkung

      Der Einfachheit halber zeigt die Seite Bucket-Richtlinie bearbeiten den Bucket-ARN (Amazon-Ressourcenname) des aktuellen Buckets über dem Richtlinientextfeld an. Sie können diesen ARN zur Verwendung in den Anweisungen auf der Seite AWS-Richtliniengenerator kopieren.

    3. Wenn Sie mit dem Hinzufügen von Anweisungen fertig sind, wählen Sie Generieren von Richtlinien.

    4. Kopieren Sie den generierten Richtlinientext, wählen Sie Schließen und kehren Sie zur Seite Bucket-Richtlinie bearbeiten in der Amazon-S3-Konsole zurück.

  6. Bearbeiten Sie im Feld Richtlinie die vorhandene Richtlinie oder fügen Sie die Bucket-Richtlinie aus dem Richtliniengenerator ein. Beheben Sie Sicherheitswarnungen, Fehler, allgemeine Warnungen und Vorschläge bevor Sie Ihre Richtlinie speichern.

  7. (Optional) Zeigen Sie eine Vorschau an, wie sich Ihre neue Richtlinie auf den öffentlichen und kontoübergreifenden Zugriff auf Ihre Ressource auswirkt. Bevor Sie Ihre Richtlinie speichern, können Sie überprüfen, ob sie neue IAM-Access-Analyzer-Ergebnisse einführt oder vorhandene Ergebnisse löst. Wenn Sie keinen aktiven Analyzer sehen, erstellen Sie einen Account Analyzer in IAM Access Analyzer. Weitere Informationen finden Sie unter Zugriffsvorschau im IAM-Benutzerhandbuch.

  8. Wählen Sie Speichern Sie die Änderungen, wodurch Sie zu der Seite Bucket-Berechtigungen zurückkehren.