Bevor Sie die beispiehalften Walkthroughs ausprobieren

Beispiel-Walkthroughs: Verwalten des Zugriffs auf Ihre Amazon-S3-Ressourcen

In diesem Thema werden die folgenden einführenden Anleitungsbeispiele für das Gewähren des Zugriffs aufs Amazon-S3-Ressourcen bereitgestellt. Diese Beispiele verwenden die , AWS Management Console um Ressourcen (Buckets, Objekte, Benutzer) zu erstellen und ihnen Berechtigungen zu erteilen. Anschließend zeigen die Beispiele auf, wie Sie Berechtigungen mithilfe der Befehlszeilen-Tools überprüfen können, sodass Sie keinen Code schreiben müssen. Wir stellen Befehle bereit, die sowohl die AWS Command Line Interface (CLI) als auch die verwenden AWS Tools for Windows PowerShell.

Beispiel 1: Bucket-Eigentümer erteilt seinen Benutzern Bucket-Berechtigungen

Die in Ihrem Konto erstellten IAM-Benutzer verfügen standardmäßig über keine Berechtigungen. In dieser Übung erteilen Sie einem Benutzer die Berechtigung, Bucket- und Objekt-Vorgänge auszuführen.
Beispiel 2: Bucket-Eigentümer erteilt kontoübergreifende Bucket-Berechtigungen

In dieser Übung gewährt ein Bucket-Eigentümer, Konto A, einem anderen AWS-Konto, Konto B, kontoübergreifende Berechtigungen. Konto B delegiert diese Berechtigungen anschließend an Benutzer in seinem Konto.
Verwalten von Objektberechtigungen, wenn der Objekt- und der Bucket-Eigentümer nicht identisch sind

Bei den Beispielszenarien in diesem Fall geht es um einen Bucket-Eigentümer, der anderen Objektberechtigungen erteilt, es gehören jedoch nicht alle Objekte im Bucket dem Bucket-Eigentümer. Welche Berechtigungen benötigt der Bucket-Eigentümer und wie kann er diese Berechtigungen delegieren?

Das AWS-Konto , das einen Bucket erstellt, wird als Bucket-Eigentümer bezeichnet. Der Eigentümer kann anderen die AWS-Konten Berechtigung zum Hochladen von Objekten erteilen, und die AWS-Konten , die Objekte erstellen, besitzen diese. Der Bucket-Eigentümer hat keine Berechtigungen für diese Objekte, die von anderen AWS-Konten erstellt wurden. Wenn der Bucket-Eigentümer eine Bucket-Richtlinie erstellt, die Zugriff auf Objekte erteilt, gilt diese Richtlinie nicht für Objekte, die sich im Besitz von anderen Konten befinden.

In diesem Fall muss der Objekteigentümer zuerst dem Bucket-Eigentümer über eine Objekt-ACL Berechtigungen erteilen. Der Bucket-Eigentümer kann diese Objektberechtigungen dann an andere delegieren, an Benutzer in seinem eigenen Konto oder an ein anderes , AWS-Konto wie in den folgenden Beispielen dargestellt.
- Beispiel 3: Bucket-Eigentümer, der Berechtigungen für Objekte erteilt, die ihm nicht gehören
  
  In dieser Übung erhält der Bucket-Eigentümer zuerst Berechtigungen von dem Objekteigentümer. Der Bucket-Eigentümer delegiert diese Berechtigungen anschließend an Benutzer in seinem eigenen Konto.
- Beispiel 4: Der Bucket-Eigentümer erteilt eine kontenübergreifende Berechtigung für Objekte, die ihm nicht gehören
  
  Nach Erhalt von Berechtigungen vom Objekteigentümer kann der Bucket-Eigentümer die Berechtigung nicht an andere delegieren, AWS-Konten da die kontoübergreifende Delegierung nicht unterstützt wird (siehe Berechtigungsdelegation). Stattdessen kann der Bucket-Eigentümer eine IAM-Rolle mit Berechtigungen erstellen, um bestimmte Operationen auszuführen (z. B. Objekte abrufen) und einem anderen erlauben, diese Rolle AWS-Konto zu übernehmen. Jeder, der diese Rolle annimmt, kann anschließend auf Objekte zugreifen. Dieses Beispiel zeigt, wie ein Bucket-Eigentümer diese kontoübergreifende Delegation mithilfe einer IAM-Rolle aktivieren kann.

Bevor Sie die beispiehalften Walkthroughs ausprobieren

In diesen Beispielen wird die verwendet AWS Management Console , um Ressourcen zu erstellen und Berechtigungen zu erteilen. Und um Berechtigungen zu testen, verwenden die Beispiele die Befehlszeilen-Tools, AWS Command Line Interface (CLI) und AWS Tools for Windows PowerShell, sodass Sie keinen Code schreiben müssen. Zum Testen der Berechtigungen müssen Sie eins dieser Tools einrichten. Weitere Informationen finden Sie unter Einrichten der Tools für die beispielhaften Walkthroughs.

Darüber hinaus verwenden diese Beispiele beim Erstellen von Ressourcen keine Root-Benutzer-Anmeldeinformationen von einem AWS-Konto. Sie erstellen stattdessen einen Administratorbenutzer in diesen Konten, um diese Aufgaben auszuführen.

Informationen zur Verwendung eines Administratorbenutzers zum Erstellen von Ressourcen und Erteilen von Berechtigungen

AWS Identity and Access Management (IAM) rät davon ab, die Root-Benutzer-Anmeldeinformationen Ihres für Anfragen AWS-Konto zu verwenden. Erstellen Sie stattdessen eine(n) IAM-Benutzer oder eine -Rolle, gewähren Sie diesem/r vollständigen Zugriff und verwenden Sie anschließend die Anmeldeinformationen dieses Benutzers/dieser Rolle zum Erstellen von Anfragen. Wir bezeichnen dies als Administratorbenutzer oder -rolle. Weitere Informationen finden Sie unter Root-Benutzer des AWS-Kontos -Anmeldeinformationen und IAM-Identitäten in der Allgemeine AWS-Referenz und unter Bewährte IAM-Methoden im IAM-Benutzerhandbuch.

Alle Beispielanleitungen in diesem Abschnitt verwenden die Anmeldeinformationen des Administratorbenutzers. Wenn Sie keinen Administratorbenutzer für Ihr erstellt haben AWS-Konto, zeigen Ihnen die Themen die Vorgehensweise.

Beachten Sie, dass Sie die URL für die Anmeldung von IAM-Benutzern verwenden müssen, um sich AWS Management Console mit den Benutzeranmeldeinformationen bei der anzumelden. Die IAM-Konsole stellt diese URL für Ihr bereit AWS-Konto. In diesen Themen erfahren Sie, wie Sie die URL abrufen können.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Beispiele für Benutzer- und Rollenrichtlinien

Einrichten von Tools