Beispiel-Walkthroughs: Verwalten des Zugriffs auf Ihre Amazon S3-Ressourcen - Amazon Simple Storage Service

Beispiel-Walkthroughs: Verwalten des Zugriffs auf Ihre Amazon S3-Ressourcen

In diesem Thema werden die folgenden einführenden Anleitungsbeispiele für das Gewähren des Zugriffs aufs Amazon S3-Ressourcen bereitgestellt. Diese Beispiele verwenden die AWS-Managementkonsole, um Ressourcen (Buckets, Objekte, Benutzer) zu erstellen und diesen Berechtigungen zu erteilen. Anschließend zeigen die Beispiele auf, wie Sie Berechtigungen mithilfe der Befehlszeilen-Tools überprüfen können, sodass Sie keinen Code schreiben müssen. Wir stellen Befehle bereit, die sowohl die AWS-Befehlszeilenschnittstelle (Command Line Interface, CLI) und die AWS-Tools für Windows PowerShell verwenden.

  • Beispiel 1: Bucket-Eigentümer erteilt seinen Benutzern Bucket-Berechtigungen

    Die in Ihrem Konto erstellten IAM-Benutzer verfügen standardmäßig über keine Berechtigungen. In dieser Übung erteilen Sie einem Benutzer die Berechtigung, Bucket- und Objektoperationen auszuführen.

  • Beispiel 2: Bucket-Eigentümer erteilt kontoübergreifende Bucket-Berechtigungen

    In dieser Übung gewährt ein Bucket-Eigentümer, Konto A, einem anderen AWS-Konto, Konto B, kontoübergreifende Berechtigungen. Konto B delegiert diese Berechtigungen anschließend an Benutzer in seinem Konto.

  • Verwalten von Objektberechtigungen, wenn der Objekt- und der Bucket-Eigentümer nicht identisch sind

    Bei den Beispielszenarien in diesem Fall geht es um einen Bucket-Eigentümer, der anderen Objektberechtigungen erteilt, es gehören jedoch nicht alle Objekte im Bucket dem Bucket-Eigentümer. Welche Berechtigungen benötigt der Bucket-Eigentümer und wie kann er diese Berechtigungen delegieren?

    Das AWS-Konto, das einen Bucket erstellt, wird als Bucket-Eigentümer bezeichnet. Der Eigentümer kann anderen AWS-Konten die Berechtigung zum Hochladen von Objekten erteilen und die AWS-Konten, die Objekte erstellen, besitzen diese. Der Bucket-Eigentümer hat keine Berechtigungen für diese Objekte, die von anderen AWS-Konten erstellt wurden. Wenn der Bucket-Eigentümer eine Bucket-Richtlinie erstellt, die Zugriff auf Objekte erteilt, gilt diese Richtlinie nicht für Objekte, die sich im Besitz von anderen Konten befinden.

    In diesem Fall muss der Objekteigentümer zuerst dem Bucket-Eigentümer über eine Objekt-ACL Berechtigungen erteilen. Der Bucket-Eigentümer kann diese Objektberechtigungen anschließend an andere delegieren – an Benutzer in seinem eigenen Konto oder an ein anderes AWS-Konto wie in den folgenden Beispielen dargestellt.

Bevor Sie die beispiehalften Walkthroughs ausprobieren

Diese Beispiele verwenden die AWS-Managementkonsole, um Ressourcen zu erstellen und Berechtigungen zu erteilen. Zum Testen der Berechtigungen verwenden die Beispiele die Befehlszeilen-Tools, AWS Command Line Interface (CLI) und AWS-Tools für Windows PowerShell, sodass Sie keinen Code schreiben müssen. Zum Testen der Berechtigungen müssen Sie eins dieser Tools einrichten. Weitere Informationen finden Sie unter Einrichten der Tools für die beispielhaften Walkthroughs.

Darüber hinaus verwenden diese Beispiele beim Erstellen von Ressourcen keine Root-Anmeldeinformationen von AWS-Konten. Sie erstellen stattdessen einen Administratorbenutzer in diesen Konten, um diese Aufgaben auszuführen.

Informationen zur Verwendung eines Administratorbenutzers zum Erstellen von Ressourcen und Erteilen von Berechtigungen

AWS Identity and Access Management (IAM) empfiehlt, die Root-Anmeldeinformationen Ihres AWS-Kontos nicht für Anforderungen zu verwenden. Erstellen Sie stattdessen einen IAM-Benutzer, gewähren Sie diesem vollständigen Zugriff und verwenden Sie anschließend die Anmeldeinformationen dieses Benutzers für die Interaktion mit AWS. Wir bezeichnen diesen Benutzer als Administratorbenutzer. Weitere Informationen finden Sie unter Root-Konto-Anmeldeinformationen vs. IAM User Credentials (IAM-Benutzeranmeldeinformationen) in der Allgemeinen AWS-Referenz sowie unter Bewährte Methoden für IAM im IAM-Benutzerhandbuch.

Alle Beispielanleitungen in diesem Abschnitt verwenden die Anmeldeinformationen des Administratorbenutzers. Wenn Sie noch keinen Administratorbenutzer für Ihr AWS-Konto erstellt haben, erfahren Sie in diesen Themen, wie dies geht.

Beachten Sie, dass Sie die URL für die Anmeldung des IAM-Benutzers verwenden müssen, um sich mithilfe der Anmeldeinformationen bei der AWS-Managementkonsole anzumelden. Die IAM-Konsole stellt diese URL für Ihr AWS-Konto bereit. In diesen Themen erfahren Sie, wie Sie die URL abrufen können.