Erteilen von Berechtigungen zum Aufrufen einer Funktion AWS Lambda Erteilen von Berechtigungen, Meldungen in einem SNS-Thema oder einer SQS-Warteschlange zu veröffentlichen

Erteilen von Berechtigungen zur Veröffentlichung von Ereignis-Benachrichtigungsmeldungen an einem Ziel

Sie müssen dem Amazon-S3-Prinzipal die erforderlichen Berechtigungen erteilen, um die relevante API aufzurufen, um Nachrichten in einem SNS-Thema, einer SQS-Warteschlange oder einer Lambda-Funktion zu veröffentlichen. So kann Amazon S3 Ereignisbenachrichtigungsmeldungen an einem Ziel veröffentlichen.

Informationen zur Fehlerbehebung beim Veröffentlichen von Ereignisbenachrichtigungen in einem Ziel finden Sie unter Fehlerbehebung bei der Veröffentlichung von Amazon-S3-Ereignisbenachrichtigungen in einem Thema von Amazon Simple Notification Service.

Themen

Erteilen von Berechtigungen zum Aufrufen einer Funktion AWS Lambda
Erteilen von Berechtigungen, Meldungen in einem SNS-Thema oder einer SQS-Warteschlange zu veröffentlichen

Erteilen von Berechtigungen zum Aufrufen einer Funktion AWS Lambda

Amazon S3 veröffentlicht Ereignismeldungen, AWS Lambda indem es eine Lambda-Funktion aufruft und die Ereignisnachricht als Argument bereitstellt.

Wenn Sie die Amazon-S3-Konsole verwenden, um Ereignisbenachrichtigungen in einem Amazon-S3-Bucket für eine Lambda-Funktion zu konfigurieren, richtet die Konsole die erforderlichen Berechtigungen für die Lambda-Funktion ein. Dies ist so, dass Amazon S3 über Berechtigungen verfügt, die Funktion aus dem Bucket aufzurufen. Weitere Informationen finden Sie unter Aktivieren und Konfigurieren von Ereignis-Benachrichtigungen mit der Amazon-S3-Konsole.

Sie können Amazon S3 S3-Berechtigungen auch erteilen AWS Lambda , um Ihre Lambda-Funktion aufzurufen. Weitere Informationen finden Sie unter Tutorial: Using AWS Lambda with Amazon S3 im AWS Lambda Developer Guide.

Um Amazon S3 S3-Berechtigungen zur Veröffentlichung von Nachrichten im SNS-Thema oder in der SQS-Warteschlange zu gewähren, fügen Sie eine AWS Identity and Access Management (IAM-) Richtlinie an das Ziel-SNS-Thema oder die SQS-Warteschlange an.

Ein Beispiel dafür, wie Sie einem SNS-Thema oder einer SQS-Warteschlange eine Richtlinie anfügen, finden Sie unter Walkthrough: Konfigurieren eines Buckets für Benachrichtigungen (SNS-Thema oder SQS-Warteschlange). Weitere Informationen über Berechtigungen finden Sie in den folgenden Themen:

Beispielfälle für die Amazon SNS-Zugriffssteuerung im Amazon Simple Notification Service-Entwicklerhandbuch
Identity and Access Management in Amazon SQS im Amazon Simple Queue Service-Entwicklerhandbuch

Im Folgenden finden Sie ein Beispiel für eine AWS Identity and Access Management (IAM-) Richtlinie, die Sie an das Ziel-SNS-Thema anhängen. Anweisungen zur Verwendung dieser Richtlinie zum Einrichten eines Amazon-SNS-Zielthemas für Ereignisbenachrichtigungen finden Sie unter Walkthrough: Konfigurieren eines Buckets für Benachrichtigungen (SNS-Thema oder SQS-Warteschlange).


{
    "Version": "2012-10-17",
    "Id": "example-ID",
    "Statement": [
        {
            "Sid": "Example SNS topic policy",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": [
                "SNS:Publish"
            ],
            "Resource": "SNS-topic-ARN",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:s3:*:*:bucket-name"
                },
                "StringEquals": {
                    "aws:SourceAccount": "bucket-owner-account-id"
                }
            }
        }
    ]
}

IAM-Richtlinie für eine SQS-Zielwarteschlange

Im Folgenden finden Sie ein Beispiel für eine IAM-Richtlinie, die Sie an die SQS-Zielwarteschlange anfügen. Anweisungen zur Verwendung dieser Richtlinie zum Einrichten einer Amazon-SQS-Zielwarteschlange für Ereignisbenachrichtigungen finden Sie unter Walkthrough: Konfigurieren eines Buckets für Benachrichtigungen (SNS-Thema oder SQS-Warteschlange).

Um diese Richtlinie verwenden zu können, müssen Sie den ARN der Amazon SQS SQS-Warteschlange, den Bucket-Namen und die AWS-Konto ID des Bucket-Besitzers aktualisieren.


{
    "Version": "2012-10-17",
    "Id": "example-ID",
    "Statement": [
        {
            "Sid": "example-statement-ID",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": [
                "SQS:SendMessage"
            ],
            "Resource": "arn:aws:sqs:Region:account-id:queue-name",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:s3:*:*:awsexamplebucket1"
                },
                "StringEquals": {
                    "aws:SourceAccount": "bucket-owner-account-id"
                }
            }
        }
    ]
}

Für die IAM-Richtlinien für Amazon SNS und Amazon SQS kann die StringLike-Bedingung statt der ArnLike-Bedingung in der Richtlinie angegeben werden.

Wenn ArnLike verwendet wird, müssen die Teile partition, service, account-id, resource-type und teilweise resource-id-Teile des ARN genau mit dem ARN im Anforderungskontext übereinstimmen. Nur die Region und der Ressourcenpfad lassen einen teilweisen Abgleich zu.

Wenn StringLike anstelle von ArnLike verwendet wird, ignoriert der Abgleich die ARN-Struktur und ermöglicht einen teilweisen Abgleich, unabhängig davon, welcher Teil mit einem Platzhalter versehen wurde. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente im IAM-Benutzerhandbuch.


"Condition": {         
  "StringLike": { "aws:SourceArn": "arn:aws:s3:*:*:bucket-name" }
  }

Wenn die SQS-Warteschlange oder die SNS-Themen mit einem AWS Key Management Service (AWS KMS) vom Kunden verwalteten Schlüssel verschlüsselt sind, müssen Sie dem Amazon S3 S3-Service Principal die Erlaubnis erteilen, mit den verschlüsselten Themen oder der Warteschlange zu arbeiten. Um dem Amazon-S3-Service-Prinzipal die Berechtigung zu erteilen, fügen Sie der Schlüsselrichtlinie für den vom Kunden verwalteten Schlüssel die folgende Anweisung hinzu.


{
    "Version": "2012-10-17",
    "Id": "example-ID",
    "Statement": [
        {
            "Sid": "example-statement-ID",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*"
        }
    ]
}

Weitere Informationen zu AWS KMS wichtigen Richtlinien finden Sie unter Verwenden von Schlüsselrichtlinien AWS KMS im AWS Key Management Service Entwicklerhandbuch.

Weitere Informationen zur Verwendung der serverseitigen Verschlüsselung mit AWS KMS für Amazon SQS und Amazon SNS finden Sie im Folgenden:

Schlüsselverwaltung im Amazon Simple Notification Service-Entwicklerhandbuch.
Schlüsselverwaltung im Amazon Simple Queue Service-Entwicklerhandbuch.
Encrypting messages published to Amazon SNS with AWS KMS im AWS -Compute-Blog.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verwenden von SQS, SNS und Lambda

Aktivieren von Benachrichtigungen in der S3-Konsole

Erteilen von Berechtigungen zur Veröffentlichung von Ereignis-Benachrichtigungsmeldungen an einem Ziel

Themen

Erteilen von Berechtigungen zum Aufrufen einer Funktion AWS Lambda

Erteilen von Berechtigungen, Meldungen in einem SNS-Thema oder einer SQS-Warteschlange zu veröffentlichen

IAM-Richtlinie für ein SNS-Zielthema

IAM-Richtlinie für eine SQS-Zielwarteschlange

AWS KMS wichtige Richtlinie