Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Konfiguration ACLs
In diesem Abschnitt wird erklärt, wie Sie Zugriffsberechtigungen für S3-Buckets und -Objekte mithilfe von Zugriffskontrolllisten (ACLs) verwalten. ACLMithilfe von, AWS Command Line Interface (CLI) AWS Management Console, oder AWS SDKs können Sie Ihrer Ressource Zuschüsse hinzufügen. REST API
Bucket- und Objekt-Berechtigungen sind voneinander unabhängig. Ein Objekt erbt nicht die Berechtigungen von seinem Bucket. Wenn Sie beispielsweise einen Bucket erstellen und einem Benutzer Schreibzugriff erteilen, können Sie auf die Objekte dieses Benutzers nicht zugreifen, wenn Ihnen der Benutzer nicht explizit Zugriff erteilt.
Sie können anderen AWS-Konto Benutzern oder vordefinierten Gruppen Berechtigungen gewähren. Der Benutzer oder die Gruppe, dem bzw. der Sie Berechtigungen erteilen, wird als der Berechtigungsempfänger bezeichnet. Standardmäßig hat der Besitzer, der den AWS-Konto Bucket erstellt hat, volle Berechtigungen.
Jede Berechtigung, die Sie einem Benutzer oder einer Gruppe gewähren, fügt einen Eintrag in dem hinzuACL, der dem Bucket zugeordnet ist. ACLIn der Liste werden Zuschüsse aufgeführt, anhand derer der Empfänger und die erteilte Berechtigung identifiziert werden.
S3 Object Ownership ist eine Einstellung auf Amazon S3 S3-Bucket-Ebene, mit der Sie sowohl das Eigentum an den Objekten kontrollieren können, die in Ihren Bucket hochgeladen werden, als auch um sie zu deaktivieren oder zu aktivieren. ACLs Standardmäßig ist für Object Ownership die erzwungene Einstellung des Bucket-Besitzers festgelegt, und alle sind ACLs deaktiviert. Wenn ACLs diese Option deaktiviert ist, besitzt der Bucket-Besitzer alle Objekte im Bucket und verwaltet den Zugriff darauf ausschließlich mithilfe von Zugriffsverwaltungsrichtlinien.
Für die meisten modernen Anwendungsfälle in Amazon S3 ist die Verwendung von nicht mehr erforderlichACLs. Wir empfehlen, die ACLs Option deaktiviert zu lassen, außer in Ausnahmefällen, in denen Sie den Zugriff für jedes Objekt einzeln steuern müssen. Wenn diese ACLs Option deaktiviert ist, können Sie mithilfe von Richtlinien den Zugriff auf alle Objekte in Ihrem Bucket steuern, unabhängig davon, wer die Objekte in Ihren Bucket hochgeladen hat. Weitere Informationen finden Sie unter Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket.
Wichtig
Wenn Ihr Bucket die Einstellung „Vom Bucket-Eigentümer erzwungen“ für S3 Object Ownership verwendet, müssen Sie Richtlinien verwenden, um Zugriff auf Ihren Bucket und die darin enthaltenen Objekte zu gewähren. Wenn die Einstellung „Bucket Owner erforced“ aktiviert ist, schlagen Anfragen zur Einrichtung von Zugriffskontrolllisten (ACLs) oder zur Aktualisierung ACLs fehl und geben den AccessControlListNotSupported
Fehlercode zurück. Leseanfragen ACLs werden weiterhin unterstützt.
Warnung
Es wird dringend empfohlen, den Gruppen Jeder (öffentlicher Zugriff) oder Authentifizierte Benutzer (alle AWS authentifizierten Benutzer) keinen Schreibzugriff zu gewähren. Weitere Informationen zu den Auswirkungen eines Schreibzugriffs für diese Gruppen finden Sie unter Vordefinierte Gruppen in Amazon S3.
Die Konsole zeigt kombinierte Zugriffsberechtigungen für doppelte Berechtigungsempfänger an. Um die vollständige Liste von zu sehenACLs, verwenden Sie Amazon S3 RESTAPI, AWS CLI, oder AWS SDKs.
Die folgende Tabelle zeigt die ACL Berechtigungen, die Sie für Buckets in der Amazon S3 S3-Konsole konfigurieren können.
Konsolenberechtigung | ACLErlaubnis | Zugriff |
---|---|---|
Objekte – Auflisten | READ |
Gestattet dem Empfänger, die Objekte im Bucket aufzulisten. |
Objekte – Schreiben | WRITE |
Gestattet dem Empfänger, neue Objekte im Bucket zu erstellen. Für die Bucket- und Objekteigentümer vorhandener Objekte können auch Löschungen und Überschreibungen dieser Objekte ermöglicht werden. |
Eimer ACL — Lesen | READ_ACP |
Ermöglicht dem Empfänger, den Bucket ACL zu lesen. |
Eimer ACL — Schreiben | WRITE_ACP |
Ermöglicht dem Empfänger, das ACL für den entsprechenden Bucket zu schreiben. |
Jeder (öffentlicher Zugang): Objekte – Auflisten | READ |
Gewährt öffentlichen Lesezugriff für die Objekte im Bucket. Wenn Sie jedem (öffentlichen Zugriff) Listenzugriff gewähren, kann jeder Benutzer auf der Welt auf die Objekte im Bucket zugreifen. |
Jeder (öffentlich zugänglich): Bucket ACL — Lesen | READ_ACP |
Gewährt öffentlichen Lesezugriff für den BucketACL. Wenn Sie allen Benutzern Lesezugriff gewähren (öffentlichen Zugriff), kann jeder auf der Welt auf den Bucket zugreifenACL. |
Weitere Informationen zu ACL Berechtigungen finden Sie unterÜbersicht über die Zugriffskontrollliste (ACL).
Wichtig
Wenn Ihr Bucket die Einstellung „Vom Bucket-Eigentümer erzwungen“ für S3 Object Ownership verwendet, müssen Sie Richtlinien verwenden, um Zugriff auf Ihren Bucket und die darin enthaltenen Objekte zu gewähren. Wenn die Einstellung Bucket Owner erforced aktiviert ist, schlagen Anfragen zur Einrichtung von Zugriffskontrolllisten (ACLs) oder zur Aktualisierung ACLs fehl und geben den AccessControlListNotSupported
Fehlercode zurück. Leseanfragen ACLs werden weiterhin unterstützt.
Um ACL Berechtigungen für einen Bucket festzulegen
Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/
. -
Wählen Sie in der Liste Buckets den Namen des Buckets aus, für den Sie Berechtigungen festlegen möchten.
-
Wählen Sie Permissions (Berechtigungen).
-
Wählen Sie unter Access Control List Bearbeiten.
Sie können die folgenden ACL Berechtigungen für den Bucket bearbeiten:
Objekte
-
Auflisten – Gestattet einem Empfänger, die Objekte im Bucket aufzulisten.
-
Schreiben — Ermöglicht es dem Berechtigungsempfänger, neue Objekte im Bucket zu erstellen. Für die Bucket- und Objekteigentümer vorhandener Objekte können auch Löschungen und Überschreibungen dieser Objekte ermöglicht werden.
In der S3-Konsole können Sie nur der S3-Protokollbereitstellungsgruppe und dem Bucket-Besitzer (Ihrem AWS-Konto) Schreibzugriff gewähren. Wir empfehlen dringend, anderen Empfängern keinen Schreibzugriff zu gewähren. Wenn Sie jedoch Schreibzugriff gewähren müssen, können Sie den AWS CLI AWS SDKs, oder den verwenden RESTAPI.
Eimer ACL
-
Lesen — Ermöglicht dem Empfänger, den Bucket ACL zu lesen.
-
Schreiben — Ermöglicht dem Empfänger, das ACL für den entsprechenden Bucket zu schreiben.
-
-
Um die Berechtigungen des Bucket-Besitzers zu ändern, deaktivieren Sie neben Bucket-Besitzer (Ihre AWS-Konto) die folgenden ACL Berechtigungen oder wählen Sie eine aus:
-
Objekte – Auflisten oder Schreiben
-
Bucket ACL — Lesen oder Schreiben
Der Besitzer bezieht sich auf den Root-Benutzer des AWS-Kontos, nicht auf einen AWS Identity and Access Management IAM Benutzer. Weitere Informationen zum Root-Benutzer finden Sie unter The Root-Benutzer des AWS-Kontos im IAMBenutzerhandbuch.
-
-
Wenn Sie Berechtigungen für die allgemeine Öffentlichkeit (jeder im Internet) gewähren oder rückgängig machen möchten, deaktivieren Sie neben Jeder (öffentlicher Zugriff) die folgenden Berechtigungen oder wählen Sie eine der folgenden ACL Berechtigungen aus:
-
Objekte – Auflisten
-
Bucket ACL — Lesen
Warnung
Seien Sie vorsichtig, wenn Sie der Gruppe Everyone (Jeder) öffentlichen Zugriff auf Ihren S3-Bucket gewähren. Wenn Sie dieser Gruppe anonymen Zugriff gewähren, kann jeder auf der ganzen Welt auf Ihren Bucket zugreifen. Wir empfehlen dringend, nie einen öffentlichen Schreibzugriff auf Ihren S3-Bucket zu gewähren.
-
-
Um einer Person, die neben der Gruppe „Authentifizierte Benutzer“ eine AWS-Konto weitere Gruppe besitzt (jede Person mit einer AWS-Konto), Berechtigungen zu erteilen oder rückgängig zu machen, deaktivieren Sie die folgenden ACL Berechtigungen oder wählen Sie eine aus:
-
Objekte – Auflisten
-
Bucket ACL — Lesen
-
-
Um Amazon S3 Berechtigungen zum Schreiben von Serverzugriffsprotokollen in den Bucket zu gewähren oder rückgängig zu machen, deaktivieren Sie unter S3-Protokollbereitstellungsgruppe die folgenden ACL Berechtigungen oder wählen Sie eine aus:
-
Objekte – Auflisten oder Schreiben
-
Bucket ACL — Lesen oder Schreiben
Wenn ein Bucket als Ziel-Bucket für Zugriffsprotokolle eingerichtet ist, müssen die Bucket-Berechtigungen der Gruppe Log Delivery (Protokollbereitstellung) Schreibzugriff auf den Bucket erteilen. Wenn Sie die Server-Zugriffsprotokollierung für einen Bucket aktivieren, erteilt die Amazon-S3-Konsole der Gruppe Log Delivery (Protokollbereitstellung) Schreibzugriff auf den Ziel-Bucket, den Sie für den Empfang der Protokolle ausgewählt haben. Weitere Informationen zu Server-Zugriffsprotokollen finden Sie unter Aktivieren Sie die Amazon-S3-Server-Zugriffsprotokollierung.
-
-
Gehen Sie wie folgt vor AWS-Konto, um einer anderen Person Zugriff zu gewähren:
-
Wählen Sie Empfänger hinzufügen.
-
Geben Sie im Feld Empfänger die kanonische ID des anderen AWS-Konto ein.
-
Wählen Sie aus den folgenden ACL Berechtigungen aus:
-
Objekte – Auflisten oder Schreiben
-
Bucket ACL — Lesen oder Schreiben
-
Warnung
Wenn Sie anderen Personen AWS-Konten Zugriff auf Ihre Ressourcen gewähren, sollten Sie sich bewusst sein, dass diese ihre Berechtigungen an Benutzer unter ihren Konten delegieren AWS-Konten können. Man spricht auch von einem kontenübergreifenden Zugriff. Informationen zur Verwendung des kontoübergreifenden Zugriffs finden Sie im Benutzerhandbuch unter Erstellen einer Rolle zur Delegierung von Berechtigungen an einen IAM Benutzer. IAM
-
-
Um einem anderen Benutzer den Zugriff zu entziehen AWS-Konto, wählen Sie unter Zugriff für andere AWS-Konten die Option Entfernen aus.
-
Klicken Sie auf Save changes (Änderungen speichern), um die Änderungen zu speichern.
Die Konsole zeigt kombinierte Zugriffsberechtigungen für doppelte Berechtigungsempfänger an. Um die vollständige Liste von zu sehenACLs, verwenden Sie Amazon S3 RESTAPI, AWS CLI, oder AWS SDKs. Die folgende Tabelle zeigt die ACL Berechtigungen, die Sie für Objekte in der Amazon S3 S3-Konsole konfigurieren können.
Konsolenberechtigung | ACLErlaubnis | Zugriff |
---|---|---|
Objekt – Lesen | READ |
Gestattet dem Empfänger, die Objektedaten und seine Metadaten zu lesen. |
Objekt ACL — Lesen | READ_ACP |
Ermöglicht dem Empfänger, das Objekt ACL zu lesen. |
Objekt ACL — Schreiben | WRITE_ACP |
Ermöglicht dem Empfänger, das ACL für das entsprechende Objekt zu schreiben |
Weitere Hinweise zu ACL Berechtigungen finden Sie unterÜbersicht über die Zugriffskontrollliste (ACL).
Wichtig
Wenn Ihr Bucket die Einstellung „Vom Bucket-Eigentümer erzwungen“ für S3 Object Ownership verwendet, müssen Sie Richtlinien verwenden, um Zugriff auf Ihren Bucket und die darin enthaltenen Objekte zu gewähren. Wenn die Einstellung Bucket Owner erforced aktiviert ist, schlagen Anfragen zur Einrichtung von Zugriffskontrolllisten (ACLs) oder zur Aktualisierung ACLs fehl und geben den AccessControlListNotSupported
Fehlercode zurück. Leseanfragen ACLs werden weiterhin unterstützt.
Um ACL Berechtigungen für ein Objekt festzulegen
Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/
. -
Wählen Sie in der Liste Buckets den Namen des Buckets aus, der das Objekt enthält.
-
Wählen Sie in der Liste Objekte den Namen des Objekts aus, für das Sie Berechtigungen festlegen möchten.
-
Wählen Sie Permissions (Berechtigungen).
-
Wählen Sie unter Zugriffskontrollliste (ACL) die Option Bearbeiten aus.
Sie können die folgenden ACL Berechtigungen für das Objekt bearbeiten:
Object
-
Lesen – Gestattet dem Empfänger, die Objektedaten und seine Metadaten zu lesen.
Objekt ACL
-
Lesen — Ermöglicht dem Empfänger, das Objekt ACL zu lesen.
-
Schreiben — Ermöglicht dem Empfänger, das ACL für das entsprechende Objekt zu schreiben. In der S3-Konsole können Sie nur dem Bucket-Besitzer (Ihrem AWS-Konto) Schreibzugriff gewähren. Wir empfehlen dringend, anderen Empfängern keinen Schreibzugriff zu gewähren. Wenn Sie jedoch Schreibzugriff gewähren müssen, können Sie das AWS CLI AWS SDKs, oder das verwenden RESTAPI.
-
-
Sie können Zugriffsberechtigungen von Objekten für Folgendes verwalten:
-
Zugriff für den Besitzer des Objekts
Der Besitzer bezieht sich auf den Root-Benutzer des AWS-Kontos, und nicht auf einen AWS Identity and Access Management IAM Benutzer. Weitere Informationen zum Root-Benutzer finden Sie unter The Root-Benutzer des AWS-Kontos im IAMBenutzerhandbuch.
Um die Objektzugriffsberechtigungen des Besitzers zu ändern, wählen Sie unter Zugriff für Objekteigentümer die Option Ihr AWS Konto (Eigentümer) aus.
Aktivieren Sie die Kontrollkästchen für die Berechtigungen, die geändert werden sollen. Wählen Sie dann Save (Speichern) aus.
-
Zugriff für andere AWS-Konten
Um einem AWS Benutzer von einem anderen Benutzer Berechtigungen zu gewähren AWS-Konto, wählen Sie unter Zugriff für andere AWS-Konten die Option Konto hinzufügen aus. Geben Sie im Feld Geben Sie eine ID ein die kanonische ID des AWS Benutzers ein, dem Sie Objektberechtigungen erteilen möchten. Informationen zur Suche nach einer kanonischen ID finden Sie unter Ihre AWS-Konto Identifikatoren in der. Allgemeine Amazon Web Services-Referenz Sie können bis zu 99 Benutzer hinzufügen.
Aktivieren Sie die Kontrollkästchen für die Berechtigungen, die dem Benutzer gewährt werden sollen. Wählen Sie dann Save (Speichern) aus. Um Informationen über die Berechtigungen anzuzeigen, wählen Sie die Hilfesymbole aus.
-
Öffentlicher Zugriff
Um der allgemeinen Öffentlichkeit (jedem Benutzer auf der ganzen Welt) Zugriff auf Ihr Objekt zu gewähren, wählen Sie unter Public access (Öffentlicher Zugriff) Everyone (Jeder) aus. Die Erteilung öffentlicher Zugriffsberechtigungen bedeutet, dass jeder Benutzer auf der ganzen Welt auf das Objekt zugreifen kann.
Aktivieren Sie die Kontrollkästchen für die Berechtigungen, die erteilt werden sollen. Wählen Sie dann Save (Speichern) aus.
Warnung
-
Seien Sie vorsichtig, wenn Sie der Gruppe Everyone (Jeder) anonymen Zugriff auf Ihre Amazon-S3-Objekte gewähren. Wenn Sie dieser Gruppe Zugriff gewähren, kann jeder auf der ganzen Welt auf Ihr Objekt zugreifen. Wenn Sie jedem Zugriff gewähren müssen, wird nachdrücklich empfohlen, dass Sie nur Berechtigungen für Read objects (Objekte lesen) gewähren.
-
Wir empfehlen nachdrücklich, der Gruppe Everyone (Jeder) keine Schreibberechtigungen für Objekte zu erteilen. Auf diese Weise kann jeder die ACL Berechtigungen für das Objekt überschreiben.
-
-
Dieser Abschnitt enthält Beispiele für die Konfiguration von Zugriffskontrolllisten (ACL) für Buckets und Objekte.
Wichtig
Wenn Ihr Bucket die Einstellung „Vom Bucket-Eigentümer erzwungen“ für S3 Object Ownership verwendet, müssen Sie Richtlinien verwenden, um Zugriff auf Ihren Bucket und die darin enthaltenen Objekte zu gewähren. Wenn die Einstellung Bucket Owner erforced aktiviert ist, schlagen Anfragen zur Einrichtung von Zugriffskontrolllisten (ACLs) oder zur Aktualisierung ACLs fehl und geben den AccessControlListNotSupported
Fehlercode zurück. Leseanfragen ACLs werden weiterhin unterstützt.
Mit Amazon APIs S3 können Sie festlegen, ACL wann Sie einen Bucket oder ein Objekt erstellen. Amazon S3 bietet auch API die Möglichkeit, einen ACL auf einen vorhandenen Bucket oder ein Objekt zu setzen. Diese APIs bieten die folgenden Methoden zum Setzen einesACL:
-
ACLMithilfe von Anforderungsheadern festlegen— Wenn Sie eine Anfrage zum Erstellen einer Ressource (Bucket oder Objekt) senden, legen Sie eine ACL mithilfe der Anforderungsheader fest. Mit diesen Headern können Sie entweder einen festgelegten Wert angeben ACL oder Grants explizit angeben (wobei der Empfänger und die Berechtigungen explizit identifiziert werden).
-
ACLMithilfe des Anfragetextes festlegen — Wenn Sie eine Anfrage zum Einstellen eines für eine ACL vorhandene Ressource senden, können Sie dies ACL entweder im Anforderungsheader oder im Hauptteil der Anfrage festlegen.
Informationen zur REST API Unterstützung bei der Verwaltung ACLs finden Sie in den folgenden Abschnitten der Amazon Simple Storage Service API Reference:
Wichtig
Wenn Ihr Bucket die Einstellung „Vom Bucket-Besitzer erzwungen“ für S3 Object Ownership verwendet, müssen Sie Richtlinien für die Gewährung des Zugriffs auf Ihren Bucket und die enthaltenen Objekte verwenden. Wenn die Einstellung Bucket Owner erforced aktiviert ist, schlagen Anfragen zum Einrichten von Zugriffskontrolllisten (ACLs) oder zur Aktualisierung ACLs fehl und geben den AccessControlListNotSupported
Fehlercode zurück. Leseanfragen ACLs werden weiterhin unterstützt.
Spezifische Anforderungsheader für Access Control List (ACL)
Sie können Header verwenden, um auf Zugriffskontrolllisten (ACL) basierende Berechtigungen zu erteilen. Standardmäßig sind alle Objekte privat. Nur der Besitzer hat die vollständige Zugriffssteuerung. Wenn Sie ein neues Objekt hinzufügen, können Sie einzelnen AWS-Konten oder vordefinierten Gruppen, die von Amazon S3 definiert wurden, Berechtigungen gewähren. Diese Berechtigungen werden dann der Zugriffskontrollliste (ACL) für das Objekt hinzugefügt. Weitere Informationen finden Sie unter Übersicht über die Zugriffskontrollliste (ACL).
Mit dieser Operation können Sie Zugriffsberechtigungen mit einer der folgenden beiden Methoden erteilen:
-
Canned ACL (
x-amz-acl
) — Amazon S3 unterstützt eine Reihe von vordefiniertenACLs, sogenannten CannedACLs. Jeder Scan ACL hat einen vordefinierten Satz von Empfängern und Berechtigungen. Weitere Informationen finden Sie unter Eingemacht ACL. -
Zugriffsberechtigungen — Um bestimmten AWS-Konten Gruppen explizit Zugriffsberechtigungen zu gewähren, verwenden Sie die folgenden Header. Jeder Header ist bestimmten Berechtigungen zugeordnet, die Amazon S3 in einem unterstütztACL. Weitere Informationen finden Sie unter Übersicht über die Zugriffskontrollliste (ACL). Im Header geben Sie eine Liste der Empfänger an, die die jeweilige Berechtigung erhalten.
-
x-amz-grant-read
-
x-amz-grant-write
-
x-amz-grant-read-acp
-
x-amz-grant-write-acp
-
x-amz-grant-full-kontrollieren
-
Weitere Informationen zur Verwaltung ACLs mit dem AWS CLI finden Sie put-bucket-acl
Wichtig
Wenn Ihr Bucket die Einstellung „Vom Bucket-Eigentümer erzwungen“ für S3 Object Ownership verwendet, müssen Sie Richtlinien verwenden, um Zugriff auf Ihren Bucket und die darin enthaltenen Objekte zu gewähren. Wenn die Einstellung Bucket Owner erforced aktiviert ist, schlagen Anfragen zur Einrichtung von Zugriffskontrolllisten (ACLs) oder zur Aktualisierung ACLs fehl und geben den AccessControlListNotSupported
Fehlercode zurück. Leseanfragen ACLs werden weiterhin unterstützt.