Einstellung für Object Ownership für einen vorhandenen Bucket - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einstellung für Object Ownership für einen vorhandenen Bucket

Sie können S3 Object Ownership für einen vorhandenen S3-Bucket konfigurieren. Zum Anwenden von Objekt-Ownership beim Erstellen eines Buckets finden Sie unter Festlegen von Object Ownership beim Erstellen eines Buckets.

S3 Object Ownership ist eine Einstellung auf Amazon-S3-Bucket-Ebene, mit der Sie Zugriffskontrolllisten (ACLs) deaktivieren und das Eigentum an jedem Objekt in Ihrem Bucket übernehmen können, wodurch die Zugriffsverwaltung für in Amazon S3 gespeicherte Daten vereinfacht wird. Standardmäßig ist S3 Object Ownership auf die Einstellung „Von Bucket-Besitzer erzwungen“ festgelegt und ACLs sind für neue Buckets deaktiviert. Wenn ACLs deaktiviert sind, besitzt der Bucket-Eigentümer jedes Objekt im Bucket und verwaltet den Datenzugriff ausschließlich mithilfe von Zugriffsverwaltungsrichtlinien. Wir empfehlen Ihnen daher, ACLs zu deaktivieren, außer unter ungewöhnlichen Umständen, in denen Sie den Zugriff für jedes Objekt einzeln steuern müssen.

Object Ownership verfügt über drei Einstellungen, mit denen Sie die Eigentümerschaft von Objekten, die in Ihren Bucket hochgeladen werden, steuern und ACLs deaktivieren oder aktivieren können:

Deaktivierte ACLs

  • Bucket-Eigentümer erzwungen (Standard) – ACLs sind deaktiviert und der Bucket-Eigentümer besitzt automatisch jedes Objekt im Bucket und hat die volle Kontrolle darüber. ACLs haben keine Auswirkungen mehr auf Berechtigungen für Daten im S3-Bucket. Der Bucket verwendet Richtlinien, um die Zugriffssteuerung zu definieren.

Aktivierte ACLs

  • Bucket-Eigentümer bevorzugt – Der Bucket-Eigentümer besitzt und hat die volle Kontrolle über neue Objekte, die andere Konten mit der bucket-owner-full-control-vordefinierten ACL.

  • Objekt-Writer — AWS-Konto Derjenige, der ein Objekt hochlädt, besitzt das Objekt, hat die volle Kontrolle darüber und kann anderen Benutzern über ACLs Zugriff darauf gewähren.

Voraussetzungen: Bevor Sie die Einstellung „Bucket-Eigentümer erzwungen“ anwenden, um ACLs zu deaktivieren, müssen Sie Bucket-ACL-Berechtigungen zu Bucket-Richtlinien migrieren und Ihre Bucket-ACLs auf die standardmäßige private ACL zurücksetzen. Wir empfehlen außerdem, Objekt-ACL-Berechtigungen zu Bucket-Richtlinien zu migrieren und Bucket-Richtlinien zu bearbeiten, die andere ACLs als ACLs mit Vollzugriff des Bucket-Eigentümers erfordern. Weitere Informationen finden Sie unter Voraussetzungen für die Deaktivierung von ACLs.

Berechtigungen: Um diesen Vorgang zu verwenden, müssen Sie die s3:PutBucketOwnershipControls-Berechtigung haben. Weitere Informationen zu Amazon S3-Berechtigungen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3 in der Service Authorization Reference.

  1. Melden Sie sich bei der Amazon S3 S3-Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie in der Liste Buckets den Namen des Buckets aus, auf den Sie eine Einstellung für S3 Object Ownership anwenden möchten.

  3. Wählen Sie die Registerkarte Berechtigungen.

  4. Wählen Sie unter Object Ownership die Option Edit (Bearbeiten).

  5. Wählen Sie unter Object Ownership eine der folgenden Einstellungen aus, um ACLs zu deaktivieren oder zu aktivieren und den Besitz von Objekten zu steuern, die in Ihren Bucket hochgeladen wurden:

    Deaktivierte ACLs

    • Bucket-Eigentümer erzwungen – ACLs sind deaktiviert, und der Bucket-Eigentümer besitzt automatisch und hat die volle Kontrolle über jedes Objekt im Bucket. ACLs haben keine Auswirkungen mehr auf Berechtigungen für Daten im S3-Bucket. Der Bucket verwendet Richtlinien, um die Zugriffssteuerung zu definieren.

      Informationen dazu, dass alle neuen Buckets mit deaktivierten ACLs mithilfe von IAM oder AWS Organizations Richtlinien erstellt werden müssen, finden Sie unter. Deaktivieren von ACLs für alle neuen Buckets (Bucket-Eigentümer erzwungen)

    Aktivierte ACLs

    • Bucket-Eigentümer bevorzugt – Der Bucket-Eigentümer besitzt und hat die volle Kontrolle über neue Objekte, die andere Konten mit der bucket-owner-full-control-vordefinierten ACL.

      Wenn Sie die Einstellung Bevorzugter Bucket-Eigentümer anwenden, damit alle Amazon-S3-Uploads die von bucket-owner-full-control vordefinierte ACL enthalten, können Sie eine Bucket-Richtlinie hinzufügen, die nur Objekt-Uploads zulässt, die diese ACL verwenden.

    • Objekt-Writer — AWS-Konto Derjenige, der ein Objekt hochlädt, besitzt das Objekt, hat die volle Kontrolle darüber und kann anderen Benutzern über ACLs Zugriff darauf gewähren.

  6. Wählen Sie Speichern.

Um eine Einstellungen für Object Ownership für einen vorhandenen Bucket anzuwenden, verwenden Sie den put-bucket-ownership-controls-Befehl mit dem --ownership-controls-Parameter. Gültige Werte für die Eigentümerschaft sind BucketOwnerEnforced, BucketOwnerPreferred oder ObjectWriter.

In diesem Beispiel wird die Einstellung „Bucket-Eigentümer erzwungen“ für einen vorhandenen Bucket mithilfe der AWS CLI angewendet:

aws s3api put-bucket-ownership-controls --bucket DOC-EXAMPLE-BUCKET --ownership-controls="Rules=[{ObjectOwnership=BucketOwnerEnforced}]"

Informationen zu put-bucket-ownership-controls finden Sie unter put-bucket-ownership-controls im AWS Command Line Interface -Benutzerhandbuch.

In diesem Beispiel gilt die BucketOwnerEnforced-Einstellung für Object Ownership für einen vorhandenen Bucket mit AWS SDK for Java:

         // Build the ObjectOwnership for BucketOwnerEnforced
         OwnershipControlsRule rule = OwnershipControlsRule.builder()
                .objectOwnership(ObjectOwnership.BucketOwnerEnforced)
                .build();

         OwnershipControls ownershipControls = OwnershipControls.builder()
                   .rules(rule)
                   .build()

          // Build the PutBucketOwnershipControlsRequest
          PutBucketOwnershipControlsRequest putBucketOwnershipControlsRequest =
                PutBucketOwnershipControlsRequest.builder()
                        .bucket(BUCKET_NAME)
                        .ownershipControls(ownershipControls)
                        .build();
                        
          // Send the request to Amazon S3 
          s3client.putBucketOwnershipControls(putBucketOwnershipControlsRequest);

Informationen AWS CloudFormation zum Anwenden einer Objekteigentümer-Einstellung für einen vorhandenen Bucket finden Sie AWS::S3::Bucket OwnershipControlsim AWS CloudFormation Benutzerhandbuch.

Um die REST-API zum Anwenden einer Object-Ownership-Einstellung auf einen vorhandenen S3-Bucket zu verwenden, verwenden Sie PutBucketOwnershipControls. Weitere Informationen finden Sie unter PutBucketOwnershipControls in der API-Referenz zu Amazon Simple Storage Service.

Nächste Schritte: Nach der Anwendung der Einstellungen „Von Bucket-Besitzer erzwungen“ oder „Von Bucket-Besitzer bevorzugt“ auf den Objektbesitz können Sie die folgenden Schritte ausführen:

  • Bucket-Eigentümer erzwungen – Erfordert, dass alle neuen Buckets mit deaktivierten ACLs erstellt werden, indem eine IAM- oder Organisationsrichtlinie verwendet wird.

  • Bucket-Eigentümer bevorzugt- Fügen Sie eine S3-Bucket-Richtlinie hinzu, um die bucket-owner-full-control vordefinierte ACL für alle Objekt-Uploads in Ihren Bucket anzufordern.