Identity and Access Management in Amazon S3 - Amazon Simple Storage Service

Identity and Access Management in Amazon S3

Standardmäßig sind alle Amazon-S3-Ressourcen – Buckets, Objekte und zugehörige Unterressourcen (z. B. lifecycle Konfiguration und website Konfiguration) – privat. Nur der Ressourcen-Besitzer, das AWS-Konto, das die Ressource erstellt hat, kann auf die Ressource zugreifen. Der Ressourcenbesitzer kann anderen optional Zugriffsberechtigungen gewähren, indem er eine Zugriffsrichtlinie schreibt.

Amazon S3 unterstützt Optionen für Zugriffsrichtlinien, die ganz allgemein als ressourcenbasierte Richtlinien und Benutzerrichtlinien unterteilt werden können. Zugriffsrichtlinien, die Sie Ihren Ressourcen hinzufügen (Buckets und Ordnern) werden als ressourcenbasierte Richtlinien bezeichnet. Beispielsweise sind Bucket-Richtlinien und Zugriffspunkt-Richtlinien ressourcenbasierte Richtlinien. Sie können auch Benutzern in Ihrem Konto Richtlinien hinzufügen. Diese werden als Benutzerrichtlinien bezeichnet. Sie können ressourcenbasierte Richtlinien, Benutzerrichtlinien oder eine Kombination daraus verwenden, um Ihre Berechtigungen für Ihre Amazon-S3-Ressourcen zu verwalten. Sie können auch Zugriffskontrolllisten (ACLs) verwenden, um anderen AWS-Konten grundlegende Lese- und Schreibberechtigungen zu erteilen.

Wenn ein anderes AWS-Konto ein Objekt in Ihren S3-Bucket hochlädt, besitzt dieses Konto (der Objektschreiber) standardmäßig das Objekt, hat Zugriff darauf und kann anderen Benutzern über ACLs Zugriff darauf gewähren. Sie können Object Ownership verwenden, um dieses Standardverhalten so zu ändern, dass ACLs deaktiviert sind und Sie als Bucket-Eigentümer automatisch jedes Objekt in Ihrem Bucket besitzen. Daher basiert die Zugriffskontrolle für Ihre Daten auf Richtlinien wie IAM-Richtlinien, S3-Bucket-Richtlinien, Endpunktrichtlinien für Virtual Private Cloud (VPC) und AWS Organizations Service-Kontrollrichtlinien (SCPs).

Die meisten modernen Anwendungsfälle in Amazon S3 erfordern keine ACLs mehr, und wir empfehlen Ihnen, ACLs zu deaktivieren, außer unter ungewöhnlichen Umständen, in denen Sie den Zugriff für jedes Objekt einzeln steuern müssen. Mit Object Ownership können Sie ACLs deaktivieren und sich auf Richtlinien für die Zugriffssteuerung verlassen. Wenn Sie ACLs deaktivieren, können Sie einfach einen Bucket mit Objekten verwalten, die von verschiedenen AWS-Konten hochgeladen wurden. Sie als Bucket-Eigentümer besitzen alle Objekte im Bucket und können den Zugriff darauf mithilfe von Richtlinien verwalten. Weitere Informationen finden Sie unter Weitere Informationen finden Sie unter Steuern des Eigentums an Objekten und Deaktivieren von ACLs für Ihren Bucket..

Weitere Informationen zur Verwaltung des Zugriffs auf Ihre Amazon-S3-Objekte und -Buckets finden Sie in den folgenden Themen.

Themen