Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS Identity and Access Management (IAM) für S3 Express One Zone
AWS Identity and Access Management (IAM) ist ein AWS-Service , mit dem Administratoren den Zugriff auf - AWS Ressourcen sicher steuern können. IAM-Administratoren steuern, wer authentifiziert (angemeldet) und autorisiert (im Besitz von Berechtigungen) ist, Amazon-S3-Ressourcen in S3 Express One Zone zu nutzen. Sie können IAM ohne zusätzliche Kosten nutzen.
Standardmäßig haben Benutzer keine Berechtigungen für Verzeichnis-Buckets und S3-Express-One-Zone-Vorgänge. Um Zugriffsberechtigungen für Verzeichnis-Buckets zu gewähren, können Sie IAM verwenden, um Benutzer, Gruppen oder Rollen zu erstellen und diesen Identitäten Berechtigungen zuzuweisen. Weitere Informationen finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.
Um Zugriff zu gewähren, können Sie Ihren Benutzern, Gruppen oder Rollen auf die folgenden Weisen Berechtigungen hinzufügen:
-
Benutzer und Gruppen in AWS IAM Identity Center – Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center -Benutzerhandbuch.
-
In IAM über einen Identitätsanbieter verwaltete Benutzer – Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anweisungen unter Erstellen einer Rolle für einen externen Identitätsanbieter (Verbund) im IAM-Benutzerhandbuch.
-
IAM-Rollen und -Benutzer – Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anweisungen in Erstellen einer Rolle, um Berechtigungen an einen IAM-Benutzer zu delegieren im IAM-Benutzerhandbuch.
Standardmäßig sind Verzeichnis-Buckets privat und sind nur für Benutzer zugänglich, denen explizit Zugriff gewährt wurde. Die Zugriffskontrollgrenze für Verzeichnis-Buckets wird nur auf Bucket-Ebene festgelegt. Im Gegensatz dazu kann die Zugriffskontrollgrenze für Allzweck-Buckets auf Bucket-, Präfix- oder Objekt-Tag-Ebene festgelegt werden. Dieser Unterschied bedeutet, dass Verzeichnis-Buckets die einzige Ressource sind, die Sie in Bucket-Richtlinien oder IAM-Identitätsrichtlinien für den Zugriff auf S3 Express One Zone aufnehmen können.
Mit S3 Express One Zone authentifizieren und autorisieren Sie Anforderungen zusätzlich zur IAM-Autorisierung über einen neuen sitzungsbasierten Mechanismus, der von der CreateSession-API-Operation abgewickelt wird. Sie können mit CreateSession temporäre Anmeldeinformationen anfordern, die den Zugriff auf Ihren Bucket mit geringer Latenz ermöglichen. Diese temporären Anmeldeinformationen sind auf einen bestimmten Verzeichnis-Bucket beschränkt.
Um mit zu arbeitenCreateSession, empfehlen wir, die neueste Version der - AWS SDKs oder die AWS Command Line Interface () zu verwenden AWS CLI. Die AWS SDKs-SDKs und die AWS CLI übernehmen die Einrichtung, Aktualisierung und Beendigung von Sitzungen in Ihrem Namen.
Sie verwenden Sitzungstoken nur für zonale Operationen (Objektebene) (außer CopyObject und HeadBucket), um die mit der Autorisierung verbundene Latenz auf eine Reihe von Anforderungen in einer Sitzung zu verteilen. Für API-Operationen auf regionalen Endpunkten (Operationen auf Bucket-Ebene) verwenden Sie die IAM-Autorisierung, bei der keine Sitzung verwaltet wird. Weitere Informationen finden Sie unter AWS Identity and Access Management (IAM) für S3 Express One Zone und CreateSession-Autorisierung.
Weitere Informationen zu IAM für S3 Express One Zone finden Sie in den folgenden Themen.
Themen
Auftraggeber
Wenn Sie eine ressourcenbasierte Richtlinie erstellen, um Zugriff auf Ihre Buckets zu gewähren, müssen Sie das Principal-Element verwenden, um die Person oder Anwendung anzugeben, die eine Anforderung für eine Aktion oder einen Vorgang auf dieser Ressource stellen kann. Für Verzeichnis-Bucket-Richtlinien können Sie die folgenden Prinzipale verwenden:
-
Ein - AWS Konto
-
Ein IAM-Benutzer
-
Eine IAM-Rolle
-
Ein Verbundbenutzer
Weitere Informationen finden Sie unter Principal im IAM-Benutzerhandbuch.
Ressourcen
Amazon-Ressourcennamen (ARNs) für Verzeichnis-Buckets enthalten den s3express Namespace, die AWS-Region, die AWS Konto-ID und den Namen des Verzeichnis-Buckets, der die Availability Zone-ID enthält. Wenn Sie auf Ihren Verzeichnis-Bucket zugreifen und Aktionen für diesen ausführen möchten, müssen Sie das folgende ARN-Format verwenden:
arn:aws:s3express:region:account-id:bucket/base-bucket-name--azid--x-s3
Weitere Informationen finden Sie unter Amazon Resource Names (ARNs) im IAM-Benutzerhandbuch. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Resource im IAM-Benutzerhandbuch.
Aktionen für S3 Express One Zone
In einer auf IAM-Identitäten oder auf Ressourcen basierenden Richtlinie legen Sie fest, welche S3--Aktionen zugelassen sind oder oder abgelehnt werden. S3-Express-One-Zone-Aktionen entsprechen bestimmten API-Vorgängen. S3 Express One Zone hat einen eindeutigen IAM-Namespace, der sich vom Standard-Namespace für Amazon S3 unterscheidet. Dieser Namespace ist s3express.
Wenn Sie die s3express:CreateSession-Berechtigung zulassen, ermöglicht dies dem CreateSession-API-Vorgang, Sitzungstoken abzurufen, wenn auf API-Operationen mit zonalen Endpunkten (oder auf Objektebene) zugegriffen wird. Diese Sitzungstoken geben Anmeldeinformationen zurück, die verwendet werden, um Zugriff auf alle anderen API-Operationen für zonale Endpunkte zu gewähren. Daher müssen Sie nicht mithilfe von IAM-Richtlinien Zugriffsberechtigungen für zonale API-Operationen gewähren. Stattdessen ermöglicht das Sitzungstoken den Zugriff.
Weitere Informationen über API-Operationen für zonale und regionale Endpunkte finden Sie unter Networking für S3 Express One Zone. Weitere Informationen zum CreateSession-API-Vorgang finden Sie unter CreateSession in der Amazon-Simple-Storage-Service-API-Referenz.
Sie können die folgenden Aktionen im Element Action einer IAM-Richtlinienanweisung angeben. Verwenden Sie Richtlinien, um Berechtigungen zum Ausführen einer Operation in AWS zu erteilen. Wenn Sie eine Aktion in einer Richtlinie verwenden, gestatten oder verweigern Sie in der Regel den Zugriff auf den API-Vorgang mit demselben Namen. Dabei kann es mitunter vorkommen, dass eine einzige Aktion den Zugriff auf mehr als eine API-Operation steuert. Der Zugriff auf Aktionen auf Bucket-Ebene kann nur über identitätsbasierte IAM-Richtlinien (Benutzer oder Rolle) und nicht über Bucket-Richtlinien gewährt werden.
Aktionen und Bedingungsschlüssel für S3 Express One Zone | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Aktion | API | Beschreibung | Zugriffsebene | Bedingungsschlüssel | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
CreateBucket |
Gewährt die Berechtigung zum Erstellen eines neuen Buckets. |
Schreiben |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
s3express:CreateSession |
CreateSession |
Gewährt die Berechtigung zum Erstellen eines Sitzungstokens, mit dem Zugriff auf alle zonalen API-Operationen (auf Objektebene) gewährt wird, z. B. |
Schreiben |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
s3express:DeleteBucket |
DeleteBucket |
Gewährt die Berechtigung zum Löschen des im URI genannten Buckets. |
Schreiben |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
s3express:DeleteBucketPolicy |
DeleteBucketPolicy |
Gewährt die Berechtigung zum Löschen der Richtlinie für einen angegebenen Bucket. |
Berechtigungsverwaltung |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
s3express:GetBucketPolicy |
GetBucketPolicy |
Gewährt die Berechtigung zum Zurückgeben der Richtlinie des angegebenen Buckets. |
Lesen |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
s3express:ListAllMyDirectoryBuckets |
ListDirectoryBuckets |
Gewährt die Berechtigung zum Auflisten aller Verzeichnis-Buckets, die dem authentifizierten Sender der Anforderung gehören. |
Auflisten |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
s3express:PutBucketPolicy |
PutBucketPolicy |
Gewährt die Berechtigung zum Hinzufügen oder Ersetzen einer Bucket-Richtlinie für einen Bucket. |
Berechtigungsverwaltung |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Bedingungsschlüssel für S3 Express One Zone
S3 Express One Zone definiert die folgenden Bedingungsschlüssel, die im Condition-Element einer IAM-Richtlinie verwendet werden können. Diese Schlüssel können Sie verwenden, um die Bedingungen zu verfeinern, unter denen die Richtlinienanweisung angewendet wird.
| Bedingungsschlüssel | Beschreibung | Typ |
|---|---|---|
s3express:authType |
Filtert den Zugriff nach Authentifizierungsmethode Um eingehende Anfragen auf die Verwendung einer bestimmten Authentifizierungsmethode zu beschränken, können Sie diesen optionalen Bedingungsschlüssel verwenden. Sie können diesen Bedingungsschlüssel zum Beispiel verwenden, um nur den HTTP- Zulässige Werte: |
String |
s3express:LocationName |
Filtert den Zugriff auf den Beispielwert: |
String |
s3express:ResourceAccount |
Filtert den Zugriff nach der AWS-Konto ID des Ressourcenbesitzers. Um den Benutzer-, Rollen- oder Anwendungszugriff auf die Verzeichnis-Buckets einzuschränken, die einer bestimmten AWS-Konto ID gehören, können Sie entweder den Beispielwert: |
String |
s3express:SessionMode |
Filtert den Zugriff nach der vom Zulässige Werte: |
String |
s3express:signatureAge |
Filtert den Zugriff nach dem Alter der Anforderungssignatur in Millisekunden. Diese Bedingung gilt nur für vorsignierte URLs. In AWS Signature Version 4 ist der Signaturschlüssel bis zu sieben Tage gültig. Daher sind die Signaturen auch bis zu sieben Tage lang gültig. Weitere Informationen finden Sie unter Einführung in das Signieren von Anfragen in der Amazon Simple Storage Service API-Referenz. Sie können diese Bedingung verwenden, um das Alter der Unterschrift weiter einzuschränken. Beispielwert: |
Numerischer Wert |
s3express:signatureversion |
Identifiziert die Version von AWS Signature, die Sie für authentifizierte Anforderungen unterstützen möchten. Für authentifizierte Anfragen unterstützt S3 Express One Zone Signature Version 4. Gültiger Wert: |
String |
s3express:TlsVersion |
Filtert den Zugriff nach der TLS-Version, die vom Client verwendet wird Sie können den - Beispielwert: |
Numerischer Wert |
s3express:x-amz-content-sha256 |
Filtert den Zugriff auf nicht signierte Inhalte in Ihrem Bucket. Sie können diesen Bedingungsschlüssel verwenden, um nicht signierte Inhalte in Ihrem Bucket zu verbieten. Wenn Sie Signature Version 4 verwenden, fügen Sie bei Anfragen, die den Sie können diesen Bedingungsschlüssel in Ihrer Bucket-Richtlinie verwenden, um alle Uploads zu verweigern, deren Nutzlasten nicht signiert sind. Beispielsweise:
Günstiger Wert: |
String |
Wie API-Vorgänge autorisiert und authentifiziert werden
In der folgenden Tabelle sind Autorisierungs- und Authentifizierungsinformationen für S3-Express-One-Zone-API-Operationen aufgeführt werden. Für jeden API-Vorgang enthält die Tabelle den Namen der API-Operation, die IAM-Aktion, den Endpunkttyp (Regional oder Zonal) und den Autorisierungsmechanismus (IAM oder sitzungsbasiert). In dieser Tabelle wird auch angegeben, wo der kontoübergreifende Zugriff unterstützt wird. Der Zugriff auf Aktionen auf Bucket-Ebene kann nur über identitätsbasierte IAM-Richtlinien (Benutzer oder Rolle) und nicht über Bucket-Richtlinien gewährt werden.
| API | Endpunkttyp | IAM-Aktion | Kontoübergreifender Zugriff |
|---|---|---|---|
CreateBucket |
Regional | s3express:CreateBucket |
Nein |
DeleteBucket |
Regional | s3express:DeleteBucket |
Nein |
ListDirectoryBuckets |
Regional | s3express:ListAllMyDirectoryBuckets |
Nein |
PutBucketPolicy |
Regional | s3express:PutBucketPolicy |
Nein |
GetBucketPolicy |
Regional | s3express:GetBucketPolicy |
Nein |
DeleteBucketPolicy |
Regional | s3express:DeleteBucketPolicy |
Nein |
CreateSession |
Zonal | s3express:CreateSession |
Ja |
CopyObject |
Zonal | s3express:CreateSession |
Ja |
DeleteObject |
Zonal | s3express:CreateSession |
Ja |
DeleteObjects |
Zonal | s3express:CreateSession |
Ja |
HeadObject |
Zonal | s3express:CreateSession |
Ja |
PutObject |
Zonal | s3express:CreateSession |
Ja |
GetObjectAttributes |
Zonal | s3express:CreateSession |
Ja |
ListObjectsV2 |
Zonal | s3express:CreateSession |
Ja |
HeadBucket |
Zonal | s3express:CreateSession |
Ja |
CreateMultipartUpload |
Zonal | s3express:CreateSession |
Ja |
UploadPart |
Zonal | s3express:CreateSession |
Ja |
UploadPartCopy |
Zonal | s3express:CreateSession |
Ja |
CompleteMultipartUpload |
Zonal | s3express:CreateSession |
Ja |
AbortMultipartUpload |
Zonal | s3express:CreateSession |
Ja |
ListParts |
Zonal | s3express:CreateSession |
Ja |
ListMultipartUploads |
Zonal | s3express:CreateSession |
Ja |
