Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS Identity and Access Management (IAM) für S3 Express One Zone
AWS Identity and Access Management (IAM) ist ein AWS-Service das hilft Administratoren, den Zugriff auf sicher zu kontrollieren AWS Ressourcen schätzen. IAMAdministratoren kontrollieren, wer authentifiziert (angemeldet) und autorisiert werden kann (über Berechtigungen verfügt), um Amazon S3 S3-Ressourcen in S3 Express One Zone zu verwenden. Sie können es ohne IAM zusätzliche Kosten nutzen.
Standardmäßig haben Benutzer keine Berechtigungen für Verzeichnis-Buckets und S3-Express-One-Zone-Vorgänge. Um Zugriffsberechtigungen für Verzeichnis-Buckets IAM zu gewähren, können Sie Benutzer, Gruppen oder Rollen erstellen und diesen Identitäten Berechtigungen zuweisen. Weitere Informationen IAM dazu finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch.
Um Zugriff zu gewähren, können Sie Ihren Benutzern, Gruppen oder Rollen auf die folgenden Weisen Berechtigungen hinzufügen:
-
Benutzer und Gruppen in AWS IAM Identity Center— Erstellen Sie einen Berechtigungssatz. Folgen Sie den Anweisungen unter Einen Berechtigungssatz erstellen im AWS IAM Identity Center Benutzerleitfaden.
-
Benutzer, IAM die über einen Identitätsanbieter verwaltet werden — Erstellen Sie eine Rolle für den Identitätsverbund. Folgen Sie den Anweisungen unter Erstellen einer Rolle für einen externen Identitätsanbieter (Federation) im IAMBenutzerhandbuch.
-
IAMRollen und Benutzer — Erstellen Sie eine Rolle, die Ihr Benutzer übernehmen kann. Folgen Sie den Anweisungen unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM Benutzer im IAMBenutzerhandbuch.
Standardmäßig sind Verzeichnis-Buckets privat und sind nur für Benutzer zugänglich, denen explizit Zugriff gewährt wurde. Die Zugriffskontrollgrenze für Verzeichnis-Buckets wird nur auf Bucket-Ebene festgelegt. Im Gegensatz dazu kann die Zugriffskontrollgrenze für Allzweck-Buckets auf Bucket-, Präfix- oder Objekt-Tag-Ebene festgelegt werden. Dieser Unterschied bedeutet, dass Verzeichnis-Buckets die einzige Ressource sind, die Sie in Bucket-Richtlinien oder IAM Identitätsrichtlinien für den Zugriff auf S3 Express One Zone aufnehmen können.
Mit S3 Express One Zone authentifizieren und autorisieren Sie Anfragen zusätzlich zur IAM Autorisierung über einen neuen sitzungsbasierten Mechanismus, der vom Vorgang abgewickelt wird. CreateSession
API Sie können mit CreateSession
temporäre Anmeldeinformationen anfordern, die den Zugriff auf Ihren Bucket mit geringer Latenz ermöglichen. Diese temporären Anmeldeinformationen sind auf einen bestimmten Verzeichnis-Bucket beschränkt.
Um damit arbeiten zu könnenCreateSession
, empfehlen wir die Verwendung der neuesten Version von AWS SDKsoder mit dem AWS Command Line Interface (AWS CLI). Die unterstützten AWS SDKsund die AWS CLI kümmert sich in Ihrem Namen um die Einrichtung, Aktualisierung und Beendigung der Sitzung.
Sie verwenden Sitzungstoken nur für zonale Operationen (Objektebene) (außer CopyObject
und HeadBucket
), um die mit der Autorisierung verbundene Latenz auf eine Reihe von Anforderungen in einer Sitzung zu verteilen. Für regionale API Endpunktoperationen (Operationen auf Bucket-Ebene) verwenden Sie die IAM Autorisierung, was nicht die Verwaltung einer Sitzung beinhaltet. Weitere Informationen erhalten Sie unter AWS Identity and Access Management (IAM) für S3 Express One Zone und CreateSession-Autorisierung.
Weitere Informationen zu IAM S3 Express One Zone finden Sie in den folgenden Themen.
Themen
Auftraggeber
Wenn Sie eine ressourcenbasierte Richtlinie erstellen, um Zugriff auf Ihre Buckets zu gewähren, müssen Sie das Principal
-Element verwenden, um die Person oder Anwendung anzugeben, die eine Anforderung für eine Aktion oder einen Vorgang auf dieser Ressource stellen kann. Für Verzeichnis-Bucket-Richtlinien können Sie die folgenden Prinzipale verwenden:
-
Importieren in &S3; AWS Konto
-
Ein IAM Benutzer
-
Eine IAM Rolle
-
Ein Verbundbenutzer
Weitere Informationen finden Sie unter Principal im IAM-Benutzerhandbuch.
Ressourcen
Amazon Resource Names (ARNs) für Verzeichnis-Buckets enthalten den s3express
Namespace, AWS-Region, der AWS Konto-ID und den Namen des Verzeichnis-Buckets, der die Availability Zone-ID enthält. Um auf Ihren Directory-Bucket zuzugreifen und Aktionen in Ihrem Directory-Bucket auszuführen, müssen Sie das folgende ARN Format verwenden:
arn:aws:s3express:
region
:account-id
:bucket/base-bucket-name
--azid
--x-s3
Weitere Informationen zu finden ARNs Sie unter Amazon Resource Names (ARNs) im IAM-Benutzerhandbuch. Weitere Informationen zu Ressourcen finden Sie unter IAM JSON Richtlinienelemente: Resource im IAM-Benutzerhandbuch.
Aktionen für S3 Express One Zone
In einer IAM identitäts- oder ressourcenbasierten Richtlinie definieren Sie, welche S3-Aktionen zulässig oder verweigert werden. S3 Express One Zone-Aktionen entsprechen bestimmten Vorgängen. API S3 Express One Zone hat einen eindeutigen IAM Namespace, der sich vom Standard-Namespace für Amazon S3 unterscheidet. Dieser Namespace ist s3express
.
Wenn Sie die s3express:CreateSession
Erlaubnis erteilen, ermöglicht dies dem CreateSession
API Vorgang, Sitzungstoken abzurufen, wenn auf Operationen auf zonaler Endpunkt- API (oder Objektebene) zugegriffen wird. Diese Sitzungstoken geben Anmeldeinformationen zurück, die verwendet werden, um Zugriff auf alle anderen zonalen API Endpunktoperationen zu gewähren. Daher müssen Sie keine Zugriffsberechtigungen für zonale API Operationen mithilfe IAM von Richtlinien gewähren. Stattdessen ermöglicht das Sitzungstoken den Zugriff.
Weitere Informationen zu zonalen und regionalen API Endpunktoperationen finden Sie unter. Networking für S3 Express One Zone Weitere Informationen zu diesem CreateSession
API Vorgang finden Sie unter CreateSessionin der Amazon Simple Storage Service API Reference.
Sie können die folgenden Aktionen im Action
Element einer IAM Grundsatzerklärung angeben. Verwenden Sie Richtlinien, um Berechtigungen zur Ausführung eines Vorgangs zu erteilen in AWS. Wenn Sie eine Aktion in einer Richtlinie verwenden, gewähren oder verweigern Sie in der Regel den Zugriff auf den API Vorgang mit demselben Namen. In einigen Fällen steuert jedoch eine einzelne Aktion den Zugriff auf mehr als einen API Vorgang. Der Zugriff auf Aktionen auf Bucket-Ebene kann nur über IAM identitätsbasierte Richtlinien (Benutzer oder Rolle) und nicht über Bucket-Richtlinien gewährt werden.
Aktionen und Bedingungsschlüssel für S3 Express One Zone | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Aktion | API | Beschreibung | Zugriffsebene | Bedingungsschlüssel | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
s3express:CreateBucket
|
CreateBucket |
Gewährt die Berechtigung zum Erstellen eines neuen Buckets. |
Schreiben |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
s3express:CreateSession |
CreateSession |
Erteilt die Berechtigung zum Erstellen eines Sitzungstokens, mit dem Zugriff auf alle zonalen API Operationen (auf Objektebene) gewährt wird, z. B., usw. |
Schreiben |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
s3express:DeleteBucket |
DeleteBucket |
Erteilt die Berechtigung zum Löschen des Buckets mit dem Namen. URI |
Schreiben |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
s3express:DeleteBucketPolicy |
DeleteBucketPolicy |
Gewährt die Berechtigung zum Löschen der Richtlinie für einen angegebenen Bucket. |
Berechtigungsverwaltung |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
s3express:GetBucketPolicy |
GetBucketPolicy |
Gewährt die Berechtigung zum Zurückgeben der Richtlinie des angegebenen Buckets. |
Lesen |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
s3express:GetEncryptionConfiguration |
GetBucketEncryption |
Erteilt die Berechtigung, die Standardverschlüsselungskonfiguration eines Verzeichnis-Buckets zurückzugeben. |
Lesen |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
s3express:ListAllMyDirectoryBuckets |
ListDirectoryBuckets |
Gewährt die Berechtigung zum Auflisten aller Verzeichnis-Buckets, die dem authentifizierten Sender der Anforderung gehören. |
Auflisten |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
s3express:PutBucketPolicy |
PutBucketPolicy |
Gewährt die Berechtigung zum Hinzufügen oder Ersetzen einer Bucket-Richtlinie für einen Bucket. |
Berechtigungsverwaltung |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
s3express:PutBucketPolicy |
PutBucketPolicy |
Gewährt die Berechtigung zum Hinzufügen oder Ersetzen einer Bucket-Richtlinie für einen Bucket. |
Berechtigungsverwaltung |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
s3express:PutEncryptionConfiguration |
PutBucketEncryption oder DeleteBucketEncryption |
Erteilt die Berechtigung, die Verschlüsselungskonfiguration für einen Verzeichnis-Bucket festzulegen |
Schreiben |
|
Bedingungsschlüssel für S3 Express One Zone
S3 Express One Zone definiert die folgenden Bedingungsschlüssel, die im Condition
Element einer IAM Richtlinie verwendet werden können. Diese Schlüssel können Sie verwenden, um die Bedingungen zu verfeinern, unter denen die Richtlinienanweisung angewendet wird.
Bedingungsschlüssel | Beschreibung | Typ |
---|---|---|
s3express:authType |
Filtert den Zugriff nach Authentifizierungsmethode Um eingehende Anfragen auf die Verwendung einer bestimmten Authentifizierungsmethode zu beschränken, können Sie diesen optionalen Bedingungsschlüssel verwenden. Sie können diesen Bedingungsschlüssel beispielsweise verwenden, um zuzulassen, dass nur der HTTP Zulässige Werte: |
String |
s3express:LocationName |
Filtert den Zugriff auf den Beispielwert: |
String |
s3express:ResourceAccount |
Filtert den Zugriff nach dem Zugriff des Ressourcenbesitzers AWS-Konto ID. Um den Benutzer-, Rollen- oder Anwendungszugriff auf die Verzeichnis-Buckets einzuschränken, die einer bestimmten Person gehören AWS-Konto ID, Sie können entweder den Bedingungsschlüssel Beispielwert: |
String |
s3express:SessionMode |
Filtert den Zugriff nach der vom Zulässige Werte: |
String |
s3express:signatureAge |
Filtert den Zugriff nach dem Alter der Anforderungssignatur in Millisekunden. Diese Bedingung gilt nur für vorsignierte Personen URLs. In AWS Signaturversion 4, der Signaturschlüssel ist bis zu sieben Tage gültig. Daher sind die Signaturen auch bis zu sieben Tage lang gültig. Weitere Informationen finden Sie unter Einführung in das Signieren von Anfragen in der Amazon Simple Storage API Service-Referenz. Sie können diese Bedingung verwenden, um das Alter der Unterschrift weiter einzuschränken. Beispielwert: |
Numerischer Wert |
s3express:signatureversion |
Identifiziert die Version von AWS Signatur, die Sie für authentifizierte Anfragen unterstützen möchten. Für authentifizierte Anfragen unterstützt S3 Express One Zone Signature Version 4. Gültiger Wert: |
String |
s3express:TlsVersion |
Filtert den Zugriff nach der TLS Version, die vom Client verwendet wird. Sie können den Beispielwert: |
Numerischer Wert |
s3express:x-amz-content-sha256 |
Filtert den Zugriff auf nicht signierte Inhalte in Ihrem Bucket. Sie können diesen Bedingungsschlüssel verwenden, um nicht signierte Inhalte in Ihrem Bucket zu verbieten. Wenn Sie Signature Version 4 verwenden, fügen Sie bei Anfragen, die den Sie können diesen Bedingungsschlüssel in Ihrer Bucket-Richtlinie verwenden, um alle Uploads zu verweigern, deren Nutzlasten nicht signiert sind. Beispielsweise:
Günstiger Wert: |
String |
s3express:x-amz-server-side-encryption |
Filtert den Zugriff nach serverseitiger Verschlüsselung Zulässige Werte: |
String |
s3express:x-amz-server-side-encryption-aws-kms-key-id |
Filtert den Zugriff nach AWS KMS vom Kunden verwalteter Schlüssel für serverseitige Verschlüsselung Beispielwert: |
ARN |
Wie werden API Operationen autorisiert und authentifiziert
In der folgenden Tabelle sind Autorisierungs- und Authentifizierungsinformationen für S3 Express One API Zone-Operationen aufgeführt. Die Tabelle zeigt für jeden API Vorgang den Namen, die API IAM Aktion, den Endpunkttyp (regional oder zonal) und den Autorisierungsmechanismus (IAModer sitzungsbasiert). In dieser Tabelle wird auch angegeben, wo der kontoübergreifende Zugriff unterstützt wird. Der Zugriff auf Aktionen auf Bucket-Ebene kann nur über IAM identitätsbasierte Richtlinien (Benutzer oder Rolle) gewährt werden, nicht über Bucket-Richtlinien.
API | Endpunkttyp | IAMAktion | Kontoübergreifender Zugriff |
---|---|---|---|
CreateBucket |
Regional | s3express:CreateBucket |
Nein |
DeleteBucket |
Regional | s3express:DeleteBucket |
Nein |
ListDirectoryBuckets |
Regional | s3express:ListAllMyDirectoryBuckets |
Nein |
PutBucketPolicy |
Regional | s3express:PutBucketPolicy |
Nein |
GetBucketPolicy |
Regional | s3express:GetBucketPolicy |
Nein |
DeleteBucketPolicy |
Regional | s3express:DeleteBucketPolicy |
Nein |
PutBucketEncryption |
Regional | s3express:PutEncryptionConfiguration |
Nein |
GetBucketEncryption |
Regional | s3express:GetEncryptionConfiguration |
Nein |
DeleteBucketEncryption |
Regional | s3express:PutEncryptionConfiguration |
Nein |
CreateSession |
Zonal | s3express:CreateSession |
Ja |
CopyObject |
Zonal | s3express:CreateSession |
Ja |
DeleteObject |
Zonal | s3express:CreateSession |
Ja |
DeleteObjects |
Zonal | s3express:CreateSession |
Ja |
HeadObject |
Zonal | s3express:CreateSession |
Ja |
PutObject |
Zonal | s3express:CreateSession |
Ja |
GetObjectAttributes |
Zonal | s3express:CreateSession |
Ja |
ListObjectsV2 |
Zonal | s3express:CreateSession |
Ja |
HeadBucket |
Zonal | s3express:CreateSession |
Ja |
CreateMultipartUpload |
Zonal | s3express:CreateSession |
Ja |
UploadPart |
Zonal | s3express:CreateSession |
Ja |
UploadPartCopy |
Zonal | s3express:CreateSession |
Ja |
CompleteMultipartUpload |
Zonal | s3express:CreateSession |
Ja |
AbortMultipartUpload |
Zonal | s3express:CreateSession |
Ja |
ListParts |
Zonal | s3express:CreateSession |
Ja |
ListMultipartUploads |
Zonal | s3express:CreateSession |
Ja |