AWS Identity and Access Management (IAM) für S3 Express One Zone - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Identity and Access Management (IAM) für S3 Express One Zone

AWS Identity and Access Management (IAM) ist ein AWS-Service das hilft Administratoren, den Zugriff auf sicher zu kontrollieren AWS Ressourcen schätzen. IAMAdministratoren kontrollieren, wer authentifiziert (angemeldet) und autorisiert werden kann (über Berechtigungen verfügt), um Amazon S3 S3-Ressourcen in S3 Express One Zone zu verwenden. Sie können es ohne IAM zusätzliche Kosten nutzen.

Standardmäßig haben Benutzer keine Berechtigungen für Verzeichnis-Buckets und S3-Express-One-Zone-Vorgänge. Um Zugriffsberechtigungen für Verzeichnis-Buckets IAM zu gewähren, können Sie Benutzer, Gruppen oder Rollen erstellen und diesen Identitäten Berechtigungen zuweisen. Weitere Informationen IAM dazu finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch.

Um Zugriff zu gewähren, können Sie Ihren Benutzern, Gruppen oder Rollen auf die folgenden Weisen Berechtigungen hinzufügen:

Standardmäßig sind Verzeichnis-Buckets privat und sind nur für Benutzer zugänglich, denen explizit Zugriff gewährt wurde. Die Zugriffskontrollgrenze für Verzeichnis-Buckets wird nur auf Bucket-Ebene festgelegt. Im Gegensatz dazu kann die Zugriffskontrollgrenze für Allzweck-Buckets auf Bucket-, Präfix- oder Objekt-Tag-Ebene festgelegt werden. Dieser Unterschied bedeutet, dass Verzeichnis-Buckets die einzige Ressource sind, die Sie in Bucket-Richtlinien oder IAM Identitätsrichtlinien für den Zugriff auf S3 Express One Zone aufnehmen können.

Mit S3 Express One Zone authentifizieren und autorisieren Sie Anfragen zusätzlich zur IAM Autorisierung über einen neuen sitzungsbasierten Mechanismus, der vom Vorgang abgewickelt wird. CreateSession API Sie können mit CreateSession temporäre Anmeldeinformationen anfordern, die den Zugriff auf Ihren Bucket mit geringer Latenz ermöglichen. Diese temporären Anmeldeinformationen sind auf einen bestimmten Verzeichnis-Bucket beschränkt.

Um damit arbeiten zu könnenCreateSession, empfehlen wir die Verwendung der neuesten Version von AWS SDKsoder mit dem AWS Command Line Interface (AWS CLI). Die unterstützten AWS SDKsund die AWS CLI kümmert sich in Ihrem Namen um die Einrichtung, Aktualisierung und Beendigung der Sitzung.

Sie verwenden Sitzungstoken nur für zonale Operationen (Objektebene) (außer CopyObject und HeadBucket), um die mit der Autorisierung verbundene Latenz auf eine Reihe von Anforderungen in einer Sitzung zu verteilen. Für regionale API Endpunktoperationen (Operationen auf Bucket-Ebene) verwenden Sie die IAM Autorisierung, was nicht die Verwaltung einer Sitzung beinhaltet. Weitere Informationen erhalten Sie unter AWS Identity and Access Management (IAM) für S3 Express One Zone und CreateSession-Autorisierung.

Weitere Informationen zu IAM S3 Express One Zone finden Sie in den folgenden Themen.

Auftraggeber

Wenn Sie eine ressourcenbasierte Richtlinie erstellen, um Zugriff auf Ihre Buckets zu gewähren, müssen Sie das Principal-Element verwenden, um die Person oder Anwendung anzugeben, die eine Anforderung für eine Aktion oder einen Vorgang auf dieser Ressource stellen kann. Für Verzeichnis-Bucket-Richtlinien können Sie die folgenden Prinzipale verwenden:

  • Importieren in &S3; AWS Konto

  • Ein IAM Benutzer

  • Eine IAM Rolle

  • Ein Verbundbenutzer

Weitere Informationen finden Sie unter Principal im IAM-Benutzerhandbuch.

Ressourcen

Amazon Resource Names (ARNs) für Verzeichnis-Buckets enthalten den s3express Namespace, AWS-Region, der AWS Konto-ID und den Namen des Verzeichnis-Buckets, der die Availability Zone-ID enthält. Um auf Ihren Directory-Bucket zuzugreifen und Aktionen in Ihrem Directory-Bucket auszuführen, müssen Sie das folgende ARN Format verwenden:

arn:aws:s3express:region:account-id:bucket/base-bucket-name--azid--x-s3

Weitere Informationen zu finden ARNs Sie unter Amazon Resource Names (ARNs) im IAM-Benutzerhandbuch. Weitere Informationen zu Ressourcen finden Sie unter IAM JSON Richtlinienelemente: Resource im IAM-Benutzerhandbuch.

Aktionen für S3 Express One Zone

In einer IAM identitäts- oder ressourcenbasierten Richtlinie definieren Sie, welche S3-Aktionen zulässig oder verweigert werden. S3 Express One Zone-Aktionen entsprechen bestimmten Vorgängen. API S3 Express One Zone hat einen eindeutigen IAM Namespace, der sich vom Standard-Namespace für Amazon S3 unterscheidet. Dieser Namespace ist s3express.

Wenn Sie die s3express:CreateSession Erlaubnis erteilen, ermöglicht dies dem CreateSession API Vorgang, Sitzungstoken abzurufen, wenn auf Operationen auf zonaler Endpunkt- API (oder Objektebene) zugegriffen wird. Diese Sitzungstoken geben Anmeldeinformationen zurück, die verwendet werden, um Zugriff auf alle anderen zonalen API Endpunktoperationen zu gewähren. Daher müssen Sie keine Zugriffsberechtigungen für zonale API Operationen mithilfe IAM von Richtlinien gewähren. Stattdessen ermöglicht das Sitzungstoken den Zugriff.

Weitere Informationen zu zonalen und regionalen API Endpunktoperationen finden Sie unter. Networking für S3 Express One Zone Weitere Informationen zu diesem CreateSession API Vorgang finden Sie unter CreateSessionin der Amazon Simple Storage Service API Reference.

Sie können die folgenden Aktionen im Action Element einer IAM Grundsatzerklärung angeben. Verwenden Sie Richtlinien, um Berechtigungen zur Ausführung eines Vorgangs zu erteilen in AWS. Wenn Sie eine Aktion in einer Richtlinie verwenden, gewähren oder verweigern Sie in der Regel den Zugriff auf den API Vorgang mit demselben Namen. In einigen Fällen steuert jedoch eine einzelne Aktion den Zugriff auf mehr als einen API Vorgang. Der Zugriff auf Aktionen auf Bucket-Ebene kann nur über IAM identitätsbasierte Richtlinien (Benutzer oder Rolle) und nicht über Bucket-Richtlinien gewährt werden.

Aktionen und Bedingungsschlüssel für S3 Express One Zone
Aktion API Beschreibung Zugriffsebene Bedingungsschlüssel
s3express:CreateBucket CreateBucket

Gewährt die Berechtigung zum Erstellen eines neuen Buckets.

Schreiben

s3express:authType

s3express:LocationName

s3express:ResourceAccount

s3express:signatureversion

s3express:TlsVersion

s3express:x-amz-content-sha256

s3express:CreateSession CreateSession

Erteilt die Berechtigung zum Erstellen eines Sitzungstokens, mit dem Zugriff auf alle zonalen API Operationen (auf Objektebene) gewährt wird, z. B., usw. PutObject GetObject

Schreiben

s3express:authType

s3express:SessionMode

s3express:ResourceAccount

s3express:signatureversion

s3express:signatureAge

s3express:TlsVersion

s3express:x-amz-content-sha256

s3express:x-amz-server-side-encryption

s3express:x-amz-server-side-encryption-aws-kms-key-id

s3express:DeleteBucket DeleteBucket

Erteilt die Berechtigung zum Löschen des Buckets mit dem Namen. URI

Schreiben

s3express:authType

s3express:ResourceAccount

s3express:signatureversion

s3express:TlsVersion

s3express:x-amz-content-sha256

s3express:DeleteBucketPolicy DeleteBucketPolicy

Gewährt die Berechtigung zum Löschen der Richtlinie für einen angegebenen Bucket.

Berechtigungsverwaltung

s3express:authType

s3express:ResourceAccount

s3express:signatureversion

s3express:TlsVersion

s3express:x-amz-content-sha256

s3express:GetBucketPolicy GetBucketPolicy

Gewährt die Berechtigung zum Zurückgeben der Richtlinie des angegebenen Buckets.

Lesen

s3express:authType

s3express:ResourceAccount

s3express:signatureversion

s3express:TlsVersion

s3express:x-amz-content-sha256

s3express:GetEncryptionConfiguration GetBucketEncryption

Erteilt die Berechtigung, die Standardverschlüsselungskonfiguration eines Verzeichnis-Buckets zurückzugeben.

Lesen

s3express:authType

s3express:ResourceAccount

s3express:signatureversion

s3express:TlsVersion

s3express:x-amz-content-sha256

s3express:ListAllMyDirectoryBuckets ListDirectoryBuckets

Gewährt die Berechtigung zum Auflisten aller Verzeichnis-Buckets, die dem authentifizierten Sender der Anforderung gehören.

Auflisten

s3express:authType

s3express:ResourceAccount

s3express:signatureversion

s3express:TlsVersion

s3express:x-amz-content-sha256

s3express:PutBucketPolicy PutBucketPolicy

Gewährt die Berechtigung zum Hinzufügen oder Ersetzen einer Bucket-Richtlinie für einen Bucket.

Berechtigungsverwaltung

s3express:authType

s3express:ResourceAccount

s3express:signatureversion

s3express:TlsVersion

s3express:x-amz-content-sha256

s3express:PutBucketPolicy PutBucketPolicy

Gewährt die Berechtigung zum Hinzufügen oder Ersetzen einer Bucket-Richtlinie für einen Bucket.

Berechtigungsverwaltung

s3express:authType

s3express:ResourceAccount

s3express:signatureversion

s3express:TlsVersion

s3express:x-amz-content-sha256

s3express:PutEncryptionConfiguration PutBucketEncryption oder DeleteBucketEncryption

Erteilt die Berechtigung, die Verschlüsselungskonfiguration für einen Verzeichnis-Bucket festzulegen

Schreiben

s3express:authType

s3express:ResourceAccount

s3express:signatureversion

s3express:TlsVersion

s3express:x-amz-content-sha256

Bedingungsschlüssel für S3 Express One Zone

S3 Express One Zone definiert die folgenden Bedingungsschlüssel, die im Condition Element einer IAM Richtlinie verwendet werden können. Diese Schlüssel können Sie verwenden, um die Bedingungen zu verfeinern, unter denen die Richtlinienanweisung angewendet wird.

Bedingungsschlüssel Beschreibung Typ
s3express:authType

Filtert den Zugriff nach Authentifizierungsmethode Um eingehende Anfragen auf die Verwendung einer bestimmten Authentifizierungsmethode zu beschränken, können Sie diesen optionalen Bedingungsschlüssel verwenden. Sie können diesen Bedingungsschlüssel beispielsweise verwenden, um zuzulassen, dass nur der HTTP Authorization Header bei der Anforderungsauthentifizierung verwendet wird.

Zulässige Werte: REST-HEADER, REST-QUERY-STRING

String
s3express:LocationName

Filtert den Zugriff auf den CreateBucket API Vorgang nach einer bestimmten Availability Zone ID (AZ-ID), usw2-az1 z. B.

Beispielwert: usw2-az1

String
s3express:ResourceAccount

Filtert den Zugriff nach dem Zugriff des Ressourcenbesitzers AWS-Konto ID.

Um den Benutzer-, Rollen- oder Anwendungszugriff auf die Verzeichnis-Buckets einzuschränken, die einer bestimmten Person gehören AWS-Konto ID, Sie können entweder den Bedingungsschlüssel aws:ResourceAccount oder den s3express:ResourceAccount Bedingungsschlüssel verwenden. Sie können diesen Bedingungsschlüssel in beiden Fällen verwenden AWS Identity and Access Management (IAM) Identitätsrichtlinien oder Virtual Private Cloud (VPC) -Endpunktrichtlinien. Sie können diesen Bedingungsschlüssel beispielsweise verwenden, um zu verhindern, dass Clients in Ihrem VPC Unternehmen auf Buckets zugreifen, die Sie nicht besitzen.

Beispielwert: 111122223333

String
s3express:SessionMode

Filtert den Zugriff nach der vom CreateSession API Vorgang angeforderten Berechtigung. Standardmäßig ist die Sitzung auf ReadWrite eingestellt. Sie können diesen Bedingungsschlüssel verwenden, um den Zugriff auf ReadOnly zu beschränken oder den ReadWrite-Zugriff explizit zu verweigern. Weitere Informationen finden Sie unter Beispiel für Verzeichnis-Bucket-Richtlinien für S3 Express One Zone und CreateSessionin der Amazon Simple Storage Service API Reference.

Zulässige Werte: ReadWrite, ReadOnly

String
s3express:signatureAge

Filtert den Zugriff nach dem Alter der Anforderungssignatur in Millisekunden. Diese Bedingung gilt nur für vorsignierte Personen URLs.

In AWS Signaturversion 4, der Signaturschlüssel ist bis zu sieben Tage gültig. Daher sind die Signaturen auch bis zu sieben Tage lang gültig. Weitere Informationen finden Sie unter Einführung in das Signieren von Anfragen in der Amazon Simple Storage API Service-Referenz. Sie können diese Bedingung verwenden, um das Alter der Unterschrift weiter einzuschränken.

Beispielwert: 600000

Numerischer Wert
s3express:signatureversion

Identifiziert die Version von AWS Signatur, die Sie für authentifizierte Anfragen unterstützen möchten. Für authentifizierte Anfragen unterstützt S3 Express One Zone Signature Version 4.

Gültiger Wert: "AWS4-HMAC-SHA256" (identifiziert Signature Version 4)

String
s3express:TlsVersion

Filtert den Zugriff nach der TLS Version, die vom Client verwendet wird.

Sie können den s3:TlsVersion Bedingungsschlüssel verwendenIAM, um Richtlinien für virtuelle private Cloud-Endpunkte (VPCE) oder Buckets zu schreiben, die den Benutzer- oder Anwendungszugriff auf Verzeichnis-Buckets auf der Grundlage der vom Client verwendeten TLS Version einschränken. Sie können diesen Bedingungsschlüssel auch verwenden, um Richtlinien zu schreiben, für die eine TLS Mindestversion erforderlich ist.

Beispielwert: 1.3

Numerischer Wert
s3express:x-amz-content-sha256

Filtert den Zugriff auf nicht signierte Inhalte in Ihrem Bucket.

Sie können diesen Bedingungsschlüssel verwenden, um nicht signierte Inhalte in Ihrem Bucket zu verbieten.

Wenn Sie Signature Version 4 verwenden, fügen Sie bei Anfragen, die den Authorization-Header verwenden, den x-amz-content-sha256-Header in die Signaturberechnung ein und setzen dann dessen Wert auf die Hash-Nutzlast.

Sie können diesen Bedingungsschlüssel in Ihrer Bucket-Richtlinie verwenden, um alle Uploads zu verweigern, deren Nutzlasten nicht signiert sind. Beispielsweise:

Günstiger Wert: UNSIGNED-PAYLOAD

String
s3express:x-amz-server-side-encryption

Filtert den Zugriff nach serverseitiger Verschlüsselung

Zulässige Werte: "AWS256", aws:kms

String
s3express:x-amz-server-side-encryption-aws-kms-key-id

Filtert den Zugriff nach AWS KMS vom Kunden verwalteter Schlüssel für serverseitige Verschlüsselung

Beispielwert: "arn:aws:kms:region:acct-id:key/key-id"

ARN

Wie werden API Operationen autorisiert und authentifiziert

In der folgenden Tabelle sind Autorisierungs- und Authentifizierungsinformationen für S3 Express One API Zone-Operationen aufgeführt. Die Tabelle zeigt für jeden API Vorgang den Namen, die API IAM Aktion, den Endpunkttyp (regional oder zonal) und den Autorisierungsmechanismus (IAModer sitzungsbasiert). In dieser Tabelle wird auch angegeben, wo der kontoübergreifende Zugriff unterstützt wird. Der Zugriff auf Aktionen auf Bucket-Ebene kann nur über IAM identitätsbasierte Richtlinien (Benutzer oder Rolle) gewährt werden, nicht über Bucket-Richtlinien.

API Endpunkttyp IAMAktion Kontoübergreifender Zugriff
CreateBucket Regional s3express:CreateBucket Nein
DeleteBucket Regional s3express:DeleteBucket Nein
ListDirectoryBuckets Regional s3express:ListAllMyDirectoryBuckets Nein
PutBucketPolicy Regional s3express:PutBucketPolicy Nein
GetBucketPolicy Regional s3express:GetBucketPolicy Nein
DeleteBucketPolicy Regional s3express:DeleteBucketPolicy Nein
PutBucketEncryption Regional s3express:PutEncryptionConfiguration Nein
GetBucketEncryption Regional s3express:GetEncryptionConfiguration Nein
DeleteBucketEncryption Regional s3express:PutEncryptionConfiguration Nein
CreateSession Zonal s3express:CreateSession Ja
CopyObject Zonal s3express:CreateSession Ja
DeleteObject Zonal s3express:CreateSession Ja
DeleteObjects Zonal s3express:CreateSession Ja
HeadObject Zonal s3express:CreateSession Ja
PutObject Zonal s3express:CreateSession Ja
GetObjectAttributes Zonal s3express:CreateSession Ja
ListObjectsV2 Zonal s3express:CreateSession Ja
HeadBucket Zonal s3express:CreateSession Ja
CreateMultipartUpload Zonal s3express:CreateSession Ja
UploadPart Zonal s3express:CreateSession Ja
UploadPartCopy Zonal s3express:CreateSession Ja
CompleteMultipartUpload Zonal s3express:CreateSession Ja
AbortMultipartUpload Zonal s3express:CreateSession Ja
ListParts Zonal s3express:CreateSession Ja
ListMultipartUploads Zonal s3express:CreateSession Ja