Verwenden von S3 Storage Lens zur Überwachung der Einstellungen für die Objekteigentümerschaft

Amazon S3 Object Ownership ist eine S3-Einstellung auf Bucket-Ebene, mit der Sie Zugriffssteuerungslisten (ACLs) deaktivieren und die Eigentümerschaft der Objekte in Ihrem Bucket kontrollieren können. Wenn Sie die Einstellung für die Objekteigentümerschaft auf „Bucket owner enforced“ (Bucket-Eigentümer erzwungen) festlegen, können Sie Zugriffssteuerungslisten (ACLs) deaktivieren und die Eigentümerschaft für alle Objekte in Ihrem Bucket übernehmen. Dieser Ansatz vereinfacht die Zugriffsverwaltung für in Amazon S3 gespeicherte Daten.

Wenn ein anderes AWS-Konto ein Objekt in Ihren S3-Bucket hochlädt, besitzt dieses Konto (der Objektschreiber) standardmäßig das Objekt, hat Zugriff darauf und kann anderen Benutzern über ACLs Zugriff darauf gewähren. Sie können Object Ownership verwenden, um dieses Standardverhalten zu ändern.

Die meisten modernen Anwendungsfälle in Amazon S3 erfordern keine ACLs mehr. Wir empfehlen Ihnen daher, ACLs zu deaktivieren, außer unter ungewöhnlichen Umständen, in denen Sie den Zugriff für jedes Objekt einzeln steuern müssen. Wenn Sie die Objekteigentümerschaft auf „Bucket owner enforced“ (Bucket-Eigentümer erzwungen) festlegen, können Sie ACLs deaktivieren und sich auf Richtlinien für die Zugriffskontrolle verlassen. Weitere Informationen finden Sie unter Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket.

Mit den Zugriffsverwaltungsmetriken von S3 Storage Lens können Sie Buckets identifizieren, für die ACLs nicht deaktiviert sind. Nachdem Sie diese Buckets identifiziert haben, können Sie ACL-Berechtigungen zu Richtlinien migrieren und die ACLs für diese Buckets deaktivieren.

Schritt 1: Identifizieren allgemeiner Trends für die Einstellungen der Objekteigentümerschaft

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

2. Wählen Sie im linken Navigationsbereich Storage Lens und dann Dashboards aus.

3. Wählen Sie in der Liste Dashboards den Namen des Dashboards aus, das Sie anzeigen möchten.

4. Wählen Sie im Abschnitt Snapshot for date (Snapshot für Datum) unter Metrics categories (Metrikkategorien) die Option Access management (Zugriffsverwaltung) aus.

   Der Abschnitt Snapshot for date (Snapshot für Datum) wird aktualisiert und zeigt nun die Metrik % Object Ownership bucket owner enforced (% Bucket-Eigentümer erzwungen für Objekteigentümerschaft) an. Sie können den Gesamtanteil an Buckets in Ihrem Konto oder Ihrer Organisation anzeigen, die die Einstellung „Bucket-Eigentümer erzwungen“ für die Objekteigentümerschaft verwenden, um ACLs zu deaktivieren.

Schritt 2: Identifizieren von Trends auf Bucket-Ebene für die Einstellungen der Objekteigentümerschaft

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

2. Wählen Sie im linken Navigationsbereich Storage Lens und dann Dashboards aus.

3. Wählen Sie in der Liste Dashboards den Namen des Dashboards aus, das Sie anzeigen möchten.

4. Wenn Sie detailliertere Metriken auf Bucket-Ebene anzeigen möchten, wählen Sie die Registerkarte Bucket aus.

5. Wählen Sie im Abschnitt Distribution by buckets for date (Verteilung nach Buckets für Datum) die Metrik % Object Ownership bucket owner enforced (% Bucket-Eigentümer erzwungen für Objekteigentümerschaft) aus.

   Das Diagramm wird aktualisiert und zeigt nun eine Aufschlüsselung je Bucket für % Object Ownership bucket owner enforced (% Bucket-Eigentümer erzwungen für Objekteigentümerschaft) an. Sie können sehen, welche Buckets die Einstellung „Bucket-Eigentümer erzwungen“ für die Objekteigentümerschaft verwenden, um ACLs zu deaktivieren.

6. Wenn Sie die Einstellungen „Bucket-Eigentümer erzwungen“ im Kontext sehen möchten, scrollen Sie nach unten zum Abschnitt Buckets. Wählen Sie für Metrics categories (Metrikkategorien) die Option Access management (Zugriffsverwaltung) aus. Löschen Sie dann Summary (Zusammenfassung).

   In der Liste Buckets werden Daten für alle drei Einstellungen für die Objekteigentümerschaft angezeigt: „Bucket owner enforced“ (Bucket-Eigentümer erzwungen), „Bucket owner preferred (Bucket-Eigentümer bevorzugt und „Object writer“ (Objektschreiber).

7. Wenn Sie die Liste Buckets so filtern möchten, dass Metriken nur für eine bestimmte Einstellung der Objekteigentümerschaft angezeigt werden, wählen Sie das Präferenzensymbol ( ).

8. Löschen Sie die Metriken, die Sie nicht anzeigen möchten.

9. (Optional) Wählen Sie unter Page size (Seitengröße) die Anzahl der Buckets aus, die in der Liste angezeigt werden sollen.

10. Wählen Sie Confirm (Bestätigen).

Schritt 3: Aktualisieren Ihrer Einstellung für die Objekteigentümerschaft auf „Bucket owner enforced“ (Bucket-Eigentümer erzwungen) zur Deaktivierung von ACLs

Nachdem Sie Buckets identifiziert haben, die die Einstellungen „Object writer“ (Objektschreiber) und „Bucket owner preferred“ (Bucket-Eigentümer bevorzugt) für die Objekteigentümerschaft verwenden, können Sie Ihre ACL-Berechtigungen zu Bucket-Richtlinien migrieren. Wenn Sie die Migration Ihrer ACL-Berechtigungen abgeschlossen haben, können Sie Ihre Einstellungen für die Objekteigentümerschaft auf „Bucket owner enforced“ (Bucket-Eigentümer erzwungen) aktualisieren, um ACLs zu deaktivieren. Weitere Informationen finden Sie unter Voraussetzungen für die Deaktivierung ACLs.