Verhinderung des umgebungsübergreifenden Amazon S3 S3-Bucket-Zugriffs - AWS Elastic Beanstalk
Beispiel für Berechtigungen mit eingeschränktem Geltungsbereich

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verhinderung des umgebungsübergreifenden Amazon S3 S3-Bucket-Zugriffs

Elastic Beanstalk bietet verwaltete Richtlinien für die Verwaltung der AWS Ressourcen, die von den Elastic Beanstalk Beanstalk-Umgebungen in Ihrem Konto benötigt werden. AWS Die standardmäßig für eine Anwendung in Ihrem AWS Konto bereitgestellten Berechtigungen haben Zugriff auf S3-Ressourcen, die zu anderen Anwendungen in demselben Konto gehören. AWS

Wenn auf Ihrem AWS Konto mehrere Beanstalk-Anwendungen ausgeführt werden, können Sie die Sicherheit Ihrer Richtlinien einschränken, indem Sie Ihre eigene benutzerdefinierte Richtlinie erstellen, die Sie an Ihre eigene Servicerolle oder Ihr Instanzprofil für jede Umgebung anhängen. Anschließend können Sie die S3-Berechtigungen in Ihrer benutzerdefinierten Richtlinie auf eine bestimmte Umgebung beschränken.

Anmerkung

Beachten Sie, dass Sie für die Aufrechterhaltung Ihrer benutzerdefinierten Richtlinie verantwortlich sind. Wenn sich eine von Elastic Beanstalk verwaltete Richtlinie, auf der Ihre benutzerdefinierte Richtlinie basiert, ändert, müssen Sie Ihre benutzerdefinierte Richtlinie mit den entsprechenden Änderungen an der Basisrichtlinie ändern. Eine Änderungshistorie der von Elastic Beanstalk verwalteten Richtlinien finden Sie unter. Elastic Beanstalk Beanstalk-Updates für verwaltete Richtlinien AWS

Beispiel für Berechtigungen mit eingeschränktem Geltungsbereich

Das folgende Beispiel basiert auf der AWSElasticBeanstalkWebTierverwalteten Richtlinie.

Die Standardrichtlinie umfasst die folgenden Zeilen für Berechtigungen für S3-Buckets. Diese Standardrichtlinie beschränkt die S3-Bucket-Aktionen nicht auf bestimmte Umgebungen oder Anwendungen.

{
   "Sid" : "BucketAccess", 
   "Action" : [ 
      "s3:Get*",
      "s3:List*", 
      "s3:PutObject"
     ], 
   "Effect" : "Allow",
   "Resource" : [ 
      "arn:aws:s3:::elasticbeanstalk-*", 
      "arn:aws:s3:::elasticbeanstalk-*/*" 
     ] 
}

Sie können den Zugriff einschränken, indem Sie bestimmte Ressourcen für eine als angegebene Servicerolle qualifizierenPrincipal. Das folgende Beispiel stellt die benutzerdefinierten aws-elasticbeanstalk-ec2-role-my-example-env Servicerollenberechtigungen für S3-Buckets in der Umgebung mit der ID my-example-env-ID bereit.

Beispiel Gewähren Sie Berechtigungen nur für die S3-Buckets einer bestimmten Umgebung
{
   "Sid": "BucketAccess",
   "Action": [
      "s3:Get*",
      "s3:List*",
      "s3:PutObject"
    ],
   "Effect": "Allow",
   "Principal": {
      "AWS": "arn:aws:iam::...:role/aws-elasticbeanstalk-ec2-role-my-example-env"
     },
   "Resource": [
      "arn:aws:s3:::elasticbeanstalk-my-region-account-id-12345",
      "arn:aws:s3:::elasticbeanstalk-my-region-account-id-12345/resources/environments/my-example-env-ID/*"
    ]
}
Anmerkung

Der Ressourcen-ARN muss die Elastic Beanstalk Beanstalk-Umgebungs-ID enthalten (nicht den Umgebungsnamen). Sie können die Umgebungs-ID von der Elastic Beanstalk Beanstalk-Konsole auf der Seite mit der Umgebungsübersicht abrufen. Sie können diese Informationen auch mit dem Befehl AWS CLI describe-environments abrufen.

Weitere Informationen zur Aktualisierung der S3-Bucket-Berechtigungen für Ihre Elastic Beanstalk Beanstalk-Umgebungen finden Sie in den folgenden Ressourcen: