Zugriff auf einen Amazon S3 S3-Bucket gewähren - AWS Storage Gateway

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zugriff auf einen Amazon S3 S3-Bucket gewähren

Wenn Sie eine Dateifreigabe erstellen, benötigt Ihr File Gateway Zugriff, um Dateien in Ihren Amazon S3 S3-Bucket hochzuladen und Aktionen auf allen Access Points oder Virtual Private Cloud (VPC) -Endpunkten auszuführen, die es für die Verbindung mit dem Bucket verwendet. Um diesen Zugriff zu gewähren, nimmt Ihr File Gateway eine AWS Identity and Access Management (IAM) -Rolle an, die mit einer IAM-Richtlinie verknüpft ist, die diesen Zugriff gewährt.

Für die Rolle ist diese IAM-Richtlinie und eine Vertrauensbeziehung zum Security Token Service (STS) erforderlich. Die Richtlinie bestimmt, welche Aktionen die Rolle ausführen kann. Darüber hinaus müssen Ihr S3-Bucket und alle zugehörigen Access Points oder VPC-Endpoints über eine Zugriffsrichtlinie verfügen, die der IAM-Rolle den Zugriff darauf ermöglicht.

Sie können die Rolle und die Zugriffsrichtlinie selbst erstellen, oder Ihr File Gateway kann sie für Sie erstellen. Wenn Ihr File Gateway die Richtlinie für Sie erstellt, enthält die Richtlinie eine Liste von S3-Aktionen. Informationen zu Rollen und Berechtigungen finden Sie im IAM-Benutzerhandbuch unter Eine Rolle erstellen, um Berechtigungen AWS-Service an eine zu delegieren.

Das folgende Beispiel ist eine Vertrauensrichtlinie, die es Ihrem File Gateway ermöglicht, eine IAM-Rolle anzunehmen.

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "storagegateway.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
Wichtig

Storage Gateway kann bestehende Servicerollen übernehmen, die mithilfe der iam:PassRole Richtlinienaktion übergeben werden, unterstützt jedoch keine IAM-Richtlinien, die den iam:PassedToService Kontextschlüssel verwenden, um die Aktion auf bestimmte Dienste zu beschränken.

Weitere Informationen finden Sie in folgenden Themen im AWS Identity and Access Management -Benutzerhandbuch:

Wenn Sie nicht möchten, dass Ihr File Gateway in Ihrem Namen eine Richtlinie erstellt, können Sie Ihre eigene Richtlinie erstellen und sie an Ihre Dateifreigabe anhängen. Weitere Information dazu finden Sie unter Erstellen einer Dateifreigabe.

Die folgende Beispielrichtlinie ermöglicht es Ihrem File Gateway, alle in der Richtlinie aufgeführten Amazon S3 S3-Aktionen durchzuführen. Der erste Teil der Anweisung definiert, dass alle aufgeführten Aktionen auf den S3-Bucket amzn-s3-demo-bucket angewendet werden dürfen. Der zweite Teil legt fest, dass die aufgeführten Aktionen auf alle Objekte in amzn-s3-demo-bucket angewendet werden dürfen.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:GetAccelerateConfiguration",
                "s3:GetBucketLocation",
                "s3:GetBucketVersioning",
                "s3:ListBucket",
                "s3:ListBucketVersions",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Effect": "Allow"
        }
    ]
}

Die folgende Beispielrichtlinie ähnelt der vorherigen, ermöglicht Ihrem File Gateway jedoch die Durchführung von Aktionen, die für den Zugriff auf einen Bucket über einen Zugriffspunkt erforderlich sind.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:us-east-1:111122223333:accesspoint/TestAccessPointName/*",
            "Effect": "Allow"
        }
    ]
}
Anmerkung

Wenn Sie Ihre Dateifreigabe über einen VPC-Endpunkt mit einem S3-Bucket verbinden müssen, finden Sie weitere Informationen unter Endpunktrichtlinien für Amazon S3 im AWS PrivateLink Benutzerhandbuch.

Anmerkung

Für verschlüsselte Buckets muss das Fileshare den Schlüssel im Ziel-S3-Bucket-Konto verwenden.