Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Einrichtung IAM mit S3 auf Outposts
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf AWS Ressourcen sicher zu kontrollieren. IAMAdministratoren kontrollieren, wer authentifiziert (angemeldet) und autorisiert werden kann (über Berechtigungen verfügt), um Amazon S3 on Outposts-Ressourcen zu verwenden. IAMist eine AWS-Service , die Sie ohne zusätzliche Kosten nutzen können. Standardmäßig haben IAM-Benutzer keine Berechtigungen für S3 auf Outpost-Ressourcen und -Vorgänge. Um Zugriffsberechtigungen für S3 auf Outposts-Ressourcen und API -Operationen IAM zu gewähren, können Sie Benutzer, Gruppen oder Rollen erstellen und Berechtigungen anhängen.
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
-
Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center -Benutzerhandbuch.
-
Benutzer, IAM die über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Folgen Sie den Anweisungen unter Erstellen einer Rolle für einen externen Identitätsanbieter (Federation) im IAMBenutzerhandbuch.
-
IAMBenutzer:
-
Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Folgen Sie den Anweisungen unter Eine Rolle für einen IAM Benutzer erstellen im IAMBenutzerhandbuch.
-
(Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Folgen Sie den Anweisungen unter Hinzufügen von Berechtigungen für einen Benutzer (Konsole) im IAMBenutzerhandbuch.
-
Zusätzlich zu IAM identitätsbasierten Richtlinien unterstützt S3 on Outposts sowohl Bucket- als auch Access-Point-Richtlinien. Bucket-Richtlinien und Zugriffspunk-Richtlinien sind ressourcenbasierte Richtlinien, die mit der S3-on-Outposts-Ressource verbunden sind.
-
Eine Bucket-Richtlinie ist mit dem Bucket verknüpft und erlaubt oder verweigert Anfragen an den Bucket und die darin enthaltenen Objekte auf der Grundlage der Elemente in der Richtlinie.
-
Im Gegensatz dazu ist eine Zugriffspunkt-Richtlinie mit dem Zugriffspunkt verbunden und erlaubt oder verweigert Anfragen an den Zugriffspunkt.
Die Zugriffspunkt-Richtlinie funktioniert mit der Bucket-Richtlinie, die dem zugrunde liegenden S3-on-Outposts-Bucket zugeordnet ist. Damit eine Anwendung oder ein Benutzer über einen S3-on-Outposts-Zugriffspunkt auf Objekte in einem S3-on-Outposts-Bucket zugreifen kann, müssen sowohl die Zugriffspunkt- als auch die Bucket-Richtlinie die Anfrage zulassen.
Einschränkungen, die Sie in eine Zugriffspunktrichtlinie einschließen, gelten nur für Anforderungen, die über diesen Zugriffspunkt eingehen. Wenn beispielsweise ein Zugriffspunkt mit einem Bucket verbunden ist, können Sie die Zugriffspunkt-Richtlinie nicht verwenden, um Anfragen, die direkt an den Bucket gerichtet sind, zuzulassen oder zu verweigern. Einschränkungen, die Sie auf eine Bucket-Richtlinie anwenden, können jedoch Anfragen zulassen oder verweigern, die direkt an den Bucket oder über den Zugriffspunkt gestellt werden.
In einer IAM Richtlinie oder einer ressourcenbasierten Richtlinie definieren Sie, welche S3-Aktionen auf Outposts zulässig oder verweigert werden. S3-Aktionen für Outposts entsprechen spezifischen S3-Vorgängen für OutpostsAPI. Aktionen von S3 on Outposts verwenden das Namespace-Präfix s3-outposts:. Anfragen an das S3 on Outposts-Steuerelement API in einem AWS-Region und Anfragen an die API Objektendpunkte auf dem Outpost werden mithilfe des Namespace-Präfixes authentifiziert IAM und anhand dieses autorisiert. s3-outposts: Um mit S3 auf Outposts zu arbeiten, konfigurieren Sie Ihre IAM Benutzer und autorisieren Sie sie für den s3-outposts: IAM Namespace.
Weitere Informationen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3 on Outposts in der Service-Autorisierungs-Referenz.
Anmerkung
-
Zugriffskontrolllisten (ACLs) werden von S3 on Outposts nicht unterstützt.
-
S3 on Outposts setzt standardmäßig den Bucket-Besitzer als Objekteigentümer ein, um sicherzustellen, dass der Eigentümer eines Buckets nicht am Zugriff auf oder am Löschen von Objekten gehindert werden kann.
-
In S3 on Outposts ist S3 Block Public Access stets aktiviert, um sicherzustellen, dass nie öffentlich auf Objekte zugegriffen werden kann.
Weitere Informationen IAM zur Einrichtung von S3 auf Outposts finden Sie in den folgenden Themen.
Themen
Prinzipale für die Richtlinien von S3 on Outposts
Wenn Sie eine ressourcenbasierte Richtlinie erstellen, um Zugriff auf Ihren S3-on-Outposts-Bucket zu gewähren, müssen Sie das Principal-Element verwenden, um die Person oder Anwendung anzugeben, die eine Anfrage für eine Aktion oder einen Vorgang auf dieser Ressource stellen kann. Für S3-on-Outposts-Richtlinien können Sie einen der folgenden Prinzipals verwenden:
-
Ein AWS-Konto
-
Ein IAM Nutzer
-
Eine IAM Rolle
-
Alle Prinzipale durch Angabe eines Platzhalters (*) in einer Richtlinie, die ein
Condition-Element zur Beschränkung des Zugriffs auf einen bestimmten IP-Bereich verwendet
Wichtig
Sie können keine Richtlinie für einen S3-on-Outposts-Bucket schreiben, die einen Platzhalter (*) im Principal-Element verwendet, es sei denn, die Richtlinie enthält auch eine Condition, die den Zugriff auf einen bestimmten IP-Bereich beschränkt. Mit dieser Beschränkung wird sichergestellt, dass es keinen öffentlichen Zugriff auf Ihren S3-on-Outposts-Bucket gibt. Ein Beispiel finden Sie unter Beispielrichtlinien für S3 on Outposts.
Weitere Informationen zu diesem Principal Element finden Sie unter AWS JSONPolicy Elements: Principal im IAMBenutzerhandbuch.
Ressource ARNs für S3 auf Outposts
Amazon-Ressourcennamen (ARNs) für S3 auf Outposts enthalten die Outpost-ID zusätzlich zu der AWS-Region , auf die sich der Outpost bezieht, der AWS-Konto ID und dem Ressourcennamen. Um auf Ihre Outposts-Buckets und Objekte zuzugreifen und Aktionen für diese auszuführen, müssen Sie eines der in der folgenden Tabelle aufgeführten ARN Formate verwenden.
Der partition
-
aws– AWS-Regionen -
aws-us-gov— Regionen AWS GovCloud (US)
S3 in Outposts-Formaten ARN | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Amazon S3 auf Outposts ARN | ARN-Format | Beispiel | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Eimer ARN | arn: |
arn: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Zugangspunkt ARN | arn: |
arn: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Objekt ARN | arn: |
arn: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Zugriffspunktobjekt S3 on Outposts ARN (wird in Richtlinien verwendet) | arn: |
arn: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| S3 auf Outposts ARN | arn: |
arn: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Beispielrichtlinien für S3 on Outposts
Beispiel : Bucket-Richtlinie für S3 auf Outposts mit einem Principal AWS-Konto
Die folgende Bucket-Richtlinie verwendet einen AWS-Konto Principal, um Zugriff auf einen S3 on Outposts-Bucket zu gewähren. Wenn Sie diese Bucket-Richtlinie verwenden möchten, ersetzen Sie user
input placeholders
{ "Version":"2012-10-17", "Id":"ExampleBucketPolicy1", "Statement":[ { "Sid":"statement1", "Effect":"Allow", "Principal":{ "AWS":"123456789012" }, "Action":"s3-outposts:*", "Resource":"arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outposts-bucket" } ] }
Beispiel : S3-on-Outposts-Bucket-Richtlinie mit Platzhalterprinzipal (*) und Bedingungsschlüssel, um den Zugriff auf einen bestimmten IP-Bereich zu beschränken
Die folgende Bucket-Richtlinie verwendet einen Platzhalterprinzipal (*) mit der aws:SourceIp-Bedingung, um den Zugriff auf einen bestimmten IP-Bereich zu beschränken. Wenn Sie diese Bucket-Richtlinie verwenden möchten, ersetzen Sie user input
placeholders
{ "Version": "2012-10-17", "Id": "ExampleBucketPolicy2", "Statement": [ { "Sid": "statement1", "Effect": "Allow", "Principal": { "AWS" : "*" }, "Action":"s3-outposts:*", "Resource":"arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outposts-bucket", "Condition" : { "IpAddress" : { "aws:SourceIp": "192.0.2.0/24" }, "NotIpAddress" : { "aws:SourceIp": "198.51.100.0/24" } } } ] }
Berechtigungen für S3-on-Outposts-Endpunkte
S3 on Outposts benötigt eigene Berechtigungen für die Verwaltung von S3 on Outposts-Endpunktaktionen. IAM
Anmerkung
-
Für Endpunkte, die den Zugriffstyp des kundeneigenen IP-Adresspools (CoIP-Pool) verwenden, müssen Sie außerdem über Berechtigungen zum Arbeiten mit IP-Adressen aus Ihrem CoIP-Pool verfügen, wie in der folgenden Tabelle beschrieben.
-
Für gemeinsame Konten, die über Outposts auf S3 zugreifen AWS Resource Access Manager, können Benutzer mit diesen gemeinsamen Konten keine eigenen Endpunkte in einem gemeinsamen Subnetz erstellen. Wenn ein Benutzer in einem freigegebenen Konto seine eigenen Endpunkte verwalten möchte, muss das freigegebene Konto ein eigenes Subnetz in Outposts erstellen. Weitere Informationen finden Sie unter S3 auf Outposts teilen mit AWS RAM.
IAMEndpunktbezogene Berechtigungen für S3 on Outposts | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Aktion | IAMBerechtigungen | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
CreateEndpoint |
Für Endpunkte, die den Zugriffstyp des kundeneigenen On-Premises-IP-Adresspools (CoIP-Pool) verwenden, sind die folgenden zusätzlichen Berechtigungen erforderlich:
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
DeleteEndpoint |
Für Endpunkte, die den Zugriffstyp des kundeneigenen On-Premises-IP-Adresspools (CoIP-Pool) verwenden, sind die folgenden zusätzlichen Berechtigungen erforderlich:
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ListEndpoints |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Anmerkung
Sie können Ressourcen-Tags in einer IAM Richtlinie verwenden, um Berechtigungen zu verwalten.
Serviceverknüpfte Rollen für S3 on Outposts
S3 on Outposts verwendet IAM dienstbezogene Rollen, um einige Netzwerkressourcen in Ihrem Namen zu erstellen. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für S3 on Outposts.
