Konzepte von S3 Access Grants - Amazon Simple Storage Service
Funktionsweise

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konzepte von S3 Access Grants

S3 Access Grants führt die folgenden Konzepte für das vereinfachte Zugriffsschema ein:

S3-Access-Grants-Instances

Eine S3 Access Grants-Instance ist ein logischer Container für einzelne Gewährungen, die definieren, wer welchen Zugriff auf welche Amazon-S3-Daten hat. Es kann pro AWS-Region und AWS-Konto eine S3-Access-Grants-Instance geben. Sie verwenden diese S3 Access Grants-Instanz, um den Zugriff auf alle Buckets im selben Konto zu kontrollieren und. AWS-Region Wenn Sie S3 Access Grants verwenden möchten, um Zugriff auf Benutzer- und Gruppenidentitäten in Ihrem Unternehmensverzeichnis zu gewähren, müssen Sie Ihre S3 Access Grants-Instanz auch einer AWS Identity and Access Management (IAM) Identity Center-Instanz zuordnen.

Orte

Ein Ort definiert, auf welche Daten Ihre S3-Access-Grants-Instance Zugriff gewähren kann. S3 Access Grants gibt IAM-Anmeldeinformationen mit Zugriff auf bestimmte S3-Präfixe, -Buckets oder -Objekte aus. Sie ordnen einen S3-Access-Grants-Ort einer IAM-Rolle zu, über die diese temporären Sitzungen erstellt werden. Die häufigste Konfiguration für einen Ort ist ein einzelner Ort in s3:// für die gesamte S-Access-Grants-Instance, die den Zugriff auf alle S3-Buckets im Konto und in der AWS-Region abdecken kann. Sie können in Ihrer S3-Access-Grants-Instance auch mehrere Orte erstellen. Sie können beispielsweise einen Bucket als Ort s3://DOC-EXAMPLE-BUCKET1 für Gewährungen registrieren, die Sie auf diesen Bucket einschränken möchten. Sie können auch den Standardort s3:// registrieren.

Gewährungen

Um den Zugriffsumfang innerhalb eines Orts einzuschränken, erstellen Sie individuelle Gewährungen. Eine individuelle Gewährung in einer S3-Access-Grants-Instance ermöglicht bestimmten Entitäten, z. B. IAM-Prinzipalen oder Benutzern bzw. Gruppen in einem Unternehmensverzeichnis, Zugriff auf ein Amazon-S3-Präfix, einen Bucket oder ein Objekt. Sie können für jede Gewährung einen anderen Bereich (ein Präfix, einen Bucket oder ein Objekt) und eine andere Zugriffsebene (READ, WRITE oder READWRITE) definieren. Beispielsweise könnte es eine Gewährung geben, die einer bestimmten Unternehmensverzeichnisgruppe 01234567-89ab-cdef-0123-456789abcdef den READ-Zugriff auf s3://DOC-EXAMPLE-BUCKET1/projects/items/* gewährt. Diese Gewährung gibt Benutzern in dieser Gruppe READ-Zugriff auf alle Objekte mit einem Schlüsselnamen mit dem Präfix projects/items/ im Bucket mit dem Namen DOC-EXAMPLE-BUCKET1.

Temporäre S3-Access-Grants-Anmeldeinformationen

Eine Anwendung kann just-in-time Zugangsdaten anfordern, indem sie eine neue S3-API-Operation aufruft GetDataAccess, um Zugriff auf ein einzelnes Objekt, Präfix oder Bucket mit der Berechtigungsstufe READWRITE, oder anzufordern. READWRITE Die S3-Access-Grants-Instance evaluiert die GetDataAccess-Anforderung anhand der verfügbaren Gewährungen. Wenn es eine übereinstimmende Gewährung gibt, übernimmt S3 Access Grants die IAM-Rolle, die dem Ort der übereinstimmenden Gewährung zugeordnet ist. S3 Access Grants richtet anschließend die Berechtigungen der IAM-Sitzung exakt auf die S3-Buckets, Präfixe oder Objekte aus, die im Umfang der Gewährung angegeben sind. Die Ablaufzeit der temporären Zugangsdaten ist standardmäßig auf 1 Stunde eingestellt, Sie können sie jedoch auf einen beliebigen Wert zwischen 15 Minuten und 12 Stunden festlegen.

Funktionsweise

Im folgenden Diagramm ist ein Amazon-S3-Standardort mit dem Umfang s3:// für die IAM-Rolle s3ag-location-role registriert. Diese IAM-Rolle ist berechtigt, im Konto Amazon-S3-Aktionen auszuführen, wenn ihre Anmeldeinformationen über S3 Access Grants abgerufen werden.

An diesem Ort werden zwei verschiedene Zugriffsgewährungen für zwei IAM-Benutzer erstellt. Dem IAM-Benutzer Bob wird sowohl READ-Zugriff als auch WRITE-Zugriff auf das Präfix bob/ im Bucket DOC-BUCKET-EXAMPLE gewährt. Einer anderen IAM-Rolle, Alice, wird nur READ Zugriff auf das alice/ Präfix im DOC-BUCKET-EXAMPLE Bucket gewährt. Es wurde eine Gewährung (blau) definiert, damit Bob auf das Präfix bob/ im Bucket DOC-BUCKET-EXAMPLE zugreifen kann. Es wurde eine Gewährung (grün) definiert, damit Alice auf das Präfix alice/ im Bucket DOC-BUCKET-EXAMPLE zugreifen kann.

Wenn Bob READ Daten eingeben muss, ruft die IAM-Rolle, die dem Standort zugeordnet ist, an dem sich sein Grant befindet, den GetDataAccessAPI-Vorgang S3 Access Grants auf. Wenn Bob versucht, READ-Zugriff für S3-Präfixe oder Objekte zu erhalten, die mit s3://DOC-BUCKET-EXAMPLE/bob/* beginnen, gibt die GetDataAccess-Anforderung temporärer Anmeldeinformationen für eine IAM-Sitzung mit der entsprechenden Berechtigung für s3://DOC-BUCKET-EXAMPLE/bob/* zurück. Ähnlich kann Bob WRITE-Zugriff für alle S3-Präfixe oder Objekte erhalten, die mit s3://DOC-BUCKET-EXAMPLE/bob/* beginnen, da die Gewährung dies ebenfalls zulässt.

Und ähnlich kann Alice READ-Zugriff für alles erhalten, das mit s3://DOC-BUCKET-EXAMPLE/alice/ beginnt. Wenn sie jedoch versucht, WRITE-Zugriff auf Buckets, Präfixe oder Objekte in s3:// zu erhalten, wird ihr die Fehlermeldung „Access Denied“ (403 Forbidden) angezeigt, da es keine Gewährung gibt, die ihr einen WRITE-Zugriff auf Daten gewährt. Wenn Alice Zugriff (READ oder WRITE) auf Daten außerhalb von s3://DOC-BUCKET-EXAMPLE/alice/ anfordert, wird ihr ebenfalls die Fehlermeldung „Access Denied“ angezeigt.

So funktioniert S3 Access Grants

Dieses Muster kann auf eine große Zahl von Benutzern und Buckets skaliert werden und vereinfacht die Verwaltung dieser Berechtigungen. Anstatt jedes Mal, wenn Sie individuelle Benutzer-Präfix-Zugriffsbeziehungen hinzufügen oder entfernen möchten, potenziell umfangreiche S3-Bucket-Richtlinien zu bearbeiten, können Sie einzelne, diskrete Gewährungen hinzufügen und entfernen.