Erste Schritte mit S3 Access Grants - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erste Schritte mit S3 Access Grants

Amazon S3 Access Grants ist eine Amazon-S3-Funktion, die eine skalierbare Lösung für die Zugriffssteuerung für Ihre S3-Daten bereitstellt. S3 Access Grants ist ein Anbieter von S3-Anmeldeinformationen. Das bedeutet, dass Sie Ihre Liste von Gewährungen und deren Zugriffsebenen bei S3 Access Grants registrieren. Wenn Benutzer oder Clients anschließend Zugriff auf Ihre S3-Daten benötigen, fordern sie zunächst Anmeldeinformationen von S3 Access Grants an. Wenn es eine entsprechende Gewährung gibt, die den Zugriff autorisiert, stellt S3 Access Grants temporäre Zugangsdaten mit geringsten Berechtigungen bereit. Die Benutzer oder Clients können dann mit den von S3 Access Grants bereitgestellten Anmeldeinformationen auf Ihre S3-Daten zuzugreifen. Wenn Ihre S3-Datenanforderungen eine komplexe oder umfangreiche Berechtigungskonfiguration erfordern, können Sie mit S3 Access Grants die S3-Datenberechtigungen für Benutzer, Gruppen, Rollen und Anwendungen skalieren.

In den meisten Anwendungsfällen können Sie die Zugriffskontrolle für Ihre S3-Daten verwalten, indem Sie AWS Identity and Access Management (IAM) zusammen mit Bucket-Richtlinien oder IAM identitätsbasierten Richtlinien verwenden.

Wenn es jedoch komplexe Anforderungen an die S3-Zugriffssteuerung gibt, z. B. die folgenden, könnten Sie erheblich von S3 Access Grants profitieren:

  • Sie erreichen das Größenlimit von 20 KB für die Bucket-Richtlinie.

  • Sie gewähren menschliche Identitäten, zum Beispiel Microsoft Entra ID (früher Azure Active Directory), Okta, oder Ping Benutzer und Gruppen, Zugriff auf S3-Daten für Analysen und Big Data.

  • Sie müssen kontoübergreifenden Zugriff gewähren, ohne die IAM Richtlinien häufig aktualisieren zu müssen.

  • Ihre Daten sind unstrukturiert und befinden sich eher auf Objektebene, statt ein strukturiertes Zeilen- und Spaltenformat aufzuweisen.

Der Workflow in S3 Access Grants ist wie folgt:

Schritte Beschreibung
1 Erstellen einer S3-Access-Grants-Instance

Initiieren Sie zunächst eine S3-Access-Grants-Instance, die Ihre individuellen Zugriffsberechtigungen enthält.

2 Registrieren eines Speicherorts

Zweitens registrieren Sie einen S3-Datenstandort (z. B. den Standardspeicherorts3://) und geben Sie dann eine Standardrolle an, die S3 Access Grants IAM bei der Bereitstellung des Zugriffs auf den S3-Datenstandort übernimmt. Sie können bestimmten Buckets oder Präfixen auch benutzerdefinierte Speicherorte hinzufügen und diese benutzerdefinierten IAM Rollen zuordnen.

3 Erstellen von Gewährungen

Erstellen Sie individuelle Berechtigungsgewährungen. Geben Sie in diesen Berechtigungsgewährungen den registrierten S3-Speicherort, den Umfang des Datenzugriffs innerhalb des Speicherorts, die Identität des Gewährungsempfängers und die Zugriffsebene (READ, WRITE oder READWRITE) an.

4 Anfordern von Zugriff auf S3-Daten

Wenn Benutzer, Anwendungen und ich auf S3-Daten zugreifen AWS-Services möchten, stellen sie zunächst eine Zugriffsanfrage. S3 Access Grants legt fest, ob die Anforderung autorisiert werden soll. Wenn es eine entsprechende Genehmigung gibt, die den Zugriff autorisiert, verwendet S3 Access Grants die IAM Rolle des registrierten Standorts, die mit dieser Genehmigung verknüpft ist, um temporäre Anmeldeinformationen an den Antragsteller zurückzugeben.

5 Zugriff auf S3-Daten

Anwendungen verwenden für den Zugriff auf S3-Daten die temporären Anmeldeinformationen, die von S3 Access Grants bereitgestellt wurden.