Erstellen von Gewährungen - Amazon Simple Storage Service
Unterpräfix

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen von Gewährungen

Eine individuelle Zugriffsberechtigung in einer S3 Access Grants-Instanz ermöglicht einer bestimmten Identität — einem AWS Identity and Access Management (IAM-) Prinzipal oder einem Benutzer oder einer Gruppe in einem Unternehmensverzeichnis — Zugriff von einem Standort aus zu erhalten, der in Ihrer S3 Access Grants-Instanz registriert ist. Ein Speicherort ordnet Buckets oder Präfixe einer IAM-Rolle zu. S3 Access Grants übernimmt diese IAM-Rolle, um temporäre Anmeldeinformationen an Gewährungsempfänger weiterzugeben.

Sie müssen in Ihrer S3-Access-Grants-Instance mindestens einen Speicherort registrieren, bevor Sie eine Zugriffsgewährung erstellen können.

Der Empfänger kann ein IAM-Benutzer, eine IAM-Rolle, ein Verzeichnisbenutzer oder eine Verzeichnisgruppe sein. Ein Verzeichnisbenutzer ist ein Benutzer aus Ihrem Unternehmensverzeichnis oder einer externen Identitätsquelle, den Sie mit Ihrer S3-Access-Grants-Instance verknüpft haben. Weitere Informationen finden Sie unter S3 Access Grants und Unternehmensverzeichnisidentitäten. Um eine Gewährung für einen bestimmten Verzeichnisbenutzer oder -gruppe über IAM Identity Center zu erstellen, suchen Sie die GUID, mit der dieser Benutzer in IAM Identity Center identifiziert wird, zum Beispiel a1b2c3d4-5678-90ab-cdef-EXAMPLE11111. Weitere Informationen zur Verwendung von IAM Identity Center zum Anzeigen von Benutzerinformationen finden Sie im AWS IAM Identity Center -Benutzerhandbuch unter Anzeigen von Benutzer- und Gruppenzuweisungen.

Sie können Zugriff auf einen Bucket, ein Präfix oder ein Objekt gewähren. Ein Präfix in Amazon S3 ist eine Zeichenfolge am Anfang eines Objektschlüsselnamens, mit der die Objekte in einem Bucket organisiert werden. Dabei kann es sich um eine beliebige Zeichenfolge handeln, z. B. um Objektschlüsselnamen in Ihrem Bucket, die mit dem Präfix engineering/ beginnen.

Unterpräfix

Wenn Sie Zugriff auf einen registrierten Speicherort gewähren, können Sie mit dem Feld Subprefix den Zugriff auf einen Teil des Speicherbereichs eingrenzen. Wenn es sich beim registrierten Speicherort, den Sie für die Gewährung auswählen, um den Standard-S3-Pfad (s3://) handelt, müssen Sie den Geltungsbereich der Gewährung einschränken. Sie können keine Zugriffsgewährung für den Standardspeicherort (s3://) erstellen, da der Empfänger hierdurch Zugriff auf alle Buckets in einer AWS-Region erhalten würde. Stattdessen müssen Sie den Geltungsbereich für eine der folgenden Kategorien festlegen:

  • Ein Bucket: s3://bucket/*

  • Ein Präfix innerhalb eines Buckets: s3://bucket/prefix*

  • Präfix innerhalb eines Präfixes: s3://bucket/prefixA/prefixB*

  • Objekt: s3://bucket/object-key-name

Wenn Sie eine Zugriffsgewährung erstellen, bei der der registrierte Speicherort ein Bucket ist, können Sie eines der folgenden Elemente im Subprefix-Feld angeben, um den Geltungsbereich der Gewährung einzuschränken:

  • Präfix innerhalb des Buckets: prefix*

  • Präfix innerhalb eines Präfixes: prefixA/prefixB*

  • Objekt: /object-key-name

Nachdem Sie den Zuschuss erstellt haben, ist der Umfang der Gewährung, der in der Amazon S3 S3-Konsole angezeigt wird oder der GrantScope in der API oder AWS Command Line Interface (AWS CLI) -Antwort zurückgegeben wird, das Ergebnis der Verkettung des Standortpfads mit dem. Subprefix Dieser verkettete Pfad muss mit dem S3-Bucket, Präfix oder Objekt übereinstimmen, dem Sie Zugriff gewähren möchten.

Anmerkung

  • Wenn Sie eine Zugriffsgewährung erstellen müssen, die Zugriff auf ein einzelnes Objekt gewährt, müssen Sie angeben, dass der Gewährungstyp für ein Objekt gilt. Um dies in einem API-Aufruf oder einem CLI-Befehl zu tun, übergeben Sie den s3PrefixType- Parameter mit dem Wert Object. Wenn Sie in der Amazon-S3-Konsole die Gewährung erstellen, nachdem Sie einen Speicherort ausgewählt haben, aktivieren Sie unter Gewährungsumfang das Kontrollkästchen Gewährungsumfang ist ein Objekt.

  • Sie können keine Gewährung für einen Bucket erstellen, der noch nicht vorhanden ist. Sie können jedoch eine Gewährung für ein Präfix erstellen, das noch nicht vorhanden ist.

  • Die maximale Anzahl von Gewährungen, die Sie in Ihrer S3-Access-Grants-Instance erstellen können, finden Sie unter Limits für S3 Access Grants.

Sie können eine Zugriffsgewährung mithilfe der Amazon S3 S3-Konsole AWS CLI, der Amazon S3 S3-REST-API und erstellen AWS SDKs.

So erstellen Sie eine Zugriffsgewährung

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im linken Navigationsbereich Zugriffsgewährungen aus.

  3. Wählen Sie auf der Seite S3 Access Grants die Region mit der S3-Access-Grants-Instance aus, mit der Sie arbeiten möchten.

    Wenn Sie die S3-Access-Grants-Instance zum ersten Mal verwenden, müssen Sie Schritt 2 – Registrieren eines Speicherorts abgeschlossen haben und zu Schritt 3 des Assistenten Access-Grants-Instance einrichten gewechselt sein. Wenn Sie bereits über eine S3-Access-Grants-Instance verfügen, wählen Sie Details anzeigen und dann auf der Registerkarte Gewährungen die Option Gewährung erstellen aus.

    1. Wählen Sie im Abschnitt Gewährungsumfang einen registrierten Standort aus oder geben Sie diesen ein.

      Wenn Sie den s3://-Standardspeicherort ausgewählt haben, können Sie im Feld Unterpräfix den Umfang der Zugriffsgewährung einschränken. Weitere Informationen finden Sie unter Unterpräfix. Wenn Sie lediglich einem Objekt Zugriff gewähren, wählen Sie Gewährungsumfang ist ein Objekt aus.

    2. Wählen Sie unter Berechtigungen und Zugriff die Stufe der Berechtigung aus, Lesen, Schreiben oder beides.

      Wählen Sie dann den Empfängertyp aus. Wenn Sie Ihr Unternehmensverzeichnis zu IAM Identity Center hinzugefügt und diese IAM-Identity-Center-Instance mit Ihrer S3-Access-Grants-Instance verknüpft haben, können Sie Verzeichnisidentität aus IAM Identity Center auswählen. Wenn Sie diese Option auswählen, rufen Sie die ID des Benutzers oder der Gruppe aus IAM Identity Center ab und geben diese in diesen Abschnitt ein.

      Wenn der Empfängertyp ein IAM-Benutzer oder eine IAM-Rolle ist, wählen Sie IAM-Prinzipal aus. Wählen Sie in IAM-Prinzipaltyp die Option Benutzer oder Rolle aus. Wählen Sie dann in IAM-Prinzipalbenutzer entweder einen Eintrag aus der Liste aus oder geben Sie die ID der Identität ein.

    3. Um die S3-Access-Grants-Gewährung zu erstellen, wählen Sie Weiter oder Gewährung erstellen aus.

  4. Wenn Weiter oder Gewährung erstellen deaktiviert ist:

    Gewährung kann nicht erstellt werden

    • Möglicherweise müssen Sie in Ihrer S3-Access-Grants-Instance zuerst einen Speicherort registrieren.

    • Möglicherweise besitzen Sie die Berechtigung s3:CreateAccessGrant nicht, die für die Erstellung Zugriffsgewährung erforderlich ist. Nehmen Sie Kontakt mit Ihrem Kontoadministrator auf.

Informationen zur AWS CLI Installation von finden Sie unter Installation von AWS CLI im AWS Command Line Interface Benutzerhandbuch.

Die folgenden Beispiele zeigen, wie Sie eine Anforderung für eine Zugriffsgewährung für einen IAM-Prinzipal bzw. für einen Benutzer oder eine Gruppe im Unternehmensverzeichnis erstellen.

Um die folgenden Beispielbefehle zu verwenden, ersetzen Sie user input placeholders durch eigene Daten.

Anmerkung

Wenn Sie eine Zugriffsgewährung erstellen, die Zugriff auf ein einzelnes Objekt gewährt, geben Sie den erforderlichen Parameter --s3-prefix-type Object an.

Beispiel Erstellen einer Anforderung für eine Zugriffsgewährung für einen IAM-Prinzipal
aws s3control create-access-grant \
--account-id 111122223333 \
--access-grants-location-id a1b2c3d4-5678-90ab-cdef-EXAMPLE22222 \
--access-grants-location-configuration S3SubPrefix=prefixB* \
--permission READ \
--grantee GranteeType=IAM,GranteeIdentifier=arn:aws:iam::123456789012:user/data-consumer-3
Beispiel Erstellen einer Zugriffsgewährungsantwort
{"CreatedAt": "2023-05-31T18:41:34.663000+00:00",
    "AccessGrantId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "AccessGrantArn": "arn:aws:s3:us-east-2:111122223333:access-grants/default/grant/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Grantee": {
        "GranteeType": "IAM",
        "GranteeIdentifier": "arn:aws:iam::111122223333:user/data-consumer-3"
    },
    "AccessGrantsLocationId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
    "AccessGrantsLocationConfiguration": {
        "S3SubPrefix": "prefixB*"
    },
    "GrantScope": "s3://DOC-BUCKET-EXAMPLE/prefix*",
    "Permission": "READ"
}
Erstellen einer Anforderung für eine Zugriffsgewährung für einen Verzeichnisbenutzer oder eine Verzeichnisgruppe

Zur Erstellung einer Anforderung für eine Zugriffsgewährung für einen Verzeichnisbenutzer oder eine Verzeichnisgruppe müssen Sie zunächst die GUID für den Verzeichnisbenutzer oder die Verzeichnisgruppe abrufen, indem Sie einen der folgenden Befehle ausführen.

Beispiel Abrufen einer GUID für einen Verzeichnisbenutzer oder eine Verzeichnisgruppe

Sie finden die GUID eines IAM Identity Center-Benutzers über die IAM Identity Center-Konsole oder mithilfe von oder. AWS CLI AWS SDKs Der folgende Befehl listet die Benutzer in der angegebenen IAM-Identity-Center-Instance mit Namen und IDs auf.

aws identitystore list-users --identity-store-id d-1a2b3c4d1234

Dieser Befehl listet die Gruppen in der angegebenen IAM-Identity-Center-Instance auf.

aws identitystore list-groups --identity-store-id d-1a2b3c4d1234
Beispiel Erstellen einer Zugriffsgewährung für einen Verzeichnisbenutzer oder eine Verzeichnisgruppe

Dieser Befehl ist der Erstellung einer Gewährung für IAM-Benutzer oder -Rollen ähnlich. Der Empfängertyp ist jedoch DIRECTORY_USER oder DIRECTORY_GROUP und die Empfänger-ID ist die GUID für den Verzeichnisbenutzer oder die Verzeichnisgruppe.

aws s3control create-access-grant \
--account-id 123456789012 \
--access-grants-location-id default \
--access-grants-location-configuration S3SubPrefix="amzn-s3-demo-bucket/rafael/*" \
--permission READWRITE \
--grantee GranteeType=DIRECTORY_USER,GranteeIdentifier=83d43802-00b1-7054-db02-f1d683aacba5 \

Informationen zur Amazon-S3-REST-API-Unterstützung für die Verwaltung von Zugriffsgewährungen finden Sie in den folgenden Abschnitten in der Amazon-Simple-Storage-Service-API-Referenz:

Dieser Abschnitt enthält Beispiele für die Erstellung einer Zugriffsberechtigung mithilfe von AWS SDKs.

Java

Wenn Sie das folgende Beispiel verwenden möchten, ersetzen Sie user input placeholders durch eigene Daten.

Anmerkung

Wenn Sie eine Zugriffsgewährung erstellen, die Zugriff auf ein einzelnes Objekt gewährt, geben Sie den erforderlichen Parameter .s3PrefixType(S3PrefixType.Object) an.

Beispiel Erstellen einer Anforderung für eine Zugriffsgewährung
public void createAccessGrant() {
CreateAccessGrantRequest createRequest = CreateAccessGrantRequest.builder()
.accountId("111122223333")
.accessGrantsLocationId("a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa")
.permission("READ")
.accessGrantsLocationConfiguration(AccessGrantsLocationConfiguration.builder().s3SubPrefix("prefixB*").build())
.grantee(Grantee.builder().granteeType("IAM").granteeIdentifier("arn:aws:iam::111122223333:user/data-consumer-3").build())
.build();
CreateAccessGrantResponse createResponse = s3Control.createAccessGrant(createRequest);
LOGGER.info("CreateAccessGrantResponse: " + createResponse);
}
Beispiel Erstellen einer Zugriffsgewährungsantwort
CreateAccessGrantResponse(
CreatedAt=2023-06-07T05:20:26.330Z,
AccessGrantId=a1b2c3d4-5678-90ab-cdef-EXAMPLE33333,
AccessGrantArn=arn:aws:s3:us-east-2:444455556666:access-grants/default/grant/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333,
Grantee=Grantee(
GranteeType=IAM,
GranteeIdentifier=arn:aws:iam::111122223333:user/data-consumer-3
),
AccessGrantsLocationId=a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa,
AccessGrantsLocationConfiguration=AccessGrantsLocationConfiguration(
S3SubPrefix=prefixB*
),
GrantScope=s3://DOC-BUCKET-EXAMPLE/prefixB,
Permission=READ
)