Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erstellen von Gewährungen
Eine individuelle Zugriffsberechtigung in einer S3 Access Grants-Instanz ermöglicht es einer bestimmten Identität — einem AWS Identity and Access Management (IAM) Prinzipal oder einem Benutzer oder einer Gruppe in einem Unternehmensverzeichnis —, Zugriff von einem Standort aus zu erhalten, der in Ihrer S3 Access Grants-Instanz registriert ist. Ein Standort ordnet Buckets oder Präfixe einer Rolle zu. IAM S3 Access Grants übernimmt diese IAM Rolle, um temporäre Anmeldeinformationen an Empfänger zu verkaufen.
Nachdem Sie mindestens einen Standort in Ihrer S3 Access Grants-Instanz registriert haben, können Sie eine Zugriffsberechtigung erstellen.
Der Empfänger kann ein IAM Benutzer oder eine Rolle oder ein Verzeichnisbenutzer oder eine Gruppe sein. Ein Verzeichnisbenutzer ist ein Benutzer aus Ihrem Unternehmensverzeichnis oder einer externen Identitätsquelle, den Sie mit Ihrer S3 Access Grants-Instanz verknüpft haben. Weitere Informationen finden Sie unter S3 Access Grants und Unternehmensverzeichnisidentitäten. Um einen Zuschuss für einen bestimmten Verzeichnisbenutzer oder eine bestimmte Verzeichnisgruppe aus IAM Identity Center zu erstellen, suchen Sie in IAM Identity Center nach demGUID, anhand dessen IAM Identity Center diesen Benutzer identifiziert, a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
z. B. Weitere Informationen zur Verwendung von IAM Identity Center zum Anzeigen von Benutzerinformationen finden Sie im Benutzerhandbuch unter Benutzer- und Gruppenzuweisungen anzeigen.AWS IAM Identity Center
Sie können Zugriff auf einen Bucket, ein Präfix oder ein Objekt gewähren. Ein Präfix in Amazon S3 ist eine Zeichenfolge am Anfang eines Objektschlüsselnamens, mit der die Objekte in einem Bucket organisiert werden. Dabei kann es sich um eine beliebige Zeichenfolge mit zulässigen Zeichen handeln, z. B. Objektschlüsselnamen in Ihrem Bucket, die mit dem engineering/
Präfix beginnen.
Unterpräfix
Wenn Sie Zugriff auf einen registrierten Standort gewähren, können Sie das Subprefix
Feld verwenden, um den Zugriffsumfang auf eine Teilmenge des Standortbereichs einzuschränken. Wenn es sich bei dem registrierten Standort, den Sie für die Gewährung auswählen, um den Standard-S3-Pfad (s3://
) handelt, müssen Sie den Geltungsbereich der Gewährung einschränken. Sie können keine Zugriffsberechtigung für den Standardspeicherort (s3://
) erstellen, wodurch der Empfänger Zugriff auf jeden Bucket in einem AWS-Region erhalten würde. Stattdessen müssen Sie den Umfang der Gewährung auf einen der folgenden Bereiche einschränken:
-
Ein Eimer:
s3://
bucket
/* -
Ein Präfix innerhalb eines Buckets:
s3://
bucket
/prefix
* -
Ein Präfix innerhalb eines Präfixes:
s3://
bucket
/prefixA
/prefixB
* -
Ein Objekt:
s3://
bucket
/object-key-name
Wenn Sie eine Zugriffsberechtigung erstellen, bei der es sich bei dem registrierten Standort um einen Bucket handelt, können Sie eine der folgenden Angaben in das Subprefix
Feld eingeben, um den Umfang der Gewährung einzuschränken:
-
Ein Präfix innerhalb des Buckets:
prefix
* -
Ein Präfix innerhalb eines Präfixes:
prefixA/
prefixB
* -
Ein Objekt:
/
object-key-name
Nachdem Sie den Zuschuss erstellt haben, ist der Umfang der Gewährung, der in der Amazon S3 S3-Konsole angezeigt wird oder der GrantScope
in der Antwort API oder AWS Command Line Interface (AWS CLI) zurückgegeben wird, das Ergebnis der Verkettung des Standortpfads mit dem. Subprefix
Dieser verkettete Pfad muss mit dem S3-Bucket, Präfix oder Objekt übereinstimmen, dem Sie Zugriff gewähren möchten.
Anmerkung
Wenn Sie eine Zugriffserteilung erstellen müssen, die nur Zugriff auf ein Objekt gewährt, müssen Sie angeben, dass der Gewährungstyp für ein Objekt gilt. Um dies in einem API Aufruf oder einem CLI Befehl zu tun, übergeben Sie den
s3PrefixType
Parameter mit dem WertObject
. Wenn Sie in der Amazon S3 S3-Konsole den Grant erstellen, nachdem Sie einen Standort ausgewählt haben, aktivieren Sie unter Grant Scope das Kontrollkästchen Grant scope is an object.Sie können keine Gewährung für einen Bucket erstellen, der noch nicht vorhanden ist. Sie können jedoch einen Zuschuss für ein Präfix erstellen, das noch nicht existiert.
Die maximale Anzahl von Zuschüssen, die Sie in Ihrer S3 Access Grants-Instanz erstellen können, finden Sie unterLimits für S3 Access Grants.
Sie können eine Zugriffserteilung mithilfe der Amazon S3-Konsole AWS CLI, Amazon S3 REST API und erstellen AWS SDKs.
So erstellen Sie eine Zugriffsgewährung
Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/
. -
Wählen Sie im linken Navigationsbereich Zugriffsgewährungen aus.
-
Wählen Sie auf der Seite S3 Access Grants die Region mit der S3-Access-Grants-Instance aus, mit der Sie arbeiten möchten.
Wenn Sie die S3-Access-Grants-Instance zum ersten Mal verwenden, müssen Sie Schritt 2 – Registrieren eines Speicherorts abgeschlossen haben und zu Schritt 3 des Assistenten Access-Grants-Instance einrichten gewechselt sein. Wenn Sie bereits über eine S3-Access-Grants-Instance verfügen, wählen Sie Details anzeigen und dann auf der Registerkarte Gewährungen die Option Gewährung erstellen aus.
-
Wählen Sie im Abschnitt Gewährungsumfang einen registrierten Standort aus oder geben Sie diesen ein.
Wenn Sie den
s3://
-Standardspeicherort ausgewählt haben, können Sie im Feld Unterpräfix den Umfang der Zugriffsgewährung einschränken. Weitere Informationen finden Sie unter Unterpräfix. Wenn Sie lediglich einem Objekt Zugriff gewähren, wählen Sie Gewährungsumfang ist ein Objekt aus. -
Wählen Sie unter Berechtigungen und Zugriff die Stufe der Berechtigung aus, Lesen, Schreiben oder beides.
Wählen Sie dann den Empfängertyp aus. Wenn Sie Ihr Unternehmensverzeichnis zu IAM Identity Center hinzugefügt und diese IAM Identity Center-Instance mit Ihrer S3 Access Grants-Instance verknüpft haben, können Sie Verzeichnisidentität aus IAM Identity Center auswählen. Wenn Sie diese Option wählen, rufen Sie die ID des Benutzers oder der Gruppe aus IAM Identity Center ab und geben Sie sie in diesen Abschnitt ein.
Wenn der Typ des Empfängers ein IAM Benutzer oder eine Rolle ist, wählen Sie IAMPrincipal. Wählen Sie unter IAMPrinzipaltyp die Option Benutzer oder Rolle aus. Wählen Sie dann unter IAMHauptbenutzer entweder aus der Liste aus, oder geben Sie die ID der Identität ein.
-
Um die S3-Access-Grants-Gewährung zu erstellen, wählen Sie Weiter oder Gewährung erstellen aus.
-
-
Wenn Weiter oder Gewährung erstellen deaktiviert ist:
Gewährung kann nicht erstellt werden
-
Möglicherweise müssen Sie in Ihrer S3-Access-Grants-Instance zuerst einen Speicherort registrieren.
-
Möglicherweise besitzen Sie die Berechtigung
s3:CreateAccessGrant
nicht, die für die Erstellung Zugriffsgewährung erforderlich ist. Nehmen Sie Kontakt mit Ihrem Kontoadministrator auf.
-
Informationen zur AWS CLI Installation von finden Sie unter Installation von AWS CLI im AWS Command Line Interface Benutzerhandbuch.
Die folgenden Beispiele zeigen, wie Sie eine Zugriffserteilungsanforderung für einen IAM Prinzipal und eine Zugriffserteilungsanforderung für einen Benutzer oder eine Gruppe von Unternehmensverzeichnissen erstellen.
Um die folgenden Beispielbefehle zu verwenden, ersetzen Sie
durch eigene Daten.user input
placeholders
Anmerkung
Wenn Sie eine Zugriffsgewährung erstellen, die Zugriff auf ein einzelnes Objekt gewährt, geben Sie den erforderlichen Parameter --s3-prefix-type Object
an.
Beispiel Erstellen Sie eine Anfrage zur Zugriffsgewährung für einen IAM Principal
aws s3control create-access-grant \ --account-id
111122223333
\ --access-grants-location-ida1b2c3d4-5678-90ab-cdef-EXAMPLE22222
\ --access-grants-location-configurationS3SubPrefix=prefixB*
\ --permissionREAD
\ --grantee GranteeType=IAM
,GranteeIdentifier=arn:aws:iam::123456789012
:user
/data-consumer-3
Beispiel Erstellen einer Zugriffsgewährungsantwort
{"CreatedAt": "2023-05-31T18:41:34.663000+00:00", "AccessGrantId": "
a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
", "AccessGrantArn": "arn:aws:s3:us-east-2
:111122223333
:access-grants/default/grant/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
", "Grantee": { "GranteeType": "IAM", "GranteeIdentifier": "arn:aws:iam::111122223333
:user/data-consumer-3" }, "AccessGrantsLocationId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222
", "AccessGrantsLocationConfiguration": { "S3SubPrefix": "prefixB*" }, "GrantScope": "s3://DOC-BUCKET-EXAMPLE/prefix*", "Permission": "READ" }
Erstellen einer Anforderung für eine Zugriffsgewährung für einen Verzeichnisbenutzer oder eine Verzeichnisgruppe
Um eine Zugriffserteilungsanforderung für einen Verzeichnisbenutzer oder eine Verzeichnisgruppe zu erstellen, müssen Sie zuerst die GUID für den Verzeichnisbenutzer oder die Verzeichnisgruppe abrufen, indem Sie einen der folgenden Befehle ausführen.
Beispiel Rufen Sie eine GUID für einen Verzeichnisbenutzer oder eine Verzeichnisgruppe ab
Sie können den Wert GUID eines IAM Identity Center-Benutzers über die IAM Identity Center-Konsole oder mithilfe von AWS CLI oder ermitteln AWS SDKs. Der folgende Befehl listet die Benutzer in der angegebenen IAM Identity Center-Instanz mit ihren Namen und Kennungen auf.
aws identitystore list-users --identity-store-id
d-1a2b3c4d1234
Dieser Befehl listet die Gruppen in der angegebenen IAM Identity Center-Instanz auf.
aws identitystore list-groups --identity-store-id
d-1a2b3c4d1234
Beispiel Erstellen einer Zugriffsgewährung für einen Verzeichnisbenutzer oder eine Verzeichnisgruppe
Dieser Befehl ähnelt der Erstellung eines Zuschusses für IAM Benutzer oder Rollen, mit der Ausnahme, dass der Typ des Empfängers DIRECTORY_USER
oder DIRECTORY_GROUP
ist und die Empfänger-ID die GUID für den Verzeichnisbenutzer oder die Gruppe ist.
aws s3control create-access-grant \ --account-id
123456789012
\ --access-grants-location-iddefault
\ --access-grants-location-configurationS3SubPrefix="
" \ --permissionamzn-s3-demo-bucket
/rafael/*READWRITE
\ --grantee GranteeType=DIRECTORY_USER
,GranteeIdentifier=83d43802-00b1-7054-db02-f1d683aacba5
\
Informationen zur Amazon S3 REST API S3-Unterstützung für die Verwaltung von Zugriffsberechtigungen finden Sie in den folgenden Abschnitten der Amazon Simple Storage Service API Reference:
Dieser Abschnitt enthält Beispiele für die Erstellung einer Zugriffsberechtigung mithilfe von AWS SDKs.