Erstellen von Gewährungen - Amazon Simple Storage Service
Unterpräfix

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen von Gewährungen

Sie müssen in Ihrer S3-Access-Grants-Instance mindestens einen Speicherort registrieren, bevor Sie eine Zugriffsgewährung erstellen können. Eine Zugriffsgewährung gewährt dem Empfänger die Berechtigung, auf einen registrierten Speicherort zuzugreifen.

Der Empfänger kann ein AWS Identity and Access Management (IAM-) Benutzer oder eine Rolle oder ein Verzeichnisbenutzer oder eine Verzeichnisgruppe sein. Ein Verzeichnisbenutzer ist ein Benutzer aus Ihrem Unternehmensverzeichnis oder aus einer externen Identitätsquelle, den Sie zu der AWS IAM Identity Center -Instance hinzugefügt haben, die mit Ihrer S3-Access-Grants-Instance verknüpft ist. Um eine Gewährung für einen bestimmten Benutzer oder eine bestimmte Gruppe über IAM Identity Center zu erstellen, suchen Sie die GUID, mit der dieser Benutzer in IAM Identity Center identifiziert wird, zum Beispiel a1b2c3d4-5678-90ab-cdef-EXAMPLE11111.

Sie können Zugriff auf einen Bucket, ein Präfix oder ein Objekt gewähren. Ein Präfix in Amazon S3 ist eine Zeichenfolge am Anfang eines Objektschlüsselnamens, mit der die Objekte in einem Bucket organisiert werden. Dabei kann es sich um eine beliebige Zeichenfolge handeln, z. B. um Objektschlüsselnamen in einem Bucket, die mit dem Präfix engineering/ beginnen.

Unterpräfix

Wenn Sie Zugriff auf einen registrierten Speicherort gewähren, können Sie im Feld Subprefix den Umfang auf ein bestimmtes Präfix oder ein bestimmtes Objekt in einem Bucket eingrenzen.

Sie können keine Zugriffsgewährung für den Standardspeicherort in s3:// erstellen, da der Empfänger hierdurch Zugriff auf alle Buckets in einer Region erhält. Wenn Sie den Standardspeicherort in s3:// als Speicherort für die Gewährung auswählen, müssen Sie im Feld Subprefix den Umfang der Gewährung durch die Angabe eines der folgenden Elemente eingrenzen:

  • Bucket – s3://bucket/*

  • Präfix innerhalb eines Buckets – s3://bucket/prefix*

  • Präfix innerhalb eines Präfixes – s3://bucket/prefixA/prefixB*

  • Objekt – s3://bucket/object-key-name

Wenn Sie eine Zugriffsberechtigung erstellen, deren registrierter Speicherort ein Bucket ist, können Sie im Feld Subprefix eines der folgenden Elemente übergeben:

  • Präfix innerhalb des Buckets – prefix*

  • Präfix innerhalb eines Präfixes – prefixA/prefixB*

  • Objekt – /object-key-name

Der Umfang der Gewährung, der in der Amazon S3 S3-Konsole angezeigt wird oder der GrantScope in der API oder AWS Command Line Interface (AWS CLI) -Antwort zurückgegeben wird, ist das Ergebnis der Verkettung des Standortpfads mit dem. Subprefix Dieser verkettete Pfad muss mit dem S3-Bucket, Präfix oder Objekt übereinstimmen, dem Sie Zugriff gewähren möchten.

Wenn Sie eine Zugriffsgewährung erstellen, die Zugriff auf nur ein Objekt gewährt, müssen Sie im API-Aufruf oder CLI-Befehl angeben, dass s3PrefixType Object ist.

Anmerkung

Sie können keine Gewährung für einen Bucket erstellen, der noch nicht vorhanden ist. Sie können jedoch eine Gewährung für ein Präfix erstellen, das noch nicht vorhanden ist.

Sie können mithilfe der Amazon S3-Konsole AWS CLI, der Amazon S3-REST-API und AWS SDKs eine Zugriffsgewährung erstellen.

So erstellen Sie eine Zugriffsgewährung

  1. Melden Sie sich bei der Amazon S3 S3-Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im linken Navigationsbereich Zugriffsgewährungen aus.

  3. Wählen Sie auf der Seite S3 Access Grants die Region mit der S3-Access-Grants-Instance aus, mit der Sie arbeiten möchten.

    Wenn Sie die S3-Access-Grants-Instance zum ersten Mal verwenden, müssen Sie Schritt 2 – Registrieren eines Speicherorts abgeschlossen haben und zu Schritt 3 des Assistenten Access-Grants-Instance einrichten gewechselt sein. Wenn Sie bereits über eine S3-Access-Grants-Instance verfügen, wählen Sie Details anzeigen und dann auf der Registerkarte Gewährungen die Option Gewährung erstellen aus.

    1. Wählen Sie im Abschnitt Gewährungsumfang einen registrierten Standort aus oder geben Sie diesen ein.

      Wenn Sie den s3://-Standardspeicherort ausgewählt haben, können Sie im Feld Unterpräfix den Umfang der Zugriffsgewährung einschränken. Weitere Informationen finden Sie unter Unterpräfix. Wenn Sie lediglich einem Objekt Zugriff gewähren, wählen Sie Gewährungsumfang ist ein Objekt aus.

    2. Wählen Sie unter Berechtigungen und Zugriff die Stufe der Berechtigung aus, Lesen, Schreiben oder beides.

      Wählen Sie dann den Empfängertyp aus. Wenn Sie Ihr Unternehmensverzeichnis zu IAM Identity Center hinzugefügt und diese IAM-Identity-Center-Instance mit Ihrer S3-Access-Grants-Instance verknüpft haben, können Sie Verzeichnisidentität aus IAM Identity Center auswählen. Wenn Sie diese Option auswählen, rufen Sie die ID des Benutzers oder der Gruppe aus IAM Identity Center ab und geben diese in diesen Abschnitt ein.

      Wenn der Empfängertyp ein IAM-Benutzer oder eine IAM-Rolle ist, wählen Sie IAM-Prinzipal aus. Wählen Sie in IAM-Prinzipaltyp die Option Benutzer oder Rolle aus. Wählen Sie dann in IAM-Prinzipalbenutzer entweder einen Eintrag aus der Liste aus oder geben Sie die ID der Identität ein.

    3. Um die S3-Access-Grants-Gewährung zu erstellen, wählen Sie Weiter oder Gewährung erstellen aus.

  4. Wenn Weiter oder Gewährung erstellen deaktiviert ist:

    Gewährung kann nicht erstellt werden

    • Möglicherweise müssen Sie in Ihrer S3-Access-Grants-Instance zuerst einen Speicherort registrieren.

    • Möglicherweise besitzen Sie die Berechtigung s3:CreateAccessGrant nicht, die für die Erstellung Zugriffsgewährung erforderlich ist. Nehmen Sie Kontakt mit Ihrem Kontoadministrator auf.

Informationen zur AWS CLI Installation von finden Sie unter Installation von AWS CLI im AWS Command Line Interface Benutzerhandbuch.

Die folgenden Beispiele zeigen, wie Sie eine Anforderung für eine Zugriffsgewährung für einen IAM-Prinzipal bzw. für einen Benutzer oder eine Gruppe im Unternehmensverzeichnis erstellen.

Um die folgenden Beispielbefehle zu verwenden, ersetzen Sie user input placeholders durch eigene Daten.

Anmerkung

Wenn Sie eine Zugriffsgewährung erstellen, die Zugriff auf ein einzelnes Objekt gewährt, geben Sie den erforderlichen Parameter --s3-prefix-type Object an.

Beispiel Erstellen einer Anforderung für eine Zugriffsgewährung für einen IAM-Prinzipal
aws s3control create-access-grant \
--account-id 111122223333 \
--access-grants-location-id a1b2c3d4-5678-90ab-cdef-EXAMPLE22222 \
--access-grants-location-configuration S3SubPrefix=prefixB* \
--permission READ \
--grantee GranteeType=IAM,GranteeIdentifier=arn:aws:iam::123456789012:user/data-consumer-3
Beispiel Erstellen einer Zugriffsgewährungsantwort
{"CreatedAt": "2023-05-31T18:41:34.663000+00:00",
    "AccessGrantId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "AccessGrantArn": "arn:aws:s3:us-east-2:111122223333:access-grants/default/grant/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Grantee": {
        "GranteeType": "IAM",
        "GranteeIdentifier": "arn:aws:iam::111122223333:user/data-consumer-3"
    },
    "AccessGrantsLocationId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
    "AccessGrantsLocationConfiguration": {
        "S3SubPrefix": "prefixB*"
    },
    "GrantScope": "s3://DOC-BUCKET-EXAMPLE/prefix*",
    "Permission": "READ"
}
Erstellen einer Anforderung für eine Zugriffsgewährung für einen Verzeichnisbenutzer oder eine Verzeichnisgruppe

Zur Erstellung einer Anforderung für eine Zugriffsgewährung für einen Verzeichnisbenutzer oder eine Verzeichnisgruppe müssen Sie zunächst die GUID für den Verzeichnisbenutzer oder die Verzeichnisgruppe abrufen, indem Sie einen der folgenden Befehle ausführen.

Beispiel Abrufen einer GUID für einen Verzeichnisbenutzer oder eine Verzeichnisgruppe

Sie finden die GUID eines IAM Identity Center-Benutzers über die IAM Identity Center-Konsole oder mithilfe der AWS CLI oder SDKs. AWS Der folgende Befehl listet die Benutzer in der angegebenen IAM-Identity-Center-Instance mit Namen und IDs auf.

aws identitystore list-users --identity-store-id d-1a2b3c4d1234

Dieser Befehl listet die Gruppen in der angegebenen IAM-Identity-Center-Instance auf.

aws identitystore list-groups --identity-store-id d-1a2b3c4d1234
Beispiel Erstellen einer Zugriffsgewährung für einen Verzeichnisbenutzer oder eine Verzeichnisgruppe

Dieser Befehl ist der Erstellung einer Gewährung für IAM-Benutzer oder -Rollen ähnlich. Der Empfängertyp ist jedoch DIRECTORY_USER oder DIRECTORY_GROUP und die Empfänger-ID ist die GUID für den Verzeichnisbenutzer oder die Verzeichnisgruppe.

aws s3control create-access-grant \
--account-id 123456789012 \
--access-grants-location-id default \
--access-grants-location-configuration S3SubPrefix="DOC-EXAMPLE-BUCKET/rafael/*" \
--permission READWRITE \
--grantee GranteeType=DIRECTORY_USER,GranteeIdentifier=83d43802-00b1-7054-db02-f1d683aacba5 \

Informationen zur Amazon-S3-REST-API-Unterstützung für die Verwaltung von Zugriffsgewährungen finden Sie in den folgenden Abschnitten in der Amazon-Simple-Storage-Service-API-Referenz:

Dieser Abschnitt enthält Beispiele dafür, wie Sie mit den AWS SDKs eine Zugriffsgewährung erstellen.

Java

Wenn Sie das folgende Beispiel verwenden möchten, ersetzen Sie user input placeholders durch eigene Daten.

Anmerkung

Wenn Sie eine Zugriffsgewährung erstellen, die Zugriff auf ein einzelnes Objekt gewährt, geben Sie den erforderlichen Parameter .s3PrefixType(S3PrefixType.Object) an.

Beispiel Erstellen einer Anforderung für eine Zugriffsgewährung
public void createAccessGrant() {
CreateAccessGrantRequest createRequest = CreateAccessGrantRequest.builder()
.accountId("111122223333")
.accessGrantsLocationId("a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa")
.permission("READ")
.accessGrantsLocationConfiguration(AccessGrantsLocationConfiguration.builder().s3SubPrefix("prefixB*").build())
.grantee(Grantee.builder().granteeType("IAM").granteeIdentifier("arn:aws:iam::111122223333:user/data-consumer-3").build())
.build();
CreateAccessGrantResponse createResponse = s3Control.createAccessGrant(createRequest);
LOGGER.info("CreateAccessGrantResponse: " + createResponse);
}
Beispiel Erstellen einer Zugriffsgewährungsantwort
CreateAccessGrantResponse(
CreatedAt=2023-06-07T05:20:26.330Z,
AccessGrantId=a1b2c3d4-5678-90ab-cdef-EXAMPLE33333,
AccessGrantArn=arn:aws:s3:us-east-2:444455556666:access-grants/default/grant/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333,
Grantee=Grantee(
GranteeType=IAM,
GranteeIdentifier=arn:aws:iam::111122223333:user/data-consumer-3
),
AccessGrantsLocationId=a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa,
AccessGrantsLocationConfiguration=AccessGrantsLocationConfiguration(
S3SubPrefix=prefixB*
),
GrantScope=s3://DOC-BUCKET-EXAMPLE/prefixB,
Permission=READ
)
Themen