Verwalten des Zugriffs mit S3-Zugriffsberechtigungen

Zur Einhaltung des Grundsatzes der geringsten Berechtigung definieren Sie die Details des Zugriffs auf Ihre Amazon-S3-Daten basierend auf Anwendungen, Personas, Gruppen oder Organisationseinheiten. Abhängig von Umfang und Komplexität der Zugriffsmuster können Sie verschiedene Ansätze zur Gewährung eines detaillierten Zugriffs auf Ihre Daten in Amazon S3 verwenden.

Der einfachste Ansatz zur Verwaltung des Zugriffs auf small-to-medium eine Reihe von Datensätzen in Amazon S3 von AWS Identity and Access Management (IAM) Das Prinzip besteht darin, IAMBerechtigungsrichtlinien und S3-Bucket-Richtlinien zu definieren. Diese Strategie funktioniert, solange die erforderlichen Richtlinien innerhalb der Größenbeschränkungen der S3-Bucket-Richtlinien (20 KB) und IAM Richtlinien (5 KB) und innerhalb der Anzahl der pro Konto zulässigen IAM Prinzipale liegen.

Wenn die Zahl Ihrer Datensätze und Anwendungsfälle wächst, werden auch Richtlinien wichtiger. Ein Ansatz, der Richtlinienanweisungen deutlich mehr Raum gibt, besteht in der Verwendung von S3-Zugangspunkten als zusätzlichen Endpunkten für S3-Buckets, da jeder Zugangspunkt eine eigene Richtlinie haben kann. Sie können recht detaillierte Zugriffskontrollmuster definieren, da Sie Tausende von Zugriffspunkten pro Person einrichten können AWS-Region pro Konto, mit einer Richtlinie mit einer Größe von bis zu 20 KB für jeden Access Point. S3-Zugangspunkte vergrößern zwar den verfügbaren Raum für Richtlinien, erfordern jedoch einen Mechanismus, mit dem Clients den richtigen Zugangspunkt für den richtigen Datensatz finden können.

Ein dritter Ansatz besteht darin, ein IAMSitzungsbroker-Muster zu implementieren, bei dem Sie eine Logik für die Zugriffsentscheidung implementieren und für jede Zugriffssitzung dynamisch kurzfristige IAM Sitzungsanmeldeinformationen generieren. Der IAM Sitzungsbroker-Ansatz unterstützt zwar beliebig dynamische Berechtigungsmuster und lässt sich effektiv skalieren, Sie müssen jedoch die Logik für die Zugriffsmuster erstellen.

Sie können anstelle dieser Ansätze S3 Access Grants verwenden, um den Zugriff auf Ihre Amazon-S3-Daten zu verwalten. S3 Access Grants bietet ein vereinfachtes Modell für die Definition von Zugriffsberechtigungen für Daten in Amazon S3 nach Präfix, Bucket oder Objekt. Darüber hinaus können Sie S3 Access Grants verwenden, um sowohl IAM Prinzipalen als auch direkt Benutzern oder Gruppen aus Ihrem Unternehmensverzeichnis Zugriff zu gewähren.

In der Regel definieren Sie Berechtigungen für Daten in Amazon S3, indem Sie Benutzer und Gruppen Datensätzen zuordnen. Sie können mit S3 Access Grants die direkte Zuordnung von S3-Präfixen zu Benutzern und Rollen in Amazon-S3-Buckets und -Objekten definieren. Mit dem vereinfachten Zugriffsschema in S3 Access Grants können Sie beiden IAM Prinzipalen und direkt Benutzern oder Gruppen aus einem Unternehmensverzeichnis Lese-, Schreib- oder Leserechte pro S3-Präfix gewähren. Über diese S3-Access-Grants-Funktionen können Anwendungen im Namen des aktuell authentifizierten Benutzers der Anwendung Daten von Amazon S3 anfordern.

Wenn Sie S3 Access Grants mit der Funktion zur Verbreitung vertrauenswürdiger Identitäten von integrieren AWS IAM Identity Center, können Ihre Anwendungen Anfragen stellen an AWS-Services (einschließlich S3 Access Grants) direkt im Namen eines authentifizierten Unternehmensverzeichnisbenutzers. Ihre Anwendungen müssen den Benutzer nicht mehr zuerst einem IAM Prinzipal zuordnen. Darüber hinaus wird die Überprüfung vereinfacht, welcher Benutzer auf welches S3-Objekt zugegriffen hat, da Endbenutzeridentitäten bis zu Amazon S3 weitergegeben werden. Sie müssen die Beziehung zwischen verschiedenen Benutzern und IAM Sitzungen nicht mehr rekonstruieren. Wenn Sie S3 Access Grants mit IAM Identity Center Trusted Identity Propagation verwenden, gilt jeweils AWS CloudTrailDas Datenereignis für Amazon S3 enthält einen direkten Verweis auf den Endbenutzer, in dessen Namen auf die Daten zugegriffen wurde.

Weitere Informationen zu S3 Access Grants finden Sie in den folgenden Themen.