Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiele für identitätsbasierte Richtlinien für Amazon S3
In diesem Abschnitt werden mehrere identitätsbasierte AWS Identity and Access Management (IAM) beispielhafte Richtlinien zur Steuerung des Zugriffs auf Amazon S3 gezeigt. Beispiele für Bucket-Richtlinien (ressourcenbasierte Richtlinien) finden Sie unter. Bucket-Richtlinien für Amazon S3 Informationen zur Sprache der IAM Richtlinien finden Sie unter. Richtlinien und Berechtigungen in Amazon S3
Die folgenden Beispielrichtlinien funktionieren, wenn Sie sie programmgesteuert verwenden. Um sie mit der Amazon-S3-Konsole verwenden zu können, müssen Sie aber zusätzliche Berechtigungen gewähren, die für die Konsole erforderlich sind. Informationen zur Verwendung von Richtlinien wie dieser mit der Amazon-S3-Konsole finden Sie unter Kontrollieren des Zugriffs auf einen Bucket mit Benutzerrichtlinien.
Weitere Informationen zu den Berechtigungen für API S3-Operationen nach S3-Ressourcentypen finden Sie unterErforderliche Berechtigungen für Amazon S3 API S3-Operationen.
Themen
- Einem IAM Benutzer Zugriff auf einen Ihrer Buckets gewähren
- Erlaubt jedem IAM Benutzer den Zugriff auf einen Ordner in einem Bucket
- Einer Gruppe erlauben, einen freigegebenen Ordner in Amazon S3 zu haben
- Erteilen der Erlaubnis für alle Benutzer, Objekte in einem Teil des Buckets zu lesen
- Erteilen der Erlaubnis für einen Partner, Dateien in einem bestimmten Bereich des Buckets abzulegen
- Beschränken des Zugriffs auf Amazon-S3-Buckets in einem bestimmten AWS-Konto
- Beschränken Sie den Zugriff auf Amazon S3 S3-Buckets innerhalb Ihrer Organisationseinheit
- Beschränken des Zugriffs auf Amazon-S3-Buckets innerhalb Ihrer Organisation
- Erteilung der Erlaubnis zum Abrufen der PublicAccessBlock Konfiguration für ein AWS-Konto
- Beschränken der Bucket-Erstellung auf eine Region
Einem IAM Benutzer Zugriff auf einen Ihrer Buckets gewähren
In diesem Beispiel möchten Sie einem IAM Benutzer in Ihrer Nähe AWS-Konto Zugriff auf einen Ihrer Buckets gewähren, amzn-s3-demo-bucket1, und dem Benutzer ermöglichen, Objekte hinzuzufügen, zu aktualisieren und zu löschen.
Zusätzlich zum Erteilen der Berechtigungen s3:PutObject, s3:GetObject und s3:DeleteObject für den Benutzer, gewährt die Richtlinie die Berechtigungen s3:ListAllMyBuckets, s3:GetBucketLocation und s3:ListBucket. Dies sind die zusätzlichen Berechtigungen, die von der Konsole benötigt werden. Außerdem sind die Aktionen s3:PutObjectAcl und s3:GetObjectAcl erforderlich, um Objekte in der Konsole kopieren, ausschneiden und einfügen zu können. Ein detailliertes Beispiel für eine Richtlinie, die Berechtigungen für Benutzer erteilt und sie unter Verwendung der Konsole testet, finden Sie unter Kontrollieren des Zugriffs auf einen Bucket mit Benutzerrichtlinien.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action": "s3:ListAllMyBuckets", "Resource":"*" }, { "Effect":"Allow", "Action":["s3:ListBucket","s3:GetBucketLocation"], "Resource":"arn:aws:s3:::amzn-s3-demo-bucket1" }, { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:PutObjectAcl", "s3:GetObject", "s3:GetObjectAcl", "s3:DeleteObject" ], "Resource":"arn:aws:s3:::amzn-s3-demo-bucket1/*" } ] }
Erlaubt jedem IAM Benutzer den Zugriff auf einen Ordner in einem Bucket
In diesem Beispiel möchten Sie, dass zwei IAM Benutzer, Mary und Carlos, Zugriff auf Ihren Bucket haben. amzn-s3-demo-bucket1, sodass sie Objekte hinzufügen, aktualisieren und löschen können. Allerdings möchten Sie den Zugriff beider Benutzer auf ein einzelnes Präfix (Ordner) im Bucket einschränken. Sie können Ordner mit Namen erstellen, die ihren Benutzernamen entsprechen.
amzn-s3-demo-bucket1Mary/Carlos/
Um jedem Benutzer nur den Zugriff auf den eigenen Ordner zu gewähren, können Sie für jeden Benutzer eine Richtlinie schreiben und ihnen einzeln zuweisen. Sie können beispielsweise die folgende Richtlinie der Benutzerin Mary zuweisen, um ihr spezifische Amazon-S3-Berechtigungen für den Ordner amzn-s3-demo-bucket1/Mary
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:GetObject", "s3:GetObjectVersion", "s3:DeleteObject", "s3:DeleteObjectVersion" ], "Resource":"arn:aws:s3:::amzn-s3-demo-bucket1/Mary/*" } ] }
Dann können Sie dem Benutzer Carlos eine ähnliche Richtlinie zuweisen, indem Sie den Ordner CarlosResource angeben.
Statt Richtlinien einzelnen Benutzern zuzuweisen, können Sie auch eine einzelne Richtlinie mit einer Richtlinienvariable schreiben und dann die Richtlinie einer Gruppe zuweisen. Sie müssen zuerst eine Gruppe erstellen und die Benutzer Mary und Carlos in die Gruppe aufnehmen. Die folgende Beispielrichtlinie erlaubt eine Reihe von Amazon-S3-Berechtigungen für den Ordner amzn-s3-demo-bucket1/${aws:username}${aws:username} durch den Benutzernamen des Anforderers ersetzt. Wenn Mary beispielsweise eine Anforderung zum Anlegen eines Objekts sendet, ist die Operation nur zulässig, wenn Mary das Objekt in den Ordner amzn-s3-demo-bucket1/Mary
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:GetObject", "s3:GetObjectVersion", "s3:DeleteObject", "s3:DeleteObjectVersion" ], "Resource":"arn:aws:s3:::amzn-s3-demo-bucket1/${aws:username}/*" } ] }
Anmerkung
Bei der Verwendung von Richtlinienvariablen müssen Sie explizit die Version 2012-10-17 in der Richtlinie angeben. Die Standardversion der IAM Richtliniensprache, 17.10.2008, unterstützt keine Richtlinienvariablen.
Wenn Sie die vorherige Richtlinie in der Amazon-S3-Konsole testen möchten, erfordert die Konsole zusätzliche Berechtigungen, wie in der folgenden Richtlinie gezeigt. Weitere Informationen darüber, wie die Konsole diese Berechtigungen verwendet, finden Sie unter Kontrollieren des Zugriffs auf einen Bucket mit Benutzerrichtlinien.
{ "Version":"2012-10-17", "Statement": [ { "Sid": "AllowGroupToSeeBucketListInTheConsole", "Action": [ "s3:ListAllMyBuckets", "s3:GetBucketLocation" ], "Effect": "Allow", "Resource": "arn:aws:s3:::*" }, { "Sid": "AllowRootLevelListingOfTheBucket", "Action": "s3:ListBucket", "Effect": "Allow", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1", "Condition":{ "StringEquals":{ "s3:prefix":[""], "s3:delimiter":["/"] } } }, { "Sid": "AllowListBucketOfASpecificUserPrefix", "Action": "s3:ListBucket", "Effect": "Allow", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1", "Condition":{ "StringLike":{"s3:prefix":["${aws:username}/*"] } } }, { "Sid": "AllowUserSpecificActionsOnlyInTheSpecificUserPrefix", "Effect":"Allow", "Action":[ "s3:PutObject", "s3:GetObject", "s3:GetObjectVersion", "s3:DeleteObject", "s3:DeleteObjectVersion" ], "Resource":"arn:aws:s3:::amzn-s3-demo-bucket1/${aws:username}/*" } ] }
Anmerkung
In der 2012-10-17-Version der Richtlinie beginnen Richtlinienvariablen mit $. Diese Syntaxänderung kann möglicherweise einen Konflikt verursachen, wenn Ihr Objektschlüssel (Objektname) ein $-Zeichen enthält.
Damit dieser Konflikt vermieden wird, geben Sie das Zeichen $ mithilfe von ${$} an. Um beispielsweise einen Objektschlüssel my$file in eine Richtlinie aufzunehmen, geben Sie das Zeichen mit my${$}file an.
IAMBenutzernamen sind zwar benutzerfreundliche, für Menschen lesbare Kennungen, müssen aber nicht global eindeutig sein. Wenn beispielsweise der Benutzer Carlos die Organisation verlässt und ein anderer Carlos hinzukommt, könnte der neue Carlos auf die Informationen des vorherigen Carlos zugreifen.
Anstatt Benutzernamen zu verwenden, könnten Sie Ordner auf Benutzerbasis erstellen. IAM IDs Jede IAM Benutzer-ID ist einzigartig. In diesem Fall müssen Sie die vorherige Richtlinie ändern, und die Richtlinienvariable ${aws:userid} verwenden. Weitere Informationen zu Benutzerkennungen finden Sie unter IAMIdentifikatoren im IAMBenutzerhandbuch.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:GetObject", "s3:GetObjectVersion", "s3:DeleteObject", "s3:DeleteObjectVersion" ], "Resource":"arn:aws:s3:::amzn-s3-demo-bucket1/home/${aws:userid}/*" } ] }
Erlauben Sie IAM Nichtbenutzern (Benutzern mobiler Apps) den Zugriff auf Ordner in einem Bucket
Angenommen, Sie möchten eine mobile App entwickeln, ein Spiel, in dem Benutzerdaten in einem S3-Bucket gespeichert werden. Sie möchten für jeden App-Benutzer einen Ordner in Ihrem Bucket erstellen. Sie möchten auch den Zugriff jedes Benutzers auf seinen eigenen Ordner einschränken. Sie können jedoch keine Ordner erstellen, bevor jemand Ihre App heruntergeladen und das Spiel gespielt hat, da Sie dessen Benutzer-ID nicht haben.
In diesem Fall können Sie von den Nutzern verlangen, dass Sie sich in Ihrer App über einen öffentlichen Identitätsanbieter anmelden, wie z. B. Login with Amazon, Facebook oder Google. Nachdem sich Benutzer über einen dieser Anbieter bei Ihrer App angemeldet haben, verfügen sie über eine Benutzer-ID, mit der Sie zur Laufzeit benutzerspezifische Ordner erstellen können.
Sie können dann den Web-Identitätsverbund verwenden AWS Security Token Service , um Informationen vom Identitätsanbieter in Ihre App zu integrieren und temporäre Sicherheitsanmeldeinformationen für jeden Benutzer zu erhalten. Anschließend können Sie IAM Richtlinien erstellen, die es der App ermöglichen, auf Ihren Bucket zuzugreifen und beispielsweise benutzerspezifische Ordner zu erstellen und Daten hochzuladen. Weitere Informationen zum Web Identity Federation finden Sie unter About Web Identity Federation im IAMBenutzerhandbuch.
Einer Gruppe erlauben, einen freigegebenen Ordner in Amazon S3 zu haben
Durch Anfügen der folgenden Richtlinie an die Gruppe erhalten alle Benutzer der Gruppe Zugriff auf den folgenden Ordner in Amazon S3: amzn-s3-demo-bucket1/share/marketing
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:GetObject", "s3:GetObjectVersion", "s3:DeleteObject", "s3:DeleteObjectVersion" ], "Resource":"arn:aws:s3:::amzn-s3-demo-bucket1/share/marketing/*" } ] }
Erteilen der Erlaubnis für alle Benutzer, Objekte in einem Teil des Buckets zu lesen
In diesem Beispiel erstellen Sie eine Gruppe mit dem NamenAllUsersGetObject und GetObjectVersion gewährt, jedoch nur für Objekte im Ordner amzn-s3-demo-bucket1/readonly
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:GetObject", "s3:GetObjectVersion" ], "Resource":"arn:aws:s3:::amzn-s3-demo-bucket1/readonly/*" } ] }
Erteilen der Erlaubnis für einen Partner, Dateien in einem bestimmten Bereich des Buckets abzulegen
In diesem Beispiel erstellen Sie eine Gruppe namens AnyCompany
Sie fügen dann eine Richtlinie hinzu, die der Gruppe den PutObject-Zugriff auf den folgenden Ordner im Bucket erteilt:
amzn-s3-demo-bucket1/uploads/anycompany
Sie möchten verhindern, dass die AnyCompanyPutObject in einer Amazon-S3-Ressource im AWS-Konto.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"s3:PutObject", "Resource":"arn:aws:s3:::amzn-s3-demo-bucket1/uploads/anycompany/*" }, { "Effect":"Deny", "Action":"s3:*", "NotResource":"arn:aws:s3:::amzn-s3-demo-bucket1/uploads/anycompany/*" } ] }
Beschränken des Zugriffs auf Amazon-S3-Buckets in einem bestimmten AWS-Konto
Wenn Sie sicherstellen möchten, dass Ihre Amazon S3 S3-Prinzipale nur auf die Ressourcen zugreifen, die sich in einem vertrauenswürdigen System befinden AWS-Konto, können Sie den Zugriff einschränken. Diese identitätsbasierte IAM Richtlinie verwendet beispielsweise einen Deny Effekt, um den Zugriff auf Amazon S3 S3-Aktionen zu blockieren, es sei denn, die Amazon S3 S3-Ressource, auf die zugegriffen wird, befindet sich im Konto. 222222222222
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyS3AccessOutsideMyBoundary", "Effect": "Deny", "Action": [ "s3:*" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:ResourceAccount": [ "222222222222" ] } } } ] }
Anmerkung
Diese Richtlinie ersetzt nicht Ihre bestehenden IAM Zugriffskontrollen, da sie keinen Zugriff gewährt. Stattdessen dient diese Richtlinie als zusätzliche Schutzmaßnahme für Ihre anderen IAM Berechtigungen, unabhängig davon, welche Berechtigungen im Rahmen anderer IAM Richtlinien gewährt wurden.
Ersetzen Sie unbedingt die Konto-ID 222222222222aws:PrincipalAccount. Diese Bedingung erfordert, dass sich der Prinzipal und die Ressource in demselben Konto befinden müssen.
Beschränken Sie den Zugriff auf Amazon S3 S3-Buckets innerhalb Ihrer Organisationseinheit
Wenn Sie eine Organisationseinheit (OU) eingerichtet haben AWS Organizations, möchten Sie möglicherweise den Zugriff auf den Amazon S3 S3-Bucket auf einen bestimmten Teil Ihrer Organisation beschränken. In diesem Beispiel wird der aws:ResourceOrgPaths-Schlüssel verwendet, um den Amazon-S3-Bucket-Zugriff auf eine OU in Ihrer Organisation einzuschränken. In diesem Beispiel lautet die OU-ID ou-acroot-exampleou
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowS3AccessOutsideMyBoundary", "Effect": "Allow", "Action": [ "s3:*" ], "Resource": "*", "Condition": { "ForAllValues:StringNotLike": { "aws:ResourceOrgPaths": [ "o-acorg/r-acroot/ou-acroot-exampleou/" ] } } } ] }
Anmerkung
Diese Richtlinie gewährt keinen Zugriff. Stattdessen dient diese Richtlinie als Backstop für Ihre anderen IAM Berechtigungen und verhindert, dass Ihre Prinzipale außerhalb einer von der OU definierten Grenze auf Amazon S3 S3-Objekte zugreifen.
Die Richtlinie verweigert den Zugriff auf Amazon-S3-Aktionen, es sei denn, das Amazon-S3-Objekt, auf das zugegriffen wird, befindet sich in der OU ou-acroot-exampleouaws:ResourceOrgPaths, dass ein mehrwertiger Bedingungsschlüssel einen der aufgelisteten OU-Pfade enthält. Die Richtlinie verwendet den ForAllValues:StringNotLike Operator, um die Werte von mit den aufgelisteten Werten aws:ResourceOrgPaths zu vergleichen, OUs ohne dass Groß- und Kleinschreibung beachtet wird.
Beschränken des Zugriffs auf Amazon-S3-Buckets innerhalb Ihrer Organisation
Um den Zugriff auf Amazon S3 S3-Objekte innerhalb Ihrer Organisation einzuschränken, fügen Sie dem Stamm der Organisation eine IAM Richtlinie hinzu, die auf alle Konten in Ihrer Organisation angewendet wird. Verwenden Sie eine Service-Control-Richtlinie (SCP), um von Ihren IAM Prinzipalen die Einhaltung dieser Regel zu verlangen. Wenn Sie sich für eine entscheidenSCP, stellen Sie sicher, dass Sie sie gründlich testen, SCP bevor Sie die Richtlinie dem Stammverzeichnis der Organisation zuordnen.
In der folgenden Beispielrichtlinie wird der Zugriff auf Amazon S3 S3-Aktionen verweigert, es sei denn, das Amazon S3 S3-Objekt, auf das zugegriffen wird, befindet sich in derselben Organisation wie der IAM Principal, der darauf zugreift:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyS3AccessOutsideMyBoundary", "Effect": "Deny", "Action": [ "s3:*" ], "Resource": "arn:aws:s3:::*/*", "Condition": { "StringNotEquals": { "aws:ResourceOrgID": "${aws:PrincipalOrgID}" } } } ] }
Anmerkung
Diese Richtlinie gewährt keinen Zugriff. Stattdessen dient diese Richtlinie als Backstop für Ihre anderen IAM Berechtigungen und verhindert, dass Ihre Prinzipale auf Amazon S3 S3-Objekte außerhalb Ihrer Organisation zugreifen. Diese Richtlinie gilt auch für Amazon-S3-Ressourcen, die nach Inkrafttreten der Richtlinie erstellt werden.
Die IAMRichtlinienbedingung in diesem Beispiel erfordertaws:PrincipalOrgID, dass aws:ResourceOrgID und einander entsprechen. Bei dieser Anforderung müssen sich der Prinzipal, der die Anforderung stellt, und die Ressource, auf die zugegriffen wird, in derselben Organisation befinden.
Erteilung der Erlaubnis zum Abrufen der PublicAccessBlock Konfiguration für ein AWS-Konto
Das folgende Beispiel für eine identitätsbasierte Richtlinie erteilt einem Benutzer die s3:GetAccountPublicAccessBlock entsprechende Berechtigung. Für diese Berechtigungen legen Sie den Wert Resource auf "*" fest. Hinweise zur Ressource ARNs finden Sie unter. Richtlinienressourcen für Amazon S3
{ "Version":"2012-10-17", "Statement":[ { "Sid":"statement1", "Effect":"Allow", "Action":[ "s3:GetAccountPublicAccessBlock" ], "Resource":[ "*" ] } ] }
Beschränken der Bucket-Erstellung auf eine Region
Angenommen, ein AWS-Konto Administrator möchte seinem Benutzer (Dave) die Erlaubnis erteilen, einen Bucket nur in der Region Südamerika (São Paulo) zu erstellen. Der Kontoadministrator kann die folgende Benutzerrichtlinie anfügen, welche die Berechtigung s3:CreateBucket mit der angegebenen Bedingung gewährt. Das Schlüssel-Wert-Paar im Block Condition gibt den Schlüssel s3:LocationConstraint und die Region sa-east-1 als seinen Wert an.
Anmerkung
In diesem Beispiel erteilt der Bucket-Eigentümer einem seiner Benutzer die Berechtigung, daher kann entweder eine Bucket-Richtlinie oder eine Benutzerrichtlinie verwendet werden. Dieses Beispiel zeigt eine Benutzerrichtlinie.
Die Liste der Amazon-S3-Regionen finden Sie unter Regionen und Endpunkte in der Allgemeine AWS-Referenz.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"statement1", "Effect":"Allow", "Action": "s3:CreateBucket", "Resource": "arn:aws:s3:::*", "Condition": { "StringLike": { "s3:LocationConstraint": "sa-east-1" } } } ] }
Hinzufügen einer expliziten Zugriffsverweigerung
Die vorangegangene Richtlinie hindert den Benutzer an der Erstellung eines Buckets in einer anderen Region als sa-east-1. Einige andere Richtlinien gewähren diesem Benutzer möglicherweise jedoch die Berechtigung, Buckets in einer anderen Region zu erstellen. Wenn der Benutzer beispielsweise zu einer Gruppe gehört, ist der Gruppe möglicherweise eine Richtlinie angefügt, die alle Benutzer der Gruppe zum Erstellen von Buckets in einer anderen Region berechtigt. Um sicherzustellen, dass der Benutzer keine Berechtigung zum Erstellen von Buckets in einer anderen Region erhält, können Sie der obigen Richtlinie eine ausdrückliche Ablehnungsklausel hinzufügen.
Die Anweisung Deny verwendet die Bedingung StringNotLike. Das bedeutet, dass, eine Anforderung zum Erstellen eines Buckets abgelehnt wird, wenn die Standorteinschränkung nicht sa-east-1 ist. Die ausdrückliche Ablehnung erlaubt es dem Benutzer nicht, einen Bucket in einer anderen Region zu erstellen, unabhängig davon, welche anderen Berechtigungen der Benutzer erhält. Die folgende Richtlinie beinhaltet eine ausdrückliche Ablehnungsklausel.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"statement1", "Effect":"Allow", "Action": "s3:CreateBucket", "Resource": "arn:aws:s3:::*", "Condition": { "StringLike": { "s3:LocationConstraint": "sa-east-1" } } }, { "Sid":"statement2", "Effect":"Deny", "Action": "s3:CreateBucket", "Resource": "arn:aws:s3:::*", "Condition": { "StringNotLike": { "s3:LocationConstraint": "sa-east-1" } } } ] }
Testen Sie die Richtlinie mit AWS CLI
Sie können die Richtlinie mit dem folgenden create-bucket AWS CLI Befehl testen. In diesem Beispiel wird die Datei bucketconfig.txt verwendet, um die Standortbeschränkung anzugeben. Beachten Sie den Windows Dateipfad. Sie müssen den Bucket-Namen und -Pfad entsprechend aktualisieren. Sie müssen die Anmeldeinformationen des Benutzers bereitstellen, indem Sie den Parameter --profile hinzufügen. Weitere Informationen zur Einrichtung und Verwendung von finden Sie unter Entwickeln mit Amazon S3 unter Verwendung von AWS CLI in der Amazon S3 API S3-Referenz. AWS CLI
aws s3api create-bucket --bucketexamplebucket--profile AccountADave --create-bucket-configuration file://c:/Users/someUser/bucketconfig.txt
Die Datei bucketconfig.txt gibt die Konfiguration wie folgt an.
{"LocationConstraint": "sa-east-1"}
