Bevor Sie die beispiehalften Walkthroughs ausprobieren

Exemplarische Vorgehensweisen, die Richtlinien verwenden, um den Zugriff auf Ihre Amazon S3 S3-Ressourcen zu verwalten

In diesem Thema werden die folgenden einführenden Anleitungsbeispiele für das Gewähren des Zugriffs aufs Amazon-S3-Ressourcen bereitgestellt. In AWS Management Console diesen Beispielen werden Ressourcen (Buckets, Objekte, Benutzer) erstellt und ihnen Berechtigungen erteilt. Anschließend zeigen die Beispiele auf, wie Sie Berechtigungen mithilfe der Befehlszeilen-Tools überprüfen können, sodass Sie keinen Code schreiben müssen. Wir stellen Befehle bereit, die sowohl das AWS Command Line Interface (AWS CLI) als auch das AWS Tools for Windows PowerShell verwenden.

Beispiel 1: Bucket-Eigentümer erteilt seinen Benutzern Bucket-Berechtigungen

Die IAM Benutzer, die Sie in Ihrem Konto erstellen, haben standardmäßig keine Berechtigungen. In dieser Übung erteilen Sie einem Benutzer die Berechtigung, Bucket- und Objekt-Vorgänge auszuführen.
Beispiel 2: Bucket-Eigentümer erteilt kontoübergreifende Bucket-Berechtigungen

In dieser Übung gewährt ein Bucket-Eigentümer, Konto A, einem anderen AWS-Konto, Konto B, kontoübergreifende Berechtigungen. Konto B delegiert diese Berechtigungen anschließend an Benutzer in seinem Konto.
Verwalten von Objektberechtigungen, wenn der Objekt- und der Bucket-Eigentümer nicht identisch sind

Bei den Beispielszenarien in diesem Fall geht es um einen Bucket-Eigentümer, der anderen Objektberechtigungen erteilt, es gehören jedoch nicht alle Objekte im Bucket dem Bucket-Eigentümer. Welche Berechtigungen benötigt der Bucket-Eigentümer und wie kann er diese Berechtigungen delegieren?

AWS-Konto Derjenige, der einen Bucket erstellt, wird als Bucket-Besitzer bezeichnet. Der Besitzer kann anderen Personen die AWS-Konten Erlaubnis erteilen, Objekte hochzuladen, und derjenige, der Objekte erstellt AWS-Konten , ist Eigentümer dieser Objekte. Der Bucket-Eigentümer hat keine Berechtigungen für diese Objekte, die von anderen AWS-Konten erstellt wurden. Wenn der Bucket-Besitzer eine Bucket-Richtlinie schreibt, die Zugriff auf Objekte gewährt, gilt die Richtlinie nicht für Objekte, die anderen Konten gehören.

In diesem Fall muss der Objekteigentümer dem Bucket-Besitzer zunächst mithilfe eines Objekts Berechtigungen erteilenACL. Der Bucket-Besitzer kann diese Objektberechtigungen dann an andere, an Benutzer in seinem eigenen Konto oder an einen anderen delegieren AWS-Konto, wie die folgenden Beispiele verdeutlichen.
- Beispiel 3: Bucket-Eigentümer, der Berechtigungen für Objekte erteilt, die ihm nicht gehören
  
  In dieser Übung erhält der Bucket-Eigentümer zuerst Berechtigungen von dem Objekteigentümer. Der Bucket-Eigentümer delegiert diese Berechtigungen anschließend an Benutzer in seinem eigenen Konto.
- Beispiel 4: Bucket-Besitzer gewährt kontoübergreifende Berechtigungen für Objekte, die er nicht besitzt
  
  Nachdem der Bucket-Besitzer die Berechtigungen vom Objekteigentümer erhalten hat, kann er die Berechtigungen nicht an andere delegieren, AWS-Konten da die kontoübergreifende Delegierung nicht unterstützt wird (siehe). Berechtigungsdelegation Stattdessen kann der Bucket-Besitzer eine IAM Rolle mit Berechtigungen zum Ausführen bestimmter Operationen (z. B. zum Abrufen eines Objekts) erstellen und einer anderen Person erlauben, diese Rolle AWS-Konto zu übernehmen. Jeder, der diese Rolle annimmt, kann anschließend auf Objekte zugreifen. Dieses Beispiel zeigt, wie ein Bucket-Besitzer eine IAM Rolle verwenden kann, um diese kontoübergreifende Delegierung zu aktivieren.

Bevor Sie die beispiehalften Walkthroughs ausprobieren

In diesen Beispielen werden Ressourcen erstellt und Berechtigungen erteilt. AWS Management Console Um Berechtigungen zu testen, verwenden die Beispiele die Befehlszeilentools AWS CLI AWS Tools for Windows PowerShell, und, sodass Sie keinen Code schreiben müssen. Zum Testen der Berechtigungen müssen Sie eins dieser Tools einrichten. Weitere Informationen finden Sie unter Einrichtung der Tools für die exemplarischen Vorgehensweisen.

Darüber hinaus verwenden diese Beispiele beim Erstellen von Ressourcen keine Root-Benutzeranmeldedaten von AWS-Konto. Sie erstellen stattdessen einen Administratorbenutzer in diesen Konten, um diese Aufgaben auszuführen.

Informationen zur Verwendung eines Administratorbenutzers zum Erstellen von Ressourcen und Erteilen von Berechtigungen

AWS Identity and Access Management (IAM) empfiehlt, Ihre Root-Benutzeranmeldedaten nicht für Anfragen AWS-Konto zu verwenden. Erstellen Sie stattdessen einen IAM Benutzer oder eine Rolle, gewähren Sie ihnen vollen Zugriff und verwenden Sie dann ihre Anmeldeinformationen, um Anfragen zu stellen. Wir bezeichnen dies als Administratorbenutzer oder -rolle. Weitere Informationen finden Sie unter Root-Benutzer des AWS-Kontos Anmeldeinformationen und IAM Identitäten im IAMBenutzerhandbuch Allgemeine AWS-Referenzund IAMBewährte Methoden.

Alle Beispielanleitungen in diesem Abschnitt verwenden die Anmeldeinformationen des Administratorbenutzers. Falls Sie noch keinen Administratorbenutzer für Ihr Konto erstellt haben, erfahren Sie in den Themen AWS-Konto, wie das geht.

Um sich AWS Management Console mit den Benutzeranmeldedaten bei anzumelden, müssen Sie die IAM Benutzeranmeldung URL verwenden. Die IAMKonsole bietet dies URL für Ihre AWS-Konto. Die Themen zeigen Ihnen, wie Sie die erhaltenURL.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Beispiele für identitätsbasierte Richtlinien

Einrichten von Tools