Bevor Sie die beispiehalften Walkthroughs ausprobieren

Anleitungen, die Richtlinien verwenden, um den Zugriff auf Ihre Amazon-S3-Ressourcen zu verwalten

In diesem Thema werden die folgenden einführenden Anleitungsbeispiele für das Gewähren des Zugriffs aufs Amazon-S3-Ressourcen bereitgestellt. In AWS Management Console diesen Beispielen werden Ressourcen (Buckets, Objekte, Benutzer) erstellt und ihnen Berechtigungen erteilt. Anschließend zeigen die Beispiele auf, wie Sie Berechtigungen mithilfe der Befehlszeilen-Tools überprüfen können, sodass Sie keinen Code schreiben müssen. Wir stellen Befehle bereit, die sowohl das AWS Command Line Interface (AWS CLI) als auch das AWS Tools for Windows PowerShell verwenden.

Beispiel 1: Bucket-Eigentümer erteilt seinen Benutzern Bucket-Berechtigungen

Die in Ihrem Konto erstellten IAM-Benutzer verfügen standardmäßig über keine Berechtigungen. In dieser Übung erteilen Sie einem Benutzer die Berechtigung, Bucket- und Objekt-Vorgänge auszuführen.
Beispiel 2: Bucket-Eigentümer erteilt kontoübergreifende Bucket-Berechtigungen

In dieser Übung gewährt ein Bucket-Eigentümer, Konto A, einem anderen AWS-Konto, Konto B, kontoübergreifende Berechtigungen. Konto B delegiert diese Berechtigungen anschließend an Benutzer in seinem Konto.
Verwalten von Objektberechtigungen, wenn der Objekt- und der Bucket-Eigentümer nicht identisch sind

Bei den Beispielszenarien in diesem Fall geht es um einen Bucket-Eigentümer, der anderen Objektberechtigungen erteilt, es gehören jedoch nicht alle Objekte im Bucket dem Bucket-Eigentümer. Welche Berechtigungen benötigt der Bucket-Eigentümer und wie kann er diese Berechtigungen delegieren?

AWS-Konto Derjenige, der einen Bucket erstellt, wird Bucket-Besitzer genannt. Der Besitzer kann anderen Personen die AWS-Konten Erlaubnis erteilen, Objekte hochzuladen, und derjenige, der Objekte erstellt AWS-Konten , ist Eigentümer dieser Objekte. Der Bucket-Eigentümer hat keine Berechtigungen für diese Objekte, die von anderen AWS-Konten erstellt wurden. Wenn der Bucket-Eigentümer eine Bucket-Richtlinie erstellt, die Zugriff auf Objekte erteilt, gilt diese Richtlinie nicht für Objekte, die sich im Besitz von anderen Konten befinden.

In diesem Fall muss der Objekteigentümer zuerst dem Bucket-Eigentümer über eine Objekt-ACL Berechtigungen erteilen. Der Bucket-Besitzer kann diese Objektberechtigungen dann an andere, an Benutzer in seinem eigenen Konto oder an einen anderen delegieren AWS-Konto, wie die folgenden Beispiele zeigen.
- Beispiel 3: Bucket-Eigentümer, der Berechtigungen für Objekte erteilt, die ihm nicht gehören
  
  In dieser Übung erhält der Bucket-Eigentümer zuerst Berechtigungen von dem Objekteigentümer. Der Bucket-Eigentümer delegiert diese Berechtigungen anschließend an Benutzer in seinem eigenen Konto.
- Beispiel 4 – Der Bucket-Eigentümer erteilt eine kontenübergreifende Berechtigung für Objekte, die ihm nicht gehören
  
  Nachdem der Bucket-Besitzer die Berechtigungen vom Objekteigentümer erhalten hat, kann er die Berechtigungen nicht an andere delegieren, AWS-Konten da die kontoübergreifende Delegierung nicht unterstützt wird (siehe). Berechtigungsdelegation Stattdessen kann der Bucket-Besitzer eine IAM-Rolle mit Berechtigungen zum Ausführen bestimmter Operationen (z. B. zum Abrufen eines Objekts) erstellen und einer anderen Person erlauben, diese Rolle AWS-Konto zu übernehmen. Jeder, der diese Rolle annimmt, kann anschließend auf Objekte zugreifen. Dieses Beispiel zeigt, wie ein Bucket-Eigentümer diese kontoübergreifende Delegation mithilfe einer IAM-Rolle aktivieren kann.

Bevor Sie die beispiehalften Walkthroughs ausprobieren

In diesen Beispielen werden Ressourcen erstellt und Berechtigungen erteilt. AWS Management Console Um Berechtigungen zu testen, verwenden die Beispiele die Befehlszeilentools AWS CLI AWS Tools for Windows PowerShell, und, sodass Sie keinen Code schreiben müssen. Zum Testen der Berechtigungen müssen Sie eins dieser Tools einrichten. Weitere Informationen finden Sie unter Einrichten der Tools für die Anleitungen.

Darüber hinaus verwenden diese Beispiele beim Erstellen von Ressourcen keine Root-Benutzer-Anmeldeinformationen von einem AWS-Konto. Sie erstellen stattdessen einen Administratorbenutzer in diesen Konten, um diese Aufgaben auszuführen.

Informationen zur Verwendung eines Administratorbenutzers zum Erstellen von Ressourcen und Erteilen von Berechtigungen

AWS Identity and Access Management (IAM) rät davon ab, die Anmeldeinformationen des Root-Benutzers Ihres AWS-Konto für Anfragen zu nutzen. Erstellen Sie stattdessen eine(n) IAM-Benutzer oder eine -Rolle, gewähren Sie diesem/r vollständigen Zugriff und verwenden Sie anschließend die Anmeldeinformationen dieses Benutzers/dieser Rolle zum Erstellen von Anfragen. Wir bezeichnen dies als Administratorbenutzer oder -rolle. Weitere Informationen finden Sie unter Root-Benutzer des AWS-Kontos -Anmeldeinformationen und IAM-Identitäten in der Allgemeine AWS-Referenz und unter Bewährte IAM-Methoden im IAM-Benutzerhandbuch.

Alle Beispielanleitungen in diesem Abschnitt verwenden die Anmeldeinformationen des Administratorbenutzers. Wenn Sie noch keinen Administratorbenutzer für Ihren Benutzer erstellt haben AWS-Konto, erfahren Sie in den Themen, wie das geht.

Um sich AWS Management Console mit den Benutzeranmeldedaten bei anzumelden, müssen Sie die Anmelde-URL des IAM-Benutzers verwenden. Die IAM-Konsole stellt diese URL für Ihr AWS-Konto bereit. In diesen Themen erfahren Sie, wie Sie die URL abrufen können.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Beispiele für identitätsbasierte Richtlinien

Einrichten von Tools