Erteilen von Berechtigungen zur Veröffentlichung von Ereignis-Benachrichtigungsmeldungen an einem Ziel - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erteilen von Berechtigungen zur Veröffentlichung von Ereignis-Benachrichtigungsmeldungen an einem Ziel

Sie müssen dem Amazon S3 S3-Principal die erforderlichen Berechtigungen zum Aufrufen der relevanten Funktionen API zur Veröffentlichung von Nachrichten in einem SNS Thema, einer SQS Warteschlange oder einer Lambda-Funktion gewähren. So kann Amazon S3 Ereignisbenachrichtigungsmeldungen an einem Ziel veröffentlichen.

Informationen zur Fehlerbehebung beim Veröffentlichen von Ereignisbenachrichtigungen in einem Ziel finden Sie unter Fehlerbehebung bei der Veröffentlichung von Amazon-S3-Ereignisbenachrichtigungen in einem Thema von Amazon Simple Notification Service.

Erteilen von Berechtigungen zum Aufrufen einer Funktion AWS Lambda

Amazon S3 veröffentlicht Ereignismeldungen, AWS Lambda indem es eine Lambda-Funktion aufruft und die Ereignisnachricht als Argument bereitstellt.

Wenn Sie die Amazon-S3-Konsole verwenden, um Ereignisbenachrichtigungen in einem Amazon-S3-Bucket für eine Lambda-Funktion zu konfigurieren, richtet die Konsole die erforderlichen Berechtigungen für die Lambda-Funktion ein. Dies ist so, dass Amazon S3 über Berechtigungen verfügt, die Funktion aus dem Bucket aufzurufen. Weitere Informationen finden Sie unter Aktivieren und Konfigurieren von Ereignis-Benachrichtigungen mit der Amazon-S3-Konsole.

Sie können Amazon S3 S3-Berechtigungen auch erteilen AWS Lambda , um Ihre Lambda-Funktion aufzurufen. Weitere Informationen finden Sie unter Tutorial: Using AWS Lambda with Amazon S3 im AWS Lambda Developer Guide.

Erteilen von Berechtigungen zum Veröffentlichen von Nachrichten zu einem SNS Thema oder einer SQS Warteschlange

Um Amazon S3 S3-Berechtigungen zur Veröffentlichung von Nachrichten im SNS Thema oder in der SQS Warteschlange zu gewähren, fügen Sie dem SNS Zielthema oder der SQS Warteschlange eine AWS Identity and Access Management (IAM) -Richtlinie hinzu.

Ein Beispiel dafür, wie Sie eine Richtlinie an ein SNS Thema oder eine SQS Warteschlange anhängen, finden Sie unterExemplarische Vorgehensweise: Konfiguration eines Buckets für Benachrichtigungen (SNSThema oder SQS Warteschlange). Weitere Informationen über Berechtigungen finden Sie in den folgenden Themen:

IAMRichtlinie für ein SNS Zielthema

Im Folgenden finden Sie ein Beispiel für eine Richtlinie AWS Identity and Access Management (IAM), die Sie dem SNS Zielthema zuordnen. Anweisungen dazu, wie Sie mithilfe dieser Richtlinie ein SNS Amazon-Zielthema für Ereignisbenachrichtigungen einrichten können, finden Sie unterExemplarische Vorgehensweise: Konfiguration eines Buckets für Benachrichtigungen (SNSThema oder SQS Warteschlange).

{ "Version": "2012-10-17", "Id": "example-ID", "Statement": [ { "Sid": "Example SNS topic policy", "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": [ "SNS:Publish" ], "Resource": "SNS-topic-ARN", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:s3:*:*:amzn-s3-demo-bucket" }, "StringEquals": { "aws:SourceAccount": "bucket-owner-account-id" } } } ] }

IAMRichtlinie für eine SQS Zielwarteschlange

Im Folgenden finden Sie ein Beispiel IAM für eine Richtlinie, die Sie an die SQS Zielwarteschlange anhängen. Anweisungen dazu, wie Sie diese Richtlinie verwenden können, um eine SQS Amazon-Zielwarteschlange für Ereignisbenachrichtigungen einzurichten, finden Sie unterExemplarische Vorgehensweise: Konfiguration eines Buckets für Benachrichtigungen (SNSThema oder SQS Warteschlange).

Um diese Richtlinie verwenden zu können, müssen Sie die SQS Amazon-WarteschlangeARN, den Bucket-Namen und die AWS-Konto ID des Bucket-Besitzers aktualisieren.

{ "Version": "2012-10-17", "Id": "example-ID", "Statement": [ { "Sid": "example-statement-ID", "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": [ "SQS:SendMessage" ], "Resource": "arn:aws:sqs:Region:account-id:queue-name", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:s3:*:*:awsexamplebucket1" }, "StringEquals": { "aws:SourceAccount": "bucket-owner-account-id" } } } ] }

Sowohl für die Amazon SNS - als auch für SQS IAM die Amazon-Richtlinien können Sie anstelle der StringLike Bedingung die ArnLike Bedingung in der Richtlinie angeben.

Wenn diese ArnLike Option verwendet wird, müssen die Partition, der Service, die Account-ID, der Ressourcentyp und der Teil der Ressourcen-ID exakt mit dem im ARN Anforderungskontext übereinstimmen. ARN Nur die Region und der Ressourcenpfad lassen einen teilweisen Abgleich zu.

Wenn anstelle von verwendet StringLike wirdArnLike, ignoriert der Abgleich die ARN Struktur und ermöglicht einen teilweisen Abgleich, unabhängig davon, welcher Teil mit einem Platzhalter versehen wurde. Weitere Informationen finden Sie unter IAMJSONRichtlinienelemente im IAM Benutzerhandbuch.

"Condition": {        "StringLike": { "aws:SourceArn": "arn:aws:s3:*:*:amzn-s3-demo-bucket" } }

AWS KMS wichtige Richtlinie

Wenn die SQS Warteschlange oder SNS Themen mit einem AWS Key Management Service (AWS KMS) vom Kunden verwalteten Schlüssel verschlüsselt sind, müssen Sie dem Amazon S3 S3-Service Principal die Erlaubnis erteilen, mit den verschlüsselten Themen oder der Warteschlange zu arbeiten. Um dem Amazon-S3-Service-Prinzipal die Berechtigung zu erteilen, fügen Sie der Schlüsselrichtlinie für den vom Kunden verwalteten Schlüssel die folgende Anweisung hinzu.

{ "Version": "2012-10-17", "Id": "example-ID", "Statement": [ { "Sid": "example-statement-ID", "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*" } ] }

Weitere Informationen zu AWS KMS wichtigen Richtlinien finden Sie unter Verwenden von Schlüsselrichtlinien AWS KMS im AWS Key Management Service Entwicklerhandbuch.

Weitere Informationen zur Verwendung der serverseitigen Verschlüsselung mit AWS KMS für Amazon SQS und Amazon SNS finden Sie im Folgenden: