Festlegen von Object Ownership beim Erstellen eines Buckets - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Festlegen von Object Ownership beim Erstellen eines Buckets

Wenn Sie einen Bucket erstellen, können Sie S3 Object Ownership konfigurieren. Informationen zum Festlegen von Object Ownership für einen vorhandenen Bucket finden Sie unter Einstellung für Object Ownership für einen vorhandenen Bucket.

S3 Object Ownership ist eine Einstellung auf Amazon S3-Bucket-Ebene, mit der Sie Zugriffskontrolllisten (ACLs) deaktivieren und die Verantwortung für jedes Objekt in Ihrem Bucket übernehmen können, wodurch die Zugriffsverwaltung für in Amazon S3 gespeicherte Daten vereinfacht wird. Standardmäßig ist für S3 Object Ownership die erzwungene Einstellung Bucket Owner festgelegt und ACLs für neue Buckets deaktiviert. Bei ACLs deaktivierter Option besitzt der Bucket-Besitzer jedes Objekt im Bucket und verwaltet den Zugriff auf Daten ausschließlich mithilfe von Zugriffsverwaltungsrichtlinien. Wir empfehlen, die ACLs Option deaktiviert zu lassen, außer in Ausnahmefällen, in denen Sie den Zugriff für jedes Objekt einzeln steuern müssen.

Object Ownership verfügt über drei Einstellungen, mit denen Sie den Besitz von in Ihren Bucket hochgeladenen Objekten kontrollieren und deaktivieren oder aktivieren könnenACLs:

ACLsdeaktiviert

  • Bucket Owner erforced (Standard) — ACLs sind deaktiviert, und der Bucket-Besitzer besitzt automatisch jedes Objekt im Bucket und hat die volle Kontrolle darüber. ACLswirkt sich nicht mehr auf die Berechtigungen für Daten im S3-Bucket aus. Der Bucket verwendet Richtlinien, um die Zugriffssteuerung zu definieren.

ACLsaktiviert

  • Bevorzugter Bucket-Besitzer — Der Bucket-Besitzer besitzt und hat die volle Kontrolle über neue Objekte, die andere Accounts in den Bucket mit den gespeicherten Objekten bucket-owner-full-control schreibenACL.

  • Objekt-Writer — Der AWS-Konto derjenige, der ein Objekt hochlädt, besitzt das Objekt, hat die volle Kontrolle darüber und kann anderen Benutzern Zugriff darauf gewähren. ACLs

Berechtigungen: Um die Einstellung Bucket-Eigentümer erzwungen oder Bucket-Eigentümer bevorzugt anzuwenden, müssen Sie über die folgenden Berechtigungen verfügen: s3:CreateBucket und s3:PutBucketOwnershipControls. Wenn Sie einen Bucket mit aktivierter Einstellung Object writer (Objektschreiber), sind keine zusätzlichen Berechtigungen erforderlich. Weitere Informationen zu Amazon S3-Berechtigungen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3 in der Service Authorization Reference.

Weitere Informationen zu den Berechtigungen für API S3-Operationen nach S3-Ressourcentypen finden Sie unterErforderliche Berechtigungen für Amazon S3 API S3-Operationen.

Wichtig

In den meisten modernen Anwendungsfällen in Amazon S3 ist die Verwendung von nicht mehr erforderlichACLs, und wir empfehlen, diese zu deaktivieren, ACLs außer in ungewöhnlichen Fällen, in denen Sie den Zugriff für jedes Objekt einzeln steuern müssen. Mit Object Ownership können Sie Richtlinien für die Zugriffskontrolle deaktivieren ACLs und sich auf diese verlassen. Wenn Sie die Option deaktivierenACLs, können Sie ganz einfach einen Bucket mit Objekten verwalten, die von verschiedenen Seiten hochgeladen wurden AWS Konten. Sie als Bucket-Eigentümer besitzen alle Objekte im Bucket und können den Zugriff darauf mithilfe von Richtlinien verwalten.

  1. Melden Sie sich an bei AWS Management Console und öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie in der Navigationsleiste oben auf der Seite den Namen des aktuell angezeigten AWS-Region. Wählen Sie als Nächstes die Region aus, in der Sie einen Bucket erstellen möchten.

    Anmerkung

    Wählen Sie eine Region in der Nähe aus, um Latenz und Kosten gering zu halten und behördliche Vorschriften zu erfüllen. In einer Region gespeicherte Objekte verbleiben so lange in der Region, bis sie explizit in eine andere Region verschoben werden. Für eine Liste von Amazon S3 AWS-Regionen, siehe AWS-Service Endpunkte in der Allgemeine Amazon Web Services-Referenz.

  3. Wählen Sie im linken Navigationsbereich die Option Buckets aus.

  4. Wählen Sie Create Bucket (Bucket erstellen) aus.

    Anschließend wird die Seite Bucket erstellen geöffnet.

  5. Sehen Sie sich unter Allgemeine Konfiguration die AWS-Region wo Ihr Bucket erstellt wird.

  6. Wählen Sie unter Bucket-Typ die Option Allgemein aus.

  7. Geben Sie unter Bucket Name (Bucket-Name) einen Namen für den Bucket ein.

    Der Bucket-Name ...:

    • Muss innerhalb einer Partition einzigartig sein. Eine Partition ist eine Gruppe von Regionen. AWS hat derzeit drei Partitionen: aws (Standardregionen), aws-cn (Regionen in China) und aws-us-gov (AWS GovCloud (US) Regions).

    • zwischen 3 und 63 Zeichen lang sein,

    • Darf nur aus Kleinbuchstaben, Zahlen, Punkten (.) und Bindestrichen (-) bestehen. Aus Gründen der besten Kompatibilität empfehlen wir, Punkte (.) in Bucket-Namen zu vermeiden, mit Ausnahme von Buckets, die nur für statisches Website-Hosting verwendet werden.

    • Muss mit einer Zahl oder einem Buchstaben beginnen und enden.

    Der Name eines einmal erstellter Buckets kann nicht nachträglich geändert werden. Das Tool AWS-Konto wer den Bucket erstellt, besitzt ihn. Weitere Informationen zur Benennung von Buckets finden Sie unter Regeln für die Benennung von Buckets.

    Wichtig

    Vermeiden Sie, vertrauliche Informationen, wie Kontonummern, in den Bucket-Namen einzubeziehen. Der Bucket-Name ist in dem Bereich sichtbarURLs, der auf die Objekte im Bucket verweist.

  8. AWS Management Console ermöglicht es Ihnen, die Einstellungen eines vorhandenen Buckets in Ihren neuen Bucket zu kopieren. Wenn Sie die Einstellungen eines vorhandenen Buckets nicht kopieren möchten, fahren Sie mit dem nächsten Schritt fort.

    Anmerkung

    Diese Option:

    • Ist nicht verfügbar in AWS CLI und ist nur in der Konsole verfügbar

    • Ist für Verzeichnis-Buckets nicht verfügbar

    • Kopiert die Bucket-Richtlinie nicht aus dem vorhandenen Bucket in den neuen Bucket

    Um die Einstellungen eines vorhandenen Buckets zu kopieren, wählen Sie unter Einstellungen aus vorhandenem Bucket kopieren die Option Bucket auswählen aus. Das Fenster „Bucket auswählen“ wird geöffnet. Suchen Sie den Bucket mit den Einstellungen, die Sie kopieren möchten, und wählen Sie Bucket auswählen aus. Das Fenster „Bucket auswählen“ wird geschlossen, und das Fenster „Bucket erstellen“ wird erneut geöffnet.

    Unter Einstellungen aus vorhandenem Bucket kopieren wird nun der Name des ausgewählten Buckets angezeigt. Außerdem wird die Option Standardwerte wiederherstellen angezeigt, mit der Sie die kopierten Bucket-Einstellungen entfernen können. Überprüfen Sie die verbleibenden Bucket-Einstellungen auf der Seite Bucket erstellen. Sie werden sehen, dass sie jetzt mit den Einstellungen des von Ihnen ausgewählten Buckets übereinstimmen. Sie können mit dem letzten Schritt fortfahren.

  9. Wählen Sie unter Object Ownership eine der folgenden Einstellungen aus, um die Inhaberschaft von Objekten, die in Ihren Bucket hochgeladen wurden, zu deaktivieren oder zu aktivieren ACLs und zu kontrollieren:

    ACLsdeaktiviert

    • Bucket Owner erforced (Standard) — ACLs sind deaktiviert, und der Bucket-Besitzer besitzt automatisch jedes Objekt im Bucket und hat die volle Kontrolle darüber. ACLswirkt sich nicht mehr auf die Zugriffsberechtigungen für Daten im S3-Bucket aus. Der Bucket verwendet ausschließlich Richtlinien, um die Zugriffssteuerung zu definieren.

      Standardmäßig ACLs sind sie deaktiviert. Für die meisten modernen Anwendungsfälle in Amazon S3 ist die Verwendung von nicht mehr erforderlichACLs. Wir empfehlen, die ACLs Option weiterhin zu deaktivieren, außer in Ausnahmefällen, in denen Sie den Zugriff für jedes Objekt einzeln steuern müssen. Weitere Informationen finden Sie unter Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket.

    ACLsaktiviert

    • Bevorzugter Bucket-Besitzer — Der Bucket-Besitzer besitzt und hat die volle Kontrolle über neue Objekte, die andere Accounts in den Bucket mit den gespeicherten Objekten bucket-owner-full-control schreibenACL.

      Wenn Sie die bevorzugte Einstellung des Bucket-Besitzers anwenden, sodass alle Amazon S3 S3-Uploads die gespeicherten Dateien enthalten müssen bucket-owner-full-controlACL, können Sie eine Bucket-Richtlinie hinzufügen, die nur Objekt-Uploads zulässt, die dies verwenden. ACL

    • Object Writer — Der AWS-Konto derjenige, der ein Objekt hochlädt, besitzt das Objekt, hat die volle Kontrolle darüber und kann anderen Benutzern Zugriff darauf gewähren. ACLs

    Anmerkung

    Die Standardeinstellung ist Bucket-Eigentümer erzwungen. Um die Standardeinstellung anzuwenden und ACLs deaktiviert zu lassen, ist nur die s3:CreateBucket entsprechende Berechtigung erforderlich. Zum Aktivieren ACLs benötigen Sie die s3:PutBucketOwnershipControls entsprechende Genehmigung.

  10. Wählen Sie unter Einstellungen "Öffentlichen Zugriff beschränken" für diesen Bucket die Einstellungen zum Beschränken des öffentlichen Zugriffs aus, die Sie auf den Bucket anwenden möchten.

    Alle vier Einstellungen zum Blockieren des öffentlichen Zugriffs sind standardmäßig aktiviert. Es wird empfohlen, alle Einstellungen aktiviert zu lassen, es sei denn, Sie wissen, dass Sie eine oder mehrere dieser Einstellungen für Ihren Anwendungsfall deaktivieren müssen. Weitere Informationen zum Blockieren des öffentlichen Zugriffs finden Sie unter Blockieren des öffentlichen Zugriffs auf Ihren Amazon-S3-Speicher.

    Anmerkung

    Zum Aktivieren aller Einstellungen zum Blockieren des öffentlichen Zugriffs ist nur die s3:CreateBucket-Berechtigung erforderlich. Wenn Sie eine der Einstellungen zum Blockieren des öffentlichen Zugriffs deaktivieren möchten, benötigen Sie die s3:PutBucketPublicAccessBlock-Berechtigung.

  11. (Optional) Unter Bucket Versioning (Bucket-Versionsverwaltung) können Sie auswählen, ob Sie Varianten von Objekten in Ihrem Bucket beibehalten möchten. Weitere Informationen über das Versioning finden Sie unter Verwenden der Versioning in S3-Buckets.

    Wenn Sie die Versionsverwaltung in Ihrem Bucket deaktivieren oder aktivieren möchten, wählen Sie entweder Disable (Deaktivieren) oder Enable (Aktivieren) aus.

  12. (Optional) Unter Tags können Sie auswählen, ob Sie Ihrem Bucket Tags hinzufügen möchten. Tags sind Schlüssel-Wert-Paare, die zur Kategorisierung von Speicher verwendet werden.

    Wenn Sie ein Bucket-Tag hinzuzufügen, geben Sie einen Key (Schlüssel) und optional einen Value (Wert) ein. Wählen Sie dann Add Tag (Tag hinzufügen) aus.

  13. Wählen Sie unter Default encryption (Standard-Verschlüsselung) Edit (Bearbeiten) aus.

  14. Wählen Sie eine der folgenden Optionen unter Verschlüsselungstyp aus, um die Standardverschlüsselung zu konfigurieren:

    • Verwalteter Amazon S3 S3-Schlüssel (SSE-S3)

    • AWS Key Management Service Schlüssel (SSE-KMS)

      Wichtig

      Wenn Sie die KMS Option SSE - für Ihre standardmäßige Verschlüsselungskonfiguration verwenden, unterliegen Sie dem Kontingent für Anfragen pro Sekunde (RPS) von AWS KMS. Für weitere Informationen über AWS KMS Kontingente und wie Sie eine Quotenerhöhung beantragen können, finden Sie unter Kontingente im AWS Key Management Service Leitfaden für Entwickler.

    Buckets und neue Objekte werden mit serverseitiger Verschlüsselung verschlüsselt. Dabei ist ein Von Amazon S3 verwalteter Schlüssel die Grundebene der Verschlüsselungskonfiguration. Weitere Informationen zur Standardverschlüsselung finden Sie unter Einstellen des Verhaltens der serverseitigen Verschlüsselung für Amazon S3-Buckets.

    Weitere Informationen zur Datenverschlüsselung mit der serverseitigen Amazon-S3-Verschlüsselung finden Sie unter Serverseitige Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln verwenden (SSE-S3).

  15. Wenn du wählst AWS Key Management Service Taste (SSE-KMS), gehen Sie wie folgt vor:

    1. Unter AWS KMS key, geben Sie Ihren KMS Schlüssel auf eine der folgenden Arten an:

      • Um aus einer Liste verfügbarer KMS Schlüssel auszuwählen, wählen Sie Wählen Sie aus Ihrem AWS KMS keys, und wählen Sie Ihren KMSSchlüssel aus der Liste der verfügbaren Schlüssel aus.

        Sowohl die Von AWS verwalteter Schlüssel (aws/s3) und Ihre vom Kunden verwalteten Schlüssel werden in dieser Liste angezeigt. Weitere Informationen zu vom Kunden verwalteten Schlüsseln finden Sie unter Kundenschlüssel und AWS Schlüssel im AWS Key Management Service Leitfaden für Entwickler.

      • Um den KMS Schlüssel einzugebenARN, wählen Sie Enter AWS KMS key ARN, und geben Sie Ihren KMS Schlüssel ARN in das angezeigte Feld ein.

      • Um einen neuen, vom Kunden verwalteten Schlüssel zu erstellen AWS KMS Konsole, wählen Sie Create a KMS Key aus.

        Weitere Informationen zum Erstellen eines AWS KMS key, siehe Schlüssel erstellen im AWS Key Management Service Leitfaden für Entwickler.

      Wichtig

      Sie können nur KMS Schlüssel verwenden, die in derselben Version verfügbar sind AWS-Region wie der Eimer. Die Amazon S3 S3-Konsole listet nur die ersten 100 KMS Schlüssel in derselben Region wie der Bucket auf. Um einen KMS Schlüssel zu verwenden, der nicht aufgeführt ist, müssen Sie Ihren KMS Schlüssel eingebenARN. Wenn Sie einen KMS Schlüssel verwenden möchten, der einem anderen Konto gehört, benötigen Sie zunächst die Erlaubnis, den Schlüssel zu verwenden, und dann müssen Sie den KMS Schlüssel eingebenARN. Weitere Informationen zu kontoübergreifenden Berechtigungen für KMS Schlüssel finden Sie unter KMSSchlüssel erstellen, die andere Konten verwenden können, in der AWS Key Management Service Leitfaden für Entwickler. Weitere Informationen zu SSE - finden KMS Sie unterGeben Sie die serverseitige Verschlüsselung an mit AWS KMS (SSE-KMS).

      Wenn Sie eine verwenden AWS KMS key Für die serverseitige Verschlüsselung in Amazon S3 müssen Sie einen symmetrischen KMS Verschlüsselungsschlüssel wählen. Amazon S3 unterstützt nur symmetrische KMS Verschlüsselungsschlüssel und keine asymmetrischen KMS Schlüssel. Weitere Informationen finden Sie unter Identifizieren symmetrischer und KMS asymmetrischer Schlüssel im AWS Key Management Service Leitfaden für Entwickler.

      Weitere Informationen zum Erstellen eines AWS KMS key, siehe Schlüssel erstellen im AWS Key Management Service Leitfaden für Entwickler. Weitere Informationen zur Verwendung von AWS KMS mit Amazon S3, sieheVerwenden Sie serverseitige Verschlüsselung mit AWS KMS Schlüssel (SSE-KMS).

    2. Wenn Sie Ihren Bucket so konfigurieren, dass er die Standardverschlüsselung mit SSE - verwendetKMS, können Sie auch S3 Bucket Keys aktivieren. S3-Bucket Keys senken die Verschlüsselungskosten, indem sie den Anforderungsverkehr von Amazon S3 zu verringern AWS KMS. Weitere Informationen finden Sie unterSenkung der Kosten von SSE — KMS mit Amazon S3 Bucket Keys.

      Um S3-Bucket-Schlüssel zu verwenden, wählen Sie unter Bucket Key (Bucket-Schlüssel) die Option Enable (Aktivieren).

  16. (Optional) Wenn Sie die S3-Objektsperre aktivieren möchten, gehen Sie wie folgt vor:

    1. Wählen Sie Erweiterte Einstellungen aus.

      Wichtig

      Durch Aktivieren der Objektsperre wird auch die Versioning für den Bucket aktiviert. Nach dem Aktivieren müssen Sie die Standardeinstellungen für die Objektsperre im Hinblick auf die (rechtliche) Aufbewahrung konfigurieren, um neue Objekte vor dem Löschen oder Überschreiben zu schützen.

    2. Wenn Sie die Objektsperre aktivieren möchten, wählen Sie Enable (Aktivieren) aus, lesen Sie die angezeigte Warnung und bestätigen Sie sie.

    Weitere Informationen finden Sie unter Verwenden der S3-Objektsperre.

    Anmerkung

    Wenn Sie einen Bucket mit aktivierter Objektsperre erstellen möchten, benötigen Sie die folgenden Berechtigungen: s3:CreateBucket, s3:PutBucketVersioning und s3:PutBucketObjectLockConfiguration.

  17. Wählen Sie Bucket erstellen aus.

Um bei der Erstellung eines neuen Buckets den Objekteigentum festzulegen, verwenden Sie create-bucket AWS CLI Befehl mit dem --object-ownership Parameter.

In diesem Beispiel wird die vom Bucket Owner erzwungene Einstellung für einen neuen Bucket angewendet, wobei AWS CLI:

aws s3api create-bucket --bucket  amzn-s3-demo-bucket --region us-east-1 --object-ownership BucketOwnerEnforced
Wichtig

Wenn Sie beim Erstellen eines Buckets mithilfe von AWS CLI, ist die Standardeinstellung ObjectWriter (ACLsaktiviert).

In diesem Beispiel wird die erzwungene Einstellung des Bucket-Besitzers für einen neuen Bucket festgelegt, und zwar mit dem AWS SDK for Java:

    // Build the ObjectOwnership for CreateBucket
    CreateBucketRequest createBucketRequest = CreateBucketRequest.builder()
            .bucket(bucketName)
            .objectOwnership(ObjectOwnership.BucketOwnerEnforced)
            .build()

     // Send the request to Amazon S3 
     s3client.createBucket(createBucketRequest);

So verwenden Sie die AWS::S3::Bucket: AWS CloudFormation Ressource zur Festlegung des Objektbesitzes, wenn Sie einen neuen Bucket erstellen, siehe OwnershipControls innerhalb AWS::S3::Bucket in der AWS CloudFormation Benutzerleitfaden.

Um die erzwungene Einstellung des Bucket-Besitzers für S3 Object Ownership anzuwenden, verwenden Sie den CreateBucket API Vorgang mit der Einstellung des x-amz-object-ownership Anforderungsheaders aufBucketOwnerEnforced. Informationen und Beispiele finden Sie unter CreateBucketin der Amazon Simple Storage Service API Reference.

Nächste Schritte: Nach der Anwendung der Einstellungen „Von Bucket-Besitzer erzwungen“ oder „Von Bucket-Besitzer bevorzugt“ auf den Objektbesitz können Sie die folgenden Schritte ausführen:

  • Bucket-Besitzer erzwungen — Erfordert, dass alle neuen Buckets mit ACLs deaktivierter Einstellung erstellt werden, indem eine Richtlinie IAM oder Organizations verwendet wird.

  • Bucket-Besitzer bevorzugt — Fügen Sie eine S3-Bucket-Richtlinie hinzu, die vorschreibt, dass ACL für alle Objekt-Uploads bucket-owner-full-control in Ihren Bucket die Option „Gespeichert“ gilt.