Auftraggeber Ressourcen Aktionen für Verzeichnis-Buckets Bedingungsschlüssel für Verzeichnis-Buckets

Autorisieren eines regionalen Endpunkts APIs mit IAM

AWS Identity and Access Management (IAM) hilft Administratoren dabei AWS-Service , den Zugriff auf AWS Ressourcen sicher zu kontrollieren. IAMAdministratoren kontrollieren, wer authentifiziert (angemeldet) und autorisiert werden kann (über Berechtigungen verfügt), um Amazon S3 S3-Ressourcen in S3 Express One Zone zu verwenden. Sie können es ohne IAM zusätzliche Kosten nutzen.

Standardmäßig haben Benutzer keine Berechtigungen für Verzeichnis-Buckets und S3-Express-One-Zone-Vorgänge. Um Zugriffsberechtigungen für Verzeichnis-Buckets IAM zu gewähren, können Sie Benutzer, Gruppen oder Rollen erstellen und diesen Identitäten Berechtigungen zuweisen. Weitere Informationen IAM dazu finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch.

Um Zugriff zu gewähren, können Sie Ihren Benutzern, Gruppen oder Rollen auf die folgenden Weisen Berechtigungen hinzufügen:

Benutzer und Gruppen in AWS IAM Identity Center — Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center -Benutzerhandbuch.
Benutzer, IAM die über einen Identitätsanbieter verwaltet werden — Erstellen Sie eine Rolle für den Identitätsverbund. Folgen Sie den Anweisungen unter Erstellen einer Rolle für einen externen Identitätsanbieter (Federation) im IAMBenutzerhandbuch.
IAMRollen und Benutzer — Erstellen Sie eine Rolle, die Ihr Benutzer übernehmen kann. Folgen Sie den Anweisungen unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM Benutzer im IAMBenutzerhandbuch.

IAMWeitere Informationen zu S3 Express One Zone finden Sie in den folgenden Themen.

Themen

Auftraggeber

Wenn Sie eine ressourcenbasierte Richtlinie erstellen, um Zugriff auf Ihre Buckets zu gewähren, müssen Sie das Principal-Element verwenden, um die Person oder Anwendung anzugeben, die eine Anforderung für eine Aktion oder einen Vorgang auf dieser Ressource stellen kann. Für Verzeichnis-Bucket-Richtlinien können Sie die folgenden Prinzipale verwenden:

Ein AWS Konto
Ein IAM Nutzer
Eine IAM Rolle
Ein Verbundbenutzer

Weitere Informationen finden Sie unter Principal im IAM-Benutzerhandbuch.

Ressourcen

Amazon-Ressourcennamen (ARNs) für Verzeichnis-Buckets enthalten den s3express Namespace, die AWS-Region, die AWS Konto-ID und den Verzeichnis-Bucket-Namen, der die Availability Zone-ID enthält. Um auf Ihren Directory-Bucket zuzugreifen und Aktionen in Ihrem Verzeichnis-Bucket auszuführen, müssen Sie das folgende ARN Format verwenden:


arn:aws:s3express:region:account-id:bucket/base-bucket-name--zone-id--x-s3

Weitere Informationen zu finden ARNs Sie unter Amazon Resource Names (ARNs) im IAM-Benutzerhandbuch. Weitere Informationen zu Ressourcen finden Sie unter IAM JSON Richtlinienelemente: Resource im IAM-Benutzerhandbuch.

Aktionen für Verzeichnis-Buckets

In einer IAM identitäts- oder ressourcenbasierten Richtlinie definieren Sie, welche S3-Aktionen zulässig oder verweigert werden. Aktionen entsprechen bestimmten Vorgängen. API Wenn Sie Verzeichnis-Buckets verwenden, können Sie den S3 Express One Zone-Namespace verwenden, um Berechtigungen zu erteilen. Dieser Namespace ist s3express.

Wenn Sie die s3express:CreateSession Erlaubnis erteilen, ermöglicht dies dem CreateSession API Vorgang, Sitzungstoken abzurufen, wenn auf Operationen auf zonale Endpunkte API (oder Objektebene) zugegriffen wird. Diese Sitzungstoken geben Anmeldeinformationen zurück, die verwendet werden, um Zugriff auf alle anderen zonalen API Endpunktoperationen zu gewähren. Daher müssen Sie keine Zugriffsberechtigungen für zonale API Operationen mithilfe IAM von Richtlinien gewähren. Stattdessen ermöglicht das Sitzungstoken den Zugriff. Eine Liste der API Vorgänge und Berechtigungen für zonale Endgeräte finden Sie unter Anfragen authentifizieren und autorisieren.

Weitere Informationen zu zonalen und regionalen API Endpunktoperationen finden Sie unter. Netzwerke für Verzeichnis-Buckets Weitere Informationen zu diesem CreateSession API Vorgang finden Sie unter CreateSessionin der Amazon Simple Storage Service API Reference.

Sie können die folgenden Aktionen im Action Element einer IAM Grundsatzerklärung angeben. Verwenden Sie Richtlinien, um Berechtigungen zum Ausführen einer Operation in AWS zu erteilen. Wenn Sie eine Aktion in einer Richtlinie verwenden, gewähren oder verweigern Sie in der Regel den Zugriff auf den API Vorgang mit demselben Namen. In einigen Fällen steuert jedoch eine einzelne Aktion den Zugriff auf mehr als einen API Vorgang. Der Zugriff auf Aktionen auf Bucket-Ebene kann nur über IAM identitätsbasierte Richtlinien (Benutzer oder Rolle) und nicht über Bucket-Richtlinien gewährt werden.

Die folgende Tabelle zeigt Aktionen und Bedingungsschlüssel.

Aktion	API	Beschreibung	Zugriffsebene	Bedingungsschlüssel
`s3express:CreateBucket`	`CreateBucket`	Gewährt die Berechtigung zum Erstellen eines neuen Buckets.	Schreiben	`s3express:authType` `s3express:LocationName` `s3express:ResourceAccount` `s3express:signatureversion` `s3express:TlsVersion` `s3express:x-amz-content-sha256`
`s3express:CreateSession`	Operationen an zonalen Endpunkten API	Erteilt die Berechtigung zum Erstellen eines Sitzungstokens, das verwendet wird, um Zugriff auf alle zonalen API Operationen (auf Objektebene) zu gewähren, z. B.`CopyObject`, `PutObjectGetObject`, usw. `HeadBucket`	Schreiben	`s3express:authType` `s3express:SessionMode` `s3express:ResourceAccount` `s3express:signatureversion` `s3express:signatureAge` `s3express:TlsVersion` `s3express:x-amz-content-sha256` `s3express:x-amz-server-side-encryption` `s3express:x-amz-server-side-encryption-aws-kms-key-id`
`s3express:DeleteBucket`	`DeleteBucket`	Erteilt die Berechtigung zum Löschen des Buckets mit dem Namen. URI	Schreiben	`s3express:authType` `s3express:ResourceAccount` `s3express:signatureversion` `s3express:TlsVersion` `s3express:x-amz-content-sha256`
`s3express:DeleteBucketPolicy`	`DeleteBucketPolicy`	Gewährt die Berechtigung zum Löschen der Richtlinie für einen angegebenen Bucket.	Berechtigungsverwaltung	`s3express:authType` `s3express:ResourceAccount` `s3express:signatureversion` `s3express:TlsVersion` `s3express:x-amz-content-sha256`
`s3express:GetBucketPolicy`	`GetBucketPolicy`	Gewährt die Berechtigung zum Zurückgeben der Richtlinie des angegebenen Buckets.	Lesen	`s3express:authType` `s3express:ResourceAccount` `s3express:signatureversion` `s3express:TlsVersion` `s3express:x-amz-content-sha256`
`s3express:GetEncryptionConfiguration`	`GetBucketEncryption`	Erteilt die Berechtigung, die Standardverschlüsselungskonfiguration eines Verzeichnis-Buckets zurückzugeben.	Lesen	`s3express:authType` `s3express:ResourceAccount` `s3express:signatureversion` `s3express:TlsVersion` `s3express:x-amz-content-sha256`
`s3express:ListAllMyDirectoryBuckets`	`ListDirectoryBuckets`	Gewährt die Berechtigung zum Auflisten aller Verzeichnis-Buckets, die dem authentifizierten Sender der Anforderung gehören.	Auflisten	`s3express:authType` `s3express:ResourceAccount` `s3express:signatureversion` `s3express:TlsVersion` `s3express:x-amz-content-sha256`
`s3express:PutBucketPolicy`	`PutBucketPolicy`	Gewährt die Berechtigung zum Hinzufügen oder Ersetzen einer Bucket-Richtlinie für einen Bucket.	Berechtigungsverwaltung	`s3express:authType` `s3express:ResourceAccount` `s3express:signatureversion` `s3express:TlsVersion` `s3express:x-amz-content-sha256`
`s3express:PutBucketPolicy`	`PutBucketPolicy`	Gewährt die Berechtigung zum Hinzufügen oder Ersetzen einer Bucket-Richtlinie für einen Bucket.	Berechtigungsverwaltung	`s3express:authType` `s3express:ResourceAccount` `s3express:signatureversion` `s3express:TlsVersion` `s3express:x-amz-content-sha256`
`s3express:PutEncryptionConfiguration`	`PutBucketEncryption` oder `DeleteBucketEncryption`	Erteilt die Berechtigung, die Verschlüsselungskonfiguration für einen Verzeichnis-Bucket festzulegen	Schreiben	`s3express:authType` `s3express:ResourceAccount` `s3express:signatureversion` `s3express:TlsVersion` `s3express:x-amz-content-sha256`

Bedingungsschlüssel für Verzeichnis-Buckets

Im Folgenden finden Sie Bedingungsschlüssel, die im Condition Element einer IAM Richtlinie verwendet werden können. Diese Schlüssel können Sie verwenden, um die Bedingungen zu verfeinern, unter denen die Richtlinienanweisung angewendet wird.

Bedingungsschlüssel	Beschreibung	Typ
`s3express:authType`	Filtert den Zugriff nach Authentifizierungsmethode Um eingehende Anfragen auf die Verwendung einer bestimmten Authentifizierungsmethode zu beschränken, können Sie diesen optionalen Bedingungsschlüssel verwenden. Sie können diesen Bedingungsschlüssel beispielsweise verwenden, um zuzulassen, dass nur der HTTP `Authorization` Header bei der Anforderungsauthentifizierung verwendet wird. Zulässige Werte: `REST-HEADER`, `REST-QUERY-STRING`	String
`s3express:LocationName`	Filtert den Zugriff auf den `CreateBucket` API Vorgang nach einer bestimmten Availability Zone ID (AZ-ID), `usw2-az1` z. B. Beispielwert: `usw2-az1`	String
`s3express:ResourceAccount`	Filtert den Zugriff nach der AWS-Konto ID des Ressourcenbesitzers. Um den Benutzer-, Rollen- oder Anwendungszugriff auf die Verzeichnis-Buckets einzuschränken, die einer bestimmten AWS-Konto ID gehören, können Sie entweder den Bedingungsschlüssel `aws:ResourceAccount` oder den `s3express:ResourceAccount` Bedingungsschlüssel verwenden. Sie können diesen Bedingungsschlüssel entweder in AWS Identity and Access Management (IAM) Identitätsrichtlinien oder in Virtual Private Cloud (VPC) -Endpunktrichtlinien verwenden. Sie können diesen Bedingungsschlüssel beispielsweise verwenden, um zu verhindern, dass Clients in Ihrem VPC Unternehmen auf Buckets zugreifen, die Ihnen nicht gehören. Beispielwert: `111122223333`	String
`s3express:SessionMode`	Filtert den Zugriff nach der vom `CreateSession` API Vorgang angeforderten Berechtigung. Standardmäßig ist die Sitzung auf `ReadWrite` eingestellt. Sie können diesen Bedingungsschlüssel verwenden, um den Zugriff auf `ReadOnly` zu beschränken oder den `ReadWrite`-Zugriff explizit zu verweigern. Weitere Informationen finden Sie unter Beispiel für Bucket-Richtlinien für Verzeichnis-Buckets und CreateSessionin der Amazon Simple Storage Service API Reference. Zulässige Werte: `ReadWrite`, `ReadOnly`	String
`s3express:signatureAge`	Filtert den Zugriff nach dem Alter der Anforderungssignatur in Millisekunden. Diese Bedingung gilt nur für vorsignierte Personen URLs. In AWS Signature Version 4 ist der Signaturschlüssel bis zu sieben Tage gültig. Daher sind die Signaturen auch bis zu sieben Tage lang gültig. Weitere Informationen finden Sie unter Einführung in das Signieren von Anfragen in der Amazon Simple Storage API Service-Referenz. Sie können diese Bedingung verwenden, um das Alter der Unterschrift weiter einzuschränken. Beispielwert: `600000`	Numerischer Wert
`s3express:signatureversion`	Identifiziert die Version von AWS Signature, die Sie für authentifizierte Anfragen unterstützen möchten. Für authentifizierte Anfragen wird Signature Version 4 unterstützt. Gültiger Wert: `"AWS4-HMAC-SHA256"` (identifiziert Signature Version 4)	String
`s3express:TlsVersion`	Filtert den Zugriff nach der TLS Version, die vom Client verwendet wird. Sie können den `s3:TlsVersion` Bedingungsschlüssel verwendenIAM, um Richtlinien für virtuelle private Cloud-Endpunkte (VPCE) oder Buckets zu schreiben, die den Benutzer- oder Anwendungszugriff auf Verzeichnis-Buckets auf der Grundlage der vom Client verwendeten TLS Version einschränken. Sie können diesen Bedingungsschlüssel auch verwenden, um Richtlinien zu schreiben, für die eine TLS Mindestversion erforderlich ist. Beispielwert: `1.3`	Numerischer Wert
`s3express:x-amz-content-sha256`	Filtert den Zugriff auf nicht signierte Inhalte in Ihrem Bucket. Sie können diesen Bedingungsschlüssel verwenden, um nicht signierte Inhalte in Ihrem Bucket zu verbieten. Wenn Sie Signature Version 4 verwenden, fügen Sie bei Anfragen, die den `Authorization`-Header verwenden, den `x-amz-content-sha256`-Header in die Signaturberechnung ein und setzen dann dessen Wert auf die Hash-Nutzlast. Sie können diesen Bedingungsschlüssel in Ihrer Bucket-Richtlinie verwenden, um alle Uploads zu verweigern, deren Nutzlasten nicht signiert sind. Beispielsweise: Verweigern Sie Uploads, die den `Authorization`-Header zur Authentifizierung von Anfragen verwenden, aber die Nutzdaten nicht signieren. Weitere Informationen finden Sie unter Payload in einem einzigen Chunk übertragen in der Amazon Simple Storage Service API Reference. Verweigern Sie Uploads, die vorsigniert verwenden. URLs Vorsignierte haben URLs immer eine. `UNSIGNED_PAYLOAD` Weitere Informationen finden Sie unter Authentifizieren von Anfragen und Authentifizierungsmethoden in der Amazon Simple Storage API Service-Referenz. Günstiger Wert: `UNSIGNED-PAYLOAD`	String
`s3express:x-amz-server-side-encryption`	Filtert den Zugriff nach serverseitiger Verschlüsselung Zulässige Werte: `"AWS256"`, `aws:kms`	String
`s3express:x-amz-server-side-encryption-aws-kms-key-id`	Filtert den Zugriff nach dem vom AWS KMS Kunden verwalteten Schlüssel für die serverseitige Verschlüsselung Beispielwert: `"arn:aws:kms:region:acct-id:key/key-id"`	ARN

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Anfragen authentifizieren und autorisieren

Identitätsbasierte Richtlinien