View a markdown version of this page

So funktioniert S3 Files mit IAM - Amazon Simple Storage Service
Identitätsbasierte RichtlinienRessourcenbasierte RichtlinienS3 Files-Aktionen für ClientsBedingungsschlüssel für S3-Dateien für ClientsBeispiele für DateisystemrichtlinienPOSIX-BerechtigungenSicherheitsgruppen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

So funktioniert S3 Files mit IAM

Auf dieser Seite wird beschrieben, wie AWS Identity and Access Management (IAM) mit S3-Dateien funktioniert und wie Sie IAM-Richtlinien verwenden können, um den Zugriff auf Ihre Dateisysteme zu kontrollieren.

S3 Files verwendet IAM für zwei verschiedene Arten der Zugriffskontrolle:

  • API-Zugriff — Steuert, wer S3 Files-Ressourcen wie Dateisysteme, Mount-Ziele und Access Points erstellen, verwalten und löschen kann. Sie steuern diesen Zugriff mithilfe identitätsbasierter Richtlinien, die IAM-Benutzern, -Gruppen oder -Rollen zugeordnet sind.

  • Client-Zugriff — Steuert, was Clients (Ihre bereitgestellten Rechenressourcen) mit dem Dateisystem tun können, sobald sie eine Verbindung hergestellt haben, z. B. Dateien als Root-Benutzer lesen, schreiben oder darauf zugreifen können. Sie steuern diesen Zugriff mithilfe einer Kombination aus ressourcenbasierten Richtlinien, identitätsbasierten Richtlinien, Zugriffspunkten und POSIX-Berechtigungen.

Mit IAM können Sie Clients erlauben, bestimmte Aktionen auf einem Dateisystem durchzuführen, einschließlich Lese-, Schreib- und Root-Zugriff. Eine „allow“-Erlaubnis für eine Aktion in einer IAM-Identitätsrichtlinie oder einer Dateisystem-Ressourcenrichtlinie erlaubt den Zugriff auf diese Aktion. Die Genehmigung muss nicht sowohl in einer Identitäts- als auch in einer Ressourcenrichtlinie erteilt werden.

Ihre S3-Bucket-Richtlinien in Ihrem verknüpften S3-Bucket regeln auch den Zugriff von Ihrer Rechenressource und Ihrem Dateisystem auf Ihren S3-Bucket. Sie müssen außerdem sicherstellen, dass die Bucket-Richtlinien Ihres Quell-Buckets den Zugriff über Ihre Rechenressource oder Ihr Dateisystem nicht verweigern. Weitere Informationen finden Sie unter Bucket-Richtlinien für Amazon S3.

Identitätsbasierte Richtlinien

Identitätsbasierte Richtlinien sind JSON-Richtlinien, die Sie IAM-Benutzern, -Gruppen oder -Rollen zuordnen. Sie können diese Berechtigungen bereitstellen, indem Sie benutzerdefinierte Richtlinien schreiben oder eine verwaltete Richtlinie anhängen. AWS Weitere Informationen zu verfügbaren verwalteten Richtlinien für API-Zugriff und Client-Zugriff finden Sie unter AWS Verwaltete Richtlinien für Amazon S3 S3-Dateien.

S3 Files optimiert auch die Leseleistung, indem es Clients ermöglicht, Dateidaten direkt aus dem S3-Quell-Bucket zu lesen. Wenn Sie ein S3-Dateisystem auf Ihrer Rechenressource bereitstellen, müssen Sie der IAM-Rolle Ihrer Rechenressource eine Inline-Richtlinie hinzufügen, die Berechtigungen zum Lesen von Objekten aus dem angegebenen S3-Bucket gewährt. Der Mount-Helper verwendet diese Berechtigungen, um die S3-Daten zu lesen. Weitere Informationen zu dieser Richtlinie finden Sie unterIAM-Rolle zum Anhängen Ihres Dateisystems an Rechenressourcen AWS.

Ressourcenbasierte Richtlinien

Eine Dateisystemrichtlinie ist eine auf IAM-Ressourcen basierende Richtlinie, die Sie direkt an ein Dateisystem anhängen, um den Client-Zugriff zu steuern. Mithilfe von Dateisystemrichtlinien können Sie Clients Berechtigungen zur Ausführung von Vorgängen wie Mounten, Schreiben und Root-Zugriff gewähren oder verweigern.

Ein Dateisystem hat entweder eine leere (Standard-) Dateisystemrichtlinie oder genau eine explizite Richtlinie. S3-Dateisystemrichtlinien haben ein Limit von 20.000 Zeichen. Informationen zum Erstellen und Verwalten von Dateisystemrichtlinien finden Sie unterErstellen von Dateisystemrichtlinien.

S3 Files-Aktionen für Clients

Sie können die folgenden Aktionen in einer Dateisystemrichtlinie angeben, um den Client-Zugriff zu steuern:

Action Description
s3files:ClientMount Ermöglicht den Nur-Lese-Zugriff auf ein Dateisystem.
s3files:ClientWrite Bietet Schreibrechte für ein Dateisystem.
s3files:ClientRootAccess Ermöglicht die Verwendung des Root-Benutzers beim Zugriff auf ein Dateisystem.

Bedingungsschlüssel für S3-Dateien für Clients

Sie können die folgenden Bedingungsschlüssel im Condition Element einer Dateisystemrichtlinie verwenden, um die Zugriffskontrolle weiter zu verfeinern:

Bedingungsschlüssel Description Operator
s3files:AccessPointArn ARN des S3 Files-Zugriffspunkts, zu dem der Client eine Verbindung herstellt. Zeichenfolge

Beispiele für Dateisystemrichtlinien

Beispiel: Erteilen von schreibgeschütztem Zugriff

Die folgende Dateisystemrichtlinie gewährt der ReadOnly IAM-Rolle nur ClientMount (schreibgeschützt) Berechtigungen. Ersetzen Sie es 111122223333 durch Ihre Konto-ID AWS .

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/ReadOnly"
            },
            "Action": [
                "s3files:ClientMount"
            ]
        }
    ]
}

Beispiel: Gewähren Sie Zugriff auf einen S3 Files-Zugriffspunkt

Die folgende Dateisystemrichtlinie verwendet ein Bedingungselement, um einem bestimmten Zugriffspunkt vollen Zugriff auf das Dateisystem zu gewähren, wenn das Mounten über den angegebenen Zugriffspunkt erfolgt. Ersetzen Sie den ARN und die Konto-ID des Access Points durch Ihre Werte. Weitere Informationen finden Sie unter Access Points für ein S3-Dateisystem erstellen.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::555555555555:role/S3FilesAccessPointFullAccess"
            },
            "Action": [
                "s3files:Client*"
            ],
            "Condition": {
                "StringEquals": {
                    "s3files:AccessPointArn": "arn:partition:s3files:region:account-id:file-system/fs-1234567890/access-point/fsap-0987654321"
                }
            }
        }
    ]
}

POSIX-Berechtigungen

Nach erfolgreicher IAM-Autorisierung erzwingt S3 Files POSIX-Standardberechtigungen (UNIX-Stil) auf Datei- und Verzeichnisebene. POSIX-Berechtigungen steuern den Zugriff auf der Grundlage der Benutzer-ID (UID), der Gruppen-ID (GID) und der Berechtigungsbits (Lesen, Schreiben, Ausführen), die jeder Datei und jedem Verzeichnis zugeordnet sind. Access Points können eine bestimmte POSIX-Benutzeridentität für alle Anfragen erzwingen und so die Zugriffsverwaltung für gemeinsam genutzte Datensätze vereinfachen. Weitere Informationen finden Sie unter Access Points für ein S3-Dateisystem erstellen.

Sicherheitsgruppen

Sicherheitsgruppen fungieren als Firewall auf Netzwerkebene, die den Verkehr zwischen Ihren Rechenressourcen und den Mount-Zielen des Dateisystems steuert. Einzelheiten zur Konfiguration von Sicherheitsgruppen für den Einstieg in S3 Files finden Sie unter. Sicherheitsgruppen