Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Hinzufügen einer Dateifreigabe
Nachdem das S3-File Gateway aktiviert wurde und ausgeführt wird, können Sie weitere Dateifreigaben hinzufügen und Zugriff auf Amazon S3 S3-Buckets gewähren. Sie können den Zugriff gewähren, um Buckets in einem anderenAWS-Kontoals Ihre Dateifreigabe. Weitere Informationen zum Hinzufügen einer Dateifreigabe finden Sie unter Erstellen Sie eine Dateifreigabe.
Themen
Gewähren des Zugriffs auf einen Amazon S3 S3-Bucket
Wenn Sie eine Dateifreigabe erstellen, benötigt Ihr Datei-Gateway Zugriff, um Dateien in Ihren Amazon S3 S3-Bucket hochzuladen und Aktionen für alle Access Points oder Virtual Private Cloud (VPC) -Endpunkte auszuführen, die es für die Verbindung mit dem Bucket verwendet. Um diesen Zugriff zu gewähren, geht Ihr Datei-Gateway vonAWS Identity and Access Management(IAM) -Rolle, die mit einer IAM-Richtlinie verknüpft ist, die diesen Zugriff gewährt.
Für die Rolle ist diese IAM-Richtlinie und eine Vertrauensbeziehung zum Security Token Service (STS) erforderlich. Die Richtlinie bestimmt, welche Aktionen die Rolle ausführen kann. Darüber hinaus müssen der S3-Bucket und alle zugehörigen Access Points oder VPC-Endpoints über eine Zugriffsrichtlinie verfügen, mit der die IAM-Rolle darauf zugreifen kann.
Sie können die Rollen- und Zugriffsrichtlinie selbst erstellen oder dies File Gateway überlassen. Erstellt das File Gateway die Richtlinie für Sie, enthält die Richtlinie eine Liste von S3-Aktionen. Weitere Informationen zu -Rollen und Berechtigungen finden Sie unterErstellen einer Rolle zum Delegieren von Berechtigungen an eineAWS-ServiceimIAM User Guideaus.
Im folgenden Beispiel sehen Sie eine Vertrauensrichtlinie, mit der Sie dem File Gateway das Übernehmen einer IAM-Rolle gestatten.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "storagegateway.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Soll keine Richtlinie in Ihrem Namen erstellen, können Sie eine eigene Richtlinie erstellen und diese Richtlinie der Dateifreigabe anfügen. Weitere Information dazu finden Sie unter Erstellen Sie eine Dateifreigabe.
Die folgende Beispielrichtlinie ermöglicht Ihrem File Gateway, alle in der Richtlinie aufgeführten Amazon S3 S3-Aktionen auszuführen. Der erste Teil der Anweisung definiert, dass alle aufgeführten Aktionen auf den S3-Bucket TestBucket angewendet werden dürfen. Der zweite Teil legt fest, dass die aufgeführten Aktionen auf alle Objekte in TestBucket angewendet werden dürfen.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetAccelerateConfiguration", "s3:GetBucketLocation", "s3:GetBucketVersioning", "s3:ListBucket", "s3:ListBucketVersions", "s3:ListBucketMultipartUploads" ], "Resource": "arn:aws:s3:::TestBucket", "Effect": "Allow" }, { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObject", "s3:GetObjectAcl", "s3:GetObjectVersion", "s3:ListMultipartUploadParts", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::TestBucket/*", "Effect": "Allow" } ] }
Die folgende Beispielrichtlinie ähnelt der vorherigen, ermöglicht es Ihrem Datei-Gateway jedoch, Aktionen auszuführen, die für den Zugriff auf einen Bucket über einen Access Point erforderlich sind.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObject", "s3:GetObjectAcl", "s3:GetObjectVersion", "s3:ListMultipartUploadParts", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:us-east-1:123456789:accesspoint/TestAccessPointName/*", "Effect": "Allow" } ] }
Anmerkung
Wenn Sie Ihre Dateifreigabe über einen VPC-Endpunkt mit einem S3-Bucket verbinden müssen, lesen SieEndpunktrichtlinien für Amazon S3imAWS PrivateLink-Benutzerhandbuchaus.
Dienstübergreifende Confused-Deputy-Prävention
Das Confused-Deputy-Problem ist ein Sicherheitsproblem, bei dem eine juristische Stelle, die nicht über die Berechtigung zum Ausführen einer Aktion verfügt, eine privilegiertere juristische Stelle zwingen kann, die Aktion auszuführen. In AWS kann der dienstübergreifende Identitätswechsel zu Confused-Deputy-Problem führen. Ein serviceübergreifender Identitätswechsel kann auftreten, wenn ein Service (der aufrufende Service) einen anderen Service aufruft (der aufgerufene Service). Der aufrufende Service kann manipuliert werden, um seine Berechtigungen zu verwenden, um Aktionen auf die Ressourcen eines anderen Kunden auszuführen, für die er sonst keine Zugriffsberechtigung haben sollte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben.
Wir empfehlen die Verwendung der globalen Bedingungskontext-Schlüsseln aws:SourceArn und aws:SourceAccount in ressourcenbasierten Richtlinien, um die Berechtigungen, die AWS Storage Gateway einem anderen Service erteilt, auf eine bestimmte Ressource zu beschränken. Wenn Sie beide globalen Bedingungskontextschlüssel verwenden, müssen der aws:SourceAccount-Wert und das Konto im aws:SourceArn-Wert dieselbe Konto-ID verwenden, wenn sie in derselben Richtlinienanweisung verwendet werden.
Der Wert vonaws:SourceArnmuss der ARN des Storage Gateway sein, mit dem Ihre Dateifreigabe verknüpft ist.
Der effektivste Weg, um sich vor dem verwirrten Stellvertreterproblem zu schützen, ist die Verwendung desaws:SourceArnglobaler Kontextschlüssel mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen ARN der Ressource nicht wissen oder mehrere Ressourcen angeben, verwenden Sie die Optionaws:SourceArnglobaler Kontextbedingungsschlüssel mit Platzhaltern (*) für die unbekannten Teile des ARN. Zum Beispiel, arn:aws:. servicename::123456789012:*
Das folgende Beispiel zeigt, wie Sieaws:SourceArnundaws:SourceAccountSchlüssel zum globalen Zustandskontext in Storage Gateway, um das verwirrte Deputy Problem zu verhindern.
{ "Version": "2012-10-17", "Statement": { "Sid": "ConfusedDeputyPreventionExamplePolicy", "Effect": "Allow", "Principal": { "Service": "storagegateway.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": "arn:aws:storagegateway:us-east-1:123456789012:gateway/sgw-712345DA" } } } ] }
Verwenden einer Dateifreigabe für kontoübergreifenden Zugriff
KontoübergreifendDer Zugriff erfolgt, wenn ein Amazon Web Services Services-Konto und die Benutzer dieses Kontos Zugriff auf Ressourcen eines anderen Amazon Web Services Services-Kontos erhalten. Für File Gateways können Sie eine Dateifreigabe in einem Amazon Web Services Services-Konto verwenden, um auf Objekte in einem Amazon S3 S3-Bucket zuzugreifen, der zu einem anderen Amazon Web Services Services-Konto gehört.
So verwenden Sie eine Dateifreigabe eines Amazon Web Services Services-Kontos, um auf einen S3-Bucket in einem anderen Amazon Web Services Services-Konto zuzugreifen
-
Stellen Sie sicher, dass der S3-Bucket-Besitzer Ihrem Amazon Web Services Services-Konto Zugriff auf den S3-Bucket gewährt hat, auf den Sie zugreifen müssen, und auf die Objekte in diesem Bucket. Weitere Informationen über die Gewährung dieses Zugriffs finden Sie unterBeispiel 2: Bucket-Eigentümer gewährt kontoübergreifende Bucket-imAmazon Simple Storage Service — Benutzerhandbuchaus. Eine Liste der erforderlichen Berechtigungen finden Sie unter Gewähren des Zugriffs auf einen Amazon S3 S3-Bucket.
-
Stellen Sie sicher, dass die von der Dateifreigabe für den Zugriff auf den S3-Bucket verwendete IAM-Rolle über Berechtigungen für Operationen wie
s3:GetObjectAclunds3:PutObjectAclverfügt. Stellen Sie außerdem sicher, dass die IAM-Rolle eine Vertrauensrichtlinie enthält, die es dem Konto ermöglicht, diese IAM-Rolle zu übernehmen. Ein Beispiel für eine solche Vertrauensrichtlinie finden Sie unter Gewähren des Zugriffs auf einen Amazon S3 S3-Bucket.Wenn die Dateifreigabe für den Zugriff auf den S3-Bucket eine vorhandene Rolle verwendet, sollten Sie Berechtigungen für die Operationen
s3:GetObjectAcunds3:PutObjectAcleinschließen. Außerdem benötigt die Rolle eine Vertrauensrichtlinie, die es dem Konto ermöglicht, diese Rolle anzunehmen. Ein Beispiel für eine solche Vertrauensrichtlinie finden Sie unter Gewähren des Zugriffs auf einen Amazon S3 S3-Bucket. Öffnen Sie die Storage Gateway Gateway-Konsolehttps://console.aws.amazon.com/storagegateway/home
aus. -
Wählen Sie Give bucket owner full control (Bucket-Eigentümer volle Kontrolle gewähren) in den Object metadata (Objektmetadaten)-Einstellungen im Dialogfeld Configure file share setting (Dateifreigabeeinstellungen konfigurieren).
Wenn Sie die Dateifreigabe für kontoübergreifenden Zugriff erstellt oder aktualisiert und die Dateifreigabe lokal eingebunden haben, empfehlen wir dringend, die Konfiguration zu testen. Listen Sie hierzu den Verzeichnisinhalt auf oder schreiben Sie Testdateien und stellen Sie sicher, dass die Dateien als Objekte im S3-Bucket angezeigt werden.
Wichtig
Sie müssen die Richtlinien so einrichten, dass kontoübergreifender Zugriff auf das von der Dateifreigabe verwendete Konto gewährt wird. Wenn Sie dies nicht tun, werden Aktualisierungen der Dateien über lokale Anwendungen nicht auf den Amazon S3 S3-Bucket weitergeleitet, mit dem Sie arbeiten.
Ressourcen
Weitere Informationen zu Zugriffsrichtlinien und Zugriffskontrolllisten finden Sie unter:
Orientierungshilfen für die Verwendung der unterstützten ZugriffsrichtlinienoptionenimAmazon Simple Storage Service — Benutzerhandbuch
Zugriffskontrolllisten (ACL) — ÜbersichtimAmazon Simple Storage Service — Benutzerhandbuch
