Hinweis zum Ende des Supports: Am 13. November 2025 AWS wird der Support für AWS Elemental eingestellt. MediaStore Nach dem 13. November 2025 wirst du nicht mehr auf die MediaStore Konsole oder MediaStore die Ressourcen zugreifen können. Weitere Informationen finden Sie in diesem Blogbeitrag.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiel-Containerrichtlinie: Kontoübergreifender Vollzugriff für eine Rolle

Diese Beispielrichtlinie erlaubt kontoübergreifenden Zugriff zur Aktualisierung eines beliebigen Objekts im Konto, wenn der Benutzer über HTTP angemeldet ist. Außerdem erlaubt sie kontoübergreifenden Zugriff, um Objekte über HTTP oder HTTPS in einem Konto zu löschen, herunterzuladen und zu beschreiben, das die angegebene Rolle angenommen hat.

Die erste Anweisung ist CrossAccountRolePostOverHttps. Sie erlaubt den Zugriff auf die Operation PutObject für ein beliebiges Objekt und erlaubt diesen Zugriff jedem beliebigen Benutzer des angegebenen Kontos, wenn dieses Konto die Rolle übernommen hat, die in <Rollenname> angegeben ist. Sie gibt an, dass dieser Zugriff die Bedingung hat, dass HTTPS für die Operation gefordert wird (diese Bedingung muss immer enthalten sein, wenn Zugriff auf PutObject erteilt wird).

Mit anderen Worten, jeder Prinzipal, der kontoübergreifenden Zugriff besitzt, kann auf PutObject zugreifen, aber nur über HTTPS.
Die zweite Anweisung ist CrossAccountFullAccessExceptPost. Sie erlaubt Zugriff auf alle Operationen außer PutObject für jedes Objekt. Sie erlaubt diesen Zugriff jedem Benutzer des angegebenen Kontos, wenn dieses Konto die Rolle übernommen hat, die in <Rollenname> angegeben ist. Dieser Zugriff hat nicht die Bedingung hat, dass HTTPS für die Operationen gefordert wird.

Mit anderen Worten, jedes Konto mit kontoübergreifendem Zugriff kann auf DeleteObject, GetObject usw. (aber nicht PutObject) zugreifen, und dies über HTTP oder HTTPS.

Wenn Sie PutObject nicht von der zweiten Anweisung ausschließen, ist die Anweisung nicht gültig (weil Sie HTTPS explizit als Bedingung vorgeben müssen, wenn Sie PutObject aufnehmen).


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CrossAccountRolePostOverHttps",
      "Effect": "Allow",
      "Action": "mediastore:PutObject",
      "Principal":{
        "AWS": "arn:aws:iam::<other acct number>:role/<role name>"},
      "Resource": "arn:aws:mediastore:<region>:<owner acct number>:container/<container name>/*",
      "Condition": {
        "Bool": {
            "aws:SecureTransport": "true"
        }
      }
    },
    {
      "Sid": "CrossAccountFullAccessExceptPost",
      "Effect": "Allow",
      "NotAction": "mediastore:PutObject",
      "Principal":{
        "AWS": "arn:aws:iam::<other acct number>:role/<role name>"},
      "Resource": "arn:aws:mediastore:<region>:<owner acct number>:container/<container name>/*"
    }
  ]
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Kontoübergreifender Lesezugriff für eine Rolle

Zugriff auf bestimmte IP-Adressen beschränkt