Überprüfen der Bucket-Eigentümerschaft mit Bucket-Eigentümer-Bedingung - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überprüfen der Bucket-Eigentümerschaft mit Bucket-Eigentümer-Bedingung

Die Bedingung des Amazon S3 S3-Bucket-Besitzers stellt sicher, dass die Buckets, die Sie in Ihren S3-Vorgängen verwenden AWS-Konten , zu den von Ihnen erwarteten gehören.

Die meisten S3-Vorgänge lesen oder schreiben in bestimmte S3-Buckets. Zu diesen Vorgängen gehören das Hochladen, Kopieren und Herunterladen von Objekten, das Abrufen oder Ändern von Bucket-Konfigurationen und das Abrufen oder Ändern von Objektkonfigurationen. Wenn Sie diese Vorgänge ausführen, geben Sie den Bucket an, den Sie verwenden möchten, indem Sie seinen Namen in die Anforderung einbeziehen. Um beispielsweise ein Objekt aus S3 abzurufen, stellen Sie eine Anforderung, die den Namen eines Buckets und den Objektschlüssel angibt, der aus diesem Bucket abgerufen werden soll.

Da Amazon S3 Buckets anhand ihrer Namen identifiziert, könnte eine Anwendung, die einen falschen Bucket-Namen in einer Anforderung verwendet, versehentlich Vorgänge gegen einen anderen Bucket als erwartet ausführen. Um unbeabsichtigte Bucket-Interaktionen in solchen Situationen zu vermeiden, können Sie die Bucket-Eigentümer-Bedingung verwenden. Die Bucket-Eigentümer-Bedingung ermöglicht es Ihnen, zu überprüfen, ob der Ziel-Bucket im Besitz des erwarteten AWS-Konto ist, und bietet eine zusätzliche Gewissheit dafür, dass Ihre S3-Vorgänge die von Ihnen beabsichtigten Auswirkungen haben.

Wann die Bucket-Eigentümer-Bedingung verwendet werden sollte

Wir empfehlen, die Bucket-Eigentümer-Bedingung zu verwenden, wenn Sie einen unterstützten S3-Vorgang ausführen und die Konto-ID des erwarteten Bucket-Eigentümers kennen. Die Bucket-Eigentümer-Bedingung ist für alle S3-Objekt-Vorgänge und die meisten S3-Bucketvorgänge verfügbar. Eine Liste der S3-Vorgänge, die die Bucket-Eigentümerbedingung nicht unterstützen, finden Sie unter Beschränkungen und Einschränkungen.

Stellen Sie sich das folgende Szenario mit AWS Kunde Bea vor, um die Vorteile der Verwendung der Bedingung „Bucket Owner“ zu erkennen:

  1. Bea entwickelt eine Anwendung, die Amazon S3 verwendet. Während der Entwicklung verwendet Bea ihre reine Testfunktion, AWS-Konto um einen Bucket mit dem Namen zu erstellenbea-data-test, und konfiguriert ihre Anwendung so, dass sie Anfragen an sie stellt. bea-data-test

  2. Bea stellt ihre Anwendung bereit, vergisst jedoch, die Anwendung neu zu konfigurieren, um einen Bucket in ihrem Produktions- AWS-Konto zu verwenden.

  3. In der Produktion stellt Beas Anwendung Anforderungen an bea-data-test, die erfolgreich sind. Dies führt dazu, dass Produktionsdaten in den Bucket im Testkonto von Bea geschrieben werden.

Bea kann sich vor solchen Situationen schützen, indem sie die Bucket-Eigentümer-Bedingung verwendet. Mit der Bedingung „Bucket-Besitzer“ kann Bea die AWS-Konto ID des erwarteten Bucket-Besitzers in ihre Anfragen aufnehmen. Amazon S3 überprüft dann die Konto-ID des Bucket-Eigentümers, bevor es eine Anforderung bearbeitet. Wenn der tatsächliche Bucket-Eigentümer nicht mit dem erwarteten Bucket-Eigentümer übereinstimmt, schlägt die Anforderung fehl.

Wenn Bea die Bucket-Eigentümer-Bedingung verwendet, führt das zuvor beschriebene Szenario nicht dazu, dass die Anwendung von Bea versehentlich in einen Test-Bucket schreibt. Stattdessen schlagen die Anforderungen, die ihre Anwendung in Schritt 3 stellt, mit einer Fehlermeldung Access Denied fehl. Durch die Verwendung der Bucket-Eigentümer-Bedingung trägt Bea dazu bei, das Risiko einer versehentlichen Interaktion mit Buckets im falschen AWS-Konto zu eliminieren.

Verifizieren eines Bucket-Eigentümers

Um die Bucket-Eigentümer-Bedingung zu verwenden, schließen Sie in ihre Anforderung einen Parameter ein, der den erwarteten Bucket-Eigentümer angibt. Die meisten S3-Vorgänge betreffen nur einen einzelnen Bucket und erfordern nur diesen einzelnen Parameter, um die Bucket-Eigentümer-Bedingung zu verwenden. Für CopyObject-Vorgänge gibt dieser erste Parameter den erwarteten Eigentümer des Ziel-Buckets an, und Sie schließen einen zweiten Parameter ein, um den erwarteten Eigentümer des Quell-Buckets anzugeben.

Wenn Sie eine Anforderung stellen, die einen Bucket-Eigentümer-Bedingungsparameter enthält, überprüft S3 vor der Verarbeitung der Anforderung die Konto-ID des Bucket-Eigentümers mit dem angegebenen Parameter. Wenn der Parameter mit der Konto-ID des Bucket-Eigentümers übereinstimmt, verarbeitet S3 die Anforderung. Wenn der Parameter nicht mit der Konto-ID des Bucket-Eigentümers übereinstimmt, schlägt die Anforderung mit einer Fehlermeldung Access Denied fehl.

Sie können die Bucket-Owner-Bedingung mit AWS Command Line Interface (AWS CLI) AWS SDKs, und Amazon S3 verwenden RESTAPIs. Wenn Sie die Bucket Owner-Bedingung mit Amazon S3 AWS CLI und Amazon S3 verwenden RESTAPIs, verwenden Sie die folgenden Parameternamen.

Zugriffsmethode Parameter für Nicht-Kopiervorgänge Quellparameter für Kopiervorgang Zielparameter für Kopiervorgang
AWS CLI --expected-bucket-owner --expected-source-bucket-owner --expected-bucket-owner
Amazon S3 REST APIs Header x-amz-expected-bucket-owner Header x-amz-source-expected-bucket-owner Header x-amz-expected-bucket-owner

Die Parameternamen, die für die Verwendung der Bucket-Eigentümer-Bedingung erforderlich sind, AWS SDKs variieren je nach Sprache. Informationen zur Bestimmung der erforderlichen Parameter finden Sie in der SDK Dokumentation für die gewünschte Sprache. Sie finden die SDK Dokumentation unter Tools to Build on AWS.

Beispiele

Die folgenden Beispiele zeigen, wie Sie die Bucket-Eigentümerbedingung in Amazon S3 mithilfe von AWS CLI oder der implementieren können AWS SDK for Java 2.x.

Beispiel: Ein Objekt hochladen

Im folgenden Beispiel wird ein Objekt unter Verwendung der Bucket-Eigentümer-Bedingung in S3-Bucket amzn-s3-demo-bucket1 hochgeladen, um sicherzustellen, dass sich amzn-s3-demo-bucket1 im Besitz des AWS-Konto 111122223333 befindet

AWS CLI
aws s3api put-object \ --bucket amzn-s3-demo-bucket1 --key exampleobject --body example_file.txt \ --expected-bucket-owner 111122223333
AWS SDK for Java 2.x
public void putObjectExample() { S3Client s3Client = S3Client.create();; PutObjectRequest request = PutObjectRequest.builder() .bucket("amzn-s3-demo-bucket1") .key("exampleobject") .expectedBucketOwner("111122223333") .build(); Path path = Paths.get("example_file.txt"); s3Client.putObject(request, path); }

Beispiel: Kopieren eines Objekts

Im folgenden Beispiel wird das Objekt object1 vom S3-Bucket amzn-s3-demo-bucket1 in den S3-Bucket amzn-s3-demo-bucket2 kopiert. Dabei wird die Bucket-Eigentümer-Bedingung verwendet, um sicherzustellen, dass die Buckets den erwarteten Konten gemäß der folgenden Tabelle gehören.

Bucket Erwarteter Eigentümer
amzn-s3-demo-bucket1 111122223333
amzn-s3-demo-bucket2 444455556666
AWS CLI
aws s3api copy-object --copy-source amzn-s3-demo-bucket1/object1 \ --bucket amzn-s3-demo-bucket2 --key object1copy \ --expected-source-bucket-owner 111122223333 --expected-bucket-owner 444455556666
AWS SDK for Java 2.x
public void copyObjectExample() { S3Client s3Client = S3Client.create(); CopyObjectRequest request = CopyObjectRequest.builder() .copySource("amzn-s3-demo-bucket1/object1") .destinationBucket("amzn-s3-demo-bucket2") .destinationKey("object1copy") .expectedSourceBucketOwner("111122223333") .expectedBucketOwner("444455556666") .build(); s3Client.copyObject(request); }

Beispiel: Abrufen einer Bucket-Richtlinie

Im folgenden Beispiel wird die Zugriffsrichtlinie für S3-Bucket amzn-s3-demo-bucket1 abgerufen, wobei die Bucket-Eigentümerbedingung verwendet wird, um sicherzustellen, dass amzn-s3-demo-bucket1 dem AWS-Konto 111122223333 gehört.

AWS CLI
aws s3api get-bucket-policy --bucket amzn-s3-demo-bucket1 --expected-bucket-owner 111122223333
AWS SDK for Java 2.x
public void getBucketPolicyExample() { S3Client s3Client = S3Client.create(); GetBucketPolicyRequest request = GetBucketPolicyRequest.builder() .bucket("amzn-s3-demo-bucket1") .expectedBucketOwner("111122223333") .build(); try { GetBucketPolicyResponse response = s3Client.getBucketPolicy(request); } catch (S3Exception e) { // The call was transmitted successfully, but Amazon S3 couldn't process // it, so it returned an error response. e.printStackTrace(); } }

Beschränkungen und Einschränkungen

Die Amazon-S3-Bucket-Eigentümer-Bedingung hat die folgenden Einschränkungen und Grenzen:

  • Der Wert des Bedingungsparameters Bucket Owner muss eine AWS-Konto ID (12-stelliger numerischer Wert) sein. Service-Prinzipale werden nicht unterstützt.

  • Die Bedingung „Bucket-Besitzer“ ist weder für CreateBucketnoch für andere der in AWS S3 Control enthaltenen Operationen verfügbar. ListBuckets Amazon S3 ignoriert alle Bucket-Eigentümer-Bedingungsparameter, die in Anfragen für diese Vorgänge enthalten sind

  • Die Bucket-Eigentümer-Bedingung überprüft nur, dass das im Verifizierungsparameter angegebene Konto den Bucket besitzt. Die Bucket-Eigentümer-Bedingung überprüft nicht die Konfiguration des Buckets. Sie garantiert auch nicht, dass die Konfiguration des Buckets bestimmte Bedingungen erfüllt oder mit einem früheren Zustand übereinstimmt.