Einstellung für Object Ownership für einen vorhandenen Bucket - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einstellung für Object Ownership für einen vorhandenen Bucket

Sie können S3 Object Ownership für einen vorhandenen S3-Bucket konfigurieren. Zum Anwenden von Objekt-Ownership beim Erstellen eines Buckets finden Sie unter Festlegen von Object Ownership beim Erstellen eines Buckets.

S3 Object Ownership ist eine Einstellung auf Amazon S3-Bucket-Ebene, mit der Sie Zugriffskontrolllisten (ACLs) deaktivieren und die Verantwortung für jedes Objekt in Ihrem Bucket übernehmen können, wodurch die Zugriffsverwaltung für in Amazon S3 gespeicherte Daten vereinfacht wird. Standardmäßig ist für S3 Object Ownership die erzwungene Einstellung Bucket Owner festgelegt und ACLs für neue Buckets deaktiviert. Bei ACLs deaktivierter Option besitzt der Bucket-Besitzer jedes Objekt im Bucket und verwaltet den Zugriff auf Daten ausschließlich mithilfe von Zugriffsverwaltungsrichtlinien. Wir empfehlen, die ACLs Option deaktiviert zu lassen, außer in Ausnahmefällen, in denen Sie den Zugriff für jedes Objekt einzeln steuern müssen.

Object Ownership verfügt über drei Einstellungen, mit denen Sie den Besitz von in Ihren Bucket hochgeladenen Objekten kontrollieren und deaktivieren oder aktivieren könnenACLs:

ACLsdeaktiviert

  • Bucket-Besitzer erzwungen (Standard) — ACLs sind deaktiviert, und der Bucket-Besitzer besitzt automatisch jedes Objekt im Bucket und hat die volle Kontrolle darüber. ACLswirkt sich nicht mehr auf die Berechtigungen für Daten im S3-Bucket aus. Der Bucket verwendet Richtlinien, um die Zugriffssteuerung zu definieren.

ACLsaktiviert

  • Bevorzugter Bucket-Besitzer — Der Bucket-Besitzer besitzt und hat die volle Kontrolle über neue Objekte, die andere Accounts in den Bucket mit den gespeicherten Objekten bucket-owner-full-control schreibenACL.

  • Objekt-Writer — AWS-Konto Derjenige, der ein Objekt hochlädt, besitzt das Objekt, hat die volle Kontrolle darüber und kann anderen Benutzern Zugriff darauf gewähren. ACLs

Voraussetzungen: Bevor Sie die Deaktivierungseinstellung „Bucket Owner erforced“ anwendenACLs, müssen Sie die ACL Bucket-Berechtigungen auf Bucket-Richtlinien migrieren und Ihren Bucket ACLs auf die Standardeinstellung „Privat“ zurücksetzen. ACL Wir empfehlen außerdem, ACL Objektberechtigungen auf Bucket-Richtlinien zu migrieren und Bucket-Richtlinien zu bearbeiten, für die ACLs außer dem Bucket-Besitzer Vollzugriff ACLs erforderlich ist. Weitere Informationen finden Sie unter Voraussetzungen für die Deaktivierung ACLs.

Berechtigungen: Um diesen Vorgang zu verwenden, müssen Sie die s3:PutBucketOwnershipControls-Berechtigung haben. Weitere Informationen zu Amazon S3-Berechtigungen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3 in der Service Authorization Reference.

Weitere Informationen zu den Berechtigungen für API S3-Operationen nach S3-Ressourcentypen finden Sie unterErforderliche Berechtigungen für Amazon S3 API S3-Operationen.

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie in der Liste Buckets den Namen des Buckets aus, auf den Sie eine Einstellung für S3 Object Ownership anwenden möchten.

  3. Wählen Sie die Registerkarte Berechtigungen.

  4. Wählen Sie unter Object Ownership die Option Edit (Bearbeiten).

  5. Wählen Sie unter Object Ownership eine der folgenden Einstellungen aus, um die Inhaberschaft der in Ihren Bucket hochgeladenen Objekte zu deaktivieren oder zu aktivieren ACLs und zu kontrollieren:

    ACLsdeaktiviert

    • Bucket-Besitzer erzwungen — ACLs sind deaktiviert, und der Bucket-Besitzer besitzt automatisch jedes Objekt im Bucket und hat die volle Kontrolle über jedes Objekt im Bucket. ACLswirkt sich nicht mehr auf die Berechtigungen für Daten im S3-Bucket aus. Der Bucket verwendet Richtlinien, um die Zugriffssteuerung zu definieren.

      Informationen dazu, wie Sie vorschreiben müssen, dass alle neuen Buckets mit ACLs deaktivierten AWS Organizations Richtlinien erstellt werden, finden Sie unterDeaktivierung ACLs für alle neuen Buckets (Bucket Owner wird erzwungen). IAM

    ACLsaktiviert

    • Bevorzugter Bucket-Besitzer — Der Bucket-Besitzer besitzt und hat die volle Kontrolle über neue Objekte, die andere Accounts in den Bucket mit den gespeicherten Objekten bucket-owner-full-control schreibenACL.

      Wenn Sie die bevorzugte Einstellung des Bucket-Besitzers anwenden, sodass alle Amazon S3 S3-Uploads die gespeicherten Dateien enthalten müssen bucket-owner-full-controlACL, können Sie eine Bucket-Richtlinie hinzufügen, die nur Objekt-Uploads zulässt, die dies verwenden. ACL

    • Objekt-Writer — Derjenige AWS-Konto , der ein Objekt hochlädt, besitzt das Objekt, hat die volle Kontrolle darüber und kann anderen Benutzern Zugriff darauf gewähren. ACLs

  6. Wählen Sie Save (Speichern) aus.

Um eine Einstellungen für Object Ownership für einen vorhandenen Bucket anzuwenden, verwenden Sie den put-bucket-ownership-controls-Befehl mit dem --ownership-controls-Parameter. Gültige Werte für die Eigentümerschaft sind BucketOwnerEnforced, BucketOwnerPreferred oder ObjectWriter.

In diesem Beispiel wird die Einstellung „Bucket-Eigentümer erzwungen“ für einen vorhandenen Bucket mithilfe der AWS CLI angewendet:

aws s3api put-bucket-ownership-controls --bucket amzn-s3-demo-bucket --ownership-controls="Rules=[{ObjectOwnership=BucketOwnerEnforced}]"

Weitere Informationen zu put-bucket-ownership-controls finden Sie unter .put-bucket-ownership-controls im AWS Command Line Interface -Benutzerhandbuch.

In diesem Beispiel gilt die BucketOwnerEnforced-Einstellung für Object Ownership für einen vorhandenen Bucket mit AWS SDK for Java:

         // Build the ObjectOwnership for BucketOwnerEnforced
         OwnershipControlsRule rule = OwnershipControlsRule.builder()
                .objectOwnership(ObjectOwnership.BucketOwnerEnforced)
                .build();

         OwnershipControls ownershipControls = OwnershipControls.builder()
                   .rules(rule)
                   .build()

          // Build the PutBucketOwnershipControlsRequest
          PutBucketOwnershipControlsRequest putBucketOwnershipControlsRequest =
                PutBucketOwnershipControlsRequest.builder()
                        .bucket(BUCKET_NAME)
                        .ownershipControls(ownershipControls)
                        .build();
                        
          // Send the request to Amazon S3 
          s3client.putBucketOwnershipControls(putBucketOwnershipControlsRequest);

Informationen dazu, wie Sie AWS CloudFormation die Einstellung „Objekteigentum“ auf einen vorhandenen Bucket anwenden können, finden Sie unter AWS::S3::Bucket OwnershipControls im AWS CloudFormation -Benutzerhandbuch.

RESTAPIUm die Einstellung Objektbesitz auf einen vorhandenen S3-Bucket anzuwenden, verwenden SiePutBucketOwnershipControls. Weitere Informationen finden Sie unter PutBucketOwnershipControlsin der Amazon Simple Storage Service API Reference.

Nächste Schritte: Nach der Anwendung der Einstellungen „Von Bucket-Besitzer erzwungen“ oder „Von Bucket-Besitzer bevorzugt“ auf den Objektbesitz können Sie die folgenden Schritte ausführen:

  • Bucket-Besitzer erzwungen — Erfordert, dass alle neuen Buckets mit ACLs deaktivierter Einstellung erstellt werden, indem eine Richtlinie IAM oder Organizations verwendet wird.

  • Bucket-Besitzer bevorzugt — Fügen Sie eine S3-Bucket-Richtlinie hinzu, die vorschreibt, dass ACL für alle Objekt-Uploads bucket-owner-full-control in Ihren Bucket „gesperrt“ gilt.