Temporäre Berechtigungsnachweise oder einen Rollen-ARN für Amazon S3 einrichten

Anstatt einen weiteren IAM-Benutzer zu Ihrem Amazon S3-Konto hinzuzufügen, können Sie ihm Zugriff mit temporären Sicherheitsberechtigungsnachweisen und einem Sitzungstoken erteilen. Oder Sie können einen Rollen-ARN (Amazon Resource Name) erstellen und dann dieser Rolle die Berechtigung für den Zugriff auf das Konto erteilen. Der vertrauenswürdige Benutzer kann dann die Rolle verwenden.

Sie können den temporären Berechtigungsnachweisen Rollenrichtlinien zuordnen, um die Berechtigungen zu begrenzen. Sie können beispielsweise Lesezugriff oder Zugriff auf ein bestimmtes S3-Bucket erteilen.

Voraussetzung: Sie müssen der IAM-Eigner des Amazon S3-Kontos sein.

Sie können eine der folgenden Authentifizierungskombinationen einrichten:

  • Zugriffsschlüssel, Geheimer Schlüssel und Sitzungstoken
  • Zugriffsschlüssel, Geheimer Schlüssel, Rollen-ARN, Name der Rollensitzung und optional Dauer in Sekunden
  • Zugriffsschlüssel, Geheimer Schlüssel, Rollen-ARN, Name der Rollensitzung, Externe ID und optional Dauer in Sekunden

'Zugriffsschlüssel', 'Geheimer Schlüssel' und 'Sitzungstoken'

Verwenden Sie die AWS-STS-Operationen (AWS Security Token Service) in der AWS-API, um temporäre Sicherheitsberechtigungsnachweise abzurufen. Diese Berechtigungsnachweise bestehen aus einem Zugriffsschlüssel, einem geheimen Schlüssel und einem Sitzungstoken, das innerhalb eines konfigurierbaren Zeitraums abläuft. Entsprechende Anweisungen finden Sie in der AWS-Dokumentation: Anfordern temporärer Sicherheitsanmeldeinformationen.

'Zugriffsschlüssel', 'Geheimer Schlüssel', 'Rollen-ARN', 'Name der Sitzungsrolle' und optional 'Dauer in Sekunden'

Wenn eine andere Person über ein eigenes S3-Konto verfügt, können Sie eine temporäre Rolle für diese Person erstellen, um auf Ihr S3-Konto zuzugreifen. Erstellen Sie die Rolle entweder über die AWS-Managementkonsole oder die AWS-Befehlszeilenschnittstelle. Siehe Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer.

Der Rollen-ARN ist der Amazon-Ressourcenname für die Rolle der Verbindung.
Der Name der Rollensitzung gibt die Sitzung für S3-Administratoren an. Beispiel: Ihr IAM-Benutzername.
Der Parameter Dauer in Sekunden ist optional. Die Mindestdauer ist 15 Minuten. Die maximale Dauer beträgt 36 Stunden. Der Standardwert ist 1 Stunde. Der Zeitgeber für die Dauer in Sekunden wird jedes Mal gestartet, wenn die Verbindung hergestellt wird.

Anschließend geben Sie Werte für Zugriffsschlüssel, Geheimer Schlüssel, Rollen-ARN, Name der Rollensitzung und optional Dauer in Sekunden für den Benutzer an, der die Verbindung erstellt.

'Zugriffsschlüssel', 'Geheimer Schlüssel', 'Rollen-ARN', 'Name der Rollensitzung', 'Externe ID' und optional 'Dauer in Sekunden'.

Wenn eine andere Person über ein eigenes S3-Konto verfügt, können Sie eine temporäre Rolle für diese Person erstellen, um auf Ihr S3-Konto zuzugreifen. Bei dieser Kombination ist Externe ID eine eindeutige Zeichenfolge, die Sie angeben und die der Benutzer als zusätzlichen Sicherheitsmechanismus eingeben muss. Erstellen Sie zuerst die Rolle über die AWS-Managementkonsole oder die AWS-Befehlszeilenschnittstelle. Siehe Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer. Informationen zum Erstellen der externen ID finden Sie unter Verwenden einer externen ID, um Dritten Zugriff auf Ihre AWS-Ressourcen zu gewähren.

Anschließend geben Sie die Werte für Zugriffsschlüssel, Geheimer Schlüssel, Rollen-ARN, Name der Rollensitzung, Externe ID und optional Dauer in Sekunden für den Benutzer an, der die Verbindung erstellt.

Weitere Informationen

Amazon-Ressourcennamen (ARNs)

Übergeordnetes Thema: Amazon S3-Verbindung