Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

Wie kann ich wieder auf meinen Amazon S3-Bucket zugreifen, nachdem ich versehentlich allen den Zugriff verweigert habe?

Lesedauer: 4 Minute
0

Ich habe meine Bucket-Richtlinie falsch konfiguriert, um allen den Zugriff auf meinen Amazon Simple Storage Service (Amazon S3)-Bucket zu verweigern.

Behebung

Wichtig: Aus Sicherheits- und Datenschutzgründen hat der AWS Support keinen Zugriff auf Kundendaten und kann nicht in deinem Namen auf eine Bucket-Richtlinie zugreifen. Wenn du es nicht schaffst, den Zugriff auf deinen S3-Bucket wiederzuerlangen, kann der AWS Support ihn nicht wiederherstellen. Weitere Informationen zur Datensicherheit findest du unter Modell der geteilten Verantwortung.

Du erfüllst die Bedingungen der Bucket-Richtlinie nicht

Wenn du die Bedingungen der Bucket-Richtlinie nicht erfüllst, führe die folgenden Schritte aus, um wieder Zugriff auf deinen Amazon-S3-Bucket zu erhalten:

  1. Melde dich bei der AWS-Managementkonsole als Root-Benutzer des AWS-Kontos an.
    Wichtig: Verwende den Root-Benutzer des Kontos nicht für Routineaufgaben. Verwende die Anmeldeinformationen des Root-Benutzers nur für Aufgaben, bei denen du dich als Root-Benutzer anmelden musst. Die Anmeldeinformationen des Root-Benutzers sind nicht identisch mit denen eines AWS-Identity-Access-Management (IAM, Identitäts- und Zugriffsmanagement)-Benutzers oder einer IAM-Rolle mit Administratorzugriff. Außerdem kannst du dem Root-Benutzerkonto keine IAM-Richtlinien mit den Berechtigungen Allow (Zulassen) oder Deny (Verweigern) zuordnen. Es hat sich unter Sicherheitsgesichtspunkten für den Kontoadministrator bewährt, das Passwort für den Root-Benutzer des Kontos regelmäßig zu ändern.
  2. Öffne die Amazon-S3-Konsole.
  3. Navigiere zum falsch konfigurierten Bucket.
  4. Wähle die Registerkarte Berechtigungen aus.
  5. Wähle unter Bucket-Richtlinie die Option Bearbeiten aus.
  6. Identifiziere und lösche in der Bucket-Richtlinie die Bedingungen, die zur Bucket-Sperre geführt haben.
  7. Klicke auf Änderungen speichern.
  8. Melde dich von der AWS-Managementkonsole ab.

Nachdem du die Bucket-Richtlinie als Root-Benutzer des Kontos geändert hast, kann ein IAM-Benutzer mit Bucket-Zugriff die berichtigte Bucket-Richtlinie anwenden. Weitere Informationen findest du unter Beispiele für die Amazon S3-Bucket-Richtlinien und Hinzufügen einer Bucket-Richtlinie mithilfe der Amazon S3-Konsole.

Du erfüllst die Bedingungen der Bucket-Richtlinie

Wenn du die Bedingungen der Bucket-Richtlinie erfüllst, aber das Root-Benutzerkonto nicht verwenden kannst, ändere die Richtlinie.

Gehe wie folgt vor, um wieder Zugriff auf deinen Bucket zu erhalten:

  1. Prüfe die Bucket-Richtlinie, um die Bedingungen deines Buckets zu ermitteln, die du erfüllst.
  2. Wenn es Bucket-Richtlinienbedingungen gibt, die du nicht erfüllst, führe alle erforderlichen Maßnahmen aus, damit die Richtlinie als wahr eingestuft wird. Im Folgenden findest du Beispiele für Bucket-Richtlinienbedingungen, die den S3-Bucket-Zugriff blockieren können: 
    Du hast die IP-Adresse des Clients nicht zur Zulassungsliste hinzugefügt.
    Du hast den Virtual-Private-Cloud (VPC)-Endpunkt nicht zur Zulassungsliste hinzugefügt.
    Du hast die Anforderungen innerhalb von VPC gestellt, aber VPC hat keinen Amazon-S3-Endpunkt.
    Die Verweigerungsbedingung blockiert Prinzipals und enthält keinen Bedingungsblock.
  3. Nachdem du den Zugriff wiedererlangt hast, identifiziere und lösche die Bedingungen, die zur Sperrung des Buckets geführt haben. 
  4. Teste die Änderungen, um sicherzustellen, dass die Zugriffskontrollstufe korrekt ist.

Mitgliedskonten von AWS Organizations

Wenn du AWS Organizations verwendest, können Mitgliedskonten wieder Zugriff auf versehentlich gesperrte Amazon S3-Buckets erlangen.

Um wieder Zugriff auf deinen S3-Bucket zu erhalten, führe eine privilegierte Aktion für ein Mitgliedskonto aus und lösche die falsch konfigurierte Bucket-Richtlinie. Füge danach eine gültige Bucket-Richtlinie hinzu.

Weitere Informationen findest du unter Zentrale Verwaltung des Root-Zugriffs für Kunden, die AWS Organizations verwenden.

Verwende CloudTrail, um den Bucket-Namen und die Bucket-Richtlinie zu finden

Hinweis: Wenn du beim Ausführen von AWS Command Line Interface (AWS CLI)-Befehlen Fehlermeldungen erhältst, findest du weitere Informationen dazu unter Problembehandlung bei der AWS CLI. Stelle außerdem sicher, dass du die neueste Version der AWS CLI verwendest.

Wenn du die Richtlinie, die du vor der Sperrung auf den Bucket angewendet hast, nicht kennst, überprüfe das Ereignis mit AWS CloudTrail.

Um im Konto nach aktuellen PutBucketPolicy-API-Aktionen zu suchen, verwende die CloudTrail-Konsole oder die AWS CLI.

CloudTrail-Konsole

Führe die folgenden Schritte aus:

  1. Öffne die CloudTrail-Konsole.
  2. Wähle im Navigationsbereich die Option Ereignisverlauf aus.
  3. Wähle auf der Seite Ereignisverlauf unter Suchattribute die Option Ereignisname aus.
  4. Gib einen Ereignisnamen in das Suchfeld ein, wähle die Option PutBucketPolicy und betätige danach die Eingabetaste.
  5. Wähle das neueste Ereignis aus und überprüfe die Details. Das Ereignis zeigt die Anfrage- und Antwortparameter an, einschließlich des Bucket-Namens und der Bucket-Richtlinie.

AWS CLI

Führe den Befehl put-bucket-policy aus:

aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventName,AttributeValue=PutBucketPolicy --region example-region

Hinweis: Ersetze example-region durch deine AWS-Region.

Themen
Speicher
Tags
Amazon Simple Storage Service
Sprache
Deutsch

Ähnliche Videos

Sieh dir Karans Video an, um mehr zu erfahren (3:06)
Sieh dir Karans Video an, um mehr zu erfahren (3:06)
AWS OFFICIAL
AWS OFFICIALAktualisiert vor 2 Monaten

Relevanter Inhalt