Zugriffssteuerung

Auf dieser Seite werden Best Practices für die Verwendung von Identity and Access Management (IAM) und Access Control Lists (ACLs) für die Verwaltung des Zugriffs auf Ihre Daten beschrieben.

IAM-Richtlinien und ACLs erfordern eine aktive Verwaltung, um wirksam zu sein. Bevor Sie Nutzern Zugriff auf einen Bucket oder ein Objekt gewähren, sollten Sie wissen, für wen Sie den Bucket oder das Objekt freigeben möchten und welche Rolle diese Personen haben sollen. Veränderungen im Projektmanagement, den Nutzungsmustern sowie den Verantwortungsbereichen im Unternehmen können es im Lauf der Zeit erforderlich machen, die IAM- oder ACL-Einstellungen für Buckets und Projekte anzupassen, insbesondere wenn Sie Cloud Storage in einer großen Organisation oder für eine große Gruppe von Nutzern verwalten. Berücksichtigen Sie die folgenden Best Practices bei der Bewertung und Planung Ihrer Zugriffssteuerungseinstellungen:

  • Gewähren Sie Zugriff auf Buckets oder Objekte nach dem Prinzip der geringsten Berechtigung.

    Das Prinzip der geringsten Berechtigung ist eine Sicherheitsrichtlinie zum Gewähren von Zugriff auf Ihre Ressourcen. Wenn Sie danach vorgehen, gewähren Sie nur die Berechtigung, die absolut notwendig ist, damit ein Nutzer die ihm zugewiesene Aufgabe erfüllen kann. Wenn Sie beispielsweise Dateien mit Personen teilen möchten, sollten Sie ihnen die IAM-Rolle storage.objectViewer oder die ACL-Berechtigung READER und nicht die IAM-Rolle storage.admin oder die ACL-Berechtigung OWNER zuweisen.

  • Vermeiden Sie es, Personen, die Sie nicht kennen, IAM-Rollen mit der Berechtigung setIamPolicy oder die ACL-Berechtigung OWNER zuzuweisen.

    Mit der IAM-Berechtigung setIamPolicy oder der ACL-Berechtigung OWNER können Nutzer Berechtigungen ändern und die Kontrolle über Daten übernehmen. Sie sollten Rollen mit diesen Berechtigungen nur verwenden, wenn Sie die administrative Kontrolle über Objekte und Buckets delegieren möchten.

  • Seien Sie vorsichtig, wenn Sie anonymen Nutzern Berechtigungen gewähren.

    Die Hauptkontotypen allUsers und allAuthenticatedUsers sollten Sie nur verwenden, wenn jeder über das Internet Ihre Daten lesen und analysieren darf. Ein solch großer Nutzungsumfang ist für einige Anwendungen und Szenarien sicher hilfreich, aber es ist normalerweise nicht sinnvoll, allen Nutzern bestimmte Berechtigungen zu gewähren, z. B. die IAM-Berechtigungen setIamPolicy, update, create oder delete oder die ACL-Berechtigung OWNER.

  • Achten Sie darauf, die administrative Kontrolle Ihrer Buckets zu delegieren.

    Achten Sie darauf, dass Ihre Ressourcen weiterhin von anderen Teammitgliedern verwaltet werden können, wenn eine Person mit Administratorzugriff die Gruppe verlässt.

    Führen Sie einen der folgenden Schritte aus, um zu verhindern, dass Ressourcen nicht mehr zugänglich sind:

    • Weisen Sie die IAM-Rolle Storage-Administrator für Ihr Projekt einer Gruppe statt einer einzelnen Person zu.

    • Weisen Sie mindestens zwei Personen die IAM-Rolle Storage-Administrator für Ihr Projekt zu.

    • Weisen Sie die ACL-Berechtigung OWNER für Ihren Bucket mindestens zwei Personen zu.

  • Berücksichtigen Sie das interoperable Verhalten von Cloud Storage.

    Wenn die XML API für den interoperablen Zugriff mit anderen Speicherdiensten wie Amazon S3 verwendet wird, bestimmt der Signaturbezeichner die ACL-Syntax. Beispiel: Das von Ihnen verwendete Tool oder die Bibliothek sendet an Cloud Storage eine Anfrage zum Abrufen von ACLs. Dabei wird der Signaturbezeichner eines anderen Storage-Anbieters verwendet. Cloud Storage gibt in diesem Fall ein XML-Dokument mit der ACL-Syntax dieses Storage-Anbieters zurück. Weiteres Beispiel: Das von Ihnen verwendete Tool oder die Bibliothek sendet an Cloud Storage eine Anfrage zum Anwenden von ACLs. Dabei wird der Signaturbezeichner eines anderen Storage-Anbieters verwendet. Cloud Storage erwartet in diesem Fall den Empfang eines XML-Dokuments mit der Syntax dieses Storage-Anbieters.

    Weitere Informationen zur Verwendung der XML API für die Interoperabilität mit Amazon S3 finden Sie unter Einfache Migration von Amazon S3 zu Cloud Storage.

Nächste Schritte