Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Beispiele für Bucket-Richtlinien
<a name="S3Outposts-example-bucket-policies"></a>

Mit Bucket-Richtlinien von S3 on Outposts können Sie den Zugriff auf Objekte in Ihren Buckets von S3 on Outposts sichern, sodass nur Benutzer mit den entsprechenden Berechtigungen darauf zugreifen können. Sie können sogar verhindern, dass authentifizierte Benutzer ohne die entsprechenden Berechtigungen auf Ihre Ressourcen von S3 on Outposts zugreifen.

Dieser Abschnitt veranschaulicht Beispiele für typische Anwendungsfälle für Bucket-Richtlinien von S3 on Outposts. Wenn Sie diese Richtlinien testen möchten, ersetzen Sie die `user input placeholders` durch Ihre eigenen Informationen (z. B. Ihren Bucket-Namen). 

Um einer Gruppe von Objekten Berechtigungen zu gewähren oder zu verweigern, können Sie Platzhalterzeichen (`*`) in Amazon-Ressourcennamen (ARNs) und anderen Werten verwenden. Sie können beispielsweise den Zugriff auf Gruppen von Objekten steuern, die mit einem gemeinsamen [Präfix](https://docs.aws.amazon.com/general/latest/gr/glos-chap.html#keyprefix)beginnen oder mit einer bestimmten Erweiterung wie `.html` enden. 

Weitere Informationen zur AWS Identity and Access Management (IAM-) Richtliniensprache finden Sie unter. [Einrichten von IAM mit S3 on Outposts](S3OutpostsIAM.md)

**Anmerkung**  
Beim Testen von [https://docs.aws.amazon.com/cli/latest/reference/s3outposts/](https://docs.aws.amazon.com/cli/latest/reference/s3outposts/)-Berechtigungen unter Verwendung der Amazon-S3-Konsole müssen Sie zusätzliche Berechtigungen erteilen, die die Konsole benötigt, wie etwa `s3outposts:createendpoint` und `s3outposts:listendpoints`.

**Zusätzliche Ressourcen für die Erstellung von Bucket-Richtlinien**
+ Eine Liste der IAM-Richtlinienaktionen, -Ressourcen und -Bedingungsschlüssel, die Sie beim Erstellen einer Bucket-Richtlinie von S3 on Outposts verwenden können, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3 on Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3onoutposts.html).
+ Anleitungen zur Erstellung einer Richtlinie von S3 on Outposts finden Sie unter [Hinzufügen oder Bearbeiten einer Bucket-Richtlinie für einen Amazon-S3-on-Outposts-Bucket](S3OutpostsBucketPolicyEdit.md).

**Topics**
+ [Verwalten des Zugriffs auf einen Bucket von Amazon S3 on Outposts basierend auf spezifischen IP-Adressen](#S3OutpostsBucketPolicyManageIPaccess)

## Verwalten des Zugriffs auf einen Bucket von Amazon S3 on Outposts basierend auf spezifischen IP-Adressen
<a name="S3OutpostsBucketPolicyManageIPaccess"></a>

Eine Bucket-Richtlinie ist eine ressourcenbasierte AWS Identity and Access Management (IAM) -Richtlinie, mit der Sie Zugriffsberechtigungen für Ihren Bucket und die darin enthaltenen Objekte gewähren können. Nur der Bucket-Eigentümer kann einem Bucket eine Richtlinie zuordnen. Die dem Bucket zugeordneten Berechtigungen gelten für alle Objekte im Bucket, die dem Bucket-Eigentümer gehören. Bucket-Richtlinien sind auf eine Größe von 20 KB beschränkt. Weitere Informationen finden Sie unter [Bucket-Richtlinie](S3onOutposts.md#S3OutpostsBucketPolicies).

### Beschränken des Zugriffs auf bestimmte IP-Adressen
<a name="S3Outposts-example-bucket-policies-IP-1"></a>

Im folgenden Beispiel wird allen Benutzern die Berechtigung zum Ausführen von [S3-in-Outposts-Operationen](https://docs.aws.amazon.com/AmazonS3/latest/userguide/S3OutpostsWorkingBuckets.html) an Objekten in festgelegten Buckets verweigert, es sei denn, die Anforderung stammt aus dem in der Bedingung angegebenen IP-Adressbereich. 

**Anmerkung**  
Wenn Sie den Zugriff auf eine bestimmte IP-Adresse beschränken, geben Sie unbedingt auch an, welche VPC-Endpunkte, VPC-Quell-IP-Adressen oder externen IP-Adressen auf den Bucket von S3 on Outposts zugreifen können. Andernfalls verlieren Sie möglicherweise den Zugriff auf den Bucket, wenn Ihre Richtlinie allen Benutzern die Ausführung von [https://docs.aws.amazon.com/cli/latest/reference/s3outposts/](https://docs.aws.amazon.com/cli/latest/reference/s3outposts/)-Operationen an Objekten in Ihrem Bucket von S3 on Outposts verweigert, ohne dass bereits die entsprechenden Berechtigungen vorhanden sind.

In der `Condition` Erklärung dieser Richtlinie wird *`192.0.2.0/24`* der Bereich der zulässigen IP-Adressen der Version 4 (IPv4) angegeben. 

Der `Condition` Block verwendet die `NotIpAddress` Bedingung und den `aws:SourceIp` Bedingungsschlüssel, bei dem es sich um einen AWS breiten Bedingungsschlüssel handelt. Der `aws:SourceIp`-Bedingungsschlüssel kann nur für öffentliche IP-Adressbereiche verwendet werden. Weitere Informationen zu diesen Bedingungsschlüsseln finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für S3 on Outposts](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazons3onoutposts.html). Die `aws:SourceIp` IPv4 Werte verwenden die Standard-CIDR-Notation. Weitere Informationen finden Sie in der [Referenz zu IAM-JSON-Richtlinienelementen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Conditions_IPAddress) im *IAM-Benutzerhandbuch*. 

**Warnung**  
Ersetzen Sie vor der Verwendung dieser Richtlinie von S3 on Outposts den *`192.0.2.0/24`*-IP-Adressbereich in diesem Beispiel durch einen geeigneten Wert für Ihren Anwendungsfall. Andernfalls verlieren Sie die Möglichkeit, auf Ihren Bucket zuzugreifen.

```
 1. {
 2.     "Version": "2012-10-17",		 	 	 
 3.     "Id": "S3OutpostsPolicyId1",
 4.     "Statement": [
 5.         {
 6.             "Sid": "IPAllow",
 7.             "Effect": "Deny",
 8.             "Principal": "*",
 9.             "Action": "s3-outposts:*",
10.             "Resource": [
11.                 "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/accesspoint/EXAMPLE-ACCESS-POINT-NAME",
12.                 "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/amzn-s3-demo-bucket"
13.             ],
14.             "Condition": {
15.                 "NotIpAddress": {
16.                     "aws:SourceIp": "192.0.2.0/24"
17.                 }
18.             }
19.         }
20.     ]
21. }
```

### Erlaube sowohl als IPv4 auch Adressen IPv6
<a name="S3Outposts-example-bucket-policies-IP-2"></a>

Wenn Sie anfangen, IPv6 Adressen zu verwenden, empfehlen wir Ihnen, alle Richtlinien Ihrer Organisation mit Ihren IPv6 Adressbereichen zusätzlich zu Ihren bestehenden IPv4 Bereichen zu aktualisieren. Auf diese Weise können Sie sicherstellen, dass die Richtlinien auch bei der Umstellung auf funktionieren IPv6.

Die folgende Beispiel-Bucket-Richtlinie für S3 on Outposts zeigt, wie Sie Bereiche kombinieren IPv4 und IPv6 adressieren können, um alle gültigen IP-Adressen Ihres Unternehmens abzudecken. Die Beispielrichtlinie erteilt Zugriff auf die IP-Adressen *`192.0.2.1`* und *`2001:DB8:1234:5678::1`* und verweigert den Zugriff auf die Adressen *`203.0.113.1`* und *`2001:DB8:1234:5678:ABCD::1`*.

Der `aws:SourceIp`-Bedingungsschlüssel kann nur für öffentliche IP-Adressbereiche verwendet werden. Die IPv6 Werte für `aws:SourceIp` müssen im CIDR-Standardformat vorliegen. Für IPv6 unterstützen wir die Verwendung `::` zur Darstellung eines Bereichs von Nullen (z. B.`2001:DB8:1234:5678::/64`). Weitere Informationen finden Sie unter [IP-Adressen-Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IPAddress) im *IAM-Benutzerhandbuch*.

**Warnung**  
Ersetzen Sie die IP-Adressbereiche in diesem Beispiel durch geeignete Werte für Ihren Anwendungsfall, bevor Sie diese Richtlinie von S3 on Outposts verwenden. Andernfalls verlieren Sie möglicherweise die Möglichkeit, auf Ihren Bucket zuzugreifen.

------
#### [ JSON ]

****  

```
{
    "Id": "S3OutpostsPolicyId2",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowIPmix",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "s3-outposts:GetObject",
                "s3-outposts:PutObject",
                "s3-outposts:ListBucket"
            ],
            "Resource": [            
                "arn:aws:s3-outposts:us-east-1:111122223333:outpost/op-01ac5d28a6a232904/bucket/amzn-s3-demo-bucket",
                "arn:aws:s3-outposts:us-east-1:111122223333:outpost/op-01ac5d28a6a232904/bucket/amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "2001:DB8:1234:5678::/64"
                    ]
                },
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "203.0.113.0/24",
                        "2001:DB8:1234:5678:ABCD::/80"
                    ]
                }
            }
        }
    ]
}
```

------