Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden von Tags mit S3-Allzweck-Buckets
Ein AWS Tag ist ein Schlüssel-Wert-Paar, das Metadaten zu Ressourcen enthält, in diesem Fall Amazon S3 S3-Allzweck-Buckets. Sie können S3-Buckets taggen, wenn Sie sie erstellen, oder Tags für bestehende Buckets verwalten. Allgemeine Informationen zur Verwendung von Tags finden Sie unter [Kennzeichnung für die Kostenzuweisung oder attributbasierte Zugriffskontrolle (ABAC)](tagging.md).
**Anmerkung**
Für die Verwendung von Tags in Buckets fallen keine zusätzlichen Gebühren an, die über die standardmäßigen S3-API-Anforderungsraten hinausgehen. Weitere Informationen finden Sie unter [Amazon S3 – Preise](https://aws.amazon.com/s3/pricing/).
## Gängige Methoden zur Verwendung von Tags mit Buckets
Verwenden Sie Tags in Ihren S3-Buckets für:
1. **Kostenzuweisung – Verfolgen** Sie die Speicherkosten anhand des Bucket-Tags. AWS Fakturierung und Kostenmanagement Weitere Informationen finden Sie unter [Verwendung von Tags für die Kostenzuweisung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging.html#using-tags-for-cost-allocation).
1. **Attributbasierte Zugriffskontrolle (ABAC)** — Skalieren Sie die Zugriffsberechtigungen und gewähren Sie Zugriff auf S3-Buckets auf der Grundlage ihrer Tags. Weitere Informationen finden Sie unter [Verwendung von Tags für ABAC](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging.html#using-tags-for-abac).
**Anmerkung**
Für Allzweck-Buckets ist ABAC standardmäßig nicht aktiviert. Informationen zur Aktivierung von ABAC für Allzweck-Buckets finden Sie unter. [ABAC in Allzweck-Buckets aktivieren](buckets-tagging-enable-abac.md) Für Amazon S3 S3-Ressourcen wie Access Points und Directory-Buckets ist ABAC standardmäßig aktiviert. Sie können dieselben Tags sowohl für die Kostenzuweisung als auch für die Zugriffskontrolle verwenden.
### ABAC für S3-Buckets für allgemeine Zwecke
Allzweck-Buckets von Amazon S3 unterstützen die attributebasierte Zugriffskontrolle (ABAC) mithilfe von Tags. Verwenden Sie Tag-basierte Bedingungsschlüssel in Ihren AWS Organisations-, IAM- und S3-Bucket-Richtlinien. Für Unternehmen unterstützt ABAC in Amazon S3 die Autorisierung über mehrere AWS Konten hinweg.
In Ihren IAM-Richtlinien können Sie den Zugriff auf S3-Buckets anhand der Bucket-Tags steuern, indem Sie die folgenden [globalen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys) Bedingungsschlüssel verwenden:
+ `aws:ResourceTag/key-name`
+ Verwenden Sie diesen Bedingungsschlüssel, um das Tag-Schlüssel-Wert-Paar, das Sie in der Richtlinie angeben, mit dem Schlüssel-Wert-Paar zu vergleichen, das der Ressource zugeordnet ist. S3 wertet diesen Bedingungsschlüssel erst aus, nachdem Sie ABAC in Ihrem Bucket aktiviert haben. Beispiel: Sie können verlangen, dass der Zugriff auf eine Ressource nur gewährt wird, wenn die Ressource über den angefügten Tag-Schlüssel `Dept` mit dem Wert `Marketing` verfügt. Weitere Informationen finden Sie unter [Steuern des Zugriffs auf AWS Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-resources).
+ `aws:RequestTag/key-name`
+ Verwenden Sie diesen Bedingungsschlüssel, um das Tag-Schlüssel-Wert-Paar, das in der Anfrage übergeben wurde, mit dem Tag-Paar zu vergleichen, das Sie in der Richtlinie angeben. Sie können beispielsweise prüfen, ob die Anforderung den Tag-Schlüssel `Dept` enthält und dieser den Wert `Accounting` hat. Weitere Informationen finden Sie unter [Steuern des Zugriffs bei AWS Anfragen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-requests). Sie können diesen Bedingungsschlüssel verwenden, um einzuschränken, welche Tag-Schlüsselwert-Paare während der `TagResource` und `CreateBucket` API-Operationen weitergeleitet werden können.
+ `aws:TagKeys`
+ Verwenden Sie diesen Bedingungsschlüssel, um die Tag-Schlüssel in einer Anfrage mit den Schlüsseln zu vergleichen, die Sie in der Richtlinie angeben. Wir empfehlen, dass Sie bei der Verwendung von Richtlinien zur Zugriffskontrolle mithilfe von Tags den `aws:TagKeys`-Bedingungsschlüssel verwenden, um festzulegen, welche Tag-Schlüssel zulässig sind. Beispiele für Richtlinien und weitere Informationen finden Sie unter [Zugriffssteuerung basierend auf Tag-Schlüsseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-tag-keys).
+ `s3:BucketTag/tag-key`
+ Verwenden Sie diesen Bedingungsschlüssel, um mithilfe von Tags Berechtigungen für bestimmte Daten in Buckets zu erteilen. Dieser Bedingungsschlüssel gilt erst, nachdem ABAC in Ihrem Bucket aktiviert wurde. Wenn Sie über einen Access Point auf einen Bucket zugreifen, verweist der `aws:ResourceTag/tag-key` Bedingungsschlüssel sowohl bei der Autorisierung für den Access Point als auch für den Bucket auf die Tags auf dem Bucket. Der `s3:BucketTag/tag-key` verweist nur auf die Tags des Buckets, für den er autorisiert wurde.
**Anmerkung**
Beachten Sie beim Erstellen von Buckets mit Tags, dass tagbasierte Bedingungen für den Zugriff auf Ihren Bucket mithilfe der BucketTag Bedingungsschlüssel aws: ResourceTag und s3: erst gelten, nachdem Sie ABAC für den Bucket aktiviert haben. Weitere Informationen hierzu finden Sie unter [ABAC in Allzweck-Buckets aktivieren](buckets-tagging-enable-abac.md).
### Beispiel für ABAC-Richtlinien für Buckets
Sehen Sie sich das folgende Beispiel für ABAC-Richtlinien für Amazon S3 S3-Buckets an.
#### 1.1 – IAM-Richtlinie zum Erstellen oder Ändern von Buckets mit bestimmten Tags
In dieser IAM-Richtlinie können Benutzer oder Rollen mit dieser Richtlinie nur S3-Buckets erstellen, wenn sie den Bucket mit dem Tag-Schlüssel `project` und dem Tag-Wert `Trinity ` in der Bucket-Erstellungsanfrage kennzeichnen. Sie können auch Tags zu vorhandenen S3-Buckets hinzufügen oder ändern, sofern die `TagResource` Anfrage das Tag-Schlüssel-Wert-Paar enthält. `project:Trinity` Diese Richtlinie gewährt keine Lese-, Schreib- oder Löschberechtigungen für die Buckets oder ihre Objekte.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateBucketWithTags",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/project": [
"Trinity"
]
}
}
}
]
}
```
#### 1.2 — Bucket-Richtlinie zur Einschränkung von Vorgängen
In dieser Bucket-Richtlinie werden IAM-Prinzipale (Benutzer und Rollen) verweigert `s3:ListBucket``s3:GetObject`, und `s3:PutObject` Aktionen für den Bucket werden nur dann verweigert, wenn der Wert des `project ` Tags im Bucket mit dem Wert des `project` Tags auf dem Principal übereinstimmt.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyObjectOperations",
"Effect": "Deny",
"Principal": "*",
"Action": ["s3:ListBucket",
"s3:GetObject",
"s3:PutObject"],
"Resource": "arn:aws:s3:::aws-s3-demo/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/project": "${aws:PrincipalTag/project}"
}
}
}
]
}
```
#### 1.3 — IAM-Richtlinie zur Änderung von Tags auf vorhandenen Ressourcen
In dieser IAM-Richtlinie können IAM-Prinzipale (Benutzer oder Rollen) Tags in einem Bucket nur dann ändern, wenn der Wert des Bucket-Tags `project` mit dem Wert des Tag des Prinzipals `project` übereinstimmt. Nur die vier in den `aws:TagKeys` Bedingungsschlüsseln `cost-center` angegebenen Tags `project` `environment``owner`,, und sind für diese Buckets zulässig. Dies hilft bei der Durchsetzung der Tag-Governance, verhindert unbefugte Tag-Änderungen und sorgt dafür, dass das Tagging-Schema in allen Buckets konsistent bleibt.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EnforceTaggingRulesOnModification",
"Effect": "Allow",
"Action": [
"s3:TagResource",
"s3:CreateBucket"
],
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"project",
"environment",
"owner",
"cost-center"
]
}
}
}
]
}
```
#### 1.4 — Verwendung des BucketTag Bedingungsschlüssels s3:
In dieser IAM-Richtlinie ermöglicht die Bedingungsanweisung den Zugriff auf die Daten des `aws-s3-demo` Buckets nur, wenn der Bucket den Tag-Schlüssel `Environment` und den Tag-Wert `Production` enthält.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessViaSpecificBucket",
"Effect": "Allow",
"Action": "*",
"Resource": ["arn:aws:s3:::aws-s3-demo","arn:aws:s3:::aws-s3-demo/*"],
"Condition": {
"StringEquals": {
"s3:BucketTag/Environment": "Production"
}
}
}
]
}
```
## Verwaltung von Tags für Allzweck-Buckets
Sie können Tags für S3-Buckets mithilfe der Amazon S3 S3-Konsole, der AWS Befehlszeilenschnittstelle (CLI) AWS SDKs, der oder mithilfe von S3 APIs: [TagResource[UntagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html)](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html), und [ListTagsForResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html)hinzufügen oder verwalten. Weitere Informationen finden Sie unter:
**Topics**