Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Beispiel 1: Bucket-Eigentümer erteilt seinen Benutzern Bucket-Berechtigungen
**Wichtig**
Das Erteilen von Berechtigungen für IAM-Rollen ist eine bessere Vorgehensweise als das Erteilen von Berechtigungen für einzelne Benutzer. Weitere Informationen zum Erteilen von Berechtigungen für IAM-Rollen finden Sie unter [Verständnis von kontoübergreifenden Berechtigungen und der Verwendung von IAM-Rollen](example-walkthroughs-managing-access-example4.md#access-policies-walkthrough-example4-overview).
**Topics**
+ [Vorbereitung auf den Walkthrough](#grant-permissions-to-user-in-your-account-step0)
+ [Schritt 1: Erstellen von Ressourcen in Konto A und Erteilen von Berechtigungen](#grant-permissions-to-user-in-your-account-step1)
+ [Schritt 2: Testen der Berechtigungen](#grant-permissions-to-user-in-your-account-test)
In dieser exemplarischen Vorgehensweise AWS-Konto besitzt ein Benutzer einen Bucket, und das Konto umfasst einen IAM-Benutzer. Standardmäßig hat der Benutzer keine Berechtigungen. Damit der Benutzer alle Aufgaben ausführen kann, muss das übergeordnete Konto ihm Berechtigungen erteilen. Der Bucket-Eigentümer und das übergeordnete Konto sind identisch. Um dem Benutzer Berechtigungen für den Bucket zu gewähren, AWS-Konto kann er daher eine Bucket-Richtlinie, eine Benutzerrichtlinie oder beides verwenden. Der Kontobesitzer gewährt einige Berechtigungen unter Verwendung einer Bucket-Richtlinie und andere Berechtigungen unter Verwendung einer Benutzerrichtlinie.
Die folgenden Schritte fasen das detaillierte Beispiel zusammen:
![\[Diagramm, das ein AWS Konto zeigt, das Berechtigungen gewährt.\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/images/access-policy-ex1.png)
1. Der Kontoadministrator erstellt eine Bucket-Richtlinie, die dem Benutzer verschiedene Berechtigungen erteilt.
1. Der Kontoadministrator weist dem Benutzer eine Benutzerrichtlinie zu, die ihm zusätzliche Berechtigungen erteilt.
1. Anschließend probiert der Benutzer Berechtigungen aus, die über die Bucket-Richtlinie und die Benutzerrichtlinie erteilt wurden.
Für dieses Beispiel benötigen Sie eine AWS-Konto. Anstatt die Anmeldeinformationen des Root-Benutzers für das Konto zu verwenden, erstellen Sie einen Administrator-Benutzer (siehe [Informationen zur Verwendung eines Administratorbenutzers zum Erstellen von Ressourcen und Erteilen von Berechtigungen](example-walkthroughs-managing-access.md#about-using-root-credentials)). Wir beziehen uns auf den AWS-Konto und den Administratorbenutzer, wie in der folgenden Tabelle dargestellt.
| Konto-ID | Konto bezeichnet als | Administratorbenutzer im Konto |
| --- | --- | --- |
| *1111-1111-1111* | Konto A | AccountAadmin |
**Anmerkung**
Der Administratorbenutzer in diesem Beispiel ist **AccountAadmin**, was sich auf Konto A bezieht, und nicht **AccountAdmin**.
Alle Aufgaben in Verbindung mit dem Erstellen von Benutzern und Gewähren von Berechtigungen werden in der AWS-Managementkonsole ausgeführt. Um die Berechtigungen zu überprüfen, verwendet die exemplarische Vorgehensweise die Befehlszeilentools AWS Command Line Interface (AWS CLI) und AWS Tools for Windows PowerShell, sodass Sie keinen Code schreiben müssen.
## Vorbereitung auf den Walkthrough
1. Stellen Sie sicher, dass Sie über eine verfügen AWS-Konto und dass sie über einen Benutzer mit Administratorrechten verfügt.
1. Melden Sie sich bei Bedarf für eine an AWS-Konto. Wir bezeichnen dieses Konto als Konto A.
1. Gehen Sie zu [https://aws.amazon.com/s3](https://aws.amazon.com/s3) und wählen Sie ** AWS Konto erstellen**.
1. Folgen Sie den Anweisungen auf dem Bildschirm.
AWS benachrichtigt Sie per E-Mail, wenn Ihr Konto aktiv und für Sie verfügbar ist.
1. Erstellen Sie in Konto A den Administratorbenutzer **AccountAadmin**. Melden Sie sich mit den Anmeldeinformationen von Konto A in der [IAM-Konsole](https://console.aws.amazon.com/iam/home?#home) an und gehen Sie wie folgt vor:
1. Erstellen Sie den Benutzer**AccountAadmin** und schreiben Sie sich die Sicherheitsanmeldeinformationen für den Benutzer auf.
Anweisungen finden Sie unter [Erstellen eines IAM-Benutzers in Ihrem AWS-Konto](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html) im *IAM-Benutzerhandbuch*.
1. Gewähren Sie Administratorrechte, **AccountAadmin**indem Sie eine Benutzerrichtlinie beifügen, die vollen Zugriff gewährt.
Weitere Informationen finden Sie unter [Verwalten von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) im *IAM-Benutzerhandbuch*.
1. Notieren Sie sich die **Anmelde-URL für den IAM-Benutzer**. **AccountAadmin** Sie brauchen diese URL, wenn Sie sich bei der AWS-Managementkonsole anmelden. *Weitere Informationen darüber, wo Sie die Anmelde-URL finden, finden Sie [im IAM-Benutzerhandbuch unter AWS-Managementkonsole Als IAM-Benutzer anmelden](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_how-users-sign-in.html).* Notieren Sie die URLs für alle Konten.
1. Richten Sie entweder das oder das AWS CLI ein. AWS Tools for Windows PowerShell Stellen Sie sicher, dass Sie die Administratoranmeldeinformationen wie folgt speichern:
+ Wenn Sie das verwenden AWS CLI, erstellen Sie ein Profil`AccountAadmin`,, in der Konfigurationsdatei.
+ Wenn Sie die verwenden AWS Tools for Windows PowerShell, stellen Sie sicher, dass Sie die Anmeldeinformationen für die Sitzung als speichern`AccountAadmin`.
Detaillierte Anweisungen finden Sie unter [Einrichten der Tools für die Anleitungen](policy-eval-walkthrough-download-awscli.md).
## Schritt 1: Erstellen von Ressourcen in Konto A und Erteilen von Berechtigungen
Melden Sie sich mit den Anmeldeinformationen des Benutzers `AccountAadmin` in Konto A und der speziellen IAM-Benutzer-Anmelde-URL bei der an AWS-Managementkonsole und gehen Sie wie folgt vor:
1. Erstellen von Ressourcen eines Buckets und eines IAM-Benutzers
1. Erstellen Sie in der Amazon-S3-Konsole einen Bucket. Notieren Sie sich den AWS-Region Bucket, in dem Sie den Bucket erstellt haben. Detaillierte Anweisungen finden Sie unter [Erstellen eines Allzweck-Buckets](create-bucket-overview.md).
1. Führen Sie in der [IAM-Konsole](https://console.aws.amazon.com/iam/) die folgenden Schritte durch:
1. Erstellen Sie einen Benutzer mit dem Namen Dave.
step-by-stepAnweisungen finden Sie unter [Erstellen von IAM-Benutzern (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console) im *IAM-Benutzerhandbuch*.
1. Notieren Sie sich die `UserDave`-Anmeldeinformationen.
1. Notieren Sie sich den Amazon-Ressourcennamen (ARN) für den Benutzer Dave. Wählen Sie in der [IAM-Konsole](https://console.aws.amazon.com/iam/) den Benutzer aus. Sie finden den ARN des Benutzers auf der Registerkarte **Zusammenfassung**.
1. Erteilen Sie Berechtigungen.
Da der Bucket-Besitzer und das übergeordnete Konto, zu dem der Benutzer gehört, identisch sind, AWS-Konto können sie Benutzerberechtigungen mithilfe einer Bucket-Richtlinie, einer Benutzerrichtlinie oder beidem gewähren. In diesem Beispiel machen Sie beides. Wenn das Objekt auch demselben Konto gehört, kann der Bucket-Eigentümer in der Bucket-Richtlinie (oder einer IAM-Richtlinie) Objektberechtigungen erteilen.
1. Fügen Sie in der Amazon S3 S3-Konsole die folgende Bucket-Richtlinie an an*awsexamplebucket1*.
Die Richtlinie enthält zwei Anweisungen.
+ Die erste Anweisung erteilt Dave Berechtigungen für die Bucket-Operationen `s3:GetBucketLocation` und `s3:ListBucket`.
+ Die zweite Anweisung erteilt die `s3:GetObject`-Berechtigung. Konto A gehört auch das Objekt, deshalb kann der Kontoadministrator die `s3:GetObject`-Berechtigung erteilen.
In der `Principal`-Anweisung wird Dave durch seinen Benutzer-ARN identifiziert. Weitere Informationen zu Richtlinienelementen finden Sie unter [Richtlinien und Berechtigungen in Amazon S3](access-policy-language-overview.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "statement1",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/Dave"
},
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::awsexamplebucket1"
]
},
{
"Sid": "statement2",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/Dave"
},
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::awsexamplebucket1/*"
]
}
]
}
```
------
1. Erstellen Sie mithilfe der folgenden Richtlinie eine Inlinerichtlinie für den Benutzer Dave. Die Richtlinie erteilt dem Benutzer Dave die `s3:PutObject`-Berechtigung. Sie müssen die Richtlinie aktualisieren, indem Sie Ihren Bucket-Namen angeben.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PermissionForObjectOperations",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::awsexamplebucket1/*"
]
}
]
}
```
------
Anweisungen finden Sie unter [Verwaltung IAMpolicies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_inline-using.html) im *IAM-Benutzerhandbuch*. Beachten Sie, dass Sie sich mit den Anmeldeinformationen von Konto A an der Konsole anmelden müssen.
## Schritt 2: Testen der Berechtigungen
Überprüfen Sie unter Verwendung der Anmeldeinformationen von Dave, ob die Berechtigungen funktionieren. Sie haben die Wahl zwischen den folgenden beiden Verfahren.
**Testen Sie die Berechtigungen mit dem AWS CLI**
1. Aktualisieren Sie die AWS CLI Konfigurationsdatei, indem Sie das folgende `UserDaveAccountA` Profil hinzufügen. Weitere Informationen finden Sie unter [Einrichten der Tools für die Anleitungen](policy-eval-walkthrough-download-awscli.md).
```
[profile UserDaveAccountA]
aws_access_key_id = access-key
aws_secret_access_key = secret-access-key
region = us-east-1
```
1. Überprüfen Sie, ob Dave Vorgänge ausführen kann, für die ihm in der Benutzerrichtlinie Berechtigungen erteilt wurden. Laden Sie mit dem folgenden AWS CLI `put-object` Befehl ein Beispielobjekt hoch.
Der Parameter `--body` im Befehl identifiziert die hochzuladende Quelldatei. Wenn sich die Datei beispielsweise im Stammverzeichnis des Laufwerks C: auf einem Windows-Rechner befindet, geben Sie `c:\HappyFace.jpg` an. Der Parameter `--key` gibt den Schlüsselnamen für das Objekt an.
```
aws s3api put-object --bucket awsexamplebucket1 --key HappyFace.jpg --body HappyFace.jpg --profile UserDaveAccountA
```
Führen Sie den folgenden AWS CLI Befehl aus, um das Objekt abzurufen.
```
aws s3api get-object --bucket awsexamplebucket1 --key HappyFace.jpg OutputFile.jpg --profile UserDaveAccountA
```
**Testen Sie die Berechtigungen mit dem AWS Tools for Windows PowerShell**
1. Speichern Sie die Anmeldeinformationen von Dave als `AccountADave`. Anschließend verwenden Sie diese Anmeldeinformationen für `PUT` und `GET` für ein Objekt.
```
set-awscredentials -AccessKey AccessKeyID -SecretKey SecretAccessKey -storeas AccountADave
```
1. Laden Sie ein Beispielobjekt hoch, indem Sie den AWS Tools for Windows PowerShell `Write-S3Object` Befehl verwenden und dabei die gespeicherten Anmeldeinformationen von Benutzer Dave verwenden.
```
Write-S3Object -bucketname awsexamplebucket1 -key HappyFace.jpg -file HappyFace.jpg -StoredCredentials AccountADave
```
Laden Sie das zuvor hochgeladene Objekt herunter.
```
Read-S3Object -bucketname awsexamplebucket1 -key HappyFace.jpg -file Output.jpg -StoredCredentials AccountADave
```