Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Anleitungen, die Richtlinien verwenden, um den Zugriff auf Ihre Amazon-S3-Ressourcen zu verwalten
<a name="example-walkthroughs-managing-access"></a>

In diesem Thema werden die folgenden einführenden Anleitungsbeispiele für das Gewähren des Zugriffs aufs Amazon-S3-Ressourcen bereitgestellt. In AWS-Managementkonsole diesen Beispielen werden Ressourcen (Buckets, Objekte, Benutzer) erstellt und ihnen Berechtigungen erteilt. Anschließend zeigen die Beispiele auf, wie Sie Berechtigungen mithilfe der Befehlszeilen-Tools überprüfen können, sodass Sie keinen Code schreiben müssen. Wir stellen Befehle bereit, die sowohl das AWS Command Line Interface (AWS CLI) als auch das AWS Tools for Windows PowerShell verwenden.
+ [Beispiel 1: Bucket-Eigentümer erteilt seinen Benutzern Bucket-Berechtigungen](example-walkthroughs-managing-access-example1.md)

  Die in Ihrem Konto erstellten IAM-Benutzer verfügen standardmäßig über keine Berechtigungen. In dieser Übung erteilen Sie einem Benutzer die Berechtigung, Bucket- und Objekt-Vorgänge auszuführen.
+ [Beispiel 2: Bucket-Eigentümer erteilt kontoübergreifende Bucket-Berechtigungen](example-walkthroughs-managing-access-example2.md)

  In dieser Übung gewährt ein Bucket-Eigentümer, Konto A, einem anderen AWS-Konto, Konto B, kontoübergreifende Berechtigungen. Konto B delegiert diese Berechtigungen anschließend an Benutzer in seinem Konto. 
+ **Verwalten von Objektberechtigungen, wenn der Objekt- und der Bucket-Eigentümer nicht identisch sind**

  Bei den Beispielszenarien in diesem Fall geht es um einen Bucket-Eigentümer, der anderen Objektberechtigungen erteilt, es gehören jedoch nicht alle Objekte im Bucket dem Bucket-Eigentümer. Welche Berechtigungen benötigt der Bucket-Eigentümer und wie kann er diese Berechtigungen delegieren?

   AWS-Konto Derjenige, der einen Bucket erstellt, wird *Bucket-Besitzer* genannt. Der Besitzer kann anderen Personen die AWS-Konten Erlaubnis erteilen, Objekte hochzuladen, und derjenige, der Objekte erstellt AWS-Konten , ist Eigentümer dieser Objekte. Der Bucket-Eigentümer hat keine Berechtigungen für diese Objekte, die von anderen AWS-Konten erstellt wurden. Wenn der Bucket-Eigentümer eine Bucket-Richtlinie erstellt, die Zugriff auf Objekte erteilt, gilt diese Richtlinie nicht für Objekte, die sich im Besitz von anderen Konten befinden. 

  In diesem Fall muss der Objekteigentümer zuerst dem Bucket-Eigentümer über eine Objekt-ACL Berechtigungen erteilen. Der Bucket-Besitzer kann diese Objektberechtigungen dann an andere, an Benutzer in seinem eigenen Konto oder an einen anderen delegieren AWS-Konto, wie die folgenden Beispiele zeigen.
  + [Beispiel 3: Bucket-Eigentümer, der Berechtigungen für Objekte erteilt, die ihm nicht gehören](example-walkthroughs-managing-access-example3.md)

    In dieser Übung erhält der Bucket-Eigentümer zuerst Berechtigungen von dem Objekteigentümer. Der Bucket-Eigentümer delegiert diese Berechtigungen anschließend an Benutzer in seinem eigenen Konto.
  + [Beispiel 4 – Der Bucket-Eigentümer erteilt eine kontenübergreifende Berechtigung für Objekte, die ihm nicht gehören](example-walkthroughs-managing-access-example4.md)

    Nachdem der Bucket-Besitzer die Berechtigungen vom Objekteigentümer erhalten hat, kann er die Berechtigungen nicht an andere delegieren, AWS-Konten da die kontoübergreifende Delegierung nicht unterstützt wird (siehe). [Berechtigungsdelegation](access-policy-language-overview.md#permission-delegation) Stattdessen kann der Bucket-Besitzer eine IAM-Rolle mit Berechtigungen zum Ausführen bestimmter Operationen (z. B. zum Abrufen eines Objekts) erstellen und einer anderen Person erlauben, diese Rolle AWS-Konto zu übernehmen. Jeder, der diese Rolle annimmt, kann anschließend auf Objekte zugreifen. Dieses Beispiel zeigt, wie ein Bucket-Eigentümer diese kontoübergreifende Delegation mithilfe einer IAM-Rolle aktivieren kann. 

## Bevor Sie die beispiehalften Walkthroughs ausprobieren
<a name="before-you-try-example-walkthroughs-manage-access"></a>

In diesen Beispielen werden Ressourcen erstellt und Berechtigungen erteilt. AWS-Managementkonsole Um Berechtigungen zu testen, verwenden die Beispiele die Befehlszeilentools AWS CLI AWS Tools for Windows PowerShell, und, sodass Sie keinen Code schreiben müssen. Zum Testen der Berechtigungen müssen Sie eins dieser Tools einrichten. Weitere Informationen finden Sie unter [Einrichten der Tools für die Anleitungen](policy-eval-walkthrough-download-awscli.md). 

Darüber hinaus verwenden diese Beispiele beim Erstellen von Ressourcen keine Root-Benutzer-Anmeldeinformationen von einem AWS-Konto. Sie erstellen stattdessen einen Administratorbenutzer in diesen Konten, um diese Aufgaben auszuführen. 

### Informationen zur Verwendung eines Administratorbenutzers zum Erstellen von Ressourcen und Erteilen von Berechtigungen
<a name="about-using-root-credentials"></a>

AWS Identity and Access Management (IAM) rät davon ab, die Anmeldeinformationen des Root-Benutzers Ihres AWS-Konto für Anfragen zu nutzen. Erstellen Sie stattdessen eine(n) IAM-Benutzer oder eine -Rolle, gewähren Sie diesem/r vollständigen Zugriff und verwenden Sie anschließend die Anmeldeinformationen dieses Benutzers/dieser Rolle zum Erstellen von Anfragen. Wir bezeichnen dies als Administratorbenutzer oder -rolle. Weitere Informationen finden Sie unter [Root-Benutzer des AWS-Kontos -Anmeldeinformationen und IAM-Identitäten](https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html) in der *Allgemeine AWS-Referenz* und unter [Bewährte IAM-Methoden](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.

Alle Beispielanleitungen in diesem Abschnitt verwenden die Anmeldeinformationen des Administratorbenutzers. Wenn Sie noch keinen Administratorbenutzer für Ihren erstellt haben AWS-Konto, erfahren Sie in den Themen, wie das geht. 

Um sich AWS-Managementkonsole mit den Benutzeranmeldedaten bei anzumelden, müssen Sie die Anmelde-URL des IAM-Benutzers verwenden. Die [IAM-Konsole](https://console.aws.amazon.com/iam/) stellt diese URL für Ihr AWS-Konto bereit. In diesen Themen erfahren Sie, wie Sie die URL abrufen können.

# Einrichten der Tools für die Anleitungen
<a name="policy-eval-walkthrough-download-awscli"></a>

In den einführenden Beispielen (siehe[Anleitungen, die Richtlinien verwenden, um den Zugriff auf Ihre Amazon-S3-Ressourcen zu verwalten](example-walkthroughs-managing-access.md)) werden Ressourcen erstellt und Berechtigungen erteilt. AWS-Managementkonsole Um Berechtigungen zu testen, verwenden die Beispiele die Befehlszeilentools AWS Command Line Interface (AWS CLI) und AWS Tools for Windows PowerShell, sodass Sie keinen Code schreiben müssen. Zum Testen der Berechtigungen müssen Sie eins dieser Tools einrichten. 

**Um das einzurichten AWS CLI**

1. Herunterladen und Konfigurieren von AWS CLI. Eine Anleitung finden Sie unter den folgenden Themen im *AWS Command Line Interface -Benutzerhandbuch*: 

    [Installieren oder Aktualisieren der neuesten Version der AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-set-up.html) 

    [Erste Schritte mit der AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) 

1. Richten Sie das Standardprofil ein. 

   Sie speichern Benutzeranmeldeinformationen in der AWS CLI Konfigurationsdatei. Erstellen Sie mit Ihren AWS-Konto Anmeldeinformationen ein Standardprofil in der Konfigurationsdatei. Anweisungen zum Suchen und Bearbeiten Ihrer AWS CLI Konfigurationsdatei finden Sie unter [Einstellungen für die Konfiguration und die Anmeldeinformationsdatei](https://docs.aws.amazon.com/cli/latest/userguide/cli-config-files.html).

   ```
   [default]
   aws_access_key_id = access key ID
   aws_secret_access_key = secret access key
   region = us-west-2
   ```

1. Überprüfen Sie die Einrichtung, indem Sie den folgenden Befehl in die Befehlszeile eingeben. Beide Befehle stellen nicht explizit Anmeldeinformationen bereit, daher werden die Anmeldeinformationen des Standardprofils verwendet.
   + Probieren Sie den x-Befehl aus.

     ```
     aws help
     ```
   + Um eine Liste der Buckets im konfigurierten Konto zu erhalten, verwenden Sie den `aws s3 ls`-Befehl

     ```
     aws s3 ls
     ```

Im Verlauf dieser Anleitungen erstellen Sie Benutzer und speichern Anmeldeinformationen in den Konfigurationsdateien, indem Sie Profile erstellen, wie im folgenden Beispiel dargestellt. Diese Profile haben die Namen des `AccountAadmin` und `AccountBadmin`.

```
[profile AccountAadmin]
aws_access_key_id = User AccountAadmin access key ID
aws_secret_access_key = User AccountAadmin secret access key
region = us-west-2

[profile AccountBadmin]
aws_access_key_id = Account B access key ID
aws_secret_access_key = Account B secret access key
region = us-east-1
```

Um mit diesen Benutzeranmeldeinformationen einen Befehl auszuführen, fügen Sie den Parameter `--profile` hinzu, um den Profilnamen festzulegen. Mit dem folgenden AWS CLI Befehl wird eine Liste der Objekte in dem Profil abgerufen *`examplebucket`* und das `AccountBadmin` Profil spezifiziert. 

```
aws s3 ls s3://examplebucket --profile AccountBadmin
```

Alternativ können Sie eine Reihe von Anmeldeinformationen als Standardprofil konfigurieren, indem Sie die Umgebungsvariable `AWS_DEFAULT_PROFILE` von der Befehlszeile aus ändern. Danach AWS CLI verwendet das bei jeder Ausführung von AWS CLI Befehlen ohne den `--profile` Parameter das Profil, das Sie in der Umgebungsvariablen festgelegt haben, als Standardprofil.

```
$ export AWS_DEFAULT_PROFILE=AccountAadmin
```

**Zum Einrichten AWS Tools for Windows PowerShell**

1. Herunterladen und Konfigurieren von AWS Tools for Windows PowerShell. Anweisungen finden Sie unter [Installieren der AWS Tools for Windows PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html#pstools-installing-download) im *AWS -Tools für PowerShell -Benutzerhandbuch*. 
**Anmerkung**  
Um das AWS Tools for Windows PowerShell Modul zu laden, müssen Sie die PowerShell Skriptausführung aktivieren. Weitere Informationen finden Sie unter [Skriptausführung aktivieren](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html#enable-script-execution) im *AWS -Tools für PowerShell -Benutzerhandbuch*.

1. Für diese exemplarischen Vorgehensweisen geben Sie mithilfe des AWS `Set-AWSCredentials` Befehls Anmeldeinformationen pro Sitzung an. Der Befehl speichert die Anmeldeinformationen in einem persistenten Speicher (Parameter `-StoreAs `).

   ```
   Set-AWSCredentials -AccessKey AccessKeyID -SecretKey SecretAccessKey -storeas string
   ```

1. Überprüfen Sie die Einrichtung.
   + Führen Sie den Befehl `Get-Command` aus, um eine Liste der verfügbaren Befehle für Amazon-S3-Operationen abzurufen. 

     ```
     Get-Command -module awspowershell -noun s3* -StoredCredentials string
     ```
   + Um eine Liste von Objekten in einem Bucket abzurufen, führen Sie den `Get-S3Object`‑Befehl aus

     ```
     Get-S3Object -BucketName bucketname -StoredCredentials string
     ```

Eine Liste der Befehle finden Sie unter [AWS Tools for PowerShell Cmdlet](https://docs.aws.amazon.com/powershell/latest/reference/Index.html) Reference. 

Jetzt sind Sie bereit, die Anleitungen auszuprobieren. Folgen Sie den Links am Anfang jedes Abschnitts.

# Beispiel 1: Bucket-Eigentümer erteilt seinen Benutzern Bucket-Berechtigungen
<a name="example-walkthroughs-managing-access-example1"></a>

**Wichtig**  
Das Erteilen von Berechtigungen für IAM-Rollen ist eine bessere Vorgehensweise als das Erteilen von Berechtigungen für einzelne Benutzer. Weitere Informationen zum Erteilen von Berechtigungen für IAM-Rollen finden Sie unter [Verständnis von kontoübergreifenden Berechtigungen und der Verwendung von IAM-Rollen](example-walkthroughs-managing-access-example4.md#access-policies-walkthrough-example4-overview).

**Topics**
+ [Vorbereitung auf den Walkthrough](#grant-permissions-to-user-in-your-account-step0)
+ [Schritt 1: Erstellen von Ressourcen in Konto A und Erteilen von Berechtigungen](#grant-permissions-to-user-in-your-account-step1)
+ [Schritt 2: Testen der Berechtigungen](#grant-permissions-to-user-in-your-account-test)

In dieser exemplarischen Vorgehensweise AWS-Konto besitzt ein Benutzer einen Bucket, und das Konto umfasst einen IAM-Benutzer. Standardmäßig hat der Benutzer keine Berechtigungen. Damit der Benutzer alle Aufgaben ausführen kann, muss das übergeordnete Konto ihm Berechtigungen erteilen. Der Bucket-Eigentümer und das übergeordnete Konto sind identisch. Um dem Benutzer Berechtigungen für den Bucket zu gewähren, AWS-Konto kann er daher eine Bucket-Richtlinie, eine Benutzerrichtlinie oder beides verwenden. Der Kontobesitzer gewährt einige Berechtigungen unter Verwendung einer Bucket-Richtlinie und andere Berechtigungen unter Verwendung einer Benutzerrichtlinie.

Die folgenden Schritte fasen das detaillierte Beispiel zusammen:

![\[Diagramm, das ein AWS Konto zeigt, das Berechtigungen gewährt.\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/images/access-policy-ex1.png)


1. Der Kontoadministrator erstellt eine Bucket-Richtlinie, die dem Benutzer verschiedene Berechtigungen erteilt.

1. Der Kontoadministrator weist dem Benutzer eine Benutzerrichtlinie zu, die ihm zusätzliche Berechtigungen erteilt.

1. Anschließend probiert der Benutzer Berechtigungen aus, die über die Bucket-Richtlinie und die Benutzerrichtlinie erteilt wurden.

Für dieses Beispiel benötigen Sie eine AWS-Konto. Anstatt die Anmeldeinformationen des Root-Benutzers für das Konto zu verwenden, erstellen Sie einen Administrator-Benutzer (siehe [Informationen zur Verwendung eines Administratorbenutzers zum Erstellen von Ressourcen und Erteilen von Berechtigungen](example-walkthroughs-managing-access.md#about-using-root-credentials)). Wir beziehen uns auf den AWS-Konto und den Administratorbenutzer, wie in der folgenden Tabelle dargestellt.


| Konto-ID | Konto bezeichnet als | Administratorbenutzer im Konto | 
| --- | --- | --- | 
|  *1111-1111-1111*  |  Konto A  |  AccountAadmin  | 

**Anmerkung**  
Der Administratorbenutzer in diesem Beispiel ist **AccountAadmin**, was sich auf Konto A bezieht, und nicht **AccountAdmin**.

Alle Aufgaben in Verbindung mit dem Erstellen von Benutzern und Gewähren von Berechtigungen werden in der AWS-Managementkonsole ausgeführt. Um die Berechtigungen zu überprüfen, verwendet die exemplarische Vorgehensweise die Befehlszeilentools AWS Command Line Interface (AWS CLI) und AWS Tools for Windows PowerShell, sodass Sie keinen Code schreiben müssen.

## Vorbereitung auf den Walkthrough
<a name="grant-permissions-to-user-in-your-account-step0"></a>

1. Stellen Sie sicher, dass Sie über eine verfügen AWS-Konto und dass sie über einen Benutzer mit Administratorrechten verfügt.

   1. Melden Sie sich bei Bedarf für eine an AWS-Konto. Wir bezeichnen dieses Konto als Konto A.

      1.  Gehen Sie zu [https://aws.amazon.com/s3](https://aws.amazon.com/s3) und wählen Sie ** AWS Konto erstellen**. 

      1. Folgen Sie den Anweisungen auf dem Bildschirm.

         AWS benachrichtigt Sie per E-Mail, wenn Ihr Konto aktiv und für Sie verfügbar ist.

   1. Erstellen Sie in Konto A den Administratorbenutzer **AccountAadmin**. Melden Sie sich mit den Anmeldeinformationen von Konto A in der [IAM-Konsole](https://console.aws.amazon.com/iam/home?#home) an und gehen Sie wie folgt vor: 

      1. Erstellen Sie den Benutzer**AccountAadmin** und schreiben Sie sich die Sicherheitsanmeldeinformationen für den Benutzer auf. 

         Anweisungen finden Sie unter [Erstellen eines IAM-Benutzers in Ihrem AWS-Konto](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html) im *IAM-Benutzerhandbuch*. 

      1. Gewähren Sie Administratorrechte, **AccountAadmin**indem Sie eine Benutzerrichtlinie beifügen, die vollen Zugriff gewährt. 

         Weitere Informationen finden Sie unter [Verwalten von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) im *IAM-Benutzerhandbuch*. 

      1. Notieren Sie sich die **Anmelde-URL für den IAM-Benutzer**. **AccountAadmin** Sie brauchen diese URL, wenn Sie sich bei der AWS-Managementkonsole anmelden. *Weitere Informationen darüber, wo Sie die Anmelde-URL finden, finden Sie [im IAM-Benutzerhandbuch unter AWS-Managementkonsole Als IAM-Benutzer anmelden](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_how-users-sign-in.html).* Notieren Sie die URLs für alle Konten.

1. Richten Sie entweder das oder das AWS CLI ein. AWS Tools for Windows PowerShell Stellen Sie sicher, dass Sie die Administratoranmeldeinformationen wie folgt speichern:
   + Wenn Sie das verwenden AWS CLI, erstellen Sie ein Profil`AccountAadmin`,, in der Konfigurationsdatei.
   + Wenn Sie die verwenden AWS Tools for Windows PowerShell, stellen Sie sicher, dass Sie die Anmeldeinformationen für die Sitzung als speichern`AccountAadmin`.

   Detaillierte Anweisungen finden Sie unter [Einrichten der Tools für die Anleitungen](policy-eval-walkthrough-download-awscli.md). 

## Schritt 1: Erstellen von Ressourcen in Konto A und Erteilen von Berechtigungen
<a name="grant-permissions-to-user-in-your-account-step1"></a>

Melden Sie sich mit den Anmeldeinformationen des Benutzers `AccountAadmin` in Konto A und der speziellen IAM-Benutzer-Anmelde-URL bei der an AWS-Managementkonsole und gehen Sie wie folgt vor:

1. Erstellen von Ressourcen eines Buckets und eines IAM-Benutzers

   1. Erstellen Sie in der Amazon-S3-Konsole einen Bucket. Notieren Sie sich den AWS-Region Bucket, in dem Sie den Bucket erstellt haben. Detaillierte Anweisungen finden Sie unter [Erstellen eines Allzweck-Buckets](create-bucket-overview.md). 

   1. Führen Sie in der [IAM-Konsole](https://console.aws.amazon.com/iam/) die folgenden Schritte durch: 

      1. Erstellen Sie einen Benutzer mit dem Namen Dave.

          step-by-stepAnweisungen finden Sie unter [Erstellen von IAM-Benutzern (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console) im *IAM-Benutzerhandbuch*. 

      1. Notieren Sie sich die `UserDave`-Anmeldeinformationen.

      1. Notieren Sie sich den Amazon-Ressourcennamen (ARN) für den Benutzer Dave. Wählen Sie in der [IAM-Konsole](https://console.aws.amazon.com/iam/) den Benutzer aus. Sie finden den ARN des Benutzers auf der Registerkarte **Zusammenfassung**.

1. Erteilen Sie Berechtigungen. 

   Da der Bucket-Besitzer und das übergeordnete Konto, zu dem der Benutzer gehört, identisch sind, AWS-Konto können sie Benutzerberechtigungen mithilfe einer Bucket-Richtlinie, einer Benutzerrichtlinie oder beidem gewähren. In diesem Beispiel machen Sie beides. Wenn das Objekt auch demselben Konto gehört, kann der Bucket-Eigentümer in der Bucket-Richtlinie (oder einer IAM-Richtlinie) Objektberechtigungen erteilen.

   1. Fügen Sie in der Amazon S3 S3-Konsole die folgende Bucket-Richtlinie an an*awsexamplebucket1*. 

      Die Richtlinie enthält zwei Anweisungen. 
      + Die erste Anweisung erteilt Dave Berechtigungen für die Bucket-Operationen `s3:GetBucketLocation` und `s3:ListBucket`.
      + Die zweite Anweisung erteilt die `s3:GetObject`-Berechtigung. Konto A gehört auch das Objekt, deshalb kann der Kontoadministrator die `s3:GetObject`-Berechtigung erteilen. 

      In der `Principal`-Anweisung wird Dave durch seinen Benutzer-ARN identifiziert. Weitere Informationen zu Richtlinienelementen finden Sie unter [Richtlinien und Berechtigungen in Amazon S3](access-policy-language-overview.md).

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Sid": "statement1",
                  "Effect": "Allow",
                  "Principal": {
                      "AWS": "arn:aws:iam::111122223333:user/Dave"
                  },
                  "Action": [
                      "s3:GetBucketLocation",
                      "s3:ListBucket"
                  ],
                  "Resource": [
                      "arn:aws:s3:::awsexamplebucket1"
                  ]
              },
              {
                  "Sid": "statement2",
                  "Effect": "Allow",
                  "Principal": {
                      "AWS": "arn:aws:iam::111122223333:user/Dave"
                  },
                  "Action": [
                      "s3:GetObject"
                  ],
                  "Resource": [
                      "arn:aws:s3:::awsexamplebucket1/*"
                  ]
              }
          ]
      }
      ```

------

   1. Erstellen Sie mithilfe der folgenden Richtlinie eine Inlinerichtlinie für den Benutzer Dave. Die Richtlinie erteilt dem Benutzer Dave die `s3:PutObject`-Berechtigung. Sie müssen die Richtlinie aktualisieren, indem Sie Ihren Bucket-Namen angeben.

------
#### [ JSON ]

****  

      ```
      {
         "Version":"2012-10-17",		 	 	 
         "Statement": [
            {
               "Sid": "PermissionForObjectOperations",
               "Effect": "Allow",
               "Action": [
                  "s3:PutObject"
               ],
               "Resource": [
                  "arn:aws:s3:::awsexamplebucket1/*"
               ]
            }
         ]
      }
      ```

------

      Anweisungen finden Sie unter [Verwaltung IAMpolicies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_inline-using.html) im *IAM-Benutzerhandbuch*. Beachten Sie, dass Sie sich mit den Anmeldeinformationen von Konto A an der Konsole anmelden müssen.

## Schritt 2: Testen der Berechtigungen
<a name="grant-permissions-to-user-in-your-account-test"></a>

Überprüfen Sie unter Verwendung der Anmeldeinformationen von Dave, ob die Berechtigungen funktionieren. Sie haben die Wahl zwischen den folgenden beiden Verfahren.

**Testen Sie die Berechtigungen mit dem AWS CLI**

1. Aktualisieren Sie die AWS CLI Konfigurationsdatei, indem Sie das folgende `UserDaveAccountA` Profil hinzufügen. Weitere Informationen finden Sie unter [Einrichten der Tools für die Anleitungen](policy-eval-walkthrough-download-awscli.md).

   ```
   [profile UserDaveAccountA]
   aws_access_key_id = access-key
   aws_secret_access_key = secret-access-key
   region = us-east-1
   ```

1. Überprüfen Sie, ob Dave Vorgänge ausführen kann, für die ihm in der Benutzerrichtlinie Berechtigungen erteilt wurden. Laden Sie mit dem folgenden AWS CLI `put-object` Befehl ein Beispielobjekt hoch. 

   Der Parameter `--body` im Befehl identifiziert die hochzuladende Quelldatei. Wenn sich die Datei beispielsweise im Stammverzeichnis des Laufwerks C: auf einem Windows-Rechner befindet, geben Sie `c:\HappyFace.jpg` an. Der Parameter `--key` gibt den Schlüsselnamen für das Objekt an.

   ```
   aws s3api put-object --bucket awsexamplebucket1 --key HappyFace.jpg --body HappyFace.jpg --profile UserDaveAccountA
   ```

   Führen Sie den folgenden AWS CLI Befehl aus, um das Objekt abzurufen. 

   ```
   aws s3api get-object --bucket awsexamplebucket1 --key HappyFace.jpg OutputFile.jpg --profile UserDaveAccountA
   ```

**Testen Sie die Berechtigungen mit dem AWS Tools for Windows PowerShell**

1. Speichern Sie die Anmeldeinformationen von Dave als `AccountADave`. Anschließend verwenden Sie diese Anmeldeinformationen für `PUT` und `GET` für ein Objekt.

   ```
   set-awscredentials -AccessKey AccessKeyID -SecretKey SecretAccessKey -storeas AccountADave
   ```

1. Laden Sie ein Beispielobjekt hoch, indem Sie den AWS Tools for Windows PowerShell `Write-S3Object` Befehl verwenden und dabei die gespeicherten Anmeldeinformationen von Benutzer Dave verwenden. 

   ```
   Write-S3Object -bucketname awsexamplebucket1 -key HappyFace.jpg -file HappyFace.jpg -StoredCredentials AccountADave
   ```

   Laden Sie das zuvor hochgeladene Objekt herunter.

   ```
   Read-S3Object -bucketname awsexamplebucket1 -key HappyFace.jpg -file Output.jpg -StoredCredentials AccountADave
   ```

# Beispiel 2: Bucket-Eigentümer erteilt kontoübergreifende Bucket-Berechtigungen
<a name="example-walkthroughs-managing-access-example2"></a>

**Wichtig**  
Das Erteilen von Berechtigungen für IAM-Rollen ist eine bessere Vorgehensweise als die Erteilung von Berechtigungen an einzelne Benutzer. Weitere Informationen zur Vorgehensweise finden Sie unter [Verständnis von kontoübergreifenden Berechtigungen und der Verwendung von IAM-Rollen](example-walkthroughs-managing-access-example4.md#access-policies-walkthrough-example4-overview).

**Topics**
+ [Vorbereitung auf den Walkthrough](#cross-acct-access-step0)
+ [Schritt 1: Erledigen der Aufgaben von Konto A](#access-policies-walkthrough-cross-account-permissions-acctA-tasks)
+ [Schritt 2: Erledigen der Aufgaben von Konto B](#access-policies-walkthrough-cross-account-permissions-acctB-tasks)
+ [Schritt 3: (Optional) Versuchen Sie eine explizite Zugriffsverweigerung](#access-policies-walkthrough-example2-explicit-deny)
+ [Schritt 4: Bereinigen](#access-policies-walkthrough-example2-cleanup-step)

Ein Konto AWS-Konto— zum Beispiel Konto A — kann einem anderen AWS-Konto Konto B die Erlaubnis erteilen, auf seine Ressourcen wie Buckets und Objekte zuzugreifen. Konto B kann diese Berechtigungen an Benutzer in seinem Konto delegieren. In diesem Beispielszenario erteilt ein Bucket-Eigentümer einem anderen Konto eine kontenübergreifende Berechtigung, um bestimmte Bucket-Vorgänge auszuführen.

**Anmerkung**  
Konto A kann einem Benutzer in Konto B unter Verwendung einer Bucket-Richtlinie auch direkt Berechtigungen erteilen. Der Benutzer braucht dennoch eine Berechtigung von seinem übergeordneten Konto, Konto B, zu dem der Benutzer gehört, auch wenn Konto B keine Berechtigungen von Konto A erhalten hat. Solange der Benutzer die Berechtigung vom Ressourceneigentümer und dem übergeordneten Konto hat, kann der Benutzer auf die Ressource zugreifen.

Nachfolgend finden Sie eine kurze Zusammenfassung der wichtigsten Details: 

![\[Ein anderer Benutzer AWS-Konto erhält die AWS-Konto Erlaubnis, auf seine Ressourcen zuzugreifen.\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/images/access-policy-ex2.png)


1. Der Administrator-Benutzer von Konto A ordnet eine Bucket-Richtlinie zu, die Konto B kontenübergreifende Berechtigungen erteilt, um bestimmte Bucket-Vorgänge auszuführen.

   Beachten Sie, dass der Administrator-Benutzer in Konto B die Berechtigungen automatisch erbt.

1. Der Administrator-Benutzer von Konto B ordnet dem Benutzer eine Benutzerrichtlinie zu, die die Berechtigungen an den Benutzer delegiert, die er von Konto A erhalten hat.

1. Der Benutzer in Konto B überprüft die Berechtigungen, indem er auf ein Objekt in dem Bucket zugreift, das Konto A gehört.

Für dieses Beispiel benötigen Sie zwei Konten. Die folgende Tabelle zeigt, wie wir auf diese Konten und die Administrator-Benutzer darin verweisen. Laut den IAM-Richtlinien (siehe [Informationen zur Verwendung eines Administratorbenutzers zum Erstellen von Ressourcen und Erteilen von Berechtigungen](example-walkthroughs-managing-access.md#about-using-root-credentials)) verwenden wir in dieser Anleitung nicht die Anmeldeinformationen des Root-Benutzers. Stattdessen erstellen Sie einen Administrator-Benutzer in jedem Konto, und verwenden dessen Anmeldeinformationen, um Ressourcen zu erstellen und ihnen Berechtigungen zu erteilen. 


| AWS-Konto Ausweis | Konto bezeichnet als | Administratorbenutzer im Konto  | 
| --- | --- | --- | 
|  *1111-1111-1111*  |  Konto A  |  AccountAadmin  | 
|  *2222-2222-2222*  |  Konto B  |  AccountBadmin  | 

Alle Aufgaben in Verbindung mit dem Erstellen von Benutzern und Gewähren von Berechtigungen werden in der AWS-Managementkonsole ausgeführt. Um die Berechtigungen zu überprüfen, verwendet die exemplarische Vorgehensweise die Befehlszeilentools AWS Command Line Interface (CLI) und AWS Tools for Windows PowerShell, sodass Sie keinen Code schreiben müssen.

## Vorbereitung auf den Walkthrough
<a name="cross-acct-access-step0"></a>

1. Stellen Sie sicher, dass Sie zwei haben AWS-Konten und dass jedes Konto über einen Administratorbenutzer verfügt, wie in der Tabelle im vorherigen Abschnitt dargestellt.

   1. Melden Sie sich bei Bedarf für einen an AWS-Konto. 

   1. Melden Sie sich mit den Anmeldeinformationen für Konto A an der [IAM-Konsole](https://console.aws.amazon.com/iam/home?#home) an und erstellen Sie wie folgt den Administrator-Benutzer:

      1. Erstellen Sie den Benutzer **AccountAadmin** und schreiben Sie sich die Sicherheitsanmeldeinformationen auf. Anweisungen finden Sie unter [Erstellen eines IAM-Benutzers in Ihrem AWS-Konto](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html) im *IAM-Benutzerhandbuch*. 

      1. Gewähren Sie Administratorrechte, **AccountAadmin**indem Sie eine Benutzerrichtlinie anhängen, die vollen Zugriff gewährt. Weitere Informationen finden Sie unter [Arbeiten mit Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) im *IAM-Benutzerhandbuch*. 

   1. Während Sie sich in der IAM-Konsole befinden, notieren Sie sich die **IAM-Benutzer-Anmelde-URL** auf dem **Dashboard**. Alle Benutzer in diesem Konto müssen diese URL für die Anmeldung an der AWS-Managementkonsole verwenden.

      Weitere Informationen finden Sie unter [Wie sich Benutzer in Ihrem Konto anmelden](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_how-users-sign-in.html) im *IAM-Benutzerhandbuch*. 

   1. Wiederholen Sie den obigen Schritt unter Verwendung der Anmeldeinformationen von Konto B und erstellen Sie den Administrator-Benutzer **AccountBadmin**.

1. Richten Sie entweder die AWS Command Line Interface (AWS CLI) oder die AWS Tools for Windows PowerShell ein. Stellen Sie sicher, dass Sie die Administratoranmeldeinformationen wie folgt speichern:
   + Wenn Sie das verwenden AWS CLI, erstellen Sie zwei Profile `AccountAadmin` und`AccountBadmin`, in der Konfigurationsdatei.
   + Wenn Sie die verwenden AWS Tools for Windows PowerShell, stellen Sie sicher, dass Sie die Anmeldeinformationen für die Sitzung als `AccountAadmin` und speichern`AccountBadmin`.

   Detaillierte Anweisungen finden Sie unter [Einrichten der Tools für die Anleitungen](policy-eval-walkthrough-download-awscli.md). 

1. Speichern Sie die Anmeldeinformationen des Administrator-Benutzers, auch als Profile bezeichnet. Sie können den Profilnamen verwenden, statt für jeden eingegebenen Befehl Anmeldeinformationen anzugeben. Weitere Informationen finden Sie unter [Einrichten der Tools für die Anleitungen](policy-eval-walkthrough-download-awscli.md). 

   1. Fügen Sie der AWS CLI Anmeldeinformationsdatei Profile für jeden der Administratorbenutzer `AccountAadmin` und `AccountBadmin` in den beiden Konten hinzu. 

      ```
      [AccountAadmin]
      aws_access_key_id = access-key-ID
      aws_secret_access_key = secret-access-key
      region = us-east-1
      
      [AccountBadmin]
      aws_access_key_id = access-key-ID
      aws_secret_access_key = secret-access-key
      region = us-east-1
      ```

   1. Wenn Sie die AWS Tools for Windows PowerShell verwenden, führen Sie den folgenden Befehl au.

      ```
      set-awscredentials –AccessKey AcctA-access-key-ID –SecretKey AcctA-secret-access-key –storeas AccountAadmin
      set-awscredentials –AccessKey AcctB-access-key-ID –SecretKey AcctB-secret-access-key –storeas AccountBadmin
      ```

## Schritt 1: Erledigen der Aufgaben von Konto A
<a name="access-policies-walkthrough-cross-account-permissions-acctA-tasks"></a>

### Schritt 1.1: Melden Sie sich an AWS-Managementkonsole
<a name="access-policies-walkthrough-cross-account-permissions-acctA-tasks-sign-in"></a>

Melden Sie sich mit der IAM-Benutzer-Anmelde-URL für Konto A zunächst beim Benutzer AWS-Managementkonsole as **AccountAadmin**an. Dieser Benutzer erstellt einen Bucket und ordnet ihm eine Richtlinie zu. 

### Schritt 1.2: Erstellen eines Buckets
<a name="access-policies-walkthrough-example2a-create-bucket"></a>

1. Erstellen Sie in der Amazon-S3-Konsole einen Bucket. In dieser Übung wird davon ausgegangen, dass der Bucket im Osten der USA (Nord-Virginia) erstellt AWS-Region und benannt wurde. `amzn-s3-demo-bucket`

   Detaillierte Anweisungen finden Sie unter [Erstellen eines Allzweck-Buckets](create-bucket-overview.md). 

1. Hochladen eines Beispielobjekts in den Bucket.

   Anweisungen finden Sie unter [Schritt 2: Hochladen eines Objekts in Ihren Bucket](GetStartedWithS3.md#uploading-an-object-bucket). 

### Schritt 1.3: Zuordnen einer Bucket-Richtlinie, um Konto B kontoübergreifende Berechtigungen zu erteilen
<a name="access-policies-walkthrough-example2a"></a>

Die Bucket-Richtlinie gewährt Konto B die `s3:ListBucket` Berechtigungen `s3:GetLifecycleConfiguration` und. Es wird davon ausgegangen, dass Sie immer noch mit **AccountAadmin**Benutzeranmeldedaten bei der Konsole angemeldet sind.

1. Weisen Sie `amzn-s3-demo-bucket` die folgende Bucket-Richtlinie zu. Die Richtlinie erteilt Konto B die Berechtigung für die Aktionen `s3:GetLifecycleConfiguration` und `s3:ListBucket`.

   Detaillierte Anweisungen finden Sie unter [Hinzufügen einer Bucket-Richtlinie mit der Amazon-S3-Konsole](add-bucket-policy.md). 

------
#### [ JSON ]

****  

   ```
   {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
         {
            "Sid": "Example permissions",
            "Effect": "Allow",
            "Principal": {
               "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
               "s3:GetLifecycleConfiguration",
               "s3:ListBucket"
            ],
            "Resource": [
               "arn:aws:s3:::amzn-s3-demo-bucket"
            ]
         }
      ]
   }
   ```

------

1. Überprüfen Sie, ob Konto B (und damit sein Administratorbenutzer) die Operationen ausführen kann
   + Überprüfen Sie mit dem AWS CLI

     ```
     aws s3 ls s3://amzn-s3-demo-bucket --profile AccountBadmin
     aws s3api get-bucket-lifecycle-configuration --bucket amzn-s3-demo-bucket --profile AccountBadmin
     ```
   + Überprüfen Sie mit dem AWS Tools for Windows PowerShell

     ```
     get-s3object -BucketName amzn-s3-demo-bucket -StoredCredentials AccountBadmin 
     get-s3bucketlifecycleconfiguration -BucketName amzn-s3-demo-bucket -StoredCredentials AccountBadmin
     ```

## Schritt 2: Erledigen der Aufgaben von Konto B
<a name="access-policies-walkthrough-cross-account-permissions-acctB-tasks"></a>

Jetzt erstellt der Administrator von Konto B einen Benutzer Dave und delegiert an Dave die Berechtigungen, die er von Konto A erhalten hat. 

### Schritt 2.1: Melden Sie sich an bei AWS-Managementkonsole
<a name="access-policies-walkthrough-cross-account-permissions-acctB-tasks-sign-in"></a>

Melden Sie sich mit der IAM-Benutzer-Anmelde-URL für Konto B zunächst beim Benutzer AWS-Managementkonsole as **AccountBadmin**an. 

### Schritt 2.2: Erstellen des Benutzers Dave in Konto B
<a name="access-policies-walkthrough-example2b-create-user"></a>

Erstellen Sie in der [IAM-Konsole](https://console.aws.amazon.com/iam/) einen Benutzer, **Dave**. 

Detaillierte Anleitungen finden Sie unter [Erstellen von IAM-Benutzern (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console) im *IAM-Benutzerhandbuch*. 

### Schritt 2.3: Delegieren von Berechtigungen an den Benutzer Dave
<a name="access-policies-walkthrough-example2-delegate-perm-userdave"></a>

Erstellen Sie mithilfe der folgenden Richtlinie eine Inlinerichtlinie für den Benutzer Dave. Sie müssen die Richtlinie aktualisieren, indem Sie Ihren Bucket-Namen angeben.

Es wird davon ausgegangen, dass Sie mit **AccountBadmin**Benutzeranmeldedaten bei der Konsole angemeldet sind.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Sid": "Example",
         "Effect": "Allow",
         "Action": [
            "s3:ListBucket"
         ],
         "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket"
         ]
      }
   ]
}
```

------

Weitere Informationen finden Sie unter [Verwalten von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_inline-using.html) im *IAM-Benutzerhandbuch*.

### Schritt 2.4: Testen der Berechtigungen
<a name="access-policies-walkthrough-example2b-user-dave-access"></a>

Jetzt kann Dave in Konto B den Inhalt von `amzn-s3-demo-bucket` auflisten, der Konto A gehört. Sie können die Berechtigungen mit einem der folgenden Verfahren überprüfen. 

**Testen Sie die Berechtigungen mit dem AWS CLI**

1. Fügen Sie das `UserDave` Profil der AWS CLI Konfigurationsdatei hinzu. Weitere Informationen zur Config-Datei finden Sie unter [Einrichten der Tools für die Anleitungen](policy-eval-walkthrough-download-awscli.md).

   ```
   [profile UserDave]
   aws_access_key_id = access-key
   aws_secret_access_key = secret-access-key
   region = us-east-1
   ```

1. Geben Sie an der Befehlszeile den folgenden AWS CLI Befehl ein, um zu überprüfen, ob Dave jetzt eine Objektliste aus dem `amzn-s3-demo-bucket` Konto A abrufen kann. Beachten Sie, dass der Befehl das `UserDave` Profil angibt.

   ```
   aws s3 ls s3://amzn-s3-demo-bucket --profile UserDave
   ```

   Dave besitzt keine anderen Berechtigungen. Wenn er also versucht, eine andere Operation auszuführen – zum Beispiel die folgende `get-bucket-lifecycle`-Konfiguration – gibt Amazon S3 die Meldung „Zugriff verweigert“ zurück. 

   ```
   aws s3api get-bucket-lifecycle-configuration --bucket amzn-s3-demo-bucket --profile UserDave
   ```

**Testen Sie die Berechtigungen mit AWS Tools for Windows PowerShell**

1. Speichern Sie die Anmeldeinformationen von Dave als `AccountBDave`.

   ```
   set-awscredentials -AccessKey AccessKeyID -SecretKey SecretAccessKey -storeas AccountBDave
   ```

1. Probieren Sie den Befehl List Bucket aus.

   ```
   get-s3object -BucketName amzn-s3-demo-bucket -StoredCredentials AccountBDave
   ```

   Dave besitzt keine anderen Berechtigungen. Wenn er also versucht, eine andere Operation auszuführen, zum Beispiel die folgende `get-s3bucketlifecycleconfiguration`, gibt Amazon S3 die Meldung „Zugriff verweigert“ zurück. 

   ```
   get-s3bucketlifecycleconfiguration -BucketName amzn-s3-demo-bucket -StoredCredentials AccountBDave
   ```

## Schritt 3: (Optional) Versuchen Sie eine explizite Zugriffsverweigerung
<a name="access-policies-walkthrough-example2-explicit-deny"></a>

Sie können Berechtigungen mithilfe einer Zugriffssteuerungsliste (ACL), einer Bucket-Richtlinie oder einer Benutzerrichtlinie erhalten. Wenn es jedoch eine explizite Zugriffsverweigerung gibt, die entweder über eine Bucket-Richtlinie oder ein Benutzerprofil festgelegt wurde, hat die explizite Zugriffsverweigerung Vorrang gegenüber allen anderen Berechtigungen. Aktualisieren Sie zum Testen die Bucket-Richtlinie und verweigern Konto B explizit die `s3:ListBucket`-Berechtigung. Die Richtlinie erteilt auch die `s3:ListBucket`-Berechtigung. Eine explizite Verweigerung hat jedoch Vorrang, sodass Konto B bzw. die Benutzer in Konto B nicht in der Lage sein werden, Objekte in `amzn-s3-demo-bucket` aufzulisten.

1. Ersetzen Sie unter Verwendung der Anmeldeinformationen von Benutzer `AccountAadmin` in Konto A die Bucket-Richtlinie durch Folgendes. 

1. Wenn Sie jetzt versuchen, über die Anmeldeinformationen von `AccountBadmin` eine Bucket-Liste zu erhalten, wird Ihnen eine Zugriffsverweigerung gemeldet.
   + Führen Sie mit dem AWS CLI den folgenden Befehl aus:

     ```
     aws s3 ls s3://amzn-s3-demo-bucket --profile AccountBadmin
     ```
   + Führen Sie mit dem AWS Tools for Windows PowerShell den folgenden Befehl aus:

     ```
     get-s3object -BucketName amzn-s3-demo-bucket -StoredCredentials AccountBDave
     ```

## Schritt 4: Bereinigen
<a name="access-policies-walkthrough-example2-cleanup-step"></a>

1. Nachdem Sie mit den Tests fertig sind, räumen Sie wie folgt auf:

   1. Melden Sie sich mit den Anmeldeinformationen von Konto A bei AWS-Managementkonsole ([AWS-Managementkonsole](https://console.aws.amazon.com/)) an und gehen Sie wie folgt vor:
     + Entfernen Sie in der Amazon-S3-Konsole die an `amzn-s3-demo-bucket` angefügte Bucket-Richtlinie. Löschen Sie in den Bucket **Properties** die Richtlinie im Abschnitt **Permissions**. 
     + Wenn der Bucket für diese Übung erstellt wurde, löschen Sie in der Amazon-S3-Konsole die Objekte und dann den Bucket. 
     + Entfernen Sie in der [IAM-Konsole](https://console.aws.amazon.com/iam/) den Benutzer `AccountAadmin`.

1. Melden Sie sich mit den Anmeldeinformationen von Konto B bei der [IAM-Konsole](https://console.aws.amazon.com/iam/) an. Löschen Sie den Benutzer `AccountBadmin`. step-by-stepAnweisungen finden Sie unter [Löschen eines IAM-Benutzers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_manage.html#id_users_deleting) im *IAM-Benutzerhandbuch*.

# Beispiel 3: Bucket-Eigentümer, der Berechtigungen für Objekte erteilt, die ihm nicht gehören
<a name="example-walkthroughs-managing-access-example3"></a>

**Wichtig**  
Das Erteilen von Berechtigungen für IAM-Rollen ist eine bessere Vorgehensweise als die Erteilung von Berechtigungen an einzelne Benutzer. Weitere Informationen zur Vorgehensweise finden Sie unter [Verständnis von kontoübergreifenden Berechtigungen und der Verwendung von IAM-Rollen](example-walkthroughs-managing-access-example4.md#access-policies-walkthrough-example4-overview).

**Topics**
+ [Schritt 0: Vorbereitung auf den Walkthrough](#access-policies-walkthrough-cross-account-acl-step0)
+ [Schritt 1: Erledigen der Aufgaben von Konto A](#access-policies-walkthrough-cross-account-acl-acctA-tasks)
+ [Schritt 2: Erledigen der Aufgaben von Konto B](#access-policies-walkthrough-cross-account-acl-acctB-tasks)
+ [Schritt 3: Testen der Berechtigungen](#access-policies-walkthrough-cross-account-acl-verify)
+ [Schritt 4: Bereinigen](#access-policies-walkthrough-cross-account-acl-cleanup)

Das Szenario für dieses Beispiel ist, dass ein Bucket-Eigentümer Berechtigungen zum Zugriff auf Objekte erteilen möchte, obwohl er nicht alle Objekte im Bucket besitzt. In diesem Beispiel versucht der Bucket-Eigentümer, Benutzern in seinem eigenen Konto eine Berechtigung zu erteilen.

Ein Bucket-Besitzer kann anderen das Hochladen von AWS-Konten Objekten ermöglichen. Standardmäßig besitzt der Bucket-Eigentümer keine Objekte, die von einem anderen AWS-Konto in einen Bucket geschrieben wurden. Objekte gehören den Konten, die sie in einen S3-Bucket schreiben. Wenn der Bucket-Eigentümer keine Objekte im Bucket besitzt, muss der Objekteigentümer dem Bucket-Eigentümer zunächst die Berechtigung mithilfe einer Objektzugriffssteuerungsliste (ACL) erteilen. Dann kann der Bucket-Eigentümer Berechtigungen für ein Objekt erteilen, das er nicht besitzt. Weitere Informationen finden Sie unter [Amazon-S3-Bucket- und Objekt-Eigentümerschaft](access-policy-language-overview.md#about-resource-owner).

Wenn der Bucket-Eigentümer die vom Bucket-Eigentümer erzwungene Einstellung für S3 Object Ownership für den Bucket anwendet, besitzt der Bucket-Eigentümer alle Objekte im Bucket, einschließlich der Objekte, die von einem anderen AWS-Konto geschrieben wurden. Dieser Ansatz löst das Problem, dass Objekte nicht im Besitz des Bucket-Eigentümers sind. Anschließend können Sie die Berechtigung an Benutzer in Ihrem eigenen Konto oder an andere AWS-Konten.

**Anmerkung**  
S3 Object Ownership ist eine Einstellung auf Amazon S3 S3-Bucket-Ebene, mit der Sie sowohl das Eigentum an den Objekten kontrollieren können, die in Ihren Bucket hochgeladen werden, als auch um sie zu deaktivieren oder zu aktivieren. ACLs Standardmäßig ist für Object Ownership die erzwungene Einstellung des Bucket-Besitzers festgelegt, und alle sind ACLs deaktiviert. Wenn ACLs diese Option deaktiviert ist, besitzt der Bucket-Besitzer alle Objekte im Bucket und verwaltet den Zugriff darauf ausschließlich mithilfe von Zugriffsverwaltungsrichtlinien.  
 Für die meisten modernen Anwendungsfälle in Amazon S3 ist die Verwendung von nicht mehr erforderlich ACLs. Wir empfehlen, die ACLs Option deaktiviert zu lassen, außer in Fällen, in denen Sie den Zugriff für jedes Objekt einzeln steuern müssen. Wenn diese ACLs Option deaktiviert ist, können Sie mithilfe von Richtlinien den Zugriff auf alle Objekte in Ihrem Bucket steuern, unabhängig davon, wer die Objekte in Ihren Bucket hochgeladen hat. Weitere Informationen finden Sie unter [Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket](about-object-ownership.md).

In diesem Beispiel gehen wir davon aus, dass der Bucket-Eigentümer die vom Bucket-Eigentümer erzwungene Einstellung für Object Ownership nicht angewendet hat. Der Bucket-Eigentümer delegiert die Berechtigung an Benutzer in seinem eigenen Konto. Nachfolgend finden Sie eine kurze Zusammenfassung der wichtigsten Details: 

![\[Ein Bucket-Eigentümer, der Berechtigungen für Objekte erteilt, die ihm nicht gehören.\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/images/access-policy-ex3.png)


1. Der Administrator-Benutzer von Konto A ordnet eine Bucket-Richtlinie mit zwei Anweisungen zu.
   + Kontoübergreifende Berechtigung für Konto B, um Objekte hochzuladen.
   + Berechtigung für einen Benutzer in seinem eigenen Konto, auf Objekte im Bucket zuzugreifen.

1. Der Administrator-Benutzer für Konto B lädt Objekte in den Bucket hoch, der Konto A gehört.

1. Der Administrator von Konto B aktualisiert die Objekt-ACL, indem er die Berechtigung hinzufügt, die dem Bucket-Eigentümer vollständige Berechtigungen für das Objekt erteilt.

1. Der Benutzer in Konto A überprüft dies durch Zugriff auf Objekte im Bucket, unabhängig davon, wem diese gehören.

Für dieses Beispiel benötigen Sie zwei Konten. Die folgende Tabelle zeigt, wie wir auf diese Konten und die Administrator-Benutzer in diesen Konten verweisen. In dieser schrittweisen Anleitung verwenden Sie die Anmeldeinformationen des Root-Benutzers für das Konto nicht gemäß den empfohlenen IAM-Richtlinien. Weitere Informationen finden Sie unter [Informationen zur Verwendung eines Administratorbenutzers zum Erstellen von Ressourcen und Erteilen von Berechtigungen](example-walkthroughs-managing-access.md#about-using-root-credentials). Stattdessen erstellen Sie einen Administrator in jedem Konto, und verwenden dessen Anmeldeinformationen, um Ressourcen zu erstellen und ihnen Berechtigungen zu erteilen.


| AWS-Konto ID | Konto bezeichnet als | Administrator im Konto  | 
| --- | --- | --- | 
|  *1111-1111-1111*  |  Konto A  |  AccountAadmin  | 
|  *2222-2222-2222*  |  Konto B  |  AccountBadmin  | 

Alle Aufgaben in Verbindung mit dem Erstellen von Benutzern und Gewähren von Berechtigungen werden in der AWS-Managementkonsole ausgeführt. Um die Berechtigungen zu überprüfen, verwendet die exemplarische Vorgehensweise die Befehlszeilentools AWS Command Line Interface (AWS CLI) und AWS Tools for Windows PowerShell, sodass Sie keinen Code schreiben müssen. 

## Schritt 0: Vorbereitung auf den Walkthrough
<a name="access-policies-walkthrough-cross-account-acl-step0"></a>

1. Stellen Sie sicher, dass Sie über zwei Konten verfügen AWS-Konten und dass jedes Konto über einen Administrator verfügt, wie in der Tabelle im vorherigen Abschnitt dargestellt.

   1. Melden Sie sich bei Bedarf für einen an AWS-Konto. 

   1. Melden Sie sich mit den Anmeldeinformationen von Konto A bei der [IAM-Konsole](https://console.aws.amazon.com/iam/) an und führen Sie Folgendes aus, um einen Administratorbenutzer zu erstellen:
      + Erstellen Sie den Benutzer **AccountAadmin** und notieren Sie sich die Sicherheitsanmeldeinformationen des Benutzers. Weitere Informationen zum Hinzufügen von Benutzern finden Sie unter [Erstellen eines IAM-Benutzers in Ihrem AWS-Konto](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html) im *IAM-Benutzerhandbuch*. 
      + Gewähren Sie Administratorberechtigungen für, **AccountAadmin**indem Sie eine Benutzerrichtlinie anhängen, die vollen Zugriff gewährt. Weitere Informationen finden Sie unter [Verwalten von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) im *IAM-Benutzerhandbuch*. 
      + Schreiben Sie sich die **IAM-Benutzer-Anmelde-URL** auf dem **Dashboard** der [IAM-Konsole](https://console.aws.amazon.com/iam/) auf. Benutzer in diesem Konto müssen diese URL für die Anmeldung an der AWS-Managementkonsole verwenden. Weitere Informationen finden Sie unter [Wie sich Benutzer in Ihrem Konto anmelden](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_how-users-sign-in.html) im *IAM-Benutzerhandbuch*. 

   1. Wiederholen Sie den obigen Schritt unter Verwendung der Anmeldeinformationen von Konto B und erstellen Sie den Administrator-Benutzer **AccountBadmin**.

1. Richten Sie entweder die Tools AWS CLI oder die Tools für Windows PowerShell ein. Stellen Sie sicher, dass Sie die Administratoranmeldeinformationen wie folgt speichern:
   + Wenn Sie das verwenden AWS CLI, erstellen Sie zwei Profile `AccountAadmin` und `AccountBadmin` in der Konfigurationsdatei.
   + Wenn Sie die Tools für Windows verwenden PowerShell, stellen Sie sicher, dass Sie die Anmeldeinformationen für die Sitzung als `AccountAadmin` und speichern`AccountBadmin`.

   Detaillierte Anweisungen finden Sie unter [Einrichten der Tools für die Anleitungen](policy-eval-walkthrough-download-awscli.md). 

## Schritt 1: Erledigen der Aufgaben von Konto A
<a name="access-policies-walkthrough-cross-account-acl-acctA-tasks"></a>

Führen Sie für Konto A die folgenden Schritte aus:

### Schritt 1.1: Anmelden bei der Konsole
<a name="access-policies-walkthrough-cross-account-permissions-acctA-tasks-sign-in-example3"></a>

Melden Sie sich mit der IAM-Benutzer-Anmelde-URL für Konto A beim AWS-Managementkonsole **AccountAadmin** AS-Benutzer an. Dieser Benutzer erstellt einen Bucket und ordnet ihm eine Richtlinie zu. 

### Schritt 1.2: Erstellen eines Buckets und eines Benutzers und Hinzufügen einer Bucket-Richtlinie, um Benutzerberechtigungen zu erteilen
<a name="access-policies-walkthrough-cross-account-acl-create-bucket"></a>

1. Erstellen Sie in der Amazon-S3-Konsole einen Bucket. In dieser Übung wird davon ausgegangen, dass der Bucket im Osten der USA (Nord-Virginia) AWS-Region erstellt wurde und der Name lautet. `amzn-s3-demo-bucket1`

   Detaillierte Anweisungen finden Sie unter [Erstellen eines Allzweck-Buckets](create-bucket-overview.md). 

1. Erstellen Sie in der [IAM-Konsole](https://console.aws.amazon.com/iam/) einen Benutzer **Dave**. 

    step-by-stepAnweisungen finden Sie unter [Erstellen von IAM-Benutzern (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console) im *IAM-Benutzerhandbuch*. 

1. Notieren Sie sich die Anmeldeinformationen des Benutzers Dave auf. 

1. Weisen Sie in der Amazon-S3-Konsole die folgende Bucket-Richtlinie dem `amzn-s3-demo-bucket1`-Bucket zu. Detaillierte Anweisungen finden Sie unter [Hinzufügen einer Bucket-Richtlinie mit der Amazon-S3-Konsole](add-bucket-policy.md). Folgen Sie den Schritten, um eine Bucket-Richtlinie hinzuzufügen. Informationen dazu, wie Sie ein Konto finden IDs, finden Sie unter [Ihre AWS-Konto ID finden](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingYourAccountIdentifiers). 

   Die Richtlinie erteilt Konto B die Berechtigung `s3:PutObject` und `s3:ListBucket`. Die Richtlinie erteilt außerdem dem Benutzer `Dave` die `s3:GetObject`-Berechtigung. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "Statement1",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:root"
               },
               "Action": [
                   "s3:PutObject",
                   "s3:ListBucket"
               ],
               "Resource": [
                   "arn:aws:s3:::amzn-s3-demo-bucket1/*",
                   "arn:aws:s3:::amzn-s3-demo-bucket1"
               ]
           },
           {
               "Sid": "Statement3",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:user/Dave"
               },
               "Action": [
                   "s3:GetObject"
               ],
               "Resource": [
                   "arn:aws:s3:::amzn-s3-demo-bucket1/*"
               ]
           }
       ]
   }
   ```

------

## Schritt 2: Erledigen der Aufgaben von Konto B
<a name="access-policies-walkthrough-cross-account-acl-acctB-tasks"></a>

Nachdem Konto B die Berechtigung besitzt, Vorgänge für den Bucket von Konto A auszuführen, macht der Administrator von Konto B Folgendes:
+ Hochladen eines Objekts in den Bucket von Konto A 
+ Fügt eine Gewährung in der Objekt-ACL hinzu, um Konto A, dem Bucket-Eigentümer, vollständige Kontrolle zu gewähren

**Mit dem AWS CLI**

1. Laden Sie mithilfe des Befehls `put-object` AWS CLI ein Objekt hoch. Der Parameter `--body` im Befehl identifiziert die hochzuladende Quelldatei. Befindet sich die Datei beispielsweise auf dem Laufwerk `C:` eines Windows-Computers, geben Sie `c:\HappyFace.jpg` an. Der Parameter `--key` gibt den Schlüsselnamen für das Objekt an. 

   ```
   aws s3api put-object --bucket amzn-s3-demo-bucket1 --key HappyFace.jpg --body HappyFace.jpg --profile AccountBadmin
   ```

1. Erteilung einer Berechtigung in der Objekt-ACL, um dem Bucket-Eigentümer volle Kontrolle über das Objekt zu erteilen. Informationen dazu, wie Sie eine kanonische Benutzer-ID finden, finden Sie unter [Die kanonische Benutzer-ID für Ihr AWS-Konto finden](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindCanonicalId) im *AWS -Referenzhandbuch zur Kontoverwaltung*.

   ```
   aws s3api put-object-acl --bucket amzn-s3-demo-bucket1 --key HappyFace.jpg --grant-full-control id="AccountA-CanonicalUserID" --profile AccountBadmin
   ```

**Verwenden der Tools für Windows PowerShell**

1. Laden Sie mithilfe des Befehls `Write-S3Object` ein Objekt hoch. 

   ```
   Write-S3Object -BucketName amzn-s3-demo-bucket1 -key HappyFace.jpg -file HappyFace.jpg -StoredCredentials AccountBadmin
   ```

1. Erteilung einer Berechtigung in der Objekt-ACL, um dem Bucket-Eigentümer volle Kontrolle über das Objekt zu erteilen.

   ```
   Set-S3ACL -BucketName amzn-s3-demo-bucket1 -Key HappyFace.jpg -CannedACLName "bucket-owner-full-control" -StoredCreden
   ```

## Schritt 3: Testen der Berechtigungen
<a name="access-policies-walkthrough-cross-account-acl-verify"></a>

Überprüfen Sie nun, dass der Benutzer Dave in Konto A Zugriff auf das Objekt hat, das Konto B gehört.

**Mit dem AWS CLI**

1. Fügen Sie der AWS CLI Konfigurationsdatei die Anmeldeinformationen des Benutzers Dave hinzu und erstellen Sie ein neues Profil,`UserDaveAccountA`. Weitere Informationen finden Sie unter [Einrichten der Tools für die Anleitungen](policy-eval-walkthrough-download-awscli.md).

   ```
   [profile UserDaveAccountA]
   aws_access_key_id = access-key
   aws_secret_access_key = secret-access-key
   region = us-east-1
   ```

1. Führen Sie den CLI-Befehl `get-object` aus, um `HappyFace.jpg` herunterzuladen und es lokal zu speichern. Sie stellen dem Benutzer Dave Anmeldeinformationen bereit, indem Sie den Parameter `--profile` hinzufügen.

   ```
   aws s3api get-object --bucket amzn-s3-demo-bucket1 --key HappyFace.jpg Outputfile.jpg --profile UserDaveAccountA
   ```

**Verwenden der Tools für Windows PowerShell**

1. Speichern Sie die AWS Anmeldeinformationen des Benutzers Dave als `UserDaveAccountA` im persistenten Speicher. 

   ```
   Set-AWSCredentials -AccessKey UserDave-AccessKey -SecretKey UserDave-SecretAccessKey -storeas UserDaveAccountA
   ```

1. Führen Sie den Befehl `Read-S3Object` aus, um das Objekt `HappyFace.jpg` herunterzuladen und es lokal zu speichern. Sie stellen dem Benutzer Dave Anmeldeinformationen bereit, indem Sie den Parameter `-StoredCredentials` hinzufügen. 

   ```
   Read-S3Object -BucketName amzn-s3-demo-bucket1 -Key HappyFace.jpg -file HappyFace.jpg  -StoredCredentials UserDaveAccountA
   ```

## Schritt 4: Bereinigen
<a name="access-policies-walkthrough-cross-account-acl-cleanup"></a>

1. Nachdem Sie mit den Tests fertig sind, räumen Sie wie folgt auf:

   1. Melden Sie sich mit den Anmeldeinformationen von Konto A an der [AWS-Managementkonsole](https://console.aws.amazon.com/) an und machen Sie Folgendes:
     + Entfernen Sie in der Amazon-S3-Konsole die an *amzn-s3-demo-bucket1* angefügte Bucket-Richtlinie. Löschen Sie in den Bucket **Properties** die Richtlinie im Abschnitt **Permissions**. 
     + Wenn der Bucket für diese Übung erstellt wurde, löschen Sie in der Amazon-S3-Konsole die Objekte und dann den Bucket. 
     + Entfernen Sie in der [IAM-Konsole](https://console.aws.amazon.com/iam/) den Benutzer **AccountAadmin**. step-by-step Anweisungen finden Sie unter [Löschen eines IAM-Benutzers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_manage.html#id_users_deleting) im *IAM-Benutzerhandbuch*.

1. Melden Sie sich mit den Anmeldeinformationen von Konto B an der [AWS-Managementkonsole](https://console.aws.amazon.com/) an. Löschen Sie den [Benutzer in der IAM-Konsole](https://console.aws.amazon.com/iam/). **AccountBadmin**

# Beispiel 4 – Der Bucket-Eigentümer erteilt eine kontenübergreifende Berechtigung für Objekte, die ihm nicht gehören
<a name="example-walkthroughs-managing-access-example4"></a>

**Topics**
+ [Verständnis von kontoübergreifenden Berechtigungen und der Verwendung von IAM-Rollen](#access-policies-walkthrough-example4-overview)
+ [Schritt 0: Vorbereitung auf den Walkthrough](#access-policies-walkthrough-example4-step0)
+ [Schritt 1: Erledigen der Aufgaben von Konto A](#access-policies-walkthrough-example4-step1)
+ [Schritt 2: Erledigen der Aufgaben von Konto B](#access-policies-walkthrough-example4-step2)
+ [Schritt 3: Erledigen der Aufgaben von Konto C](#access-policies-walkthrough-example4-step3)
+ [Schritt 4: Bereinigen](#access-policies-walkthrough-example4-step6)
+ [Zugehörige Ressourcen](#RelatedResources-managing-access-example4)

 In diesem Beispielszenario besitzen Sie einen Bucket und haben anderen AWS-Konten das Hochladen von Objekten ermöglicht. Wenn Sie die vom Bucket-Eigentümer erzwungene Einstellung für S3 Object Ownership für den Bucket angewendet haben, besitzen Sie alle Objekte im Bucket, einschließlich der Objekte, die von einem anderen AWS-Konto geschrieben wurden. Dieser Ansatz löst das Problem, dass Objekte nicht Ihnen, dem Bucket-Eigentümer, gehören. Anschließend können Sie die Berechtigung an Benutzer in Ihrem eigenen Konto oder an andere AWS-Konten. Angenommen, die erzwungene Einstellung des Bucket-Eigentümers für S3 Object Ownership ist nicht aktiviert. Das bedeutet, Ihr Bucket kann Objekte enthalten, die anderen AWS-Konten gehören. 

Angenommen, Sie müssen als Bucket-Eigentümer einem Benutzer in einem anderen Konto eine kontenübergreifende Berechtigung für Objekte erteilen, unabhängig davon, wer der Eigentümer ist. Dieser Benutzer könnte beispielsweise eine Buchhaltungsanwendung sein, die Zugriff auf Objekt-Metadaten benötigt. Es gibt zwei Kernprobleme:
+ Der Bucket-Eigentümer hat keine Berechtigungen für diese Objekte, die von anderen AWS-Konten erstellt wurden. Damit der Bucket-Eigentümer Berechtigungen für Objekte erteilen kann, die er nicht besitzt, muss der Objekteigentümer dem Bucket-Eigentümer zunächst die entsprechenden Berechtigungen erteilen. Der Objekteigentümer ist das AWS-Konto , das die Objekte erstellt hat Der Bucket-Eigentümer kann diese Berechtigungen delegieren.
+ Das Konto des Bucket-Eigentümers kann Berechtigungen an Benutzer in seinem eigenen Konto delegieren (siehe [Beispiel 3: Bucket-Eigentümer, der Berechtigungen für Objekte erteilt, die ihm nicht gehören](example-walkthroughs-managing-access-example3.md)). Das Konto des Bucket-Besitzers kann jedoch keine Berechtigungen an andere delegieren, AWS-Konten da die kontoübergreifende Delegierung nicht unterstützt wird. 

In diesem Szenario kann der Bucket-Besitzer eine AWS Identity and Access Management (IAM-) Rolle mit der Berechtigung für den Zugriff auf Objekte erstellen. Anschließend kann der Bucket-Besitzer eine weitere AWS-Konto Berechtigung zur Übernahme der Rolle gewähren, sodass er vorübergehend auf Objekte im Bucket zugreifen kann. 

**Anmerkung**  
S3 Object Ownership ist eine Einstellung auf Amazon S3 S3-Bucket-Ebene, mit der Sie sowohl das Eigentum an den Objekten kontrollieren können, die in Ihren Bucket hochgeladen werden, als auch um sie zu deaktivieren oder zu aktivieren. ACLs Standardmäßig ist für Object Ownership die erzwungene Einstellung des Bucket-Besitzers festgelegt, und alle sind ACLs deaktiviert. Wenn ACLs diese Option deaktiviert ist, besitzt der Bucket-Besitzer alle Objekte im Bucket und verwaltet den Zugriff darauf ausschließlich mithilfe von Zugriffsverwaltungsrichtlinien.  
 Für die meisten modernen Anwendungsfälle in Amazon S3 ist die Verwendung von nicht mehr erforderlich ACLs. Wir empfehlen, die ACLs Option deaktiviert zu lassen, außer in Fällen, in denen Sie den Zugriff für jedes Objekt einzeln steuern müssen. Wenn diese ACLs Option deaktiviert ist, können Sie mithilfe von Richtlinien den Zugriff auf alle Objekte in Ihrem Bucket steuern, unabhängig davon, wer die Objekte in Ihren Bucket hochgeladen hat. Weitere Informationen finden Sie unter [Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket](about-object-ownership.md).

## Verständnis von kontoübergreifenden Berechtigungen und der Verwendung von IAM-Rollen
<a name="access-policies-walkthrough-example4-overview"></a>

 IAM-Rollen unterstützen verschiedene Szenarien, den Zugriff auf Ihre Ressourcen zu definieren. Der kontenübergreifende Zugriff ist eines der Schlüsselszenarien. In diesem Beispiel verwendet der Bucket-Besitzer, Konto A, eine IAM-Rolle, um vorübergehend den kontoübergreifenden Objektzugriff an Benutzer in einem anderen Konto AWS-Konto, Konto C, zu delegieren. Jeder IAM-Rolle, die Sie erstellen, sind die folgenden zwei Richtlinien zugeordnet:
+ Eine Vertrauensrichtlinie, die eine andere identifiziert AWS-Konto , die die Rolle übernehmen kann.
+ Eine Zugriffsrichtlinie, die definiert, welche Berechtigungen – z. B. `s3:GetObject` – zulässig sind, wenn jemand die Rolle einnimmt. Eine Liste aller Berechtigungen, die Sie in einer Richtlinie angeben können, finden Sie unter [Richtlinienaktionen für Amazon S3](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-actions).

Die AWS-Konto in der Vertrauensrichtlinie angegebene Person erteilt ihrem Benutzer dann die Erlaubnis, die Rolle zu übernehmen. Der Benutzer kann dann wie folgt auf Objekte zugreifen:
+ Die Rolle einnehmen und daraufhin temporäre Sicherheitsanmeldeinformationen erhalten. 
+ Verwenden der temporären Sicherheitsanmeldeinformationen, um auf die Objekte im Bucket zuzugreifen.

Weitere Informationen zu IAM-Rollen finden Sie unter [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) im *IAM-Benutzerhandbuch*. 

Nachfolgend finden Sie eine kurze Zusammenfassung der wichtigsten Details: 

![\[Kontoübergreifende Berechtigungen mit IAM-Rollen\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/images/access-policy-ex4.png)


1. Der Administrator-Benutzer von Konto A ordnet eine Bucket-Richtlinie zu, die Konto B die bedingte Berechtigung erteilt, Objekte hochzuladen.

1. Der Administrator von Konto A erstellt eine IAM-Rolle, die eine Vertrauensbeziehung zu Konto C einrichtet, sodass Benutzer in diesem Konto auf Konto A zugreifen können. Die der Rolle zugeordnete Zugriffsrichtlinie beschränkt die Aktionen, die der Benutzer in Konto C machen kann, wenn er auf Konto A zugreift.

1. Der Administrator von Konto B lädt ein Objekt in den Bucket hoch, der Konto A gehört, und erteilt dem Bucket-Eigentümer vollständige Berechtigungen.

1. Der Administrator von Konto C erstellt einen Benutzer und ordnet ihm eine Benutzerrichtlinie zu, die dem Benutzer gestattet, die Rolle zu übernehmen.

1. Der Benutzer in Konto C übernimmt zuerst die Rolle, womit er temporäre Sicherheitsanmeldeinformationen erhält. Unter Verwendung dieser temporären Sicherheitsanmeldeinformationen greift der Benutzer dann auf die Objekte im Bucket zu.

Für dieses Beispiel benötigen Sie drei Konten. Die folgende Tabelle zeigt, wie wir auf diese Konten und die Administrator-Benutzer in diesen Konten verweisen. Entsprechend den IAM-Richtlinien (siehe [Informationen zur Verwendung eines Administratorbenutzers zum Erstellen von Ressourcen und Erteilen von Berechtigungen](example-walkthroughs-managing-access.md#about-using-root-credentials)) verwenden wir die Root-Benutzer des AWS-Kontos -Anmeldeinformationen in dieser Anleitung nicht. Stattdessen erstellen Sie einen Administrator-Benutzer in jedem Konto, und verwenden dessen Anmeldeinformationen, um Ressourcen zu erstellen und ihnen Berechtigungen zu erteilen.


| AWS-Konto ID | Konto bezeichnet als | Administratorbenutzer im Konto  | 
| --- | --- | --- | 
|  *1111-1111-1111*  |  Konto A  |  AccountAadmin  | 
|  *2222-2222-2222*  |  Konto B  |  AccountBadmin  | 
|  *3333-3333-3333*  |  Konto C  |  AccountCadmin  | 



## Schritt 0: Vorbereitung auf den Walkthrough
<a name="access-policies-walkthrough-example4-step0"></a>

**Anmerkung**  
Es könnte hilfreich sein, einen Texteditor zu öffnen und einige der Informationen während der Durchführung der Schritte aufzuschreiben. Insbesondere benötigen Sie ein Konto IDs, einen kanonischen Benutzer IDs, eine IAM-Benutzeranmeldung URLs für jedes Konto, um eine Verbindung zur Konsole herzustellen, sowie Amazon-Ressourcennamen (ARNs) der IAM-Benutzer und Rollen. 

1. Stellen Sie sicher, dass Sie drei Benutzer haben AWS-Konten und dass jedes Konto über einen Administratorbenutzer verfügt, wie in der Tabelle im vorherigen Abschnitt dargestellt.

   1. Melden Sie sich bei Bedarf für AWS-Konten an. Wir bezeichnen diese Konten als Konto A, Konto B und Konto C.

   1. Melden Sie sich mit den Anmeldeinformationen von Konto A bei der [IAM-Konsole](https://console.aws.amazon.com/iam/home?#home) an und führen Sie Folgendes aus, um einen Administratorbenutzer zu erstellen:
      + Erstellen Sie den Benutzer **AccountAadmin** und notieren Sie dessen Sicherheitsanmeldeinformationen. Weitere Informationen zum Hinzufügen von Benutzern finden Sie unter [Erstellen eines IAM-Benutzers in Ihrem AWS-Konto](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html) im *IAM-Benutzerhandbuch*. 
      + Gewähren Sie Administratorrechte, **AccountAadmin**indem Sie eine Benutzerrichtlinie anhängen, die vollen Zugriff gewährt. Weitere Informationen finden Sie unter [Verwalten von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) im *IAM-Benutzerhandbuch*. 
      + Schreiben Sie sich die **IAM-Benutzer-Anmelde-URL** auf dem **Dashboard** der IAM-Konsole auf. Benutzer in diesem Konto müssen diese URL für die Anmeldung an der AWS-Managementkonsole verwenden. Weitere Informationen finden Sie unter [AWS-Managementkonsole Als IAM-Benutzer anmelden im *IAM-Benutzerhandbuch*](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_how-users-sign-in.html). 

   1. Wiederholen Sie den obigen Schritt, um Administrator-Benutzer in Konto B und Konto C zu erstellen.

1. Notieren Sie für Konto C die kanonische Benutzer-ID. 

   Wenn Sie eine IAM-Rolle in Konto A erstellen, erteilt die Vertrauensrichtlinie Konto C die Berechtigung, die Rolle durch Angabe der Konto-ID zu übernehmen. Sie finden die Konteninformationen wie folgt:

   1. Verwenden Sie Ihre AWS-Konto ID oder Ihren Kontoalias, Ihren IAM-Benutzernamen und Ihr Passwort, um sich bei der [Amazon S3 S3-Konsole](https://console.aws.amazon.com/s3/) anzumelden.

   1. Wählen Sie den Namen eines Amazon-S3-Buckets aus, um die Details zu diesem Bucket anzuzeigen.

   1. Klicken Sie auf den Tab **Berechtigungen** und anschließend auf **Access Control List**. 

   1. Im Abschnitt **Zugang für Ihr AWS-Konto** steht in der Spalte **Konto** eine lange Kennung, z. B. `c1daexampleaaf850ea79cf0430f33d72579fd1611c97f7ded193374c0b163b6`. Dies ist Ihre kanonische Benutzer-ID.

1. Für das Erstellen einer Bucket-Richtlinie benötigen Sie die folgenden Informationen. Notieren Sie sich die Werte:
   + **Kanonische Benutzer-ID von Konto A** – Wenn der Administrator von Konto A dem Administrator von Konto B die bedingte Berechtigung erteilt, Objekte hochzuladen, gibt die Bedingung die kanonische Benutzer-ID des Benutzers von Konto A an, der vollständige Kontrolle über die Objekte benötigt. 
**Anmerkung**  
Die kanonische Benutzer-ID ist ein nur für Amazon S3 geltendes Konzept. Es handelt sich dabei um eine 64 Zeichen lange verschleierte Version der Konto-ID. 
   + **Benutzer-ARN für den Administrator von Konto B** – Sie finden den Benutzer-ARN in der [IAM-Konsole](https://console.aws.amazon.com/iam/). Wählen Sie den Benutzer aus und suchen Sie den ARN des Benutzers auf der Registerkarte **Übersicht**.

     In der Bucket-Richtlinie erteilen Sie `AccountBadmin` die Berechtigung, Objekte hochzuladen, und Sie geben unter Verwendung des ARN den Benutzer an. Ein Beispiel für einen ARN-Wert:

     ```
     arn:aws:iam::AccountB-ID:user/AccountBadmin
     ```

1. Richten Sie entweder die AWS Command Line Interface (CLI) oder die ein AWS Tools for Windows PowerShell. Stellen Sie sicher, dass Sie die Administratoranmeldeinformationen wie folgt speichern:
   + Wenn Sie das verwenden AWS CLI, erstellen Sie die Profile `AccountAadmin` und `AccountBadmin` in der Konfigurationsdatei.
   + Wenn Sie die verwenden AWS Tools for Windows PowerShell, stellen Sie sicher, dass Sie die Anmeldeinformationen für die Sitzung als `AccountAadmin` und speichern`AccountBadmin`.

   Detaillierte Anweisungen finden Sie unter [Einrichten der Tools für die Anleitungen](policy-eval-walkthrough-download-awscli.md).

## Schritt 1: Erledigen der Aufgaben von Konto A
<a name="access-policies-walkthrough-example4-step1"></a>

In diesem Beispiel ist Konto A der Bucket-Eigentümer. Der Benutzer AccountAadmin in Konto A wird also Folgendes tun: 
+ Erstellen Sie einen Bucket.
+ Eine Bucket-Richtlinie anhängen, die dem Administrator von Konto B die Berechtigung zum Hochladen von Objekten erteilt.
+ Eine IAM-Rolle erstellen, die Konto C die Berechtigung erteilt, die Rolle zu übernehmen, so dass es auf Objekte im Bucket zugreifen kann.

### Schritt 1.1: Melden Sie sich an bei AWS-Managementkonsole
<a name="access-policies-walkthrough-cross-account-permissions-acctA-tasks-sign-in-example4"></a>

Melden Sie sich mit der IAM-Benutzer-Anmelde-URL für Konto A zunächst beim Benutzer AWS-Managementkonsole as **AccountAadmin** an. Dieser Benutzer erstellt einen Bucket und ordnet ihm eine Richtlinie zu. 

### Schritt 1.2: Erstellen eines Buckets und Anfügen einer Richtlinie
<a name="access-policies-walkthrough-example2d-step1-1"></a>

Führen Sie in der Amazon-S3-Konsole die folgenden Schritte aus:

1. Erstellen Sie einen Bucket. Diese Übung setzt voraus, dass der Bucket-Name `amzn-s3-demo-bucket1` ist.

   Detaillierte Anweisungen finden Sie unter [Erstellen eines Allzweck-Buckets](create-bucket-overview.md). 

1. Fügen Sie die folgende Bucket-Richtlinie an. Die Richtlinie gewährt dem Administrator von Konto B unter bestimmten Bedingungen die Berechtigung, Objekte hochzuladen.

   Aktualisieren Sie die Richtlinie, indem Sie Ihre eigenen Werte für `amzn-s3-demo-bucket1`, `AccountB-ID` und `CanonicalUserId-of-AWSaccountA-BucketOwner` angeben. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "111",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:user/AccountBadmin"
               },
               "Action": "s3:PutObject",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"
           },
           {
               "Sid": "112",
               "Effect": "Deny",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:user/AccountBadmin"
               },
               "Action": "s3:PutObject",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*",
               "Condition": {
                   "StringNotEquals": {
                       "s3:x-amz-grant-full-control": "id=CanonicalUserId-of-AWSaccountA-BucketOwner"
                   }
               }
           }
       ]
   }
   ```

------

### Schritt 1.3: Erstellen einer IAM-Rolle, um Konto C kontoübergreifenden Zugriff in Konto A zu erteilen
<a name="access-policies-walkthrough-example2d-step1-2"></a>

Erstellen Sie in der [IAM-Konsole](https://console.aws.amazon.com/iam/) eine IAM-Rolle (**examplerole**), die Konto C die Berechtigung erteilt, die Rolle zu übernehmen. Stellen Sie sicher, dass Sie weiterhin als Administrator von Konto A angemeldet sind, da die Rolle in Konto A erstellt werden muss.

1. Bevor Sie die Rolle erstellen, richten Sie die verwaltete Richtlinie ein, die die von der Rolle benötigten Berechtigungen definiert. Diese Richtlinie fügen Sie zu einem späteren Zeitpunkt der Rolle an.

   1. Wählen Sie links im Navigationsbereich **Richtlinien** und dann **Richtlinie erstellen** aus.

   1. Klicken Sie neben **Create Your Own Policy** auf **Select**.

   1. Geben Sie **access-accountA-bucket** in das Feld **Policy Name** ein.

   1. Kopieren Sie die folgende Zugriffsrichtlinie und fügen Sie sie in das Feld **Policy Document** ein. Die Zugriffsrichtlinie gewährt der Rolle die `s3:GetObject`-Berechtigung, sodass der Benutzer aus Konto C bei Übernahme der Rolle nur die `s3:GetObject`-Operation ausführen kann.

------
#### [ JSON ]

****  

      ```
      {
        "Version":"2012-10-17",		 	 	 
        "Statement": [
          {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"
          }
        ]
      }
      ```

------

   1. Wählen Sie **Richtlinie erstellen** aus.

      Die neue Richtlinie wird in der Liste der verwalteten Richtlinien angezeigt.

1. Wählen Sie im Navigationsbereich auf der linken Seite **Rollen** und dann **Neue Rolle erstellen** aus.

1. **Wählen Sie unter Rollentyp** auswählen die Option **Rolle für kontoübergreifenden Zugriff** aus und klicken Sie dann auf die Schaltfläche **Auswählen** neben **Zugriff zwischen AWS-Konten Ihren eigenen Benutzern bereitstellen**.

1. Geben Sie die Konto-ID von Konto C ein.

   Für diese Anleitung müssen Benutzer keine Multi-Faktor-Authentifizierung (MFA) verwenden, um die Rolle zu übernehmen. Lassen Sie diese Option daher deaktiviert.

1. Klicken Sie auf **Next Step**, um die mit der Rolle verknüpften Berechtigungen einzurichten.

1. 

   Aktivieren Sie das Kontrollkästchen neben der von Ihnen erstellten Richtlinie **access-accountA-bucket** und wählen Sie dann **Nächster Schritt** aus.

   Die Prüfseite wird angezeigt, sodass Sie die Einstellungen bestätigen können, bevor Sie die Rolle erstellen. Ein sehr wichtiges, auf dieser Seite zu beachtendes Element ist der Link, den Sie an die Benutzer senden können, die die Rolle verwenden müssen. Benutzer, die den Link verwenden, gelangen direkt zur Seite **Rolle wechseln**, wobei die Felder „Konto-ID“ und „Rollenname“ bereits ausgefüllt sind. Dieser Link wird auch auf der Seite **Role Summary** für beliebige kontoübergreifende Rollen angezeigt.

1. Geben Sie `examplerole` für den Rollennamen ein und klicken Sie dann auf **Nächster Schritt**.

1. Nachdem Sie die Rolle überprüft haben, klicken Sie auf **Rolle erstellen**.

   Die Rolle `examplerole` wird in der Liste der Rollen angezeigt.

1. Wählen Sie den Rollennamen `examplerole` aus.

1. Wählen Sie den Tab **Trust Relationships**.

1. Wählen Sie **Richtliniendokument anzeigen** und überprüfen Sie, ob die angezeigte Vertrauensrichtlinie mit der folgenden Richtlinie übereinstimmt.

   Die folgende Vertrauensrichtlinie richtet eine Vertrauensbeziehung zu Konto C ein und gestattet ihm die Aktion `sts:AssumeRole`. Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) in der *AWS -Security-Token-Service -API-Referenz*.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:root"
               },
               "Action": "sts:AssumeRole"
           }
       ]
   }
   ```

------

1. Notieren Sie sich den Amazon Resource Name (ARN) der `examplerole`-Rolle, die Sie erstellt haben. 

   In den nachfolgenden Schritten ordnen Sie eine Benutzerrichtlinie ein, um einem IAM-Benutzer zu erlauben, diese Rolle einzunehmen. Sie identifizieren die Rolle über den ARN-Wert. 

## Schritt 2: Erledigen der Aufgaben von Konto B
<a name="access-policies-walkthrough-example4-step2"></a>

Der Beispiel-Bucket, der Konto A gehört, benötigt Objekte, die anderen Konten gehören. In diesem Schritt lädt der Administrator von Konto B unter Verwendung der Befehlszeilen-Tools ein Objekt hoch.
+ Laden Sie mit dem `put-object` AWS CLI Befehl ein Objekt in hoch. `amzn-s3-demo-bucket1` 

  ```
  aws s3api put-object --bucket amzn-s3-demo-bucket1 --key HappyFace.jpg --body HappyFace.jpg --grant-full-control id="canonicalUserId-ofTheBucketOwner" --profile AccountBadmin
  ```

  Beachten Sie Folgendes:
  + Der Parameter `--Profile` gibt das Profil `AccountBadmin` an – das Objekt gehört also Konto B.
  + Der Parameter `grant-full-control` erteilt dem Bucket-Eigentümer vollständige Berechtigungen für das Objekt, wie für die Bucket-Richtlinie erforderlich.
  + Der Parameter `--body` identifiziert die hochzuladende Quelldatei. Befindet sich die Datei beispielsweise auf dem Laufwerk C: eines Windows-Computers, geben Sie `c:\HappyFace.jpg` an. 

## Schritt 3: Erledigen der Aufgaben von Konto C
<a name="access-policies-walkthrough-example4-step3"></a>

In den vorigen Schritten hat Konto A bereits eine Rolle erstellt, `examplerole`, die eine Vertrauensbeziehung zu Konto C einrichtet. Die Rolle erlaubt Benutzern in Konto C auf Konto A zugreifen. In diesem Schritt erstellt der Administrator von Konto C einen Benutzer (Dave) und delegiert die Berechtigung `sts:AssumeRole` an ihn, die er von Konto A erhalten hat. Mit diesem Ansatz kann Dave `examplerole` übernehmen und erhält temporären Zugriff auf Konto A. Die Zugriffsrichtlinie, die Konto A der Rolle zugeordnet hat, beschränkt die Aktionen, die Dave ausführen kann, wenn er auf Konto A zugreift – insbesondere, Objekte in `amzn-s3-demo-bucket1` hochzuladen.

### Schritt 3.1: Erstellen eines Benutzers in Konto C und Delegieren der Berechtigung, examplerole anzunehmen
<a name="cross-acct-access-using-role-step3-1"></a>

1. Melden Sie sich mit der IAM-Benutzer-Anmelde-URL für Konto C zunächst beim Benutzer AWS-Managementkonsole as **AccountCadmin** an. 

   

1. Erstellen Sie in der [IAM-Konsole](https://console.aws.amazon.com/iam/) einen Benutzer, Dave. 

    step-by-stepAnweisungen finden Sie unter [Erstellen von IAM-Benutzern (AWS-Managementkonsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console) im *IAM-Benutzerhandbuch*. 

1. Notieren Sie sich die Anmeldeinformationen von Dave. Dave benötigt diese Anmeldeinformationen, um die Rolle `examplerole` zu übernehmen.

1. Erstellen Sie eine Inline-Richtlinie für den IAM-Benutzer Dave, um die `sts:AssumeRole`-Berechtigung an Dave für die `examplerole`-Rolle in Konto A zu delegieren. 

   1. Wählen Sie im Navigationsbereich auf der linken Seite **Users (Benutzer)**.

   1. Klicken Sie auf den Benutzernamen **Dave**.

   1. Wählen Sie auf der Seite mit den Benutzerinformationen den Tab **Permissions** aus und erweitern Sie den Abschnitt **Inline Policies**.

   1. Wählen Sie **hier klicken** (oder **Create User Policy**).

   1. Wählen Sie **Custom Policy** und dann **Select** aus.

   1. Geben Sie einen Namen für die Richtlinie in das Feld **Policy Name** ein.

   1. Kopieren Sie die folgende Richtlinie in das Feld **Policy Document:**.

      Sie müssen die Richtlinie aktualisieren, indem Sie die `AccountA-ID` angeben.

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "sts:AssumeRole"
                  ],
                  "Resource": "arn:aws:iam::111122223333:role/examplerole"
              }
          ]
      }
      ```

------

   1. Klicken Sie auf **Apply Policy** (Richtlinie anwenden).

1. Speichern Sie Daves Anmeldeinformationen in der Konfigurationsdatei von, AWS CLI indem Sie ein weiteres Profil hinzufügen. `AccountCDave`

   ```
   [profile AccountCDave]
   aws_access_key_id = UserDaveAccessKeyID
   aws_secret_access_key = UserDaveSecretAccessKey
   region = us-west-2
   ```

### Schritt 3.2: Übernehmen der Rolle (examplerole) und Zugreifen auf Objekte
<a name="cross-acct-access-using-role-step3-2"></a>

Jetzt kann Dave auf Objekte in dem Bucket zugreifen, der Konto A gehört, nämlich wie folgt:
+ Dave übernimmt zuerst die `examplerole` unter Verwendung seiner eigenen Anmeldeinformationen. Damit werden temporäre Anmeldeinformationen zurückgegeben.
+ Unter Verwendung der temporären Anmeldeinformationen greift Dave dann auf die Objekte im Bucket von Konto A zu.

1. Führen Sie in der Befehlszeile den folgenden AWS CLI `assume-role` Befehl mit dem `AccountCDave` Profil aus. 

   Sie müssen in dem Befehl den ARN-Wert aktualisieren, indem Sie die ID von Konto A angeben, in dem `AccountA-ID` definiert ist.

   ```
   aws sts assume-role --role-arn arn:aws:iam::AccountA-ID:role/examplerole --profile AccountCDave --role-session-name test
   ```

   Als Antwort gibt AWS -Security-Token-Service (AWS STS) temporäre Sicherheitsanmeldeinformationen zurück (Zugriffsschlüssel-ID, geheimer Zugriffsschlüssel und ein Sitzungstoken).

1. Speichern Sie die temporären Sicherheitsanmeldedaten in der AWS CLI Konfigurationsdatei unter dem `TempCred` Profil.

   ```
   [profile TempCred]
   aws_access_key_id = temp-access-key-ID
   aws_secret_access_key = temp-secret-access-key
   aws_session_token = session-token
   region = us-west-2
   ```

1. Führen Sie in der Befehlszeile den folgenden AWS CLI Befehl aus, um mithilfe der temporären Anmeldeinformationen auf Objekte zuzugreifen. Beispielsweise gibt der Befehl die Head-Objekt API an, um die Objekt-Metadaten für das Objekt `HappyFace.jpg` abzurufen.

   ```
   aws s3api get-object --bucket amzn-s3-demo-bucket1 --key HappyFace.jpg SaveFileAs.jpg --profile TempCred
   ```

   Die `examplerole` zugeordnete Zugriffsrichtlinie erlaubt die Aktionen, deshalb verarbeitet Amazon S3 die Anforderung. Sie können das mit jeder anderen Aktion für jedes andere Objekt im Bucket ausprobieren.

   Wenn Sie eine andere Aktion ausprobieren, z. B. `get-object-acl`, wird die Berechtigung verweigert, weil die Rolle diese Aktion nicht ausführen darf.

   ```
   aws s3api get-object-acl --bucket amzn-s3-demo-bucket1 --key HappyFace.jpg --profile TempCred
   ```

   Wir haben den Benutzer Dave verwendet, um die Rolle zu übernehmen und unter Verwendung temporärer Anmeldeinformationen auf das Objekt zuzugreifen. Es könnte auch eine Anwendung in Konto C sein, die auf Objekte in `amzn-s3-demo-bucket1` zugreift. Die Anwendung kann temporäre Anmeldeinformationen erhalten, und Konto C kann die Berechtigung der Anwendung delegieren, um `examplerole` zu übernehmen.

## Schritt 4: Bereinigen
<a name="access-policies-walkthrough-example4-step6"></a>

1. Nachdem Sie mit den Tests fertig sind, räumen Sie wie folgt auf:

   1. Melden Sie sich mit den Anmeldeinformationen von Konto A an der [AWS-Managementkonsole](https://console.aws.amazon.com/) an und machen Sie Folgendes:
     + Entfernen Sie in der Amazon-S3-Konsole die an `amzn-s3-demo-bucket1` angefügte Bucket-Richtlinie. Löschen Sie in den Bucket **Properties** die Richtlinie im Abschnitt **Permissions**. 
     + Wenn der Bucket für diese Übung erstellt wurde, löschen Sie in der Amazon-S3-Konsole die Objekte und dann den Bucket. 
     + Entfernen Sie in der [IAM-Konsole](https://console.aws.amazon.com/iam/) die Datei, die `examplerole` Sie in Konto A erstellt haben. step-by-step Anweisungen finden Sie unter [Löschen eines IAM-Benutzers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_manage.html#id_users_deleting) im *IAM-Benutzerhandbuch*. 
     + Entfernen Sie in der [IAM-Konsole](https://console.aws.amazon.com/iam/) den Benutzer **AccountAadmin**.

1. Melden Sie sich mit den Anmeldeinformationen von Konto B in der [IAM-Konsole](https://console.aws.amazon.com/iam/) an. Löschen Sie den Benutzer. **AccountBadmin** 

1. Melden Sie sich mit den Anmeldeinformationen von Konto C in der [IAM-Konsole](https://console.aws.amazon.com/iam/) an. Löschen Sie **AccountCadmin**und den Benutzer Dave.

## Zugehörige Ressourcen
<a name="RelatedResources-managing-access-example4"></a>

Weitere Informationen zu dieser Anleitung finden Sie in den folgenden Ressourcen im *IAM-Benutzerhandbuch*:
+ [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)
+ [Tutorial: Zugriff AWS-Konten mithilfe von IAM-Rollen übergreifend delegieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial-cross-account-with-roles.html)
+ [Verwalten von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)