Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Wie Amazon S3 eine Anforderung autorisiert
<a name="how-s3-evaluates-access-control"></a>

Wenn Amazon S3 eine Anforderung erhält – z. B. ein Bucket oder eine Objektoperation –, überprüft es zuerst, ob der Auftraggeber die erforderlichen Berechtigungen besitzt. Amazon S3 wertet alle relevanten Zugriffsrichtlinien, Benutzerrichtlinien und ressourcenbasierten Richtlinien (Bucket-Richtlinie, Bucket-Zugriffssteuerungsliste (ACL) und Objekt-ACL) aus, um entscheiden zu können, ob die Anforderung autorisiert werden soll. 

**Anmerkung**  
Wenn bei der Amazon-S3-Berechtigungsprüfung keine gültigen Berechtigungen gefunden werden, wird der Fehler „Zugriff verweigert (403 Forbidden)“ zurückgegeben. Informationen finden Sie unter [Beheben Sie „Zugriff verweigert“-Fehler (403 Forbidden) in Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/troubleshoot-403-errors.html).

Um zu ermitteln, ob der Anforderer die Berechtigung hat, den spezifischen Vorgang auszuführen, geht Amazon S3 wie folgt vor, wenn eine Anforderung erhalten wird:

1. Konvertiert alle relevanten Zugriffsrichtlinien (Benutzerrichtlinie, Bucket-Richtlinie und ACLs) zur Laufzeit in eine Reihe von Richtlinien zur Auswertung.

1. Es wertet in den folgenden Schritten die resultierende Richtlinienmenge aus. Amazon S3 wertet in jedem Schritt eine Untermenge der Richtlinien in einem spezifischen Kontext aus, basierend auf der Kontextautorität. 

   1. **Benutzerkontext** – Im Benutzerkontext ist das übergeordnete Konto, zu dem der Benutzer gehört, die Kontextautorität.

      Amazon S3 wertet eine Untermenge der Richtlinien aus, die dem übergeordneten Konto gehören. Diese Untermenge beinhaltet die Benutzerrichtlinie, die das übergeordnete Konto dem Benutzer zuordnet. Wenn dem übergeordneten Konto auch die Ressource in der Anforderung gehört (Bucket oder Objekt), wertet Amazon S3 gleichzeitig auch die entsprechenden Ressourcenrichtlinien aus (Bucket-Richtlinie, Bucket-ACL und Objekt-ACL). 

      Ein Benutzer benötigt die Berechtigung von dem übergeordneten Konto, um die Operation auszuführen.

      Dieser Schritt wird nur angewendet, wenn die Anforderung von einem Benutzer in einem AWS-Konto gestellt wurde. Wenn die Anfrage mit den Root-Benutzeranmeldedaten eines gestellt wird AWS-Konto, überspringt Amazon S3 diesen Schritt.

   1. **Bucket-Kontext** — Im Bucket-Kontext wertet Amazon S3 Richtlinien aus, die demjenigen gehören AWS-Konto , dem der Bucket gehört. 

      Erfolgt die Anforderung für eine Bucket-Operation, muss der Auftraggeber die Berechtigung vom Bucket-Eigentümer besitzen. Erfolgt die Anforderung für ein Objekt, wertet Amazon S3 alle Richtlinien aus, die dem Bucket-Eigentümer gehören, um zu überprüfen, ob der Bucket-Eigentümer für das Objekt eine explizite Zugriffsverweigerung festgelegt hat. Wurde eine explizite Zugriffsverweigerung festgelegt, autorisiert Amazon S3 die Anforderung nicht. 

   1. **Objektkontext** – Erfolgt die Anforderung für ein Objekt, wertet Amazon S3 die Untermenge der Richtlinien aus, die dem Objekteigentümer gehören. 

Nachfolgend finden Sie einige Beispielszenarien, die veranschaulichen, wie Amazon S3 eine Anforderung autorisiert.

**Example – Der Anforderer ist ein IAM-Prinzipal**  
Handelt es sich bei dem Anforderer AWS-Konto um einen IAM-Principal, muss Amazon S3 ermitteln, ob das Mutterunternehmen, dem der Principal angehört, dem Principal die erforderliche Genehmigung zur Durchführung des Vorgangs erteilt hat. Erfolgt die Anforderung darüber hinaus für eine Bucket-Operation, wie beispielsweise eine Anforderung, den Bucket-Inhalt aufzulisten, muss Amazon S3 prüfen, ob der Bucket-Eigentümer dem Auftraggeber die Berechtigung erteilt hat, die Operation auszuführen. Um einen bestimmten Vorgang mit einer Ressource durchzuführen, benötigt ein IAM-Principal die Genehmigung sowohl von dem übergeordneten AWS-Konto Unternehmen, dem er angehört, als auch von demjenigen AWS-Konto , dem die Ressource gehört.

 

**Example – Der Anforderer ist ein IAM-Prinzipal – wenn die Anforderung für einen Vorgang an einem Objekt gilt, das der Bucket-Eigentümer nicht besitzt**  
Erfolgt die Anforderung für eine Operation für ein Objekt, das nicht dem Bucket-Eigentümer gehört, muss Amazon S3 sicherstellen, dass der Auftraggeber die Berechtigungen von dem Objekteigentümer hat, und außerdem die Bucket-Richtlinie prüfen, um sicherzustellen, dass der Bucket-Eigentümer keine explizite Zugriffsverweigerung für das Objekt festgelegt hat. Ein Bucket-Eigentümer (der die Rechnung zahlt) kann explizit den Zugriff auf Objekte im Bucket verweigern, unabhängig davon, wem dieser gehört. Der Bucket-Eigentümer kann auch ein beliebiges Objekt im Bucket löschen.  
Wenn ein anderer Benutzer ein Objekt in Ihren S3-Allzweck-Bucket AWS-Konto hochlädt, besitzt dieses Konto (der Objektschreiber) standardmäßig das Objekt, hat Zugriff darauf und kann anderen Benutzern über Zugriffskontrolllisten (ACLs) Zugriff darauf gewähren. Mit Object Ownership können Sie dieses Standardverhalten so ändern, dass ACLs es deaktiviert ist und Sie als Bucket-Besitzer automatisch Eigentümer aller Objekte in Ihrem Allzweck-Bucket sind. Daher basiert die Zugriffskontrolle für Ihre Daten auf Richtlinien wie IAM-Benutzerrichtlinien, S3-Bucket-Richtlinien, VPC-Endpunktrichtlinien (Virtual Private Cloud) und AWS Organizations Servicesteuerungsrichtlinien (SCPs). Weitere Informationen finden Sie unter [Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket](about-object-ownership.md).

Weitere Informationen darüber, wie Amazon S3 Zugriffsrichtlinien zur Autorisierung oder Ablehnung von Anfragen für Bucket-Vorgänge und Objekt-Vorgänge bewertet, finden Sie in den folgenden Themen:

**Topics**
+ [Wie Amazon S3 eine Anforderung für eine Bucket-Operation autorisiert](access-control-auth-workflow-bucket-operation.md)
+ [Wie Amazon S3 eine Anforderung für eine Objekt-Operation autorisiert](access-control-auth-workflow-object-operation.md)

# Wie Amazon S3 eine Anforderung für eine Bucket-Operation autorisiert
<a name="access-control-auth-workflow-bucket-operation"></a>

Wenn Amazon S3 eine Anfrage für eine Bucket-Operation erhält, wandelt Amazon S3 alle relevanten Berechtigungen in eine Reihe von Richtlinien um, die zur Laufzeit ausgewertet werden sollen. Zu den relevanten Berechtigungen gehören ressourcenbasierte Berechtigungen (z. B. Bucket-Richtlinien und Bucket-Zugriffskontrolllisten) und Benutzerrichtlinien, wenn die Anfrage von einem IAM-Prinzipal stammt. Amazon S3 wertet anschließend die resultierende Richtlinienmenge in mehreren Schritten in Übereinstimmung mit einem spezifischen Kontext aus – Benutzerkontext oder Bucket-Kontext. 

1. **Benutzerkontext** — Wenn der Anforderer ein IAM-Prinzipal ist, muss der Principal die Genehmigung des übergeordneten Unternehmens haben, dem er AWS-Konto angehört. In diesem Schritt wertet Amazon S3 eine Untermenge der Richtlinien aus, die dem übergeordneten Konto gehören (auch als Kontextautorität bezeichnet). Diese Richtlinienuntermenge beinhaltet die Benutzerrichtlinie, die das übergeordnete Konto dem Prinzipal zuordnet. Wenn dem übergeordneten Konto auch die Ressource in der Anforderung gehört (in diesem Fall der Bucket), wertet Amazon S3 gleichzeitig auch die entsprechenden Ressourcenrichtlinien aus (Bucket-Richtlinie und Bucket-ACL). Immer wenn eine Anforderung für eine Bucket-Operation gemacht wird, zeichnen die Server-Zugriffsprotokolle die kanonische Benutzer-ID des Anforderers auf. Weitere Informationen finden Sie unter [Protokollieren von Anfragen mit Server-Zugriffsprotokollierung](ServerLogs.md).

1. **Bucket-Kontext** – Der Anforderer muss die Berechtigung vom Bucket-Eigentümer besitzen, eine spezifische Bucket-Operation auszuführen. In diesem Schritt bewertet Amazon S3 eine Teilmenge von Richtlinien, die demjenigen gehören, dem der AWS-Konto Bucket gehört. 

   Der Bucket-Eigentümer kann Berechtigungen unter Verwendung einer Bucket-Richtlinie oder Bucket-ACL erteilen. Wenn das AWS-Konto , dem der Bucket gehört, auch das übergeordnete Konto eines IAM-Prinzipals ist, kann es Bucket-Berechtigungen in einer Benutzerrichtlinie konfigurieren. 

 Nachfolgend sehen Sie eine grafische Darstellung der kontextbasierten Auswertung für Bucket-Operationen. 

![\[Abbildung, die die kontextbasierte Auswertung für Bucket-Operationen zeigt.\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/images/AccessControlAuthorizationFlowBucketResource.png)


Die folgenden Beispiele veranschaulichen die Auswertungslogik. 

## Beispiel 1: Vom Bucket-Eigentümer angeforderte Bucket-Operation
<a name="example1-policy-eval-logic"></a>

 In diesem Beispiel sendet der Bucket-Eigentümer eine Anforderung einer Bucket-Operation unter Verwendung der Root-Anmeldeinformationen des AWS-Konto. 

![\[Abbildung, die eine vom Bucket-Eigentümer angeforderte Bucket-Operation zeigt.\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/images/example10-policy-eval-logic.png)


 Amazon S3 führt die Kontextauswertung wie folgt durch:

1.  Da die Anforderung unter Verwendung der Anmeldeinformationen des Root-Benutzers eines AWS-Konto erfolgt, wird der Benutzerkontext nicht ausgewertet.

1.  Im Bucket-Kontext überprüft Amazon S3 die Bucket-Richtlinie, um festzustellen, ob der Auftraggeber die Berechtigung besitzt, die Operation auszuführen. Amazon S3 autorisiert die Anforderung. 

## Beispiel 2: Bucket-Vorgang, der von einer Person angefordert wurde AWS-Konto , die nicht der Bucket-Besitzer ist
<a name="example2-policy-eval-logic"></a>

In diesem Beispiel wird eine Anforderung unter Verwendung der Anmeldeinformationen des Root-Benutzers des AWS-Konto 1111-1111-1111 für eine Bucket-Operation gestellt, die dem AWS-Konto 2222-2222-2222 gehört. An dieser Anforderung sind keine IAM-Benutzer beteiligt.

![\[Abbildung, die eine Bucket-Operation zeigt, die von einem AWS-Konto , das nicht der Bucket-Eigentümer ist, angefordert wurde.\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/images/example20-policy-eval-logic.png)


In diesem Beispiel wertet Amazon S3 den Kontext wie folgt aus:

1. Da die Anfrage unter Verwendung der Root-Benutzeranmeldedaten von gestellt wird AWS-Konto, wird der Benutzerkontext nicht ausgewertet.

1. Im Bucket-Kontext wertet Amazon S3 die Bucket-Richtlinie aus. Wenn der Bucket-Besitzer (AWS-Konto 2222-2222-2222) AWS-Konto 1111-1111 nicht autorisiert hat, den angeforderten Vorgang auszuführen, lehnt Amazon S3 die Anfrage ab. Andernfalls genehmigt Amazon S3 die Anforderung und führt die Operation aus.

## Beispiel 3: Bucket-Vorgang, der von einem IAM-Principal angefordert wurde, dessen übergeordnetes Element auch der Bucket-Besitzer ist AWS-Konto
<a name="example3-policy-eval-logic"></a>

 In dem Beispiel wird die Anforderung von Jill gesendet, einer IAM-Benutzer im AWS-Konto 1111-1111-1111, dem auch der Bucket gehört. 

![\[Abbildung, die eine Bucket-Operation zeigt, die von einem IAM-Prinzipal und Bucket-Eigentümer angefordert wurde.\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/images/example30-policy-eval-logic.png)


 Amazon S3 führt die folgende Kontextauswertung durch:

1.  Da die Anfrage von einem IAM-Prinzipal stammt, bewertet Amazon S3 im Benutzerkontext alle Richtlinien, die dem übergeordneten Unternehmen gehören, AWS-Konto um festzustellen, ob Jill berechtigt ist, den Vorgang auszuführen. 

    In diesem Beispiel ist das übergeordnete Objekt AWS-Konto 1111-1111-1111, zu dem der Principal gehört, auch der Bucket-Besitzer. Somit wertet Amazon S3 zusätzlich zur Benutzerrichtlinie auch die Bucket-Richtlinie und Bucket-ACL im selben Kontext aus, weil sie zum selben Konto gehören.

1. Amazon S3 hat die Bucket-Richtlinie und die Bucket-ACL als Teil des Benutzerkontexts ausgewertet, deshalb wertet es den Bucket-Kontext nicht aus.

## Beispiel 4: Bucket-Vorgang, der von einem IAM-Principal angefordert wurde, dessen übergeordnetes Element nicht der Bucket-Besitzer ist AWS-Konto
<a name="example4-policy-eval-logic"></a>

In diesem Beispiel wird die Anfrage von Jill gesendet, einer IAM-Benutzerin, deren übergeordnetes Element 1111-1111-1111 AWS-Konto ist, aber der Bucket gehört einem anderen, 2222-2222-2222. AWS-Konto

![\[Eine Abbildung, die eine Bucket-Operation zeigt, die von einem IAM-Prinzipal angefordert wird, der nicht der Bucket-Eigentümer ist.\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/images/example40-policy-eval-logic.png)


Jill benötigt die Berechtigungen sowohl vom Elternteil als auch vom Bucket-Besitzer. AWS-Konto Amazon S3 wertet den Kontext wie folgt aus:

1. Da die Anforderung von einem IAM-Prinzipal stammt, wertet Amazon S3 den Benutzerkontext aus, indem es die Richtlinien überprüft, die vom Konto autorisiert wurden, um sicherzustellen, dass Jill über die erforderlichen Berechtigungen verfügt. Wenn Jill die Berechtigung hat, prüft Amazon S3 anschließend den Bucket-Kontext. Wenn Jill keine Berechtigung hat, wird die Anfrage abgelehnt.

1.  Im Bucket-Kontext überprüft Amazon S3, ob der Bucket-Besitzer 2222-2222-2222 Jill (oder ihren Eltern AWS-Konto) die Erlaubnis erteilt hat, den angeforderten Vorgang durchzuführen. Wenn sie diese Berechtigung besitzt, gewährt Amazon S3 die Anforderung und führt die Operation aus. Andernfalls lehnt Amazon S3 die Anforderung ab. 

# Wie Amazon S3 eine Anforderung für eine Objekt-Operation autorisiert
<a name="access-control-auth-workflow-object-operation"></a>

Wenn Amazon S3 eine Anforderung für eine Bucket-Operation erhält, wandelt es alle relevanten Berechtigungen – ressourcenbasierte Berechtigungen (Objekt-Access-Control-List (ACL), Bucket-Richtlinie, Bucket-ACL) und IAM-Benutzerrichtlinien – in eine Reihe von Richtlinien um, die zur Laufzeit ausgewertet werden sollen. Anschließend wertet es in mehreren Schritten die resultierende Richtlinienmenge aus. Es wertet in jedem Schritt eine Untermenge der Richtlinien in drei spezifischen Kontexten aus – Benutzerkontext, Bucket-Kontext und Objektkontext.

1. **Benutzerkontext** — Wenn der Anforderer ein IAM-Principal ist, muss der Principal die Erlaubnis des übergeordneten Unternehmens haben, zu dem er gehört. AWS-Konto In diesem Schritt wertet Amazon S3 eine Untermenge der Richtlinien aus, die dem übergeordneten Konto gehören (auch als Kontextautorität bezeichnet). Diese Richtlinienuntermenge beinhaltet die Benutzerrichtlinie, die das übergeordnete Konto dem Prinzipal zuordnet. Wenn dem übergeordneten Konto auch die Ressource in der Anforderung gehört (Bucket oder Objekt), wertet Amazon S3 gleichzeitig die entsprechenden Ressourcenrichtlinien aus (Bucket-Richtlinie, Bucket-ACL und Objekt-ACL). 
**Anmerkung**  
Wenn das übergeordnete Objekt AWS-Konto Eigentümer der Ressource (Bucket oder Objekt) ist, kann es seinem IAM-Prinzipal mithilfe der Benutzerrichtlinie oder der Ressourcenrichtlinie Ressourcenberechtigungen gewähren. 

1. **Bucket-Kontext** – In diesem Kontext wertet Amazon S3 Richtlinien aus, die dem AWS-Konto gehören, dem der Bucket gehört.

   Wenn der AWS-Konto Besitzer des Objekts in der Anfrage nicht mit dem Bucket-Besitzer identisch ist, überprüft Amazon S3 die Richtlinien, ob der Bucket-Besitzer den Zugriff auf das Objekt explizit verweigert hat. Wurde eine explizite Zugriffsverweigerung für das Objekt festgelegt, autorisiert Amazon S3 die Anforderung nicht. 

1. **Objekt-Kontext** – Der Anforderer muss die Berechtigung vom Objekt-Eigentümer besitzen, eine spezifische Objekt-Operation auszuführen. In diesem Schritt wertet Amazon S3 die Objekt-ACL aus. 
**Anmerkung**  
Ist der Bucket-Eigentümer gleich dem Objekt-Eigentümer ist, kann der Zugriff auf das Objekt in der Bucket-Richtlinie erteilt werden, die im Bucket-Kontext ausgewertet wird. Unterscheiden sich die Eigentümer, müssen die Objekt-Eigentümer eine Objekt-ACL verwenden, um die Berechtigungen zu erteilen. Wenn es sich bei dem Konto AWS-Konto , dem das Objekt gehört, auch um das übergeordnete Konto handelt, zu dem der IAM-Principal gehört, kann es Objektberechtigungen in einer Benutzerrichtlinie konfigurieren, die im Benutzerkontext ausgewertet wird. Weitere Informationen über die Verwendung dieser Alternativen zu Zugriffsrichtlinien finden Sie unter [Anleitungen, die Richtlinien verwenden, um den Zugriff auf Ihre Amazon-S3-Ressourcen zu verwalten](example-walkthroughs-managing-access.md).  
Wenn Sie als Bucket-Besitzer Eigentümer aller Objekte in Ihrem Bucket sein und Bucket-Richtlinien oder Richtlinien verwenden möchten, die auf der IAMto Verwaltung des Zugriffs auf diese Objekte basieren, können Sie die erzwungene Einstellung des Bucket-Besitzers für Objekteigentümer anwenden. Mit dieser Einstellung besitzen Sie als Bucket-Eigentümer automatisch die volle Kontrolle über jedes Objekt in Ihrem Bucket. Bucket und Objekt ACLs können nicht bearbeitet werden und werden nicht mehr für den Zugriff berücksichtigt. Weitere Informationen finden Sie unter [Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket](about-object-ownership.md).

 Nachfolgend sehen Sie eine grafische Darstellung der kontextbasierten Auswertung für eine Objekt-Operation.

![\[Eine Abbildung, die die kontextbasierte Bewertung für eine Objektoperation zeigt.\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/images/AccessControlAuthorizationFlowObjectResource.png)


## Beispiel einer Objektoperationsanforderung
<a name="access-control-auth-workflow-object-operation-example1"></a>

In diesem Beispiel sendet die IAM-Benutzerin Jill, deren übergeordnetes Element 1111-1111-1111 AWS-Konto ist, eine Objektoperationsanforderung (z. B.`GetObject`) für ein Objekt, das AWS-Konto 3333-3333-3333 gehört, in einem Bucket, der 2222-2222-2222 gehört. AWS-Konto 

![\[Eine Abbildung, die eine Objektoperationsanforderung zeigt.\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/images/example50-policy-eval-logic.png)


Jill benötigt die Erlaubnis des Elternteils, des Bucket-Besitzers und des Objekteigentümers. AWS-Konto Amazon S3 wertet den Kontext wie folgt aus:

1. Da die Anfrage von einem IAM-Principal stammt, bewertet Amazon S3 den Benutzerkontext, um sicherzustellen, dass das übergeordnete Objekt AWS-Konto 1111-1111-1111 Jill die Erlaubnis erteilt hat, den angeforderten Vorgang auszuführen. Wenn sie die Berechtigung besitzt, wertet Amazon S3 den Bucket-Kontext aus. Andernfalls lehnt Amazon S3 die Anforderung ab.

1. Im Bucket-Kontext ist der Bucket-Besitzer, 2222-2222-2222, die Kontextautorität. AWS-Konto Amazon S3 wertet die Bucket-Richtlinie aus, um festzustellen, ob der Bucket-Eigentümer Jill explizit die Berechtigung entzogen hat, auf das Objekt zuzugreifen. 

1. Im Objektkontext ist die Kontextautorität das AWS-Konto 3333-3333-3333, der Objekteigentümer. Amazon S3 wertet die Objekt-ACL aus, um festzustellen, ob Jill die Berechtigung besitzt, auf das Objekt zuzugreifen. Ist dies der Fall, autorisiert Amazon S3 die Anfrage.