Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Konfigurieren von IAM-Richtlinien für Object Lambda Access Points
**Anmerkung**
Seit dem 7. November 2025 ist S3 Object Lambda nur für Bestandskunden verfügbar, die den Service derzeit nutzen, sowie für ausgewählte AWS Partner Network (APN) -Partner. Weitere Informationen zu Features, die S3 Object Lambda ähneln, finden Sie hier – Änderung der [Verfügbarkeit von Amazon S3 Object Lambda](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazons3-ol-change.html).
Amazon S3 Access Points unterstützen Ressourcenrichtlinien AWS Identity and Access Management (IAM), mit denen Sie die Nutzung des Access Points nach Ressourcen, Benutzern oder anderen Bedingungen steuern können. Sie können den Zugriff über eine optionale Ressourcenrichtlinie auf Ihrem Object Lambda Access Point oder eine Ressourcenrichtlinie für unterstützende Zugriffspunkte steuern. step-by-stepBeispiele finden Sie unter [Tutorial: Transformieren von Daten für Ihre Anwendung mit S3 Object Lambda](tutorial-s3-object-lambda-uppercase.md) und[Tutorial: Erkennen und Redigieren von PII-Daten mit S3 Object Lambda und Amazon Comprehend](tutorial-s3-object-lambda-redact-pii.md).
Die vier folgenden Ressourcen müssen über Berechtigungen verfügen, um mit Object Lambda Access Points zu arbeiten:
+ Die IAM-Identität, z. B. Benutzer oder Rolle. Weitere Informationen zu unterschiedlichen IAM-Identitäten und bewährten Methoden finden Sie unter [IAM-Identitäten (Benutzer, Benutzergruppen und Rollen)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) im *IAM-Benutzerhandbuch*.
+ Der Standard-Access Point, der mit einer zugrunde liegenden Datenquelle wie einem S3-Bucket oder einem Amazon FSx for OpenZFS-Volume verbunden ist. Wenn Sie mit Object Lambda Access Point arbeiten, wird dieser Standardzugriffspunkt als *unterstützender Zugriffspunkt* bezeichnet.
+ Der Object Lambda Access Point.
+ Die AWS Lambda Funktion.
**Wichtig**
Bevor Sie Ihre Richtlinie speichern, stellen Sie sicher, dass Sie Sicherheitswarnungen, Fehler, allgemeine Warnungen und Vorschläge von behoben haben AWS Identity and Access Management Access Analyzer. IAM Access Analyzer führt Richtlinienprüfungen durch, um Ihre Richtlinie anhand der [IAM-Richtliniengrammatik](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_grammar.html) und der [bewährten Methoden](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) zu validieren. Diese Prüfungen generieren Ergebnisse und bieten umsetzbare Empfehlungen, die Sie beim Erstellen von Richtlinien unterstützen, die funktionsfähig sind und den bewährten Methoden für Sicherheit entsprechen.
Weitere Informationen zum Validieren von Richtlinien mit IAM Access Analyzer finden Sie unter [Validierung der IAM-Access-Analyzer-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*. Eine Liste der Warnungen, Fehler und Vorschläge, die von IAM Access Analyzer zurückgegeben werden, finden Sie unter [IAM-Access-Analyzer-Richtlinienprüfungsreferenz](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html).
In den nachstehenden Richtlinienbeispielen wird davon ausgegangen, dass Sie die folgenden Ressourcen haben:
+ Ein Amazon-S3-Bucket mit folgendem Amazon-Ressourcennamen (ARN):
`arn:aws:s3:::amzn-s3-demo-bucket1`
+ Ein Amazon-S3-Standard-Zugriffspunkt für diesen Bucket mit dem folgenden ARN:
`arn:aws:s3:us-east-1:111122223333:accesspoint/my-access-point`
+ Object Lambda Access Point mit dem folgenden ARN:
`arn:aws:s3-object-lambda:us-east-1:111122223333:accesspoint/my-object-lambda-ap`
+ Eine AWS Lambda Funktion mit dem folgenden ARN:
`arn:aws:lambda:us-east-1:111122223333:function:MyObjectLambdaFunction`
**Anmerkung**
Wenn Sie eine Lambda-Funktion aus Ihrem Konto verwenden, müssen Sie die spezifische Funktionsversion in Ihre Richtlinienanweisung einfügen. Im folgenden Beispiel-ARN ist die Version durch *1* angegeben:
`arn:aws:lambda:us-east-1:111122223333:function:MyObjectLambdaFunction:1`
Lambda unterstützt das Hinzufügen von IAM-Richtlinien zur Version `$LATEST` nicht. Weitere Informationen zu Lambda-Funktionsversionen finden Sie unter [Lambda-Funktionsversionen](https://docs.aws.amazon.com/lambda/latest/dg/configuration-versions.html) im *AWS Lambda -Entwicklerhandbuch*.
**Example – Bucket-Richtlinie zum Delegieren der Zugriffskontrolle an Standardzugriffspunkte**
Das folgende Beispiel für eine S3-Bucket-Richtlinie delegiert die Zugriffskontrolle für einen Bucket an die Standardzugriffspunkte des Buckets. Diese Richtlinie ermöglicht Vollzugriff auf alle Zugriffspunkte, die dem Konto des Bucket-Eigentümers gehören. Somit wird der gesamte Zugriff auf diesen Bucket durch die an seine Zugriffspunkte angehängten Richtlinien gesteuert. Benutzer können nur über einen Zugriffspunkt aus dem Bucket lesen, was bedeutet, dass Operationen nur über Zugriffspunkte aufgerufen werden können. Weitere Informationen finden Sie unter [Delegieren der Zugangskontrolle an Zugriffspunkte](access-points-policies.md#access-points-delegating-control).
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect": "Allow",
"Principal" : { "AWS":"account-ARN"},
"Action" : "*",
"Resource" : [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringEquals" : { "s3:DataAccessPointAccount" : "Bucket owner's account ID" }
}
}]
}
```
**Example – IAM-Richtlinie, die einem Benutzer die erforderlichen Berechtigungen zur Verwendung eines Object Lambda Access Point gewährt**
Die folgende IAM-Richtlinie erteilt einem Benutzer Berechtigungen für die Lambda-Funktion, den Standardzugriffspunkt und den Object Lambda Access Point.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowLambdaInvocation",
"Action": [
"lambda:InvokeFunction"
],
"Effect": "Allow",
"Resource": "arn:aws:lambda:us-east-1:111122223333:function:MyObjectLambdaFunction:1",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"s3-object-lambda.amazonaws.com"
]
}
}
},
{
"Sid": "AllowStandardAccessPointAccess",
"Action": [
"s3:Get*",
"s3:List*"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-access-point/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"s3-object-lambda.amazonaws.com"
]
}
}
},
{
"Sid": "AllowObjectLambdaAccess",
"Action": [
"s3-object-lambda:Get*",
"s3-object-lambda:List*"
],
"Effect": "Allow",
"Resource": "arn:aws:s3-object-lambda:us-east-1:111122223333:accesspoint/my-object-lambda-ap"
}
]
}
```
## Aktivieren von Berechtigungen für Lambda-Ausführungsrollen
Wenn `GET`-Anforderungen an einen Object Lambda Access Point ausgeführt werden, benötigt Ihre Lambda-Funktion die Berechtigung, Daten an S3 Object Lambda Access Point zu senden. Diese Berechtigung wird durch Aktivieren der `s3-object-lambda:WriteGetObjectResponse`-Berechtigung für die Ausführungsrolle Ihrer Lambda-Funktion bereitgestellt. Sie können eine neue Ausführungsrolle erstellen oder eine vorhandene Rolle aktualisieren.
**Anmerkung**
Ihre Funktion benötigt die `s3-object-lambda:WriteGetObjectResponse`-Berechtigung nur, wenn Sie eine `GET`-Anforderung stellen.
**So erstellen Sie eine Ausführungsrolle in der IAM-Konsole**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im linken Navigationsbereich **Roles** aus.
1. Wählen Sie **Rolle erstellen** aus.
1. Wählen Sie unter **Häufige Anwendungsfälle** die Option **Lambda** aus.
1. Wählen Sie **Weiter** aus.
1. Suchen Sie auf der Seite „**Berechtigungen hinzufügen**“ nach der AWS verwalteten Richtlinie [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AmazonS3ObjectLambdaExecutionRolePolicy$serviceLevelSummary](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AmazonS3ObjectLambdaExecutionRolePolicy$serviceLevelSummary)und aktivieren Sie dann das Kontrollkästchen neben dem Richtliniennamen.
Diese Richtlinie sollte die Aktion `s3-object-lambda:WriteGetObjectResponse` enthalten.
1. Wählen Sie **Weiter** aus.
1. Geben Sie auf der Seite **Name, review, and create** (Name, prüfen und erstellen) für **Role name** (Rollenname) **s3-object-lambda-role** ein.
1. (Optional) Fügen Sie eine Beschreibung und Tags für diese Rolle hinzu.
1. Wählen Sie **Rolle erstellen** aus.
1. Wenden Sie die neu erstellte **s3-object-lambda-role** als Ausführungsrolle Ihrer Lambda-Funktion. Dies kann während oder nach der Erstellung der Lambda-Funktion in der Lambda-Konsole erfolgen.
Weitere Informationen zu Ausführungsrollen finden Sie unter [Lambda-Ausführungsrolle](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html) im *Entwicklerhandbuch für AWS Lambda *.
## Verwenden von Kontextschlüsseln mit Object Lambda Access Points
S3 Object Lambda wertet Kontextschlüssel wie `s3-object-lambda:TlsVersion` oder `s3-object-lambda:AuthType` im Zusammenhang mit der Verbindung oder dem Signieren der Anfrage aus. Alle anderen Kontextschlüssel, wie z. B. `s3:prefix`, werden von Amazon S3 ausgewertet.