Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Bewährte Methoden für die Sicherheit für Verzeichnis-Buckets
<a name="s3-express-security-best-practices"></a>

Bei der Arbeit mit Verzeichnis-Buckets sind eine Reihe von Sicherheitsfunktionen zu berücksichtigen. Die folgenden bewährten Methoden stellen allgemeine Richtlinien und keine vollständige Sicherheitslösung dar. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Empfehlungen und nicht als bindend ansehen.

## Standardeinstellungen für „Öffentlichen Zugriff blockieren“ und „Objekteigentümerschaft“
<a name="s3-express-security-best-practices-manage-access"></a>

 Verzeichnis-Buckets unterstützen S3 Block Public Access und S3 Object Ownership. Diese S3-Features werden für die Überwachung und Verwaltung des Zugriffs auf Ihre Buckets und Objekte verwendet. 

Alle Einstellungen zum Blockieren jeglichen öffentlichen Zugriffs sind für Verzeichnis-Buckets standardmäßig aktiviert. Außerdem ist für Object Ownership die Option Bucket Owner erforced festgelegt, was bedeutet, dass die Zugriffskontrolllisten (ACLs) deaktiviert sind. Diese Einstellungen können nicht geändert werden. Weitere Informationen zu diesen Features finden Sie unter [Blockieren des öffentlichen Zugriffs auf Ihren Amazon-S3-Speicher](access-control-block-public-access.md) und [Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket](about-object-ownership.md).

**Anmerkung**  
Sie können keinen Zugriff auf Objekte gewähren, die in Verzeichnis-Buckets gespeichert sind. Sie können nur Zugriff auf Ihre Verzeichnis-Buckets gewähren. Das Autorisierungsmodell für S3 Express One Zone unterscheidet sich vom Autorisierungsmodell für Amazon S3. Weitere Informationen finden Sie unter [Autorisieren zonaler Endpunkt-API-Operationen mit `CreateSession`](s3-express-create-session.md).

## Authentifizierung und Autorisierung
<a name="s3-express-security-best-practices-create-session"></a>

Die Authentifizierungs- und Autorisierungsmechanismen für Verzeichnis-Buckets unterscheiden sich, je nachdem, ob Sie Anfragen für API-Operationen an zonalen Endpunkten oder API-Operationen an regionalen Endpunkten stellen. Zonale API-Operationen sind Operationen auf Objektebene (Datenebene). Regionale API-Operationen sind Operationen auf Bucket-Ebene (Steuerebene). 

Mit S3 Express One Zone authentifizieren und autorisieren Sie Anforderungen an API-Operationen an zonalen Endpunkten mithilfe eines neuen sitzungsbasierten Mechanismus ``, der für die geringste Latenz optimiert ist. Bei der sitzungsbasierten Authentifizierung AWS SDKs verwenden sie den `CreateSession` API-Vorgang, um temporäre Anmeldeinformationen `` anzufordern, die den Zugriff auf Ihren Verzeichnis-Bucket mit geringer Latenz ermöglichen. Diese temporären Anmeldeinformationen sind auf einen bestimmten Verzeichnis-Bucket beschränkt und laufen nach 5 Minuten ab. Sie können diese temporären Anmeldeinformationen verwenden, um zonale API-Aufrufe (Objektebene) zu signieren. Weitere Informationen finden Sie unter [Autorisieren zonaler Endpunkt-API-Operationen mit `CreateSession`](s3-express-create-session.md).

**Signieren von Anfragen mit Anmeldeinformationen für die Verwaltung von Verzeichnis-Buckets**  
Sie verwenden Ihre Anmeldeinformationen, um API-Anfragen für zonale Endpunkte (Objektebene) mit AWS Signature Version 4 `s3express` als Dienstnamen zu signieren. Wenn Sie Ihre Anforderungen signieren, verwenden Sie den geheimen Schlüssel, der von `CreateSession`zurückgegeben wurde, und stellen auch das Sitzungstoken mit dem `x-amzn-s3session-token header` bereit. Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html).

Die [unterstützten AWS SDKs](s3-express-SDKs.md#s3-express-getting-started-accessing-sdks) verwalten Anmeldeinformationen und signieren in Ihrem Namen. Wir empfehlen, die AWS SDKs zu verwenden, um Anmeldeinformationen zu aktualisieren und Anfragen für Sie zu signieren.

**Signieren von Anforderungen mit IAM-Anmeldeinformationen**  
Alle regionalen API-Aufrufe (Bucket-Ebene) müssen authentifiziert und mit AWS Identity and Access Management (IAM)- Anmeldeinformationen statt mit temporären Sitzungsanmeldedaten signiert werden. IAM-Anmeldeinformationen bestehen aus der Zugriffsschlüssel-ID und dem geheimen Zugriffsschlüssel für die IAM-Identitäten. Alle `CopyObject`- und `HeadBucket`-Anforderungen müssen außerdem mithilfe von IAM-Anmeldeinformationen authentifiziert und signiert werden.

Um die geringste Latenz für Ihre zonalen Operationsaufrufe (auf Objektebene) zu erreichen, empfehlen wir, zum Signieren Ihrer Anfragen die Anmeldeinformationen zu verwenden, die Sie beim Aufruf von `CreateSession` erhalten haben, mit Ausnahme von Anforderungen an `CopyObject` und `HeadBucket`.

## Verwenden AWS CloudTrail
<a name="s3-express-security-best-practices-cloudtrail"></a>

AWS CloudTrail bietet eine Aufzeichnung der Aktionen, die von einem Benutzer, einer Rolle oder einem AWS-Service in Amazon S3 ausgeführt wurden. Sie können die von gesammelten Informationen verwenden CloudTrail , um Folgendes zu ermitteln:
+ Die Anforderung, die an Amazon S3 gestellt wurde
+ Die IP-Adresse, von der die Anforderung erfolgt ist
+ Wer die Anforderung gestellt hat
+ Wann die Anforderung gestellt wurde
+ Zusätzliche Details zur Anforderung

Wenn Sie Ihre einrichten AWS-Konto, sind CloudTrail Verwaltungsereignisse standardmäßig aktiviert. Die folgenden regionalen Endpunkt-API-Operationen (API-Operationen auf Bucket-Ebene oder Kontrollebene) werden protokolliert. CloudTrail 
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucket.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucket.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListDirectoryBuckets.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListDirectoryBuckets.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketEncryption.html)

**Anmerkung**  
`ListMultipartUploads` ist eine zonale Endpunkt-API-Operation Es wird jedoch CloudTrail als Verwaltungsereignis protokolliert. Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html) in der *API-Referenz zu Amazon Simple Storage Service*. 

Standardmäßig protokollieren CloudTrail Trails keine Datenereignisse, aber Sie können Trails so konfigurieren, dass Datenereignisse für von Ihnen angegebene Verzeichnis-Buckets oder Datenereignisse für alle Verzeichnis-Buckets in Ihrem AWS Konto protokolliert werden. Die folgenden API-Operationen für zonale Endpunkte (API-Operationen auf Objektebene oder Datenebene) werden protokolliert. CloudTrail
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_AbortMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_AbortMultipartUpload.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjects.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjects.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAttributes.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAttributes.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListParts.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListParts.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)

 Weitere Informationen zur Verwendung AWS CloudTrail mit Verzeichnis-Buckets finden Sie unter [Logging with AWS CloudTrail ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-one-zone-cloudtrail-logging.html) für Directory-Buckets.

### Implementieren Sie die Überwachung mithilfe AWS von Überwachungstools
<a name="s3-express-security-best-practices-monitoring"></a>

Die Überwachung ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Sicherheit, Verfügbarkeit und Leistung von Amazon S3 und Ihren AWS Lösungen. AWS bietet verschiedene Tools und Dienste, mit denen Sie Amazon S3 und Ihre anderen überwachen können AWS-Services. Sie können beispielsweise CloudWatch Amazon-Metriken für Amazon S3 überwachen, insbesondere die `BucketSizeBytes` und `NumberOfObjects` Speichermetriken.

Objekte, die in Verzeichnis-Buckets gespeichert sind, werden in den Speichermetriken `BucketSizeBytes` und `NumberOfObjects` für Amazon S3 nicht berücksichtigt. Die Speichermetriken `BucketSizeBytes` und `NumberOfObjects` werden jedoch für Verzeichnis-Buckets unterstützt. Um die von Ihnen gewünschten Metriken anzuzeigen, können Sie zwischen den Amazon-S3-Speicherklassen unterscheiden, indem Sie eine `StorageType`-Dimension angeben. Weitere Informationen finden Sie unter [Metriken mit Amazon überwachen CloudWatch](cloudwatch-monitoring.md).

Weitere Informationen erhalten Sie unter [Metriken mit Amazon überwachen CloudWatch](cloudwatch-monitoring.md) und [Protokollierung und Überwachung in Amazon S3](monitoring-overview.md).