Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Voraussetzungen für S3-Dateien
Bevor Sie mit der Verwendung von S3 Files beginnen, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllt haben.
## AWS Konto und Compute-Setup
+ Sie haben ein AWS Konto.
+ Sie haben eine Rechenressource und einen S3-Bucket für allgemeine Zwecke in AWS der gewünschten Region, in der Sie Ihr Dateisystem erstellen möchten. Weitere Informationen finden Sie unter [Erstellen eines Allzweck-Buckets](create-bucket-overview.md).
+ In Ihrem S3-Bucket ist die Versionierung aktiviert. S3 Files erfordert S3 Versioning, um Änderungen zwischen Ihrem Dateisystem und Ihrem S3-Bucket zu synchronisieren. Weitere Informationen finden Sie unter [Aktivieren des Versioning für Buckets](manage-versioning-examples.md).
+ Ihr S3-Bucket muss einen der folgenden Verschlüsselungstypen verwenden: Serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) oder Serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (SSE-KMS).
## S3-Dateien-Client
Um S3 Files mit Amazon EC2 zu verwenden, müssen Sie den Client installieren`amazon-efs-utils`, eine gemeinsam genutzte Open-Source-Sammlung von Tools für Amazon EFS und Amazon S3 Files. Um mit S3-Dateien arbeiten zu können, benötigen Sie `amazon-efs-utils` Version 3.0.0 oder höher. Der Client enthält ein Mount-Helper-Programm, das das Mounten von S3-Dateisystemen vereinfacht und CloudWatch Amazon-Metriken zur Überwachung des Mount-Status Ihres Dateisystems aktiviert.
### Schritt 1: Installieren Sie den Client
+ Greifen Sie über Secure Shell (SSH) auf das Terminal für Ihre Amazon EC2 EC2-Instance zu und melden Sie sich mit dem entsprechenden Benutzernamen an. Weitere Informationen finden Sie unter [Connect to your EC2 Instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-linux-instance.html) im *Amazon Elastic Compute Cloud-Benutzerhandbuch*.
+ Wenn Sie Amazon Linux verwenden, gehen Sie wie folgt vor, um efs-utils aus den Repositorys von Amazon zu installieren:
```
sudo yum -y install amazon-efs-utils
```
+ Wenn Sie andere unterstützte Linux-Distributionen verwenden, können Sie Folgendes tun:
```
curl https://amazon-efs-utils.aws.com/efs-utils-installer.sh | sudo sh -s -- --install
```
+ Informationen zu anderen Linux-Distributionen finden Sie [unter Über andere Linux-Distributionen](https://github.com/aws/efs-utils/?tab=readme-ov-file#on-other-linux-distributions) in der amazon-efs-utils README-Datei unter. GitHub
### Schritt 2: Installieren Sie Botocore
Der `amazon-efs-utils` Client verwendet Botocore, um mit anderen Diensten zu interagieren. AWS Sie müssen beispielsweise Botocore installieren, um Amazon zur Überwachung Ihres Dateisystems verwenden CloudWatch zu können. Anweisungen zur Installation und Aktualisierung von Botocore finden Sie unter Botocore [installieren in der README-Datei](https://github.com/aws/efs-utils#install-botocore) unter. amazon-efs-utils GitHub
### Den FIPS-Modus für S3-Dateien aktivieren
Wenn Sie die Federal Information Processing Standards (FIPS) einhalten müssen, müssen Sie den FIPS-Modus im Client aktivieren. Um den FIPS-Modus zu aktivieren, muss die `s3files-utils.conf` Datei im Betriebssystem geändert werden.
Gehen Sie wie folgt vor, um den FIPS-Modus im Client für S3-Dateien zu aktivieren:
1. Öffnen Sie mit einem Texteditor Ihrer Wahl die Datei `/etc/amazon/efs/s3files-utils.conf`.
1. Suchen Sie die Zeile mit dem folgenden Text:
```
fips_mode_enabled = false
```
1. Ändern Sie den Text wie folgt:
```
fips_mode_enabled = true
```
1. Speichern Sie Ihre Änderungen.
## IAM-Rollen und -Richtlinien
Um S3 Files verwenden zu können, müssen Sie IAM-Rollen und angehängte Richtlinien für zwei Zwecke konfigurieren:
+ Über das Dateisystem auf Ihren Bucket zugreifen
+ Ihr Dateisystem an AWS Rechenressourcen anhängen
### IAM-Rolle für den Zugriff auf Ihren Bucket vom Dateisystem aus
Wenn Sie ein S3-Dateisystem erstellen, müssen Sie eine IAM-Rolle angeben, von der S3 Files annimmt, dass sie aus Ihrem S3-Bucket liest und in diesen schreibt. Diese Rolle ermöglicht es S3 Files, Änderungen zwischen Ihrem Dateisystem und Ihrem S3-Bucket zu synchronisieren. Die Rolle gewährt auch Berechtigungen zur Verwaltung von EventBridge Amazon-Regeln, die S3 Files verwendet, um Änderungen in Ihrem S3-Bucket zu erkennen und die Synchronisation auszulösen. Sie müssen außerdem sicherstellen, dass die Bucket-Richtlinien Ihres Quell-Buckets den Zugriff auf Ihre Rechenressource nicht verweigern.
**Anmerkung**
Wenn Sie mit der AWS Management Console ein Dateisystem erstellen, erstellt S3 Files automatisch diese IAM-Rolle mit den erforderlichen Berechtigungen.
Für diese IAM-Rolle ist Folgendes erforderlich:
+ Eine Inline-Richtlinie wie folgt:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "S3BucketPermissions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListBucketVersions"
],
"Resource": "arn:aws:s3:::{{bucket}}",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
},
{
"Sid": "S3ObjectPermissions",
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject*",
"s3:GetObject*",
"s3:List*",
"s3:PutObject*"
],
"Resource": "arn:aws:s3:::{{bucket}}/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
},
{
"Sid": "UseKmsKeyWithS3Files",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncryptFrom",
"kms:ReEncryptTo"
],
"Condition": {
"StringLike": {
"kms:ViaService": "s3.{{region}}.amazonaws.com",
"kms:EncryptionContext:aws:s3:arn": [
"arn:aws:s3:::{{bucket}}",
"arn:aws:s3:::{{bucket}}/*"
]
}
},
"Resource": "arn:aws:kms:{{region}}:{{accountId}}:*"
},
{
"Sid": "EventBridgeManage",
"Effect": "Allow",
"Action": [
"events:DeleteRule",
"events:DisableRule",
"events:EnableRule",
"events:PutRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Condition": {
"StringEquals": {
"events:ManagedBy": "elasticfilesystem.amazonaws.com"
}
},
"Resource": [
"arn:aws:events:*:*:rule/DO-NOT-DELETE-S3-Files*"
]
},
{
"Sid": "EventBridgeRead",
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:ListRuleNamesByTarget",
"events:ListRules",
"events:ListTargetsByRule"
],
"Resource": [
"arn:aws:events:*:*:rule/*"
]
}
]
}
```
Ersetzen Sie die Platzhalterwerte durch Ihre eigenen Werte.
[See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/s3-files-prereq-policies.html)
+ Eine Vertrauensrichtlinie, die es S3 Files ermöglicht, die IAM-Rolle zu übernehmen. Fügen Sie der IAM-Rolle die folgende Vertrauensrichtlinie hinzu, damit der S3 Files-Dienst sie übernehmen kann. Ersetzen Sie {{accountId}} und {{region}} durch Ihre Werte.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowS3FilesAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "elasticfilesystem.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{accountId}}"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:s3files:{{region}}:{{accountId}}:file-system/*"
}
}
}
]
}
```
### IAM-Rolle zum Anhängen Ihres Dateisystems an Rechenressourcen AWS
Ihren Rechenressourcen, auf denen Sie ein S3-Dateisystem bereitstellen, muss eine IAM-Rolle (z. B. ein EC2-Instance-Profil) mit Richtlinien zugewiesen sein, die es Ihrer Rechenressource ermöglichen, mit Ihrem S3-Dateisystem und Ihrem S3-Quell-Bucket zu interagieren. Sie müssen außerdem sicherstellen, dass die Bucket-Richtlinien Ihres Quell-Buckets den Zugriff auf Ihre Rechenressource nicht verweigern.
Fügen Sie der IAM-Rolle, die Ihrer Computing-Ressource zugewiesen ist, die folgenden beiden Richtlinien hinzu:
+ **Berechtigungen für die Rechenressource, sich mit S3-Dateisystemen zu verbinden und mit ihnen zu interagieren**
Die IAM-Rolle muss Berechtigungen für den Mount-Helper enthalten, um eine Verbindung zu S3-Dateisystemen herzustellen und mit ihnen zu interagieren. Sie können eine AWS verwaltete Richtlinie anhängen, z. B. eine `AmazonS3FilesClientFullAccess` verwaltete Richtlinie, wenn Sie der Rechenressource vollen Lese- und Schreibzugriff auf Ihr S3-Dateisystem oder nur Lesezugriff gewähren möchten. `AmazonS3FilesClientReadOnlyAccess` Sie können die `AmazonElasticFileSystemUtils` verwaltete Richtlinie auch anhängen, wenn Sie die CloudWatch Amazon-Überwachung aktivieren möchten. Weitere Informationen und eine vollständige Liste der verfügbaren verwalteten Richtlinien für S3-Dateien finden Sie unter [AWS Verwaltete Richtlinien für Amazon S3 S3-Dateien](s3-files-security-iam-awsmanpol.md). Sie können diese Berechtigungen auch bereitstellen, indem Sie der IAM-Rolle Ihrer Rechenressource individuelle IAM-Berechtigungen wie `s3files:ClientMount` oder `s3files:ClientWrite` (nicht erforderlich für schreibgeschützte Verbindungen) hinzufügen.
+ **Eine Inline-Richtlinie, die der Rechenressource Lesezugriff auf S3-Objekte gewährt**
Fügen Sie der IAM-Rolle die folgende Inline-Richtlinie hinzu. Diese Richtlinie gewährt der Rechenressource Berechtigungen zum direkten Lesen von Objekten aus dem verknüpften S3-Bucket in demselben Konto, um die Leseleistung zu optimieren. {{bucket}}Ersetzen Sie es durch Ihren S3-Bucket-Namen oder den Bucket-Namen mit Präfix.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "S3ObjectReadAccess",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": "arn:aws:s3:::{{bucket}}/*"
},
{
"Sid": "S3BucketListAccess",
"Effect": "Allow",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::{{bucket}}"
}
]
}
```
## Sicherheitsgruppen
Sobald Ihr Dateisystem und Ihre Mount-Ziele erstellt sind, müssen Sie die richtigen Sicherheitsgruppen konfigurieren, um Ihr Dateisystem verwenden zu können. Sicherheitsgruppen sowohl auf der Computing-Ressource als auch auf dem Mount-Ziel müssen den erforderlichen Datenverkehr zulassen, wie in der folgenden Tabelle dargestellt:
| Sicherheitsgruppe | Art der Regel | Protocol (Protokoll) | Port | Quelle/Ziel |
| --- | --- | --- | --- | --- |
| EC2-Instance | Ausgehend | TCP | 2049 | Zielsicherheitsgruppe einhängen |
| Mount-Ziel | Eingehend | TCP | 2049 | EC2-Instance-Sicherheitsgruppe |