Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Identitäts- und Zugriffsverwaltung für Amazon S3
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf AWS Ressourcen sicher zu kontrollieren. IAM-Administratoren steuern, wer *authentifiziert* (angemeldet) und *autorisiert* (im Besitz von Berechtigungen) ist, Amazon-S3-Ressourcen zu nutzen. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
Weitere Informationen zu den Berechtigungen für S3-API-Operationen nach S3-Ressourcentypen finden Sie unter [Erforderliche Berechtigungen für Amazon-S3-API-Operationen](using-with-s3-policy-actions.md).
**Anmerkung**
Weitere Informationen zur Verwendung der Speicherklasse Amazon S3 Express One Zone mit Verzeichnis-Buckets finden Sie unter [S3 Express One Zone](directory-bucket-high-performance.md#s3-express-one-zone) und [Arbeiten mit Verzeichnis-Buckets](directory-buckets-overview.md).
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [Funktionsweise von Amazon S3 mit IAM](security_iam_service-with-iam.md)
+ [Wie Amazon S3 eine Anforderung autorisiert](how-s3-evaluates-access-control.md)
+ [Erforderliche Berechtigungen für Amazon-S3-API-Operationen](using-with-s3-policy-actions.md)
+ [Richtlinien und Berechtigungen in Amazon S3](access-policy-language-overview.md)
+ [Bucket-Richtlinien für Amazon S3](bucket-policies.md)
+ [Identitätsbasierte Richtlinien für Amazon S3](security_iam_id-based-policy-examples.md)
+ [Anleitungen, die Richtlinien verwenden, um den Zugriff auf Ihre Amazon-S3-Ressourcen zu verwalten](example-walkthroughs-managing-access.md)
+ [Verwenden von serviceverknüpften Rollen für Amazon S3 Storage Lens](using-service-linked-roles.md)
+ [Fehlerbehebung für Amazon-S3-Identität und -Zugriff](security_iam_troubleshoot.md)
+ [AWS verwaltete Richtlinien für Amazon S3](security-iam-awsmanpol.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Fehlerbehebung für Amazon-S3-Identität und -Zugriff](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [Funktionsweise von Amazon S3 mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Identitätsbasierte Richtlinien für Amazon S3](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### Verbundidentität
Es hat sich bewährt, dass menschliche Benutzer für den Zugriff AWS-Services mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden müssen.
Eine *föderierte Identität* ist ein Benutzer aus Ihrem Unternehmensverzeichnis, Ihrem Directory Service Web-Identitätsanbieter oder der AWS-Services mithilfe von Anmeldeinformationen aus einer Identitätsquelle zugreift. Verbundene Identitäten übernehmen Rollen, die temporäre Anmeldeinformationen bereitstellen.
Für die zentrale Zugriffsverwaltung empfehlen wir AWS IAM Identity Center. Weitere Informationen finden Sie unter [Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) können.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# Funktionsweise von Amazon S3 mit IAM
Bevor Sie mit IAM den Zugriff auf Amazon S3 verwalten können, sollten Sie sich darüber informieren, welche IAM-Features Sie mit AmazonS3 verwenden können.
**IAM-Features, die Sie mit Amazon S3 verwenden können**
| IAM-Feature | Amazon-S3-Support |
| --- | --- |
| [Identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies) | Ja |
| [Ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies) | Ja |
| [Richtlinienaktionen](#security_iam_service-with-iam-id-based-policies-actions) | Ja |
| [Richtlinienressourcen](#security_iam_service-with-iam-id-based-policies-resources) | Ja |
| [Richtlinienbedingungsschlüssel (servicespezifisch)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ja |
| [ACLs](#security_iam_service-with-iam-acls) | Ja |
| [ABAC (Tags in Richtlinien)](#security_iam_service-with-iam-tags) | Teilweise |
| [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-roles-tempcreds) | Ja |
| [Forward Access Sessions (FAS)](#security_iam_service-with-iam-principal-permissions) | Ja |
| [Servicerollen](#security_iam_service-with-iam-roles-service) | Ja |
| [Service-verknüpfte Rollen](#security_iam_service-with-iam-roles-service-linked) | Teilweise |
Einen allgemeinen Überblick darüber, wie Amazon S3 und andere AWS Services mit den meisten IAM-Funktionen funktionieren, finden Sie im [IAM-Benutzerhandbuch unter AWS Dienste, die mit *IAM* funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
Weitere Informationen zu den Berechtigungen für S3-API-Operationen nach S3-Ressourcentypen finden Sie unter [Erforderliche Berechtigungen für Amazon-S3-API-Operationen](using-with-s3-policy-actions.md).
## Identitätsbasierte Richtlinien für Amazon S3
**Unterstützt Richtlinien auf Identitätsbasis:** Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Beispiele für identitätsbasierte Richtlinien für Amazon S3
Beispiele für identitätsbasierte Amazon-S3-Richtlinien finden Sie unter [Identitätsbasierte Richtlinien für Amazon S3](security_iam_id-based-policy-examples.md).
## Ressourcenbasierte Richtlinien in Amazon S3
**Unterstützt ressourcenbasierte Richtlinien:** Ja
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-*Rollen-Vertrauensrichtlinien* und Amazon-S3-*Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services
Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
Der Amazon-S3-Service unterstützt *Bucket-Richtlinien*, *Zugangspunktrichtlinien* und *Zugriffsgewährungen*:
+ Bucket-Richtlinien sind ressourcenbasierte Richtlinien, die einem Amazon-S3-Bucket angefügt sind. Eine Bucket-Richtlinie definiert, welche Prinzipale Aktionen auf dem Bucket ausführen dürfen.
+ Zugangspunktrichtlinien sind ressourcenbasierte Richtlinien, die in Verbindung mit der zugrunde liegenden Bucket-Richtlinie bewertet werden.
+ Zugriffsgewährungen sind ein vereinfachtes Modell für die Definition von Zugriffsberechtigungen für Daten in Amazon S3 nach Präfix, Bucket oder Objekt. Informationen zu S3 Access Grants finden Sie unter [Verwalten des Zugriffs mit S3-Zugriffsberechtigungen](access-grants.md).
### Prinzipale für Bucket-Richtlinien
Das `Principal`-Element gibt an, welchem Benutzer, Konto, Dienst oder welcher anderen Entität der Zugriff auf eine Ressource gewährt oder verweigert wird. Die folgenden sind Beispiele legen den `Principal` fest. Weitere Informationen finden Sie unter [Prinzipal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) im *IAM-Benutzerhandbuch*.
#### Erteilen Sie Berechtigungen für einen AWS-Konto
Um einem Berechtigungen zu erteilen AWS-Konto, identifizieren Sie das Konto anhand des folgenden Formats.
```
"AWS":"account-ARN"
```
Im Folgenden sind einige Beispiele aufgeführt.
```
"Principal":{"AWS":"arn:aws:iam::AccountIDWithoutHyphens:root"}
```
```
"Principal":{"AWS":["arn:aws:iam::AccountID1WithoutHyphens:root","arn:aws:iam::AccountID2WithoutHyphens:root"]}
```
**Anmerkung**
In den obigen Beispielen werden dem Root-Benutzer Berechtigungen erteilt, der diese auf die Kontoebene delegiert. IAM-Richtlinien sind jedoch weiterhin für die spezifischen Rollen und Benutzer des Kontos erforderlich.
#### Erteilen von Berechtigungen für einen IAM-Benutzer
Um einem IAM-Benutzer in Ihrem Konto eine Berechtigung zu erteilen, müssen Sie ein `"AWS":"user-ARN"`-Name-Wert-Paar bereitstellen.
```
"Principal":{"AWS":"arn:aws:iam::account-number-without-hyphens:user/username"}
```
Ausführliche Beispiele mit step-by-step Anweisungen finden Sie unter [Beispiel 1: Bucket-Eigentümer erteilt seinen Benutzern Bucket-Berechtigungen](example-walkthroughs-managing-access-example1.md) und[Beispiel 3: Bucket-Eigentümer, der Berechtigungen für Objekte erteilt, die ihm nicht gehören](example-walkthroughs-managing-access-example3.md).
**Anmerkung**
Wenn eine IAM-Identität gelöscht wird, nachdem Sie Ihre Bucket-Richtlinie aktualisiert haben, zeigt die Bucket-Richtlinie anstelle eines ARN eine eindeutige Kennung im Hauptelement an. Diese eindeutigen Daten IDs werden niemals wiederverwendet, sodass Sie Principals mit eindeutigen Kennungen problemlos aus all Ihren Richtlinienerklärungen entfernen können. Weitere Informationen zu eindeutigen Kennungen finden Sie unter [IAM-Kennungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-unique-ids) im *IAM-Benutzerhandbuch*.
#### Erteilen anonymer Berechtigungen
**Warnung**
Seien Sie vorsichtig, wenn Sie anonymen Zugriff auf Ihren Amazon-S3-Bucket erteilen. Wenn Sie anonymen Zugriff gewähren, kann jeder auf der ganzen Welt auf Ihren Bucket zugreifen. Wir empfehlen dringend, nie einen anonymen Schreibzugriff auf Ihren S3-Bucket zu gewähren.
Um jedem Benutzer Berechtigung zu erteilen, auch als anonymer Zugriff bezeichnet, legen Sie den Platzhalter (`"*"`) auf den Wert `Principal` fest. Wenn Sie beispielsweise ihren Bucket als Website konfigurieren, müssen Sie alle Objekte im Bucket öffentlich zugänglich machen.
```
"Principal":"*"
```
```
"Principal":{"AWS":"*"}
```
Durch die Verwendung `"Principal": "*"` mit `Allow` Wirkung in einer ressourcenbasierten Richtlinie kann jeder, auch wenn er nicht angemeldet ist AWS, auf Ihre Ressource zugreifen.
Das Verwenden von `"Principal" : { "AWS" : "*" }` mit einem `Allow`-Effekt in einer ressourcenbasierten Richtlinie ermöglicht jeden Stammbenutzer, IAM-Benutzer, angenommener Rollensitzung oder Verbundbenutzer in einem beliebigen Konto in der selben Partition, auf Ihre Ressource zuzugreifen.
Für anonyme Benutzer sind diese beiden Methoden gleichwertig. Weitere Informationen finden Sie unter [Alle Prinzipale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-anonymous) im *IAM-Benutzerhandbuch*.
Sie können keinen Platzhalter verwenden, um einen Teil eines Namens oder eines ARNs zu ersetzen.
**Wichtig**
In AWS Zugriffskontrollrichtlinien verhalten sich die Principals „\$1“ und \$1“AWS„: „\$1"\$1 identisch.
#### Ressourcenberechtigungen beschränken
Sie können die Ressourcenrichtlinie auch verwenden, um den Zugriff auf Ressourcen einzuschränken, die sonst für IAM-Prinzipale verfügbar wären. Verwenden Sie eine `Deny`-Anweisung, um den Zugriff zu verhindern.
Das folgende Beispiel blockiert den Zugriff, wenn kein sicheres Transportprotokoll verwendet wird:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyBucketAccessIfSTPNotUsed",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
------
Es hat sich für diese Richtlinie bewährt, `"Principal": "*"` so zu verwenden, dass diese Einschränkung für alle gilt, anstatt zu versuchen, mit dieser Methode nur bestimmten Konten oder Prinzipalen den Zugriff zu verweigern.
#### Erfordert Zugriff über CloudFront URLs
Sie können verlangen, dass Ihre Benutzer nur auf Ihre Amazon S3-Inhalte zugreifen, indem sie Amazon S3 CloudFront URLs anstelle von Amazon S3 verwenden URLs. Erstellen Sie dazu eine CloudFront Origin Access Control (OAC). Ändern Sie anschließend die Berechtigungen für Ihre S3-Daten. In Ihrer Bucket-Richtlinie können Sie Folgendes CloudFront als Principal festlegen:
```
"Principal":{"Service":"cloudfront.amazonaws.com"}
```
Verwenden Sie ein `Condition` Element in der Richtlinie, um nur dann Zugriff auf den Bucket CloudFront zu gewähren, wenn die Anfrage im Namen der CloudFront Distribution erfolgt, die den S3-Ursprung enthält.
```
"Condition": {
"StringEquals": {
"AWS:SourceArn": "arn:aws:cloudfront::111122223333:distribution/CloudFront-distribution-ID"
}
}
```
Weitere Informationen zur Anforderung von S3-Zugriff über CloudFront URLs finden Sie unter [Beschränken des Zugriffs auf einen Amazon Simple Storage Service-Ursprung](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) im *Amazon CloudFront Developer Guide*. Weitere Informationen zu den Sicherheits- und Datenschutzvorteilen der Nutzung von Amazon CloudFront finden Sie unter [Konfiguration des sicheren Zugriffs und Beschränkung des Zugriffs auf Inhalte](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecurityAndPrivateContent.html).
### Beispiele für ressourcenbasierte Richtlinien in Amazon S3
+ Beispiele für Amazon S3-Bucket-Richtlinien finden Sie unter [Bucket-Richtlinien für Amazon S3](bucket-policies.md).
+ Richtlinienbeispiele für Zugangspunkte finden Sie unter [Konfigurieren von IAM-Richtlinien für die Verwendung von Zugriffspunkten](access-points-policies.md).
## Richtlinienaktionen für Amazon S3
**Unterstützt Richtlinienaktionen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Nachstehend sehen Sie verschiedene Arten von Zuordnungsbeziehungen zwischen S3-API-Operationen und den erforderlichen Richtlinienaktionen.
+ One-to-one Zuordnung mit demselben Namen. Um beispielsweise die `PutBucketPolicy`-API-Operation zu verwenden, ist die `s3:PutBucketPolicy`-Richtlinienaktion erforderlich.
+ One-to-one Zuordnung mit unterschiedlichen Namen. Um beispielsweise die `ListObjectsV2`-API-Operation zu verwenden, ist die `s3:ListBucket`-Richtlinienaktion erforderlich.
+ One-to-many Kartierung. Um beispielsweise die `HeadObject`-API-Operation verwenden zu können, ist `s3:GetObject` erforderlich. Wenn Sie S3 Object Lock verwenden und den Status der rechtlichen Aufbewahrung oder die Aufbewahrungseinstellungen eines Objekts abrufen möchten, sind außerdem die entsprechenden `s3:GetObjectLegalHold`- oder `s3:GetObjectRetention`-Richtlinienaktionen erforderlich, bevor Sie die `HeadObject`-API-Operation verwenden können.
+ Many-to-one Kartierung. Um beispielsweise die `ListObjectsV2`- oder `HeadBucket`-API-Operationen zu verwenden, ist die `s3:ListBucket`-Richtlinienaktion erforderlich.
Eine Liste der Amazon-S3-Aktionen, die in Richtlinien verwendet werden können, finden Sie unter [Von Amazon S3 definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-actions-as-permissions) in der *Service-Authorization-Referenz*. Eine vollständige Liste von Amazon-S3-API-Operationen finden Sie unter [Amazon-S3-API-Aktionen](https://docs.aws.amazon.com//AmazonS3/latest/API/API_Operations.html) in der *API-Referenz zum Amazon Simple Storage Service*.
Weitere Informationen zu den Berechtigungen für S3-API-Operationen nach S3-Ressourcentypen finden Sie unter [Erforderliche Berechtigungen für Amazon-S3-API-Operationen](using-with-s3-policy-actions.md).
Richtlinienaktionen in Amazon S3 verwenden das folgende Präfix vor der Aktion:
```
s3
```
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:
```
"Action": [
"s3:action1",
"s3:action2"
]
```
### Bucket-Operationen
Bucket-Operationen sind S3-API-Operationen, die auf dem Bucket-Ressourcentyp ausgeführt werden. Beispiel: `CreateBucket`, `ListObjectsV2` und `PutBucketPolicy`. Für S3-Richtlinienaktionen für Bucket-Operationen muss das `Resource`-Element in Bucket-Richtlinien oder identitätsbasierten IAM-Richtlinien die Amazon Resource Name (ARN)-Kennung vom S3-Bucket-Typ im folgenden Beispielformat sein.
```
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
```
Die folgende Bucket-Richtlinie gewährt dem Benutzer `Akua` mit dem Konto `12345678901` die `s3:ListBucket`-Berechtigung, die [https://docs.aws.amazon.com//AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_PutObject.html)-API-Operation durchzuführen und Objekte in einem S3-Bucket aufzulisten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow Akua to list objects in the bucket",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/Akua"
},
"Action": [
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
}
]
}
```
------
**Bucket-Operationen in Richtlinien für Zugangspunkts für Allzweck-Buckets**
Die in einer Zugangspunktrichtlinie für Allzweck-Buckets erteilten Berechtigungen sind nur dann wirksam, wenn der zugrunde liegende Bucket dieselben Berechtigungen zulässt. Wenn Sie S3 Access Points verwenden, müssen Sie die Zugriffssteuerung vom Bucket an den Zugangspunkt delegieren oder die gleichen Berechtigungen in den Zugangspunktrichtlinien zur Richtlinie des zugrunde liegenden Buckets hinzufügen. Weitere Informationen finden Sie unter [Konfigurieren von IAM-Richtlinien für die Verwendung von Zugriffspunkten](access-points-policies.md). In Zugangspunktrichtlinien erfordern S3-Richtlinienaktionen für Bucket-Operationen, dass Sie den Zugangspunkt-ARN für das `Resource`-Element im folgenden Format verwenden.
```
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point"
```
Die folgende Zugangspunktrichtlinie gewährt dem Benutzer `Akua` mit dem Konto `12345678901` die `s3:ListBucket`-Berechtigung, die [https://docs.aws.amazon.com//AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_ListObjectsV2.html)-API-Operation über den S3-Zugangspunkt namens `example-access-point` durchzuführen. Diese Berechtigung ermöglicht es `Akua`, die Objekte in dem Bucket aufzulisten, der mit `example-access-point` verknüpft ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAkuaToListObjectsInBucketThroughAccessPoint",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/Akua"
},
"Action": [
"s3:ListBucket"
],
"Resource": "arn:aws:s3:us-west-2:111122223333:accesspoint/example-access-point"
}
]
}
```
------
**Anmerkung**
Nicht alle Bucket-Vorgänge werden von Zugangspunkten für Allzweck-Buckets unterstützt. Weitere Informationen finden Sie unter [Zugangspunkt-Kompatibilität mit S3-Vorgänge](access-points-service-api-support.md#access-points-operations-support).
**Bucket-Operationen in Richtlinien für Zugangspunkte für Verzeichnis-Buckets**
Berechtigungen, die in einer Richtlinie für Zugangspunkte für Verzeichnis-Buckets gewährt werden, sind nur dann wirksam, wenn der zugrunde liegende Bucket die gleichen Berechtigungen zulässt. Wenn Sie S3 Access Points verwenden, müssen Sie die Zugriffssteuerung vom Bucket an den Zugangspunkt delegieren oder die gleichen Berechtigungen in den Zugangspunktrichtlinien zur Richtlinie des zugrunde liegenden Buckets hinzufügen. Weitere Informationen finden Sie unter [Konfigurieren von IAM-Richtlinien für die Verwendung von Zugangspunkten für Verzeichnis-Buckets](access-points-directory-buckets-policies.md). In Zugangspunktrichtlinien erfordern S3-Richtlinienaktionen für Bucket-Operationen, dass Sie den Zugangspunkt-ARN für das `Resource`-Element im folgenden Format verwenden.
```
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point--usw2-az1--xa-s3"
```
Die folgende Zugangspunktrichtlinie gewährt dem Benutzer `Akua` mit dem Konto `12345678901` die `s3:ListBucket`-Berechtigung, die [https://docs.aws.amazon.com//AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_ListObjectsV2.html)-API-Operation über den Zugangspunkt namens `example-access-point--usw2-az1--xa-s3` durchzuführen. Diese Berechtigung ermöglicht es `Akua`, die Objekte in dem Bucket aufzulisten, der mit `example-access-point--usw2-az1--xa-s3` verknüpft ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAkuaToListObjectsInTheBucketThroughAccessPoint",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/Akua"
},
"Action": [
"s3:ListBucket"
],
"Resource": "arn:aws:s3express:us-east-1:111122223333:accesspoint/example-access-point-usw2-az1-xa-s3"
}
]
}
```
------
**Anmerkung**
Nicht alle Bucket-Vorgänge werden von den Zugangspunkten für Verzeichnis-Bucket unterstützt. Weitere Informationen finden Sie unter [Objektoperationen für Zugangspunkte für Verzeichnis-Buckets](access-points-directory-buckets-service-api-support.md).
### Objektoperationen
Objektoperationen sind S3-API-Operationen, die auf dem Objektressourcentyp ausgeführt werden. Beispiel: `GetObject`, `PutObject` und `DeleteObject`. S3-Richtlinienaktionen für Objektoperationen erfordern, dass das `Resource`-Element in Richtlinien der S3-Objekt-ARN in den folgenden Beispielformaten ist.
```
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
```
```
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/prefix/*"
```
**Anmerkung**
Der Objekt-ARN muss nach dem Bucket-Namen einen Schrägstrich enthalten, wie in den vorherigen Beispielen gezeigt.
Die folgende Bucket-Richtlinie erteilt dem Benutzer `Akua` mit dem Konto `12345678901` die `s3:PutObject`-Berechtigung. Diese Berechtigung ermöglicht es `Akua`, mithilfe der [https://docs.aws.amazon.com//AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_PutObject.html)-API-Operation Objekte in den S3-Bucket namens `amzn-s3-demo-bucket` hochzuladen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow Akua to upload objects",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/Akua"
},
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
**Objektoperationen in Zugangspunktrichtlinien**
Wenn Sie S3 Access Points verwenden, um den Zugriff auf Objektoperationen zu steuern, können Sie Zugangspunktrichtlinien verwenden. Wenn Sie Zugangspunktrichtlinien verwenden, erfordern S3-Richtlinienaktionen für Objektoperationen, dass Sie den Zugangspunkt-ARN für das `Resource`-Element im folgenden Format verwenden: `arn:aws:s3:region:account-id:accesspoint/access-point-name/object/resource`. Für Objektoperationen, die Zugangspunkte verwenden, müssen Sie den `/object/`-Wert nach dem vollständigen Zugangspunkt-ARN im `Resource`-Element einfügen. Hier sind einige Beispiele.
```
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point/object/*"
```
```
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point/object/prefix/*"
```
Die folgende Zugangspunktrichtlinie erteilt dem Benutzer `Akua` mit dem Konto `12345678901` die `s3:GetObject`-Berechtigung. Diese Berechtigung ermöglicht `Akua` die Ausführung der [https://docs.aws.amazon.com//AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_GetObject.html)-API-Operation über den Zugangspunkt mit dem Namen `example-access-point` auf allen Objekten im Bucket, der mit dem Zugangspunkt verknüpft ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow Akua to get objects through access point",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/Akua"
},
"Action": [
"s3:GetObject"
],
"Resource": "arn:aws:s3:us-east-1:111122223333:accesspoint/example-access-point/object/*"
}
]
}
```
------
**Anmerkung**
Nicht alle Objektoperationen werden von Zugangspunkten unterstützt. Weitere Informationen finden Sie unter [Zugangspunkt-Kompatibilität mit S3-Vorgänge](access-points-service-api-support.md#access-points-operations-support).
**Objektoperationen in Richtlinien für Zugangspunkte für Verzeichnis-Buckets**
Wenn Sie Zugangspunkte für Verzeichnis-Buckets verwenden, um den Zugriff auf Objektoperationen zu steuern, können Sie Zugriffsrichtlinien verwenden. Wenn Sie Zugangspunktrichtlinien verwenden, erfordern S3-Richtlinienaktionen für Objektoperationen, dass Sie den Zugangspunkt-ARN für das `Resource`-Element im folgenden Format verwenden: `arn:aws:s3:region:account-id:accesspoint/access-point-name/object/resource`. Für Objektoperationen, die Zugangspunkte verwenden, müssen Sie den `/object/`-Wert nach dem vollständigen Zugangspunkt-ARN im `Resource`-Element einfügen. Hier sind einige Beispiele.
```
"Resource": "arn:aws:s3express:us-west-2:123456789012:accesspoint/example-access-point--usw2-az1--xa-s3/object/*"
```
```
"Resource": "arn:aws:s3express:us-west-2:123456789012:accesspoint/example-access-point--usw2-az1--xa-s3/object/prefix/*"
```
Die folgende Zugangspunktrichtlinie erteilt dem Benutzer `Akua` mit dem Konto `12345678901` die `s3:GetObject`-Berechtigung. Diese Berechtigung ermöglicht `Akua` die Ausführung der [https://docs.aws.amazon.com//AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_GetObject.html)-API-Operation über den Zugangspunkt mit dem Namen `example-access-point--usw2-az1--xa-s3` auf allen Objekten im Bucket, der mit dem Zugangspunkt verknüpft ist.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Allow Akua to get objects through access point",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::12345678901:user/Akua"
},
"Action": "s3express:CreateSession","s3:GetObject"
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point--usw2-az1--xa-s3/object/*"
}
]
}
```
**Anmerkung**
Nicht alle Objektoperationen werden von Zugangspunkten für Verzeichnis-Buckets unterstützt. Weitere Informationen finden Sie unter [Objektoperationen für Zugangspunkte für Verzeichnis-Buckets](access-points-directory-buckets-service-api-support.md).
### Zugangspunkt für Allzweck-Bucket-Operationen
Zugangspunktoperationen sind S3-API-Operationen, die auf dem `accesspoint`-Ressourcentyp ausgeführt werden. Beispiel: `CreateAccessPoint`, `DeleteAccessPoint` und `GetAccessPointPolicy`. S3-Richtlinienaktionen für Zugangspunktoperationen können nur in identitätsbasierten IAM-Richtlinien verwendet werden, nicht in Bucket-Richtlinien oder Zugangspunktrichtlinien. Für Zugangspunktoperationen muss das `Resource`-Element der Zugangspunkt-ARN das folgende Beispielformat haben.
```
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point"
```
Die folgende identitätsbasierte IAM-Richtlinie gewährt die `s3:GetAccessPointPolicy`-Berechtigung, die [https://docs.aws.amazon.com//AmazonS3/latest/API/API_control_GetAccessPointPolicy.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_control_GetAccessPointPolicy.html)-API-Operation auf dem S3-Zugriffspunkt namens `example-access-point` auszuführen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "GrantPermissionToRetrieveTheAccessPointPolicyOfAccessPointExampleAccessPoint",
"Effect": "Allow",
"Action": [
"s3:GetAccessPointPolicy"
],
"Resource": "arn:aws:s3:*:123456789012:accesspoint/example-access-point"
}
]
}
```
------
Informationen zur Steuerung des Zugriffs auf Bucket-Operationen mithilfe von Zugangspunkten finden Sie unter [Bucket-Operationen in Richtlinien für Zugangspunkts für Allzweck-Buckets](#bucket-operations-ap). Informationen zur Steuerung des Zugriffs auf Objektoperationen finden Sie unter [Objektoperationen in Zugangspunktrichtlinien](#object-operations-ap). Weitere Informationen über das Konfigurieren von Zugangspunktrichtlinien finden Sie unter [Konfigurieren von IAM-Richtlinien für die Verwendung von Zugriffspunkten](access-points-policies.md).
### Zugangspunkt für Operationen mit Verzeichnis-Buckets
Zugangspunkt für Verzeichnis-Buckets Operationen sind S3-API-Operationen, die mit dem Ressourcentyp `accesspoint` arbeiten. Beispiel: `CreateAccessPoint`, `DeleteAccessPoint` und `GetAccessPointPolicy`. S3-Richtlinienaktionen für Zugangspunktoperationen können nur in identitätsbasierten IAM-Richtlinien verwendet werden, nicht in Bucket-Richtlinien oder Zugangspunktrichtlinien. Zugangspunkte für Operationen mit Verzeichnis-Buckets erfordern das Element `Resource` als Zugangspunkt-ARN im folgenden Beispielformat.
```
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point--usw2-az1--xa-s3"
```
Die folgende identitätsbasierte IAM-Richtlinie gewährt die `s3express:GetAccessPointPolicy`-Berechtigung, die [https://docs.aws.amazon.com//AmazonS3/latest/API/API_control_GetAccessPointPolicy.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_control_GetAccessPointPolicy.html)-API-Operation auf dem Zugangspunkt namens `example-access-point--usw2-az1--xa-s3` auszuführen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "GrantPermissionToRetrieveTheAccessPointPolicyOfAccessPointExampleAccessPointUsw2Az1XaS3",
"Effect": "Allow",
"Action": [
"s3express:CreateSession","s3express:GetAccessPointPolicy"
],
"Resource": "arn:aws:s3:*:111122223333:accesspoint/example-access-point"
}
]
}
```
------
Die folgende identitätsbasierte IAM-Richtlinie gewährt die `s3express:CreateAccessPoint` Berechtigung, Zugangspunkte für Verzeichnis-Buckets zu erstellen.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Grant CreateAccessPoint.",
"Principal": "*",
"Action": "s3express:CreateSession",
"s3express:CreateAccessPoint""Effect": "Allow",
"Resource": "*"
}
]
}
```
Die folgende identitätsbasierte IAM-Richtlinie gewährt die `s3express:PutAccessPointScope` Genehmigung, einen Zugangspunktbereich für Zugangspunkte für Verzeichnis-Buckets zu erstellen.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Grant PutAccessPointScope",
"Principal": "*",
"Action": "s3express:CreateSession",
"s3express:CreateAccessPoint",
"S3Express:PutAccessPointScope""Effect": "Allow",
"Resource": "*",
}
]
}
```
Wenn Sie Zugangspunkte für Verzeichnis-Buckets verwenden, um den Zugriff auf Bucket-Operationen zu steuern, siehe [Bucket-Operationen in Richtlinien für Zugangspunkte für Verzeichnis-Buckets](#bucket-operations-ap-directory-buckets); um den Zugriff auf Objektoperationen zu steuern, siehe [Objektoperationen in Richtlinien für Zugangspunkte für Verzeichnis-Buckets](#object-operations-ap-directory-buckets). Weitere Informationen über die Konfiguration von Zugangspunkten für Verzeichnis-Buckets-Richtlinien finden Sie unter [Konfigurieren von IAM-Richtlinien für die Verwendung von Zugangspunkten für Verzeichnis-Buckets](access-points-directory-buckets-policies.md).
### Object Lambda Access Point – Operationen
Mit S3 Object Lambda können Sie `GET`-, `LIST`- und `HEAD`-Anforderungen von Amazon S3 eigenen Code hinzufügen, um Daten zu ändern und zu verarbeiten, wenn sie an eine Anwendung zurückgegeben werden. Sie können Anfragen über einen Object Lambda Access Point stellen, der auf die gleiche Weise funktioniert wie Anfragen über andere Zugangspunkte. Weitere Informationen finden Sie unter [Transformieren von Objekten mit S3 Object Lambda](transforming-objects.md).
Weitere Informationen zur Konfiguration von Richtlinien für Operationen mit Object Lambda Access Points finden Sie unter [Konfigurieren von IAM-Richtlinien für Object Lambda Access Points](olap-policies.md).
### Multi-Region Access Point – Operationen
Ein Multi-Region Access Point stellt einen globalen Endpunkt bereit, mit dem Anwendungen Anforderungen von S3-Buckets ausführen können, die sich in mehreren AWS-Region-Regionen befinden. Sie können einen Multi-Region Access Point verwenden, um Anwendungen für mehrere Regionen mit der gleichen Architektur zu erstellen, die in einer einzelnen Region verwendet wird, und diese Anwendungen dann überall auf der Welt ausführen. Weitere Informationen finden Sie unter [Verwalten von Multi-Region-Traffic mit Multi-Region Access Points](MultiRegionAccessPoints.md).
Weitere Informationen zur Konfiguration von Richtlinien für Operationen mit Multi-Region Access Points finden Sie unter [Beispielrichtlinien für Multi-Region Access Points](MultiRegionAccessPointPermissions.md#MultiRegionAccessPointPolicyExamples).
### Batch-Auftragsoperationen
(Batch Operations)-Auftragsoperationen sind S3-API-Operationen, die auf dem Auftragsressourcentyp ausgeführt werden. Beispiel: `DescribeJob` und `CreateJob`. S3-Richtlinienaktionen für Auftragsoperationen können nur in identitätsbasierten IAM-Richtlinien verwendet werden, nicht in Bucket-Richtlinien. Für Auftragsoperationen muss das `Resource`-Element in identitätsbasierten IAM-Richtlinien außerdem der `job`-ARN das folgende Beispielformat haben.
```
"Resource": "arn:aws:s3:*:123456789012:job/*"
```
Die folgende identitätsbasierte IAM-Richtlinie gewährt die `s3:DescribeJob` Erlaubnis, den [DescribeJob](https://docs.aws.amazon.com//AmazonS3/latest/API/API_DescribeJob.html)API-Vorgang für den genannten S3 Batch Operations-Job auszuführen. `example-job`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribingBatchOperationJob",
"Effect": "Allow",
"Action": [
"s3:DescribeJob"
],
"Resource": "arn:aws:s3:*:111122223333:job/example-job"
}
]
}
```
------
### S3 Storage Lens – Konfigurationsoperationen
Weitere Informationen zur Konfiguration von S3-Storage-Lens-Konfigurationsoperationen finden Sie unter [Festlegen der Berechtigungen für Amazon S3 Storage Lens](storage_lens_iam_permissions.md).
### Kontooperationen
Kontovorgänge sind S3-API-Operationen, die auf Kontoebene ausgeführt werden. Zum Beispiel `GetPublicAccessBlock` (für ein Konto). Konto ist kein von Amazon S3 definierter Ressourcentyp. S3-Richtlinienaktionen für Kontooperationen können nur in identitätsbasierten IAM-Richtlinien verwendet werden, nicht in Bucket-Richtlinien. Außerdem erfordern Kontooperationen, dass das `Resource`-Element in IAM-identitätsbasierten Richtlinien `"*"` ist
Die folgende identitätsbasierte IAM-Richtlinie gewährt die `s3:GetAccountPublicAccessBlock`-Berechtigung, die [https://docs.aws.amazon.com//AmazonS3/latest/API/API_control_GetPublicAccessBlock.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_control_GetPublicAccessBlock.html)-API-Operation auf Kontoebene durchzuführen und die Einstellungen für das Blockieren des öffentlichen Zugriffs auf Kontoebene abzurufen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AllowRetrievingTheAccountLevelPublicAccessBlockSettings",
"Effect":"Allow",
"Action":[
"s3:GetAccountPublicAccessBlock"
],
"Resource":[
"*"
]
}
]
}
```
------
### Richtlinienbeispiele für Amazon S3
+ Beispiele für identitätsbasierte Amazon-S3-Richtlinien finden Sie unter [Identitätsbasierte Richtlinien für Amazon S3](security_iam_id-based-policy-examples.md).
+ Beispiele für ressourcenbasierte Amazon-S3-Richtlinien finden Sie unter [Bucket-Richtlinien für Amazon S3](bucket-policies.md) und [Konfigurieren von IAM-Richtlinien für die Verwendung von Zugriffspunkten](access-points-policies.md).
## Richtlinienressourcen für Amazon S3
**Unterstützt Richtlinienressourcen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Einige API-Aktionen von Amazon S3 unterstützen mehrere Ressourcen. Beispielsweise greift `s3:GetObject` auf `example-resource-1` und `example-resource-2` zu, sodass ein Prinzipal Berechtigungen für den Zugriff auf beide Ressourcen haben muss. Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie sie ARNs durch Kommas, wie im folgenden Beispiel gezeigt.
```
"Resource": [
"example-resource-1",
"example-resource-2"
```
Ressourcen in Amazon S3 sind Buckets, Objekte, Zugangspunkte oder Aufträge. Verwenden Sie in einer Richtlinie den Amazon-Ressourcennamen (ARN) des Buckets, Objekts, Zugangspunkts oder Auftrags, um die Ressource zu identifizieren.
Eine vollständige Liste der Amazon S3-Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter [Von Amazon S3 definierte Ressourcen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-resources-for-iam-policies) in der *Service Authorization Reference*. Informationen zu den Aktionen, mit denen Sie den ARN einzelner Ressourcen angeben können, finden Sie unter [Von Amazon S3 definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-actions-as-permissions).
Weitere Informationen zu den Berechtigungen für S3-API-Operationen nach S3-Ressourcentypen finden Sie unter [Erforderliche Berechtigungen für Amazon-S3-API-Operationen](using-with-s3-policy-actions.md).
### Platzhalterzeichen in der Ressource ARNs
Sie können Platzhalterzeichen als Teil des Ressourcen-ARN verwenden. Sie können Platzhalterzeichen (`*` und `?`) in einem beliebigen ARN-Segment (durch Doppelpunkte getrennte Teile) verwenden. Ein Sternchen (`*`) steht für kein Zeichen oder eine beliebige Kombination von mehreren Zeichen und ein Fragezeichen (`?`) entspricht einem beliebigen einzelnen Zeichen. Sie können mehrere `*`- oder `?`-Zeichen in jedem Segment verwenden. Ein Platzhalterzeichen kann sich jedoch nicht über mehrere Segmente erstrecken.
+ Der folgende ARN verwendet das Platzhalterzeichen `*` im Teil `relative-ID` des ARN, um alle Objekte im Bucket `amzn-s3-demo-bucket` anzugeben.
```
1. arn:aws:s3:::amzn-s3-demo-bucket/*
```
+ Der folgende ARN verwendet `*`, um alle S3-Buckets und -Objekte anzugeben.
```
arn:aws:s3:::*
```
+ Der folgende ARN verwendet beide Platzhalterzeichen, `*` und `?`, im Teil `relative-ID`. Dieser ARN identifiziert alle Objekte in Buckets wie *`amzn-s3-demo-example1bucket`*, `amzn-s3-demo-example2bucket`, `amzn-s3-demo-example3bucket` usw.
```
1. arn:aws:s3:::amzn-s3-demo-example?bucket/*
```
### Richtlinienvariablen für die Ressource ARNs
Sie können Richtlinienvariablen in Amazon S3 verwenden ARNs. Bei der Richtlinienauswertung werden diese vordefinierten Variablen durch ihre entsprechenden Werte ersetzt. Angenommen, Sie organisieren Ihren Bucket als eine Sammlung von Ordnern mit je einem Ordner für jeden Ihrer Benutzer. Der Ordnername entspricht dabei dem Benutzernamen. Um den Benutzern Berechtigungen für ihre Ordner zu erteilen, können Sie eine Richtlinienvariable im Ressourcen-ARN angeben:
```
arn:aws:s3:::bucket_name/developers/${aws:username}/
```
Zur Laufzeit wird bei der Auswertung der Richtlinie die Variable `${aws:username}` im Ressourcen-ARN durch den Benutzernamen der Person ersetzt, die die Anforderung stellt.
### Richtlinienbeispiele für Amazon S3
+ Beispiele für identitätsbasierte Amazon-S3-Richtlinien finden Sie unter [Identitätsbasierte Richtlinien für Amazon S3](security_iam_id-based-policy-examples.md).
+ Beispiele für ressourcenbasierte Amazon-S3-Richtlinien finden Sie unter [Bucket-Richtlinien für Amazon S3](bucket-policies.md) und [Konfigurieren von IAM-Richtlinien für die Verwendung von Zugriffspunkten](access-points-policies.md).
## Richtlinienbedingungsschlüssel für Amazon S3
**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Jeder Amazon S3-Bedingungsschlüssel entspricht dem gleichen Namen des Anfrage-Headers, der von der API erlaubt ist, auf der die Bedingung festgelegt werden kann. Amazon-S3-spezifische Bedingungsschlüssel bestimmen das Verhalten der Anforderungs-Header mit demselben Namen. Beispielsweise definiert der Bedingungsschlüssel `s3:VersionId`, der verwendet wird, um bedingte Berechtigungen für die `s3:GetObjectVersion`-Berechtigung zu gewähren, das Verhalten des `versionId`-Abfrageparameters, den Sie in einer GET-Object-Anforderung festlegen.
Eine Liste von Amazon-S3-Bedingungsschlüsseln finden Sie unter [Bedingungsschlüssel für Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-policy-keys) in der *Service-Authorization-Referenz*. Informationen dazu, für welche Aktionen und Ressourcen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von Amazon S3 definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-actions-as-permissions).
### Beispiel: Beschränken von Objekt-Uploads auf Objekte mit einer bestimmten Speicherklasse
Angenommen, Konto A, dargestellt durch Konto-ID `123456789012`, besitzt einen Bucket. Der Administrator von Konto A möchte *`Dave`*, einen Benutzer in Konto A, so einschränken, dass *`Dave`* nur dann Objekte in das Bucket hochladen kann, wenn das Objekt in der Speicherklasse `STANDARD_IA` gespeichert ist. Um das Hochladen von Objekten auf eine bestimmte Speicherklasse einzuschränken, kann der Administrator von Konto A den Bedingungsschlüssel `s3:x-amz-storage-class` verwenden wie in der folgenden Bucket-Beispielrichtlinie gezeigt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "statement1",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Dave"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*",
"Condition": {
"StringEquals": {
"s3:x-amz-storage-class": [
"STANDARD_IA"
]
}
}
}
]
}
```
------
Im Beispiel gibt der Block `Condition` die Bedingung `StringEquals` an, die auf das angegebene Schlüssel-Wert-Paar angewendet wird, `"s3:x-amz-acl":["public-read"]`. Es gibt einen Satz vordefinierter Schlüssel, die Sie zum Ausdruck einer Bedingung verwenden können. Das Beispiel verwendet den Bedingungsschlüssel `s3:x-amz-acl`. Diese Bedingung erfordert, dass der Benutzer in jeder `PutObject`-Anforderung den Header `x-amz-acl` mit dem Wert `public-read` angibt.
### Richtlinienbeispiele für Amazon S3
+ Beispiele für identitätsbasierte Amazon-S3-Richtlinien finden Sie unter [Identitätsbasierte Richtlinien für Amazon S3](security_iam_id-based-policy-examples.md).
+ Beispiele für ressourcenbasierte Amazon-S3-Richtlinien finden Sie unter [Bucket-Richtlinien für Amazon S3](bucket-policies.md) und [Konfigurieren von IAM-Richtlinien für die Verwendung von Zugriffspunkten](access-points-policies.md).
## ACLs auf Amazon S3
**Unterstützt ACLs:** Ja
In Amazon S3 kontrollieren Zugriffskontrolllisten (ACLs), welche Berechtigungen für den Zugriff auf eine Ressource AWS-Konten haben. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das Format für JSON-Richtliniendokumente.
**Wichtig**
Für die meisten modernen Anwendungsfälle in Amazon S3 ist die Verwendung von nicht mehr erforderlich ACLs.
Informationen zur Verwendung ACLs zur Zugriffskontrolle in Amazon S3 finden Sie unter[Zugriff verwalten mit ACLs](acls.md).
## ABAC mit Amazon S3
**Unterstützt ABAC (Tags in Richtlinien):** Teilweise
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, die Operationen zulassen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.
Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.
Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.
*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.
Informationen über Ressourcen, die ABAC in Amazon S3 unterstützen, finden Sie unter [Verwendung von Tags für attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging.html#using-tags-for-abac).
Ein Beispiel für eine identitätsbasierte Richtlinie zur Einschränkung des Zugriffs auf S3-Batch-Operations-Aufträge auf der Grundlage von Tags finden Sie unter [Steuern von Berechtigungen für Batch Operations mithilfe von Auftragsmarkierungen](batch-ops-job-tags-examples.md).
### ABAC und Objekt-Tags
In ABAC-Richtlinien verwenden Objekte `s3:`-Tags anstelle von `aws:`-Tags. Um den Zugriff auf Objekte basierend auf Objekt-Tags zu steuern, geben Sie Tag-Informationen im [Condition-Element](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) einer Richtlinie unter Verwendung der folgenden Tags an:
+ `s3:ExistingObjectTag/tag-key`
+ `s3:RequestObjectTagKeys`
+ `s3:RequestObjectTag/tag-key`
Informationen zur Verwendung von Objekt-Tags zur Zugriffssteuerung, einschließlich beispielhafter Berechtigungsrichtlinien, finden Sie unter [Markierungs- und Zugriffskontrollrichtlinien](tagging-and-policies.md).
## Verwenden von temporären Anmeldeinformationen mit Amazon S3
**Unterstützt temporäre Anmeldeinformationen:** Ja
Temporäre Anmeldeinformationen ermöglichen den kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie einen Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
## Forward Access Sessions für Amazon S3
**Unterstützt Forward Access Sessions (FAS):** Ja
Forward Access Sessions (FAS) verwenden die Berechtigungen des Prinzipals, der einen aufruft AWS-Service, in Kombination mit der Anfrage, Anfragen AWS-Service an nachgeschaltete Dienste zu stellen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
+ FAS wird von Amazon S3 verwendet, um Aufrufe zur Entschlüsselung eines Objekts AWS KMS zu tätigen, wenn SSE-KMS zur Verschlüsselung verwendet wurde. Weitere Informationen finden Sie unter [Verwenden der serverseitigen Verschlüsselung mit AWS KMS Schlüsseln (SSE-KMS)](UsingKMSEncryption.md).
+ S3 Access Grants verwendet auch FAS. Nachdem Sie eine Zugriffsberechtigung für Ihre S3-Daten für eine bestimmte Identität erstellt haben, fordert der Empfänger temporäre Anmeldeinformationen von S3 Access Grants an. S3 Access Grants erhält temporäre Anmeldeinformationen für den Anforderer von AWS STS und sendet die Anmeldeinformationen an den Antragsteller. Weitere Informationen finden Sie unter [Anfordern des Zugriffs auf Amazon-S3-Daten über S3 Access Grants](access-grants-credentials.md).
## Servicerollen für Amazon S3
**Unterstützt Servicerollen:** Ja
Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
**Warnung**
Das Ändern der Berechtigungen für eine Servicerolle könnte die Funktionalität von Amazon EFS beeinträchtigen. Bearbeiten Sie Servicerollen nur, wenn Amazon S3 dazu Anleitungen gibt.
## Serviceverknüpfte Rollen für Amazon S3
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine dienstbezogene Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Amazon S3 unterstützt serviceverknüpfte Rollen für Amazon S3 Storage Lens. Details zum Erstellen oder Verwalten von serviceverknüpften Amazon-S3-Rollen finden Sie unter [Verwenden von serviceverknüpften Rollen für Amazon S3 Storage Lens](using-service-linked-roles.md).
**Amazon-S3-Service als Prinzipal**
| Dienstname in der Richtlinie | S3-Feature | Weitere Informationen |
| --- | --- | --- |
| `s3.amazonaws.com` | S3-Replikation | [Einrichten einer Live-Replikation – Überblick](replication-how-setup.md) |
| `s3.amazonaws.com` | S3-Ereignisbenachrichtigungen | [Amazon-S3-Ereignisbenachrichtigungen](EventNotifications.md) |
| `s3.amazonaws.com` | S3-Bestand | [Katalogisieren und Analysieren Ihrer Daten mit S3 Inventory](storage-inventory.md) |
| `access-grants.s3.amazonaws.com` | S3-Zugriffsberechtigungen | [Registrieren eines Speicherorts](access-grants-location-register.md) |
| `batchoperations.s3.amazonaws.com` | S3 Batch Operations | [Gewähren von Berechtigungen für Batchoperationen](batch-ops-iam-role-policies.md) |
| `logging.s3.amazonaws.com` | S3 Server Access Logging | [Aktivieren Sie die Amazon-S3-Server-Zugriffsprotokollierung](enable-server-access-logging.md) |
| `storage-lens.s3.amazonaws.com` | S3 Storage Lens | [Anzeigen von Amazon S3-Storage-Lens-Metriken mit einem Datenexport](storage_lens_view_metrics_export.md) |
# Wie Amazon S3 eine Anforderung autorisiert
Wenn Amazon S3 eine Anforderung erhält – z. B. ein Bucket oder eine Objektoperation –, überprüft es zuerst, ob der Auftraggeber die erforderlichen Berechtigungen besitzt. Amazon S3 wertet alle relevanten Zugriffsrichtlinien, Benutzerrichtlinien und ressourcenbasierten Richtlinien (Bucket-Richtlinie, Bucket-Zugriffssteuerungsliste (ACL) und Objekt-ACL) aus, um entscheiden zu können, ob die Anforderung autorisiert werden soll.
**Anmerkung**
Wenn bei der Amazon-S3-Berechtigungsprüfung keine gültigen Berechtigungen gefunden werden, wird der Fehler „Zugriff verweigert (403 Forbidden)“ zurückgegeben. Informationen finden Sie unter [Beheben Sie „Zugriff verweigert“-Fehler (403 Forbidden) in Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/troubleshoot-403-errors.html).
Um zu ermitteln, ob der Anforderer die Berechtigung hat, den spezifischen Vorgang auszuführen, geht Amazon S3 wie folgt vor, wenn eine Anforderung erhalten wird:
1. Konvertiert alle relevanten Zugriffsrichtlinien (Benutzerrichtlinie, Bucket-Richtlinie und ACLs) zur Laufzeit in eine Reihe von Richtlinien zur Auswertung.
1. Es wertet in den folgenden Schritten die resultierende Richtlinienmenge aus. Amazon S3 wertet in jedem Schritt eine Untermenge der Richtlinien in einem spezifischen Kontext aus, basierend auf der Kontextautorität.
1. **Benutzerkontext** – Im Benutzerkontext ist das übergeordnete Konto, zu dem der Benutzer gehört, die Kontextautorität.
Amazon S3 wertet eine Untermenge der Richtlinien aus, die dem übergeordneten Konto gehören. Diese Untermenge beinhaltet die Benutzerrichtlinie, die das übergeordnete Konto dem Benutzer zuordnet. Wenn dem übergeordneten Konto auch die Ressource in der Anforderung gehört (Bucket oder Objekt), wertet Amazon S3 gleichzeitig auch die entsprechenden Ressourcenrichtlinien aus (Bucket-Richtlinie, Bucket-ACL und Objekt-ACL).
Ein Benutzer benötigt die Berechtigung von dem übergeordneten Konto, um die Operation auszuführen.
Dieser Schritt wird nur angewendet, wenn die Anforderung von einem Benutzer in einem AWS-Konto gestellt wurde. Wenn die Anfrage mit den Root-Benutzeranmeldedaten eines gestellt wird AWS-Konto, überspringt Amazon S3 diesen Schritt.
1. **Bucket-Kontext** — Im Bucket-Kontext wertet Amazon S3 Richtlinien aus, die demjenigen gehören AWS-Konto , dem der Bucket gehört.
Erfolgt die Anforderung für eine Bucket-Operation, muss der Auftraggeber die Berechtigung vom Bucket-Eigentümer besitzen. Erfolgt die Anforderung für ein Objekt, wertet Amazon S3 alle Richtlinien aus, die dem Bucket-Eigentümer gehören, um zu überprüfen, ob der Bucket-Eigentümer für das Objekt eine explizite Zugriffsverweigerung festgelegt hat. Wurde eine explizite Zugriffsverweigerung festgelegt, autorisiert Amazon S3 die Anforderung nicht.
1. **Objektkontext** – Erfolgt die Anforderung für ein Objekt, wertet Amazon S3 die Untermenge der Richtlinien aus, die dem Objekteigentümer gehören.
Nachfolgend finden Sie einige Beispielszenarien, die veranschaulichen, wie Amazon S3 eine Anforderung autorisiert.
**Example – Der Anforderer ist ein IAM-Prinzipal**
Handelt es sich bei dem Anforderer AWS-Konto um einen IAM-Principal, muss Amazon S3 ermitteln, ob das Mutterunternehmen, dem der Principal angehört, dem Principal die erforderliche Genehmigung zur Durchführung des Vorgangs erteilt hat. Erfolgt die Anforderung darüber hinaus für eine Bucket-Operation, wie beispielsweise eine Anforderung, den Bucket-Inhalt aufzulisten, muss Amazon S3 prüfen, ob der Bucket-Eigentümer dem Auftraggeber die Berechtigung erteilt hat, die Operation auszuführen. Um einen bestimmten Vorgang mit einer Ressource durchzuführen, benötigt ein IAM-Principal die Genehmigung sowohl von dem übergeordneten AWS-Konto Unternehmen, dem er angehört, als auch von demjenigen AWS-Konto , dem die Ressource gehört.
**Example – Der Anforderer ist ein IAM-Prinzipal – wenn die Anforderung für einen Vorgang an einem Objekt gilt, das der Bucket-Eigentümer nicht besitzt**
Erfolgt die Anforderung für eine Operation für ein Objekt, das nicht dem Bucket-Eigentümer gehört, muss Amazon S3 sicherstellen, dass der Auftraggeber die Berechtigungen von dem Objekteigentümer hat, und außerdem die Bucket-Richtlinie prüfen, um sicherzustellen, dass der Bucket-Eigentümer keine explizite Zugriffsverweigerung für das Objekt festgelegt hat. Ein Bucket-Eigentümer (der die Rechnung zahlt) kann explizit den Zugriff auf Objekte im Bucket verweigern, unabhängig davon, wem dieser gehört. Der Bucket-Eigentümer kann auch ein beliebiges Objekt im Bucket löschen.
Wenn ein anderer Benutzer ein Objekt in Ihren S3-Allzweck-Bucket AWS-Konto hochlädt, besitzt dieses Konto (der Objektschreiber) standardmäßig das Objekt, hat Zugriff darauf und kann anderen Benutzern über Zugriffskontrolllisten (ACLs) Zugriff darauf gewähren. Mit Object Ownership können Sie dieses Standardverhalten so ändern, dass ACLs es deaktiviert ist und Sie als Bucket-Besitzer automatisch Eigentümer aller Objekte in Ihrem Allzweck-Bucket sind. Daher basiert die Zugriffskontrolle für Ihre Daten auf Richtlinien wie IAM-Benutzerrichtlinien, S3-Bucket-Richtlinien, VPC-Endpunktrichtlinien (Virtual Private Cloud) und AWS Organizations Servicesteuerungsrichtlinien (SCPs). Weitere Informationen finden Sie unter [Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket](about-object-ownership.md).
Weitere Informationen darüber, wie Amazon S3 Zugriffsrichtlinien zur Autorisierung oder Ablehnung von Anfragen für Bucket-Vorgänge und Objekt-Vorgänge bewertet, finden Sie in den folgenden Themen:
**Topics**
+ [Wie Amazon S3 eine Anforderung für eine Bucket-Operation autorisiert](access-control-auth-workflow-bucket-operation.md)
+ [Wie Amazon S3 eine Anforderung für eine Objekt-Operation autorisiert](access-control-auth-workflow-object-operation.md)
# Wie Amazon S3 eine Anforderung für eine Bucket-Operation autorisiert
Wenn Amazon S3 eine Anfrage für eine Bucket-Operation erhält, wandelt Amazon S3 alle relevanten Berechtigungen in eine Reihe von Richtlinien um, die zur Laufzeit ausgewertet werden sollen. Zu den relevanten Berechtigungen gehören ressourcenbasierte Berechtigungen (z. B. Bucket-Richtlinien und Bucket-Zugriffskontrolllisten) und Benutzerrichtlinien, wenn die Anfrage von einem IAM-Prinzipal stammt. Amazon S3 wertet anschließend die resultierende Richtlinienmenge in mehreren Schritten in Übereinstimmung mit einem spezifischen Kontext aus – Benutzerkontext oder Bucket-Kontext.
1. **Benutzerkontext** — Wenn der Anforderer ein IAM-Prinzipal ist, muss der Principal die Genehmigung des übergeordneten Unternehmens haben, dem er AWS-Konto angehört. In diesem Schritt wertet Amazon S3 eine Untermenge der Richtlinien aus, die dem übergeordneten Konto gehören (auch als Kontextautorität bezeichnet). Diese Richtlinienuntermenge beinhaltet die Benutzerrichtlinie, die das übergeordnete Konto dem Prinzipal zuordnet. Wenn dem übergeordneten Konto auch die Ressource in der Anforderung gehört (in diesem Fall der Bucket), wertet Amazon S3 gleichzeitig auch die entsprechenden Ressourcenrichtlinien aus (Bucket-Richtlinie und Bucket-ACL). Immer wenn eine Anforderung für eine Bucket-Operation gemacht wird, zeichnen die Server-Zugriffsprotokolle die kanonische Benutzer-ID des Anforderers auf. Weitere Informationen finden Sie unter [Protokollieren von Anfragen mit Server-Zugriffsprotokollierung](ServerLogs.md).
1. **Bucket-Kontext** – Der Anforderer muss die Berechtigung vom Bucket-Eigentümer besitzen, eine spezifische Bucket-Operation auszuführen. In diesem Schritt bewertet Amazon S3 eine Teilmenge von Richtlinien, die demjenigen gehören, dem der AWS-Konto Bucket gehört.
Der Bucket-Eigentümer kann Berechtigungen unter Verwendung einer Bucket-Richtlinie oder Bucket-ACL erteilen. Wenn das AWS-Konto , dem der Bucket gehört, auch das übergeordnete Konto eines IAM-Prinzipals ist, kann es Bucket-Berechtigungen in einer Benutzerrichtlinie konfigurieren.
Nachfolgend sehen Sie eine grafische Darstellung der kontextbasierten Auswertung für Bucket-Operationen.
![\[Abbildung, die die kontextbasierte Auswertung für Bucket-Operationen zeigt.\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/images/AccessControlAuthorizationFlowBucketResource.png)
Die folgenden Beispiele veranschaulichen die Auswertungslogik.
## Beispiel 1: Vom Bucket-Eigentümer angeforderte Bucket-Operation
In diesem Beispiel sendet der Bucket-Eigentümer eine Anforderung einer Bucket-Operation unter Verwendung der Root-Anmeldeinformationen des AWS-Konto.
![\[Abbildung, die eine vom Bucket-Eigentümer angeforderte Bucket-Operation zeigt.\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/images/example10-policy-eval-logic.png)
Amazon S3 führt die Kontextauswertung wie folgt durch:
1. Da die Anforderung unter Verwendung der Anmeldeinformationen des Root-Benutzers eines AWS-Konto erfolgt, wird der Benutzerkontext nicht ausgewertet.
1. Im Bucket-Kontext überprüft Amazon S3 die Bucket-Richtlinie, um festzustellen, ob der Auftraggeber die Berechtigung besitzt, die Operation auszuführen. Amazon S3 autorisiert die Anforderung.
## Beispiel 2: Bucket-Vorgang, der von einer Person angefordert wurde AWS-Konto , die nicht der Bucket-Besitzer ist
In diesem Beispiel wird eine Anforderung unter Verwendung der Anmeldeinformationen des Root-Benutzers des AWS-Konto 1111-1111-1111 für eine Bucket-Operation gestellt, die dem AWS-Konto 2222-2222-2222 gehört. An dieser Anforderung sind keine IAM-Benutzer beteiligt.
![\[Abbildung, die eine Bucket-Operation zeigt, die von einem AWS-Konto , das nicht der Bucket-Eigentümer ist, angefordert wurde.\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/images/example20-policy-eval-logic.png)
In diesem Beispiel wertet Amazon S3 den Kontext wie folgt aus:
1. Da die Anfrage unter Verwendung der Root-Benutzeranmeldedaten von gestellt wird AWS-Konto, wird der Benutzerkontext nicht ausgewertet.
1. Im Bucket-Kontext wertet Amazon S3 die Bucket-Richtlinie aus. Wenn der Bucket-Besitzer (AWS-Konto 2222-2222-2222) AWS-Konto 1111-1111 nicht autorisiert hat, den angeforderten Vorgang auszuführen, lehnt Amazon S3 die Anfrage ab. Andernfalls genehmigt Amazon S3 die Anforderung und führt die Operation aus.
## Beispiel 3: Bucket-Vorgang, der von einem IAM-Principal angefordert wurde, dessen übergeordnetes Element auch der Bucket-Besitzer ist AWS-Konto
In dem Beispiel wird die Anforderung von Jill gesendet, einer IAM-Benutzer im AWS-Konto 1111-1111-1111, dem auch der Bucket gehört.
![\[Abbildung, die eine Bucket-Operation zeigt, die von einem IAM-Prinzipal und Bucket-Eigentümer angefordert wurde.\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/images/example30-policy-eval-logic.png)
Amazon S3 führt die folgende Kontextauswertung durch:
1. Da die Anfrage von einem IAM-Prinzipal stammt, bewertet Amazon S3 im Benutzerkontext alle Richtlinien, die dem übergeordneten Unternehmen gehören, AWS-Konto um festzustellen, ob Jill berechtigt ist, den Vorgang auszuführen.
In diesem Beispiel ist das übergeordnete Objekt AWS-Konto 1111-1111-1111, zu dem der Principal gehört, auch der Bucket-Besitzer. Somit wertet Amazon S3 zusätzlich zur Benutzerrichtlinie auch die Bucket-Richtlinie und Bucket-ACL im selben Kontext aus, weil sie zum selben Konto gehören.
1. Amazon S3 hat die Bucket-Richtlinie und die Bucket-ACL als Teil des Benutzerkontexts ausgewertet, deshalb wertet es den Bucket-Kontext nicht aus.
## Beispiel 4: Bucket-Vorgang, der von einem IAM-Principal angefordert wurde, dessen übergeordnetes Element nicht der Bucket-Besitzer ist AWS-Konto
In diesem Beispiel wird die Anfrage von Jill gesendet, einer IAM-Benutzerin, deren übergeordnetes Element 1111-1111-1111 AWS-Konto ist, aber der Bucket gehört einem anderen, 2222-2222-2222. AWS-Konto
![\[Eine Abbildung, die eine Bucket-Operation zeigt, die von einem IAM-Prinzipal angefordert wird, der nicht der Bucket-Eigentümer ist.\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/images/example40-policy-eval-logic.png)
Jill benötigt die Berechtigungen sowohl vom Elternteil als auch vom Bucket-Besitzer. AWS-Konto Amazon S3 wertet den Kontext wie folgt aus:
1. Da die Anforderung von einem IAM-Prinzipal stammt, wertet Amazon S3 den Benutzerkontext aus, indem es die Richtlinien überprüft, die vom Konto autorisiert wurden, um sicherzustellen, dass Jill über die erforderlichen Berechtigungen verfügt. Wenn Jill die Berechtigung hat, prüft Amazon S3 anschließend den Bucket-Kontext. Wenn Jill keine Berechtigung hat, wird die Anfrage abgelehnt.
1. Im Bucket-Kontext überprüft Amazon S3, ob der Bucket-Besitzer 2222-2222-2222 Jill (oder ihren Eltern AWS-Konto) die Erlaubnis erteilt hat, den angeforderten Vorgang durchzuführen. Wenn sie diese Berechtigung besitzt, gewährt Amazon S3 die Anforderung und führt die Operation aus. Andernfalls lehnt Amazon S3 die Anforderung ab.
# Wie Amazon S3 eine Anforderung für eine Objekt-Operation autorisiert
Wenn Amazon S3 eine Anforderung für eine Bucket-Operation erhält, wandelt es alle relevanten Berechtigungen – ressourcenbasierte Berechtigungen (Objekt-Access-Control-List (ACL), Bucket-Richtlinie, Bucket-ACL) und IAM-Benutzerrichtlinien – in eine Reihe von Richtlinien um, die zur Laufzeit ausgewertet werden sollen. Anschließend wertet es in mehreren Schritten die resultierende Richtlinienmenge aus. Es wertet in jedem Schritt eine Untermenge der Richtlinien in drei spezifischen Kontexten aus – Benutzerkontext, Bucket-Kontext und Objektkontext.
1. **Benutzerkontext** — Wenn der Anforderer ein IAM-Principal ist, muss der Principal die Erlaubnis des übergeordneten Unternehmens haben, zu dem er gehört. AWS-Konto In diesem Schritt wertet Amazon S3 eine Untermenge der Richtlinien aus, die dem übergeordneten Konto gehören (auch als Kontextautorität bezeichnet). Diese Richtlinienuntermenge beinhaltet die Benutzerrichtlinie, die das übergeordnete Konto dem Prinzipal zuordnet. Wenn dem übergeordneten Konto auch die Ressource in der Anforderung gehört (Bucket oder Objekt), wertet Amazon S3 gleichzeitig die entsprechenden Ressourcenrichtlinien aus (Bucket-Richtlinie, Bucket-ACL und Objekt-ACL).
**Anmerkung**
Wenn das übergeordnete Objekt AWS-Konto Eigentümer der Ressource (Bucket oder Objekt) ist, kann es seinem IAM-Prinzipal mithilfe der Benutzerrichtlinie oder der Ressourcenrichtlinie Ressourcenberechtigungen gewähren.
1. **Bucket-Kontext** – In diesem Kontext wertet Amazon S3 Richtlinien aus, die dem AWS-Konto gehören, dem der Bucket gehört.
Wenn der AWS-Konto Besitzer des Objekts in der Anfrage nicht mit dem Bucket-Besitzer identisch ist, überprüft Amazon S3 die Richtlinien, ob der Bucket-Besitzer den Zugriff auf das Objekt explizit verweigert hat. Wurde eine explizite Zugriffsverweigerung für das Objekt festgelegt, autorisiert Amazon S3 die Anforderung nicht.
1. **Objekt-Kontext** – Der Anforderer muss die Berechtigung vom Objekt-Eigentümer besitzen, eine spezifische Objekt-Operation auszuführen. In diesem Schritt wertet Amazon S3 die Objekt-ACL aus.
**Anmerkung**
Ist der Bucket-Eigentümer gleich dem Objekt-Eigentümer ist, kann der Zugriff auf das Objekt in der Bucket-Richtlinie erteilt werden, die im Bucket-Kontext ausgewertet wird. Unterscheiden sich die Eigentümer, müssen die Objekt-Eigentümer eine Objekt-ACL verwenden, um die Berechtigungen zu erteilen. Wenn es sich bei dem Konto AWS-Konto , dem das Objekt gehört, auch um das übergeordnete Konto handelt, zu dem der IAM-Principal gehört, kann es Objektberechtigungen in einer Benutzerrichtlinie konfigurieren, die im Benutzerkontext ausgewertet wird. Weitere Informationen über die Verwendung dieser Alternativen zu Zugriffsrichtlinien finden Sie unter [Anleitungen, die Richtlinien verwenden, um den Zugriff auf Ihre Amazon-S3-Ressourcen zu verwalten](example-walkthroughs-managing-access.md).
Wenn Sie als Bucket-Besitzer Eigentümer aller Objekte in Ihrem Bucket sein und Bucket-Richtlinien oder Richtlinien verwenden möchten, die auf der IAMto Verwaltung des Zugriffs auf diese Objekte basieren, können Sie die erzwungene Einstellung des Bucket-Besitzers für Objekteigentümer anwenden. Mit dieser Einstellung besitzen Sie als Bucket-Eigentümer automatisch die volle Kontrolle über jedes Objekt in Ihrem Bucket. Bucket und Objekt ACLs können nicht bearbeitet werden und werden nicht mehr für den Zugriff berücksichtigt. Weitere Informationen finden Sie unter [Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket](about-object-ownership.md).
Nachfolgend sehen Sie eine grafische Darstellung der kontextbasierten Auswertung für eine Objekt-Operation.
![\[Eine Abbildung, die die kontextbasierte Bewertung für eine Objektoperation zeigt.\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/images/AccessControlAuthorizationFlowObjectResource.png)
## Beispiel einer Objektoperationsanforderung
In diesem Beispiel sendet die IAM-Benutzerin Jill, deren übergeordnetes Element 1111-1111-1111 AWS-Konto ist, eine Objektoperationsanforderung (z. B.`GetObject`) für ein Objekt, das AWS-Konto 3333-3333-3333 gehört, in einem Bucket, der 2222-2222-2222 gehört. AWS-Konto
![\[Eine Abbildung, die eine Objektoperationsanforderung zeigt.\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/images/example50-policy-eval-logic.png)
Jill benötigt die Erlaubnis des Elternteils, des Bucket-Besitzers und des Objekteigentümers. AWS-Konto Amazon S3 wertet den Kontext wie folgt aus:
1. Da die Anfrage von einem IAM-Principal stammt, bewertet Amazon S3 den Benutzerkontext, um sicherzustellen, dass das übergeordnete Objekt AWS-Konto 1111-1111-1111 Jill die Erlaubnis erteilt hat, den angeforderten Vorgang auszuführen. Wenn sie die Berechtigung besitzt, wertet Amazon S3 den Bucket-Kontext aus. Andernfalls lehnt Amazon S3 die Anforderung ab.
1. Im Bucket-Kontext ist der Bucket-Besitzer, 2222-2222-2222, die Kontextautorität. AWS-Konto Amazon S3 wertet die Bucket-Richtlinie aus, um festzustellen, ob der Bucket-Eigentümer Jill explizit die Berechtigung entzogen hat, auf das Objekt zuzugreifen.
1. Im Objektkontext ist die Kontextautorität das AWS-Konto 3333-3333-3333, der Objekteigentümer. Amazon S3 wertet die Objekt-ACL aus, um festzustellen, ob Jill die Berechtigung besitzt, auf das Objekt zuzugreifen. Ist dies der Fall, autorisiert Amazon S3 die Anfrage.
# Erforderliche Berechtigungen für Amazon-S3-API-Operationen
**Anmerkung**
Auf dieser Seite geht es um Amazon-S3-Richtlinienaktionen für Allzweck-Buckets. Weitere Informationen zu Amazon-S3-Richtlinienaktionen für Verzeichnis-Buckets finden Sie unter [Aktionen für Verzeichnis-Buckets](s3-express-security-iam.md#s3-express-security-iam-actions).
Sie benötigen Sie die richtigen Berechtigungen, um eine S3-API-Operation durchzuführen. Auf dieser Seite werden S3-API-Operationen den erforderlichen Berechtigungen zugeordnet. Um Berechtigungen zur Durchführung einer S3-API-Operation zu erteilen, müssen Sie eine gültige Richtlinie erstellen (wie eine S3-Bucket-Richtlinie oder eine identitätsbasierte IAM-Richtlinie) und die entsprechenden Aktionen im `Action`-Element der Richtlinie angeben. Diese Aktionen werden als Richtlinienaktionen bezeichnet. Nicht jede S3-API-Operation wird durch eine einzige Berechtigung (eine einzelne Richtlinienaktion) repräsentiert und einige Berechtigungen (einige Richtlinienaktionen) sind für viele verschiedene API-Operationen erforderlich.
Wenn Sie Richtlinien erstellen, müssen Sie das `Resource`-Element auf der Grundlage des richtigen Ressourcentyps angeben, der für die entsprechenden Amazon-S3-Richtlinienaktionen erforderlich ist. Auf dieser Seite werden die Berechtigungen für S3-API-Operationen nach Ressourcentypen kategorisiert. Weitere Informationen über Ressourcentypen finden Sie unter [Von Amazon S3 definierte Ressourcentypen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-resources-for-iam-policies) in der *Service-Authorization-Referenz*. Eine vollständige Liste der IAM-Berechtigungen, -Ressourcen und -Bedingungsschlüssel zum Verwenden in Richtlinien finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html) in der *Service-Authorization-Referenz*. Eine vollständige Liste von Amazon-S3-API-Operationen finden Sie unter [Amazon-S3-API-Aktionen](https://docs.aws.amazon.com//AmazonS3/latest/API/API_Operations.html) in der *API-Referenz zum Amazon Simple Storage Service*.
Weitere Informationen zur Behebung der `403 Forbidden` HTTP-Fehler in S3 finden Sie unter [Beheben von „Zugriff verweigert“-Fehlern (403 Forbidden) in Amazon S3](troubleshoot-403-errors.md). Weitere Informationen zu den IAM-Features, die mit S3 verwendet werden können, finden Sie unter [Funktionsweise von Amazon S3 mit IAM](security_iam_service-with-iam.md). Weitere Informationen zu bewährte Methoden für die S3-Sicherheit finden Sie unter [Bewährte Methoden für die Sicherheit in Amazon S3](security-best-practices.md).
**Topics**
+ [Bucket-Operationen und -Berechtigungen](#using-with-s3-policy-actions-related-to-buckets)
+ [Objektoperationen und -berechtigungen](#using-with-s3-policy-actions-related-to-objects)
+ [Zugangspunkt für Allzweck-Buckets, Operationen und Berechtigungen](#using-with-s3-policy-actions-related-to-accesspoint)
+ [Operationen und Berechtigungen für Object Lambda Access Points](#using-with-s3-policy-actions-related-to-olap)
+ [Operationen und Berechtigungen für Multi-Region Access Points](#using-with-s3-policy-actions-related-to-mrap)
+ [Batch-Auftragsoperationen und -berechtigungen](#using-with-s3-policy-actions-related-to-batchops)
+ [S3 Storage Lens – Konfigurationsvorgänge und Berechtigungen](#using-with-s3-policy-actions-related-to-lens)
+ [S3 Storage Lens – Gruppen, Vorgänge und Berechtigungen](#using-with-s3-policy-actions-related-to-lens-groups)
+ [S3 Access Erteilt Instance-Operationen und Berechtigungen](#using-with-s3-policy-actions-related-to-s3ag-instances)
+ [S3 Access – Gewährung von Ortungsvorgängen und -berechtigungen](#using-with-s3-policy-actions-related-to-s3ag-locations)
+ [S3 Access Grants – Gewährungsvorgänge und Berechtigungen](#using-with-s3-policy-actions-related-to-s3ag-grants)
+ [Kontovorgänge und Berechtigungen](#using-with-s3-policy-actions-related-to-accounts)
## Bucket-Operationen und -Berechtigungen
Bucket-Operationen sind S3-API-Operationen, die auf dem Bucket-Ressourcentyp ausgeführt werden. Sie müssen S3-Richtlinienaktionen für Bucket-Operationen in Bucket-Richtlinien oder identitätsbasierten IAM-Richtlinien angeben.
In den Richtlinien muss das `Resource`-Element der Amazon-Ressourcenname (ARN) für den Bucket sein. Weitere Informationen zum `Resource`-Elementformat und Beispielrichtlinien finden Sie unter [Bucket-Operationen](security_iam_service-with-iam.md#using-with-s3-actions-related-to-buckets).
**Anmerkung**
Beachten Sie Folgendes, um Berechtigungen für Bucket-Operationen in Zugangspunktrichtlinien zu erteilen:
Berechtigungen, die in einer Zugangspunktrichtlinie erteilt werden, sind nur wirksam, wenn der zugrunde liegende Bucket auch dieselben Berechtigungen zulässt. Wenn Sie einen Zugangspunkt verwenden, müssen Sie die Zugriffskontrolle vom Bucket an den Zugangspunkt delegieren oder dieselben Berechtigungen in der Zugangspunktrichtlinie zur Richtlinie des zugrunde liegenden Buckets hinzufügen.
In Zugangspunktrichtlinien, die Berechtigungen für Bucket-Operationen gewähren, muss das `Resource`-Element der `accesspoint`-ARN sein. Weitere Informationen zum `Resource`-Elementformat und Beispielrichtlinien finden Sie unter [Bucket-Operationen in Richtlinien für Zugangspunkts für Allzweck-Buckets](security_iam_service-with-iam.md#bucket-operations-ap). Weitere Informationen zu Zugangspunktrichtlinien finden Sie unter [Konfigurieren von IAM-Richtlinien für die Verwendung von Zugriffspunkten](access-points-policies.md).
Nicht alle Bucket-Operationen werden von Zugangspunkten unterstützt. Weitere Informationen finden Sie unter [Zugangspunkt-Kompatibilität mit S3-Vorgänge](access-points-service-api-support.md#access-points-operations-support).
Im Folgenden werden Bucket-Operationen und erforderliche Richtlinienaktionen zugeordnet.
| API-Operationen | Richtlinienaktionen | Beschreibung der Richtlinienaktionen |
| --- | --- | --- |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucket.html) | (Erforderlich) `s3:CreateBucket` | Erforderlich, um einen neuen S3-Bucket zu erstellen. |
| | (Bedingt erforderlich) `s3:PutBucketAcl` | Erforderlich, wenn Sie die Zugriffssteuerungsliste (ACL) verwenden möchten, um bei einer `CreateBucket`-Anforderung Berechtigungen für einen Bucket anzugeben. |
| | (Bedingt erforderlich) `s3:PutBucketObjectLockConfiguration`, `s3:PutBucketVersioning` | Erforderlich, wenn Sie beim Erstellen eines Buckets die Objektsperre aktivieren möchten. |
| | (Bedingt erforderlich) `s3:PutBucketOwnershipControls` | Erforderlich, wenn Sie S3 Object Ownership angeben möchten, wenn Sie einen Bucket erstellen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucketMetadataConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucketMetadataConfiguration.html) (V2-API-Betrieb. Der Name der IAM-Richtlinienaktion ist für die API-Operationen V1 und V2 derselbe.) | (Erforderlich)`s3:CreateBucketMetadataTableConfiguration`,,,,,`s3tables:CreateTableBucket`, `s3tables:CreateNamespace` `s3tables:CreateTable` `s3tables:GetTable` `s3tables:PutTablePolicy` `s3tables:PutTableEncryption` `kms:DescribeKey` | Erforderlich, um eine Konfiguration für Metadatentabellen in einem Allzweck-Bucket zu erstellen. Um Ihren AWS verwalteten Tabellen-Bucket und die in Ihrer Metadatentabellenkonfiguration angegebenen Metadatentabellen zu erstellen, benötigen Sie die angegebenen `s3tables` Berechtigungen. Wenn Sie Ihre Metadatentabellen mit serverseitiger Verschlüsselung mit AWS Key Management Service (AWS KMS) Schlüsseln (SSE-KMS) verschlüsseln wollen, benötigen Sie zusätzliche Berechtigungen in Ihrer KMS-Schlüsselrichtlinie. Weitere Informationen finden Sie unter [Einrichten von Berechtigungen für die Konfiguration von Metadatentabellen](metadata-tables-permissions.md). Wenn Sie Ihren AWS verwalteten Tabellen-Bucket auch in AWS Analysedienste integrieren möchten, sodass Sie Ihre Metadatentabelle abfragen können, benötigen Sie zusätzliche Berechtigungen. Weitere Informationen finden Sie unter [Integration von Amazon-S3-Tabellen mit AWS -Analysediensten](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-tables-integrating-aws.html). |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucketMetadataTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucketMetadataTableConfiguration.html) (V1-API-Betrieb) | (Erforderlich) `s3:CreateBucketMetadataTableConfiguration`, `s3tables:CreateNamespace`, `s3tables:CreateTable`, `s3tables:GetTable`, `s3tables:PutTablePolicy` | Erforderlich, um eine Konfiguration für Metadatentabellen in einem Allzweck-Bucket zu erstellen. Um die Metadatentabelle in dem Tabellen-Bucket zu erstellen, der in Ihrer Konfiguration für Metadatentabellen angegeben ist, benötigen Sie die angegebenen `s3tables`-Berechtigungen. Wenn Sie Ihre Metadatentabellen mit serverseitiger Verschlüsselung mit AWS Key Management Service (AWS KMS) Schlüsseln (SSE-KMS) verschlüsseln wollen, benötigen Sie zusätzliche Berechtigungen. Weitere Informationen finden Sie unter [Einrichten von Berechtigungen für die Konfiguration von Metadatentabellen](metadata-tables-permissions.md). Wenn Sie Ihren Tabellen-Bucket auch in AWS Analysedienste integrieren möchten, sodass Sie Ihre Metadatentabelle abfragen können, benötigen Sie zusätzliche Berechtigungen. Weitere Informationen finden Sie unter [Integration von Amazon S3 S3-Tabellen mit AWS Analysediensten](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-tables-integrating-aws.html). |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucket.html) | (Erforderlich) `s3:DeleteBucket` | Erforderlich, um einen S3-Bucket zu löschen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketAnalyticsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketAnalyticsConfiguration.html) | (Erforderlich) `s3:PutAnalyticsConfiguration` | Erforderlich, um eine S3-Analysekonfiguration aus einem S3-Bucket zu löschen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketCors.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketCors.html) | (Erforderlich) `s3:PutBucketCORS` | Erforderlich, um die Cross-Origin Resource Sharing (CORS)-Konfiguration für einen Bucket zu löschen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketEncryption.html) | (Erforderlich) `s3:PutEncryptionConfiguration` | Erforderlich, um die Standardverschlüsselungskonfiguration eines S3-Buckets auf serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) zurückzusetzen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketIntelligentTieringConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketIntelligentTieringConfiguration.html) | (Erforderlich) `s3:PutIntelligentTieringConfiguration` | Erforderlich, um die vorhandene S3-Intelligent-Tiering-Konfiguration aus einem S3-Bucket zu löschen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketInventoryConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketInventoryConfiguration.html) | (Erforderlich) `s3:PutInventoryConfiguration` | Erforderlich, um eine S3-Inventory-Konfiguration aus einem S3-Bucket zu löschen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketLifecycle.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketLifecycle.html) | (Erforderlich) `s3:PutLifecycleConfiguration` | Erforderlich, um die S3-Lifecycle-Konfiguration für einen S3-Bucket zu löschen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetadataTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetadataTableConfiguration.html) (V2-API-Betrieb. Der Name der IAM-Richtlinienaktion ist für die API-Operationen V1 und V2 derselbe.) | (Erforderlich) `s3:DeleteBucketMetadataTableConfiguration` | Erforderlich, um eine Metadatentabellenkonfiguration aus einem Allzweck-Bucket zu löschen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetadataTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetadataTableConfiguration.html) (V1-API-Betrieb) | (Erforderlich) `s3:DeleteBucketMetadataTableConfiguration` | Erforderlich, um eine Metadatentabellenkonfiguration aus einem Allzweck-Bucket zu löschen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetricsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetricsConfiguration.html) | (Erforderlich) `s3:PutMetricsConfiguration` | Erforderlich, um eine Metrikkonfiguration für die CloudWatch Amazon-Anforderungsmetriken aus einem S3-Bucket zu löschen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketOwnershipControls.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketOwnershipControls.html) | (Erforderlich) `s3:PutBucketOwnershipControls` | Erforderlich, um die Einstellung Object Ownership für einen S3-Bucket zu entfernen. Nach dem Entfernen wird die Einstellung Object Ownership zu `Object writer`. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html) | (Erforderlich) `s3:DeleteBucketPolicy` | Erforderlich, um die Richtlinie eines S3-Buckets zu löschen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketReplication.html) | (Erforderlich) `s3:PutReplicationConfiguration` | Erforderlich, um die Replikationskonfiguration eines S3-Buckets zu löschen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketTagging.html) | (Erforderlich) `s3:PutBucketTagging` | Erforderlich, um Tags aus einem S3-Bucket zu löschen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketWebsite.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketWebsite.html) | (Erforderlich) `s3:DeleteBucketWebsite` | Erforderlich, um die Website-Konfiguration für einen S3-Bucket zu entfernen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeletePublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeletePublicAccessBlock.html) (Bucket-Ebene) | (Erforderlich) `s3:PutBucketPublicAccessBlock` | Erforderlich, um die Konfiguration von „Öffentlichen Zugriff blockieren“ für einen S3-Bucket zu entfernen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAccelerateConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAccelerateConfiguration.html) | (Erforderlich) `s3:GetAccelerateConfiguration` | Erforderlich, um die Accelerate-Unterquelle zu verwenden, um den Amazon S3-Transfer-Acceleration-Status eines Buckets zurückzugeben, der entweder auf „Aktiviert“ oder „Ausgesetzt“ gesetzt ist. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAcl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAcl.html) | (Erforderlich) `s3:GetBucketAcl` | Erforderlich, um die Zugriffssteuerungsliste (ACL) eines S3-Buckets zurückzugeben. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAnalyticsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAnalyticsConfiguration.html) | (Erforderlich) `s3:GetAnalyticsConfiguration` | Erforderlich, um die Analysekonfiguration zurückzugeben, die durch die Analysekonfigurations-ID aus einem S3-Bucket identifiziert wird. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketCors.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketCors.html) | (Erforderlich) `s3:GetBucketCORS` | Erforderlich, um die Cross-Origin Resource Sharing (CORS)-Konfiguration für einen S3-Bucket zurückzugeben. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html) | (Erforderlich) `s3:GetEncryptionConfiguration` | Erforderlich, um die Konfiguration für die Standardverschlüsselung für einen S3-Bucket zurückzugeben. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketIntelligentTieringConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketIntelligentTieringConfiguration.html) | (Erforderlich) `s3:GetIntelligentTieringConfiguration` | Erforderlich, um die Konfiguration von S3 Intelligent-Tiering eines S3-Buckets abzurufen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketInventoryConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketInventoryConfiguration.html) | (Erforderlich) `s3:GetInventoryConfiguration` | Erforderlich, um eine Bestandskonfiguration zurückzugeben, die anhand der Bestandskonfigurations-ID aus dem Bucket identifiziert wird. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLifecycle.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLifecycle.html) | (Erforderlich) `s3:GetLifecycleConfiguration` | Erforderlich, um die S3-Lifecycle-Konfiguration des Buckets zurückzugeben. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLocation.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLocation.html) | (Erforderlich) `s3:GetBucketLocation` | Erforderlich, um das zurückzugeben AWS-Region , in dem sich ein S3-Bucket befindet. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLogging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLogging.html) | (Erforderlich) `s3:GetBucketLogging` | Erforderlich, um den Protokollierungsstatus eines S3-Buckets sowie die Berechtigungen, die Benutzer zum Anzeigen und Ändern dieses Status haben, zurückzugeben. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetadataTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetadataTableConfiguration.html) (V2-API-Betrieb. Der Name der IAM-Richtlinienaktion ist für die API-Operationen V1 und V2 derselbe.) | (Erforderlich) `s3:GetBucketMetadataTableConfiguration` | Erforderlich, um eine Metadatentabellen-Konfiguration für einen Allzweck-Bucket abzurufen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetadataTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetadataTableConfiguration.html) (V1-API-Betrieb) | (Erforderlich) `s3:GetBucketMetadataTableConfiguration` | Erforderlich, um eine Metadatentabellen-Konfiguration für einen Allzweck-Bucket abzurufen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetricsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetricsConfiguration.html) | (Erforderlich) `s3:GetMetricsConfiguration` | Erforderlich, um eine Bestandskonfiguration zurückzugeben, die durch die Bestandskonfigurations-ID aus dem Bucket identifiziert wird |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketNotificationConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketNotificationConfiguration.html) | (Erforderlich) `s3:GetBucketNotification` | Erforderlich, um die Benachrichtigungskonfiguration eines S3-Buckets zurückzugeben. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketOwnershipControls.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketOwnershipControls.html) | (Erforderlich) `s3:GetBucketOwnershipControls` | Erforderlich, um die Einstellung Object Ownership für einen S3-Bucket zu abzurufen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html) | (Erforderlich) `s3:GetBucketPolicy` | Erforderlich, um die Richtlinie eines S3-Buckets zurückzugeben. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicyStatus.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicyStatus.html) | (Erforderlich) `s3:GetBucketPolicyStatus` | Erforderlich, um den Richtlinienstatus eines S3-Buckets abzurufen, der angibt, ob der Bucket öffentlich ist. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketReplication.html) | (Erforderlich) `s3:GetReplicationConfiguration` | Erforderlich, um die Replikationskonfiguration eines S3-Buckets zurückzugeben. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketRequestPayment.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketRequestPayment.html) | (Erforderlich) `s3:GetBucketRequestPayment` | Erforderlich, um die Zahlungsanforderungskonfiguration für einen S3-Bucket zurückzugeben. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketVersioning.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketVersioning.html) | (Erforderlich) `s3:GetBucketVersioning` | Erforderlich, um den Versionsverwaltungsstatus eines S3-Buckets zurückzugeben. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketTagging.html) | (Erforderlich) `s3:GetBucketTagging` | Erforderlich, um den Tag-Satz zurückzugeben, der mit einem S3-Bucket verknüpft ist. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketWebsite.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketWebsite.html) | (Erforderlich) `s3:GetBucketWebsite` | Erforderlich, um die Websitekonfiguration für einen S3-Bucket. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLockConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLockConfiguration.html) | (Erforderlich) `s3:GetBucketObjectLockConfiguration` | Erforderlich, um die Object-Lock-Konfiguration für einen S3-Bucket abzurufen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetPublicAccessBlock.html) (Bucket-Ebene) | (Erforderlich) `s3:GetBucketPublicAccessBlock` | Erforderlich, um die Konfiguration von „Öffentlichen Zugriff blockieren“ für einen S3-Bucket abzurufen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html) | (Erforderlich) `s3:ListBucket` | Erforderlich, um festzustellen, ob ein Bucket vorhanden ist und ob Sie Zugriffsberechtigungen für diesen Bucket besitzen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBucketAnalyticsConfigurations.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBucketAnalyticsConfigurations.html) | (Erforderlich) `s3:GetAnalyticsConfiguration` | Erforderlich, um die Analysekonfigurationen für einen S3-Bucket aufzulisten. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBucketIntelligentTieringConfigurations.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBucketIntelligentTieringConfigurations.html) | (Erforderlich) `s3:GetIntelligentTieringConfiguration` | Erforderlich, um die S3-Intelligent-Tiering-Konfigurationen eines S3-Buckets aufzulisten. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBucketInventoryConfigurations.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBucketInventoryConfigurations.html) | (Erforderlich) `s3:GetInventoryConfiguration` | Erforderlich, um eine Liste von Bestandskonfigurationen für einen S3-Bucket zurückzugeben. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBucketMetricsConfigurations.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBucketMetricsConfigurations.html) | (Erforderlich) `s3:GetMetricsConfiguration` | Erforderlich, um die Metrikkonfigurationen für einen S3-Bucket aufzulisten. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjects.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjects.html) | (Erforderlich) `s3:ListBucket` | Erforderlich, um einige oder alle (bis zu 1 000) Objekte in einem S3-Bucket aufzulisten. |
| | (Bedingt erforderlich) `s3:GetObjectAcl` | Erforderlich, wenn Sie Informationen zum Objekteigentümer anzeigen möchten. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) | (Erforderlich) `s3:ListBucket` | Erforderlich, um einige oder alle (bis zu 1 000) Objekte in einem S3-Bucket aufzulisten. |
| | (Bedingt erforderlich) `s3:GetObjectAcl` | Erforderlich, wenn Sie Informationen zum Objekteigentümer anzeigen möchten. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectVersions.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectVersions.html) | (Erforderlich) `s3:ListBucketVersions` | Erforderlich, um Metadaten zu allen Versionen von Objekten in einem S3-Bucket abzurufen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAccelerateConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAccelerateConfiguration.html) | (Erforderlich) `s3:PutAccelerateConfiguration` | Erforderlich, um die Beschleunigungskonfiguration eines vorhandenen Buckets festzulegen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAcl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAcl.html) | (Erforderlich) `s3:PutBucketAcl` | Erforderlich, um Zugriffssteuerungslisten (ACLs) zu verwenden, um die Berechtigungen für einen vorhandenen Bucket festzulegen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAnalyticsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAnalyticsConfiguration.html) | (Erforderlich) `s3:PutAnalyticsConfiguration` | Erforderlich, um eine Analysekonfiguration für einen S3-Bucket festzulegen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketCors.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketCors.html) | (Erforderlich) `s3:PutBucketCORS` | Erforderlich, um die Cross-Origin Resource Sharing (CORS)-Konfiguration für einen S3-Bucket festzulegen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html) | (Erforderlich) `s3:PutEncryptionConfiguration` | Erforderlich, um die Standardverschlüsselung für einen S3-Bucket zu konfigurieren. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketIntelligentTieringConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketIntelligentTieringConfiguration.html) | (Erforderlich) `s3:PutIntelligentTieringConfiguration` | Erforderlich, um die Konfiguration von S3 Intelligent-Tiering in einen S3-Bucket zu übertragen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketInventoryConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketInventoryConfiguration.html) | (Erforderlich) `s3:PutInventoryConfiguration` | Erforderlich, um einem S3-Bucket eine Bestandskonfiguration hinzuzufügen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketLifecycle.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketLifecycle.html) | (Erforderlich) `s3:PutLifecycleConfiguration` | Erforderlich, um eine neue S3-Lifecycle-Konfiguration zu erstellen oder eine bestehende Lifecycle-Konfiguration für einen S3-Bucket zu ersetzen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketLogging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketLogging.html) | (Erforderlich) `s3:PutBucketLogging` | Erforderlich, um die Protokollierungsparameter für einen S3-Bucket festzulegen und die Berechtigungen dafür anzugeben, wer die Protokollierungsparameter einsehen und ändern kann. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketMetricsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketMetricsConfiguration.html) | (Erforderlich) `s3:PutMetricsConfiguration` | Erforderlich, um eine Metrikkonfiguration für die CloudWatch Amazon-Anforderungsmetriken eines S3-Buckets festzulegen oder zu aktualisieren. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketNotificationConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketNotificationConfiguration.html) | (Erforderlich) `s3:PutBucketNotification` | Erforderlich, um Benachrichtigungen über bestimmte Ereignisse für einen S3-Bucket zu aktivieren. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketOwnershipControls.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketOwnershipControls.html) | (Erforderlich) `s3:PutBucketOwnershipControls` | Erforderlich, um die Object-Ownership-Einstellung für einen S3-Bucket zu erstellen oder zu ändern. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html) | (Erforderlich) `s3:PutBucketPolicy` | Erforderlich, um eine S3-Bucket-Richtlinie auf einen Bucket anzuwenden. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketReplication.html) | (Erforderlich) `s3:PutReplicationConfiguration` | Erforderlich, um eine neue Replikationskonfiguration zu erstellen oder eine vorhandene Replikationskonfiguration für einen S3-Bucket zu ersetzen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketRequestPayment.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketRequestPayment.html) | (Erforderlich) `s3:PutBucketRequestPayment` | Erforderlich, um die Zahlungsanforderungskonfiguration eines Buckets festlegen |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketTagging.html) | (Erforderlich) `s3:PutBucketTagging` | Erforderlich, um einem S3-Bucket einen Satz von Tags hinzuzufügen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketVersioning.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketVersioning.html) | (Erforderlich) `s3:PutBucketVersioning` | Erforderlich, um den Versionsverwaltungsstatus eines S3-Buckets festzulegen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketWebsite.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketWebsite.html) | (Erforderlich) `s3:PutBucketWebsite` | Erforderlich, um einen Bucket als Website zu konfigurieren und die Konfiguration der Website festzulegen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLockConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLockConfiguration.html) | (Erforderlich) `s3:PutBucketObjectLockConfiguration` | Erforderlich, um die Object-Lock-Konfiguration auf einem S3-Bucket zu platzieren. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html) (Bucket-Ebene) | (Erforderlich) `s3:PutBucketPublicAccessBlock` | Erforderlich, um die „Öffentlichen Zugriff blockieren“-Konfiguration für einen S3-Bucket zu erstellen oder zu ändern. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateBucketMetadataInventoryTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateBucketMetadataInventoryTableConfiguration.html) | (Erforderlich) `s3:UpdateBucketMetadataInventoryTableConfiguration``s3tables:CreateTableBucket`,`s3tables:CreateNamespace`,`s3tables:CreateTable`,`s3tables:GetTable`,`s3tables:PutTablePolicy`,`s3tables:PutTableEncryption`, `kms:DescribeKey` | Erforderlich zum Aktivieren oder Deaktivieren einer Inventartabelle für eine Metadatentabellenkonfiguration auf einem Allzweck-Bucket. Wenn Sie Ihre Bestandstabelle mit serverseitiger Verschlüsselung mit AWS Key Management Service (AWS KMS) Schlüsseln (SSE-KMS) verschlüsseln möchten, benötigen Sie zusätzliche Berechtigungen in Ihrer KMS-Schlüsselrichtlinie. Weitere Informationen finden Sie unter [Einrichten von Berechtigungen für die Konfiguration von Metadatentabellen](metadata-tables-permissions.md). |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateBucketMetadataJournalTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateBucketMetadataJournalTableConfiguration.html) | (Erforderlich) `s3:UpdateBucketMetadataJournalTableConfiguration` | Erforderlich zum Aktivieren oder Deaktivieren des Ablaufs von Journal-Tabellendatensätzen für eine Metadaten-Tabellenkonfiguration auf einem Allzweck-Bucket. |
## Objektoperationen und -berechtigungen
Objektoperationen sind S3-API-Operationen, die auf dem Objektressourcentyp ausgeführt werden. Sie müssen S3-Richtlinienaktionen für Objektoperationen in ressourcenbasierten Richtlinien (wie Bucket-Richtlinien, Zugangspunktrichtlinien, Multi-Region-Access-Point-Richtlinien, VPC-Endpunktrichtlinien) oder identitätsbasierten IAM-Richtlinien angeben.
In den Richtlinien muss das `Resource`-Element der Objekt ARN sein. Weitere Informationen zum `Resource`-Elementformat und Beispielrichtlinien finden Sie unter[Objektoperationen](security_iam_service-with-iam.md#using-with-s3-actions-related-to-objects).
**Anmerkung**
AWS KMS Richtlinienaktionen (`kms:GenerateDataKey`und`kms:Decrypt`) gelten nur für den AWS KMS Ressourcentyp und müssen in identitätsbasierten IAM-Richtlinien und AWS KMS ressourcenbasierten Richtlinien (Schlüsselrichtlinien) angegeben werden.AWS KMS In ressourcenbasierten AWS KMS S3-Richtlinien, wie z. B. S3-Bucket-Richtlinien, können Sie keine Richtlinienaktionen angeben.
Wenn Sie Zugangspunkte verwenden, um den Zugriff auf Objektoperationen zu steuern, können Sie Zugangspunktrichtlinien verwenden. Beachten Sie Folgendes, um Berechtigungen für Objektoperationen in Zugangspunktrichtlinien zu erteilen:
In Zugriffspunktrichtlinien, die Berechtigungen für Objektoperationen gewähren, muss das `Resource` Element das Element ARNs für Objekte sein, auf die über einen Zugriffspunkt zugegriffen wird. Weitere Informationen zum `Resource`-Elementformat und Beispielrichtlinien finden Sie unter [Objektoperationen in Zugangspunktrichtlinien](security_iam_service-with-iam.md#object-operations-ap).
Nicht alle Objektoperationen werden von Zugangspunkten unterstützt. Weitere Informationen finden Sie unter [Zugangspunkt-Kompatibilität mit S3-Vorgänge](access-points-service-api-support.md#access-points-operations-support).
Nicht alle Objektoperationen werden von Multi-Region Access Points unterstützt. Weitere Informationen finden Sie unter [Kompatibilität von Multi-Region Access Points mit S3-Operationen](MrapOperations.md#mrap-operations-support).
Im Folgenden wird die Zuordnung von Objektoperationen und erforderlichen Richtlinienaktionen beschrieben.
| API-Operationen | Richtlinienaktionen | Beschreibung der Richtlinienaktionen |
| --- | --- | --- |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_AbortMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_AbortMultipartUpload.html) | (Erforderlich) `s3:AbortMultipartUpload` | Erforderlich, um einen mehrteiligen Upload abzubrechen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html) | (Erforderlich) `s3:PutObject` | Erforderlich, um einen mehrteiligen Upload abzuschließen. |
| | (Bedingt erforderlich) `kms:Decrypt` | Erforderlich, wenn Sie einen mehrteiligen Upload für ein vom AWS KMS Kunden verwaltetes verschlüsseltes Objekt abschließen möchten. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html) | Für das Quellobjekt: | Für das Quellobjekt: |
| | (Erforderlich) Entweder `s3:GetObject` oder `s3:GetObjectVersion` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/using-with-s3-policy-actions.html) |
| | (Bedingt erforderlich) `kms:Decrypt` | Erforderlich, wenn Sie ein vom AWS KMS Kunden verwaltetes verschlüsseltes Objekt aus dem Quell-Bucket kopieren möchten. |
| | Für das Zielobjekt: | Für das Zielobjekt: |
| | (Erforderlich) `s3:PutObject` | Erforderlich, um das kopierte Objekt im Ziel-Bucket abzulegen. |
| | (Bedingt erforderlich) `s3:PutObjectAcl` | Erforderlich, wenn Sie das kopierte Objekt mit der Objektzugriffssteuerungsliste (ACL) im Ziel-Bucket ablegen möchten, wenn Sie eine `CopyObject`-Anforderung stellen. |
| | (Bedingt erforderlich) `s3:PutObjectTagging` | Erforderlich, wenn Sie das kopierte Objekt mit Objekt-Tagging im Ziel-Bucket platzieren möchten, wenn Sie eine `CopyObject`-Anforderung stellen. |
| | (Bedingt erforderlich) `kms:GenerateDataKey` | Erforderlich, wenn Sie das kopierte Objekt mit einem vom AWS KMS Kunden verwalteten Schlüssel verschlüsseln und im Ziel-Bucket ablegen möchten. |
| | (Bedingt erforderlich) `s3:PutObjectRetention` | Erforderlich, wenn Sie eine Aufbewahrungskonfiguration für die Objektsperre für das neue Objekt festlegen möchten. |
| | (Bedingt erforderlich) `s3:PutObjectLegalHold` | Erforderlich, wenn Sie eine rechtliche Aufbewahrungspflicht für Objektsperren für das neue Objekt festlegen möchten. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html) | (Erforderlich) `s3:PutObject` | Erforderlich für die Erstellung eines mehrteiligen Uploads. |
| | (Bedingt erforderlich) `s3:PutObjectAcl` | Erforderlich, wenn Sie die Berechtigungen für die Objektzugriffssteuerungsliste (ACL) für das hochgeladene Objekt festlegen möchten. |
| | (Bedingt erforderlich) `s3:PutObjectTagging` | Erforderlich, wenn Sie dem hochgeladenen Objekt Objekt-Tagging(s) hinzufügen möchten. |
| | (Bedingt erforderlich) `kms:GenerateDataKey` | Erforderlich, wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel verwenden möchten, um ein Objekt zu verschlüsseln, wenn Sie einen mehrteiligen Upload initiieren. |
| | (Bedingt erforderlich) `s3:PutObjectRetention` | Erforderlich, wenn Sie eine Object-Lock-Aufbewahrungskonfiguration für das hochgeladene Objekt festlegen möchten. |
| | (Bedingt erforderlich) `s3:PutObjectLegalHold` | Erforderlich, wenn Sie dem hochgeladenen Objekt eine gesetzliche Object-Lock-Aufbewahrungsfrist zuweisen möchten. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html) | (Erforderlich) Entweder `s3:DeleteObject` oder `s3:DeleteObjectVersion` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/using-with-s3-policy-actions.html) |
| | (Bedingt erforderlich) `s3:BypassGovernanceRetention` | Erforderlich, wenn Sie ein Objekt löschen möchten, das durch den Governance-Modus für die Aufbewahrung von Objektsperren geschützt ist. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjects.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjects.html) | (Erforderlich) Entweder `s3:DeleteObject` oder `s3:DeleteObjectVersion` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/using-with-s3-policy-actions.html) |
| | (Bedingt erforderlich) `s3:BypassGovernanceRetention` | Erforderlich, wenn Sie Objekte löschen möchten, die durch den Governance-Modus für die Aufbewahrung von Objektsperren geschützt sind. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjectTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjectTagging.html) | (Erforderlich) Entweder `s3:DeleteObjectTagging` oder `s3:DeleteObjectVersionTagging` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/using-with-s3-policy-actions.html) |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html) | (Erforderlich) Entweder `s3:GetObject` oder `s3:GetObjectVersion` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/using-with-s3-policy-actions.html) |
| | (Bedingt erforderlich) `kms:Decrypt` | Erforderlich, wenn Sie ein vom AWS KMS Kunden verwaltetes, verschlüsseltes Objekt abrufen und entschlüsseln möchten. |
| | (Bedingt erforderlich) `s3:GetObjectTagging` | Erforderlich, wenn Sie den Tag-Satz eines Objekts abrufen möchten, wenn Sie eine `GetObject`-Anforderung stellen. |
| | (Bedingt erforderlich) `s3:GetObjectLegalHold` | Erforderlich, wenn Sie den aktuellen Status der gesetzlichen Object-Lock-Aufbewahrungsfrist für ein Objekt abrufen möchten. |
| | (Bedingt erforderlich) `s3:GetObjectRetention` | Erforderlich, wenn Sie die Object-Lock-Aufbewahrungseinstellungen für ein Objekt abrufen möchten. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAcl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAcl.html) | (Erforderlich) Entweder `s3:GetObjectAcl` oder `s3:GetObjectVersionAcl` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/using-with-s3-policy-actions.html) |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAttributes.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAttributes.html) | (Erforderlich) Entweder `s3:GetObject` oder `s3:GetObjectVersion` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/using-with-s3-policy-actions.html) |
| | (Bedingt erforderlich) `kms:Decrypt` | Erforderlich, wenn Sie Attribute abrufen möchten, die sich auf ein vom AWS KMS Kunden verwaltetes verschlüsseltes Schlüsselobjekt beziehen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLegalHold.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLegalHold.html) | (Erforderlich) `s3:GetObjectLegalHold` | Erforderlich, um den aktuellen Status der rechtlichen Aufbewahrungspflicht für Objektsperren für einen Objekt abzurufen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectRetention.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectRetention.html) | (Erforderlich) `s3:GetObjectRetention` | Erforderlich, um die Einstellungen für die Aufbewahrung von Objektsperren für ein Objekt abzurufen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectTagging.html) | (Erforderlich) Entweder `s3:GetObjectTagging` oder `s3:GetObjectVersionTagging` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/using-with-s3-policy-actions.html) |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectTorrent.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectTorrent.html) | (Erforderlich) `s3:GetObject` | Erforderlich, um Torrent-Dateien eines Objekts zurückzugeben. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html) | (Erforderlich) `s3:GetObject` | Erforderlich, um Metadaten von einem Objekt abzurufen, ohne das Objekt selbst zurückzugeben. |
| | (Bedingt erforderlich) `s3:GetObjectLegalHold` | Erforderlich, wenn Sie den aktuellen Status der gesetzlichen Object-Lock-Aufbewahrungsfrist für ein Objekt abrufen möchten. |
| | (Bedingt erforderlich) `s3:GetObjectRetention` | Erforderlich, wenn Sie die Object-Lock-Aufbewahrungseinstellungen für ein Objekt abrufen möchten. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html) | (Erforderlich) `s3:ListBucketMultipartUploads` | Erforderlich, um laufende mehrteilige Uploads in einem Bucket aufzulisten. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListParts.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListParts.html) | (Erforderlich) `s3:ListMultipartUploadParts` | Erforderlich, um die Teile aufzulisten, die für einen bestimmten mehrteiligen Upload hochgeladen wurden. |
| | (Bedingt erforderlich) `kms:Decrypt` | Erforderlich, wenn Sie Teile eines vom AWS KMS Kunden verwalteten, verschlüsselten, mehrteiligen Uploads auflisten möchten. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html) | (Erforderlich) `s3:PutObject` | Erforderlich, um ein Objekt zu platzieren. |
| | (Bedingt erforderlich) `s3:PutObjectAcl` | Erforderlich, wenn Sie die Objektzugriffssteuerungsliste (ACL) bei einer `PutObject`-Anforderung angeben möchten. |
| | (Bedingt erforderlich) `s3:PutObjectTagging` | Erforderlich, wenn Sie bei einer `PutObject`-Anforderung Objekt-Tagging angeben möchten. |
| | (Bedingt erforderlich) `kms:GenerateDataKey` | Erforderlich, wenn Sie ein Objekt mit einem vom AWS KMS Kunden verwalteten Schlüssel verschlüsseln möchten. |
| | (Bedingt erforderlich) `s3:PutObjectRetention` | Erforderlich, wenn Sie eine Konfiguration für die rechtliche Aufbewahrungspflicht für Objektsperren für ein Objekt festlegen möchten. |
| | (Bedingt erforderlich) `s3:PutObjectLegalHold` | Erforderlich, wenn Sie eine Konfiguration für die rechtliche Aufbewahrungspflicht für Objektsperren auf ein bestimmtes Objekt anwenden möchten. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html) | (Erforderlich) Entweder `s3:PutObjectAcl` oder `s3:PutObjectVersionAcl` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/using-with-s3-policy-actions.html) |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLegalHold.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLegalHold.html) | (Erforderlich) `s3:PutObjectLegalHold` | Erforderlich, um eine Konfiguration für die rechtliche Aufbewahrungspflicht für Objektsperren anzuwenden. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectRetention.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectRetention.html) | (Erforderlich) `s3:PutObjectRetention` | Erforderlich, um eine Konfiguration der Aufbewahrung von Objektsperren auf ein Objekt anzuwenden. |
| | (Bedingt erforderlich) `s3:BypassGovernanceRetention` | Erforderlich, wenn Sie den Governance-Modus einer Konfiguration der Aufbewahrung von Objektsperren umgehen möchten. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html) | (Erforderlich) Entweder `s3:PutObjectTagging` oder `s3:PutObjectVersionTagging` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/using-with-s3-policy-actions.html) |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_RestoreObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_RestoreObject.html) | (Erforderlich) `s3:RestoreObject` | Erforderlich, um eine archivierte Kopie eines Objekts wiederherzustellen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_SelectObjectContent.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_SelectObjectContent.html) | (Erforderlich) `s3:GetObject` | Erforderlich, um den Inhalt eines S3-Objekts auf der Grundlage einer einfachen SQL (Structured Query Language)-Anweisung zu filtern. |
| | (Bedingt erforderlich) `kms:Decrypt` | Erforderlich, wenn Sie den Inhalt eines S3-Objekts filtern möchten, das mit einem vom AWS KMS Kunden verwalteten Schlüssel verschlüsselt ist. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateObjectEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateObjectEncryption.html) | (Erforderlich) `s3:UpdateObjectEncryption``s3:PutObject`,`kms:Encrypt`,`kms:Decrypt`,`kms:GenerateDataKey`, `kms:ReEncrypt*` | Erforderlich, wenn Sie verschlüsselte Objekte zwischen serverseitiger Verschlüsselung mit verwalteter Amazon S3 S3-Verschlüsselung (SSE-S3) und serverseitiger Verschlüsselung mit AWS Key Management Service () Verschlüsselungsschlüsseln (SSE-KMS AWS KMS) wechseln möchten. Sie können den `UpdateObjectEncryption` Vorgang auch verwenden, um S3-Bucket Keys anzuwenden, um die AWS KMS Anforderungskosten zu senken, oder den vom Kunden verwalteten KMS-Schlüssel, der zur Verschlüsselung Ihrer Daten verwendet wird, ändern, sodass Sie benutzerdefinierte Schlüsselrotationsstandards einhalten können. |
| | (Bedingt erforderlich) `organizations:DescribeAccount` | Wenn Sie den `UpdateObjectEncryption` Vorgang mit AWS Organizations kundenverwalteten KMS-Schlüsseln aus anderen Teilen Ihrer AWS-Konten Organisation verwenden möchten, benötigen Sie die entsprechende Genehmigung. `organizations:DescribeAccount` Sie müssen auch die Möglichkeit zur Nutzung AWS KMS keys von Benutzerkonten anderer Mitglieder innerhalb Ihrer Organisation beantragen, indem Sie sich an uns wenden AWS Support. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html) | (Erforderlich) `s3:PutObject` | Erforderlich, um einen Teil in einem mehrteiligen Upload hochzuladen. |
| | (Bedingt erforderlich) `kms:GenerateDataKey` | Erforderlich, wenn Sie einen Teil hochladen und ihn mit einem vom AWS KMS Kunden verwalteten Schlüssel verschlüsseln möchten. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html) | Für das Quellobjekt: | Für das Quellobjekt: |
| | (Erforderlich) Entweder `s3:GetObject` oder `s3:GetObjectVersion` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/using-with-s3-policy-actions.html) |
| | (Bedingt erforderlich) `kms:Decrypt` | Erforderlich, wenn Sie ein vom AWS KMS Kunden verwaltetes verschlüsseltes Schlüsselobjekt aus dem Quell-Bucket kopieren möchten. |
| | Für den Zielteil: | Für den Zielteil: |
| | (Erforderlich) `s3:PutObject` | Erforderlich, um einen Teil eines mehrteiligen Uploads in den Ziel-Bucket hochzuladen. |
| | (Bedingt erforderlich) `kms:GenerateDataKey` | Erforderlich, wenn Sie einen Teil mit einem vom AWS KMS Kunden verwalteten Schlüssel verschlüsseln möchten, wenn Sie den Teil in den Ziel-Bucket hochladen. |
## Zugangspunkt für Allzweck-Buckets, Operationen und Berechtigungen
Zugangspunktoperationen sind S3-API-Operationen, die auf dem `accesspoint`-Ressourcentyp ausgeführt werden. Sie müssen S3-Richtlinienaktionen für Zugangspunktoperationen in identitätsbasierten IAM-Richtlinien angeben, nicht in Bucket-Richtlinien oder Zugangspunktrichtlinien.
In den Richtlinien muss das `Resource`-Element der `accesspoint`-ARN sein. Weitere Informationen zum `Resource`-Elementformat und Beispielrichtlinien finden Sie unter [Zugangspunkt für Allzweck-Bucket-Operationen](security_iam_service-with-iam.md#using-with-s3-actions-related-to-accesspoint).
**Anmerkung**
Wenn Sie Zugangspunkte verwenden möchten, um den Zugriff auf Bucket- oder Objektoperationen zu steuern, beachten Sie Folgendes:
Informationen zur Verwendung von Zugangspunkten zur Steuerung des Zugriffs auf Bucket-Operationen finden Sie unter [Bucket-Operationen in Richtlinien für Zugangspunkts für Allzweck-Buckets](security_iam_service-with-iam.md#bucket-operations-ap).
Informationen zur Verwendung von Zugangspunkten zur Steuerung des Zugriffs auf Objektoperationen finden Sie unter [Objektoperationen in Zugangspunktrichtlinien](security_iam_service-with-iam.md#object-operations-ap).
Weitere Informationen über das Konfigurieren von Zugangspunktrichtlinien finden Sie unter [Konfigurieren von IAM-Richtlinien für die Verwendung von Zugriffspunkten](access-points-policies.md).
Im Folgenden werden die Zugangspunktoperationen und die erforderlichen Richtlinienaktionen zugeordnet.
| API-Operationen | Richtlinienaktionen | Beschreibung der Richtlinienaktionen |
| --- | --- | --- |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPoint.html) | (Erforderlich) `s3:CreateAccessPoint` | Erforderlich, um einen Zugangspunkt zu erstellen, der mit einem S3-Bucket verknüpft ist. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPoint.html) | (Erforderlich) `s3:DeleteAccessPoint` | Erforderlich, um einen Zugangspunkt zu löschen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointPolicy.html) | (Erforderlich) `s3:DeleteAccessPointPolicy` | Erforderlich, um eine Zugangspunktrichtlinie zu löschen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointPolicy.html) | (Erforderlich) `s3:GetAccessPointPolicy` | Erforderlich, um eine Zugangspunktrichtlinie abzurufen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointPolicyStatus.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointPolicyStatus.html) | (Erforderlich) `s3:GetAccessPointPolicyStatus` | Erforderlich, um Informationen darüber abzurufen, ob der angegebene Zugangspunkt derzeit über eine Richtlinie verfügt, die öffentlichen Zugriff zulässt. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutAccessPointPolicy.html) | (Erforderlich) `s3:PutAccessPointPolicy` | Erforderlich, um eine Zugangspunktrichtlinie festzulegen. |
## Operationen und Berechtigungen für Object Lambda Access Points
Object-Lambda-Access-Point-Operationen sind S3-API-Operationen, die auf dem `objectlambdaaccesspoint`-Ressourcentyp ausgeführt werden. Weitere Informationen zur Konfiguration von Richtlinien für Operationen mit Object Lambda Access Points finden Sie unter [Konfigurieren von IAM-Richtlinien für Object Lambda Access Points](olap-policies.md).
Im Folgenden finden Sie die Zuordnung der Object-Lambda-Access-Point-Operationen und der erforderlichen Richtlinienaktionen.
| API-Operationen | Richtlinienaktionen | Beschreibung der Richtlinienaktionen |
| --- | --- | --- |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPointForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPointForObjectLambda.html) | (Erforderlich) `s3:CreateAccessPointForObjectLambda` | Erforderlich, um einen Object Lambda Access Point zu erstellen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointForObjectLambda.html) | (Erforderlich) `s3:DeleteAccessPointForObjectLambda` | Erforderlich, um einen angegebenen Object Lambda Access Point zu löschen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointPolicyForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointPolicyForObjectLambda.html) | (Erforderlich) `s3:DeleteAccessPointPolicyForObjectLambda` | Erforderlich, um die Richtlinie auf einem angegebenen Object Lambda Access Point zu löschen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointConfigurationForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointConfigurationForObjectLambda.html) | (Erforderlich) `s3:GetAccessPointConfigurationForObjectLambda` | Erforderlich, um die Konfiguration des Object Lambda Access Points abzurufen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetAccessPointForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetAccessPointForObjectLambda.html) | (Erforderlich) `s3:GetAccessPointForObjectLambda` | Erforderlich, um Informationen über den Object Lambda Access Point abzurufen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetAccessPointPolicyForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetAccessPointPolicyForObjectLambda.html) | (Erforderlich) `s3:GetAccessPointPolicyForObjectLambda` | Erforderlich, um die Zugangspunktrichtlinie zurückzugeben, die dem angegebenen Object Lambda Access Point zugeordnet ist. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetAccessPointPolicyStatusForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetAccessPointPolicyStatusForObjectLambda.html) | (Erforderlich) `s3:GetAccessPointPolicyStatusForObjectLambda` | Erforderlich, um den Richtlinienstatus für eine angegebene Object-Lambda-Access-Point-Richtlinie zurückzugeben. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutAccessPointConfigurationForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutAccessPointConfigurationForObjectLambda.html) | (Erforderlich) `s3:PutAccessPointConfigurationForObjectLambda` | Erforderlich, um die Konfiguration des Object Lambda Access Points festzulegen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutAccessPointPolicyForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutAccessPointPolicyForObjectLambda.html) | (Erforderlich) `s3:PutAccessPointPolicyForObjectLambda` | Erforderlich, um eine Zugangspunktrichtlinie mit einem angegebenen Object Lambda Access Point zu verknüpfen. |
## Operationen und Berechtigungen für Multi-Region Access Points
Multi-Region-Access-Point-Operationen sind S3-API-Operationen, die auf dem `multiregionaccesspoint`-Ressourcentyp ausgeführt werden. Weitere Informationen zur Konfiguration von Richtlinien für Operationen mit Multi-Region Access Points finden Sie unter [Beispielrichtlinien für Multi-Region Access Points](MultiRegionAccessPointPermissions.md#MultiRegionAccessPointPolicyExamples).
Im Folgenden finden Sie die Zuordnung von Multi-Region-Access-Point-Operationen und erforderlichen Richtlinienaktionen.
| API-Operationen | Richtlinienaktionen | Beschreibung der Richtlinienaktionen |
| --- | --- | --- |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateMultiRegionAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateMultiRegionAccessPoint.html) | (Erforderlich) `s3:CreateMultiRegionAccessPoint` | Erforderlich, um einen Multi-Region Access Point zu erstellen und ihn mit S3-Buckets zu verknüpfen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteMultiRegionAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteMultiRegionAccessPoint.html) | (Erforderlich) `s3:DeleteMultiRegionAccessPoint` | Erforderlich, um einen Multi-Region Access Point. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DescribeMultiRegionAccessPointOperation.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DescribeMultiRegionAccessPointOperation.html) | (Erforderlich) `s3:DescribeMultiRegionAccessPointOperation` | Erforderlich, um den Status einer asynchronen Anforderung zur Verwaltung eines Multi-Region Access Points abzurufen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPoint.html) | (Erforderlich) `s3:GetMultiRegionAccessPoint` | Erforderlich, um Konfigurationsinformationen über den angegebenen Multi-Region Access Point zurückzugeben. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointPolicy.html) | (Erforderlich) `s3:GetMultiRegionAccessPointPolicy` | Erforderlich, um die Zugriffssteuerungsrichtlinie des angegebenen Multi-Region Access Point zurückzugeben. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointPolicyStatus.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointPolicyStatus.html) | (Erforderlich) `s3:GetMultiRegionAccessPointPolicyStatus` | Erforderlich, um den Richtlinienstatus für einen bestimmten Multi-Region Access Point zurückzugeben und anzugeben, ob der angegebene Multi-Region Access Point eine Zugriffssteuerungsrichtlinie hat, die den öffentlichen Zugriff ermöglicht. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointRoutes.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointRoutes.html) | (Erforderlich) `s3:GetMultiRegionAccessPointRoutes` | Erforderlich, um die Routing-Konfiguration für einen Multi-Region Access Point zurückzugeben. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutMultiRegionAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutMultiRegionAccessPointPolicy.html) | (Erforderlich) `s3:PutMultiRegionAccessPointPolicy` | Erforderlich, um die Zugriffskontrollrichtlinie des angegebenen Multi-Region Access Point zu aktualisieren. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_SubmitMultiRegionAccessPointRoutes.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_SubmitMultiRegionAccessPointRoutes.html) | (Erforderlich) `s3:SubmitMultiRegionAccessPointRoutes` | Erforderlich, um eine aktualisierte Routing-Konfiguration für einen Multi-Region Access Point einzureichen. |
## Batch-Auftragsoperationen und -berechtigungen
(Batch Operations)-Auftragsoperationen sind S3-API-Operationen, die auf dem `job`-Ressourcentyp ausgeführt werden. Sie müssen S3-Richtlinienaktionen für Aufgabenoperationen in IAM-identitätsbasierten Richtlinien angeben – nicht in Bucket-Richtlinien.
In den Richtlinien muss das `Resource`-Element der `job`-ARN sein. Weitere Informationen zum `Resource`-Elementformat und Beispielrichtlinien finden Sie unter [Batch-Auftragsoperationen](security_iam_service-with-iam.md#using-with-s3-actions-related-to-batchops).
Im Folgenden wird die Zuordnung von Batch-Auftragsoperationen und erforderlichen Richtlinienaktionen beschrieben.
| API-Operationen | Richtlinienaktionen | Beschreibung der Richtlinienaktionen |
| --- | --- | --- |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteJobTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteJobTagging.html) | (Erforderlich) `s3:DeleteJobTagging` | Erforderlich, um Tags aus einem bestehenden S3-Batch-Operations-Auftrag zu entfernen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DescribeJob.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DescribeJob.html) | (Erforderlich) `s3:DescribeJob` | Erforderlich, um die Konfigurationsparameter und den Status für eine Batch-Operations-Aufgabe abzurufen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetJobTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetJobTagging.html) | (Erforderlich) `s3:GetJobTagging` | Erforderlich, um den Tag-Satz einer vorhandenen S3-Batch-Operations-Aufgabe zurückzugeben. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutJobTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutJobTagging.html) | (Erforderlich) `s3:PutJobTagging` | Erforderlich, um Tags bei einer vorhandenen S3-Batch-Operations-Aufgabe zu setzen oder zu ersetzen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UpdateJobPriority.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UpdateJobPriority.html) | (Erforderlich) `s3:UpdateJobPriority` | Erforderlich, um die Priorität eines vorhandenen Auftrags zu aktualisieren. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UpdateJobStatus.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UpdateJobStatus.html) | (Erforderlich) `s3:UpdateJobStatus` | Erforderlich, um den Status für die angegebene Aufgabe zu aktualisieren. |
## S3 Storage Lens – Konfigurationsvorgänge und Berechtigungen
S3-Storage-Lens-Konfigurationsvorgänge sind S3-API-Operationen, die auf dem Ressourcentyp `storagelensconfiguration` ausgeführt werden. Weitere Informationen zur Konfiguration von S3-Storage-Lens-Konfigurationsoperationen finden Sie unter [Festlegen der Berechtigungen für Amazon S3 Storage Lens](storage_lens_iam_permissions.md).
Nachstehend werden die Konfigurationsvorgänge von S3 Storage Lens und die erforderlichen Richtlinienaktionen zugeordnet.
| API-Operationen | Richtlinienaktionen | Beschreibung der Richtlinienaktionen |
| --- | --- | --- |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteStorageLensConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteStorageLensConfiguration.html) | (Erforderlich) `s3:DeleteStorageLensConfiguration` | Erforderlich, um die S3-Storage-Lens-Konfiguration zu löschen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteStorageLensConfigurationTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteStorageLensConfigurationTagging.html) | (Erforderlich) `s3:DeleteStorageLensConfigurationTagging` | Erforderlich, um S3-Storage-Lens-Konfigurations-Tags zu löschen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetStorageLensConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetStorageLensConfiguration.html) | (Erforderlich) `s3:GetStorageLensConfiguration` | Erforderlich, um die S3-Storage-Lens-Konfiguration abzurufen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetStorageLensConfigurationTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetStorageLensConfigurationTagging.html) | (Erforderlich) `s3:GetStorageLensConfigurationTagging` | Erforderlich, um die Tags der S3-Storage-Lens-Konfiguration abzurufen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutStorageLensConfigurationTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutStorageLensConfigurationTagging.html) | (Erforderlich) `s3:PutStorageLensConfigurationTagging` | Erforderlich, um Tags für eine bestehende S3-Storage-Lens-Konfiguration zu setzen oder zu ersetzen. |
## S3 Storage Lens – Gruppen, Vorgänge und Berechtigungen
Bei Gruppenoperationen in S3 Storage Lens handelt es sich um S3-API-Operationen, die auf dem Ressourcentyp `storagelensgroup` ausgeführt werden. Weitere Informationen zur Konfiguration von Gruppenberechtigungen für S3 Storage Lens finden Sie unter [Berechtigungen für Storage-Lens-Gruppen](storage-lens-groups.md#storage-lens-group-permissions).
Im Folgenden wird die Zuordnung von S3-Storage-Lens-Gruppenoperationen und erforderlichen Richtlinienaktionen beschrieben.
| API-Operationen | Richtlinienaktionen | Beschreibung der Richtlinienaktionen |
| --- | --- | --- |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteStorageLensGroup.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteStorageLensGroup.html) | (Erforderlich) `s3:DeleteStorageLensGroup` | Erforderlich, um eine vorhandene S3-Storage-Lens-Gruppe zu löschen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetStorageLensGroup.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetStorageLensGroup.html) | (Erforderlich) `s3:GetStorageLensGroup` | Erforderlich, um Konfigurationsdetails der S3-Storage-Lens-Gruppe abzurufen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UpdateStorageLensGroup.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UpdateStorageLensGroup.html) | (Erforderlich) `s3:UpdateStorageLensGroup` | Erforderlich, um die vorhandene S3-Storage-Lens-Gruppe zu aktualisieren. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateStorageLensGroup.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateStorageLensGroup.html) | (Erforderlich) `s3:CreateStorageLensGroup` | Erforderlich zum Erstellen einer neuen Storage-Lens-Gruppe. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateStorageLensGroup.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateStorageLensGroup.html), [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html) | (Erforderlich) `s3:CreateStorageLensGroup`, `s3:TagResource` | Erforderlich zum Erstellen einer neuen Storage-Lens-Gruppe mit Tags. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListStorageLensGroups.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListStorageLensGroups.html) | (Erforderlich) `s3:ListStorageLensGroups` | Erforderlich für die Auflistung aller Storage-Lens-Gruppen in Ihrer Heimatregion. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html) | (Erforderlich) `s3:ListTagsForResource` | Erforderlich, um die Tags aufzulisten, die zu Ihrer Storage-Lens-Gruppen hinzugefügt wurden. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html) | (Erforderlich) `s3:TagResource` | Erforderlich zum Hinzufügen oder Aktualisieren eines Storage-Lens-Gruppen-Tags für eine vorhandene Storage-Lens-Gruppe. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html) | (Erforderlich) `s3:UntagResource` | Erforderlich zum Löschen eines Tags aus einer Storage-Lens-Gruppe. |
## S3 Access Erteilt Instance-Operationen und Berechtigungen
S3 Access Grants Instance-Vorgänge sind S3-API-Vorgänge, die mit dem Ressourcentyp `accessgrantsinstance` arbeiten. Eine S3 Access Grants Instance ist ein logischer Container für Ihre Access Grants. Weitere Informationen zur Arbeit mit S3-Access-Grants-Instances finden Sie unter [Arbeiten mit S3-Access-Grants-Instances](access-grants-instance.md).
Nachfolgend finden Sie die Zuordnung der Konfigurationsvorgänge der S3 Access Grants Instance zu den erforderlichen Richtlinienaktionen.
| API-Operationen | Richtlinienaktionen | Beschreibung der Richtlinienaktionen |
| --- | --- | --- |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_AssociateAccessGrantsIdentityCenter.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_AssociateAccessGrantsIdentityCenter.html) | (Erforderlich) `s3:AssociateAccessGrantsIdentityCenter` | Erforderlich, um Ihrer S3 Access AWS IAM Identity Center Grants-Instanz eine Instanz zuzuordnen, sodass Sie Zugriffsberechtigungen für Benutzer und Gruppen in Ihrem Corporate Identity-Verzeichnis erstellen können. Sie benötigen die folgenden Berechtigungen: `sso:CreateApplication`, `sso:PutApplicationGrant` und `sso:PutApplicationAuthenticationMethod`. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessGrantsInstance.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessGrantsInstance.html) | (Erforderlich) `s3:CreateAccessGrantsInstance` | Erforderlich zur Erstellung einer S3 Access Grants Instance (`accessgrantsinstance` Ressource), die einen Container für Ihre individuellen Zugriffsrechte darstellt. Um eine AWS IAM Identity Center Instance mit Ihrer S3 Access Grants-Instanz zu verknüpfen, benötigen Sie außerdem die `sso:PutApplicationAuthenticationMethod` Berechtigungen `sso:DescribeInstance` `sso:CreateApplication``sso:PutApplicationGrant`,, und. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrantsInstance.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrantsInstance.html) | (Erforderlich) `s3:DeleteAccessGrantsInstance` | Erforderlich, um eine S3 Access Grants-Instanz (`accessgrantsinstance`Ressource) aus einem AWS-Region in Ihrem Konto zu löschen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrantsInstanceResourcePolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrantsInstanceResourcePolicy.html) | (Erforderlich) `s3:DeleteAccessGrantsInstanceResourcePolicy` | Erforderlich zum Löschen einer Ressourcenrichtlinie für Ihre S3 Access Grants Instance. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DissociateAccessGrantsIdentityCenter.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DissociateAccessGrantsIdentityCenter.html) | (Erforderlich) `s3:DissociateAccessGrantsIdentityCenter` | Erforderlich, um eine AWS IAM Identity Center Instance von Ihrer S3 Access Grants-Instanz zu trennen. Sie benötigen die folgenden Berechtigungen: `sso:DeleteApplication` |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrantsInstance.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrantsInstance.html) | (Erforderlich) `s3:GetAccessGrantsInstance` | Erforderlich, um die S3 Access Grants-Instanz für eine AWS-Region in Ihrem Konto abzurufen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrantsInstanceForPrefix.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrantsInstanceForPrefix.html) | (Erforderlich) `s3:GetAccessGrantsInstanceForPrefix` | Erforderlich für das Abrufen einer S3-Access-Grants-Instance, die ein bestimmtes Präfix enthält. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrantsInstanceResourcePolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrantsInstanceResourcePolicy.html) | (Erforderlich) `s3:GetAccessGrantsInstanceResourcePolicy` | Erforderlich, um die Ressourcenrichtlinie Ihrer S3 Access Grants-Instanz zurückzugeben. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessGrantsInstances.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessGrantsInstances.html) | (Erforderlich) `s3:ListAccessGrantsInstances` | Erforderlich für die Rückgabe einer Liste der S3-Access-Grants-Instances in Ihrem Konto. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutAccessGrantsInstanceResourcePolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutAccessGrantsInstanceResourcePolicy.html) | (Erforderlich) `s3:PutAccessGrantsInstanceResourcePolicy` | Erforderlich zur Aktualisierung der Ressourcenrichtlinie der S3 Access Grants Instance. |
## S3 Access – Gewährung von Ortungsvorgängen und -berechtigungen
S3 Access Grants Standortoperationen sind S3-API-Operationen, die mit dem Ressourcentyp `accessgrantslocation` arbeiten. Weitere Informationen zur Arbeit mit S3 Access Grants-Standorten finden Sie unter [Arbeiten mit S3-Access-Grants-Speicherorten](access-grants-location.md).
Nachfolgend finden Sie die Zuordnung der Konfigurationsvorgänge für den S3 Access Grants-Standort zu den erforderlichen Richtlinienaktionen.
| API-Operationen | Richtlinienaktionen | Beschreibung der Richtlinienaktionen |
| --- | --- | --- |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessGrantsLocation.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessGrantsLocation.html) | (Erforderlich) `s3:CreateAccessGrantsLocation` | Erforderlich zur Registrierung eines Standorts in Ihrer S3 Access Grants Instance (Erstellen einer `accessgrantslocation` Ressource). Sie müssen außerdem über die folgende Berechtigung für die angegebene IAM-Rolle verfügen: `iam:PassRole` |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrantsLocation.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrantsLocation.html) | (Erforderlich) `s3:DeleteAccessGrantsLocation` | Erforderlich, um einen registrierten Standort aus Ihrer S3 Access Grants Instance zu entfernen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrantsLocation.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrantsLocation.html) | (Erforderlich) `s3:GetAccessGrantsLocation` | Erforderlich, um die Details eines bestimmten Standorts abzurufen, der in Ihrer S3 Access Grants Instance registriert ist. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessGrantsLocations.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessGrantsLocations.html) | (Erforderlich) `s3:ListAccessGrantsLocations` | Erforderlich, um eine Liste der in Ihrer S3 Access Grants Instance registrierten Standorte zurückzugeben. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UpdateAccessGrantsLocation.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UpdateAccessGrantsLocation.html) | (Erforderlich) `s3:UpdateAccessGrantsLocation` | Erforderlich zur Aktualisierung der IAM-Rolle eines registrierten Standorts in Ihrer S3 Access Grants Instance. |
## S3 Access Grants – Gewährungsvorgänge und Berechtigungen
S3 Access Grants Grant-Operationen sind S3-API-Operationen, die mit dem Ressourcentyp `accessgrant` arbeiten. Weitere Informationen zur Arbeit mit einzelnen Zuschüssen unter Verwendung von S3 Access Grants finden Sie unter [Arbeiten mit Gewährungen in S3 Access Grants](access-grants-grant.md).
Nachfolgend finden Sie die Zuordnung zwischen den Konfigurationsvorgängen für S3 Access Grants und den erforderlichen Richtlinienaktionen.
| API-Operationen | Richtlinienaktionen | Beschreibung der Richtlinienaktionen |
| --- | --- | --- |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessGrant.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessGrant.html) | (Erforderlich) `s3:CreateAccessGrant` | Erforderlich für die Erstellung einer individuellen Berechtigung (`accessgrant` Ressource) für einen Benutzer oder eine Gruppe in Ihrer S3 Access Grants Instance. Sie benötigen die folgenden Berechtigungen: Für jede Verzeichnisidentität – `sso:DescribeInstance` und `sso:DescribeApplication` Für Verzeichnisbenutzer – `identitystore:DescribeUser` |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrant.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrant.html) | (Erforderlich) `s3:DeleteAccessGrant` | Erforderlich zum Löschen einer einzelnen Zugriffsberechtigung (`accessgrant` Ressource) aus Ihrer S3 Access Grants Instance. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrant.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrant.html) | (Erforderlich) `s3:GetAccessGrant` | Erforderlich, um die Details über eine einzelne Zugriffsberechtigung in Ihrer S3 Access Grants Instance zu erhalten. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessGrants.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessGrants.html) | (Erforderlich) `s3:ListAccessGrants` | Erforderlich, um eine Liste der einzelnen Zugriffsrechte in Ihrer S3 Access Grants Instance zurückzugeben. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListCallerAccessGrants.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListCallerAccessGrants.html) | (Erforderlich) `s3:ListCallerAccessGrants` | Erforderlich für die Auflistung der Zugriffsrechte, die dem Aufrufer den Zugriff auf Amazon S3-Daten über S3 Access Grants gewähren. |
## Kontovorgänge und Berechtigungen
Kontovorgänge sind S3-API-Operationen, die auf Kontoebene ausgeführt werden. Konto ist kein von Amazon S3 definierter Ressourcentyp. Sie müssen S3-Richtlinienaktionen für Kontooperationen in identitätsbasierten IAM-Richtlinien angeben, nicht in Bucket-Richtlinien.
In den Richtlinien muss das `Resource`-Element `"*"` sein. Weitere Informationen zu Beispielrichtlinien finden Sie unter [Kontooperationen](security_iam_service-with-iam.md#using-with-s3-actions-related-to-accounts).
Im Folgenden wird die Zuordnung von Kontooperationen und erforderlichen Richtlinienaktionen dargestellt.
| API-Operationen | Richtlinienaktionen | Beschreibung der Richtlinienaktionen |
| --- | --- | --- |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateJob.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateJob.html) | (Erforderlich) `s3:CreateJob` | Erforderlich, um einen neuen S3-Batch-Operations-Auftrag zu erstellen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateStorageLensGroup.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateStorageLensGroup.html) | (Erforderlich) `s3:CreateStorageLensGroup` | Erforderlich, um eine neue S3 Storage Lens-Gruppe zu erstellen und sie der angegebenen AWS-Konto ID zuzuordnen. |
| | (Bedingt erforderlich) `s3:TagResource` | Erforderlich, wenn Sie eine S3 Storage Lens-Gruppe mit AWS Ressourcen-Tags erstellen möchten. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeletePublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeletePublicAccessBlock.html) (Kontoebene) | (Erforderlich) `s3:PutAccountPublicAccessBlock` | Erforderlich, um die Konfiguration „Öffentlichen Zugriff blockieren“ aus einem AWS-Konto zu entfernen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPoint.html) | (Erforderlich) `s3:GetAccessPoint` | Erforderlich, um Konfigurationsinformationen über den angegebenen Zugangspunkt abzurufen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointPolicy.html) (Kontoebene) | (Erforderlich) `s3:GetAccountPublicAccessBlock` | Erforderlich, um die Konfiguration „Öffentlichen Zugriff blockieren“ für ein AWS-Konto abzurufen. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessPoints.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessPoints.html) | (Erforderlich) `s3:ListAccessPoints` | Erforderlich, um die Zugangspunkte eines S3-Buckets aufzulisten, die einem AWS-Konto gehören. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessPointsForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessPointsForObjectLambda.html) | (Erforderlich) `s3:ListAccessPointsForObjectLambda` | Erforderlich, um Object Lambda Access Points aufzulisten. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html) | (Erforderlich) `s3:ListAllMyBuckets` | Erforderlich, um eine Liste aller Buckets zurückzugeben, die dem authentifizierten Absender der Anfrage gehören. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListJobs.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListJobs.html) | (Erforderlich) `s3:ListJobs` | Erforderlich, um aktuelle und kürzlich beendete Aufträge aufzulisten. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListMultiRegionAccessPoints.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListMultiRegionAccessPoints.html) | (Erforderlich) `s3:ListMultiRegionAccessPoints` | Erforderlich, um eine Liste der Multi-Region Access Points zurückzugeben, die derzeit mit den angegebenen AWS-Konto verknüpft sind. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListStorageLensConfigurations.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListStorageLensConfigurations.html) | (Erforderlich) `s3:ListStorageLensConfigurations` | Erforderlich, um eine Liste der S3 Storage Lens-Konfigurationen für eine abzurufen AWS-Konto. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListStorageLensGroups.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListStorageLensGroups.html) | (Erforderlich) `s3:ListStorageLensGroups` | Erforderlich, um alle S3-Storage-Lens-Gruppen in der angegebenen primären AWS-Region aufzulisten. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html) (Kontoebene) | (Erforderlich) `s3:PutAccountPublicAccessBlock` | Erforderlich, um die Konfiguration „Öffentlichen Zugriff gewähren“ für ein AWS-Konto zu erstellen oder zu ändern. |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutStorageLensConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutStorageLensConfiguration.html) | (Erforderlich) `s3:PutStorageLensConfiguration` | Erforderlich, um eine S3-Storage-Lens-Konfiguration zu platzieren. |
# Richtlinien und Berechtigungen in Amazon S3
Diese Seite bietet einen Überblick über Bucket- und Benutzerrichtlinien in Amazon S3 und beschreibt die grundlegenden Elemente einer AWS Identity and Access Management (IAM-) Richtlinie. Jedes aufgelistete Element verweist auf weitere Details zu diesem Element und auf Beispiele für die Verwendung dieses Elements.
Eine vollständige Liste der Amazon S3-Aktionen, -Ressourcen und -Bedingungen finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html) in der *Service-Authorization-Referenz*.
Weitere Informationen zu den Berechtigungen für S3-API-Operationen nach S3-Ressourcentypen finden Sie unter [Erforderliche Berechtigungen für Amazon-S3-API-Operationen](using-with-s3-policy-actions.md).
In ihrer einfachsten Form enthält eine Richtlinie die folgenden Elemente:
+ [Resource](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-resources) – Der Amazon-S3-Bucket, das Objekt, der Zugangspunkt oder der Auftrag, für den die Richtlinie gilt. Verwenden Sie den Amazon-Ressourcennamen (ARN) des Buckets, Objekts, Zugangspunkts oder Auftrags, um die Ressource zu identifizieren.
Ein Beispiel für Operationen auf Bucket-Ebene:
`"Resource": "arn:aws:s3:::bucket_name"`
Beispiele für Operationen auf Objektebene:
+ `"Resource": "arn:aws:s3:::bucket_name/*"` für all Objekte im Bucket.
+ `"Resource": "arn:aws:s3:::bucket_name/prefix/*"` für Objekte unter einem bestimmten Präfix im Bucket.
Weitere Informationen finden Sie unter [Richtlinienressourcen für Amazon S3](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-resources).
+ [Actions](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-actions) – Für jede Ressource unterstützt Amazon S3 eine Reihe von Operationen. Sie identifizieren RessourcenVorgänge, die Sie zulassen (oder ablehnen) können, indem Sie Aktionsschlüsselwörter verwenden.
Beispielsweise ermöglicht die Berechtigung `s3:ListBucket` dem Benutzer die Verwendung der Amazon-S3-Operation [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html). (Bei der `s3:ListBucket`-Berechtigung handelt es sich um einen Fall, in dem der Aktionsname nicht direkt dem Namen der Operation zugeordnet ist.) Weitere Informationen zur Verwendung von Amazon-S3-Aktionen finden Sie unter [Richtlinienaktionen für Amazon S3](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-actions). Eine vollständige Liste der Amazon-S3-Aktionen finden Sie unter [Aktionen](https://docs.aws.amazon.com/AmazonS3/latest/API/API_Operations.html) in der *API-Referenz zu Amazon Simple Storage Service*.
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html) – Welche Auswirkung es hat, wenn der Benutzer die spezifische Aktion anfordert – dies kann entweder `Allow` oder `Deny` sein.
Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten („Allow“), wird er automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So könnten Sie z. B. sicherstellen, dass ein Benutzer nicht auf die Ressource zugreifen kann, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Effect](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html) im *IAM-Benutzerhandbuch*.
+ [Principal](security_iam_service-with-iam.md#s3-bucket-user-policy-specifying-principal-intro) – Das Konto oder der Benutzer, das oder der Zugriff auf die Aktionen und Ressourcen in der Anweisung hat. In einer Bucket-Richtlinie ist der Prinzipal der Benutzer, das Konto, der Service oder eine andere Entität, der/die/das der Empfänger dieser Berechtigung ist. Weitere Informationen finden Sie unter [Prinzipale für Bucket-Richtlinien](security_iam_service-with-iam.md#s3-bucket-user-policy-specifying-principal-intro).
+ [Condition](amazon-s3-policy-keys.md) – Bedingungen für den Zeitpunkt, an dem eine Richtlinie in Kraft ist. Sie können AWS umfassende Schlüssel und Amazon S3-spezifische Schlüssel verwenden, um Bedingungen in einer Amazon S3 S3-Zugriffsrichtlinie festzulegen. Weitere Informationen finden Sie unter [Beispiele für Bucket-Richtlinien mit Bedingungsschlüsseln](amazon-s3-policy-keys.md).
Die folgende Bucket-Beispielrichtlinie zeigt die Elemente `Effect`, `Principal`, `Action` und `Resource`. Die Richtlinie gewährt `Akua`, einem Benutzer im Konto `123456789012`, die Amazon-S3-Berechtigungen `s3:GetObject`, `s3:GetBucketLocation` und `s3:ListBucket` im `amzn-s3-demo-bucket1`-Bucket.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "ExamplePolicy01",
"Statement": [
{
"Sid": "ExampleStatement01",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Akua"
},
"Action": [
"s3:GetObject",
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1/*",
"arn:aws:s3:::amzn-s3-demo-bucket1"
]
}
]
}
```
------
Ausführliche Informationen zur Richtliniensprache finden Sie unter [Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) und [IAM-JSON-Richtlinienreferenz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) im *IAM-Benutzerhandbuch*.
## Berechtigungsdelegation
Wenn einem eine Ressource AWS-Konto gehört, kann er diese Berechtigungen einem anderen gewähren. AWS-Konto Dieses Konto kann diese Berechtigungen oder eine Untermenge davon an Benutzer in dem Konto delegieren. Dies wird auch als *Berechtigungsdelegation* bezeichnet. Ein Konto, das Berechtigungen von einem anderen Konto erhält, kann die Berechtigungen nicht kontenübergreifend an ein anderes AWS-Konto delegieren.
## Amazon-S3-Bucket- und Objekt-Eigentümerschaft
Buckets und Objekte sind Amazon-S3-Ressourcen. Standardmäßig kann nur der jeweilige Eigentümer auf diese Ressourcen zugreifen. Der Ressourcenbesitzer bezieht sich auf den AWS-Konto , der die Ressource erstellt hat. Beispiel:
+ Derjenige AWS-Konto , den Sie verwenden, um Buckets zu erstellen und Objekte hochzuladen, besitzt diese Ressourcen.
+ Wenn Sie ein Objekt mit AWS Identity and Access Management (IAM-) Benutzer- oder Rollenanmeldedaten hochladen, gehört AWS-Konto das Objekt dem Benutzer oder der Rolle, zu der der Benutzer oder die Rolle gehört.
+ Ein Bucket-Eigentümer kann einem anderen AWS-Konto (oder Benutzern in einem anderen Konto) kontenübergreifende Berechtigungen erteilen, um Objekte hochzuladen. In diesem Fall gehören diese Objekte dem AWS-Konto , das sie hochlädt. Der Bucket-Eigentümer besitzt keine Berechtigungen für die Objekte, die anderen Konten gehören, mit den folgenden Ausnahmen:
+ Der Bucket-Eigentümer zahlt die Rechnungen. Ein Bucket-Eigentümer kann explizit den Zugriff auf Objekte verweigern oder Objekte im Bucket löschen, unabhängig davon, wem sie gehören.
+ Ein Bucket-Eigentümer kann Objekte archivieren oder archivierte Objekte wiederherstellen, unabhängig davon, wem sie gehören. Die Archivierung bezieht sich auf die Speicherklasse, die beim Speichern der Objekte verwendet wurde. Weitere Informationen finden Sie unter [Verwalten des Lebenszyklus von Objekten](object-lifecycle-mgmt.md).
### Eigentümerschaft und Anforderungsauthentifizierung
Alle Anforderungen nach einem Bucket sind authentifiziert oder nicht authentifiziert. Authentifizierte Anforderungen müssen einen Signaturwert enthalten, der den Absender der Anforderung authentifiziert, und für nicht authentifizierte Anforderungen gilt dies nicht. Weitere Informationen zur Anforderungsauthentifizierung finden Sie unter [Senden von Anforderungen](https://docs.aws.amazon.com/AmazonS3/latest/API/MakingRequests.html) in der *Amazon-S3-API-Referenz*.
Der Eigentümer eines Buckets kann nicht authentifizierte Anforderungen zulassen. So sind beispielsweise nicht authentifizierte [https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPUT.html](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPUT.html)-Anforderungen erlaubt, wenn für einen Bucket eine öffentliche Bucket-Richtlinie gilt oder wenn eine Bucket-ACL `WRITE` oder `FULL_CONTROL` Zugriff für die `All Users`-Gruppe oder für anonyme Benutzer gewährt. Weitere Informationen zu öffentlichen Bucket-Richtlinien und öffentlichen Zugriffskontrolllisten (ACLs) finden Sie unter[Die Bedeutung von „öffentlich“](access-control-block-public-access.md#access-control-block-public-access-policy-status).
Alle nicht authentifizierten Anforderungen werden vom anonymen Benutzer erstellt. Dieser Benutzer wird ACLs durch die spezifische kanonische Benutzer-ID repräsentiert. `65a011a29cdf8ec533ec3d1ccaae921c` Wenn ein Objekt mit einer nicht authentifizierten Anforderung zu einem Bucket hochgeladen wird, ist der anonyme Benutzer Eigentümer des Objekts. Die Standard-Objekt-ACL gewährt dem anonymen Benutzer als dem Eigentümer des Objekts `FULL_CONTROL`. Daher erlaubt Amazon S3, dass nicht authentifizierte Anforderungen das Objekt abrufen oder seine ACL modifizieren.
Um zu verhindern, dass Objekte vom anonymen Benutzer geändert werden, empfehlen wir, keine Bucket-Richtlinien zu implementieren, die anonyme öffentliche Schreibvorgänge in Ihren Bucket zulassen, oder solche zu verwenden ACLs , die dem anonymen Benutzer Schreibzugriff auf Ihren Bucket gewähren. Sie können diese empfohlene Verhaltensweise durch die Verwendung von Amazon S3 Block Public Access erzwingen.
Weitere Informationen zum Blockieren des öffentlichen Zugriffs finden Sie unter [Blockieren des öffentlichen Zugriffs auf Ihren Amazon-S3-Speicher](access-control-block-public-access.md). Mehr über ACLs erfahren Sie unter [Zugriffskontrolllisten (ACL) – Übersicht](acl-overview.md).
**Wichtig**
Wir empfehlen, dass Sie die AWS-Konto Root-Benutzeranmeldedaten nicht verwenden, um authentifizierte Anfragen zu stellen. Erstellen Sie stattdessen eine IAM-Rolle, der Sie vollständigen Zugriff gewähren. Wir bezeichnen Benutzer mit dieser Rolle als *Administratorbenutzer*. Sie können die der Administratorrolle zugewiesenen Anmeldeinformationen anstelle von AWS-Konto Root-Benutzeranmeldedaten verwenden, um mit Aufgaben wie dem Erstellen eines Buckets, dem Erstellen von Benutzern AWS und dem Erteilen von Berechtigungen zu interagieren und diese auszuführen. Weitere Informationen finden Sie unter [AWS -Sicherheitsanmeldeinformationen](https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html) und [Bewährte Methoden für die Gewährleistung der Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
# Bucket-Richtlinien für Amazon S3
Eine Bucket-Richtlinie ist eine auf Ressourcen basierende Richtlinie, die Sie verwenden können, um Zugriffsberechtigungen für Ihren Amazon-S3-Bucket und die darin enthaltenen Objekte zu erteilen. Nur der Bucket-Eigentümer kann einem Bucket eine Richtlinie zuordnen. Die dem Bucket zugeordneten Berechtigungen gelten für alle Objekte im Bucket, die dem Bucket-Eigentümer gehören. Diese Berechtigungen gelten nicht für Objekte, die anderen gehören AWS-Konten.
S3 Object Ownership ist eine Einstellung auf Amazon S3 S3-Bucket-Ebene, mit der Sie den Besitz von Objekten kontrollieren können, die in Ihren Bucket hochgeladen wurden, und um Zugriffskontrolllisten zu deaktivieren oder zu aktivieren ()ACLs. Standardmäßig ist für Object Ownership die Einstellung Bucket Owner erforced festgelegt, und alle sind ACLs deaktiviert. Der Bucket-Eigentümer besitzt alle Objekte im Bucket und verwaltet den Datenzugriff ausschließlich mithilfe von Richtlinien.
Bucket-Richtlinien verwenden eine JSON-basierte AWS Identity and Access Management (IAM) Richtliniensprache. Sie können Bucket-Richtlinien verwenden, um Berechtigungen für die Objekte in einem Bucket hinzuzufügen oder zu verweigern. Bucket-Richtlinien können Anforderungen basierend auf den Elementen in der Richtlinie erlauben oder verweigern. Diese Elemente umfassen den Anforderer, S3-Aktionen, Ressourcen und Aspekte oder Bedingungen der Anforderung (z. B. die IP-Adresse, die für die Anforderung verwendet wird).
Sie können z. B. eine Bucket-Richtlinie erstellen, die Folgendes bewirkt:
+ Erteilt anderen Konten kontoübergreifende Berechtigungen für das Hochladen von Objekten in Ihren S3-Bucket
+ Stellt sicher, dass Sie als Bucket-Eigentümer die volle Kontrolle über die hochgeladenen Objekte haben
Weitere Informationen finden Sie unter [Beispiele für Amazon-S3-Bucket-Richtlinien](example-bucket-policies.md).
**Wichtig**
Sie können eine Bucket-Richtlinie nicht verwenden, um Löschungen oder Übergänge durch eine [S3-Lifecycle](object-lifecycle-mgmt.md)-Regel zu verhindern. Selbst wenn Ihre Bucket-Richtlinie beispielsweise alle Aktionen für alle Prinzipale ablehnt, funktioniert Ihre S3-Lifecycle-Konfiguration weiterhin wie gewohnt.
Die Themen in diesem Abschnitt enthalten Beispiele und zeigen Ihnen, wie Sie in der S3-Konsole eine Bucket-Richtlinie hinzufügen können. Weitere Informationen über identitätsbasierten Richtlinien finden Sie unter [Identitätsbasierte Richtlinien für Amazon S3](security_iam_id-based-policy-examples.md). Weitere Informationen zur Sprache der Bucket-Richtlinie finden Sie unter [Richtlinien und Berechtigungen in Amazon S3](access-policy-language-overview.md).
Weitere Informationen zu den Berechtigungen für S3-API-Operationen nach S3-Ressourcentypen finden Sie unter [Erforderliche Berechtigungen für Amazon-S3-API-Operationen](using-with-s3-policy-actions.md).
**Topics**
+ [Hinzufügen einer Bucket-Richtlinie mit der Amazon-S3-Konsole](add-bucket-policy.md)
+ [Steuern des Zugriffs von VPC-Endpunkten mit Bucket-Richtlinien](example-bucket-policies-vpc-endpoint.md)
+ [Beispiele für Amazon-S3-Bucket-Richtlinien](example-bucket-policies.md)
+ [Beispiele für Bucket-Richtlinien mit Bedingungsschlüsseln](amazon-s3-policy-keys.md)
# Hinzufügen einer Bucket-Richtlinie mit der Amazon-S3-Konsole
Sie können die den [AWS -Richtliniengenerator](https://aws.amazon.com/blogs/aws/aws-policy-generator/) und die Amazon-S3-Konsole verwenden, um eine neue Bucket-Richtlinie hinzuzufügen oder eine vorhandene zu bearbeiten. Eine Bucket-Richtlinie ist eine ressourcenbasierte AWS Identity and Access Management (IAM) Richtlinie. Sie fügen einem Bucket eine Bucket-Richtlinie hinzu, um anderen AWS-Konten oder IAM-Benutzern Zugriffsberechtigungen für den Bucket und die darin enthaltenen Objekte zu gewähren. Objektberechtigungen gelten nur für die Objekte, die der Bucket-Eigentümer erstellt. Weitere Informationen zu Bucket-Richtlinien finden Sie unter [Identitäts- und Zugriffsverwaltung für Amazon S3](security-iam.md).
Beheben Sie Sicherheitswarnungen, Fehler, allgemeine Warnungen und Vorschläge von AWS Identity and Access Management Access Analyzer bevor Sie Ihre Richtlinie speichern. IAM Access Analyzer führt Richtlinienprüfungen durch, um Ihre Richtlinie anhand der [IAM-Richtliniengrammatik](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_grammar.html) und der [bewährten Methoden](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) zu validieren. Diese Prüfungen generieren Ergebnisse und bieten umsetzbare Empfehlungen, die Sie beim Erstellen von Richtlinien unterstützen, die funktionsfähig sind und den bewährten Methoden für Sicherheit entsprechen. Weitere Informationen zum Validieren von Richtlinien mit IAM Access Analyzer finden Sie unter [Validierung der IAM-Access-Analyzer-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*. Eine Liste der Warnungen, Fehler und Vorschläge, die von IAM Access Analyzer zurückgegeben werden, finden Sie unter [IAM-Access-Analyzer-Richtlinienprüfungsreferenz](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html).
Hinweise zur Behebung von Fehlern mit einer Richtlinie finden Sie unter [Beheben von „Zugriff verweigert“-Fehlern (403 Forbidden) in Amazon S3](troubleshoot-403-errors.md).
**Eine Bucket-Richtlinie erstellen oder bearbeiten**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie im linken Navigationsbereich **Allzweck-Buckets** oder **Verzeichnis-Buckets** aus.
1. Wählen Sie in der Liste der Buckets den Namen des Buckets aus, für den Sie eine Bucket-Richtlinie erstellen wollen oder dessen Bucket-Richtlinie Sie bearbeiten wollen.
1. Wählen Sie die Registerkarte **Berechtigungen**.
1. Wählen Sie unter **Bucket-Richtlinie** **Bearbeiten** aus. Die Seite **Edit bucket policy** (Bucket-Richtlinie bearbeiten) wird angezeigt.
1. Führen Sie auf der Seite **Edit bucket policy** (Bucket-Richtlinie bearbeiten) einen der folgenden Schritte aus:
+ Beispiele für Bucket-Richtlinien finden Sie unter **Richtlinienbeispiele**. Oder schauen Sie unter [Beispiele für Amazon-S3-Bucket-Richtlinien](example-bucket-policies.md) im *Amazon-S3-Benutzerhandbuch* nach.
+ Um eine Richtlinie automatisch zu generieren oder den JSON im Abschnitt **Policy** (Richtlinie) zu bearbeiten, wählen Sie **Policy generator** (Richtliniengenerator) aus.
Wenn Sie den **Policy-Generator** wählen, wird der AWS Policy-Generator in einem neuen Fenster geöffnet.
1. Wählen Sie auf der Seite **AWS Policy Generator** (Richtliniengenerator) unter **Select Type of Policy** (Richtlinientyp auswählen) die Option **S3 Bucket Policy** (S3-Bucket-Richtlinie) aus.
1. Fügen Sie eine Anweisung hinzu, indem Sie die Informationen in die bereitgestellten Felder eingeben, und wählen Sie dann **Anweisung hinzufügen**. Wiederholen Sie diesen Vorgang für so viele Anweisungen, wie Sie hinzufügen möchten. Weitere Informationen zu diesen Feldern finden Sie in der Referenz zu den [IAM-JSON-Richtlinienelementen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
**Anmerkung**
Der Einfachheit halber zeigt die Seite **Bucket-Richtlinie bearbeiten** den **Bucket ARN** (Amazon-Ressourcenname) des aktuellen Buckets über dem Textfeld **Richtlinie** an. Sie können diesen ARN zur Verwendung in den Anweisungen auf der Seite **AWS -Richtliniengenerator** kopieren.
1. Wenn Sie mit dem Hinzufügen von Anweisungen fertig sind, wählen Sie **Generieren von Richtlinien**.
1. Kopieren Sie den generierten Richtlinientext, wählen Sie **Schließen** und kehren Sie zur Seite **Bucket-Richtlinie bearbeiten** in der Amazon-S3-Konsole zurück.
1. Bearbeiten Sie im Feld **Richtlinie** die bestehende Richtlinie oder fügen Sie die Bucket-Richtlinie aus dem AWS Richtliniengenerator ein. Beheben Sie Sicherheitswarnungen, Fehler, allgemeine Warnungen und Vorschläge bevor Sie Ihre Richtlinie speichern.
**Anmerkung**
Bucket-Richtlinien sind auf eine Größe von 20 KB beschränkt.
1. (Optional) Wählen Sie unten rechts **Preview external access** (Vorschau des externen Zugriffs) aus, um eine Vorschau anzuzeigen, wie sich Ihre neue Richtlinie auf den öffentlichen und kontoübergreifenden Zugriff auf Ihre Ressource auswirkt. Bevor Sie Ihre Richtlinie speichern, können Sie überprüfen, ob sie neue IAM-Access-Analyzer-Ergebnisse einführt oder vorhandene Ergebnisse löst. Wenn Sie keinen aktiven Analyzer sehen, wählen Sie **Go to Access Analyzer** (Zu Access Analyzer wechseln) aus, um [einen Account Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html#access-analyzer-enabling) in IAM Access Analyzer zu erstellen. Weitere Informationen finden Sie unter [Zugriffsvorschau](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-access-preview.html) im *IAM-Benutzerhandbuch*.
1. Wählen Sie **Save changes** (Änderungen speichern) aus, wodurch Sie zur Registerkarte **Permissions** (Berechtigungen) zurückkehren.
# Steuern des Zugriffs von VPC-Endpunkten mit Bucket-Richtlinien
Sie können Amazon S3 S3-Bucket-Richtlinien verwenden, um den Zugriff auf Buckets von bestimmten oder bestimmten Virtual Private Cloud (VPC) -Endpunkten aus zu kontrollieren. VPCs Dieser Abschnitt enthält Beispiele für Bucket-Richtlinien, die Sie für die Steuerung des Zugriffs auf Amazon-S3-Buckets von VPC-Endpunkten aus verwenden können. Informationen zum Einrichten von VPC-Endpunkten finden Sie unter [VPC-Endpunkte](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) im *VPC-Benutzerhandbuch*.
Mit einer VPC können Sie AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk starten. Mithilfe eines VPC-Endpunkts können Sie eine private Verbindung zwischen Ihrer VPC und anderen AWS-Service-Services erstellen. Für diese private Verbindung ist kein Zugriff über das Internet, eine Virtual Private Network (VPN)-Verbindung, eine NAT-Instance oder Direct Connect erforderlich.
Ein Amazon VPC-Endpunkt für Amazon S3 ist eine logische Entität innerhalb einer VPC, die eine Verbindung nur zu Amazon S3 zulässt. Der VPC-Endpunkt leitet Anfragen an Amazon S3 weiter und die Antworten zurück an die VPC. VPC-Endpunkte steuern nur, wie Anfragen weitergeleitet werden. Die öffentlichen Endpunkte und DNS-Namen von Amazon S3 verwenden weiterhin VPC-Endpunkte. Wichtige Informationen zur Verwendung von VPC-Endpunkten mit Amazon S3 finden Sie unter [Gateway-Endpunkte](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-gateway.html) und [Gateway-Endpunkte für Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html) im *VPC-Benutzerhandbuch*.
VPC-Endpunkte für Amazon S3 bieten zwei Möglichkeiten, den Zugriff auf Ihre Amazon-S3-Daten zu steuern:
+ Sie können steuern, welche Anfragen, Benutzer oder Gruppen durch einen spezifischen VPC-Endpunkt erlaubt sind. Informationen zu dieser Art der Zugriffssteuerung finden Sie unter [Steuerung des Zugriffs auf Services mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) im *VPC-Benutzerhandbuch*.
+ Mithilfe der Amazon S3 S3-Bucket-Richtlinien können Sie kontrollieren, welche VPCs oder VPC-Endpunkte Zugriff auf Ihre Buckets haben. Beispiele für diese Art Zugriffssteuerung durch Bucket-Richtlinien finden Sie in den folgenden Themen zur Zugriffsbeschränkung.
**Topics**
+ [Beschränken des Zugriffs auf einen bestimmten VPC-Endpunkt](#example-bucket-policies-restrict-accesss-vpc-endpoint)
+ [Beschränkung des Zugriffs auf eine bestimmte VPC](#example-bucket-policies-restrict-access-vpc)
+ [Beschränken des Zugriffs auf einen IPv6 VPC-Endpunkt](#example-bucket-policies-ipv6-vpc-endpoint)
**Wichtig**
Beim Anwenden der in diesem Abschnitt beschriebenen Amazon-S3-Bucket-Richtlinien für VPC-Endpunkte könnten Sie möglicherweise unbeabsichtigt Ihren Zugriff auf den Bucket blockieren. Bucket-Berechtigungen, die den Bucket-Zugriff auf Verbindungen, die von Ihrem VPC-Endpunkt ausgehen, gezielt einschränken sollen, können alle Verbindungen zum Bucket blockieren. Informationen zur Behebung dieses Problems finden Sie unter [Wie behebe ich meine Bucket-Richtlinie, wenn sie die falsche VPC- oder VPC-Endpunkt-ID hat?](https://aws.amazon.com/premiumsupport/knowledge-center/s3-regain-access/) im *AWS Support -Wissenszentrum*.
## Beschränken des Zugriffs auf einen bestimmten VPC-Endpunkt
Nachfolgend finden Sie ein Beispiel für eine Amazon-S3-Bucket-Richtlinie, die den Zugriff auf einen bestimmten Bucket einschränkt, `awsexamplebucket1`, nur vom VPC-Endpunkt mit der ID `vpce-1a2b3c4d`. Wenn der angegebene Endpunkt nicht verwendet wird, verweigert die Richtlinie jeglichen Zugriff auf den Bucket. Die `aws:SourceVpce`-Bedingung gibt den Endpunkt an. Die `aws:SourceVpce`-Bedingung erfordert keinen Amazon-Ressourcennamen (ARN) für die VPC-Endpunkt-Ressource, sondern nur die VPC-Endpunkt-ID. Weitere Informationen über die Verwendung von Bedingungen in einer Richtlinie finden Sie unter [Beispiele für Bucket-Richtlinien mit Bedingungsschlüsseln](amazon-s3-policy-keys.md).
**Wichtig**
Bevor Sie die folgende Beispielrichtlinie verwenden, ersetzen Sie die VPC-Endpunkt-ID durch einen geeigneten Wert für Ihren Anwendungsfall. Andernfalls können Sie nicht auf Ihren Bucket zugreifen.
Diese Richtlinie deaktiviert den Konsolenzugriff auf den angegebenen Bucket, da Konsolenanforderungen nicht vom angegebenen VPC-Endpunkt stammen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Policy1415115909152",
"Statement": [
{
"Sid": "Access-to-specific-VPCE-only",
"Principal": "*",
"Action": "s3:*",
"Effect": "Deny",
"Resource": ["arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"],
"Condition": {
"StringNotEquals": {
"aws:SourceVpce": "vpce-0abcdef1234567890"
}
}
}
]
}
```
------
## Beschränkung des Zugriffs auf eine bestimmte VPC
Sie können eine Bucket-Richtlinie mit der `aws:SourceVpc`-Bedingung erstellen, die den Zugriff auf eine bestimmte VPC beschränkt. Dies ist hilfreich, wenn Sie mehrere VPC-Endpunkte innerhalb derselben VPC konfiguriert haben und den Zugriff auf Amazon-S3-Buckets für alle Endpunkte verwalten möchten. Nachfolgend finden Sie eine Beispielrichtlinie, die `awsexamplebucket1` den Zugriff auf seine Objekte von Benutzern außerhalb der VPC `vpc-111bbb22` verweigert. Wenn die angegebene VPC nicht verwendet wird, lehnt die Richtlinie sämtlichen Zugriff auf den Bucket ab. Diese Anweisung gewährt keinen Zugriff auf den Bucket. Um Zugriff zu gewähren, müssen Sie eine separate `Allow`-Anweisung hinzufügen. Für den `vpc-111bbb22`-Bedingungsschlüssel wird kein ARN für die VPC-Ressource benötigt, sondern nur die VPC-ID.
**Wichtig**
Bevor Sie die folgende Beispielrichtlinie verwenden, ersetzen Sie die VPC-ID durch einen geeigneten Wert für Ihren Anwendungsfall. Andernfalls können Sie nicht auf Ihren Bucket zugreifen.
Diese Richtlinie deaktiviert den Konsolenzugriff auf den angegebenen Bucket, da Konsolenanforderungen nicht von der angegebenen VPC stammen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Policy1415115909153",
"Statement": [
{
"Sid": "Access-to-specific-VPC-only",
"Principal": "*",
"Action": "s3:*",
"Effect": "Deny",
"Resource": ["arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"],
"Condition": {
"StringNotEquals": {
"aws:SourceVpc": "vpc-1a2b3c4d"
}
}
}
]
}
```
------
## Beschränken des Zugriffs auf einen IPv6 VPC-Endpunkt
Die folgende Beispielrichtlinie verweigert alle Amazon S3 (`s3:`) -Aktionen für den *amzn-s3-demo-bucket* Bucket und seine Objekte, es sei denn, die Anfrage stammt vom angegebenen VPC-Endpunkt (`vpce-0a1b2c3d4e5f6g`) und die Quell-IP-Adresse entspricht dem angegebenen IPv6 CIDR-Block.
```
{
"Version": "2012-10-17",
"Id": "Policy1415115909154",
"Statement": [
{
"Sid": "AccessSpecificIPv6VPCEOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": ["arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"],
"Condition": {
"StringNotEquals": {
"aws:SourceVpc": "vpc-0a1b2c3d4e5f6g4h2"
},
"NotIpAddress": {
"aws:VpcSourceIp": "2001:db8::/32"
}
}
}
]
}
```
Informationen dazu, wie Sie den Zugriff auf Ihren Bucket auf der Grundlage bestimmter IPs oder einschränken können VPCs, finden Sie unter [Wie erlaube ich nur bestimmten VPC-Endpunkten oder IP-Adressen den Zugriff auf meinen Amazon S3 S3-Bucket](https://repost.aws/knowledge-center/block-s3-traffic-vpc-ip)? im AWS re:Post Knowledge Center.
# Beispiele für Amazon-S3-Bucket-Richtlinien
Mit Amazon-S3-Bucket-Richtlinien können Sie den Zugriff auf Objekte in Ihren Buckets sichern, sodass nur Benutzer mit den entsprechenden Berechtigungen darauf zugreifen können. Sie können sogar verhindern, dass authentifizierte Benutzer ohne die entsprechenden Berechtigungen auf Ihre Amazon-S3-Ressourcen zugreifen.
Dieser Abschnitt veranschaulicht Beispiele für typische Anwendungsfälle für Bucket-Richtlinien. Diese Beispielrichtlinien verwenden `amzn-s3-demo-bucket` als Ressourcenwert. Wenn Sie diese Richtlinien testen möchten, ersetzen Sie die `user input placeholders` durch Ihre eigenen Informationen (z. B. Ihren Bucket-Namen).
Um einer Gruppe von Objekten Berechtigungen zu gewähren oder zu verweigern, können Sie Platzhalterzeichen (`*`) in Amazon-Ressourcennamen (ARNs) und anderen Werten verwenden. Sie können beispielsweise den Zugriff auf Gruppen von Objekten steuern, die mit einem gemeinsamen [Präfix](https://docs.aws.amazon.com/general/latest/gr/glos-chap.html#keyprefix) beginnen oder mit einer bestimmten Erweiterung wie `.html` enden.
Weitere Informationen zur AWS Identity and Access Management (IAM-) Richtliniensprache finden Sie unter. [Richtlinien und Berechtigungen in Amazon S3](access-policy-language-overview.md)
Weitere Informationen zu den Berechtigungen für S3-API-Operationen nach S3-Ressourcentypen finden Sie unter [Erforderliche Berechtigungen für Amazon-S3-API-Operationen](using-with-s3-policy-actions.md).
**Anmerkung**
Beim Testen von Berechtigungen unter Verwendung der Amazon-S3-Konsole erteilen Sie zusätzliche Berechtigungen, die die Konsole benötigt – `s3:ListAllMyBuckets`, `s3:GetBucketLocation` und `s3:ListBucket`. Ein detailliertes Beispiel für eine Richtlinie, die Berechtigungen für Benutzer erteilt und diese Berechtigungen unter Verwendung der Konsole testet, finden Sie unter [Kontrollieren des Zugriffs auf einen Bucket mit Benutzerrichtlinien](walkthrough1.md).
Zusätzliche Ressourcen zur Erstellung von Bucket-Richtlinien umfassen Folgendes:
+ Eine Liste der IAM-Richtlinienaktionen, -Ressourcen und -Bedingungsschlüssel, die Sie beim Erstellen einer Bucket-Richtlinie verwenden können, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html) in der *Service-Authorization-Referenz*.
+ Weitere Informationen zu den Berechtigungen für S3-API-Operationen nach S3-Ressourcentypen finden Sie unter [Erforderliche Berechtigungen für Amazon-S3-API-Operationen](using-with-s3-policy-actions.md).
+ Anleitungen zur Erstellung einer S3-Richtlinie finden Sie unter [Hinzufügen einer Bucket-Richtlinie mit der Amazon-S3-Konsole](add-bucket-policy.md).
+ Informationen zur Behebung von Fehlern mit einer Richtlinie finden Sie unter [Beheben von „Zugriff verweigert“-Fehlern (403 Forbidden) in Amazon S3](troubleshoot-403-errors.md).
Wenn Sie Probleme beim Hinzufügen oder Aktualisieren einer Richtlinie haben, finden Sie weitere Informationen unter [Warum erhalte ich die Fehlermeldung „Ungültiger Hauptbenutzer in der Richtlinie“, wenn ich versuche, meine Amazon S3 S3-Bucket-Richtlinie zu aktualisieren?](https://repost.aws/knowledge-center/s3-invalid-principal-in-policy-error) im AWS re:Post Knowledge Center.
**Topics**
+ [Erteilen einer Leseberechtigung an einen öffentlichen anonymen Benutzer](#example-bucket-policies-anonymous-user)
+ [Erfordern von Verschlüsselung](#example-bucket-policies-encryption)
+ [Verwaltung von Buckets mithilfe von Containern ACLs](#example-bucket-policies-public-access)
+ [Verwaltung des Objektzugriffs mit Objektmarkierung](#example-bucket-policies-object-tags)
+ [Verwalten des Objektzugriffs mithilfe globaler Bedingungsschlüssel](#example-bucket-policies-global-condition-keys)
+ [Verwalten des Zugriffs auf der Grundlage von HTTP- oder HTTPS-Anforderungen](#example-bucket-policies-HTTP-HTTPS)
+ [Verwalten des Benutzerzugriffs auf bestimmte Ordner](#example-bucket-policies-folders)
+ [Verwalten des Zugriffs für Zugriffsprotokolle](#example-bucket-policies-access-logs)
+ [Zugriff auf eine Amazon CloudFront OAI verwalten](#example-bucket-policies-cloudfront)
+ [Verwalten des Zugriffs für Amazon S3 Storage Lens](#example-bucket-policies-lens)
+ [Verwalten von Berechtigungen für S3 Inventory, S3 Analytics und S3-Inventory-Berichte](#example-bucket-policies-s3-inventory)
+ [Verlangen von MFA](#example-bucket-policies-MFA)
+ [Benutzer daran hindern, Objekte zu löschen](#using-with-s3-actions-related-to-bucket-subresources)
## Erteilen einer Leseberechtigung an einen öffentlichen anonymen Benutzer
Sie können Ihre Richtlinieneinstellungen verwenden, um öffentlichen anonymen Benutzern Zugriff zu gewähren. Dies ist nützlich, wenn Sie Ihren Bucket als statische Website konfigurieren. Um öffentlichen anonymen Benutzern Zugriff gewähren zu können, müssen Sie die Block-Public-Access-Einstellungen für Ihren Bucket deaktivieren. Weitere Information dazu sowie zur erforderlichen Richtlinie finden Sie unter [Festlegen von Berechtigungen für den Website-Zugriff](WebsiteAccessPermissionsReqd.md). Informationen zum Einrichten restriktiverer Richtlinien für denselben Zweck finden Sie unter [Wie kann ich öffentlichen Lesezugriff auf einige Objekte in meinem Amazon S3 S3-Bucket gewähren?](https://repost.aws/knowledge-center/read-access-objects-s3-bucket) im AWS Knowledge Center.
Standardmäßig blockiert Amazon S3 den öffentlichen Zugriff auf Ihr Konto und Ihre Buckets. Wenn Sie einen Bucket verwenden möchten, um eine statische Website zu hosten, können Sie diese Schritte verwenden, um Ihre Einstellungen für Block Public Access zu bearbeiten:
**Warnung**
Bevor Sie diesen Schritt ausführen, lesen Sie den Abschnitt [Blockieren des öffentlichen Zugriffs auf Ihren Amazon-S3-Speicher](access-control-block-public-access.md), um sicherzustellen, dass Sie die mit dem Zulassen eines öffentlichen Zugriffs verbundenen Risiken kennen und akzeptieren. Wenn Sie die Einstellungen für Block Public Access deaktivieren, um Ihren Bucket öffentlich zu machen, kann jeder im Internet auf Ihren Bucket zugreifen. Wir empfehlen Ihnen, den gesamten öffentlichen Zugriff auf Ihre Buckets zu blockieren.
1. Öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie den Namen des Buckets aus, den Sie als statische Website konfiguriert haben.
1. Wählen Sie **Permissions (Berechtigungen)**.
1. Wählen Sie unter **Block public access (bucket settings) (Öffentlichen Zugriff blockieren (Bucket-Einstellungen))**, die Option **Edit (Bearbeiten)**.
1. Löschen Sie **Block *all* public access (Gesamten öffentlichen Zugriff blockieren)** und wählen Sie **Save (Speichern)**.
![\[Die Amazon-S3-Konsole mit den Bucket-Einstellungen für „Öffentlichen Zugriff blockieren“.\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/images/edit-public-access-clear.png)
Amazon S3 deaktiviert die Einstellungen für „Öffentlichen Zugriff blockieren“ für Ihren Bucket. Um eine öffentliche, statische Website zu erstellen, müssen Sie möglicherweise auch die [Einstellungen für „Öffentlichen Zugriff blockieren“](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/block-public-access-account.html) für Ihr Konto bearbeiten, bevor Sie eine Bucket-Richtlinie hinzufügen. Wenn die Einstellungen „Öffentlichen Zugriff blockieren“ für Ihr Konto aktuell aktiviert sind, sehen Sie einen Hinweis unter **„Öffentlichen Zugriff blockieren“ (Bucket-Einstellungen)**.
## Erfordern von Verschlüsselung
Sie können eine serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (SSE-KMS) verlangen, wie in den folgenden Beispielen gezeigt.
### SSE-KMS für alle in einen Bucket geschriebenen Objekte verlangen
Die folgende Beispielrichtlinie verlangt, dass jedes Objekt, das in den Bucket geschrieben wird, mit serverseitiger Verschlüsselung unter Verwendung von () -Schlüsseln AWS Key Management Service (SSE-KMS AWS KMS) verschlüsselt wird. Wenn das Objekt nicht mit SSE-KMS verschlüsselt ist, wird die Anforderung abgelehnt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PutObjPolicy",
"Statement": [{
"Sid": "DenyObjectsThatAreNotSSEKMS",
"Principal": "*",
"Effect": "Deny",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"Null": {
"s3:x-amz-server-side-encryption-aws-kms-key-id": "true"
}
}
}]
}
```
------
### Erfordert SSE-KMS mit einem spezifischen Wert AWS KMS key für alle Objekte, die in einen Bucket geschrieben werden
Die folgende Beispielrichtlinie verhindert, dass Objekte in den Bucket geschrieben werden, wenn sie nicht mit SSE-KMS unter Verwendung einer bestimmten KMS-Schlüssel-ID verschlüsselt sind. Selbst wenn die Objekte mit SSE-KMS verschlüsselt sind, indem ein Pro-Anfrage-Header oder eine Standardverschlüsselung für Buckets verwendet wird, können die Objekte nicht in den Bucket geschrieben werden, wenn sie nicht mit dem angegebenen KMS-Schlüssel verschlüsselt wurden. Stellen Sie sicher, dass Sie den in diesem Beispiel verwendeten KMS-Schlüssel-ARN durch Ihren eigenen KMS-Schlüssel-ARN ersetzen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PutObjPolicy",
"Statement": [{
"Sid": "DenyObjectsThatAreNotSSEKMSWithSpecificKey",
"Principal": "*",
"Effect": "Deny",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"ArnNotEqualsIfExists": {
"s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:us-east-1:111122223333:key/01234567-89ab-cdef-0123-456789abcdef"
}
}
}]
}
```
------
## Verwaltung von Buckets mithilfe von Containern ACLs
### Erteilen von Berechtigungen für mehrere Konten, um Objekte hochzuladen oder Objekte öffentlich zugänglich ACLs zu machen
Die folgende Beispielrichtlinie erteilt mehreren AWS-Konten die Berechtigungen `s3:PutObject` und `s3:PutObjectAcl`. Außerdem erfordert die Beispielrichtlinie, dass alle Anforderungen für diese Operationen die `public-read` [vordefinierte Zugriffssteuerungsliste (ACL)](acl-overview.md#canned-acl) enthalten müssen. Weitere Informationen erhalten Sie unter [Richtlinienaktionen für Amazon S3](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-actions) und [Richtlinienbedingungsschlüssel für Amazon S3](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-conditionkeys).
**Warnung**
Mit der vordefinierten `public-read`-ACL kann jeder Benutzer weltweit die Objekte in Ihrem Bucket sehen. Seien Sie vorsichtig, wenn Sie anonymen Zugriff auf Ihren Amazon-S3-Bucket gewähren oder die Block-Einstellungen für den öffentlichen Zugriff deaktivieren. Wenn Sie anonymen Zugriff gewähren, kann jeder auf der ganzen Welt auf Ihren Bucket zugreifen. Wir empfehlen Ihnen, niemals anonymen Zugriff auf Ihren Amazon-S3-Bucket zu gewähren, es sei denn, Sie müssen dies ausdrücklich tun, z. B. beim [Hosting von statischen Websites](WebsiteHosting.md). Informationen zum Aktivieren der Einstellungen zum Blockieren des öffentlichen Zugriffs für das Hosten statischer Websites finden Sie unter [Tutorial: Konfiguration einer statischen Website in Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/HostingWebsiteOnS3Setup.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AddPublicReadCannedAcl",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": [
"public-read"
]
}
}
}
]
}
```
------
### Erteilung von kontoübergreifenden Berechtigungen für das Hochladen von Objekten, wobei sichergestellt wird, dass der Bucket-Eigentümer volle Kontrolle besitzt
Das folgende Beispiel zeigt, wie Sie einer anderen AWS-Konto Person das Hochladen von Objekten in Ihren Bucket ermöglichen und gleichzeitig sicherstellen können, dass Sie die volle Kontrolle über die hochgeladenen Objekte haben. Diese Richtlinie gewährt einer bestimmten Person AWS-Konto (*`111122223333`*) nur dann die Möglichkeit, Objekte hochzuladen, wenn dieses Konto beim Upload `bucket-owner-full-control` die gespeicherte ACL enthält. Die `StringEquals`-Bedingung in der Richtlinie spezifiziert den `s3:x-amz-acl`-Bedingungsschlüssel, um die vordefinierte ACL-Anforderung auszudrücken. Weitere Informationen finden Sie unter [Richtlinienbedingungsschlüssel für Amazon S3](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-conditionkeys).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"PolicyForAllowUploadWithACL",
"Effect":"Allow",
"Principal":{"AWS":"111122223333"},
"Action":"s3:PutObject",
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {"s3:x-amz-acl":"bucket-owner-full-control"}
}
}
]
}
```
------
## Verwaltung des Objektzugriffs mit Objektmarkierung
### Einem Benutzer nur das Lesen von Objekten gestatten, die einen bestimmten Tag-Schlüssel und -Wert besitzen
Die folgende Berechtigungsrichtlinie beschränkt einen Benutzer darauf, nur Objekte zu lesen, die den Tag-Schlüssel und -Wert `environment: production` haben. Diese Richtlinie verwendet den `s3:ExistingObjectTag`-Bedingungsschlüssel, um den Tag-Schlüssel und -Wert anzugeben.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Principal":{
"AWS":"arn:aws:iam::111122223333:role/JohnDoe"
},
"Effect":"Allow",
"Action":[
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition":{
"StringEquals":{
"s3:ExistingObjectTag/environment":"production"
}
}
}
]
}
```
------
### Einschränken, welche Objekt-Tag-Schlüssel Benutzer hinzufügen können
Die folgende Beispielrichtlinie erteilt einem Benutzer die Berechtigungen, die `s3:PutObjectTagging`-Aktion auszuführen, die dem Benutzer gestattet, einem vorhandenen Objekt Markierungen hinzuzufügen. Die Bedingung verwendet den Bedingungsschlüssel `s3:RequestObjectTagKeys`, um die zulässigen Tag-Schlüssel zu spezifizieren, z. B. `Owner` oder `CreationDate`. Weitere Informationen finden Sie unter [Erstellen einer Bedingung, die mehrere Schlüsselwerte testet](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_multi-value-conditions.html) im *IAM-Benutzerhandbuch*.
Die Richtlinie stellt sicher, dass jeder in der Anfrage angegebene Tag-Schlüssel ein autorisierter Tag-Schlüssel ist. Der `ForAnyValue`-Qualifizierer in der Bedingung stellt sicher, dass mindestens einer der spezifizierten Schlüssel in der Anfrage enthalten ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Principal":{"AWS":[
"arn:aws:iam::111122223333:role/JohnDoe"
]
},
"Effect": "Allow",
"Action": [
"s3:PutObjectTagging"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {"ForAnyValue:StringEquals": {"s3:RequestObjectTagKeys": [
"Owner",
"CreationDate"
]
}
}
}
]
}
```
------
### Einen spezifischen Tag-Schlüssel und -Wert verlangen, wenn Benutzern erlaubt wird, Objekt-Tags hinzuzufügen
Die folgende Beispielrichtlinie erteilt einem Benutzer die Berechtigungen, die `s3:PutObjectTagging`-Aktion auszuführen, die dem Benutzer gestattet, einem vorhandenen Objekt Markierungen hinzuzufügen. Die Bedingung verlangt, dass der Benutzer einen spezifischen Tag-Schlüssel (z. B. `Project`) mit dem Wert `X` angibt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Principal":{"AWS":[
"arn:aws:iam::111122223333:user/JohnDoe"
]
},
"Effect": "Allow",
"Action": [
"s3:PutObjectTagging"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {"StringEquals": {"s3:RequestObjectTag/Project": "X"
}
}
}
]
}
```
------
### Einem Benutzer nur das Hinzufügen mit einem bestimmten Tag-Schlüssel und -Wert erlauben
Die folgende Beispielrichtlinie gewährt einem Benutzer die Berechtigung, die `s3:PutObject`-Aktion auszuführen, sodass er Objekte einem Bucket hinzufügen kann. Die `Condition`-Anweisung schränkt die Tag-Schlüssel und -Werte jedoch ein, die für die hochgeladenen Objekte zulässig sind. In diesem Beispiel kann der Benutzer dem Bucket nur Objekte hinzufügen, die den spezifischen Tag-Schlüssel (`Department`) mit dem Wert `Finance` haben.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Principal":{
"AWS":[
"arn:aws:iam::111122223333:user/JohnDoe"
]
},
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringEquals": {
"s3:RequestObjectTag/Department": "Finance"
}
}
}]
}
```
------
## Verwalten des Objektzugriffs mithilfe globaler Bedingungsschlüssel
[Globale Bedingungsschlüssel](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html) sind Bedingungskontextschlüssel mit einem `aws` Präfix. AWS-Services kann globale Bedingungsschlüssel oder dienstspezifische Schlüssel unterstützen, die das Dienstpräfix enthalten. Sie können das `Condition`-Element einer JSON-Richtlinie verwenden, um Schlüssel in einer Anforderung mit Schlüsselwerten zu vergleichen, die Sie in Ihrer Richtlinie angeben.
### Beschränken des Zugriffs nur auf Zugriffsprotokollbereitstellungen von Amazon S3 Server
In der folgenden Beispiel-Bucket-Richtlinie wird der [https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)globale Bedingungsschlüssel verwendet, um den [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns) der Ressource zu vergleichen und eine service-to-service Anfrage mit dem ARN zu stellen, der in der Richtlinie angegeben ist. Sie können diesen globalen `aws:SourceArn`-Bedingungsschlüssel verwenden, um zu verhindern, dass der Amazon-S3-Service bei Transaktionen zwischen Services als [verwechselter Stellvertreter](https://docs.aws.amazon.com//IAM/latest/UserGuide/confused-deputy.html) verwendet wird. Nur der Amazon-S3-Service darf dem Amazon-S3-Bucket Objekte hinzufügen.
Diese Bucket-Beispielrichtlinie gewährt nur dem Prinzipal des Protokollierungsservices (`logging.s3.amazonaws.com`) `s3:PutObject`-Berechtigungen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutObjectS3ServerAccessLogsPolicy",
"Principal": {
"Service": "logging.s3.amazonaws.com"
},
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket-logs/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:s3:::amzn-s3-demo-source-bucket1"
}
}
},
{
"Sid": "RestrictToS3ServerAccessLogs",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket-logs/*",
"Condition": {
"ForAllValues:StringNotEquals": {
"aws:PrincipalServiceNamesList": "logging.s3.amazonaws.com"
}
}
}
]
}
```
------
### Erlauben des Zugriffs nur für Ihre Organisation
Wenn Sie möchten, dass alle [IAM-Prinzipale](https://docs.aws.amazon.com//IAM/latest/UserGuide/intro-structure.html#intro-structure-principal), die auf eine Ressource zugreifen, von einem Standort AWS-Konto in Ihrer Organisation stammen müssen (einschließlich des AWS Organizations Verwaltungskontos), können Sie den `aws:PrincipalOrgID` globalen Bedingungsschlüssel verwenden.
Wenn Sie diese Art von Zugriff gewähren oder einschränken möchten, definieren Sie die `aws:PrincipalOrgID`-Bedingung und legen Sie den Wert in der Bucket-Richtlinie auf Ihre [Organisations-ID](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_org_details.html) fest. Die Organisations-ID wird verwendet, um den Zugriff auf den Bucket zu kontrollieren. Wenn Sie die `aws:PrincipalOrgID`-Bedingung verwenden, werden die Berechtigungen aus der Bucket-Richtlinie auch auf alle neuen Konten angewendet, die der Organisation hinzugefügt werden.
Hier ist ein Beispiel für eine auf Ressourcen basierende Bucket-Richtlinie, die Sie verwenden können, um bestimmten IAM-Prinzipalen in Ihrer Organisation direkten Zugriff auf Ihren Bucket zu erteilen. Durch das Hinzufügen des globalen Bedingungsschlüssels `aws:PrincipalOrgID` zu Ihrer Bucket-Richtlinie muss sich das Prinzipal-Konto nun in Ihrer Organisation befinden, um Zugriff auf die Ressource zu erhalten. Selbst wenn Sie bei der Gewährung des Zugriffs versehentlich ein falsches Konto angeben, fungiert der [globale Bedingungsschlüssel aws:PrincipalOrgID](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) als zusätzliche Absicherung. Wenn dieser globale Schüssel in einer Richtlinie verwendet wird, verhindert diese, dass alle Prinzipale außerhalb der angegebenen Organisation auf den Amazon-S3-Bucket zugreifen können. Nur Prinzipale von Konten in der aufgelisteten Organisation erhalten Zugriff auf die Ressource.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowGetObject",
"Principal": {
"AWS": "*"
},
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": ["o-aa111bb222"]
}
}
}]
}
```
------
## Verwalten des Zugriffs auf der Grundlage von HTTP- oder HTTPS-Anforderungen
### Beschränken des Zugriffs nur auf HTTPS-Anforderungen
Wenn Sie verhindern möchten, dass potenzielle Angreifer den Netzwerkverkehr manipulieren, können Sie HTTPS (TLS) verwenden, um nur verschlüsselte Verbindungen zuzulassen und gleichzeitig den Zugriff von HTTP-Anforderungen auf Ihren Bucket zu beschränken. Um festzustellen, ob es sich bei der Anforderung um HTTP oder HTTPS handelt, verwenden Sie den globalen Bedingungsschlüssel [https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-securetransport](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-securetransport) in Ihrer S3-Bucket-Richtlinie. Der `aws:SecureTransport`-Bedingungsschlüssel überprüft, ob eine Anforderung über HTTP gesendet wurde.
Wenn eine Anforderung `true` zurückgibt, wurde sie über HTTPS gesendet. Wenn eine Anforderung `false` zurückgibt, wurde sie über HTTP gesendet. Sie können dann den Zugriff auf Ihren Bucket basierend auf dem gewünschten Anforderungsschema erlauben oder verweigern.
Im folgenden Beispiel verweigert die Bucket-Richtlinie ausdrücklich HTTP-Anforderungen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "RestrictToTLSRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}]
}
```
------
### Beschränken des Zugriffs auf einen spezifischen HTTP-Referer
Angenommen, Sie haben eine Website mit dem Domänennamen *`www.example.com`* oder *`example.com`* mit Links zu Fotos und Videos, die in Ihrem Bucket namens `amzn-s3-demo-bucket` gespeichert sind. Standardmäßig sind alle Amazon S3 S3-Ressourcen privat, sodass nur derjenige AWS-Konto darauf zugreifen kann, der die Ressourcen erstellt hat.
Wenn Sie Lesezugriff auf diese Objekte von Ihrer Website aus erlauben möchten, können Sie eine Bucket-Richtlinie hinzufügen, die die `s3:GetObject`-Berechtigung mit der Bedingung erlaubt, dass die `GET`-Anforderung von bestimmten Webseiten stammen muss. Die folgende Richtlinie schränkt Anforderungen ein, indem die Bedingung `StringLike` zusammen mit dem `aws:Referer`-Bedingungsschlüssel verwendet wird.
Stellen Sie sicher, dass die von Ihnen verwendeten Browser den HTTP-`referer`-Header in der Anforderung enthalten.
**Warnung**
Wir empfehlen, bei der Verwendung des `aws:Referer`-Bedingungsschlüssels vorsichtig zu sein. Ein öffentlich bekannter HTTP-Referer-Header-Wert sollte möglichst nicht eingeschlossen werden. Nicht autorisierte Parteien können mit modifizierten oder benutzerdefinierten Browsern einen beliebigen `aws:Referer`-Wert ihrer Wahl bereitstellen. Verwenden Sie es daher nicht, `aws:Referer` um zu verhindern, dass Unbefugte direkte AWS Anfragen stellen.
Der `aws:Referer`-Bedingungsschlüssel wird nur bereitgestellt, damit Kunden ihre digitalen, in Amazon S3 gespeicherten Inhalte vor der Referenzierung auf nicht autorisierte Drittanbieter-Websites schützen können. Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-referer](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-referer) im *IAM-Benutzerhandbuch*.
## Verwalten des Benutzerzugriffs auf bestimmte Ordner
### Erteilen des Benutzerzugriffs auf bestimmte Ordner
Angenommen, Sie versuchen, Benutzern Zugriff auf einen bestimmten Ordner zu gewähren. Wenn der IAM-Benutzer und der S3-Bucket zu demselben gehören AWS-Konto, können Sie dem Benutzer mithilfe einer IAM-Richtlinie Zugriff auf einen bestimmten Bucket-Ordner gewähren. Bei diesem Ansatz müssen Sie Ihre Bucket-Richtlinie nicht aktualisieren, um Zugriff zu gewähren. Sie können die IAM-Richtlinie einer IAM-Rolle hinzufügen, zu der mehrere Benutzer wechseln können.
Wenn die IAM-Identität und der S3-Bucket unterschiedlichen Kategorien angehören AWS-Konten, müssen Sie sowohl in der IAM-Richtlinie als auch in der Bucket-Richtlinie kontoübergreifenden Zugriff gewähren. Weitere Informationen zum Gewähren von kontoübergreifendem Zugriff finden Sie unter [Bucket-Eigentümer erteilt kontoübergreifende Bucket-Berechtigungen](https://docs.aws.amazon.com//AmazonS3/latest/userguide/example-walkthroughs-managing-access-example2.html).
Die folgende Bucket-Beispielrichtlinie gewährt `JohnDoe` vollen Konsolenzugriff nur auf seinen Ordner (`home/JohnDoe/`). Indem Sie einen `home`-Ordner erstellen und Ihren Benutzern die entsprechenden Berechtigungen gewähren, können sich mehrere Benutzer einen einzelnen Bucket teilen. Diese Richtlinie besteht aus drei `Allow`-Anweisungen:
+ `AllowRootAndHomeListingOfCompanyBucket`: Erlaubt dem Benutzer (`JohnDoe`), Objekte auf der Stammebene des `amzn-s3-demo-bucket`-Buckets und im `home`-Ordner aufzulisten. Diese Anweisung erlaubt dem Benutzer außerdem, mithilfe der Konsole nach dem Präfix `home/` zu suchen.
+ `AllowListingOfUserFolder`: Erlaubt dem Benutzer (`JohnDoe`), alle Objekte im `home/JohnDoe/`-Ordner und entsprechenden Unterordnern aufzulisten.
+ `AllowAllS3ActionsInUserFolder`: Erlaubt dem Benutzer, alle Amazon-S3-Aktionen durchzuführen, indem `Read`-, `Write`- und `Delete`-Berechtigungen gewährt werden. Die Berechtigungen sind auf den Home-Ordner des Bucket-Eigentümers beschränkt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRootAndHomeListingOfCompanyBucket",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:user/JohnDoe"
]
},
"Effect": "Allow",
"Action": ["s3:ListBucket"],
"Resource": ["arn:aws:s3:::amzn-s3-demo-bucket"],
"Condition": {
"StringEquals": {
"s3:prefix": ["", "home/", "home/JohnDoe"],
"s3:delimiter": ["/"]
}
}
},
{
"Sid": "AllowListingOfUserFolder",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:user/JohnDoe"
]
},
"Action": ["s3:ListBucket"],
"Effect": "Allow",
"Resource": ["arn:aws:s3:::amzn-s3-demo-bucket"],
"Condition": {
"StringLike": {
"s3:prefix": ["home/JohnDoe/*"]
}
}
},
{
"Sid": "AllowAllS3ActionsInUserFolder",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:user/JohnDoe"
]
},
"Action": ["s3:*"],
"Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/home/JohnDoe/*"]
}
]
}
```
------
## Verwalten des Zugriffs für Zugriffsprotokolle
### Gewähren des Zugriffs auf Application Load Balancer, um Zugriffsprotokolle zu aktivieren
Wenn Sie die Zugriffsprotokollierung für Ihren Application Load Balancer aktivieren, müssen Sie den Namen des S3-Buckets angeben, in dem der Load Balancer [die Protokolle speichert](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/enable-access-logging.html#access-log-create-bucket). Dem Bucket muss eine [Richtlinie angefügt](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/enable-access-logging.html#attach-bucket-policy) sein, die Elastic Load Balancing die Berechtigung zum Schreiben in den Bucket gewährt.
Im folgenden Beispiel gewährt die Bucket-Richtlinie Elastic Load Balancing (ELB) die Berechtigung, die Zugriffsprotokolle in den Bucket zu schreiben:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/111122223333/*"
}
]
}
```
------
**Anmerkung**
Stellen Sie sicher, dass Sie `elb-account-id` durch die AWS-Konto -ID für Elastic Load Balancing für Ihre AWS-Region ersetzen. Eine Liste der Regionen von Elastic Load Balancing finden Sie unter [Hinzufügen von Richtlinien zu Ihrem S3-Bucket](https://docs.aws.amazon.com//elasticloadbalancing/latest/classic/enable-access-logs.html#attach-bucket-policy) im *Benutzerhandbuch für Elastic Load Balancing*.
Wenn Ihre Region AWS-Region nicht in der Liste der unterstützten Elastic Load Balancing Balancing-Regionen aufgeführt ist, verwenden Sie die folgende Richtlinie, die dem angegebenen Log-Lieferdienst Berechtigungen gewährt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": {
"Service": "logdelivery.elasticloadbalancing.amazonaws.com"
},
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/111122223333/*"
}
]
}
```
------
Stellen Sie anschließend sicher, dass Sie Ihre [Zugriffsprotokolle von Elastic Load Balancing ](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/enable-access-logging.html#enable-access-logs) konfigurieren, indem Sie sie aktivieren. Sie können [Ihre Bucket-Berechtigungen überprüfen](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/enable-access-logging.html#verify-bucket-permissions), indem Sie eine Testdatei erstellen.
## Zugriff auf eine Amazon CloudFront OAI verwalten
### Einer Amazon CloudFront OAI die Erlaubnis erteilen
Die folgende Beispiel-Bucket-Richtlinie gewährt einer CloudFront Origin Access Identity (OAI) -Berechtigung, alle Objekte in Ihrem S3-Bucket abzurufen (zu lesen). Sie können eine CloudFront OAI verwenden, um Benutzern den Zugriff auf Objekte in Ihrem Bucket zu ermöglichen, CloudFront aber nicht direkt über Amazon S3. Weitere Informationen finden Sie unter [Beschränken des Zugriffs auf Amazon S3 S3-Inhalte mithilfe einer Origin-Zugriffsidentität](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) im *Amazon CloudFront Developer Guide*.
Bei der folgenden Richtlinie wird die ID der OAI als `Principal` der Richtlinie verwendet. *Weitere Informationen zur Verwendung von S3-Bucket-Richtlinien zur Gewährung des Zugriffs auf eine CloudFront OAI finden Sie unter [Migration von Origin Access Identity (OAI) zu Origin Access Control (OAC)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html#migrate-from-oai-to-oac) im Amazon Developer Guide. CloudFront *
Zur Verwendung dieses Beispiels gehen Sie wie folgt vor:
+ Ersetzen Sie `EH1HDMB1FH2TC` mit der OAI-ID. Die OAI-ID finden Sie auf der [Origin-Zugriffsidentitäts-Seite](https://console.aws.amazon.com/cloudfront/home?region=us-east-1#oai:) auf der CloudFront Konsole oder in der API. [https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_ListCloudFrontOriginAccessIdentities.html](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_ListCloudFrontOriginAccessIdentities.html) CloudFront
+ Ersetzen Sie `amzn-s3-demo-bucket` durch den Namen von Ihrem Bucket.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PolicyForCloudFrontPrivateContent",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity EH1HDMB1FH2TC"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
## Verwalten des Zugriffs für Amazon S3 Storage Lens
### Erteilen von Berechtigungen für Amazon S3 Storage Lens
S3 Storage Lens aggregiert Ihre Metriken und zeigt die Informationen im Abschnitt **Konto-Snapshot** der Seite **Buckets** der Amazon-S3-Konsole an. S3 Storage Lens bietet auch ein interaktives Dashboard, mit dem Sie Erkenntnisse und Trends visualisieren, Ausreißer kennzeichnen und Empfehlungen zur Optimierung der Speicherkosten und zur Anwendung bewährter Datenschutzpraktiken erhalten können. Ihr Dashboard bietet Drilldown-Optionen zur Generierung und Visualisierung von Erkenntnissen auf Organisations-, Konto-, Speicherklassen- AWS-Region, Bucket-, Präfix- oder Storage Lens-Gruppenebene. Sie können auch einen täglichen Metrikbericht im CSV- oder Parquet Format an einen S3-Bucket für allgemeine Zwecke senden oder die Metriken direkt in einen AWS verwalteten S3-Tabellen-Bucket exportieren.
S3 Storage Lens kann Ihre aggregierten Speichernutzungsmetriken in einen Amazon-S3-Bucket exportieren, um sie weiter zu analysieren. Der Bucket, in dem S3 Storage Lens seine Metrikexporte speichert, wird als *Ziel-Bucket* bezeichnet. Sie müssen eine Bucket-Richtlinie für den Ziel-Bucket haben, wenn Sie Ihren Metrikexport in S3 Storage Lens einrichten. Weitere Informationen finden Sie unter [Überwachung Ihrer Speicheraktivität und -nutzung mit Amazon S3 Storage Lens](storage_lens.md).
Die folgende Bucket-Beispielrichtlinie erteilt Amazon S3 die Berechtigung, Objekte (`PUT`-Anforderungen) in einen Ziel-Bucket zu schreiben. Sie verwenden eine solche Bucket-Richtlinie für den *Ziel-Bucket*, wenn Sie einen S3-Storage-Lens-Metrik-Export einrichten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3StorageLensExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "storage-lens.s3.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-destination-bucket/destination-prefix/StorageLens/111122223333/*"
],
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "arn:aws:s3:region-code:111122223333:storage-lens/storage-lens-dashboard-configuration-id"
}
}
}
]
}
```
------
Verwenden Sie die folgende Änderung an der vorherigen `Resource`-Anweisung der Bucket-Richtlinie beim Einrichten eines Metrikexports von S3 Storage Lens auf Organisationsebene.
```
1. "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/destination-prefix/StorageLens/your-organization-id/*",
```
## Verwalten von Berechtigungen für S3 Inventory, S3 Analytics und S3-Inventory-Berichte
### Gewähren von Berechtigungen für S3 Inventory und S3 Analytics
S3 Inventory erstellt Listen der Objekte in einem Bucket und der Speicherklassenanalyse-Export von S3 Analytics erstellt Ausgabedateien der in der Analyse verwendeten Daten. Der Bucket, dessen Objekte die Bestandserfassung auflistet, wird als *Quell-Bucket* bezeichnet. Der Bucket, in dem die Bestandsdatei und die Analyseexportdatei geschrieben werden, wird als *Ziel-Bucket* bezeichnet. Sie müssen eine Bucket-Richtlinie für den Ziel-Bucket erstellen, wenn Sie den Bestand oder einen Analyseexport einrichten. Weitere Informationen erhalten Sie unter [Katalogisieren und Analysieren Ihrer Daten mit S3 Inventory](storage-inventory.md) und [Amazon S3 analytics – Speicherklassen-Analyse](analytics-storage-class.md).
Das folgende Beispiel für eine Bucket-Richtlinie erteilt Amazon S3 die Berechtigung, Objekte aus dem Konto für den Quell-Bucket in den Ziel-Bucket zu schreiben (`PUT`-Anforderungen). Sie verwenden eine solche Bucket-Richtlinie für den Ziel-Bucket, wenn Sie einen S3-Inventory- und S3-Analytics-Export einrichten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InventoryAndAnalyticsExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "s3.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
],
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:s3:::amzn-s3-demo-source-bucket"
},
"StringEquals": {
"aws:SourceAccount": "111122223333",
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
}
]
}
```
------
### Steuern der Erstellung der Konfiguration von S3-Inventory-Berichten
[Katalogisieren und Analysieren Ihrer Daten mit S3 Inventory](storage-inventory.md) erstellt Listen der Objekte in einem S3-Bucket sowie die Metadaten für jedes Objekt. Die `s3:PutInventoryConfiguration`-Berechtigung ermöglicht es einem Benutzer, eine Bestandskonfiguration zu erstellen, die alle verfügbaren Objektmetadatenfelder enthält, und den Ziel-Bucket zum Speichern des Bestands anzugeben. Ein Benutzer mit Lesezugriff auf Objekte im Ziel-Bucket kann auf alle Objektmetadatenfelder zugreifen, die im Bestandsbericht verfügbar sind. Weitere Informationen über die Metadatenfelder, die in S3 Inventory verfügbar sind, finden Sie unter[Amazon-S3-Inventory-Liste](storage-inventory.md#storage-inventory-contents).
Wenn Sie einen Benutzer daran hindern möchten, einen S3-Inventory-Bericht zu konfigurieren, entfernen Sie die `s3:PutInventoryConfiguration`-Berechtigung des Benutzers.
Einige Objektmetadatenfelder in S3-Inventory-Berichtskonfigurationen sind optional, was bedeutet, dass sie standardmäßig verfügbar sind, aber eingeschränkt werden können, wenn Sie einem Benutzer die `s3:PutInventoryConfiguration`-Berechtigung erteilen. Mithilfe des `s3:InventoryAccessibleOptionalFields`-Bedingungsschlüssels können Sie steuern, ob Benutzer diese optionalen Metadatenfelder in ihre Berichte aufnehmen können. Eine Liste der optionalen Metadatenfelder, die in S3 Inventory verfügbar sind, finden Sie [https://docs.aws.amazon.com//AmazonS3/latest/API/API_PutBucketInventoryConfiguration.html#API_PutBucketInventoryConfiguration_RequestBody](https://docs.aws.amazon.com//AmazonS3/latest/API/API_PutBucketInventoryConfiguration.html#API_PutBucketInventoryConfiguration_RequestBody)i n der *API-Referenz zum Amazon Simple Storage Service*.
Um einem Benutzer die Erlaubnis zu erteilen, eine Bestandskonfiguration mit bestimmten optionalen Metadatenfeldern zu erstellen, verwenden Sie den `s3:InventoryAccessibleOptionalFields`-Bedingungsschlüssel, um die Bedingungen in Ihrer Bucket-Richtlinie zu verfeinern.
Die folgende Beispielrichtlinie gewährt einem Benutzer (`Ana`) unter bestimmten Bedingungen die Berechtigung, eine Bestandskonfiguration zu erstellen. Die `ForAllValues:StringEquals`-Bedingung in der Richtlinie verwendet den `s3:InventoryAccessibleOptionalFields`-Bedingungsschlüssel, um die beiden zulässigen optionalen Metadatenfelder anzugeben, nämlich `Size` und`StorageClass`. Wenn `Ana` also eine Inventarkonfiguration erstellt, sind die einzigen optionalen Metadatenfelder, die sie einbeziehen kann, `Size` und`StorageClass`.
------
#### [ JSON ]
****
```
{
"Id": "InventoryConfigPolicy",
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowInventoryCreationConditionally",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/Ana"
},
"Action":
"s3:PutInventoryConfiguration",
"Resource":
"arn:aws:s3:::DOC-EXAMPLE-SOURCE-BUCKET",
"Condition": {
"ForAllValues:StringEquals": {
"s3:InventoryAccessibleOptionalFields": [
"Size",
"StorageClass"
]
}
}
}
]
}
```
------
Um einen Benutzer daran zu hindern, einen S3-Inventory-Bericht zu konfigurieren, der bestimmte optionale Metadatenfelder enthält, fügen Sie der Bucket-Richtlinie für den Quell-Bucket eine explizite `Deny`-Anweisung hinzu. Die folgende Beispiel-Bucket-Richtlinie verbietet dem Benutzer `Ana`, eine Bestandskonfiguration im Quell-Bucket `amzn-s3-demo-source-bucket` zu erstellen, die die optionalen Metadatenfelder `ObjectAccessControlList` oder `ObjectOwner` enthält. Der Benutzer `Ana` kann weiterhin eine Bestandskonfiguration mit anderen optionalen Metadatenfeldern erstellen.
```
1. {
2. "Id": "InventoryConfigSomeFields",
3. "Version": "2012-10-17",
4. "Statement": [{
5. "Sid": "AllowInventoryCreation",
6. "Effect": "Allow",
7. "Principal": {
8. "AWS": "arn:aws:iam::111122223333:user/Ana"
9. },
10. "Action": "s3:PutInventoryConfiguration",
11. "Resource":
12. "arn:aws:s3:::amzn-s3-demo-source-bucket",
13.
14. },
15. {
16. "Sid": "DenyCertainInventoryFieldCreation",
17. "Effect": "Deny",
18. "Principal": {
19. "AWS": "arn:aws:iam::111122223333:user/Ana"
20. },
21. "Action": "s3:PutInventoryConfiguration",
22. "Resource":
23. "arn:aws:s3:::amzn-s3-demo-source-bucket",
24. "Condition": {
25. "ForAnyValue:StringEquals": {
26. "s3:InventoryAccessibleOptionalFields": [
27. "ObjectOwner",
28. "ObjectAccessControlList"
29. ]
30. }
31. }
32. }
33. ]
34. }
```
**Anmerkung**
Die Verwendung des `s3:InventoryAccessibleOptionalFields`-Bedingungsschlüssels in Bucket-Richtlinien hat keinen Einfluss auf die Bereitstellung von Bestandsberichten, die auf den vorhandenen Bestandskonfigurationen basieren.
**Wichtig**
Wir empfehlen die Verwendung von `ForAllValues` mit einem `Allow`-Effekt oder `ForAnyValue` mit einem `Deny`-Effekt, wie in den vorherigen Beispielen gezeigt.
Verwenden Sie die Option `ForAllValues` weder mit einem `Deny`-Effekt noch `ForAnyValue` mit einem `Allow`-Effekt, da diese Kombinationen zu restriktiv sein und das Löschen der Bestandskonfiguration blockieren können.
Weitere Informationen zu den Bedingungssatzoperatoren `ForAllValues` und `ForAnyValue` finden Sie unter [Mehrwertige Kontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-single-vs-multi-valued-context-keys.html#reference_policies_condition-multi-valued-context-keys) im *IAM-Benutzerhandbuch*.
## Verlangen von MFA
Amazon S3 unterstützt MFA-geschützten API-Zugriff, eine Funktion, die eine Multi-Factor Authentication (MFA) für den Zugriff auf Ihre Amazon-S3-Ressourcen erzwingen kann. Die Multi-Faktor-Authentifizierung bietet ein zusätzliches Maß an Sicherheit, das Sie auf Ihre AWS Umgebung anwenden können. Die MFA handelt sich um eine Sicherheitsfunktion, die die Angabe eines gültigen MFA-Codes von Benutzern erfordert, mit dem das physische Eigentum eines MFA-Geräts belegt wird. Weitere Informationen finden Sie unter [AWS Multi-Factor-Authentication](https://aws.amazon.com/mfa/). Sie können die MFA für alle Anfragen zum Zugriff auf Ihre Amazon-S3-Ressourcen verlangen.
Verwenden Sie zum Erzwingen der MFA-Anforderung den `aws:MultiFactorAuthAge`-Bedingungsschlüssel in einer Bucket-Richtlinie. IAM-Benutzer können mithilfe temporärer Anmeldeinformationen, die von AWS -Security-Token-Service (AWS STS) ausgestellt wurden, auf Amazon S3 S3-Ressourcen zugreifen. Sie geben den MFA-Code zum Zeitpunkt der AWS STS -Anfrage an.
Wenn Amazon S3 eine Anforderung mit Multi-Factor Authentication empfängt, liefert der `aws:MultiFactorAuthAge`-Bedingungsschlüssel einen numerischen Wert, der angibt, wie lange (in Sekunden) es her ist, dass die temporären Anmeldeinformationen erstellt wurden. Wenn die in der Anforderung bereitgestellten temporären Anmeldeinformationen nicht mit einem MFA-Gerät erstellt wurden, ist dieser Schlüsselwert null (nicht vorhanden). In einer Bucket-Richtlinie können Sie eine Bedingung hinzufügen, um diesen Wert zu überprüfen, wie im folgenden Beispiel gezeigt.
Die Beispielrichtlinie verweigert jede Amazon-S3-Operation am *`/taxdocuments`*-Ordner in dem `amzn-s3-demo-bucket`-Bucket, wenn die Anforderung nicht über die MFA authentifiziert wird. Weitere Informationen über die MFA finden Sie unter [Using Multi-Factor Authentication (MFA) (Verwenden der Multi-Factor-Authentifizierung (MFA)) in AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) im *IAM-Benutzerhandbuch*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "123",
"Statement": [
{
"Sid": "",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/taxdocuments/*",
"Condition": { "Null": { "aws:MultiFactorAuthAge": true }}
}
]
}
```
------
Die `Null`-Bedingung im `Condition`-Block wird zu `true` ausgewertet, wenn der `aws:MultiFactorAuthAge`-Bedingungsschlüsselwert null ist, d. h., die temporären Anmeldeinformationen in der Anforderung wurden ohne ein MFA-Gerät erstellt.
Die folgende Bucket-Richtlinie ist eine Erweiterung der vorhergehenden Bucket-Richtlinie. Die folgende Richtlinie umfasst zwei Richtlinienanweisungen. Eine Anweisung gewährt jedem die `s3:GetObject`-Berechtigung für einen Bucket (`amzn-s3-demo-bucket`). Eine weitere Anweisung schränkt den Zugriff auf den `amzn-s3-demo-bucket/taxdocuments`-Ordner im Bucket weiter ein, indem sie eine MFA erzwingt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "123",
"Statement": [
{
"Sid": "DenyInsecureConnections",
"Effect": "Deny",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "s3:*",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/taxdocuments/*",
"Condition": { "Null": { "aws:MultiFactorAuthAge": true } }
},
{
"Sid": "AllowGetObject",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": ["s3:GetObject"],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
Optional können Sie eine numerische Bedingung verwenden, um die Gültigkeitsdauer des `aws:MultiFactorAuthAge`-Schlüssels zu beschränken. Die Dauer, die Sie für den `aws:MultiFactorAuthAge`-Schlüssel angeben, ist unabhängig von der Lebensdauer der temporären Sicherheitsanmeldeinformationen, die für die Authentifizierung der Anforderung verwendet wurden.
Beispielsweise überprüft die folgende Bucket-Richtlinie zusätzlich zur geforderten MFA-Authentifizierung auch, vor wie langer Zeit die temporäre Sitzung erstellt wurde. Die Richtlinie verweigert jede Operation, wenn der `aws:MultiFactorAuthAge`-Schlüsselwert angibt, dass die temporäre Sitzung vor mehr als einer Stunde erstellt wurde (3600 Sekunden).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "123",
"Statement": [
{
"Sid": "",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/taxdocuments/*",
"Condition": {"Null": {"aws:MultiFactorAuthAge": true }}
},
{
"Sid": "",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/taxdocuments/*",
"Condition": {"NumericGreaterThan": {"aws:MultiFactorAuthAge": 3600 }}
},
{
"Sid": "",
"Effect": "Allow",
"Principal": "*",
"Action": ["s3:GetObject"],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
## Benutzer daran hindern, Objekte zu löschen
Standardmäßig besitzen Benutzer keine Berechtigungen. Wenn Sie Richtlinien erstellen, erteilen Sie Benutzern möglicherweise Berechtigungen, die Sie nicht erteilen möchten. Um solche Berechtigungslücken zu vermeiden, können Sie eine strengere Zugriffsrichtlinie schreiben, indem Sie eine explizite Zugriffsverweigerung hinzufügen.
Um Benutzer oder Konten ausdrücklich daran zu hindern, Objekte zu löschen, müssen Sie die folgenden Aktionen zu einer Bucket-Richtlinie hinzufügen: `s3:DeleteObject`-, `s3:DeleteObjectVersion`- und `s3:PutLifecycleConfiguration`-Berechtigungen. Alle drei Aktionen sind erforderlich, da Sie Objekte entweder durch explizites Aufrufen der `DELETE Object`-API-Operationen löschen können oder indem Sie ihre Lebenszykluskonfiguration (siehe [Verwalten des Lebenszyklus von Objekten](object-lifecycle-mgmt.md)) so einrichten, dass Amazon S3 die Objekte entfernt, wenn ihre Lebensdauer abläuft.
Im folgenden Richtlinienbeispiel verweigern Sie dem Benutzer `MaryMajor` ausdrücklich `DELETE Object` Berechtigungen. Eine explizite `Deny`-Anweisung überschreibt immer jede andere gewährte Berechtigung.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "statement1",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/MaryMajor"
},
"Action": [
"s3:GetObjectVersion",
"s3:GetBucketAcl"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1",
"arn:aws:s3:::amzn-s3-demo-bucket1/*"
]
},
{
"Sid": "statement2",
"Effect": "Deny",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/MaryMajor"
},
"Action": [
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:PutLifecycleConfiguration"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1",
"arn:aws:s3:::amzn-s3-demo-bucket1/*"
]
}
]
}
```
------
# Beispiele für Bucket-Richtlinien mit Bedingungsschlüsseln
Sie können die Sprache der Zugriffsrichtlinie verwenden, um Bedingungen anzugeben, wenn Sie Berechtigungen erteilen. Sie können das optionale `Condition`-Element oder den `Condition`-Block verwenden, um anzugeben, unter welchen Bedingungen eine Richtlinie wirksam ist.
Richtlinien, die Amazon-S3-Bedingungsschlüssel für Objekt- und Bucket-Vorgänge verwenden, finden Sie in den folgenden Beispielen. Weitere Informationen über Bedingungsschlüssel finden Sie unter [Richtlinienbedingungsschlüssel für Amazon S3](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-conditionkeys). Eine vollständige Liste der Amazon-S3-Aktionen, -Bedingungsschlüssel und -Ressourcen, die Sie in Richtlinien angeben können, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html) in der *Service-Authorization-Referenz*.
Weitere Informationen zu den Berechtigungen für S3-API-Operationen nach S3-Ressourcentypen finden Sie unter [Erforderliche Berechtigungen für Amazon-S3-API-Operationen](using-with-s3-policy-actions.md).
## Beispiele: Amazon-S3-Bedingungsschlüssel für Objektoperationen
Die folgenden Beispiele zeigen, wie Sie Amazon-S3‑spezifische Bedingungsschlüssel für Objektoperationen verwenden können. Eine vollständige Liste der Amazon-S3-Aktionen, -Bedingungsschlüssel und -Ressourcen, die Sie in Richtlinien angeben können, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html) in der *Service-Authorization-Referenz*.
Weitere Informationen zu den Berechtigungen für S3-API-Operationen nach S3-Ressourcentypen finden Sie unter [Erforderliche Berechtigungen für Amazon-S3-API-Operationen](using-with-s3-policy-actions.md).
Einige der Beispielrichtlinien zeigen, wie Sie Bedingungsschlüssel mit [PUT Object](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPUT.html)-Vorgänge verwenden können. PUT Object-Vorgänge ermöglichen für Access Control List (ACL) spezifische Header, mit denen Sie ACL-basierte Berechtigungen erteilen können. Durch die Verwendung dieser Bedingungsschlüssel können Sie eine Bedingung festlegen, die bestimmte Zugriffsberechtigungen erfordert, wenn der Benutzer ein Objekt hochlädt. Sie können im Rahmen des Vorgangs auch ACL-basierte Berechtigungen gewähren. PutObjectAcl Weitere Informationen finden Sie [PutObjectAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html)in der *Amazon S3 Amazon Simple Storage Service API-Referenz*. Weitere Informationen zu finden ACLs Sie unter[Zugriffskontrolllisten (ACL) – Übersicht](acl-overview.md).
**Topics**
+ [Beispiel 1: Gewähren einer `s3:PutObject`-Berechtigung, die erfordert, dass Objekte mit serverseitiger Verschlüsselung gespeichert werden.](#putobject-require-sse-2)
+ [Beispiel 2: Erteilen der `s3:PutObject`-Berechtigung zum Kopieren von Objekten mit einer Einschränkung auf die Kopierquelle](#putobject-limit-copy-source-3)
+ [Beispiel 3: Gewähren des Zugriffs auf eine bestimmte Version eines Objekts](#getobjectversion-limit-access-to-specific-version-3)
+ [Beispiel 4: Erteilen von Berechtigungen basierend auf Objekt-Tags](#example-object-tagging-access-control)
+ [Beispiel 5: Beschränken des Zugriffs anhand der AWS-Konto ID des Bucket-Besitzers](#example-object-resource-account)
+ [Beispiel 6: Mindestanforderung für die TLS-Version](#example-object-tls-version)
+ [Beispiel 7: Ausschließen bestimmter Prinzipale aus einer `Deny`-Anweisung](#example-exclude-principal-from-deny-statement)
+ [Beispiel 8: Erzwingen, dass Clients Objekte auf der Grundlage von Objektschlüsselnamen bedingt hochladen oder ETags](#example-conditional-writes-enforce)
### Beispiel 1: Gewähren einer `s3:PutObject`-Berechtigung, die erfordert, dass Objekte mit serverseitiger Verschlüsselung gespeichert werden.
Angenommen, Konto A besitzt einen Bucket. Der Kontoadministrator möchte Jane, einer Benutzerin in Konto A, die Berechtigung erteilen, Objekte hochzuladen, unter der Bedingung, dass Jane stets eine serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) anfordert. Der Administrator von Konto A kann für diesen Zweck, wie gezeigt, mit dem Bedingungsschlüssel `s3:x-amz-server-side-encryption` arbeiten. Das Schlüssel-Wert-Paar im folgenden `Condition`-Block gibt den `s3:x-amz-server-side-encryption`-Bedingungsschlüssel und SSE-S3 (`AES256`) als Verschlüsselungstyp an:
```
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption": "AES256"
}}
```
Wenn Sie diese Berechtigung mit dem testen AWS CLI, müssen Sie die erforderliche Verschlüsselung mithilfe des `--server-side-encryption` Parameters hinzufügen, wie im folgenden Beispiel gezeigt. Wenn Sie diese Beispielbefehl verwenden möchten, ersetzen Sie `user input placeholders` durch Ihre Informationen.
```
aws s3api put-object --bucket amzn-s3-demo-bucket --key HappyFace.jpg --body c:\HappyFace.jpg --server-side-encryption "AES256" --profile AccountAadmin
```
### Beispiel 2: Erteilen der `s3:PutObject`-Berechtigung zum Kopieren von Objekten mit einer Einschränkung auf die Kopierquelle
Wenn Sie in der `PUT`-Objektanforderung ein Quellobjekt angeben, handelt es sich um eine Kopieroperation (siehe [https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectCOPY.html](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectCOPY.html)). Dementsprechend kann der Bucket-Eigentümer einem Benutzer die Berechtigung erteilen, Objekte mit Einschränkungen in Bezug auf die Quelle zu kopieren, z. B.:
+ Erlauben Sie das Kopieren von Objekten nur aus dem angegebenen Quell-Bucket (zum Beispiel `amzn-s3-demo-source-bucket`).
+ Erlauben Sie das Kopieren von Objekten aus dem angegebenen Quell-Bucket und nur von Objekten, deren Schlüsselnamen-Präfix mit einem bestimmten Präfix beginnt, wie z. B. *`public/`* (zum Beispiel `amzn-s3-demo-source-bucket/public/*`).
+ Erlauben Sie das Kopieren nur eines bestimmten Objekts aus dem Quell-Bucket (zum Beispiel `amzn-s3-demo-source-bucket/example.jpg`).
Die folgende Bucket-Richtlinie erteilt einem Benutzer `Dave` die `s3:PutObject`-Berechtigung. Diese Richtlinie erlaubt es ihm, Objekte nur unter der Bedingung zu kopieren, dass die Anforderung den `s3:x-amz-copy-source`-Header enthält und der Headerwert das `/amzn-s3-demo-source-bucket/public/*`-Schlüsselnamenpräfix angibt. Wenn Sie diese Beispielrichtlinie verwenden möchten, ersetzen Sie `user input placeholders` durch Ihre eigenen Informationen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "cross-account permission to user in your own account",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Dave"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
},
{
"Sid": "Deny your user permission to upload object if copy source is not /bucket/prefix",
"Effect": "Deny",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Dave"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-source-bucket/*",
"Condition": {
"StringNotLike": {
"s3:x-amz-copy-source": "amzn-s3-demo-source-bucket/public/*"
}
}
}
]
}
```
------
**Testen Sie die Richtlinie mit dem AWS CLI**
Sie können die Berechtigung mit dem AWS CLI `copy-object` Befehl testen. Sie geben die Quelle an, indem Sie den Parameter `--copy-source` hinzufügen. Das Schlüsselnamenpräfix muss dem Präfix entsprechen, das in der Richtlinie zulässig ist. Sie müssen die Anmeldeinformationen des Benutzers Dave mit dem Parameter `--profile` angeben. Weitere Informationen zur Einrichtung von finden Sie unter [Entwickeln mit Amazon S3 mithilfe der AWS CLI](https://docs.aws.amazon.com/AmazonS3/latest/API/setup-aws-cli.html) in der *Amazon S3 S3-API-Referenz*. AWS CLI
```
aws s3api copy-object --bucket amzn-s3-demo-source-bucket --key HappyFace.jpg
--copy-source amzn-s3-demo-source-bucket/public/PublicHappyFace1.jpg --profile AccountADave
```
**Erteilen der Berechtigung, nur ein bestimmtes Objekt zu kopieren**
Die vorherige Richtlinie verwendet die Bedingung `StringNotLike`. Um die Berechtigung zu erteilen, nur ein bestimmtes Objekt zu kopieren, müssen Sie die Bedingung von `StringNotLike` zu `StringNotEquals` ändern und dann den genauen Objektschlüssel angeben, wie im folgenden Beispiel gezeigt. Wenn Sie diese Beispielbefehl verwenden möchten, ersetzen Sie `user input placeholders` durch Ihre Informationen.
```
"Condition": {
"StringNotEquals": {
"s3:x-amz-copy-source": "amzn-s3-demo-source-bucket/public/PublicHappyFace1.jpg"
}
}
```
### Beispiel 3: Gewähren des Zugriffs auf eine bestimmte Version eines Objekts
Angenommen, Konto A besitzt einen Bucket mit aktivierter Versionsverwaltung. Der Bucket beinhaltet mehrere Versionen des Objekts `HappyFace.jpg`. Der Administrator von Konto A möchte nun dem Benutzer `Dave` die Berechtigung erteilen, nur eine bestimmte Version des Objekts zu erhalten. Der Kontoadministrator kann dies bewerkstelligen, indem er dem Benutzer `Dave` bedingt die `s3:GetObjectVersion`‑Berechtigung gewährt, wie im folgenden Beispiel gezeigt. Das Schlüssel-Wert-Paar im Block `Condition` gibt den Bedingungsschlüssel `s3:VersionId` an. In diesem Fall muss `Dave` die genaue Objektversions-ID kennen, um das Objekt aus dem angegebenen Bucket abzurufen. Wenn Sie diese Beispielrichtlinie verwenden möchten, ersetzen Sie `user input placeholders` durch Ihre eigenen Informationen.
Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html) in der *API-Referenz zu Amazon Simple Storage Service*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "statement1",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Dave"
},
"Action": "s3:GetObjectVersion",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/HappyFace.jpg"
},
{
"Sid": "statement2",
"Effect": "Deny",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Dave"
},
"Action": "s3:GetObjectVersion",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/HappyFace.jpg",
"Condition": {
"StringNotEquals": {
"s3:VersionId": "AaaHbAQitwiL_h47_44lRO2DDfLlBO5e"
}
}
}
]
}
```
------
**Testen Sie die Richtlinie mit dem AWS CLI**
Sie können die Berechtigungen in dieser Richtlinie testen, indem Sie den AWS CLI `get-object` Befehl mit dem `--version-id` Parameter verwenden, um die spezifische Objektversion zu identifizieren, die abgerufen werden soll. Der Befehl ruf die angegebene Version des Objekts ab und speichert sie in der `OutputFile.jpg`-Datei.
```
aws s3api get-object --bucket amzn-s3-demo-bucket --key HappyFace.jpg OutputFile.jpg --version-id AaaHbAQitwiL_h47_44lRO2DDfLlBO5e --profile AccountADave
```
### Beispiel 4: Erteilen von Berechtigungen basierend auf Objekt-Tags
Beispiele für die Verwendung von Objektmarkierungs-Bedingungsschlüsseln mit Amazon-S3-Operationen finden Sie unter [Markierungs- und Zugriffskontrollrichtlinien](tagging-and-policies.md).
### Beispiel 5: Beschränken des Zugriffs anhand der AWS-Konto ID des Bucket-Besitzers
Sie können entweder den `s3:ResourceAccount` Bedingungsschlüssel `aws:ResourceAccount` oder verwenden, um IAM- oder Virtual Private Cloud (VPC) -Endpunktrichtlinien zu schreiben, die den Benutzer-, Rollen- oder Anwendungszugriff auf die Amazon S3 S3-Buckets einschränken, die einer bestimmten ID gehören. AWS-Konto Sie können diese Bedingungsschlüssel verwenden, wenn Sie Clients in Ihrer VPC daran hindern möchten, auf Buckets zuzugreifen, die Ihnen nicht gehören.
Beachten Sie jedoch, dass einige AWS Dienste auf den Zugriff auf verwaltete Buckets angewiesen sind. AWS Daher kann es auch den Zugriff auf diese Ressourcen beeinflussen, wenn Sie den Schlüssel `aws:ResourceAccount` oder `s3:ResourceAccount` in Ihrer IAM-Richtlinie verwenden. Weitere Informationen finden Sie in den folgenden Ressourcen:
+ [Beschränken des Zugriffs auf Buckets in einem bestimmten AWS-Konto](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#bucket-policies-s3) im *AWS PrivateLink -Handbuch*
+ [Beschränken des Zugriffs auf Buckets, die Amazon ECR verwendet](https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html#ecr-minimum-s3-perms) im *Amazon-ECR-Leitfaden*
+ [Geben Sie im Handbuch den erforderlichen Zugriff auf Systems Manager für AWS verwaltete Amazon S3 S3-Buckets](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-minimum-s3-permissions.html) *an AWS Systems Manager *
Weitere Informationen zu den `aws:ResourceAccount`- und `s3:ResourceAccount`-Bedingungsschlüsseln sowie Beispiele zu ihrer Verwendung finden Sie unter [Limit access to Amazon S3 buckets owned by specific AWS-Konten](https://aws.amazon.com/blogs/storage/limit-access-to-amazon-s3-buckets-owned-by-specific-aws-accounts/)im *AWS Storage Blog*.
### Beispiel 6: Mindestanforderung für die TLS-Version
Sie können den Bedingungsschlüssel `s3:TlsVersion` verwenden, um IAM-, Virtual Private Cloud Endpoint (VPCE)- oder Bucket-Richtlinien zu schreiben, die den Zugriff von Benutzern oder Anwendungen auf Amazon-S3-Buckets basierend auf der vom Client verwendeten TLS-Version einschränken. Sie können diesen Bedingungsschlüssel verwenden, um Richtlinien zu schreiben, die eine minimale TLS-Version erfordern.
**Anmerkung**
Wenn AWS Dienste in Ihrem Namen andere AWS Dienste aufrufen (service-to-service Anrufe), wird ein bestimmter netzwerkspezifischer Autorisierungskontext unkenntlich gemacht, einschließlich,, `s3:TlsVersion` und`aws:SecureTransport`. `aws:SourceIp` `aws:VpcSourceIp` Wenn Ihre Richtlinie diese Bedingungsschlüssel zusammen mit `Deny` Anweisungen verwendet, werden AWS Dienstprinzipale möglicherweise unbeabsichtigt blockiert. Damit AWS Dienste unter Einhaltung Ihrer Sicherheitsanforderungen ordnungsgemäß funktionieren können, schließen Sie Service Principals aus Ihren `Deny` Kontoauszügen aus, indem Sie den `aws:PrincipalIsAWSService` Bedingungsschlüssel mit dem Wert von hinzufügen. `false` Beispiel:
```
{
"Effect": "Deny",
"Action": "s3:*",
"Resource": "*",
"Condition": {
"Bool": {
"aws:SecureTransport": "false",
"aws:PrincipalIsAWSService": "false"
}
}
}
```
Diese Richtlinie verweigert den Zugriff auf S3-Operationen, wenn HTTPS nicht verwendet wird (`aws:SecureTransport`ist falsch), sondern nur für AWS Nicht-Service-Principals. Dadurch wird sichergestellt, dass Ihre bedingten Einschränkungen für alle Prinzipale außer AWS für Dienstprinzipale gelten.
**Example**
Die folgende Beispiel-Bucket-Richtlinie *verweigert* `PutObject`-Anforderungen von Clients mit einer TLS-Version, die älter als 1.2 ist, zum Beispiel 1.1 oder 1.0. Wenn Sie diese Beispielrichtlinie verwenden möchten, ersetzen Sie `user input placeholders` durch Ihre eigenen Informationen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1",
"arn:aws:s3:::amzn-s3-demo-bucket1/*"
],
"Condition": {
"NumericLessThan": {
"s3:TlsVersion": 1.2
}
}
}
]
}
```
**Example**
Die folgende Bucket-Richtlinie *erlaubt* `PutObject`-Anforderungen von Clients mit einer TLS-Version neuer als 1.1, zum Beispiel 1.2, 1.3 oder neuer:
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1",
"arn:aws:s3:::amzn-s3-demo-bucket1/*"
],
"Condition": {
"NumericGreaterThan": {
"s3:TlsVersion": 1.1
}
}
}
]
}
```
### Beispiel 7: Ausschließen bestimmter Prinzipale aus einer `Deny`-Anweisung
Die folgende Bucket-Richtlinie verweigert den `s3:GetObject`-Zugriff auf den `amzn-s3-demo-bucket`, mit Ausnahme von Prinzipalen mit der Kontonummer *`123456789012`*. Wenn Sie diese Beispielrichtlinie verwenden möchten, ersetzen Sie `user input placeholders` durch Ihre eigenen Informationen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyAccessFromPrincipalNotInSpecificAccount",
"Principal": {
"AWS": "*"
},
"Action": "s3:GetObject",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [
"123456789012"
]
}
}
}
]
}
```
------
### Beispiel 8: Erzwingen, dass Clients Objekte auf der Grundlage von Objektschlüsselnamen bedingt hochladen oder ETags
Mit bedingten Schreibvorgängen können Sie Ihren `WRITE`-Anforderungen einen zusätzlichen Header hinzufügen, um Vorbedingungen für Ihren S3-Vorgang festzulegen. Dieser Header spezifiziert eine Bedingung, die, wenn sie nicht erfüllt wird, dazu führt, dass der S3-Vorgang fehlschlägt. Beispielsweise können Sie das Überschreiben vorhandener Daten verhindern, indem Sie beim Hochladen des Objekts überprüfen, ob sich kein Objekt mit demselben Schlüsselnamen bereits in Ihrem Bucket befindet. Sie können alternativ das Entity-Tag (ETag) eines Objekts in Amazon S3 überprüfen, bevor Sie ein Objekt schreiben.
Beispiele für Bucket-Richtlinien, die Bedingungen in einer Bucket-Richtlinie verwenden, um bedingte Schreibvorgänge zu erzwingen, finden Sie unter [Erzwingen bedingter Schreibvorgänge in Amazon-S3-Buckets](conditional-writes-enforce.md).
## Beispiele: Amazon-S3-Bedingungsschlüssel für Bucket-Vorgänge
Die folgenden Beispielrichtlinien zeigen, wie Sie Amazon-S3-spezifische Bedingungsschlüssel für Bucket-Operationen verwenden können.
**Topics**
+ [Beispiel 1: Erteilen von `s3:GetObject`-Berechtigungen mit einer Bedingung für eine IP-Adresse](#AvailableKeys-iamV2)
+ [Beispiel 2: Abrufen einer Liste von Objekten in einem Bucket mit einem bestimmten Präfix](#condition-key-bucket-ops-2)
+ [Beispiel 3: Festlegen der maximalen Anzahl von Schlüsseln](#example-numeric-condition-operators)
### Beispiel 1: Erteilen von `s3:GetObject`-Berechtigungen mit einer Bedingung für eine IP-Adresse
Sie können authentifizierten Benutzern die Berechtigung zum Verwenden der `s3:GetObject`-Aktion erteilen, wenn die Anforderung aus einem bestimmten Bereich von IP-Adressen stammt (z. B. `192.0.2.*`), sofern Sie die IP-Adresse nicht ausschließen möchten (z. B. `192.0.2.188`). Im `Condition`-Block sind `IpAddress` und `NotIpAddress` Bedingungen und bei jeder Bedingung ist ein Schlüssel-Wert-Paar zur Auswertung angefügt. Beide Schlüssel-Wert-Paare in diesem Beispiel verwenden den `aws:SourceIp` AWS Wide-Key. Wenn Sie diese Beispielrichtlinie verwenden möchten, ersetzen Sie `user input placeholders` durch Ihre eigenen Informationen.
**Anmerkung**
Die im `IPAddress`-Block angegebenen Schlüsselwerte `NotIpAddress` und `Condition` verwenden die CIDR-Notation, wie in RFC 4632 beschrieben. [Weitere Informationen finden Sie unter http://www.rfc-editor. org/rfc/rfc](http://www.rfc-editor.org/rfc/rfc4632.txt)4632.txt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "S3PolicyId1",
"Statement": [
{
"Sid": "statement1",
"Effect": "Allow",
"Principal": "*",
"Action":"s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition" : {
"IpAddress" : {
"aws:SourceIp": "192.0.2.0/24"
},
"NotIpAddress" : {
"aws:SourceIp": "192.0.2.188/32"
}
}
}
]
}
```
------
Sie können auch andere bedingte Schlüssel für AWS alle Bereiche in Amazon S3 S3-Richtlinien verwenden. Beispielsweise können Sie die Bedingungsschlüssel `aws:SourceVpce` und `aws:SourceVpc` in Bucket-Richtlinien für VPC-Endpunkte angeben. Spezifische Beispiele finden Sie unter [Steuern des Zugriffs von VPC-Endpunkten mit Bucket-Richtlinien](example-bucket-policies-vpc-endpoint.md).
**Anmerkung**
Für einige AWS globale Bedingungsschlüssel werden nur bestimmte Ressourcentypen unterstützt. Prüfen Sie daher, ob Amazon S3 den globalen Bedingungsschlüssel und den Ressourcentyp unterstützt, die Sie verwenden möchten, oder ob Sie stattdessen einen spezifischen Bedingungsschlüssel von Amazon S3 verwenden müssen. Eine vollständige Liste der unterstützten Ressourcentypen und Bedingungsschlüssel für Amazon S3 finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html) in der *Service-Authorization-Referenz*.
Weitere Informationen zu den Berechtigungen für S3-API-Operationen nach S3-Ressourcentypen finden Sie unter [Erforderliche Berechtigungen für Amazon-S3-API-Operationen](using-with-s3-policy-actions.md).
### Beispiel 2: Abrufen einer Liste von Objekten in einem Bucket mit einem bestimmten Präfix
Sie können den `s3:prefix`-Bedingungsschlüssel verwenden, um die Antwort der [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html)-API-Operation auf Schlüsselnamen mit einem bestimmten Präfix zu beschränken. Wenn Sie der Bucket-Eigentümer sind, können Sie diesen Bedingungsschlüssel verwenden, um einen Benutzer darauf zu beschränken, den Inhalt eines bestimmten Präfixes im Bucket aufzulisten. Dieser Bedingungsschlüssel `s3:prefix` ist nützlich, wenn Objekte im Bucket nach Schlüsselnamenpräfixen organisiert sind.
Die Amazon-S3-Konsole verwendet Schlüsselnamenpräfixe zum Anzeigen von Ordnerkonzepten. Nur die Konsole unterstützt das Ordnerkonzept. Die Amazon-S3-API unterstützt ausschließlich Buckets und Objekte. Wenn Sie zum Beispiel zwei Objekte mit den Schlüsselnamen *`public/object1.jpg`* und *`public/object2.jpg`* haben, zeigt die Konsole die Objekte unter dem Ordner *`public`*. In der Amazon-S3-API sind dies Objekte mit Präfixen, nicht Objekte in Ordnern. Weitere Informationen zur Verwendung von Präfixen und Trennzeichen zum Filtern von Zugriffsberechtigungen finden Sie unter [Kontrollieren des Zugriffs auf einen Bucket mit Benutzerrichtlinien](walkthrough1.md).
In dem folgenden Szenario sind der Bucket-Eigentümer und das übergeordnete Konto, zu dem der Benutzer gehört, dasselbe. Daher kann der Bucket-Eigentümer entweder eine Bucket-Richtlinie oder eine Benutzer-Richtlinie verwenden, um Zugriff zu gewähren. Weitere Informationen zu anderen Bedingungsschlüsseln, die Sie mit der `ListObjectsV2`-API-Operation verwenden können, finden Sie unter [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html).
**Anmerkung**
Wenn die Versionsverwaltung für den Bucket aktiviert ist, müssen Sie die Berechtigung `s3:ListBucketVersions` in den folgenden Richtlinien erteilen, anstelle der Berechtigung `s3:ListBucket`, um die Objekte im Bucket aufzulisten. Die `s3:ListBucketVersions`-Berechtigung unterstützt auch den `s3:prefix`-Bedingungsschlüssel.
**Richtlinie für Benutzer:**
Die folgende Benutzerrichtlinie erteilt die Berechtigung `s3:ListBucket` (siehe [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html)) mit einer `Condition`-Anweisung, nach der der Benutzer in der Anfrage ein Präfix mit dem Wert von `projects` angeben muss. Wenn Sie diese Beispielrichtlinie verwenden möchten, ersetzen Sie `user input placeholders` durch Ihre eigenen Informationen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"statement1",
"Effect":"Allow",
"Action": "s3:ListBucket",
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket",
"Condition" : {
"StringEquals" : {
"s3:prefix": "projects"
}
}
},
{
"Sid":"statement2",
"Effect":"Deny",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition" : {
"StringNotEquals" : {
"s3:prefix": "projects"
}
}
}
]
}
```
------
Die `Condition`-Anweisung beschränkt den Benutzer darauf, nur Objektschlüssel aufzulisten, die das `projects`-Präfix haben. Die hinzugefügte explizite `Deny`‑Anweisung verweigert dem Benutzer das Auflisten von Schlüsseln mit jedem anderen Präfix, unabhängig davon, welche weiteren Berechtigungen der Benutzer haben könnte. Beispielsweise ist es möglich, dass der Benutzer die Berechtigung erhält, Objektschlüssel ohne Einschränkungen aufzulisten – entweder durch Updates der vorherigen Benutzerrichtlinie oder durch eine Bucket-Richtlinie. Da explizite `Deny`-Anweisungen immer `Allow`-Anweisungen überschreiben, wird die Anforderung verweigert, wenn der Benutzer versucht, andere Schlüssel als die aufzulisten, die das `projects`-Präfix haben.
**Bucket-Richtlinie**
Wenn Sie das `Principal`‑Element zur oben genannten Benutzerrichtlinie hinzufügen, das den Benutzer identifiziert, besitzen Sie nun eine Bucket-Richtlinie, wie im folgenden Beispiel gezeigt. Wenn Sie diese Beispielrichtlinie verwenden möchten, ersetzen Sie `user input placeholders` durch Ihre eigenen Informationen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"statement1",
"Effect":"Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/bucket-owner"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition" : {
"StringEquals" : {
"s3:prefix": "projects"
}
}
},
{
"Sid":"statement2",
"Effect":"Deny",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/bucket-owner"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition" : {
"StringNotEquals" : {
"s3:prefix": "projects"
}
}
}
]
}
```
------
**Testen Sie die Richtlinie mit AWS CLI**
Sie können die Richtlinie mit dem folgenden `list-object` AWS CLI Befehl testen. Im Befehl geben Sie Benutzeranmeldeinformationen mit dem Parameter `--profile` an. Weitere Informationen zur Einrichtung und Verwendung von finden Sie unter [Entwickeln mit Amazon S3 mithilfe der AWS CLI](https://docs.aws.amazon.com/AmazonS3/latest/API/setup-aws-cli.html) in der *Amazon S3 S3-API-Referenz*. AWS CLI
```
aws s3api list-objects --bucket amzn-s3-demo-bucket --prefix projects --profile AccountA
```
### Beispiel 3: Festlegen der maximalen Anzahl von Schlüsseln
Sie können den Bedingungsschlüssel `s3:max-keys` verwenden, um die maximale Anzahl von Schlüsseln festzulegen, die ein Anforderer in einer [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html)- oder [https://docs.aws.amazon.com//AmazonS3/latest/API/API_ListObjectVersions.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_ListObjectVersions.html)-Anforderung zurückgeben kann. Standardmäßig gibt diese API-Operation bis zu 1000 Schlüssel zurück. Die Liste der numerischen Bedingungsoperatoren, die Sie mit `s3:max-keys` und begleitenden Beispielen verwenden können, finden Sie unter [Numerische Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_Numeric) im *IAM-Benutzerhandbuch*.
# Identitätsbasierte Richtlinien für Amazon S3
Benutzer und Rollen besitzen standardmäßig keine Berechtigungen zum Erstellen oder Ändern von Amazon-S3-Ressourcen. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
Einzelheiten zu den von Amazon S3 definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html) in der *Service Authorization Reference*.
Weitere Informationen zu den Berechtigungen für S3-API-Operationen nach S3-Ressourcentypen finden Sie unter [Erforderliche Berechtigungen für Amazon-S3-API-Operationen](using-with-s3-policy-actions.md).
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Kontrollieren des Zugriffs auf einen Bucket mit Benutzerrichtlinien](walkthrough1.md)
+ [Beispiele für identitätsbasierte Richtlinien für Amazon S3](example-policies-s3.md)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien bestimmen, ob jemand Amazon-S3-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn Sie identitätsbasierte Richtlinien erstellen oder bearbeiten, befolgen Sie diese Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
# Kontrollieren des Zugriffs auf einen Bucket mit Benutzerrichtlinien
Diese schrittweise Anleitung erklärt, wie Benutzerberechtigungen in Amazon S3 funktionieren. In diesem Beispiel erstellen Sie einen Bucket mit Ordnern. Anschließend erstellen Sie AWS Identity and Access Management IAM-Benutzer in Ihrem AWS-Konto und gewähren diesen Benutzern inkrementelle Berechtigungen für Ihren Amazon S3 S3-Bucket und die darin enthaltenen Ordner.
**Topics**
+ [Grundlagen zu Buckets und Ordnern](#walkthrough-background1)
+ [Walkthrough-Übersicht](#walkthrough-scenario)
+ [Vorbereitung auf den Walkthrough](#walkthrough-what-you-need)
+ [Schritt 1: Erstellen eines Buckets](#walkthrough1-create-bucket)
+ [Schritt 2: Erstellen von IAM-Benutzern und einer Gruppe](#walkthrough1-add-users)
+ [Schritt 3: Überprüfen Sie, dass die IAM-Benutzer über keine Berechtigungen verfügen](#walkthrough1-verify-no-user-permissions)
+ [Schritt 4: Erteilen von Berechtigungen auf Gruppenebene](#walkthrough-group-policy)
+ [Schritt 5: Der IAM-Benutzerin Alice spezifische Berechtigungen erteilen](#walkthrough-grant-user1-permissions)
+ [Schritt 6: Dem IAM-Benutzer Bob spezifische Berechtigungen erteilen](#walkthrough1-grant-permissions-step5)
+ [Schritt 7: Absichern des Ordners „Private“](#walkthrough-secure-private-folder-explicit-deny)
+ [Schritt 8: Bereinigen](#walkthrough-cleanup)
+ [Zugehörige Ressourcen](#RelatedResources-walkthrough1)
## Grundlagen zu Buckets und Ordnern
Das Amazon-S3-Datenmodell ist eine flache Struktur: Sie erstellen einen Bucket und der Bucket speichert Objekte. Es gibt keine Hierarchie für Unter-Buckets oder Unterordner. Sie können aber eine Ordnerhierarchie nachbilden. Tools, wie die Amazon-S3-Konsole, können eine Ansicht dieser logischen Ordner und Unterordner in Ihrem Bucket präsentieren.
Die Konsole zeigt, dass sich in einem Bucket mit dem Namen `companybucket` die drei Ordner `Private`, `Development` und `Finance` und das Objekt `s3-dg.pdf` befinden. Die Konsole verwendet die Objektnamen (Schlüssel), um eine logische Hierarchie mit Ordnern und Unterordnern zu erzeugen. Betrachten Sie die folgenden Beispiele:
+ Wenn Sie den Ordner `Development` anlegen, erstellt die Konsole ein Objekt mit dem Schlüssel `Development/`. Beachten Sie den als Trennzeichen dienenden abschließenden Schrägstrich (`/`).
+ Wenn Sie ein Objekt mit dem Namen `Projects1.xls` in den Ordner `Development` hochladen, lädt die Konsole das Objekt hoch und weist ihm den Schlüssel `Development/Projects1.xls` zu.
Im Schlüssel ist `Development` das [Präfix](https://docs.aws.amazon.com/general/latest/gr/glos-chap.html#keyprefix) und `/` ist das Trennzeichen. Die Amazon-S3-API unterstützt in ihren Vorgängen Präfixe und Separatoren. Beispielsweise können Sie eine Liste aller Objekte in einem Bucket mit einem bestimmten Präfix und Separator erhalten. Wenn Sie in der Konsole den Ordner `Development` öffnen, listet die Konsole die Objekte im betreffenden Ordner auf. Im folgenden Beispiel enthält der Ordner `Development` ein Objekt.
Wenn die Konsole den Ordner `Development` im Bucket `companybucket` auflistet, sendet sie eine Anforderung an Amazon S3, in der das Präfix `Development` und das Trennzeichen `/` in der Anforderung angegeben werden. Die Antwort der Konsole sieht genauso aus, wie eine Ordnerliste im Dateisystem Ihres Computers. Das vorherige Beispiel zeigt, dass der Bucket `companybucket` ein Objekt mit dem Schlüssel `Development/Projects1.xls` enthält.
Die Konsole verwendet Objektschlüssel, um eine logische Hierarchie abzuleiten. Amazon S3 hat keine physische Hierarchie. Amazon S3 hat nur Buckets, die Objekte in einer Flatfile-Struktur enthalten. Wenn Sie Objekte mit der Amazon-S3-API erstellen, können Sie Objektschlüssel verwenden, die eine logische Hierarchie implizieren. Wenn Sie eine logische Hierarchie von Objekten erstellen, können Sie den Zugriff auf einzelne Ordner verwalten, wie in dieser exemplarischen Anleitung veranschaulicht.
Bevor Sie beginnen, müssen Sie mit dem Konzept des Bucket-Inhalts auf *Stammebene* vertraut sein. Angenommen, Ihr Bucket `companybucket` enthält die folgenden Objekte:
+ `Private/privDoc1.txt`
+ `Private/privDoc2.zip`
+ `Development/project1.xls`
+ `Development/project2.xls`
+ `Finance/Tax2011/document1.pdf`
+ `Finance/Tax2011/document2.pdf`
+ `s3-dg.pdf`
Diese Objektschlüssel erzeugen eine logische Hierarchie mit `Private`, `Development` und `Finance` als Stammebenen-Ordner und `s3-dg.pdf` als Stammebenen-Objekt. Wenn Sie den Bucket-Namen in der Amazon-S3-Konsole auswählen, erscheinen die Elemente der Stammebene. Die Konsole zeigt die Präfixe der obersten Ebene (`Private/`, `Development/` und `Finance/`) als Stammebenen-Ordner. Der Objektschlüssel `s3-dg.pdf` hat kein Präfix und erscheint daher als Stammebenen-Element.
## Walkthrough-Übersicht
In dieser Anleitung erstellen Sie einen Bucket mit drei Ordnern (`Private`, `Development` und `Finance`).
Sie haben zwei User, Alice und Bob. Sie möchten, dass Alice nur auf den Ordner `Development` und Bob nur auf den Ordner `Finance` zugreift. Sie möchten, das der Inhalt des Ordners `Private` privat bleibt. In der Anleitung verwalten Sie den Zugriff durch Erstellen von IAM-Benutzern (im Beispiel werden die Benutzernamen Alice und Bob verwendet) und gewähren ihnen die erforderlichen Berechtigungen.
IAM unterstützt auch die Erstellung von Benutzergruppen und von Berechtigungen auf Gruppenebene, die für alle Benutzer in der Gruppe gelten. Dies hilft Ihnen bei der Verwaltung der Berechtigungen. In dieser Übung benötigen sowohl Alice als auch Bob einige gemeinsame Berechtigungen. Sie erstellen also eine Gruppe mit dem Namen `Consultants` und fügen dann Alice und Bob der Gruppe hinzu. Sie erteilen zunächst Berechtigungen, indem Sie der Gruppe eine Gruppenrichtlinie zuweisen. Fügen Sie dann benutzerspezifische Berechtigungen durch Zuweisen von Richtlinien zu bestimmten Benutzern hinzu.
**Anmerkung**
Die Anleitung verwendet `companybucket` als Bucket-Namen, Alice und Bob als IAM-Benutzer und `Consultants` als Gruppenname. Da Bucket-Namen in Amazon S3 global eindeutig sein müssen, müssen Sie den Bucket-Namen durch einen von Ihnen erstellten Namen ersetzen.
## Vorbereitung auf den Walkthrough
In diesem Beispiel verwenden Sie Ihre AWS-Konto Anmeldeinformationen, um IAM-Benutzer zu erstellen. Zu Beginn haben diese Benutzer keine Berechtigungen. Sie gewähren diesen Benutzern nach und nach Berechtigungen, damit sie spezifische Amazon-S3-Aktionen ausführen können. Um diese Berechtigungen zu testen, melden Sie sich mit den Anmeldeinformationen eines jeden Benutzers bei der Konsole an. Da Sie als AWS-Konto Eigentümer schrittweise Berechtigungen gewähren und als IAM-Benutzer Testberechtigungen erteilen, müssen Sie sich jedes Mal mit unterschiedlichen Anmeldeinformationen an- und abmelden. Sie können diesen Test auch mit einem Browser durchführen, das Verfahren schreitet aber schneller fort, wenn Sie zwei verschiedene Browser verwenden. Verwenden Sie einen Browser, um AWS-Managementkonsole mit Ihren AWS-Konto Anmeldeinformationen eine Verbindung herzustellen, und einen anderen Browser, um eine Verbindung mit den IAM-Benutzeranmeldedaten herzustellen.
Um sich AWS-Managementkonsole mit Ihren AWS-Konto Anmeldeinformationen bei der anzumelden, gehen Sie zu [https://console.aws.amazon.com/](https://console.aws.amazon.com/). Ein IAM-Benutzer kann sich nicht über denselben Link anmelden. Ein IAM-Benutzer muss eine IAM-aktivierte Anmeldeseite verwenden. Als Kontoinhaber können Sie diesen Link Ihren Benutzern bereitstellen.
Weitere Informationen zu IAM finden Sie unter [Die AWS-Managementkonsole Anmeldeseite](https://docs.aws.amazon.com/IAM/latest/UserGuide/console.html) im *IAM-Benutzerhandbuch.*
### So stellen Sie einen Anmeldelink für IAM-Benutzer bereit:
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie im **Navigations**bereich **IAM Dashboard** aus.
1. Notieren Sie die URL unter **IAM users sign in link (Anmeldelink für IAM-Benutzer):**. Sie geben diesen Link an die IAM-Benutzer weiter, damit sie sich mit ihrem IAM-Benutzernamen und -Passwort in der Konsole anmelden können.
## Schritt 1: Erstellen eines Buckets
In diesem Schritt melden Sie sich bei der Amazon-S3-Konsole mit ihren AWS-Konto -Anmeldeinformationen an, erstellen einen Bucket, fügen dem Bucket Ordner hinzu und laden ein oder zwei Beispieldokumente in jeden Ordner hoch.
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Erstellen Sie einen Bucket.
step-by-stepAnweisungen finden Sie unter[Erstellen eines Allzweck-Buckets](create-bucket-overview.md).
1. Laden Sie ein Dokument in den Bucket hoch.
Diese Übung geht davon aus, dass sich das Dokument `s3-dg.pdf` auf der Stammebene dieses Buckets befindet. Wenn Sie andere Dokumente hochladen, ändern Sie ihren Dateinamen in `s3-dg.pdf`.
1. Fügen Sie drei Ordner mit dem Namen `Private`, `Finance` and `Development` zum Bucket hinzu.
step-by-stepAnweisungen zum Erstellen eines Ordners finden Sie unter [Organisieren von Objekten in der Amazon S3-Konsole mithilfe von Ordnern](using-folders.md) > im *Amazon Simple Storage Service-Benutzerhandbuch*.
1. Laden Sie ein oder zwei Dokumente in jeden Ordner hoch.
Für diese Übung wird angenommen, dass Sie einige Dokumente in jeden Ordner hochgeladen haben, sodass der Bucket Objekte mit den folgenden Schlüsseln enthält:
+ `Private/privDoc1.txt`
+ `Private/privDoc2.zip`
+ `Development/project1.xls`
+ `Development/project2.xls`
+ `Finance/Tax2011/document1.pdf`
+ `Finance/Tax2011/document2.pdf`
+ `s3-dg.pdf`
step-by-stepAnweisungen finden Sie unter[Objekte hochladen](upload-objects.md).
## Schritt 2: Erstellen von IAM-Benutzern und einer Gruppe
Verwenden Sie nun die [IAM-Konsole](https://console.aws.amazon.com/iam/), um zwei IAM-Benutzer, Alice und Bob, zu Ihrer AWS-Konto hinzuzufügen. step-by-stepAnweisungen finden Sie unter [Einen IAM-Benutzer erstellen in Ihrem AWS-Konto](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console) im *IAM-Benutzerhandbuch*.
Erstellen Sie auch eine administrative Gruppe mit dem Namen `Consultants`. Fügen Sie dann beide Benutzer zur Gruppe hinzu. step-by-stepAnweisungen finden Sie unter [IAM-Benutzergruppen erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_create.html).
**Warnung**
Wenn Sie die Benutzer und die Gruppe erstellen, fügen Sie keine Richtlinien an, die diesen Benutzern Berechtigungen erteilen. Anfänglich haben diese Benutzer keine Berechtigungen. In den folgenden Abschnitten gewähren Sie nach und nach Berechtigungen. Sie müssen zunächst sicherstellen, dass Sie diesen IAM-Benutzern Passwörter zugewiesen haben. Sie verwenden diese Benutzer-Anmeldeinformationen zum Testen der Amazon-S3-Aktionen und zum Überprüfen, ob die Berechtigungen wie erwartet funktionieren.
step-by-stepAnweisungen zum Erstellen eines neuen IAM-Benutzers finden Sie unter [Erstellen eines IAM-Benutzers AWS-Konto in Ihrem](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html) *IAM-Benutzerhandbuch*. Wenn Sie die Benutzer für diese Anleitung erstellen, wählen Sie **AWS-Managementkonsole -Zugriff** aus und deaktivieren Sie [Programmgesteuerter Zugriff](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys).
step-by-step*Anweisungen zum Erstellen einer administrativen Gruppe finden Sie unter [Erstellen Ihres ersten IAM-Admin-Benutzers und Ihrer ersten Gruppe im IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html).*
## Schritt 3: Überprüfen Sie, dass die IAM-Benutzer über keine Berechtigungen verfügen
Wenn Sie zwei Browser verwenden, können Sie jetzt den zweiten Browser verwenden, um in der Konsole einen IAM-Benutzer mit seinen Anmeldeinformationen anzumelden.
1. Melden Sie sich über den Anmeldelink des IAM-Benutzers (siehe [So stellen Sie einen Anmeldelink für IAM-Benutzer bereit:](#walkthrough-sign-in-user-credentials)) bei der AWS-Managementkonsole unter Verwendung einer der IAM-Benutzeranmeldeinformationen an.
1. Öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
Überprüfen Sie die Konsolenmeldung, die Ihnen mitteilt, dass der Zugriff verweigert wurde.
Nun können Sie damit beginnen, den Benutzern schrittweise Berechtigungen zu erteilen. Sie weisen zunächst eine Gruppenrichtlinie zu, die beiden Benutzern die erforderlichen Berechtigungen gewährt.
## Schritt 4: Erteilen von Berechtigungen auf Gruppenebene
Sie möchten den Benutzern Folgendes ermöglichen:
+ Auflisten aller Buckets, die dem übergeordneten Konto gehören. Um das zu tun, müssen Bob und Alice die Berechtigung für die Aktion `s3:ListAllMyBuckets` besitzen.
+ Auflisten aller Elemente, Ordner und Objekte auf Stammebene im Bucket `companybucket`. Um das zu tun, müssen Bob und Alice die Berechtigung für die Aktion `s3:ListBucket` im Bucket `companybucket` besitzen.
Zuerst erstellen Sie eine Richtlinie, die diese Berechtigungen gewährt, und dann weisen Sie sie der Gruppe `Consultants` zu.
### Schritt 4.1: Erteilen der Berechtigung zum Auflisten aller Buckets
In diesem Schritt erstellen Sie eine verwaltete Richtlinie, die den Benutzern die Mindestberechtigungen für die Auflistung aller Buckets des übergeordneten Kontos erteilt. Dann weisen Sie die Richtlinie der Gruppe `Consultants` zu. Wenn Sie einem Benutzer oder einer Benutzergruppe die verwaltete Richtlinie zuordnen, erhält der Benutzer oder die Gruppe die Berechtigung, alle Buckets des übergeordneten AWS-Konto aufzulisten.
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
**Anmerkung**
Da Sie Benutzer-Berechtigungen erteilen, müssen Sie sich mit Ihren AWS-Konto -Anmeldeinformationen anmelden und nicht als IAM-Benutzer.
1. Erstellen Sie die verwaltete Richtlinie.
1. Wählen Sie links im Navigationsbereich **Richtlinien** und dann **Richtlinie erstellen** aus.
1. Wählen Sie den Tab **JSON**.
1. Kopieren Sie die folgende Zugriffsrichtlinie und fügen Sie sie in das Textfeld für die Richtlinie ein.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowGroupToSeeBucketListInTheConsole",
"Action": ["s3:ListAllMyBuckets"],
"Effect": "Allow",
"Resource": ["arn:aws:s3:::*"]
}
]
}
```
------
Eine Richtlinie ist ein JSON-Dokument. Im Dokument ist ein `Statement` ein Array von Objekten, die jeweils eine Berechtigung unter Verwendung einer Sammlung von Namenswertpaaren beschreiben. Die vorangegangene Richtlinie beschreibt eine bestimmte Berechtigung. Die `Action` definiert den Zugriffstyp. In der Richtlinie ist `s3:ListAllMyBuckets` eine vordefinierte Amazon-S3-Aktion. Diese Aktion umfasst die Operation Amazon S3 GET Service, die eine Liste aller Buckets des authentifizierten Absenders zurückgibt. Der Wert des `Effect`-Elements bestimmt, ob die spezifische Berechtigung gewährt oder verweigert wird.
1. Wählen Sie **Review policy (Richtlinie überprüfen)** aus. Geben Sie auf der nächsten Seite in das Feld **Name** `AllowGroupToSeeBucketListInTheConsole` ein und wählen Sie dann **Richtlinie erstellen**.
**Anmerkung**
Der Eintrag **Summary (Übersicht)** enthält eine Nachricht, die angibt, dass die Richtlinie keinerlei Berechtigungen gewährt. Für diese Anleitung können Sie diese Nachricht getrost ignorieren.
1. Weisen Sie die von `AllowGroupToSeeBucketListInTheConsole` verwaltete Richtlinie, die Sie erstellt haben, der Gruppe `Consultants` zu.
step-by-stepAnweisungen zum Anhängen einer verwalteten Richtlinie finden Sie unter [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#attach-managed-policy-console) im *IAM-Benutzerhandbuch*.
Sie fügen die Richtliniendokumente in der IAM-Konsole den IAM-Benutzern und Gruppen hinzu. Da Sie möchten, dass beide Benutzer die Buckets auflisten können, weisen Sie die Richtlinie der Gruppe zu.
1. Die Berechtigung testen.
1. Verwenden Sie den Anmeldelink für IAM-Benutzer (siehe [So stellen Sie einen Anmeldelink für IAM-Benutzer bereit:](#walkthrough-sign-in-user-credentials)) beim Anmelden in der Konsole mit den beiden verschiedenen IAM-Anmeldeinformationen.
1. Öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
Die Konsole sollte nun alle Buckets auflisten, nicht aber die Objekte in den jeweiligen Buckets.
### Schritt 4.2: Benutzern gestatten, dass sie den Bucket-Inhalt auf Stammebene auflisten
Als Nächstes gestatten Sie allen Benutzern in der Gruppe `Consultants`, Elemente im Bucket `companybucket` aufzulisten. Wenn ein Benutzer den Unternehmens-Bucket in der Amazon-S3-Konsole auswählt, werden die Elemente in der Stammebene des Buckets angezeigt.
**Anmerkung**
Dieses Beispiel verwendet `companybucket` zur Veranschaulichung. Sie müssen den Namen des Bucket verwenden, den Sie erstellt haben.
Um die Anfrage zu verstehen, die die Konsole an Amazon S3 sendet, wenn Sie einen Bucket-Namen auswählen, die Antwort, die Amazon S3 zurückgibt, und wie die Konsole die Antwort interpretiert, untersuchen Sie den Ablauf etwas genauer.
Wenn Sie auf einen Bucket-Namen klicken, sendet die Konsole die Anforderung [GET Bucket (List Objects)](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketGET.html) an Amazon S3. Diese Anforderung enthält die folgenden Parameter:
+ Der Parameter `prefix` mit einer leeren Zeichenfolge als Wert.
+ Der Parameter `delimiter` mit `/` als Wert.
Es folgt ein Beispiel einer Anforderung.
```
GET ?prefix=&delimiter=/ HTTP/1.1
Host: companybucket.s3.amazonaws.com
Date: Wed, 01 Aug 2012 12:00:00 GMT
Authorization: AWS AKIAIOSFODNN7EXAMPLE:xQE0diMbLRepdf3YB+FIEXAMPLE=
```
Amazon S3 gibt eine Antwort zurück, die das folgende ``-Element enthält:
```
companybucket
/
...
s3-dg.pdf
...
Development/
Finance/
Private/
```
Das Schlüsselobjekt `s3-dg.pdf` enthält nicht das Schrägstrich-Trennzeichen (`/`), und Amazon S3 gibt den Schlüssel im ``-Element zurück. Alle anderen Schlüssel in unserem Beispiel-Bucket enthalten jedoch das `/`-Trennzeichen. Amazon S3 gruppiert diese Schlüssel und gibt ein einziges ``-Element für jeden der verschiedenen Präfix-Werte `Development/`, `Finance/` und `Private/` zurück, eine Unterzeichenfolge vom Anfang dieser Schlüssel bis zum ersten Auftreten des angegebenen `/`-Trennzeichens.
Die Konsole interpretiert dieses Ergebnis und zeigt die Elemente auf der Stammebene als drei Ordner und einen Objektschlüssel an.
Wenn nun Bob oder Alice den Ordner **Development** öffnen, sendet die Konsole die Anforderung [GET Bucket (List Objects)](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketGET.html) an Amazon S3, wobei die Parameter `prefix` und `delimiter` auf die folgenden Werte eingestellt sind:
+ Der Parameter `prefix` mit dem Wert `Development/`.
+ Der Parameter `delimiter` mit dem Wert "`/`".
In der Antwort gibt Amazon S3 die Objektschlüssel mit dem angegebenen Präfix zurück.
```
companybucket
Development
/
...
Project1.xls
...
Project2.xls
...
```
Die Konsole zeigt die Objektschlüssel an.
Kehren Sie nun wieder zu dem Vorgang zurück, Benutzern die Berechtigung zum Auflisten von Elementen auf der Stammebene zu erteilen. Damit der Bucket-Inhalt aufgelistet werden kann, müssen die Benutzer die Berechtigung zum Aufruf der `s3:ListBucket`-Aktion besitzen, wie in der folgenden Richtlinienanweisung dargestellt. Um sicherzustellen, dass sie nur den Inhalt auf der Stammebene sehen, können Sie als Bedingung hinzufügen, dass Benutzer in der Anforderung ein leeres `prefix` angeben müssen – d. h., dass es ihnen nicht gestattet sein soll, auf einen der Stammebenen-Ordner doppelzuklicken. Schließlich fügen Sie noch eine Bedingung hinzu, die den Zugriff im Ordnerstil dadurch vorschreibt, dass Benutzeranforderungen den Parameter `delimiter` mit dem Wert "`/`" enthalten müssen.
```
{
"Sid": "AllowRootLevelListingOfCompanyBucket",
"Action": ["s3:ListBucket"],
"Effect": "Allow",
"Resource": ["arn:aws:s3:::companybucket"],
"Condition":{
"StringEquals":{
"s3:prefix":[""], "s3:delimiter":["/"]
}
}
}
```
Wenn Sie auf der Amazon S3 S3-Konsole einen Bucket auswählen, sendet die Konsole zunächst die [GET-Bucket-Standortanfrage](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketGETlocation.html), um herauszufinden, AWS-Region wo der Bucket bereitgestellt wird. Dann verwendet die Konsole den regionsspezifischen Endpunkt für den Bucket, um die Anforderung [GET Bucket (List Objects)](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketGET.html) zu senden. Wenn Benutzer die Konsole verwenden sollen, müssen Sie ihnen folglich die Berechtigung für die Aktion `s3:GetBucketLocation` gewähren, wie in der folgenden Richtlinienanweisung veranschaulicht.
```
{
"Sid": "RequiredByS3Console",
"Action": ["s3:GetBucketLocation"],
"Effect": "Allow",
"Resource": ["arn:aws:s3:::*"]
}
```
**Den Benutzern gestatten, den Bucket-Inhalt auf Stammebene aufzulisten**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
Verwenden Sie Ihre AWS-Konto Anmeldeinformationen, nicht die eines IAM-Benutzers, um sich bei der Konsole anzumelden.
1. Ersetzen Sie die vorhandene `AllowGroupToSeeBucketListInTheConsole`-verwaltete Richtlinie, die der Gruppe `s3:ListBucket` zugeordnet ist, durch die folgende Richtlinie, durch die die Aktion `Consultants` ebenfalls gestattet wird. Denken Sie daran, *`companybucket`* in der Richtlinie `Resource` durch den Namen Ihres Buckets zu ersetzen.
step-by-stepAnweisungen finden Sie im [IAM-Benutzerhandbuch unter Bearbeiten von *IAM-Richtlinien*](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html). Wenn Sie den step-by-step Anweisungen folgen, achten Sie darauf, dass Sie die Schritte befolgen, um Ihre Änderungen auf alle Haupteinheiten anzuwenden, denen die Richtlinie zugeordnet ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowGroupToSeeBucketListAndAlsoAllowGetBucketLocationRequiredForListBucket",
"Action": [ "s3:ListAllMyBuckets", "s3:GetBucketLocation" ],
"Effect": "Allow",
"Resource": [ "arn:aws:s3:::*" ]
},
{
"Sid": "AllowRootLevelListingOfCompanyBucket",
"Action": ["s3:ListBucket"],
"Effect": "Allow",
"Resource": ["arn:aws:s3:::companybucket"],
"Condition":{
"StringEquals":{
"s3:prefix":[""], "s3:delimiter":["/"]
}
}
}
]
}
```
------
1. Testen Sie die aktualisierten Berechtigungen.
1. Verwenden Sie den Anmeldelink für IAM-Benutzer (siehe [So stellen Sie einen Anmeldelink für IAM-Benutzer bereit:](#walkthrough-sign-in-user-credentials)) für die Anmeldung in der AWS-Managementkonsole.
Öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie den von Ihnen erstellten Bucket aus. Die Konsole zeigt die Bucket-Elemente auf Stammebene an. Wenn Sie Ordner im Bucket auswählen, können Sie den Ordnerinhalt nicht sehen, da Sie diese Berechtigungen noch nicht gewährt haben.
Dieser Test ist erfolgreich, wenn Benutzer die Amazon-S3-Konsole verwenden. Wenn Sie einen Bucket in der Konsole auswählen, sendet die Konsolenimplementierung eine Anforderung mit dem Parameter `prefix` mit einer leeren Zeichenfolge als Wert und dem Parameter `delimiter` mit "`/`" als Wert.
### Schritt 4.3: Übersicht über die Gruppenrichtlinie
Die Wirkung der von Ihnen hinzugefügten Gruppenrichtlinie ist, dass die IAM-Benutzer Alice und Bob über die folgenden Mindestberechtigungen verfügen:
+ Auflisten aller Buckets, die dem übergeordneten Konto gehören.
+ Ansicht der Elemente auf Stammebene im Bucket `companybucket`.
Die Benutzer können jedoch noch nicht sehr viele Aktionen ausführen. Als Nächstes erteilen Sie die folgenden benutzerspezifischen Berechtigungen:
+ Erlauben Sie Bob, Objekte im Ordner `Development` aufzurufen und abzulegen.
+ Erlauben Sie Bob, Objekte im Ordner `Finance` aufzurufen und abzulegen.
Für benutzerspezifische Berechtigungen fügen Sie eine Richtlinie zum spezifischen Benutzer hinzu, nicht für die Gruppe. Im folgenden Abschnitt erteilen Sie Alice die Berechtigung, mit dem Ordner `Development` zu arbeiten. Sie können die Schritte wiederholen, um Bob eine ähnliche Berechtigung für das Arbeiten im Ordner `Finance` zu erteilen.
## Schritt 5: Der IAM-Benutzerin Alice spezifische Berechtigungen erteilen
Nun gewähren Sie Alice zusätzliche Berechtigungen, damit sie den Inhalt des Ordners `Development` aufrufen und Objekte in diesem Ordner ablegen kann.
### Schritt 5.1: Der IAM-Benutzerin Alice die Berechtigung erteilen, den Inhalt des Development-Ordners aufzulisten
Damit Alice den Inhalt des Ordners `Development` auflisten kann, müssen Sie der Benutzerin Alice eine Richtlinie zuweisen, die die Berechtigung für die Aktion `s3:ListBucket` für den Bucket `companybucket` erteilt, unter der Voraussetzung, dass die Anforderung das Präfix `Development/` enthält. Da diese Richtlinie nur auf die Benutzerin Alice angewendet werden soll, verwenden Sie eine Inline-Richtlinie. Weitere Informationen zu Inline-Richtlinien finden Sie unter [Verwaltete Richtlinien und Inline-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) im *IAM-Benutzerhandbuch*.
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
Verwenden Sie Ihre AWS-Konto Anmeldeinformationen, nicht die eines IAM-Benutzers, um sich bei der Konsole anzumelden.
1. Erstellen Sie eine Inline-Richtlinie, um der Benutzerin Alice die Berechtigung zu erteilen, den Inhalt des Ordners `Development` aufzulisten.
1. Wählen Sie im Navigationsbereich auf der linken Seite **Users (Benutzer)** aus.
1. Klicken Sie auf den Benutzernamen **Alice**.
1. Wählen Sie auf der Benutzerdetailseite den Tab **Permissions (Berechtigungen)** und dann **Add inline policy (Inline-Richtlinie hinzufügen)**.
1. Wählen Sie den Tab **JSON**.
1. Kopieren Sie die folgende Richtlinie und fügen Sie sie in das Textfeld für die Richtlinie ein.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowListBucketIfSpecificPrefixIsIncludedInRequest",
"Action": ["s3:ListBucket"],
"Effect": "Allow",
"Resource": ["arn:aws:s3:::companybucket"],
"Condition": { "StringLike": {"s3:prefix": ["Development/*"] }
}
}
]
}
```
------
1. Wählen Sie **Review policy (Richtlinie überprüfen)** aus. Geben Sie auf der nächsten Seite in das Feld **Name** einen Namen ein und wählen Sie dann **Richtlinie erstellen**.
1. Testen Sie die geänderten Berechtigungen für Alice:
1. Verwenden Sie den Anmeldelink für IAM-Benutzer (siehe [So stellen Sie einen Anmeldelink für IAM-Benutzer bereit:](#walkthrough-sign-in-user-credentials)) für die Anmeldung in der AWS-Managementkonsole.
1. Öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Prüfen Sie in der Amazon-S3-Konsole, ob Alice die Liste der Objekte im Ordner `Development/` im Bucket sehen kann.
Wenn die Benutzerin den Ordner `/Development` auswählt, um die Liste der darin enthaltenen Objekte anzuzeigen, sendet die Amazon-S3-Konsole die Anforderung `ListObjects` zusammen mit dem Präfix `/Development` an Amazon S3. Weil die Benutzerin die Erlaubnis besitzt, die Objektliste mit dem Präfix `Development` und dem Trennzeichen `/` zu sehen, gibt Amazon S3 die Objektliste mit dem Schlüsselpräfix `Development/` zurück, und die Konsole gibt die Liste aus.
### Schritt 5.2: Der IAM-Benutzerin Alice die Berechtigung erteilen, auf die Objekte im Development-Ordner zuzugreifen und Objekte darin abzulegen
Damit Alice Objekte im Ordner `Development` ablegen und aufrufen kann, benötigt sie die Berechtigung für die Aktionen `s3:GetObject` und `s3:PutObject`. Die folgenden Richtlinienanweisungen räumen diese Berechtigungen ein, vorausgesetzt die Anforderung enthält den Parameter `prefix` mit dem Wert `Development/`.
```
{
"Sid":"AllowUserToReadWriteObjectData",
"Action":["s3:GetObject", "s3:PutObject"],
"Effect":"Allow",
"Resource":["arn:aws:s3:::companybucket/Development/*"]
}
```
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
Verwenden Sie Ihre AWS-Konto Anmeldeinformationen, nicht die eines IAM-Benutzers, um sich an der Konsole anzumelden.
1. Bearbeiten Sie die Inline-Richtlinie, die Sie im vorherigen Schritt erstellt haben.
1. Wählen Sie im Navigationsbereich auf der linken Seite **Users (Benutzer)** aus.
1. Klicken Sie auf den Benutzernamen Alice.
1. Wählen Sie auf der Benutzerdetailseite den Tab **Permissions (Berechtigungen)** aus und erweitern Sie den Bereich **Inline Policies (Inline-Richtlinien)**.
1. Wählen Sie neben dem Namen der im vorherigen Schritt erstellten Richtlinie **Edit Policy (Richtlinie bearbeiten)** aus.
1. Kopieren Sie die folgende Richtlinie und fügen Sie sie in das Textfeld für die Richtlinie ein, wobei die vorhandene Richtlinie ersetzt wird.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AllowListBucketIfSpecificPrefixIsIncludedInRequest",
"Action":["s3:ListBucket"],
"Effect":"Allow",
"Resource":["arn:aws:s3:::companybucket"],
"Condition":{
"StringLike":{"s3:prefix":["Development/*"]
}
}
},
{
"Sid":"AllowUserToReadWriteObjectDataInDevelopmentFolder",
"Action":["s3:GetObject", "s3:PutObject"],
"Effect":"Allow",
"Resource":["arn:aws:s3:::companybucket/Development/*"]
}
]
}
```
------
1. Testen Sie die aktualisierte Richtlinie:
1. Verwenden Sie den Anmeldelink für IAM-Benutzer (siehe [So stellen Sie einen Anmeldelink für IAM-Benutzer bereit:](#walkthrough-sign-in-user-credentials)) für die Anmeldung in der AWS-Managementkonsole.
1. Öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Prüfen Sie in der Amazon-S3-Konsole, ob Alice nun im Ordner `Development` ein Objekt hinzufügen oder herunterladen kann.
### Schritt 5.3: Der IAM-Benutzerin Alice die Berechtigung für den Zugriff auf alle anderen Ordner im Bucket ausdrücklich verweigern
Die Benutzerin kann jetzt den Inhalt auf Stammebene im Bucket `companybucket` auflisten. Sie kann auch Objekte im Ordner `Development` aufrufen und ablegen. Wenn Sie die Zugriffsberechtigungen weiter verbessern möchten, können Sie Alice den Zugriff auf andere Ordner im Bucket explizit verweigern. Wenn es irgendeine andere Richtlinie (Bucket-Richtlinie oder ACL) gibt, die Alice den Zugriff auf andere Ordner im Bucket gewährt, überschreibt diese explizite Zugriffsverweigerung diese Berechtigungen.
Sie können die folgende Anweisung zur Benutzerrichtlinie für Alice hinzufügen, die von allen Anfragen von Alice an Amazon S3 erfordert, dass der Parameter `prefix` enthalten ist, dessen Wert entweder `Development/*` oder eine leere Zeichenfolge ist.
```
{
"Sid": "ExplicitlyDenyAnyRequestsForAllOtherFoldersExceptDevelopment",
"Action": ["s3:ListBucket"],
"Effect": "Deny",
"Resource": ["arn:aws:s3:::companybucket"],
"Condition":{ "StringNotLike": {"s3:prefix":["Development/*",""] },
"Null" : {"s3:prefix":false }
}
}
```
Beachten Sie, dass im Block `Condition` zwei bedingte Ausdrücke enthalten sind. Das Ergebnis dieser bedingten Ausdrücke wird durch das logische `AND` verknüpft. Wenn beide Bedingungen wahr sind, ist das Ergebnis der bedingten Ausdrücke wahr. Da der Wert für `Effect` in dieser Richtlinie `Deny` lautet, wenn `Condition` als "true" bewertet wird, können Benutzer die angegebene `Action` nicht durchführen.
+ Der bedingte Ausdruck `Null` stellt sicher, dass die Anforderung von Alice den Parameter `prefix` enthält.
Der Parameter `prefix` erfordert einen ordnerartigen Zugriff. Wenn Sie eine Anfrage ohne den Parameter `prefix` senden, gibt Amazon S3 alle Objektschlüssel zurück.
Wenn die Anforderung den Parameter `prefix` mit einem Nullwert enthält, wird der Ausdruck als wahr ausgewertet, womit die gesamte Bedingung `Condition` wahr ist. Sie müssen eine leere Zeichenfolge für den Parameter `prefix` gestatten. Erinnern Sie sich an die vorangegangene Diskussion. Die leere Zeichenfolge lässt zu, dass Alice Bucket-Elemente auf Stammebene abrufen kann, wie es die Konsole in der vorhergehenden Diskussion macht. Weitere Informationen finden Sie unter [Schritt 4.2: Benutzern gestatten, dass sie den Bucket-Inhalt auf Stammebene auflisten](#walkthrough1-grant-permissions-step2).
+ Der bedingte Ausdruck `StringNotLike` stellt sicher, dass die Anforderung scheitert, wenn der angegebene Wert des Parameters `prefix` nicht `Development/*` ist.
Folgen Sie den Schritten im vorherigen Abschnitt und aktualisieren Sie die Inline-Richtlinie noch einmal, die Sie für die Benutzerin Alice erstellt haben.
Kopieren Sie die folgende Richtlinie und fügen Sie sie in das Textfeld für die Richtlinie ein, wobei die vorhandene Richtlinie ersetzt wird.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AllowListBucketIfSpecificPrefixIsIncludedInRequest",
"Action":["s3:ListBucket"],
"Effect":"Allow",
"Resource":["arn:aws:s3:::companybucket"],
"Condition":{
"StringLike":{"s3:prefix":["Development/*"]
}
}
},
{
"Sid":"AllowUserToReadWriteObjectDataInDevelopmentFolder",
"Action":["s3:GetObject", "s3:PutObject"],
"Effect":"Allow",
"Resource":["arn:aws:s3:::companybucket/Development/*"]
},
{
"Sid": "ExplicitlyDenyAnyRequestsForAllOtherFoldersExceptDevelopment",
"Action": ["s3:ListBucket"],
"Effect": "Deny",
"Resource": ["arn:aws:s3:::companybucket"],
"Condition":{ "StringNotLike": {"s3:prefix":["Development/*",""] },
"Null" : {"s3:prefix":false }
}
}
]
}
```
------
## Schritt 6: Dem IAM-Benutzer Bob spezifische Berechtigungen erteilen
Sie können die Schritte wiederholen, um Bob eine ähnliche Berechtigung für den Ordner `Finance` zu erteilen. Führen Sie die Schritte aus, mit denen Sie zuvor Alice Berechtigungen erteilt haben, aber ersetzen Sie den Ordner `Development` durch den Ordner `Finance`. step-by-stepAnweisungen finden Sie unter[Schritt 5: Der IAM-Benutzerin Alice spezifische Berechtigungen erteilen](#walkthrough-grant-user1-permissions).
## Schritt 7: Absichern des Ordners „Private“
In diesem Beispiel haben Sie nur zwei Benutzer. Sie haben auf Gruppenebene alle erforderlichen Mindestberechtigungen erteilt und auf Benutzerebene die Berechtigungen nur dann gewährt, wenn die einzelnen Benutzer die Berechtigungen wirklich benötigen. Dieser Ansatz minimiert den Aufwand beim Verwalten der Berechtigungen. Wenn die Anzahl der Benutzer steigt, kann das Verwalten der Berechtigungen mühsam werden. Sie möchten z. B. nicht, dass irgendwelche der Benutzer in diesem Beispiel auf den Inhalt des Ordners `Private` zugreifen können. Wie stellen Sie sicher, dass Sie nicht versehentlich einem Benutzer Berechtigung für den `Private`-Ordner erteilen? Sie fügen eine Richtlinie hinzu, die explizit den Zugriff auf den Ordner verweigert. Eine explizite Zugriffsverweigerung überschreibt alle anderen Berechtigungen.
Um sicherzustellen, dass der Ordner `Private` auch privat bleibt, können Sie die folgenden beiden Ablehnungsanweisungen zur Gruppenrichtlinie hinzufügen:
+ Fügen Sie die folgende Anweisung hinzu, um jede Aktion auf die Ressourcen im `Private`-Ordner (`companybucket/Private/*`) zu verweigern.
```
{
"Sid": "ExplictDenyAccessToPrivateFolderToEveryoneInTheGroup",
"Action": ["s3:*"],
"Effect": "Deny",
"Resource":["arn:aws:s3:::companybucket/Private/*"]
}
```
+ Sie verweigern auch die Berechtigung für die Aktion Objekte auflisten, wenn die Anforderung das Präfix `Private/` angibt. Wenn Bob oder Alice in der Konsole den Order `Private` öffnen, bewirkt diese Richtlinie, dass Amazon S3 eine Fehlermeldung zurückgibt.
```
{
"Sid": "DenyListBucketOnPrivateFolder",
"Action": ["s3:ListBucket"],
"Effect": "Deny",
"Resource": ["arn:aws:s3:::*"],
"Condition":{
"StringLike":{"s3:prefix":["Private/"]}
}
}
```
Ersetzen Sie die Gruppenrichtlinie `Consultants` durch eine aktualisierte Richtlinie, die die vorherigen Ablehnungsanweisungen enthält. Nachdem die aktualisierte Richtlinie angewendet wurde, kann keiner der Benutzer in der Gruppe mehr auf den Order `Private` in Ihrem Bucket zugreifen.
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
Verwenden Sie Ihre AWS-Konto Anmeldeinformationen, nicht die eines IAM-Benutzers, um sich an der Konsole anzumelden.
1. Ersetzen Sie die vorhandene von `AllowGroupToSeeBucketListInTheConsole` verwaltete Richtlinie, die der Gruppe `Consultants` zugeordnet ist, durch die folgende Richtlinie. Denken Sie daran, *`companybucket`* in der Richtlinie durch den Namen Ihres Buckets zu ersetzen.
Weitere Anweisungen finden Sie unter [Bearbeiten von kundenverwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-managed-policy-console) im *IAM-Benutzerhandbuch*. Wenn Sie die Anweisungen nachvollziehen, beachten Sie bitte die Anweisungen zum Ändern aller Hauptentitäten, denen die Richtlinie zugeordnet ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowGroupToSeeBucketListAndAlsoAllowGetBucketLocationRequiredForListBucket",
"Action": ["s3:ListAllMyBuckets", "s3:GetBucketLocation"],
"Effect": "Allow",
"Resource": ["arn:aws:s3:::*"]
},
{
"Sid": "AllowRootLevelListingOfCompanyBucket",
"Action": ["s3:ListBucket"],
"Effect": "Allow",
"Resource": ["arn:aws:s3:::companybucket"],
"Condition":{
"StringEquals":{"s3:prefix":[""]}
}
},
{
"Sid": "RequireFolderStyleList",
"Action": ["s3:ListBucket"],
"Effect": "Deny",
"Resource": ["arn:aws:s3:::*"],
"Condition":{
"StringNotEquals":{"s3:delimiter":"/"}
}
},
{
"Sid": "ExplictDenyAccessToPrivateFolderToEveryoneInTheGroup",
"Action": ["s3:*"],
"Effect": "Deny",
"Resource":["arn:aws:s3:::companybucket/Private/*"]
},
{
"Sid": "DenyListBucketOnPrivateFolder",
"Action": ["s3:ListBucket"],
"Effect": "Deny",
"Resource": ["arn:aws:s3:::*"],
"Condition":{
"StringLike":{"s3:prefix":["Private/"]}
}
}
]
}
```
------
## Schritt 8: Bereinigen
Öffnen Sie zur Bereinigung die [IAM-Konsole](https://console.aws.amazon.com/iam/) und entfernen Sie die Benutzer Alice und Bob. step-by-stepAnweisungen finden Sie unter [Löschen eines IAM-Benutzers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_manage.html#id_users_deleting) im *IAM-Benutzerhandbuch*.
Um sicherzustellen, dass Sie für die Speicherung nicht künftig belastet werden, sollten Sie auch die Objekte und den Bucket löschen, die Sie für diese Übung erstellt haben.
## Zugehörige Ressourcen
+ [Verwalten von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) im *IAM-Benutzerhandbuch*
# Beispiele für identitätsbasierte Richtlinien für Amazon S3
In diesem Abschnitt werden mehrere identitätsbasierte AWS Identity and Access Management (IAM) -Richtlinien für die Steuerung des Zugriffs auf Amazon S3 vorgestellt. Beispiele für *Bucket-Richtlinien* (ressourcenbasierte Richtlinien) finden Sie unter [Bucket-Richtlinien für Amazon S3](bucket-policies.md). Informationen zur IAM-Richtliniensprache finden Sie unter [Richtlinien und Berechtigungen in Amazon S3](access-policy-language-overview.md).
Die folgenden Beispielrichtlinien funktionieren, wenn Sie sie programmgesteuert verwenden. Um sie mit der Amazon-S3-Konsole verwenden zu können, müssen Sie aber zusätzliche Berechtigungen gewähren, die für die Konsole erforderlich sind. Informationen zur Verwendung von Richtlinien wie dieser mit der Amazon-S3-Konsole finden Sie unter [Kontrollieren des Zugriffs auf einen Bucket mit Benutzerrichtlinien](walkthrough1.md).
Weitere Informationen zu den Berechtigungen für S3-API-Operationen nach S3-Ressourcentypen finden Sie unter [Erforderliche Berechtigungen für Amazon-S3-API-Operationen](using-with-s3-policy-actions.md).
**Topics**
+ [Einem IAM-Benutzer den Zugriff auf einen Ihrer Buckets erlauben](#iam-policy-ex0)
+ [Jedem IAM-Benutzer Zugriff auf einen Ordner in einem Bucket erlauben](#iam-policy-ex1)
+ [Einer Gruppe erlauben, einen freigegebenen Ordner in Amazon S3 zu haben](#iam-policy-ex2)
+ [Erteilen der Erlaubnis für alle Benutzer, Objekte in einem Teil des Buckets zu lesen](#iam-policy-ex3)
+ [Erteilen der Erlaubnis für einen Partner, Dateien in einem bestimmten Bereich des Buckets abzulegen](#iam-policy-ex4)
+ [Beschränken des Zugriffs auf Amazon S3 S3-Buckets innerhalb eines bestimmten AWS-Konto](#iam-policy-ex6)
+ [Beschränken des Zugriffs auf Amazon-S3-Buckets innerhalb Ihrer Organisationseinheit](#iam-policy-ex7)
+ [Beschränken des Zugriffs auf Amazon-S3-Buckets innerhalb Ihrer Organisation](#iam-policy-ex8)
+ [Erteilung der Erlaubnis zum Abrufen der PublicAccessBlock Konfiguration für ein AWS-Konto](#using-with-s3-actions-related-to-accountss)
+ [Beschränken der Bucket-Erstellung auf eine Region](#condition-key-bucket-ops-1)
## Einem IAM-Benutzer den Zugriff auf einen Ihrer Buckets erlauben
In diesem Beispiel möchten Sie einem IAM-Benutzer AWS-Konto Zugriff auf einen Ihrer Buckets gewähren und es dem Benutzer ermöglichen*amzn-s3-demo-bucket1*, Objekte hinzuzufügen, zu aktualisieren und zu löschen.
Zusätzlich zum Erteilen der Berechtigungen `s3:PutObject`, `s3:GetObject` und `s3:DeleteObject` für den Benutzer, gewährt die Richtlinie die Berechtigungen `s3:ListAllMyBuckets`, `s3:GetBucketLocation` und `s3:ListBucket`. Dies sind die zusätzlichen Berechtigungen, die von der Konsole benötigt werden. Außerdem sind die Aktionen `s3:PutObjectAcl` und `s3:GetObjectAcl` erforderlich, um Objekte in der Konsole kopieren, ausschneiden und einfügen zu können. Ein detailliertes Beispiel für eine Richtlinie, die Berechtigungen für Benutzer erteilt und sie unter Verwendung der Konsole testet, finden Sie unter [Kontrollieren des Zugriffs auf einen Bucket mit Benutzerrichtlinien](walkthrough1.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action": "s3:ListAllMyBuckets",
"Resource":"*"
},
{
"Effect":"Allow",
"Action":["s3:ListBucket","s3:GetBucketLocation"],
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket1"
},
{
"Effect":"Allow",
"Action":[
"s3:PutObject",
"s3:PutObjectAcl",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:DeleteObject"
],
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket1/*"
}
]
}
```
------
## Jedem IAM-Benutzer Zugriff auf einen Ordner in einem Bucket erlauben
In diesem Beispiel möchten Sie zwei IAM-Benutzern, Mary und Carlos, den Zugriff auf Ihren Bucket, *amzn-s3-demo-bucket1*, gewähren, damit sie Objekte hinzufügen, aktualisieren und löschen können. Allerdings möchten Sie den Zugriff beider Benutzer auf ein einzelnes Präfix (Ordner) im Bucket einschränken. Sie könnten Ordner mit Namen erstellen, die dem jeweiligen Benutzernamen entsprechen.
```
amzn-s3-demo-bucket1
Mary/
Carlos/
```
Um jedem Benutzer nur den Zugriff auf den eigenen Ordner zu gewähren, können Sie für jeden Benutzer eine Richtlinie schreiben und ihnen einzeln zuweisen. Sie können beispielsweise die folgende Richtlinie der Benutzerin Mary zuweisen, um ihr spezifische Amazon-S3-Berechtigungen für den Ordner `amzn-s3-demo-bucket1/Mary` zu gewähren.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:DeleteObject",
"s3:DeleteObjectVersion"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/Mary/*"
}
]
}
```
------
Dann können Sie dem Benutzer Carlos eine ähnliche Richtlinie zuweisen, indem Sie den Ordner `Carlos`im Wert `Resource` angeben.
Statt Richtlinien einzelnen Benutzern zuzuweisen, können Sie auch eine einzelne Richtlinie mit einer Richtlinienvariable schreiben und dann die Richtlinie einer Gruppe zuweisen. Sie müssen zuerst eine Gruppe erstellen und die Benutzer Mary und Carlos in die Gruppe aufnehmen. Die folgende Beispielrichtlinie erlaubt eine Reihe von Amazon-S3-Berechtigungen für den Ordner `amzn-s3-demo-bucket1/${aws:username}`. Wenn die Richtlinie ausgewertet wird, wird die Richtlinienvariable `${aws:username}` durch den Benutzernamen des Anforderers ersetzt. Wenn Mary beispielsweise eine Anforderung zum Anlegen eines Objekts sendet, ist die Operation nur zulässig, wenn Mary das Objekt in den Ordner `amzn-s3-demo-bucket1/Mary` hochlädt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:PutObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:DeleteObject",
"s3:DeleteObjectVersion"
],
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket1/${aws:username}/*"
}
]
}
```
------
**Anmerkung**
Bei der Verwendung von Richtlinienvariablen müssen Sie explizit die Version `2012-10-17` in der Richtlinie angeben. Die Standardversion der IAM-Richtliniensprache, 2008-10-17, unterstützt keine Richtlinienvariablen.
Wenn Sie die vorherige Richtlinie in der Amazon-S3-Konsole testen möchten, erfordert die Konsole zusätzliche Berechtigungen, wie in der folgenden Richtlinie gezeigt. Weitere Informationen darüber, wie die Konsole diese Berechtigungen verwendet, finden Sie unter [Kontrollieren des Zugriffs auf einen Bucket mit Benutzerrichtlinien](walkthrough1.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowGroupToSeeBucketListInTheConsole",
"Action": [
"s3:ListAllMyBuckets",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::*"
},
{
"Sid": "AllowRootLevelListingOfTheBucket",
"Action": "s3:ListBucket",
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1",
"Condition": {
"StringEquals": {
"s3:prefix": [""], "s3:delimiter": ["/"]
}
}
},
{
"Sid": "AllowListBucketOfASpecificUserPrefix",
"Action": "s3:ListBucket",
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1",
"Condition": { "StringLike": {"s3:prefix": ["${aws:username}/*"] }
}
},
{
"Sid": "AllowUserSpecificActionsOnlyInTheSpecificUserPrefix",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:DeleteObject",
"s3:DeleteObjectVersion"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/${aws:username}/*"
}
]
}
```
------
**Anmerkung**
In der 2012-10-17-Version der Richtlinie beginnen Richtlinienvariablen mit `$`. Diese Syntaxänderung kann möglicherweise einen Konflikt verursachen, wenn Ihr Objektschlüssel (Objektname) ein `$`-Zeichen enthält.
Damit dieser Konflikt vermieden wird, geben Sie das Zeichen `$` mithilfe von `${$}` an. Um beispielsweise einen Objektschlüssel `my$file` in eine Richtlinie aufzunehmen, geben Sie das Zeichen mit `my${$}file` an.
Obwohl IAM-Benutzernamen benutzerfreundliche, von Menschen lesbare Bezeichner sind, müssen sie global nicht eindeutig sein. Wenn beispielsweise der Benutzer Carlos die Organisation verlässt und ein anderer Carlos hinzukommt, könnte der neue Carlos auf die Informationen des vorherigen Carlos zugreifen.
Anstatt Benutzernamen zu verwenden, könnten Sie Ordner erstellen, die auf dem IAM-Benutzer basieren. IDs Jede IAM-Benutzer-ID muss eindeutig sein. In diesem Fall müssen Sie die vorherige Richtlinie ändern, und die Richtlinienvariable `${aws:userid}` verwenden. Weitere Informationen zu den Benutzerkennungen finden Sie unter [IAM-Kennungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html) im *IAM-Benutzerhandbuch*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:DeleteObject",
"s3:DeleteObjectVersion"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/home/${aws:userid}/*"
}
]
}
```
------
### Nicht-IAM-Benutzern (Nutzern mobiler Apps) den Zugriff auf Ordner in einem Bucket erlauben
Angenommen, Sie möchten eine mobile App entwickeln, ein Spiel, in dem Benutzerdaten in einem S3-Bucket gespeichert werden. Sie möchten für jeden App-Benutzer einen Ordner in Ihrem Bucket erstellen. Sie möchten auch den Zugriff jedes Benutzers auf seinen eigenen Ordner beschränken. Sie können jedoch keine Ordner erstellen, bevor jemand Ihre App herunterlädt und das Spiel beginnt, weil Sie dessen Benutzer-ID nicht vorliegen haben.
In diesem Fall können Sie von den Nutzern verlangen, dass Sie sich in Ihrer App über einen öffentlichen Identitätsanbieter anmelden, wie z. B. Login with Amazon, Facebook oder Google. Nachdem sich Benutzer über einen dieser Anbieter bei Ihrer App angemeldet haben, verfügen sie über eine Benutzer-ID, mit der Sie zur Laufzeit benutzerspezifische Ordner erstellen können.
Sie können dann den Web-Identitätsverbund verwenden AWS -Security-Token-Service , um Informationen vom Identitätsanbieter in Ihre App zu integrieren und temporäre Sicherheitsanmeldeinformationen für jeden Benutzer abzurufen. Sie können dann IAM-Richtlinien erstellen, die es der App ermöglichen, auf Ihren Bucket zuzugreifen und solche Vorgänge wie das Erstellen von benutzerspezifischen Ordnern und das Hochladen von Daten durchzuführen. Weitere Informationen zum Web-Identitätsverbund finden Sie unter [Über Web Identity Federation](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_oidc.html) im *IAM-Benutzerhandbuch*.
## Einer Gruppe erlauben, einen freigegebenen Ordner in Amazon S3 zu haben
Durch Anfügen der folgenden Richtlinie an die Gruppe erhalten alle Benutzer der Gruppe Zugriff auf den folgenden Ordner in Amazon S3: `amzn-s3-demo-bucket1/share/marketing`. Gruppenmitglieder dürfen nur auf die spezifischen Amazon-S3-Berechtigungen zugreifen, die in der Richtlinie gegeben sind, und nur für Objekte im angegebenen Ordner.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:PutObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:DeleteObject",
"s3:DeleteObjectVersion"
],
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket1/share/marketing/*"
}
]
}
```
------
## Erteilen der Erlaubnis für alle Benutzer, Objekte in einem Teil des Buckets zu lesen
In diesem Beispiel erstellen Sie eine Gruppe mit dem Namen `AllUsers`, die alle IAM-Benutzer enthält, die dem AWS-Konto angehören. Anschließend fügen Sie eine Richtlinie hinzu, die der Gruppe Zugriff auf `GetObject` und `GetObjectVersion` gewährt, jedoch nur für Objekte im Ordner `amzn-s3-demo-bucket1/readonly`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket1/readonly/*"
}
]
}
```
------
## Erteilen der Erlaubnis für einen Partner, Dateien in einem bestimmten Bereich des Buckets abzulegen
In diesem Beispiel erstellen Sie eine Gruppe namens `AnyCompany`, die eine Partnerfirma darstellt. Sie erstellen einen IAM-Benutzer für die bestimmte Person oder Anwendung bei der Partnerfirma, die Zugriff benötigt, und dann fügen Sie den Benutzer in die Gruppe ein.
Sie fügen dann eine Richtlinie hinzu, die der Gruppe den `PutObject`-Zugriff auf den folgenden Ordner im Bucket erteilt:
`amzn-s3-demo-bucket1/uploads/anycompany`
Sie möchten verhindern, dass die `AnyCompany`-Gruppe andere Aktionen für den Bucket ausführt. Daher fügen Sie eine Anweisung hinzu, die explizit die Berechtigung für andere Amazon-S3-Aktionen verweigert, außer für `PutObject` in einer Amazon-S3-Ressource im AWS-Konto.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"s3:PutObject",
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket1/uploads/anycompany/*"
},
{
"Effect":"Deny",
"Action":"s3:*",
"NotResource":"arn:aws:s3:::amzn-s3-demo-bucket1/uploads/anycompany/*"
}
]
}
```
------
## Beschränken des Zugriffs auf Amazon S3 S3-Buckets innerhalb eines bestimmten AWS-Konto
Wenn Sie sicherstellen möchten, dass Ihre Amazon S3 S3-Prinzipale nur auf die Ressourcen zugreifen, die sich in einem vertrauenswürdigen System befinden AWS-Konto, können Sie den Zugriff einschränken. Beispiel: Diese [identitätsbasierte IAM-Richtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) verwendet eine `Deny`-Auswirkung, um den Zugriff auf Amazon-S3-Aktionen zu blockieren, es sei denn, die Amazon-S3-Ressource, auf die zugegriffen wird, befindet sich im Konto `222222222222`. Um zu verhindern, dass ein IAM-Prinzipal in einem AWS-Konto auf Amazon S3 S3-Objekte außerhalb des Kontos zugreift, fügen Sie die folgende IAM-Richtlinie bei:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyS3AccessOutsideMyBoundary",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:ResourceAccount": [
"222222222222"
]
}
}
}
]
}
```
------
**Anmerkung**
Diese Richtlinie ersetzt Ihre vorhandenen IAM-Zugriffskontrollen nicht, da sie keinen Zugriff gewährt. Stattdessen fungiert diese Richtlinie als zusätzlicher Integritätsschutz für Ihre anderen IAM-Berechtigungen, unabhängig von den durch andere IAM-Richtlinien erteilten Berechtigungen.
Ersetzen Sie unbedingt die Konto-ID `222222222222` in der Richtlinie durch Ihr eigenes AWS-Konto. Wenn Sie eine Richtlinie unter Beibehaltung dieser Einschränkung auf mehrere Konten anwenden möchten, ersetzen Sie die Konto-ID durch den Bedingungsschlüssel `aws:PrincipalAccount`. Diese Bedingung erfordert, dass sich der Prinzipal und die Ressource in demselben Konto befinden müssen.
## Beschränken des Zugriffs auf Amazon-S3-Buckets innerhalb Ihrer Organisationseinheit
Wenn Sie eine [Organisationseinheit (OU)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html) eingerichtet haben AWS Organizations, möchten Sie möglicherweise den Zugriff auf den Amazon S3 S3-Bucket auf einen bestimmten Teil Ihrer Organisation beschränken. In diesem Beispiel wird der `aws:ResourceOrgPaths`-Schlüssel verwendet, um den Amazon-S3-Bucket-Zugriff auf eine OU in Ihrer Organisation einzuschränken. In diesem Beispiel lautet die [OU-ID](https://docs.aws.amazon.com/organizations/latest/APIReference/API_OrganizationalUnit.html) `ou-acroot-exampleou`. Stellen Sie sicher, dass Sie diesen Wert in Ihrer eigenen Richtlinie durch Ihre eigene Organisationseinheit ersetzen IDs.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowS3AccessOutsideMyBoundary",
"Effect": "Allow",
"Action": [
"s3:*"
],
"Resource": "*",
"Condition": {
"ForAllValues:StringLike": {
"aws:ResourceOrgPaths": [
"o-acorg/r-acroot/ou-acroot-exampleou/"
]
}
}
}
]
}
```
------
**Anmerkung**
Diese Richtlinie gewährt keinen Zugriff. Stattdessen fungiert diese Richtlinie als Schutz für Ihre anderen IAM-Berechtigungen und verhindert, dass Ihre Prinzipale außerhalb einer von OU definierten Grenze auf Amazon-S3-Objekte zugreifen.
Die Richtlinie verweigert den Zugriff auf Amazon-S3-Aktionen, es sei denn, das Amazon-S3-Objekt, auf das zugegriffen wird, befindet sich in der OU `ou-acroot-exampleou` Ihrer Organisation. Die [IAM-Richtlinienbedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) erfordert, dass `aws:ResourceOrgPaths`, ein Mehrfachwertbedingungsschlüssel, einen der aufgelisteten OU-Pfade enthält. Die Richtlinie verwendet den `ForAllValues:StringNotLike` Operator, um die Werte von mit den aufgelisteten Werten `aws:ResourceOrgPaths` zu vergleichen, OUs ohne dass Groß- und Kleinschreibung beachtet wird.
## Beschränken des Zugriffs auf Amazon-S3-Buckets innerhalb Ihrer Organisation
Wenn Sie den Zugriff auf Amazon-S3-Objekte in Ihrer Organisation einschränken möchten, fügen Sie eine IAM-Richtlinie an das Stammverzeichnis der Organisation an und wenden Sie sie auf alle Konten in Ihrer Organisation an. Verwenden Sie eine [Service-Kontrollrichtlinie (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html), um zu verlangen, dass Ihre IAM-Prinzipale diese Regel befolgen. Wenn Sie sich für die Verwendung einer SCP entscheiden, achten Sie darauf, [die SCP gründlich zu testen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#scp-warning-testing-effect), bevor Sie die Richtlinie dem Stammverzeichnis der Organisation anfügen.
In der folgenden Beispielrichtlinie wird der Zugriff auf Amazon-S3-Aktionen verweigert, es sei denn, das Amazon-S3-Objekt, auf das zugegriffen wird, befindet sich in derselben Organisation wie der IAM-Prinzipal, der darauf zugreift:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyS3AccessOutsideMyBoundary",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": "arn:aws:s3:::*/*",
"Condition": {
"StringNotEquals": {
"aws:ResourceOrgID": "${aws:PrincipalOrgID}"
}
}
}
]
}
```
------
**Anmerkung**
Diese Richtlinie gewährt keinen Zugriff. Stattdessen fungiert diese Richtlinie als Schutz für Ihre anderen IAM-Berechtigungen und verhindert, dass Ihre Prinzipale auf Amazon-S3-Objekte außerhalb Ihrer Organisation zugreifen. Diese Richtlinie gilt auch für Amazon-S3-Ressourcen, die nach Inkrafttreten der Richtlinie erstellt werden.
Die [IAM-Richtlinienbedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) in diesem Beispiel erfordert, dass `aws:ResourceOrgID` und `aws:PrincipalOrgID` gleich sind. Bei dieser Anforderung müssen sich der Prinzipal, der die Anforderung stellt, und die Ressource, auf die zugegriffen wird, in derselben Organisation befinden.
## Erteilung der Erlaubnis zum Abrufen der PublicAccessBlock Konfiguration für ein AWS-Konto
Die folgende identitätsbasierte Richtlinie gewährt einem Benutzer die `s3:GetAccountPublicAccessBlock`-Berechtigung. Für diese Berechtigungen legen Sie den Wert `Resource` auf `"*"` fest. Hinweise zur Ressource finden ARNs Sie unter[Richtlinienressourcen für Amazon S3](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-resources).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"statement1",
"Effect":"Allow",
"Action":[
"s3:GetAccountPublicAccessBlock"
],
"Resource":[
"*"
]
}
]
}
```
------
## Beschränken der Bucket-Erstellung auf eine Region
Angenommen, ein AWS-Konto Administrator möchte seinem Benutzer (Dave) die Erlaubnis erteilen, einen Bucket nur in der Region Südamerika (São Paulo) zu erstellen. Der Kontoadministrator kann die folgende Benutzerrichtlinie anfügen, welche die Berechtigung `s3:CreateBucket` mit der angegebenen Bedingung gewährt. Das Schlüssel-Wert-Paar im Block `Condition` gibt den Schlüssel `s3:LocationConstraint` und die Region `sa-east-1` als seinen Wert an.
**Anmerkung**
In diesem Beispiel erteilt der Bucket-Eigentümer einem seiner Benutzer die Berechtigung, daher kann entweder eine Bucket-Richtlinie oder eine Benutzerrichtlinie verwendet werden. Dieses Beispiel zeigt eine Benutzerrichtlinie.
Die Liste der Amazon-S3-Regionen finden Sie unter [Regionen und Endpunkte](https://docs.aws.amazon.com/general/latest/gr/s3.html) in der *Allgemeine AWS-Referenz*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "statement1",
"Effect": "Allow",
"Action": "s3:CreateBucket",
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringLike": {
"s3:LocationConstraint": "sa-east-1"
}
}
}
]
}
```
------
**Hinzufügen einer expliziten Zugriffsverweigerung**
Die vorangegangene Richtlinie hindert den Benutzer an der Erstellung eines Buckets in einer anderen Region als `sa-east-1`. Einige andere Richtlinien gewähren diesem Benutzer möglicherweise jedoch die Berechtigung, Buckets in einer anderen Region zu erstellen. Wenn der Benutzer beispielsweise zu einer Gruppe gehört, ist der Gruppe möglicherweise eine Richtlinie angefügt, die alle Benutzer der Gruppe zum Erstellen von Buckets in einer anderen Region berechtigt. Um sicherzustellen, dass der Benutzer keine Berechtigung zum Erstellen von Buckets in einer anderen Region erhält, können Sie in der oben gezeigten Richtlinie eine explizite Anweisung zur Ablehnung hinzufügen.
Die Anweisung `Deny` verwendet die Bedingung `StringNotLike`. Das bedeutet, dass, eine Anforderung zum Erstellen eines Buckets abgelehnt wird, wenn die Standorteinschränkung nicht `sa-east-1` ist. Die explizite Verweigerung erlaubt dem Benutzer nicht, einen Bucket in einer anderen Region zu erstellen, unabhängig davon, welche andere Berechtigung der Benutzer erhält. Die folgende Richtlinie enthält eine explizite Zugriffsverweigerungsanweisung.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"statement1",
"Effect":"Allow",
"Action": "s3:CreateBucket",
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringLike": {
"s3:LocationConstraint": "sa-east-1"
}
}
},
{
"Sid":"statement2",
"Effect":"Deny",
"Action": "s3:CreateBucket",
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringNotLike": {
"s3:LocationConstraint": "sa-east-1"
}
}
}
]
}
```
------
**Testen Sie die Richtlinie mit dem AWS CLI**
Sie können die Richtlinie mit dem folgenden `create-bucket` AWS CLI Befehl testen. In diesem Beispiel wird die Datei `bucketconfig.txt` verwendet, um die Standortbeschränkung anzugeben. Notieren Sie sich den Windows-Dateipfad. Sie müssen den Bucket-Namen und -Pfad entsprechend aktualisieren. Sie müssen die Anmeldeinformationen des Benutzers bereitstellen, indem Sie den Parameter `--profile` hinzufügen. Weitere Informationen zur Einrichtung und Verwendung von finden Sie unter [Entwickeln mit Amazon S3 mithilfe der AWS CLI](https://docs.aws.amazon.com/AmazonS3/latest/API/setup-aws-cli.html) in der *Amazon S3 S3-API-Referenz*. AWS CLI
```
aws s3api create-bucket --bucket examplebucket --profile AccountADave --create-bucket-configuration file://c:/Users/someUser/bucketconfig.txt
```
Die Datei `bucketconfig.txt` gibt die Konfiguration wie folgt an.
```
{"LocationConstraint": "sa-east-1"}
```
# Anleitungen, die Richtlinien verwenden, um den Zugriff auf Ihre Amazon-S3-Ressourcen zu verwalten
In diesem Thema werden die folgenden einführenden Anleitungsbeispiele für das Gewähren des Zugriffs aufs Amazon-S3-Ressourcen bereitgestellt. In AWS-Managementkonsole diesen Beispielen werden Ressourcen (Buckets, Objekte, Benutzer) erstellt und ihnen Berechtigungen erteilt. Anschließend zeigen die Beispiele auf, wie Sie Berechtigungen mithilfe der Befehlszeilen-Tools überprüfen können, sodass Sie keinen Code schreiben müssen. Wir stellen Befehle bereit, die sowohl das AWS Command Line Interface (AWS CLI) als auch das AWS Tools for Windows PowerShell verwenden.
+ [Beispiel 1: Bucket-Eigentümer erteilt seinen Benutzern Bucket-Berechtigungen](example-walkthroughs-managing-access-example1.md)
Die in Ihrem Konto erstellten IAM-Benutzer verfügen standardmäßig über keine Berechtigungen. In dieser Übung erteilen Sie einem Benutzer die Berechtigung, Bucket- und Objekt-Vorgänge auszuführen.
+ [Beispiel 2: Bucket-Eigentümer erteilt kontoübergreifende Bucket-Berechtigungen](example-walkthroughs-managing-access-example2.md)
In dieser Übung gewährt ein Bucket-Eigentümer, Konto A, einem anderen AWS-Konto, Konto B, kontoübergreifende Berechtigungen. Konto B delegiert diese Berechtigungen anschließend an Benutzer in seinem Konto.
+ **Verwalten von Objektberechtigungen, wenn der Objekt- und der Bucket-Eigentümer nicht identisch sind**
Bei den Beispielszenarien in diesem Fall geht es um einen Bucket-Eigentümer, der anderen Objektberechtigungen erteilt, es gehören jedoch nicht alle Objekte im Bucket dem Bucket-Eigentümer. Welche Berechtigungen benötigt der Bucket-Eigentümer und wie kann er diese Berechtigungen delegieren?
AWS-Konto Derjenige, der einen Bucket erstellt, wird *Bucket-Besitzer* genannt. Der Besitzer kann anderen Personen die AWS-Konten Erlaubnis erteilen, Objekte hochzuladen, und derjenige, der Objekte erstellt AWS-Konten , ist Eigentümer dieser Objekte. Der Bucket-Eigentümer hat keine Berechtigungen für diese Objekte, die von anderen AWS-Konten erstellt wurden. Wenn der Bucket-Eigentümer eine Bucket-Richtlinie erstellt, die Zugriff auf Objekte erteilt, gilt diese Richtlinie nicht für Objekte, die sich im Besitz von anderen Konten befinden.
In diesem Fall muss der Objekteigentümer zuerst dem Bucket-Eigentümer über eine Objekt-ACL Berechtigungen erteilen. Der Bucket-Besitzer kann diese Objektberechtigungen dann an andere, an Benutzer in seinem eigenen Konto oder an einen anderen delegieren AWS-Konto, wie die folgenden Beispiele zeigen.
+ [Beispiel 3: Bucket-Eigentümer, der Berechtigungen für Objekte erteilt, die ihm nicht gehören](example-walkthroughs-managing-access-example3.md)
In dieser Übung erhält der Bucket-Eigentümer zuerst Berechtigungen von dem Objekteigentümer. Der Bucket-Eigentümer delegiert diese Berechtigungen anschließend an Benutzer in seinem eigenen Konto.
+ [Beispiel 4 – Der Bucket-Eigentümer erteilt eine kontenübergreifende Berechtigung für Objekte, die ihm nicht gehören](example-walkthroughs-managing-access-example4.md)
Nachdem der Bucket-Besitzer die Berechtigungen vom Objekteigentümer erhalten hat, kann er die Berechtigungen nicht an andere delegieren, AWS-Konten da die kontoübergreifende Delegierung nicht unterstützt wird (siehe). [Berechtigungsdelegation](access-policy-language-overview.md#permission-delegation) Stattdessen kann der Bucket-Besitzer eine IAM-Rolle mit Berechtigungen zum Ausführen bestimmter Operationen (z. B. zum Abrufen eines Objekts) erstellen und einer anderen Person erlauben, diese Rolle AWS-Konto zu übernehmen. Jeder, der diese Rolle annimmt, kann anschließend auf Objekte zugreifen. Dieses Beispiel zeigt, wie ein Bucket-Eigentümer diese kontoübergreifende Delegation mithilfe einer IAM-Rolle aktivieren kann.
## Bevor Sie die beispiehalften Walkthroughs ausprobieren
In diesen Beispielen werden Ressourcen erstellt und Berechtigungen erteilt. AWS-Managementkonsole Um Berechtigungen zu testen, verwenden die Beispiele die Befehlszeilentools AWS CLI AWS Tools for Windows PowerShell, und, sodass Sie keinen Code schreiben müssen. Zum Testen der Berechtigungen müssen Sie eins dieser Tools einrichten. Weitere Informationen finden Sie unter [Einrichten der Tools für die Anleitungen](policy-eval-walkthrough-download-awscli.md).
Darüber hinaus verwenden diese Beispiele beim Erstellen von Ressourcen keine Root-Benutzer-Anmeldeinformationen von einem AWS-Konto. Sie erstellen stattdessen einen Administratorbenutzer in diesen Konten, um diese Aufgaben auszuführen.
### Informationen zur Verwendung eines Administratorbenutzers zum Erstellen von Ressourcen und Erteilen von Berechtigungen
AWS Identity and Access Management (IAM) rät davon ab, die Anmeldeinformationen des Root-Benutzers Ihres AWS-Konto für Anfragen zu nutzen. Erstellen Sie stattdessen eine(n) IAM-Benutzer oder eine -Rolle, gewähren Sie diesem/r vollständigen Zugriff und verwenden Sie anschließend die Anmeldeinformationen dieses Benutzers/dieser Rolle zum Erstellen von Anfragen. Wir bezeichnen dies als Administratorbenutzer oder -rolle. Weitere Informationen finden Sie unter [Root-Benutzer des AWS-Kontos -Anmeldeinformationen und IAM-Identitäten](https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html) in der *Allgemeine AWS-Referenz* und unter [Bewährte IAM-Methoden](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
Alle Beispielanleitungen in diesem Abschnitt verwenden die Anmeldeinformationen des Administratorbenutzers. Wenn Sie noch keinen Administratorbenutzer für Ihren erstellt haben AWS-Konto, erfahren Sie in den Themen, wie das geht.
Um sich AWS-Managementkonsole mit den Benutzeranmeldedaten bei anzumelden, müssen Sie die Anmelde-URL des IAM-Benutzers verwenden. Die [IAM-Konsole](https://console.aws.amazon.com/iam/) stellt diese URL für Ihr AWS-Konto bereit. In diesen Themen erfahren Sie, wie Sie die URL abrufen können.
# Einrichten der Tools für die Anleitungen
In den einführenden Beispielen (siehe[Anleitungen, die Richtlinien verwenden, um den Zugriff auf Ihre Amazon-S3-Ressourcen zu verwalten](example-walkthroughs-managing-access.md)) werden Ressourcen erstellt und Berechtigungen erteilt. AWS-Managementkonsole Um Berechtigungen zu testen, verwenden die Beispiele die Befehlszeilentools AWS Command Line Interface (AWS CLI) und AWS Tools for Windows PowerShell, sodass Sie keinen Code schreiben müssen. Zum Testen der Berechtigungen müssen Sie eins dieser Tools einrichten.
**Um das einzurichten AWS CLI**
1. Herunterladen und Konfigurieren von AWS CLI. Eine Anleitung finden Sie unter den folgenden Themen im *AWS Command Line Interface -Benutzerhandbuch*:
[Installieren oder Aktualisieren der neuesten Version der AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-set-up.html)
[Erste Schritte mit der AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/installing.html)
1. Richten Sie das Standardprofil ein.
Sie speichern Benutzeranmeldeinformationen in der AWS CLI Konfigurationsdatei. Erstellen Sie mit Ihren AWS-Konto Anmeldeinformationen ein Standardprofil in der Konfigurationsdatei. Anweisungen zum Suchen und Bearbeiten Ihrer AWS CLI Konfigurationsdatei finden Sie unter [Einstellungen für die Konfiguration und die Anmeldeinformationsdatei](https://docs.aws.amazon.com/cli/latest/userguide/cli-config-files.html).
```
[default]
aws_access_key_id = access key ID
aws_secret_access_key = secret access key
region = us-west-2
```
1. Überprüfen Sie die Einrichtung, indem Sie den folgenden Befehl in die Befehlszeile eingeben. Beide Befehle stellen nicht explizit Anmeldeinformationen bereit, daher werden die Anmeldeinformationen des Standardprofils verwendet.
+ Probieren Sie den x-Befehl aus.
```
aws help
```
+ Um eine Liste der Buckets im konfigurierten Konto zu erhalten, verwenden Sie den `aws s3 ls`-Befehl
```
aws s3 ls
```
Im Verlauf dieser Anleitungen erstellen Sie Benutzer und speichern Anmeldeinformationen in den Konfigurationsdateien, indem Sie Profile erstellen, wie im folgenden Beispiel dargestellt. Diese Profile haben die Namen des `AccountAadmin` und `AccountBadmin`.
```
[profile AccountAadmin]
aws_access_key_id = User AccountAadmin access key ID
aws_secret_access_key = User AccountAadmin secret access key
region = us-west-2
[profile AccountBadmin]
aws_access_key_id = Account B access key ID
aws_secret_access_key = Account B secret access key
region = us-east-1
```
Um mit diesen Benutzeranmeldeinformationen einen Befehl auszuführen, fügen Sie den Parameter `--profile` hinzu, um den Profilnamen festzulegen. Mit dem folgenden AWS CLI Befehl wird eine Liste der Objekte in dem Profil abgerufen *`examplebucket`* und das `AccountBadmin` Profil spezifiziert.
```
aws s3 ls s3://examplebucket --profile AccountBadmin
```
Alternativ können Sie eine Reihe von Anmeldeinformationen als Standardprofil konfigurieren, indem Sie die Umgebungsvariable `AWS_DEFAULT_PROFILE` von der Befehlszeile aus ändern. Danach AWS CLI verwendet das bei jeder Ausführung von AWS CLI Befehlen ohne den `--profile` Parameter das Profil, das Sie in der Umgebungsvariablen festgelegt haben, als Standardprofil.
```
$ export AWS_DEFAULT_PROFILE=AccountAadmin
```
**Zum Einrichten AWS Tools for Windows PowerShell**
1. Herunterladen und Konfigurieren von AWS Tools for Windows PowerShell. Anweisungen finden Sie unter [Installieren der AWS Tools for Windows PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html#pstools-installing-download) im *AWS -Tools für PowerShell -Benutzerhandbuch*.
**Anmerkung**
Um das AWS Tools for Windows PowerShell Modul zu laden, müssen Sie die PowerShell Skriptausführung aktivieren. Weitere Informationen finden Sie unter [Skriptausführung aktivieren](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html#enable-script-execution) im *AWS -Tools für PowerShell -Benutzerhandbuch*.
1. Für diese exemplarischen Vorgehensweisen geben Sie mithilfe des AWS `Set-AWSCredentials` Befehls Anmeldeinformationen pro Sitzung an. Der Befehl speichert die Anmeldeinformationen in einem persistenten Speicher (Parameter `-StoreAs `).
```
Set-AWSCredentials -AccessKey AccessKeyID -SecretKey SecretAccessKey -storeas string
```
1. Überprüfen Sie die Einrichtung.
+ Führen Sie den Befehl `Get-Command` aus, um eine Liste der verfügbaren Befehle für Amazon-S3-Operationen abzurufen.
```
Get-Command -module awspowershell -noun s3* -StoredCredentials string
```
+ Um eine Liste von Objekten in einem Bucket abzurufen, führen Sie den `Get-S3Object`‑Befehl aus
```
Get-S3Object -BucketName bucketname -StoredCredentials string
```
Eine Liste der Befehle finden Sie unter [AWS Tools for PowerShell Cmdlet](https://docs.aws.amazon.com/powershell/latest/reference/Index.html) Reference.
Jetzt sind Sie bereit, die Anleitungen auszuprobieren. Folgen Sie den Links am Anfang jedes Abschnitts.
# Beispiel 1: Bucket-Eigentümer erteilt seinen Benutzern Bucket-Berechtigungen
**Wichtig**
Das Erteilen von Berechtigungen für IAM-Rollen ist eine bessere Vorgehensweise als das Erteilen von Berechtigungen für einzelne Benutzer. Weitere Informationen zum Erteilen von Berechtigungen für IAM-Rollen finden Sie unter [Verständnis von kontoübergreifenden Berechtigungen und der Verwendung von IAM-Rollen](example-walkthroughs-managing-access-example4.md#access-policies-walkthrough-example4-overview).
**Topics**
+ [Vorbereitung auf den Walkthrough](#grant-permissions-to-user-in-your-account-step0)
+ [Schritt 1: Erstellen von Ressourcen in Konto A und Erteilen von Berechtigungen](#grant-permissions-to-user-in-your-account-step1)
+ [Schritt 2: Testen der Berechtigungen](#grant-permissions-to-user-in-your-account-test)
In dieser exemplarischen Vorgehensweise AWS-Konto besitzt ein Benutzer einen Bucket, und das Konto umfasst einen IAM-Benutzer. Standardmäßig hat der Benutzer keine Berechtigungen. Damit der Benutzer alle Aufgaben ausführen kann, muss das übergeordnete Konto ihm Berechtigungen erteilen. Der Bucket-Eigentümer und das übergeordnete Konto sind identisch. Um dem Benutzer Berechtigungen für den Bucket zu gewähren, AWS-Konto kann er daher eine Bucket-Richtlinie, eine Benutzerrichtlinie oder beides verwenden. Der Kontobesitzer gewährt einige Berechtigungen unter Verwendung einer Bucket-Richtlinie und andere Berechtigungen unter Verwendung einer Benutzerrichtlinie.
Die folgenden Schritte fasen das detaillierte Beispiel zusammen:
![\[Diagramm, das ein AWS Konto zeigt, das Berechtigungen gewährt.\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/images/access-policy-ex1.png)
1. Der Kontoadministrator erstellt eine Bucket-Richtlinie, die dem Benutzer verschiedene Berechtigungen erteilt.
1. Der Kontoadministrator weist dem Benutzer eine Benutzerrichtlinie zu, die ihm zusätzliche Berechtigungen erteilt.
1. Anschließend probiert der Benutzer Berechtigungen aus, die über die Bucket-Richtlinie und die Benutzerrichtlinie erteilt wurden.
Für dieses Beispiel benötigen Sie eine AWS-Konto. Anstatt die Anmeldeinformationen des Root-Benutzers für das Konto zu verwenden, erstellen Sie einen Administrator-Benutzer (siehe [Informationen zur Verwendung eines Administratorbenutzers zum Erstellen von Ressourcen und Erteilen von Berechtigungen](example-walkthroughs-managing-access.md#about-using-root-credentials)). Wir beziehen uns auf den AWS-Konto und den Administratorbenutzer, wie in der folgenden Tabelle dargestellt.
| Konto-ID | Konto bezeichnet als | Administratorbenutzer im Konto |
| --- | --- | --- |
| *1111-1111-1111* | Konto A | AccountAadmin |
**Anmerkung**
Der Administratorbenutzer in diesem Beispiel ist **AccountAadmin**, was sich auf Konto A bezieht, und nicht **AccountAdmin**.
Alle Aufgaben in Verbindung mit dem Erstellen von Benutzern und Gewähren von Berechtigungen werden in der AWS-Managementkonsole ausgeführt. Um die Berechtigungen zu überprüfen, verwendet die exemplarische Vorgehensweise die Befehlszeilentools AWS Command Line Interface (AWS CLI) und AWS Tools for Windows PowerShell, sodass Sie keinen Code schreiben müssen.
## Vorbereitung auf den Walkthrough
1. Stellen Sie sicher, dass Sie über eine verfügen AWS-Konto und dass sie über einen Benutzer mit Administratorrechten verfügt.
1. Melden Sie sich bei Bedarf für eine an AWS-Konto. Wir bezeichnen dieses Konto als Konto A.
1. Gehen Sie zu [https://aws.amazon.com/s3](https://aws.amazon.com/s3) und wählen Sie ** AWS Konto erstellen**.
1. Folgen Sie den Anweisungen auf dem Bildschirm.
AWS benachrichtigt Sie per E-Mail, wenn Ihr Konto aktiv und für Sie verfügbar ist.
1. Erstellen Sie in Konto A den Administratorbenutzer **AccountAadmin**. Melden Sie sich mit den Anmeldeinformationen von Konto A in der [IAM-Konsole](https://console.aws.amazon.com/iam/home?#home) an und gehen Sie wie folgt vor:
1. Erstellen Sie den Benutzer**AccountAadmin** und schreiben Sie sich die Sicherheitsanmeldeinformationen für den Benutzer auf.
Anweisungen finden Sie unter [Erstellen eines IAM-Benutzers in Ihrem AWS-Konto](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html) im *IAM-Benutzerhandbuch*.
1. Gewähren Sie Administratorrechte, **AccountAadmin**indem Sie eine Benutzerrichtlinie beifügen, die vollen Zugriff gewährt.
Weitere Informationen finden Sie unter [Verwalten von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) im *IAM-Benutzerhandbuch*.
1. Notieren Sie sich die **Anmelde-URL für den IAM-Benutzer**. **AccountAadmin** Sie brauchen diese URL, wenn Sie sich bei der AWS-Managementkonsole anmelden. *Weitere Informationen darüber, wo Sie die Anmelde-URL finden, finden Sie [im IAM-Benutzerhandbuch unter AWS-Managementkonsole Als IAM-Benutzer anmelden](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_how-users-sign-in.html).* Notieren Sie die URLs für alle Konten.
1. Richten Sie entweder das oder das AWS CLI ein. AWS Tools for Windows PowerShell Stellen Sie sicher, dass Sie die Administratoranmeldeinformationen wie folgt speichern:
+ Wenn Sie das verwenden AWS CLI, erstellen Sie ein Profil`AccountAadmin`,, in der Konfigurationsdatei.
+ Wenn Sie die verwenden AWS Tools for Windows PowerShell, stellen Sie sicher, dass Sie die Anmeldeinformationen für die Sitzung als speichern`AccountAadmin`.
Detaillierte Anweisungen finden Sie unter [Einrichten der Tools für die Anleitungen](policy-eval-walkthrough-download-awscli.md).
## Schritt 1: Erstellen von Ressourcen in Konto A und Erteilen von Berechtigungen
Melden Sie sich mit den Anmeldeinformationen des Benutzers `AccountAadmin` in Konto A und der speziellen IAM-Benutzer-Anmelde-URL bei der an AWS-Managementkonsole und gehen Sie wie folgt vor:
1. Erstellen von Ressourcen eines Buckets und eines IAM-Benutzers
1. Erstellen Sie in der Amazon-S3-Konsole einen Bucket. Notieren Sie sich den AWS-Region Bucket, in dem Sie den Bucket erstellt haben. Detaillierte Anweisungen finden Sie unter [Erstellen eines Allzweck-Buckets](create-bucket-overview.md).
1. Führen Sie in der [IAM-Konsole](https://console.aws.amazon.com/iam/) die folgenden Schritte durch:
1. Erstellen Sie einen Benutzer mit dem Namen Dave.
step-by-stepAnweisungen finden Sie unter [Erstellen von IAM-Benutzern (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console) im *IAM-Benutzerhandbuch*.
1. Notieren Sie sich die `UserDave`-Anmeldeinformationen.
1. Notieren Sie sich den Amazon-Ressourcennamen (ARN) für den Benutzer Dave. Wählen Sie in der [IAM-Konsole](https://console.aws.amazon.com/iam/) den Benutzer aus. Sie finden den ARN des Benutzers auf der Registerkarte **Zusammenfassung**.
1. Erteilen Sie Berechtigungen.
Da der Bucket-Besitzer und das übergeordnete Konto, zu dem der Benutzer gehört, identisch sind, AWS-Konto können sie Benutzerberechtigungen mithilfe einer Bucket-Richtlinie, einer Benutzerrichtlinie oder beidem gewähren. In diesem Beispiel machen Sie beides. Wenn das Objekt auch demselben Konto gehört, kann der Bucket-Eigentümer in der Bucket-Richtlinie (oder einer IAM-Richtlinie) Objektberechtigungen erteilen.
1. Fügen Sie in der Amazon S3 S3-Konsole die folgende Bucket-Richtlinie an an*awsexamplebucket1*.
Die Richtlinie enthält zwei Anweisungen.
+ Die erste Anweisung erteilt Dave Berechtigungen für die Bucket-Operationen `s3:GetBucketLocation` und `s3:ListBucket`.
+ Die zweite Anweisung erteilt die `s3:GetObject`-Berechtigung. Konto A gehört auch das Objekt, deshalb kann der Kontoadministrator die `s3:GetObject`-Berechtigung erteilen.
In der `Principal`-Anweisung wird Dave durch seinen Benutzer-ARN identifiziert. Weitere Informationen zu Richtlinienelementen finden Sie unter [Richtlinien und Berechtigungen in Amazon S3](access-policy-language-overview.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "statement1",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/Dave"
},
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::awsexamplebucket1"
]
},
{
"Sid": "statement2",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/Dave"
},
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::awsexamplebucket1/*"
]
}
]
}
```
------
1. Erstellen Sie mithilfe der folgenden Richtlinie eine Inlinerichtlinie für den Benutzer Dave. Die Richtlinie erteilt dem Benutzer Dave die `s3:PutObject`-Berechtigung. Sie müssen die Richtlinie aktualisieren, indem Sie Ihren Bucket-Namen angeben.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PermissionForObjectOperations",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::awsexamplebucket1/*"
]
}
]
}
```
------
Anweisungen finden Sie unter [Verwaltung IAMpolicies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_inline-using.html) im *IAM-Benutzerhandbuch*. Beachten Sie, dass Sie sich mit den Anmeldeinformationen von Konto A an der Konsole anmelden müssen.
## Schritt 2: Testen der Berechtigungen
Überprüfen Sie unter Verwendung der Anmeldeinformationen von Dave, ob die Berechtigungen funktionieren. Sie haben die Wahl zwischen den folgenden beiden Verfahren.
**Testen Sie die Berechtigungen mit dem AWS CLI**
1. Aktualisieren Sie die AWS CLI Konfigurationsdatei, indem Sie das folgende `UserDaveAccountA` Profil hinzufügen. Weitere Informationen finden Sie unter [Einrichten der Tools für die Anleitungen](policy-eval-walkthrough-download-awscli.md).
```
[profile UserDaveAccountA]
aws_access_key_id = access-key
aws_secret_access_key = secret-access-key
region = us-east-1
```
1. Überprüfen Sie, ob Dave Vorgänge ausführen kann, für die ihm in der Benutzerrichtlinie Berechtigungen erteilt wurden. Laden Sie mit dem folgenden AWS CLI `put-object` Befehl ein Beispielobjekt hoch.
Der Parameter `--body` im Befehl identifiziert die hochzuladende Quelldatei. Wenn sich die Datei beispielsweise im Stammverzeichnis des Laufwerks C: auf einem Windows-Rechner befindet, geben Sie `c:\HappyFace.jpg` an. Der Parameter `--key` gibt den Schlüsselnamen für das Objekt an.
```
aws s3api put-object --bucket awsexamplebucket1 --key HappyFace.jpg --body HappyFace.jpg --profile UserDaveAccountA
```
Führen Sie den folgenden AWS CLI Befehl aus, um das Objekt abzurufen.
```
aws s3api get-object --bucket awsexamplebucket1 --key HappyFace.jpg OutputFile.jpg --profile UserDaveAccountA
```
**Testen Sie die Berechtigungen mit dem AWS Tools for Windows PowerShell**
1. Speichern Sie die Anmeldeinformationen von Dave als `AccountADave`. Anschließend verwenden Sie diese Anmeldeinformationen für `PUT` und `GET` für ein Objekt.
```
set-awscredentials -AccessKey AccessKeyID -SecretKey SecretAccessKey -storeas AccountADave
```
1. Laden Sie ein Beispielobjekt hoch, indem Sie den AWS Tools for Windows PowerShell `Write-S3Object` Befehl verwenden und dabei die gespeicherten Anmeldeinformationen von Benutzer Dave verwenden.
```
Write-S3Object -bucketname awsexamplebucket1 -key HappyFace.jpg -file HappyFace.jpg -StoredCredentials AccountADave
```
Laden Sie das zuvor hochgeladene Objekt herunter.
```
Read-S3Object -bucketname awsexamplebucket1 -key HappyFace.jpg -file Output.jpg -StoredCredentials AccountADave
```
# Beispiel 2: Bucket-Eigentümer erteilt kontoübergreifende Bucket-Berechtigungen
**Wichtig**
Das Erteilen von Berechtigungen für IAM-Rollen ist eine bessere Vorgehensweise als die Erteilung von Berechtigungen an einzelne Benutzer. Weitere Informationen zur Vorgehensweise finden Sie unter [Verständnis von kontoübergreifenden Berechtigungen und der Verwendung von IAM-Rollen](example-walkthroughs-managing-access-example4.md#access-policies-walkthrough-example4-overview).
**Topics**
+ [Vorbereitung auf den Walkthrough](#cross-acct-access-step0)
+ [Schritt 1: Erledigen der Aufgaben von Konto A](#access-policies-walkthrough-cross-account-permissions-acctA-tasks)
+ [Schritt 2: Erledigen der Aufgaben von Konto B](#access-policies-walkthrough-cross-account-permissions-acctB-tasks)
+ [Schritt 3: (Optional) Versuchen Sie eine explizite Zugriffsverweigerung](#access-policies-walkthrough-example2-explicit-deny)
+ [Schritt 4: Bereinigen](#access-policies-walkthrough-example2-cleanup-step)
Ein Konto AWS-Konto— zum Beispiel Konto A — kann einem anderen AWS-Konto Konto B die Erlaubnis erteilen, auf seine Ressourcen wie Buckets und Objekte zuzugreifen. Konto B kann diese Berechtigungen an Benutzer in seinem Konto delegieren. In diesem Beispielszenario erteilt ein Bucket-Eigentümer einem anderen Konto eine kontenübergreifende Berechtigung, um bestimmte Bucket-Vorgänge auszuführen.
**Anmerkung**
Konto A kann einem Benutzer in Konto B unter Verwendung einer Bucket-Richtlinie auch direkt Berechtigungen erteilen. Der Benutzer braucht dennoch eine Berechtigung von seinem übergeordneten Konto, Konto B, zu dem der Benutzer gehört, auch wenn Konto B keine Berechtigungen von Konto A erhalten hat. Solange der Benutzer die Berechtigung vom Ressourceneigentümer und dem übergeordneten Konto hat, kann der Benutzer auf die Ressource zugreifen.
Nachfolgend finden Sie eine kurze Zusammenfassung der wichtigsten Details:
![\[Ein anderer Benutzer AWS-Konto erhält die AWS-Konto Erlaubnis, auf seine Ressourcen zuzugreifen.\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/images/access-policy-ex2.png)
1. Der Administrator-Benutzer von Konto A ordnet eine Bucket-Richtlinie zu, die Konto B kontenübergreifende Berechtigungen erteilt, um bestimmte Bucket-Vorgänge auszuführen.
Beachten Sie, dass der Administrator-Benutzer in Konto B die Berechtigungen automatisch erbt.
1. Der Administrator-Benutzer von Konto B ordnet dem Benutzer eine Benutzerrichtlinie zu, die die Berechtigungen an den Benutzer delegiert, die er von Konto A erhalten hat.
1. Der Benutzer in Konto B überprüft die Berechtigungen, indem er auf ein Objekt in dem Bucket zugreift, das Konto A gehört.
Für dieses Beispiel benötigen Sie zwei Konten. Die folgende Tabelle zeigt, wie wir auf diese Konten und die Administrator-Benutzer darin verweisen. Laut den IAM-Richtlinien (siehe [Informationen zur Verwendung eines Administratorbenutzers zum Erstellen von Ressourcen und Erteilen von Berechtigungen](example-walkthroughs-managing-access.md#about-using-root-credentials)) verwenden wir in dieser Anleitung nicht die Anmeldeinformationen des Root-Benutzers. Stattdessen erstellen Sie einen Administrator-Benutzer in jedem Konto, und verwenden dessen Anmeldeinformationen, um Ressourcen zu erstellen und ihnen Berechtigungen zu erteilen.
| AWS-Konto Ausweis | Konto bezeichnet als | Administratorbenutzer im Konto |
| --- | --- | --- |
| *1111-1111-1111* | Konto A | AccountAadmin |
| *2222-2222-2222* | Konto B | AccountBadmin |
Alle Aufgaben in Verbindung mit dem Erstellen von Benutzern und Gewähren von Berechtigungen werden in der AWS-Managementkonsole ausgeführt. Um die Berechtigungen zu überprüfen, verwendet die exemplarische Vorgehensweise die Befehlszeilentools AWS Command Line Interface (CLI) und AWS Tools for Windows PowerShell, sodass Sie keinen Code schreiben müssen.
## Vorbereitung auf den Walkthrough
1. Stellen Sie sicher, dass Sie zwei haben AWS-Konten und dass jedes Konto über einen Administratorbenutzer verfügt, wie in der Tabelle im vorherigen Abschnitt dargestellt.
1. Melden Sie sich bei Bedarf für einen an AWS-Konto.
1. Melden Sie sich mit den Anmeldeinformationen für Konto A an der [IAM-Konsole](https://console.aws.amazon.com/iam/home?#home) an und erstellen Sie wie folgt den Administrator-Benutzer:
1. Erstellen Sie den Benutzer **AccountAadmin** und schreiben Sie sich die Sicherheitsanmeldeinformationen auf. Anweisungen finden Sie unter [Erstellen eines IAM-Benutzers in Ihrem AWS-Konto](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html) im *IAM-Benutzerhandbuch*.
1. Gewähren Sie Administratorrechte, **AccountAadmin**indem Sie eine Benutzerrichtlinie anhängen, die vollen Zugriff gewährt. Weitere Informationen finden Sie unter [Arbeiten mit Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) im *IAM-Benutzerhandbuch*.
1. Während Sie sich in der IAM-Konsole befinden, notieren Sie sich die **IAM-Benutzer-Anmelde-URL** auf dem **Dashboard**. Alle Benutzer in diesem Konto müssen diese URL für die Anmeldung an der AWS-Managementkonsole verwenden.
Weitere Informationen finden Sie unter [Wie sich Benutzer in Ihrem Konto anmelden](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_how-users-sign-in.html) im *IAM-Benutzerhandbuch*.
1. Wiederholen Sie den obigen Schritt unter Verwendung der Anmeldeinformationen von Konto B und erstellen Sie den Administrator-Benutzer **AccountBadmin**.
1. Richten Sie entweder die AWS Command Line Interface (AWS CLI) oder die AWS Tools for Windows PowerShell ein. Stellen Sie sicher, dass Sie die Administratoranmeldeinformationen wie folgt speichern:
+ Wenn Sie das verwenden AWS CLI, erstellen Sie zwei Profile `AccountAadmin` und`AccountBadmin`, in der Konfigurationsdatei.
+ Wenn Sie die verwenden AWS Tools for Windows PowerShell, stellen Sie sicher, dass Sie die Anmeldeinformationen für die Sitzung als `AccountAadmin` und speichern`AccountBadmin`.
Detaillierte Anweisungen finden Sie unter [Einrichten der Tools für die Anleitungen](policy-eval-walkthrough-download-awscli.md).
1. Speichern Sie die Anmeldeinformationen des Administrator-Benutzers, auch als Profile bezeichnet. Sie können den Profilnamen verwenden, statt für jeden eingegebenen Befehl Anmeldeinformationen anzugeben. Weitere Informationen finden Sie unter [Einrichten der Tools für die Anleitungen](policy-eval-walkthrough-download-awscli.md).
1. Fügen Sie der AWS CLI Anmeldeinformationsdatei Profile für jeden der Administratorbenutzer `AccountAadmin` und `AccountBadmin` in den beiden Konten hinzu.
```
[AccountAadmin]
aws_access_key_id = access-key-ID
aws_secret_access_key = secret-access-key
region = us-east-1
[AccountBadmin]
aws_access_key_id = access-key-ID
aws_secret_access_key = secret-access-key
region = us-east-1
```
1. Wenn Sie die AWS Tools for Windows PowerShell verwenden, führen Sie den folgenden Befehl au.
```
set-awscredentials –AccessKey AcctA-access-key-ID –SecretKey AcctA-secret-access-key –storeas AccountAadmin
set-awscredentials –AccessKey AcctB-access-key-ID –SecretKey AcctB-secret-access-key –storeas AccountBadmin
```
## Schritt 1: Erledigen der Aufgaben von Konto A
### Schritt 1.1: Melden Sie sich an AWS-Managementkonsole
Melden Sie sich mit der IAM-Benutzer-Anmelde-URL für Konto A zunächst beim Benutzer AWS-Managementkonsole as **AccountAadmin**an. Dieser Benutzer erstellt einen Bucket und ordnet ihm eine Richtlinie zu.
### Schritt 1.2: Erstellen eines Buckets
1. Erstellen Sie in der Amazon-S3-Konsole einen Bucket. In dieser Übung wird davon ausgegangen, dass der Bucket im Osten der USA (Nord-Virginia) erstellt AWS-Region und benannt wurde. `amzn-s3-demo-bucket`
Detaillierte Anweisungen finden Sie unter [Erstellen eines Allzweck-Buckets](create-bucket-overview.md).
1. Hochladen eines Beispielobjekts in den Bucket.
Anweisungen finden Sie unter [Schritt 2: Hochladen eines Objekts in Ihren Bucket](GetStartedWithS3.md#uploading-an-object-bucket).
### Schritt 1.3: Zuordnen einer Bucket-Richtlinie, um Konto B kontoübergreifende Berechtigungen zu erteilen
Die Bucket-Richtlinie gewährt Konto B die `s3:ListBucket` Berechtigungen `s3:GetLifecycleConfiguration` und. Es wird davon ausgegangen, dass Sie immer noch mit **AccountAadmin**Benutzeranmeldedaten bei der Konsole angemeldet sind.
1. Weisen Sie `amzn-s3-demo-bucket` die folgende Bucket-Richtlinie zu. Die Richtlinie erteilt Konto B die Berechtigung für die Aktionen `s3:GetLifecycleConfiguration` und `s3:ListBucket`.
Detaillierte Anweisungen finden Sie unter [Hinzufügen einer Bucket-Richtlinie mit der Amazon-S3-Konsole](add-bucket-policy.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Example permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"s3:GetLifecycleConfiguration",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
}
]
}
```
------
1. Überprüfen Sie, ob Konto B (und damit sein Administratorbenutzer) die Operationen ausführen kann
+ Überprüfen Sie mit dem AWS CLI
```
aws s3 ls s3://amzn-s3-demo-bucket --profile AccountBadmin
aws s3api get-bucket-lifecycle-configuration --bucket amzn-s3-demo-bucket --profile AccountBadmin
```
+ Überprüfen Sie mit dem AWS Tools for Windows PowerShell
```
get-s3object -BucketName amzn-s3-demo-bucket -StoredCredentials AccountBadmin
get-s3bucketlifecycleconfiguration -BucketName amzn-s3-demo-bucket -StoredCredentials AccountBadmin
```
## Schritt 2: Erledigen der Aufgaben von Konto B
Jetzt erstellt der Administrator von Konto B einen Benutzer Dave und delegiert an Dave die Berechtigungen, die er von Konto A erhalten hat.
### Schritt 2.1: Melden Sie sich an bei AWS-Managementkonsole
Melden Sie sich mit der IAM-Benutzer-Anmelde-URL für Konto B zunächst beim Benutzer AWS-Managementkonsole as **AccountBadmin**an.
### Schritt 2.2: Erstellen des Benutzers Dave in Konto B
Erstellen Sie in der [IAM-Konsole](https://console.aws.amazon.com/iam/) einen Benutzer, **Dave**.
Detaillierte Anleitungen finden Sie unter [Erstellen von IAM-Benutzern (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console) im *IAM-Benutzerhandbuch*.
### Schritt 2.3: Delegieren von Berechtigungen an den Benutzer Dave
Erstellen Sie mithilfe der folgenden Richtlinie eine Inlinerichtlinie für den Benutzer Dave. Sie müssen die Richtlinie aktualisieren, indem Sie Ihren Bucket-Namen angeben.
Es wird davon ausgegangen, dass Sie mit **AccountBadmin**Benutzeranmeldedaten bei der Konsole angemeldet sind.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Example",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
}
]
}
```
------
Weitere Informationen finden Sie unter [Verwalten von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_inline-using.html) im *IAM-Benutzerhandbuch*.
### Schritt 2.4: Testen der Berechtigungen
Jetzt kann Dave in Konto B den Inhalt von `amzn-s3-demo-bucket` auflisten, der Konto A gehört. Sie können die Berechtigungen mit einem der folgenden Verfahren überprüfen.
**Testen Sie die Berechtigungen mit dem AWS CLI**
1. Fügen Sie das `UserDave` Profil der AWS CLI Konfigurationsdatei hinzu. Weitere Informationen zur Config-Datei finden Sie unter [Einrichten der Tools für die Anleitungen](policy-eval-walkthrough-download-awscli.md).
```
[profile UserDave]
aws_access_key_id = access-key
aws_secret_access_key = secret-access-key
region = us-east-1
```
1. Geben Sie an der Befehlszeile den folgenden AWS CLI Befehl ein, um zu überprüfen, ob Dave jetzt eine Objektliste aus dem `amzn-s3-demo-bucket` Konto A abrufen kann. Beachten Sie, dass der Befehl das `UserDave` Profil angibt.
```
aws s3 ls s3://amzn-s3-demo-bucket --profile UserDave
```
Dave besitzt keine anderen Berechtigungen. Wenn er also versucht, eine andere Operation auszuführen – zum Beispiel die folgende `get-bucket-lifecycle`-Konfiguration – gibt Amazon S3 die Meldung „Zugriff verweigert“ zurück.
```
aws s3api get-bucket-lifecycle-configuration --bucket amzn-s3-demo-bucket --profile UserDave
```
**Testen Sie die Berechtigungen mit AWS Tools for Windows PowerShell**
1. Speichern Sie die Anmeldeinformationen von Dave als `AccountBDave`.
```
set-awscredentials -AccessKey AccessKeyID -SecretKey SecretAccessKey -storeas AccountBDave
```
1. Probieren Sie den Befehl List Bucket aus.
```
get-s3object -BucketName amzn-s3-demo-bucket -StoredCredentials AccountBDave
```
Dave besitzt keine anderen Berechtigungen. Wenn er also versucht, eine andere Operation auszuführen, zum Beispiel die folgende `get-s3bucketlifecycleconfiguration`, gibt Amazon S3 die Meldung „Zugriff verweigert“ zurück.
```
get-s3bucketlifecycleconfiguration -BucketName amzn-s3-demo-bucket -StoredCredentials AccountBDave
```
## Schritt 3: (Optional) Versuchen Sie eine explizite Zugriffsverweigerung
Sie können Berechtigungen mithilfe einer Zugriffssteuerungsliste (ACL), einer Bucket-Richtlinie oder einer Benutzerrichtlinie erhalten. Wenn es jedoch eine explizite Zugriffsverweigerung gibt, die entweder über eine Bucket-Richtlinie oder ein Benutzerprofil festgelegt wurde, hat die explizite Zugriffsverweigerung Vorrang gegenüber allen anderen Berechtigungen. Aktualisieren Sie zum Testen die Bucket-Richtlinie und verweigern Konto B explizit die `s3:ListBucket`-Berechtigung. Die Richtlinie erteilt auch die `s3:ListBucket`-Berechtigung. Eine explizite Verweigerung hat jedoch Vorrang, sodass Konto B bzw. die Benutzer in Konto B nicht in der Lage sein werden, Objekte in `amzn-s3-demo-bucket` aufzulisten.
1. Ersetzen Sie unter Verwendung der Anmeldeinformationen von Benutzer `AccountAadmin` in Konto A die Bucket-Richtlinie durch Folgendes.
1. Wenn Sie jetzt versuchen, über die Anmeldeinformationen von `AccountBadmin` eine Bucket-Liste zu erhalten, wird Ihnen eine Zugriffsverweigerung gemeldet.
+ Führen Sie mit dem AWS CLI den folgenden Befehl aus:
```
aws s3 ls s3://amzn-s3-demo-bucket --profile AccountBadmin
```
+ Führen Sie mit dem AWS Tools for Windows PowerShell den folgenden Befehl aus:
```
get-s3object -BucketName amzn-s3-demo-bucket -StoredCredentials AccountBDave
```
## Schritt 4: Bereinigen
1. Nachdem Sie mit den Tests fertig sind, räumen Sie wie folgt auf:
1. Melden Sie sich mit den Anmeldeinformationen von Konto A bei AWS-Managementkonsole ([AWS-Managementkonsole](https://console.aws.amazon.com/)) an und gehen Sie wie folgt vor:
+ Entfernen Sie in der Amazon-S3-Konsole die an `amzn-s3-demo-bucket` angefügte Bucket-Richtlinie. Löschen Sie in den Bucket **Properties** die Richtlinie im Abschnitt **Permissions**.
+ Wenn der Bucket für diese Übung erstellt wurde, löschen Sie in der Amazon-S3-Konsole die Objekte und dann den Bucket.
+ Entfernen Sie in der [IAM-Konsole](https://console.aws.amazon.com/iam/) den Benutzer `AccountAadmin`.
1. Melden Sie sich mit den Anmeldeinformationen von Konto B bei der [IAM-Konsole](https://console.aws.amazon.com/iam/) an. Löschen Sie den Benutzer `AccountBadmin`. step-by-stepAnweisungen finden Sie unter [Löschen eines IAM-Benutzers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_manage.html#id_users_deleting) im *IAM-Benutzerhandbuch*.
# Beispiel 3: Bucket-Eigentümer, der Berechtigungen für Objekte erteilt, die ihm nicht gehören
**Wichtig**
Das Erteilen von Berechtigungen für IAM-Rollen ist eine bessere Vorgehensweise als die Erteilung von Berechtigungen an einzelne Benutzer. Weitere Informationen zur Vorgehensweise finden Sie unter [Verständnis von kontoübergreifenden Berechtigungen und der Verwendung von IAM-Rollen](example-walkthroughs-managing-access-example4.md#access-policies-walkthrough-example4-overview).
**Topics**
+ [Schritt 0: Vorbereitung auf den Walkthrough](#access-policies-walkthrough-cross-account-acl-step0)
+ [Schritt 1: Erledigen der Aufgaben von Konto A](#access-policies-walkthrough-cross-account-acl-acctA-tasks)
+ [Schritt 2: Erledigen der Aufgaben von Konto B](#access-policies-walkthrough-cross-account-acl-acctB-tasks)
+ [Schritt 3: Testen der Berechtigungen](#access-policies-walkthrough-cross-account-acl-verify)
+ [Schritt 4: Bereinigen](#access-policies-walkthrough-cross-account-acl-cleanup)
Das Szenario für dieses Beispiel ist, dass ein Bucket-Eigentümer Berechtigungen zum Zugriff auf Objekte erteilen möchte, obwohl er nicht alle Objekte im Bucket besitzt. In diesem Beispiel versucht der Bucket-Eigentümer, Benutzern in seinem eigenen Konto eine Berechtigung zu erteilen.
Ein Bucket-Besitzer kann anderen das Hochladen von AWS-Konten Objekten ermöglichen. Standardmäßig besitzt der Bucket-Eigentümer keine Objekte, die von einem anderen AWS-Konto in einen Bucket geschrieben wurden. Objekte gehören den Konten, die sie in einen S3-Bucket schreiben. Wenn der Bucket-Eigentümer keine Objekte im Bucket besitzt, muss der Objekteigentümer dem Bucket-Eigentümer zunächst die Berechtigung mithilfe einer Objektzugriffssteuerungsliste (ACL) erteilen. Dann kann der Bucket-Eigentümer Berechtigungen für ein Objekt erteilen, das er nicht besitzt. Weitere Informationen finden Sie unter [Amazon-S3-Bucket- und Objekt-Eigentümerschaft](access-policy-language-overview.md#about-resource-owner).
Wenn der Bucket-Eigentümer die vom Bucket-Eigentümer erzwungene Einstellung für S3 Object Ownership für den Bucket anwendet, besitzt der Bucket-Eigentümer alle Objekte im Bucket, einschließlich der Objekte, die von einem anderen AWS-Konto geschrieben wurden. Dieser Ansatz löst das Problem, dass Objekte nicht im Besitz des Bucket-Eigentümers sind. Anschließend können Sie die Berechtigung an Benutzer in Ihrem eigenen Konto oder an andere AWS-Konten.
**Anmerkung**
S3 Object Ownership ist eine Einstellung auf Amazon S3 S3-Bucket-Ebene, mit der Sie sowohl das Eigentum an den Objekten kontrollieren können, die in Ihren Bucket hochgeladen werden, als auch um sie zu deaktivieren oder zu aktivieren. ACLs Standardmäßig ist für Object Ownership die erzwungene Einstellung des Bucket-Besitzers festgelegt, und alle sind ACLs deaktiviert. Wenn ACLs diese Option deaktiviert ist, besitzt der Bucket-Besitzer alle Objekte im Bucket und verwaltet den Zugriff darauf ausschließlich mithilfe von Zugriffsverwaltungsrichtlinien.
Für die meisten modernen Anwendungsfälle in Amazon S3 ist die Verwendung von nicht mehr erforderlich ACLs. Wir empfehlen, die ACLs Option deaktiviert zu lassen, außer in Fällen, in denen Sie den Zugriff für jedes Objekt einzeln steuern müssen. Wenn diese ACLs Option deaktiviert ist, können Sie mithilfe von Richtlinien den Zugriff auf alle Objekte in Ihrem Bucket steuern, unabhängig davon, wer die Objekte in Ihren Bucket hochgeladen hat. Weitere Informationen finden Sie unter [Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket](about-object-ownership.md).
In diesem Beispiel gehen wir davon aus, dass der Bucket-Eigentümer die vom Bucket-Eigentümer erzwungene Einstellung für Object Ownership nicht angewendet hat. Der Bucket-Eigentümer delegiert die Berechtigung an Benutzer in seinem eigenen Konto. Nachfolgend finden Sie eine kurze Zusammenfassung der wichtigsten Details:
![\[Ein Bucket-Eigentümer, der Berechtigungen für Objekte erteilt, die ihm nicht gehören.\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/images/access-policy-ex3.png)
1. Der Administrator-Benutzer von Konto A ordnet eine Bucket-Richtlinie mit zwei Anweisungen zu.
+ Kontoübergreifende Berechtigung für Konto B, um Objekte hochzuladen.
+ Berechtigung für einen Benutzer in seinem eigenen Konto, auf Objekte im Bucket zuzugreifen.
1. Der Administrator-Benutzer für Konto B lädt Objekte in den Bucket hoch, der Konto A gehört.
1. Der Administrator von Konto B aktualisiert die Objekt-ACL, indem er die Berechtigung hinzufügt, die dem Bucket-Eigentümer vollständige Berechtigungen für das Objekt erteilt.
1. Der Benutzer in Konto A überprüft dies durch Zugriff auf Objekte im Bucket, unabhängig davon, wem diese gehören.
Für dieses Beispiel benötigen Sie zwei Konten. Die folgende Tabelle zeigt, wie wir auf diese Konten und die Administrator-Benutzer in diesen Konten verweisen. In dieser schrittweisen Anleitung verwenden Sie die Anmeldeinformationen des Root-Benutzers für das Konto nicht gemäß den empfohlenen IAM-Richtlinien. Weitere Informationen finden Sie unter [Informationen zur Verwendung eines Administratorbenutzers zum Erstellen von Ressourcen und Erteilen von Berechtigungen](example-walkthroughs-managing-access.md#about-using-root-credentials). Stattdessen erstellen Sie einen Administrator in jedem Konto, und verwenden dessen Anmeldeinformationen, um Ressourcen zu erstellen und ihnen Berechtigungen zu erteilen.
| AWS-Konto ID | Konto bezeichnet als | Administrator im Konto |
| --- | --- | --- |
| *1111-1111-1111* | Konto A | AccountAadmin |
| *2222-2222-2222* | Konto B | AccountBadmin |
Alle Aufgaben in Verbindung mit dem Erstellen von Benutzern und Gewähren von Berechtigungen werden in der AWS-Managementkonsole ausgeführt. Um die Berechtigungen zu überprüfen, verwendet die exemplarische Vorgehensweise die Befehlszeilentools AWS Command Line Interface (AWS CLI) und AWS Tools for Windows PowerShell, sodass Sie keinen Code schreiben müssen.
## Schritt 0: Vorbereitung auf den Walkthrough
1. Stellen Sie sicher, dass Sie über zwei Konten verfügen AWS-Konten und dass jedes Konto über einen Administrator verfügt, wie in der Tabelle im vorherigen Abschnitt dargestellt.
1. Melden Sie sich bei Bedarf für einen an AWS-Konto.
1. Melden Sie sich mit den Anmeldeinformationen von Konto A bei der [IAM-Konsole](https://console.aws.amazon.com/iam/) an und führen Sie Folgendes aus, um einen Administratorbenutzer zu erstellen:
+ Erstellen Sie den Benutzer **AccountAadmin** und notieren Sie sich die Sicherheitsanmeldeinformationen des Benutzers. Weitere Informationen zum Hinzufügen von Benutzern finden Sie unter [Erstellen eines IAM-Benutzers in Ihrem AWS-Konto](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html) im *IAM-Benutzerhandbuch*.
+ Gewähren Sie Administratorberechtigungen für, **AccountAadmin**indem Sie eine Benutzerrichtlinie anhängen, die vollen Zugriff gewährt. Weitere Informationen finden Sie unter [Verwalten von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) im *IAM-Benutzerhandbuch*.
+ Schreiben Sie sich die **IAM-Benutzer-Anmelde-URL** auf dem **Dashboard** der [IAM-Konsole](https://console.aws.amazon.com/iam/) auf. Benutzer in diesem Konto müssen diese URL für die Anmeldung an der AWS-Managementkonsole verwenden. Weitere Informationen finden Sie unter [Wie sich Benutzer in Ihrem Konto anmelden](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_how-users-sign-in.html) im *IAM-Benutzerhandbuch*.
1. Wiederholen Sie den obigen Schritt unter Verwendung der Anmeldeinformationen von Konto B und erstellen Sie den Administrator-Benutzer **AccountBadmin**.
1. Richten Sie entweder die Tools AWS CLI oder die Tools für Windows PowerShell ein. Stellen Sie sicher, dass Sie die Administratoranmeldeinformationen wie folgt speichern:
+ Wenn Sie das verwenden AWS CLI, erstellen Sie zwei Profile `AccountAadmin` und `AccountBadmin` in der Konfigurationsdatei.
+ Wenn Sie die Tools für Windows verwenden PowerShell, stellen Sie sicher, dass Sie die Anmeldeinformationen für die Sitzung als `AccountAadmin` und speichern`AccountBadmin`.
Detaillierte Anweisungen finden Sie unter [Einrichten der Tools für die Anleitungen](policy-eval-walkthrough-download-awscli.md).
## Schritt 1: Erledigen der Aufgaben von Konto A
Führen Sie für Konto A die folgenden Schritte aus:
### Schritt 1.1: Anmelden bei der Konsole
Melden Sie sich mit der IAM-Benutzer-Anmelde-URL für Konto A beim AWS-Managementkonsole **AccountAadmin** AS-Benutzer an. Dieser Benutzer erstellt einen Bucket und ordnet ihm eine Richtlinie zu.
### Schritt 1.2: Erstellen eines Buckets und eines Benutzers und Hinzufügen einer Bucket-Richtlinie, um Benutzerberechtigungen zu erteilen
1. Erstellen Sie in der Amazon-S3-Konsole einen Bucket. In dieser Übung wird davon ausgegangen, dass der Bucket im Osten der USA (Nord-Virginia) AWS-Region erstellt wurde und der Name lautet. `amzn-s3-demo-bucket1`
Detaillierte Anweisungen finden Sie unter [Erstellen eines Allzweck-Buckets](create-bucket-overview.md).
1. Erstellen Sie in der [IAM-Konsole](https://console.aws.amazon.com/iam/) einen Benutzer **Dave**.
step-by-stepAnweisungen finden Sie unter [Erstellen von IAM-Benutzern (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console) im *IAM-Benutzerhandbuch*.
1. Notieren Sie sich die Anmeldeinformationen des Benutzers Dave auf.
1. Weisen Sie in der Amazon-S3-Konsole die folgende Bucket-Richtlinie dem `amzn-s3-demo-bucket1`-Bucket zu. Detaillierte Anweisungen finden Sie unter [Hinzufügen einer Bucket-Richtlinie mit der Amazon-S3-Konsole](add-bucket-policy.md). Folgen Sie den Schritten, um eine Bucket-Richtlinie hinzuzufügen. Informationen dazu, wie Sie ein Konto finden IDs, finden Sie unter [Ihre AWS-Konto ID finden](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingYourAccountIdentifiers).
Die Richtlinie erteilt Konto B die Berechtigung `s3:PutObject` und `s3:ListBucket`. Die Richtlinie erteilt außerdem dem Benutzer `Dave` die `s3:GetObject`-Berechtigung.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1/*",
"arn:aws:s3:::amzn-s3-demo-bucket1"
]
},
{
"Sid": "Statement3",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/Dave"
},
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1/*"
]
}
]
}
```
------
## Schritt 2: Erledigen der Aufgaben von Konto B
Nachdem Konto B die Berechtigung besitzt, Vorgänge für den Bucket von Konto A auszuführen, macht der Administrator von Konto B Folgendes:
+ Hochladen eines Objekts in den Bucket von Konto A
+ Fügt eine Gewährung in der Objekt-ACL hinzu, um Konto A, dem Bucket-Eigentümer, vollständige Kontrolle zu gewähren
**Mit dem AWS CLI**
1. Laden Sie mithilfe des Befehls `put-object` AWS CLI ein Objekt hoch. Der Parameter `--body` im Befehl identifiziert die hochzuladende Quelldatei. Befindet sich die Datei beispielsweise auf dem Laufwerk `C:` eines Windows-Computers, geben Sie `c:\HappyFace.jpg` an. Der Parameter `--key` gibt den Schlüsselnamen für das Objekt an.
```
aws s3api put-object --bucket amzn-s3-demo-bucket1 --key HappyFace.jpg --body HappyFace.jpg --profile AccountBadmin
```
1. Erteilung einer Berechtigung in der Objekt-ACL, um dem Bucket-Eigentümer volle Kontrolle über das Objekt zu erteilen. Informationen dazu, wie Sie eine kanonische Benutzer-ID finden, finden Sie unter [Die kanonische Benutzer-ID für Ihr AWS-Konto finden](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindCanonicalId) im *AWS -Referenzhandbuch zur Kontoverwaltung*.
```
aws s3api put-object-acl --bucket amzn-s3-demo-bucket1 --key HappyFace.jpg --grant-full-control id="AccountA-CanonicalUserID" --profile AccountBadmin
```
**Verwenden der Tools für Windows PowerShell**
1. Laden Sie mithilfe des Befehls `Write-S3Object` ein Objekt hoch.
```
Write-S3Object -BucketName amzn-s3-demo-bucket1 -key HappyFace.jpg -file HappyFace.jpg -StoredCredentials AccountBadmin
```
1. Erteilung einer Berechtigung in der Objekt-ACL, um dem Bucket-Eigentümer volle Kontrolle über das Objekt zu erteilen.
```
Set-S3ACL -BucketName amzn-s3-demo-bucket1 -Key HappyFace.jpg -CannedACLName "bucket-owner-full-control" -StoredCreden
```
## Schritt 3: Testen der Berechtigungen
Überprüfen Sie nun, dass der Benutzer Dave in Konto A Zugriff auf das Objekt hat, das Konto B gehört.
**Mit dem AWS CLI**
1. Fügen Sie der AWS CLI Konfigurationsdatei die Anmeldeinformationen des Benutzers Dave hinzu und erstellen Sie ein neues Profil,`UserDaveAccountA`. Weitere Informationen finden Sie unter [Einrichten der Tools für die Anleitungen](policy-eval-walkthrough-download-awscli.md).
```
[profile UserDaveAccountA]
aws_access_key_id = access-key
aws_secret_access_key = secret-access-key
region = us-east-1
```
1. Führen Sie den CLI-Befehl `get-object` aus, um `HappyFace.jpg` herunterzuladen und es lokal zu speichern. Sie stellen dem Benutzer Dave Anmeldeinformationen bereit, indem Sie den Parameter `--profile` hinzufügen.
```
aws s3api get-object --bucket amzn-s3-demo-bucket1 --key HappyFace.jpg Outputfile.jpg --profile UserDaveAccountA
```
**Verwenden der Tools für Windows PowerShell**
1. Speichern Sie die AWS Anmeldeinformationen des Benutzers Dave als `UserDaveAccountA` im persistenten Speicher.
```
Set-AWSCredentials -AccessKey UserDave-AccessKey -SecretKey UserDave-SecretAccessKey -storeas UserDaveAccountA
```
1. Führen Sie den Befehl `Read-S3Object` aus, um das Objekt `HappyFace.jpg` herunterzuladen und es lokal zu speichern. Sie stellen dem Benutzer Dave Anmeldeinformationen bereit, indem Sie den Parameter `-StoredCredentials` hinzufügen.
```
Read-S3Object -BucketName amzn-s3-demo-bucket1 -Key HappyFace.jpg -file HappyFace.jpg -StoredCredentials UserDaveAccountA
```
## Schritt 4: Bereinigen
1. Nachdem Sie mit den Tests fertig sind, räumen Sie wie folgt auf:
1. Melden Sie sich mit den Anmeldeinformationen von Konto A an der [AWS-Managementkonsole](https://console.aws.amazon.com/) an und machen Sie Folgendes:
+ Entfernen Sie in der Amazon-S3-Konsole die an *amzn-s3-demo-bucket1* angefügte Bucket-Richtlinie. Löschen Sie in den Bucket **Properties** die Richtlinie im Abschnitt **Permissions**.
+ Wenn der Bucket für diese Übung erstellt wurde, löschen Sie in der Amazon-S3-Konsole die Objekte und dann den Bucket.
+ Entfernen Sie in der [IAM-Konsole](https://console.aws.amazon.com/iam/) den Benutzer **AccountAadmin**. step-by-step Anweisungen finden Sie unter [Löschen eines IAM-Benutzers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_manage.html#id_users_deleting) im *IAM-Benutzerhandbuch*.
1. Melden Sie sich mit den Anmeldeinformationen von Konto B an der [AWS-Managementkonsole](https://console.aws.amazon.com/) an. Löschen Sie den [Benutzer in der IAM-Konsole](https://console.aws.amazon.com/iam/). **AccountBadmin**
# Beispiel 4 – Der Bucket-Eigentümer erteilt eine kontenübergreifende Berechtigung für Objekte, die ihm nicht gehören
**Topics**
+ [Verständnis von kontoübergreifenden Berechtigungen und der Verwendung von IAM-Rollen](#access-policies-walkthrough-example4-overview)
+ [Schritt 0: Vorbereitung auf den Walkthrough](#access-policies-walkthrough-example4-step0)
+ [Schritt 1: Erledigen der Aufgaben von Konto A](#access-policies-walkthrough-example4-step1)
+ [Schritt 2: Erledigen der Aufgaben von Konto B](#access-policies-walkthrough-example4-step2)
+ [Schritt 3: Erledigen der Aufgaben von Konto C](#access-policies-walkthrough-example4-step3)
+ [Schritt 4: Bereinigen](#access-policies-walkthrough-example4-step6)
+ [Zugehörige Ressourcen](#RelatedResources-managing-access-example4)
In diesem Beispielszenario besitzen Sie einen Bucket und haben anderen AWS-Konten das Hochladen von Objekten ermöglicht. Wenn Sie die vom Bucket-Eigentümer erzwungene Einstellung für S3 Object Ownership für den Bucket angewendet haben, besitzen Sie alle Objekte im Bucket, einschließlich der Objekte, die von einem anderen AWS-Konto geschrieben wurden. Dieser Ansatz löst das Problem, dass Objekte nicht Ihnen, dem Bucket-Eigentümer, gehören. Anschließend können Sie die Berechtigung an Benutzer in Ihrem eigenen Konto oder an andere AWS-Konten. Angenommen, die erzwungene Einstellung des Bucket-Eigentümers für S3 Object Ownership ist nicht aktiviert. Das bedeutet, Ihr Bucket kann Objekte enthalten, die anderen AWS-Konten gehören.
Angenommen, Sie müssen als Bucket-Eigentümer einem Benutzer in einem anderen Konto eine kontenübergreifende Berechtigung für Objekte erteilen, unabhängig davon, wer der Eigentümer ist. Dieser Benutzer könnte beispielsweise eine Buchhaltungsanwendung sein, die Zugriff auf Objekt-Metadaten benötigt. Es gibt zwei Kernprobleme:
+ Der Bucket-Eigentümer hat keine Berechtigungen für diese Objekte, die von anderen AWS-Konten erstellt wurden. Damit der Bucket-Eigentümer Berechtigungen für Objekte erteilen kann, die er nicht besitzt, muss der Objekteigentümer dem Bucket-Eigentümer zunächst die entsprechenden Berechtigungen erteilen. Der Objekteigentümer ist das AWS-Konto , das die Objekte erstellt hat Der Bucket-Eigentümer kann diese Berechtigungen delegieren.
+ Das Konto des Bucket-Eigentümers kann Berechtigungen an Benutzer in seinem eigenen Konto delegieren (siehe [Beispiel 3: Bucket-Eigentümer, der Berechtigungen für Objekte erteilt, die ihm nicht gehören](example-walkthroughs-managing-access-example3.md)). Das Konto des Bucket-Besitzers kann jedoch keine Berechtigungen an andere delegieren, AWS-Konten da die kontoübergreifende Delegierung nicht unterstützt wird.
In diesem Szenario kann der Bucket-Besitzer eine AWS Identity and Access Management (IAM-) Rolle mit der Berechtigung für den Zugriff auf Objekte erstellen. Anschließend kann der Bucket-Besitzer eine weitere AWS-Konto Berechtigung zur Übernahme der Rolle gewähren, sodass er vorübergehend auf Objekte im Bucket zugreifen kann.
**Anmerkung**
S3 Object Ownership ist eine Einstellung auf Amazon S3 S3-Bucket-Ebene, mit der Sie sowohl das Eigentum an den Objekten kontrollieren können, die in Ihren Bucket hochgeladen werden, als auch um sie zu deaktivieren oder zu aktivieren. ACLs Standardmäßig ist für Object Ownership die erzwungene Einstellung des Bucket-Besitzers festgelegt, und alle sind ACLs deaktiviert. Wenn ACLs diese Option deaktiviert ist, besitzt der Bucket-Besitzer alle Objekte im Bucket und verwaltet den Zugriff darauf ausschließlich mithilfe von Zugriffsverwaltungsrichtlinien.
Für die meisten modernen Anwendungsfälle in Amazon S3 ist die Verwendung von nicht mehr erforderlich ACLs. Wir empfehlen, die ACLs Option deaktiviert zu lassen, außer in Fällen, in denen Sie den Zugriff für jedes Objekt einzeln steuern müssen. Wenn diese ACLs Option deaktiviert ist, können Sie mithilfe von Richtlinien den Zugriff auf alle Objekte in Ihrem Bucket steuern, unabhängig davon, wer die Objekte in Ihren Bucket hochgeladen hat. Weitere Informationen finden Sie unter [Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket](about-object-ownership.md).
## Verständnis von kontoübergreifenden Berechtigungen und der Verwendung von IAM-Rollen
IAM-Rollen unterstützen verschiedene Szenarien, den Zugriff auf Ihre Ressourcen zu definieren. Der kontenübergreifende Zugriff ist eines der Schlüsselszenarien. In diesem Beispiel verwendet der Bucket-Besitzer, Konto A, eine IAM-Rolle, um vorübergehend den kontoübergreifenden Objektzugriff an Benutzer in einem anderen Konto AWS-Konto, Konto C, zu delegieren. Jeder IAM-Rolle, die Sie erstellen, sind die folgenden zwei Richtlinien zugeordnet:
+ Eine Vertrauensrichtlinie, die eine andere identifiziert AWS-Konto , die die Rolle übernehmen kann.
+ Eine Zugriffsrichtlinie, die definiert, welche Berechtigungen – z. B. `s3:GetObject` – zulässig sind, wenn jemand die Rolle einnimmt. Eine Liste aller Berechtigungen, die Sie in einer Richtlinie angeben können, finden Sie unter [Richtlinienaktionen für Amazon S3](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-actions).
Die AWS-Konto in der Vertrauensrichtlinie angegebene Person erteilt ihrem Benutzer dann die Erlaubnis, die Rolle zu übernehmen. Der Benutzer kann dann wie folgt auf Objekte zugreifen:
+ Die Rolle einnehmen und daraufhin temporäre Sicherheitsanmeldeinformationen erhalten.
+ Verwenden der temporären Sicherheitsanmeldeinformationen, um auf die Objekte im Bucket zuzugreifen.
Weitere Informationen zu IAM-Rollen finden Sie unter [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) im *IAM-Benutzerhandbuch*.
Nachfolgend finden Sie eine kurze Zusammenfassung der wichtigsten Details:
![\[Kontoübergreifende Berechtigungen mit IAM-Rollen\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/images/access-policy-ex4.png)
1. Der Administrator-Benutzer von Konto A ordnet eine Bucket-Richtlinie zu, die Konto B die bedingte Berechtigung erteilt, Objekte hochzuladen.
1. Der Administrator von Konto A erstellt eine IAM-Rolle, die eine Vertrauensbeziehung zu Konto C einrichtet, sodass Benutzer in diesem Konto auf Konto A zugreifen können. Die der Rolle zugeordnete Zugriffsrichtlinie beschränkt die Aktionen, die der Benutzer in Konto C machen kann, wenn er auf Konto A zugreift.
1. Der Administrator von Konto B lädt ein Objekt in den Bucket hoch, der Konto A gehört, und erteilt dem Bucket-Eigentümer vollständige Berechtigungen.
1. Der Administrator von Konto C erstellt einen Benutzer und ordnet ihm eine Benutzerrichtlinie zu, die dem Benutzer gestattet, die Rolle zu übernehmen.
1. Der Benutzer in Konto C übernimmt zuerst die Rolle, womit er temporäre Sicherheitsanmeldeinformationen erhält. Unter Verwendung dieser temporären Sicherheitsanmeldeinformationen greift der Benutzer dann auf die Objekte im Bucket zu.
Für dieses Beispiel benötigen Sie drei Konten. Die folgende Tabelle zeigt, wie wir auf diese Konten und die Administrator-Benutzer in diesen Konten verweisen. Entsprechend den IAM-Richtlinien (siehe [Informationen zur Verwendung eines Administratorbenutzers zum Erstellen von Ressourcen und Erteilen von Berechtigungen](example-walkthroughs-managing-access.md#about-using-root-credentials)) verwenden wir die Root-Benutzer des AWS-Kontos -Anmeldeinformationen in dieser Anleitung nicht. Stattdessen erstellen Sie einen Administrator-Benutzer in jedem Konto, und verwenden dessen Anmeldeinformationen, um Ressourcen zu erstellen und ihnen Berechtigungen zu erteilen.
| AWS-Konto ID | Konto bezeichnet als | Administratorbenutzer im Konto |
| --- | --- | --- |
| *1111-1111-1111* | Konto A | AccountAadmin |
| *2222-2222-2222* | Konto B | AccountBadmin |
| *3333-3333-3333* | Konto C | AccountCadmin |
## Schritt 0: Vorbereitung auf den Walkthrough
**Anmerkung**
Es könnte hilfreich sein, einen Texteditor zu öffnen und einige der Informationen während der Durchführung der Schritte aufzuschreiben. Insbesondere benötigen Sie ein Konto IDs, einen kanonischen Benutzer IDs, eine IAM-Benutzeranmeldung URLs für jedes Konto, um eine Verbindung zur Konsole herzustellen, sowie Amazon-Ressourcennamen (ARNs) der IAM-Benutzer und Rollen.
1. Stellen Sie sicher, dass Sie drei Benutzer haben AWS-Konten und dass jedes Konto über einen Administratorbenutzer verfügt, wie in der Tabelle im vorherigen Abschnitt dargestellt.
1. Melden Sie sich bei Bedarf für AWS-Konten an. Wir bezeichnen diese Konten als Konto A, Konto B und Konto C.
1. Melden Sie sich mit den Anmeldeinformationen von Konto A bei der [IAM-Konsole](https://console.aws.amazon.com/iam/home?#home) an und führen Sie Folgendes aus, um einen Administratorbenutzer zu erstellen:
+ Erstellen Sie den Benutzer **AccountAadmin** und notieren Sie dessen Sicherheitsanmeldeinformationen. Weitere Informationen zum Hinzufügen von Benutzern finden Sie unter [Erstellen eines IAM-Benutzers in Ihrem AWS-Konto](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html) im *IAM-Benutzerhandbuch*.
+ Gewähren Sie Administratorrechte, **AccountAadmin**indem Sie eine Benutzerrichtlinie anhängen, die vollen Zugriff gewährt. Weitere Informationen finden Sie unter [Verwalten von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) im *IAM-Benutzerhandbuch*.
+ Schreiben Sie sich die **IAM-Benutzer-Anmelde-URL** auf dem **Dashboard** der IAM-Konsole auf. Benutzer in diesem Konto müssen diese URL für die Anmeldung an der AWS-Managementkonsole verwenden. Weitere Informationen finden Sie unter [AWS-Managementkonsole Als IAM-Benutzer anmelden im *IAM-Benutzerhandbuch*](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_how-users-sign-in.html).
1. Wiederholen Sie den obigen Schritt, um Administrator-Benutzer in Konto B und Konto C zu erstellen.
1. Notieren Sie für Konto C die kanonische Benutzer-ID.
Wenn Sie eine IAM-Rolle in Konto A erstellen, erteilt die Vertrauensrichtlinie Konto C die Berechtigung, die Rolle durch Angabe der Konto-ID zu übernehmen. Sie finden die Konteninformationen wie folgt:
1. Verwenden Sie Ihre AWS-Konto ID oder Ihren Kontoalias, Ihren IAM-Benutzernamen und Ihr Passwort, um sich bei der [Amazon S3 S3-Konsole](https://console.aws.amazon.com/s3/) anzumelden.
1. Wählen Sie den Namen eines Amazon-S3-Buckets aus, um die Details zu diesem Bucket anzuzeigen.
1. Klicken Sie auf den Tab **Berechtigungen** und anschließend auf **Access Control List**.
1. Im Abschnitt **Zugang für Ihr AWS-Konto** steht in der Spalte **Konto** eine lange Kennung, z. B. `c1daexampleaaf850ea79cf0430f33d72579fd1611c97f7ded193374c0b163b6`. Dies ist Ihre kanonische Benutzer-ID.
1. Für das Erstellen einer Bucket-Richtlinie benötigen Sie die folgenden Informationen. Notieren Sie sich die Werte:
+ **Kanonische Benutzer-ID von Konto A** – Wenn der Administrator von Konto A dem Administrator von Konto B die bedingte Berechtigung erteilt, Objekte hochzuladen, gibt die Bedingung die kanonische Benutzer-ID des Benutzers von Konto A an, der vollständige Kontrolle über die Objekte benötigt.
**Anmerkung**
Die kanonische Benutzer-ID ist ein nur für Amazon S3 geltendes Konzept. Es handelt sich dabei um eine 64 Zeichen lange verschleierte Version der Konto-ID.
+ **Benutzer-ARN für den Administrator von Konto B** – Sie finden den Benutzer-ARN in der [IAM-Konsole](https://console.aws.amazon.com/iam/). Wählen Sie den Benutzer aus und suchen Sie den ARN des Benutzers auf der Registerkarte **Übersicht**.
In der Bucket-Richtlinie erteilen Sie `AccountBadmin` die Berechtigung, Objekte hochzuladen, und Sie geben unter Verwendung des ARN den Benutzer an. Ein Beispiel für einen ARN-Wert:
```
arn:aws:iam::AccountB-ID:user/AccountBadmin
```
1. Richten Sie entweder die AWS Command Line Interface (CLI) oder die ein AWS Tools for Windows PowerShell. Stellen Sie sicher, dass Sie die Administratoranmeldeinformationen wie folgt speichern:
+ Wenn Sie das verwenden AWS CLI, erstellen Sie die Profile `AccountAadmin` und `AccountBadmin` in der Konfigurationsdatei.
+ Wenn Sie die verwenden AWS Tools for Windows PowerShell, stellen Sie sicher, dass Sie die Anmeldeinformationen für die Sitzung als `AccountAadmin` und speichern`AccountBadmin`.
Detaillierte Anweisungen finden Sie unter [Einrichten der Tools für die Anleitungen](policy-eval-walkthrough-download-awscli.md).
## Schritt 1: Erledigen der Aufgaben von Konto A
In diesem Beispiel ist Konto A der Bucket-Eigentümer. Der Benutzer AccountAadmin in Konto A wird also Folgendes tun:
+ Erstellen Sie einen Bucket.
+ Eine Bucket-Richtlinie anhängen, die dem Administrator von Konto B die Berechtigung zum Hochladen von Objekten erteilt.
+ Eine IAM-Rolle erstellen, die Konto C die Berechtigung erteilt, die Rolle zu übernehmen, so dass es auf Objekte im Bucket zugreifen kann.
### Schritt 1.1: Melden Sie sich an bei AWS-Managementkonsole
Melden Sie sich mit der IAM-Benutzer-Anmelde-URL für Konto A zunächst beim Benutzer AWS-Managementkonsole as **AccountAadmin** an. Dieser Benutzer erstellt einen Bucket und ordnet ihm eine Richtlinie zu.
### Schritt 1.2: Erstellen eines Buckets und Anfügen einer Richtlinie
Führen Sie in der Amazon-S3-Konsole die folgenden Schritte aus:
1. Erstellen Sie einen Bucket. Diese Übung setzt voraus, dass der Bucket-Name `amzn-s3-demo-bucket1` ist.
Detaillierte Anweisungen finden Sie unter [Erstellen eines Allzweck-Buckets](create-bucket-overview.md).
1. Fügen Sie die folgende Bucket-Richtlinie an. Die Richtlinie gewährt dem Administrator von Konto B unter bestimmten Bedingungen die Berechtigung, Objekte hochzuladen.
Aktualisieren Sie die Richtlinie, indem Sie Ihre eigenen Werte für `amzn-s3-demo-bucket1`, `AccountB-ID` und `CanonicalUserId-of-AWSaccountA-BucketOwner` angeben.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "111",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/AccountBadmin"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"
},
{
"Sid": "112",
"Effect": "Deny",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/AccountBadmin"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-grant-full-control": "id=CanonicalUserId-of-AWSaccountA-BucketOwner"
}
}
}
]
}
```
------
### Schritt 1.3: Erstellen einer IAM-Rolle, um Konto C kontoübergreifenden Zugriff in Konto A zu erteilen
Erstellen Sie in der [IAM-Konsole](https://console.aws.amazon.com/iam/) eine IAM-Rolle (**examplerole**), die Konto C die Berechtigung erteilt, die Rolle zu übernehmen. Stellen Sie sicher, dass Sie weiterhin als Administrator von Konto A angemeldet sind, da die Rolle in Konto A erstellt werden muss.
1. Bevor Sie die Rolle erstellen, richten Sie die verwaltete Richtlinie ein, die die von der Rolle benötigten Berechtigungen definiert. Diese Richtlinie fügen Sie zu einem späteren Zeitpunkt der Rolle an.
1. Wählen Sie links im Navigationsbereich **Richtlinien** und dann **Richtlinie erstellen** aus.
1. Klicken Sie neben **Create Your Own Policy** auf **Select**.
1. Geben Sie **access-accountA-bucket** in das Feld **Policy Name** ein.
1. Kopieren Sie die folgende Zugriffsrichtlinie und fügen Sie sie in das Feld **Policy Document** ein. Die Zugriffsrichtlinie gewährt der Rolle die `s3:GetObject`-Berechtigung, sodass der Benutzer aus Konto C bei Übernahme der Rolle nur die `s3:GetObject`-Operation ausführen kann.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"
}
]
}
```
------
1. Wählen Sie **Richtlinie erstellen** aus.
Die neue Richtlinie wird in der Liste der verwalteten Richtlinien angezeigt.
1. Wählen Sie im Navigationsbereich auf der linken Seite **Rollen** und dann **Neue Rolle erstellen** aus.
1. **Wählen Sie unter Rollentyp** auswählen die Option **Rolle für kontoübergreifenden Zugriff** aus und klicken Sie dann auf die Schaltfläche **Auswählen** neben **Zugriff zwischen AWS-Konten Ihren eigenen Benutzern bereitstellen**.
1. Geben Sie die Konto-ID von Konto C ein.
Für diese Anleitung müssen Benutzer keine Multi-Faktor-Authentifizierung (MFA) verwenden, um die Rolle zu übernehmen. Lassen Sie diese Option daher deaktiviert.
1. Klicken Sie auf **Next Step**, um die mit der Rolle verknüpften Berechtigungen einzurichten.
1.
Aktivieren Sie das Kontrollkästchen neben der von Ihnen erstellten Richtlinie **access-accountA-bucket** und wählen Sie dann **Nächster Schritt** aus.
Die Prüfseite wird angezeigt, sodass Sie die Einstellungen bestätigen können, bevor Sie die Rolle erstellen. Ein sehr wichtiges, auf dieser Seite zu beachtendes Element ist der Link, den Sie an die Benutzer senden können, die die Rolle verwenden müssen. Benutzer, die den Link verwenden, gelangen direkt zur Seite **Rolle wechseln**, wobei die Felder „Konto-ID“ und „Rollenname“ bereits ausgefüllt sind. Dieser Link wird auch auf der Seite **Role Summary** für beliebige kontoübergreifende Rollen angezeigt.
1. Geben Sie `examplerole` für den Rollennamen ein und klicken Sie dann auf **Nächster Schritt**.
1. Nachdem Sie die Rolle überprüft haben, klicken Sie auf **Rolle erstellen**.
Die Rolle `examplerole` wird in der Liste der Rollen angezeigt.
1. Wählen Sie den Rollennamen `examplerole` aus.
1. Wählen Sie den Tab **Trust Relationships**.
1. Wählen Sie **Richtliniendokument anzeigen** und überprüfen Sie, ob die angezeigte Vertrauensrichtlinie mit der folgenden Richtlinie übereinstimmt.
Die folgende Vertrauensrichtlinie richtet eine Vertrauensbeziehung zu Konto C ein und gestattet ihm die Aktion `sts:AssumeRole`. Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) in der *AWS -Security-Token-Service -API-Referenz*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Notieren Sie sich den Amazon Resource Name (ARN) der `examplerole`-Rolle, die Sie erstellt haben.
In den nachfolgenden Schritten ordnen Sie eine Benutzerrichtlinie ein, um einem IAM-Benutzer zu erlauben, diese Rolle einzunehmen. Sie identifizieren die Rolle über den ARN-Wert.
## Schritt 2: Erledigen der Aufgaben von Konto B
Der Beispiel-Bucket, der Konto A gehört, benötigt Objekte, die anderen Konten gehören. In diesem Schritt lädt der Administrator von Konto B unter Verwendung der Befehlszeilen-Tools ein Objekt hoch.
+ Laden Sie mit dem `put-object` AWS CLI Befehl ein Objekt in hoch. `amzn-s3-demo-bucket1`
```
aws s3api put-object --bucket amzn-s3-demo-bucket1 --key HappyFace.jpg --body HappyFace.jpg --grant-full-control id="canonicalUserId-ofTheBucketOwner" --profile AccountBadmin
```
Beachten Sie Folgendes:
+ Der Parameter `--Profile` gibt das Profil `AccountBadmin` an – das Objekt gehört also Konto B.
+ Der Parameter `grant-full-control` erteilt dem Bucket-Eigentümer vollständige Berechtigungen für das Objekt, wie für die Bucket-Richtlinie erforderlich.
+ Der Parameter `--body` identifiziert die hochzuladende Quelldatei. Befindet sich die Datei beispielsweise auf dem Laufwerk C: eines Windows-Computers, geben Sie `c:\HappyFace.jpg` an.
## Schritt 3: Erledigen der Aufgaben von Konto C
In den vorigen Schritten hat Konto A bereits eine Rolle erstellt, `examplerole`, die eine Vertrauensbeziehung zu Konto C einrichtet. Die Rolle erlaubt Benutzern in Konto C auf Konto A zugreifen. In diesem Schritt erstellt der Administrator von Konto C einen Benutzer (Dave) und delegiert die Berechtigung `sts:AssumeRole` an ihn, die er von Konto A erhalten hat. Mit diesem Ansatz kann Dave `examplerole` übernehmen und erhält temporären Zugriff auf Konto A. Die Zugriffsrichtlinie, die Konto A der Rolle zugeordnet hat, beschränkt die Aktionen, die Dave ausführen kann, wenn er auf Konto A zugreift – insbesondere, Objekte in `amzn-s3-demo-bucket1` hochzuladen.
### Schritt 3.1: Erstellen eines Benutzers in Konto C und Delegieren der Berechtigung, examplerole anzunehmen
1. Melden Sie sich mit der IAM-Benutzer-Anmelde-URL für Konto C zunächst beim Benutzer AWS-Managementkonsole as **AccountCadmin** an.
1. Erstellen Sie in der [IAM-Konsole](https://console.aws.amazon.com/iam/) einen Benutzer, Dave.
step-by-stepAnweisungen finden Sie unter [Erstellen von IAM-Benutzern (AWS-Managementkonsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console) im *IAM-Benutzerhandbuch*.
1. Notieren Sie sich die Anmeldeinformationen von Dave. Dave benötigt diese Anmeldeinformationen, um die Rolle `examplerole` zu übernehmen.
1. Erstellen Sie eine Inline-Richtlinie für den IAM-Benutzer Dave, um die `sts:AssumeRole`-Berechtigung an Dave für die `examplerole`-Rolle in Konto A zu delegieren.
1. Wählen Sie im Navigationsbereich auf der linken Seite **Users (Benutzer)**.
1. Klicken Sie auf den Benutzernamen **Dave**.
1. Wählen Sie auf der Seite mit den Benutzerinformationen den Tab **Permissions** aus und erweitern Sie den Abschnitt **Inline Policies**.
1. Wählen Sie **hier klicken** (oder **Create User Policy**).
1. Wählen Sie **Custom Policy** und dann **Select** aus.
1. Geben Sie einen Namen für die Richtlinie in das Feld **Policy Name** ein.
1. Kopieren Sie die folgende Richtlinie in das Feld **Policy Document:**.
Sie müssen die Richtlinie aktualisieren, indem Sie die `AccountA-ID` angeben.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "arn:aws:iam::111122223333:role/examplerole"
}
]
}
```
------
1. Klicken Sie auf **Apply Policy** (Richtlinie anwenden).
1. Speichern Sie Daves Anmeldeinformationen in der Konfigurationsdatei von, AWS CLI indem Sie ein weiteres Profil hinzufügen. `AccountCDave`
```
[profile AccountCDave]
aws_access_key_id = UserDaveAccessKeyID
aws_secret_access_key = UserDaveSecretAccessKey
region = us-west-2
```
### Schritt 3.2: Übernehmen der Rolle (examplerole) und Zugreifen auf Objekte
Jetzt kann Dave auf Objekte in dem Bucket zugreifen, der Konto A gehört, nämlich wie folgt:
+ Dave übernimmt zuerst die `examplerole` unter Verwendung seiner eigenen Anmeldeinformationen. Damit werden temporäre Anmeldeinformationen zurückgegeben.
+ Unter Verwendung der temporären Anmeldeinformationen greift Dave dann auf die Objekte im Bucket von Konto A zu.
1. Führen Sie in der Befehlszeile den folgenden AWS CLI `assume-role` Befehl mit dem `AccountCDave` Profil aus.
Sie müssen in dem Befehl den ARN-Wert aktualisieren, indem Sie die ID von Konto A angeben, in dem `AccountA-ID` definiert ist.
```
aws sts assume-role --role-arn arn:aws:iam::AccountA-ID:role/examplerole --profile AccountCDave --role-session-name test
```
Als Antwort gibt AWS -Security-Token-Service (AWS STS) temporäre Sicherheitsanmeldeinformationen zurück (Zugriffsschlüssel-ID, geheimer Zugriffsschlüssel und ein Sitzungstoken).
1. Speichern Sie die temporären Sicherheitsanmeldedaten in der AWS CLI Konfigurationsdatei unter dem `TempCred` Profil.
```
[profile TempCred]
aws_access_key_id = temp-access-key-ID
aws_secret_access_key = temp-secret-access-key
aws_session_token = session-token
region = us-west-2
```
1. Führen Sie in der Befehlszeile den folgenden AWS CLI Befehl aus, um mithilfe der temporären Anmeldeinformationen auf Objekte zuzugreifen. Beispielsweise gibt der Befehl die Head-Objekt API an, um die Objekt-Metadaten für das Objekt `HappyFace.jpg` abzurufen.
```
aws s3api get-object --bucket amzn-s3-demo-bucket1 --key HappyFace.jpg SaveFileAs.jpg --profile TempCred
```
Die `examplerole` zugeordnete Zugriffsrichtlinie erlaubt die Aktionen, deshalb verarbeitet Amazon S3 die Anforderung. Sie können das mit jeder anderen Aktion für jedes andere Objekt im Bucket ausprobieren.
Wenn Sie eine andere Aktion ausprobieren, z. B. `get-object-acl`, wird die Berechtigung verweigert, weil die Rolle diese Aktion nicht ausführen darf.
```
aws s3api get-object-acl --bucket amzn-s3-demo-bucket1 --key HappyFace.jpg --profile TempCred
```
Wir haben den Benutzer Dave verwendet, um die Rolle zu übernehmen und unter Verwendung temporärer Anmeldeinformationen auf das Objekt zuzugreifen. Es könnte auch eine Anwendung in Konto C sein, die auf Objekte in `amzn-s3-demo-bucket1` zugreift. Die Anwendung kann temporäre Anmeldeinformationen erhalten, und Konto C kann die Berechtigung der Anwendung delegieren, um `examplerole` zu übernehmen.
## Schritt 4: Bereinigen
1. Nachdem Sie mit den Tests fertig sind, räumen Sie wie folgt auf:
1. Melden Sie sich mit den Anmeldeinformationen von Konto A an der [AWS-Managementkonsole](https://console.aws.amazon.com/) an und machen Sie Folgendes:
+ Entfernen Sie in der Amazon-S3-Konsole die an `amzn-s3-demo-bucket1` angefügte Bucket-Richtlinie. Löschen Sie in den Bucket **Properties** die Richtlinie im Abschnitt **Permissions**.
+ Wenn der Bucket für diese Übung erstellt wurde, löschen Sie in der Amazon-S3-Konsole die Objekte und dann den Bucket.
+ Entfernen Sie in der [IAM-Konsole](https://console.aws.amazon.com/iam/) die Datei, die `examplerole` Sie in Konto A erstellt haben. step-by-step Anweisungen finden Sie unter [Löschen eines IAM-Benutzers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_manage.html#id_users_deleting) im *IAM-Benutzerhandbuch*.
+ Entfernen Sie in der [IAM-Konsole](https://console.aws.amazon.com/iam/) den Benutzer **AccountAadmin**.
1. Melden Sie sich mit den Anmeldeinformationen von Konto B in der [IAM-Konsole](https://console.aws.amazon.com/iam/) an. Löschen Sie den Benutzer. **AccountBadmin**
1. Melden Sie sich mit den Anmeldeinformationen von Konto C in der [IAM-Konsole](https://console.aws.amazon.com/iam/) an. Löschen Sie **AccountCadmin**und den Benutzer Dave.
## Zugehörige Ressourcen
Weitere Informationen zu dieser Anleitung finden Sie in den folgenden Ressourcen im *IAM-Benutzerhandbuch*:
+ [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)
+ [Tutorial: Zugriff AWS-Konten mithilfe von IAM-Rollen übergreifend delegieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial-cross-account-with-roles.html)
+ [Verwalten von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
# Verwenden von serviceverknüpften Rollen für Amazon S3 Storage Lens
Um Amazon S3 Storage Lens zum Sammeln und Aggregieren von Metriken für alle Ihre Konten in AWS Organizations-Organisationen zu verwenden, müssen Sie zunächst sicherstellen, dass S3-Storage-Lens über vertrauenswürdigen Zugriff verfügt, der durch das Verwaltungskonto in Ihrer Organisation aktiviert ist. S3 Storage Lens erstellt eine serviceverknüpfte Rolle (SLR), damit es die Liste der Mitglieder Ihrer Organisation AWS-Konten abrufen kann. Diese Liste von Konten wird von S3 Storage Lens verwendet, um Metriken für S3-Ressourcen in allen Mitgliedskonten zu sammeln, wenn das S3-Storage-Lens-Dashboard oder die Konfigurationen erstellt oder aktualisiert werden.
Amazon S3 Storage Lens verwendet AWS Identity and Access Management (IAM) [service-verknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). Eine serviceverknüpfte Rolle ist ein spezieller Typ von IAM-Rolle, die direkt mit S3 Storage Lens verknüpft ist. Servicebezogene Rollen sind von S3 Storage Lens vordefiniert und beinhalten alle Berechtigungen, die der Service benötigt, um andere AWS-Services in Ihrem Namen anzurufen.
Eine serviceverknüpfte Rolle vereinfacht das Einrichten von S3 Storage Lens, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. S3 Storage Lens definiert die Berechtigungen seiner serviceverknüpften Rollen. Sofern keine andere Konfiguration festgelegt wurde, kann nur S3 Storage Lens die Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können diese serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Dies schützt Ihre S3-Storage-Lens-Ressourcen, da Sie nicht versehentlich die Berechtigung für den Zugriff auf die Ressourcen entfernen können.
Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie nach den Services, für die **Yes** (Ja) in der Spalte **Service-Linked Role** (Serviceverknüpfte Rolle) angegeben ist. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
## Berechtigungen für serviceverknüpfte Rollen für Amazon S3 Storage Lens
S3 Storage Lens verwendet die serviceverknüpfte Rolle mit dem Namen **AWSServiceRoleForS3**. StorageLens Dadurch wird der Zugriff auf AWS Dienste und Ressourcen ermöglicht, die von S3 Storage Lens verwendet oder verwaltet werden. Dadurch kann S3 Storage Lens in Ihrem Namen auf AWS Organizations Ressourcen zugreifen.
Die serviceverknüpfte Rolle S3 Storage Lens vertraut dem folgenden Service auf dem Speicher Ihres Unternehmens:
+ `storage-lens.s3.amazonaws.com`
Die Rollenberechtigungsrichtlinie erlaubt S3 Storage Lens die Durchführung der folgenden Aktionen:
+ `organizations:DescribeOrganization`
`organizations:ListAccounts`
`organizations:ListAWSServiceAccessForOrganization`
`organizations:ListDelegatedAdministrators`
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Erstellen einer serviceverknüpften Rolle für S3 Storage Lens
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie eine der folgenden Aufgaben ausführen, während Sie beim AWS Organizations Management- oder Delegate-Administratorkonto angemeldet sind, erstellt S3 Storage Lens die dienstbezogene Rolle für Sie:
+ Erstellen Sie in der Amazon-S3-Konsole eine S3-Storage-Lens-Dashboard-Konfiguration für Ihr Unternehmen.
+ `PUT`eine S3 Storage Lens-Konfiguration für Ihre Organisation, die die REST-API verwendet, und AWS CLI . SDKs
**Anmerkung**
S3 Storage Lens wird maximal fünf delegierte Administratoren pro Unternehmen unterstützen.
Wenn Sie diese serviceverknüpfte Rolle löschen, werden sie von den vorherigen Aktionen bei Bedarf neu erstellt.
### Beispielrichtlinie für die serviceverknüpfte Rolle S3 Storage Lens
**Example Berechtigungsrichtlinie für die serviceverknüpfte Rolle S3 Storage Lens**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AwsOrgsAccess",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListDelegatedAdministrators"
],
"Resource": [
"*"
]
}
]
}
```
## Bearbeiten einer serviceverknüpften Rolle für Amazon S3 Storage Lens
S3 Storage Lens lässt die Bearbeitung der serviceverknüpften Rolle AWSServiceRoleForS3StorageLens nicht zu. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer serviceverknüpften Rolle für Amazon S3 Storage Lens
Wenn Sie die serviceverknüpfte Rolle nicht mehr verwenden müssen, empfehlen wir, die Rolle zu löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
**Anmerkung**
Wenn der Amazon-S3-Storage-Lens-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
Um das zu löschen, müssen AWSServiceRoleForS3StorageLens Sie alle S3 Storage Lens-Konfigurationen auf Organisationsebene löschen, die in allen vorhanden sind, AWS-Regionen indem Sie die AWS Organizations Verwaltungs- oder Delegate-Administratorkonten verwenden.
Die Ressourcen sind S3-Storage-Lens-Konfigurationen auf Organisationsebene. Verwenden Sie S3 Storage Lens, um die Ressourcen zu bereinigen, und verwenden Sie dann die [IAM-Konsole](https://console.aws.amazon.com/iam/), CLI, REST-API oder AWS SDK, um die Rolle zu löschen.
In der REST-API AWS CLI SDKs, und können S3 Storage Lens-Konfigurationen `ListStorageLensConfigurations` in allen Regionen ermittelt werden, in denen Ihre Organisation S3 Storage Lens-Konfigurationen erstellt hat. Verwenden Sie die Aktion `DeleteStorageLensConfiguration`, um diese Konfigurationen zu löschen, damit Sie die Rolle dann löschen können.
**Anmerkung**
Um die serviceverknüpfte Rolle zu löschen, müssen Sie alle S3-Storage-Lens-Konfigurationen auf Organisationsebene in allen Regionen löschen, in denen sie existieren.
**So löschen Sie Amazon-S3-Storage Lens-Ressourcen, die von einer AWSServiceRoleForS3StorageLens-SLR verwendet werden**
1. Um eine Liste Ihrer Konfigurationen auf Organisationsebene zu erhalten, müssen Sie die `ListStorageLensConfigurations` in jeder Region verwenden, in der Sie S3-Storage-Lens-Konfigurationen haben. Diese Liste kann auch von der Amazon-S3-Konsole bezogen werden.
1. Löschen Sie diese Konfigurationen von den entsprechenden regionalen Endpunkten, indem Sie den `DeleteStorageLensConfiguration`-API-Aufruf ausführen oder die Amazon-S3-Konsole verwenden.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Nachdem Sie die Konfigurationen gelöscht haben, löschen Sie die AWSServiceRoleForS3StorageLens Spiegelreflexkamera aus der [IAM-Konsole](https://console.aws.amazon.com/iam/), indem Sie die IAM-API aufrufen oder das `DeleteServiceLinkedRole` SDK oder verwenden. AWS CLI AWS Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Unterstützte Regionen für serviceverknüpfte Rollen mit S3 Storage Lens
S3 Storage Lens unterstützt die Verwendung von dienstbezogenen Rollen überall dort, AWS-Regionen wo der Service verfügbar ist. Weitere Informationen finden Sie unter [Amazon-S3-Regionen und Endpunkte](https://docs.aws.amazon.com/general/latest/gr/s3.html).
# Fehlerbehebung für Amazon-S3-Identität und -Zugriff
Diagnostizieren und beheben Sie mithilfe der folgenden Informationen gängige Probleme, die bei der Verwendung von Amazon S3 und IAM auftreten können.
**Topics**
+ [Ich habe den Fehler „Zugriff verweigert“ erhalten](#access_denied_403)
+ [Ich bin nicht autorisiert, eine Aktion in Amazon S3 auszuführen](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, iam auszuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Amazon S3 S3-Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)
+ [Beheben von „Zugriff verweigert“-Fehlern (403 Forbidden) in Amazon S3](troubleshoot-403-errors.md)
## Ich habe den Fehler „Zugriff verweigert“ erhalten
Stellen Sie sicher, dass weder in der Bucket-Richtlinie noch in der identitätsbasierten Richtlinie eine explizite `Deny`‑Anweisung gegen den Anforderer vorhanden ist, dem Sie Berechtigungen erteilen möchten.
Ausführliche Informationen zur Behebung von „Zugriff verweigert“-Fehlern finden Sie unter [Beheben von „Zugriff verweigert“-Fehlern (403 Forbidden) in Amazon S3](troubleshoot-403-errors.md).
## Ich bin nicht autorisiert, eine Aktion in Amazon S3 auszuführen
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht zur Durchführung einer Aktion berechtigt sind, müssen Ihre Richtlinien aktualisiert werden, damit Sie die Aktion durchführen können.
Der folgende Beispielfehler tritt auf, wenn der IAM-Benutzer `mateojackson` versucht, über die Konsole Details zu einer fiktiven `my-example-widget`-Ressource anzuzeigen, jedoch nicht über `s3:GetWidget`-Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: s3:GetWidget on resource: my-example-widget
```
In diesem Fall muss die Richtlinie für den Benutzer `mateojackson` aktualisiert werden, damit er mit der `s3:GetWidget`-Aktion auf die `my-example-widget`-Ressource zugreifen kann.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich bin nicht berechtigt, iam auszuführen: PassRole
Wenn Sie die Fehlermeldung erhalten, dass Sie nicht zur Ausführung der `iam:PassRole`-Aktion autorisiert sind, müssen Ihre Richtlinien aktualisiert werden, um eine Rolle an Amazon S3 übergeben zu können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in Amazon S3 auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Amazon S3 S3-Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen dazu, ob Amazon S3 diese Features unterstützt, finden Sie unter [Funktionsweise von Amazon S3 mit IAM](security_iam_service-with-iam.md).
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen in AWS-Konten Ihrem Besitz gewähren können, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs für einen IAM-Benutzer in einem anderen AWS-Konto , dem Sie](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) gehören.*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# Beheben von „Zugriff verweigert“-Fehlern (403 Forbidden) in Amazon S3
Fehler „Zugriff verweigert“ (HTTP`403 Forbidden`) treten auf, wenn eine Autorisierungsanfrage AWS explizit oder implizit verweigert wird.
+ Eine *ausdrückliche Ablehnung liegt* vor, wenn eine Richtlinie eine `Deny` Anweisung für die bestimmte Aktion enthält. AWS
+ Eine *implizite Verweigerung* tritt auf, wenn es keine entsprechende `Deny`-Anweisung, aber auch keine anwendbare `Allow`-Anweisung gibt.
Da eine AWS Identity and Access Management (IAM-) Richtlinie standardmäßig implizit einen IAM-Prinzipal verweigert, muss die Richtlinie dem Prinzipal ausdrücklich erlauben, eine Aktion auszuführen. Andernfalls verweigert die Richtlinie implizit den Zugriff. Weitere Informationen finden Sie unter [Der Unterschied zwischen expliziten und impliziten Verweigerungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html#AccessPolicyLanguage_Interplay) im *IAM-Benutzerhandbuch*. Weitere Informationen zur Richtlinienevaluierungslogik, die bestimmt, ob eine Zugriffsanforderung erlaubt oder verweigert wird, finden Sie unter [Richtlinienevaluierungslogik](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu den Berechtigungen für S3-API-Operationen nach S3-Ressourcentypen finden Sie unter [Erforderliche Berechtigungen für Amazon-S3-API-Operationen](using-with-s3-policy-actions.md).
Die folgenden Themen behandeln die häufigsten Ursachen von „Zugriff verweigert“-Fehlern in Amazon S3.
**Anmerkung**
Bei Fehlern mit Zugriffsverweigerung (HTTP`403 Forbidden`) berechnet Amazon S3 dem Bucket-Besitzer keine Gebühren, wenn die Anfrage außerhalb des individuellen AWS Kontos des Bucket-Besitzers oder der AWS Organisation des Bucket-Besitzers initiiert wird.
**Topics**
+ [Beispiele für „Zugriff verweigert“-Meldungen und deren Behebung](#access-denied-message-examples)
+ [Zugriff verweigert aufgrund von „Zahlung durch den Anforderer“-Einstellungen](#access-denied-requester-pays)
+ [Bucket-Richtlinien und IAM-Richtlinien](#bucket-iam-policies)
+ [Amazon-S3-ACL-Einstellungen](#troubleshoot-403-acl-settings)
+ [S3-Block-Public-Access-Einstellungen](#troubleshoot-403-bpa)
+ [Amazon-S3-Verschlüsselungseinstellungen](#troubleshoot-403-encryption)
+ [S3-Einstellungen für die Objektsperre](#troubleshoot-403-object-lock)
+ [VPC-Endpunktrichtlinien](#troubleshoot-403-vpc)
+ [AWS Organizations Richtlinien](#troubleshoot-403-orgs)
+ [CloudFront Zugriff auf Vertrieb](#troubleshoot-403-cloudfront)
+ [Zugriffspunkteinstellungen](#troubleshoot-403-access-points)
+ [Weitere Ressourcen](#troubleshoot-403-additional-resources)
**Anmerkung**
Wenn Sie versuchen, ein Problem mit Berechtigungen zu beheben, beginnen Sie mit dem Abschnitt [Beispiele für „Zugriff verweigert“-Meldungen und deren Behebung](#access-denied-message-examples) und gehen Sie dann zum entsprechenden Abschnitt [Bucket-Richtlinien und IAM-Richtlinien](#bucket-iam-policies). Beachten Sie außerdem die Anweisungen unter [Tipps zum Überprüfen von Berechtigungen](#troubleshoot-403-tips).
## Beispiele für „Zugriff verweigert“-Meldungen und deren Behebung
Amazon S3 enthält jetzt zusätzliche HTTP-Fehler (Context in Access Denied`403 Forbidden`) für Anfragen an Ressourcen innerhalb derselben AWS-Konto oder derselben Organisation in AWS Organizations. Dieser neue Kontext umfasst die Art der Richtlinie, die den Zugriff verweigert hat, den Grund für die Ablehnung und Informationen über den IAM-Benutzer oder die IAM-Rolle, die den Zugriff auf die Ressource angefordert hat.
Dieser zusätzliche Kontext hilft Ihnen bei der Behebung von Zugriffsproblemen, der Identifizierung der Hauptursache von „Zugriff verweigert“-Fehlern und bei der Behebung falscher Zugriffssteuerungen, indem Sie die entsprechenden Richtlinien aktualisieren. Dieser zusätzliche Kontext ist auch in AWS CloudTrail Protokollen verfügbar. Verbesserte Fehlermeldungen zur Zugriffsverweigerung für Anfragen mit demselben Konto oder derselben Organisation sind jetzt in allen Regionen verfügbar AWS-Regionen, auch in den Regionen China AWS GovCloud (US) Regions und China.
Die meisten Zugriffsverweigerungs-Fehlermeldungen haben das Format `User user-arn is not authorized to perform action on "resource-arn" because context`. In diesem Beispiel ist *`user-arn`* der [Amazon-Ressourcenname (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns) des Benutzers, der keinen Zugriff erhält, *`action`* ist die Dienstaktion, die die Richtlinie verweigert, und *`resource-arn`* ist der ARN der Ressource, auf die die Richtlinie wirkt. Das *`context`*-Feld stellt zusätzlichen Kontext über den Richtlinientyp dar, der erklärt, warum die Richtlinie den Zugriff verweigert.
Wenn eine Richtlinie den Zugriff ausdrücklich verweigert, weil sie eine `Deny`-Anweisung enthält, enthält die Fehlermeldung „Zugriff verweigert“ den Ausdruck `with an explicit deny in a type policy`. Wenn die Richtlinie den Zugriff implizit verweigert, enthält die Fehlermeldung „Zugriff verweigert“ den Ausdruck `because no type policy allows the action action`.
**Wichtig**
Erweiterte Zugriffsverweigerungsmeldungen werden nur für Anfragen desselben Kontos oder für Anfragen innerhalb derselben Organisation in AWS Organizations zurückgegeben. Bei kontoübergreifenden Anfragen außerhalb derselben Organisation wird eine allgemeine Meldung `Access Denied` zurückgegeben.
Informationen zur Richtlinienevaluierungslogik, die bestimmt, ob eine kontoübergreifende Zugriffsanforderung erlaubt oder verweigert wird, finden Sie unter [Kontoübergreifende Richtlinienevaluierungslogik](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_evaluation-logic-cross-account.html) im *IAM-Benutzerhandbuch*. Eine Schritt-für-Schritt-Anleitung für die Gewährung von kontoübergreifendem Zugriff finden Sie unter [Beispiel 2: Bucket-Eigentümer erteilt kontoübergreifende Bucket-Berechtigungen](example-walkthroughs-managing-access-example2.md).
Für Anfragen innerhalb der gleichen Organisation in AWS Organizations:
Erweiterte Zugriffsverweigerungsmeldungen werden nicht zurückgegeben, wenn eine Verweigerung aufgrund einer Virtual Private Cloud (VPC)-Endpunktrichtlinie erfolgt.
Erweiterte Zugriffsverweigerungsmeldungen werden immer dann bereitgestellt, wenn sowohl der Bucket-Eigentümer als auch das Anruferkonto zur selben Organisation in AWS Organizations gehören. Obwohl Buckets, die mit den S3 Object Ownership-Einstellungen **Bucket owner preferred** oder **Object writer** konfiguriert sind, Objekte enthalten können, die verschiedenen Konten gehören, hat die Objekteigentümerschaft keinen Einfluss auf erweiterte Zugriffsverweigerungsmeldungen. Erweiterte Zugriffsverweigerungsmeldungen werden für alle Objektanfragen zurückgegeben, solange der Bucket-Eigentümer und der Aufrufer derselben Organisation angehören, unabhängig davon, wer Eigentümer des spezifischen Objekts ist. Informationen zu den Einstellungen und Konfigurationen des Objektbesitzes finden Sie unter [Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket](about-object-ownership.md).
Erweiterte Fehlermeldungen bei „Zugriff verweigert“ werden für Anforderungen an Verzeichnis-Buckets nicht zurückgegeben. Verzeichnis-Bucket-Anforderungen geben eine generische `Access Denied`-Meldung zurück.
Wenn mehrere Richtlinien desselben Richtlinientyps eine Autorisierungsanforderung verweigern, gibt die Fehlermeldung „Zugriff verweigert“ die Anzahl der Richtlinien nicht an.
Wenn mehrere Richtlinientypen eine Autorisierungsanforderung verweigern, enthält die Fehlermeldung nur einen dieser Richtlinientypen.
Wenn eine Zugriffsanfrage aus mehreren Gründen verweigert wird, enthält die Fehlermeldung nur einen der Gründe für die Ablehnung.
Die folgenden Beispiele zeigen das Format für verschiedene Arten von „Zugriff verweigert“-Fehlermeldungen und wie Sie jede Art von Meldung beheben können.
### Der Zugriff wurde aufgrund des blockierten Verschlüsselungstyps verweigert
Um die serverseitigen Verschlüsselungstypen einzuschränken, die Sie in Ihren Allzweck-Buckets verwenden können, können Sie SSE-C-Schreibanforderungen blockieren, indem Sie Ihre Standardverschlüsselungskonfiguration für Ihre Buckets aktualisieren. Diese Konfiguration auf Bucket-Ebene blockiert Anfragen zum Hochladen von Objekten, die SSE-C spezifizieren. Wenn SSE-C für einen Bucket blockiert ist, werden alle`PutObject`,, oder Multipart Upload- oder Replikationsanfragen `CopyObject``PostObject`, die die SSE-C-Verschlüsselung spezifizieren, mit einem HTTP 403-Fehler zurückgewiesen. `AccessDenied`
Diese Einstellung ist ein Parameter in der `PutBucketEncryption` API und kann auch mit der S3-Konsole, der AWS CLI und AWS SDKs, sofern Sie die `s3:PutEncryptionConfiguration` entsprechende Berechtigung haben, aktualisiert werden. Gültige Werte sind`SSE-C`, was die SSE-C-Verschlüsselung für den Allzweck-Bucket blockiert, und`NONE`, was die Verwendung von SSE-C für Schreibvorgänge in den Bucket ermöglicht.
Wenn beispielsweise der Zugriff auf eine `PutObject` Anfrage verweigert wird, weil die `BlockedEncryptionTypes` Einstellung Schreibanforderungen blockiert, die SSE-C spezifizieren, erhalten Sie die folgende Meldung:
```
An error occurred (AccessDenied) when calling the PutObject operation:
User: arn:aws:iam::123456789012:user/MaryMajor is not
authorized to perform: s3:PutObject on resource:
"arn:aws:s3:::amzn-s3-demo-bucket1/object-name" because this
bucket has blocked upload requests that specify
Server Side Encryption with Customer provided keys (SSE-C).
Please specify a different server-side encryption type
```
Weitere Informationen zu dieser Einstellung finden Sie unter [Sperren oder Entsperren von SSE-C für einen Allzweck-Bucket](blocking-unblocking-s3-c-encryption-gpb.md).
### Zugriff aufgrund einer Ressourcenkontrollrichtlinie verweigert – explizite Verweigerung
1. Suchen Sie in Ihren Ressourcenkontrollrichtlinien nach einer `Deny` Erklärung für die Aktion ()RCPs. Für das folgende Beispiel lautet die Aktion `s3:GetObject`.
1. Aktualisieren Sie Ihre RCP, indem Sie die `Deny`-Anweisung entfernen. Weitere Informationen finden Sie unter [Aktualisieren einer Ressourcenkontrollrichtlinie (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_update.html#update_policy-rcp) im *AWS Organizations -Benutzerhandbuch*.
```
An error occurred (AccessDenied) when calling the GetObject operation:
User: arn:aws:iam::777788889999:user/MaryMajor is not authorized to perform:
s3:GetObject on resource: "arn:aws:s3:::amzn-s3-demo-bucket1/object-name"
with an explicit deny in a resource control policy
```
### Zugriffsverweigerung aufgrund einer Service-Kontrollrichtlinie – implizite Verweigerung
1. Suchen Sie in Ihren Richtlinien zur Servicesteuerung nach einer fehlenden `Allow` Erklärung für die Aktion (SCPs). Für das folgende Beispiel lautet die Aktion `s3:GetObject`.
1. Aktualisieren Sie Ihre SCP, indem Sie die `Allow`-Anweisung hinzufügen. Weitere Informationen finden Sie unter [-Over-the-Air-Updates](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html#update_policy) im *AWS Organizations -Leitfaden*.
```
User: arn:aws:iam::777788889999:user/MaryMajor is not authorized to perform:
s3:GetObject because no service control policy allows the s3:GetObject action
```
### Zugriffsverweigerung aufgrund einer Service-Kontrollrichtlinie – explizite Verweigerung
1. Suchen Sie in Ihren Servicesteuerungsrichtlinien (SCPs) nach einer `Deny` Erklärung für die Aktion. Für das folgende Beispiel lautet die Aktion `s3:GetObject`.
1. Aktualisieren Sie Ihre SCP, indem Sie die `Deny`-Anweisung ändern, um dem Benutzer den erforderlichen Zugriff zu gewähren. Ein Beispiel dafür, wie Sie dies tun können, finden Sie unter [Verhindern, dass IAM-Benutzer und -Rollen bestimmte Änderungen vornehmen, mit Ausnahme für eine angegebene Administratorrolle](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-restricts-with-exception) im *AWS Organizations -Benutzerhandbuch*. Weitere Informationen zum Aktualisieren Ihrer SCP finden Sie unter [Aktualisieren einer SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html#update_policy) im *AWS Organizations -Benutzerhandbuch*.
```
User: arn:aws:iam::777788889999:user/MaryMajor is not authorized to perform:
s3:GetObject with an explicit deny in a service control policy
```
### Zugriff aufgrund einer VPC-Endpunktrichtlinie verweigert – implizite Ablehnung
1. Überprüfen Sie in Ihren Virtual Private Cloud (VPC)-Endpunktrichtlinien, ob eine `Allow`-Anweisung für die Aktion fehlt. Für das folgende Beispiel lautet die Aktion `s3:GetObject`.
1. Aktualisieren Sie Ihre VPC-Endpunktrichtlinie, indem Sie die `Allow`-Anweisung hinzufügen. Weitere Informationen finden Sie unter [Aktualisieren einer VPC-Endpunktrichtlinie](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#update-vpc-endpoint-policy) im *AWS PrivateLink -Handbuch*.
```
User: arn:aws:iam::123456789012:user/MaryMajor is not authorized to perform:
s3:GetObject because no VPC endpoint policy allows the s3:GetObject action
```
### Zugriff aufgrund einer VPC-Endpunktrichtlinie verweigert – explizite Ablehnung
1. Überprüfen Sie, ob in Ihren Virtual Private Cloud (VPC)-Endpunktrichtlinien eine explizite `Deny`-Anweisung für die Aktion vorhanden ist. Für das folgende Beispiel lautet die Aktion `s3:GetObject`.
1. Aktualisieren Sie Ihre VPC-Endpunktrichtlinie, indem Sie die `Deny`-Anweisung ändern, um dem Benutzer den erforderlichen Zugriff zu gewähren. Sie können Ihre `Deny`-Anweisung beispielsweise so aktualisieren, dass der `aws:PrincipalAccount`-Bedingungsschlüssel zusammen mit dem `StringNotEquals`-Bedingungsoperator verwendet wird, um dem jeweiligen Hauptbenutzer Zugriff zu gewähren, wie unter [Beispiel 7: Ausschließen bestimmter Prinzipale aus einer `Deny`-Anweisung](amazon-s3-policy-keys.md#example-exclude-principal-from-deny-statement) gezeigt. Weitere Informationen zur Aktualisierung Ihrer VPC-Endpunktrichtlinie finden Sie unter [Aktualisieren einer VPC-Endpunktrichtlinie](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#update-vpc-endpoint-policy) im *AWS PrivateLink -Handbuch*.
```
User: arn:aws:iam::123456789012:user/MaryMajor is not authorized to perform:
s3:GetObject on resource: "arn:aws:s3:::amzn-s3-demo-bucket1/object-name" with
an explicit deny in a VPC endpoint policy
```
### Zugriff aufgrund einer Berechtigungsgrenze verweigert – implizite Ablehnung
1. Überprüfen Sie, ob in Ihrer Berechtigungsgrenze eine `Allow`-Anweisung für die Aktion fehlt. Für das folgende Beispiel lautet die Aktion `s3:GetObject`.
1. Aktualisieren Sie Ihre Berechtigungsgrenze, indem Sie die `Allow`-Anweisung zu Ihrer IAM-Richtlinie hinzufügen. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) und [Bearbeiten von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) im *IAM-Benutzerhandbuch*.
```
User: arn:aws:iam::123456789012:user/MaryMajor is not authorized to perform:
s3:GetObject on resource: "arn:aws:s3:::amzn-s3-demo-bucket1/object-name"
because no permissions boundary allows the s3:GetObject action
```
### Zugriff aufgrund einer Berechtigungsgrenze verweigert – explizite Ablehnung
1. Überprüfen Sie, ob in Ihren Berechtigungsgrenzen eine explizite `Deny`-Anweisung für die Aktion vorhanden ist. Für das folgende Beispiel lautet die Aktion `s3:GetObject`.
1. Aktualisieren Sie Ihre Berechtigungsgrenze, indem Sie die `Deny`-Anweisung in Ihrer IAM-Richtlinie ändern, um dem Benutzer den erforderlichen Zugriff zu gewähren. Sie können Ihre `Deny`-Anweisung beispielsweise so aktualisieren, dass der `aws:PrincipalAccount`-Bedingungsschlüssel zusammen mit dem `StringNotEquals`-Bedingungsoperator verwendet wird, um dem jeweiligen Hauptbenutzer Zugriff zu gewähren, wie unter [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalaccount) im *IAM-Benutzerhandbuch* gezeigt. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) und [Bearbeiten von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) im *IAM-Benutzerhandbuch*.
```
User: arn:aws:iam::777788889999:user/MaryMajor is not authorized to perform:
s3:GetObject with an explicit deny in a permissions boundary
```
### Zugriff aufgrund von Sitzungsrichtlinien verweigert – implizite Ablehnung
1. Überprüfen Sie, ob in Ihren Sitzungsrichtlinien eine `Allow`-Anweisung für die Aktion fehlt. Für das folgende Beispiel lautet die Aktion `s3:GetObject`.
1. Aktualisieren Sie Ihre Sitzungsrichtlinie, indem Sie die `Allow`-Anweisung hinzufügen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) und [Bearbeiten von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) im *IAM-Benutzerhandbuch*.
```
User: arn:aws:iam::123456789012:user/MaryMajor is not authorized to perform:
s3:GetObject because no session policy allows the s3:GetObject action
```
### Zugriff aufgrund von Sitzungsrichtlinien verweigert – explizite Ablehnung
1. Überprüfen Sie, ob in Ihren Sitzungsrichtlinien eine explizite `Deny`-Anweisung für die Aktion vorhanden ist. Für das folgende Beispiel lautet die Aktion `s3:GetObject`.
1. Aktualisieren Sie Ihre Sitzungsrichtlinie, indem Sie die `Deny`-Anweisung ändern, um dem Benutzer den erforderlichen Zugriff zu gewähren. Sie können Ihre `Deny`-Anweisung beispielsweise so aktualisieren, dass der `aws:PrincipalAccount`-Bedingungsschlüssel zusammen mit dem `StringNotEquals`-Bedingungsoperator verwendet wird, um dem jeweiligen Hauptbenutzer Zugriff zu gewähren, wie unter [Beispiel 7: Ausschließen bestimmter Prinzipale aus einer `Deny`-Anweisung](amazon-s3-policy-keys.md#example-exclude-principal-from-deny-statement) gezeigt. Weitere Informationen zur Aktualisierung Ihrer Sitzungsrichtlinie finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) und [Bearbeiten von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) im *IAM-Benutzerhandbuch*.
```
User: arn:aws:iam::123456789012:user/MaryMajor is not authorized to perform:
s3:GetObject on resource: "arn:aws:s3:::amzn-s3-demo-bucket1/object-name" with
an explicit deny in a session policy
```
### Zugriff aufgrund ressourcenbasierter Richtlinien verweigert – implizite Ablehnung
**Anmerkung**
Unter *ressourcenbasierten Richtlinien* sind Richtlinien wie Bucket-Richtlinien und Zugangspunkt-Richtlinien zu verstehen.
1. Überprüfen Sie, ob in Ihrer ressourcenbasierten Richtlinie eine `Allow`-Anweisung für die Aktion fehlt. Prüfen Sie auch, ob die Einstellung „`IgnorePublicAcls` S3 Block Public Access“ auf Bucket-, Zugangspunkt- oder Kontoebene angewendet wird. Für das folgende Beispiel lautet die Aktion `s3:GetObject`.
1. Aktualisieren Sie Ihre Richtlinie, indem Sie die `Allow`-Anweisung hinzufügen. Weitere Informationen finden Sie unter [Ressourcenbasierte Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based) und [Bearbeiten von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) im *IAM-Benutzerhandbuch*.
Möglicherweise müssen Sie auch Ihre Einstellung `IgnorePublicAcls` zum Blockieren des öffentlichen Zugriffs für den Bucket, Zugangspunkt oder das Konto anpassen. Weitere Informationen erhalten Sie unter [Zugriffsverweigerung aufgrund von Einstellungen für „Öffentlichen Zugriff blockieren“](#access-denied-bpa-examples) und [Konfigurieren von Block-Public-Access-Einstellungen für Ihre S3-Buckets](configuring-block-public-access-bucket.md).
```
User: arn:aws:iam::123456789012:user/MaryMajor is not authorized to perform:
s3:GetObject because no resource-based policy allows the s3:GetObject action
```
### Zugriff aufgrund ressourcenbasierter Richtlinien verweigert – explizite Ablehnung
**Anmerkung**
Unter *ressourcenbasierten Richtlinien* sind Richtlinien wie Bucket-Richtlinien und Zugangspunkt-Richtlinien zu verstehen.
1. Suchen Sie nach einer expliziten `Deny`-Anweisung für die Aktion in Ihrer ressourcenbasierten Richtlinie. Prüfen Sie auch, ob die Einstellung „`RestrictPublicBuckets` S3 Block Public Access“ auf Bucket-, Zugangspunkt- oder Kontoebene angewendet wird. Für das folgende Beispiel lautet die Aktion `s3:GetObject`.
1. Aktualisieren Sie Ihre Richtlinie, indem Sie die `Deny`-Anweisung ändern, um dem Benutzer den erforderlichen Zugriff zu gewähren. Sie können Ihre `Deny`-Anweisung beispielsweise so aktualisieren, dass der `aws:PrincipalAccount`-Bedingungsschlüssel zusammen mit dem `StringNotEquals`-Bedingungsoperator verwendet wird, um dem jeweiligen Hauptbenutzer Zugriff zu gewähren, wie unter [Beispiel 7: Ausschließen bestimmter Prinzipale aus einer `Deny`-Anweisung](amazon-s3-policy-keys.md#example-exclude-principal-from-deny-statement) gezeigt. Weitere Informationen zur Aktualisierung Ihrer ressourcenbasierten Richtlinie finden Sie unter [Ressourcenbasierte Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based) und [Bearbeiten von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) im *IAM-Benutzerhandbuch*.
Möglicherweise müssen Sie auch Ihre Einstellung `RestrictPublicBuckets` zum Blockieren des öffentlichen Zugriffs für den Bucket, Zugangspunkt oder das Konto anpassen. Weitere Informationen erhalten Sie unter [Zugriffsverweigerung aufgrund von Einstellungen für „Öffentlichen Zugriff blockieren“](#access-denied-bpa-examples) und [Konfigurieren von Block-Public-Access-Einstellungen für Ihre S3-Buckets](configuring-block-public-access-bucket.md).
```
User: arn:aws:iam::123456789012:user/MaryMajor is not authorized to perform:
s3:GetObject on resource: "arn:aws:s3:::amzn-s3-demo-bucket1/object-name" with
an explicit deny in a resource-based policy
```
### Zugriff aufgrund identitätsbasierter Richtlinien verweigert – implizite Verweigerung
1. Überprüfen Sie ob in identitätsbasierten Richtlinien, die der Identität angefügt sind, eine `Allow`-Anweisung für die Aktion fehlt. Im folgenden Beispiel ist die Aktion `s3:GetObject` dem Benutzer `MaryMajor` zugeordnet.
1. Aktualisieren Sie Ihre Richtlinie, indem Sie die `Allow`-Anweisung hinzufügen. Weitere Informationen finden Sie unter [Identitätsbasierte Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_id-based) und [Bearbeiten von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) im *IAM-Benutzerhandbuch*.
```
User: arn:aws:iam::123456789012:user/MaryMajor is not authorized to perform:
s3:GetObject because no identity-based policy allows the s3:GetObject action
```
### Zugriff aufgrund identitätsbasierter Richtlinien verweigert – explizite Ablehnung
1. Überprüfen Sie, ob in identitätsbasierten Richtlinien, die der Identität angefügt sind, eine explizite `Deny`-Anweisung für die Aktion vorhanden ist. Im folgenden Beispiel ist die Aktion `s3:GetObject` dem Benutzer `MaryMajor` zugeordnet.
1. Aktualisieren Sie Ihre Richtlinie, indem Sie die `Deny`-Anweisung ändern, um dem Benutzer den erforderlichen Zugriff zu gewähren. Sie können Ihre `Deny`-Anweisung beispielsweise so aktualisieren, dass der `aws:PrincipalAccount`-Bedingungsschlüssel zusammen mit dem `StringNotEquals`-Bedingungsoperator verwendet wird, um dem jeweiligen Hauptbenutzer Zugriff zu gewähren, wie unter [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalaccount) im *IAM-Benutzerhandbuch* gezeigt. Weitere Informationen finden Sie unter [Identitätsbasierte Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_id-based) und [Bearbeiten von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) im *IAM-Benutzerhandbuch*.
```
User: arn:aws:iam::123456789012:user/MaryMajor is not authorized to perform:
s3:GetObject on resource: "arn:aws:s3:::amzn-s3-demo-bucket1/object-name" with
an explicit deny in an identity-based policy
```
### Zugriffsverweigerung aufgrund von Einstellungen für „Öffentlichen Zugriff blockieren“
Die Amazon S3 Block Public Access-Funktion bietet Einstellungen für Zugriffspunkte, Buckets und Konten, mit denen Sie den öffentlichen Zugriff auf Amazon-S3-Ressourcen verwalten können. Weitere Informationen dazu, wie „öffentlich“ in Amazon S3 definiert ist, finden Sie unter [Die Bedeutung von „öffentlich“](access-control-block-public-access.md#access-control-block-public-access-policy-status).
Standardmäßig erlauben neue Buckets, Zugriffspunkte und Objekte keinen öffentlichen Zugriff. Benutzer können jedoch Bucket-Richtlinien, Zugriffspunktrichtlinien, IAM-Benutzerrichtlinien, Objektberechtigungen oder Zugriffskontrolllisten (ACLs) ändern, um den öffentlichen Zugriff zu ermöglichen. Die Einstellungen von S3 Block Public Access haben Vorrang vor diesen Richtlinien, Berechtigungen und ACLs. Seit April 2023 sind alle Einstellungen für Block Public Access für neue Buckets standardmäßig aktiviert.
Wenn Amazon S3 eine Anforderung zum Zugriff auf einen Bucket oder ein Objekt erhält, wird ermittelt, ob für den Bucket oder das Konto des Bucket-Eigentümers eine Block Public Access-Einstellung vorliegt. Wenn die Anforderung über einen Zugriffspunkt einging, prüft Amazon S3 auch auf Block Public Access-Einstellungen für den Zugriffspunkt. Wenn eine Block Public Access-Einstellung vorhanden ist, die den angeforderten Zugriff verbietet, lehnt Amazon S3 die Anforderung ab.
Amazon S3 Block Public Access bietet vier Einstellungen. Diese Einstellungen sind voneinander unabhängig und können in beliebiger Kombination verwendet werden. Jede Einstellung kann auf einen Access Point, einen Bucket oder ein ganzes AWS Konto angewendet werden. Wenn sich die Block Public Access-Einstellungen für den Zugriffspunkt, den Bucket oder das Konto unterscheiden, wendet Amazon S3 die restriktivste Kombination der Zugriffspunkt-, Bucket- und Kontoeinstellungen an.
Wenn Amazon S3 ermittelt, ob eine Operation von einer Block Public Access-Einstellung untersagt wird, werden alle Anforderungen abgelehnt, die gegen eine Zugriffspunkt-, Bucket- oder Konto-Einstellung verstoßen.
Die vier von Amazon S3 Block Public Access bereitgestellten Einstellungen lauten wie folgt:
+ `BlockPublicAcls` – Diese Einstellung gilt für die Anforderungen `PutBucketAcl`, `PutObjectAcl`, `PutObject`, `CreateBucket`, `CopyObject` und `POST Object`. Die `BlockPublicAcls`-Einstellung hat folgende Verhaltensweise zur Folge:
+ `PutBucketAcl`- und `PutObjectAcl`-Aufrufe schlagen fehl, wenn die angegebene Zugriffssteuerungsliste (ACL) öffentlich ist.
+ `PutObject`-Aufrufe schlagen fehl, wenn die Anforderung eine öffentliche ACL enthält.
+ Wenn diese Einstellung auf ein Konto angewendet wird, schlagen `CreateBucket`-Aufrufe mit einer HTTP-`400`-Antwort (`Bad Request`) fehl, wenn die Anfrage eine öffentliche ACL enthält.
Wenn beispielsweise der Zugriff auf eine `CopyObject`-Anforderung aufgrund der `BlockPublicAcls`-Einstellung verweigert wird, erhalten Sie die folgende Meldung:
```
An error occurred (AccessDenied) when calling the CopyObject operation:
User: arn:aws:sts::123456789012:user/MaryMajor is not authorized to
perform: s3:CopyObject on resource: "arn:aws:s3:::amzn-s3-demo-bucket1/object-name"
because public ACLs are prevented by the BlockPublicAcls setting in S3 Block Public Access.
```
+ `IgnorePublicAcls`— Die `IgnorePublicAcls` Einstellung veranlasst Amazon S3, alle öffentlichen ACLs Informationen in einem Bucket und alle darin enthaltenen Objekte zu ignorieren. Wenn die Berechtigung Ihrer Anforderung nur von einer öffentlichen ACL erteilt wird, weist die `IgnorePublicAcls`-Einstellung die Anforderung zurück.
Jede Ablehnung, die sich aus der `IgnorePublicAcls`-Einstellung ergibt, ist implizit. Wenn beispielsweise `IgnorePublicAcls` eine `GetObject`-Anforderung aufgrund einer öffentlichen ACL ablehnt, erhalten Sie die folgende Meldung:
```
User: arn:aws:iam::123456789012:user/MaryMajor is not authorized to perform:
s3:GetObject because no resource-based policy allows the s3:GetObject action
```
+ `BlockPublicPolicy` – Diese Einstellung gilt für `PutBucketPolicy`- und `PutAccessPointPolicy`-Anforderungen.
Das Festlegen von `BlockPublicPolicy` für einen Bucket führt dazu, dass Amazon S3 Aufrufe von `PutBucketPolicy` ablehnt, wenn die angegebene Bucket-Richtlinie öffentlichen Zugriff erlaubt. Diese Einstellung führt auch dazu, dass Amazon S3 Aufrufe der `PutAccessPointPolicy` für alle Zugangspunkte desselben Kontos des Buckets ablehnt, wenn die angegebene Richtlinie öffentlichen Zugriff erlaubt.
Das Festlegen von `BlockPublicPolicy` für einen Zugangspunkt führt dazu, dass Amazon S3 Aufrufe von `PutAccessPointPolicy` und `PutBucketPolicy`, die über den Zugangspunkt erfolgen, ablehnt, wenn die angegebene Richtlinie (für den Zugangspunkt oder den zugrunde liegenden Bucket) öffentlichen Zugriff erlaubt.
Wenn beispielsweise der Zugriff auf eine `PutBucketPolicy`-Anforderung aufgrund der `BlockPublicPolicy`-Einstellung verweigert wird, erhalten Sie die folgende Meldung:
```
An error occurred (AccessDenied) when calling the PutBucketPolicy operation:
User: arn:aws:sts::123456789012:user/MaryMajor is not authorized to
perform: s3:PutBucketPolicy on resource: "arn:aws:s3:::amzn-s3-demo-bucket1/object-name"
because public policies are prevented by the BlockPublicPolicy setting in S3 Block Public Access.
```
+ `RestrictPublicBuckets`— Die `RestrictPublicBuckets` Einstellung beschränkt den Zugriff auf einen Access Point oder Bucket mit einer öffentlichen Richtlinie nur auf AWS-Service Prinzipale und autorisierte Benutzer innerhalb des Kontos des Bucket-Besitzers und des Kontos des Access Point-Besitzers. Diese Einstellung blockiert den gesamten kontoübergreifenden Zugriff auf den Access Point oder Bucket (außer durch AWS-Service Principals), ermöglicht aber dennoch Benutzern innerhalb des Kontos, den Access Point oder Bucket zu verwalten. Diese Einstellung weist auch alle anonymen (oder unsignierten) Aufrufe zurück.
Jede Ablehnung, die sich aus der `RestrictPublicBuckets`-Einstellung ergibt, ist explizit. Wenn `RestrictPublicBuckets` beispielsweise eine `GetObject`-Anforderung aufgrund einer öffentlichen Bucket- oder Zugangspunktrichtlinie verweigert, erhalten Sie die folgende Meldung:
```
User: arn:aws:iam::123456789012:user/MaryMajor is not authorized to perform:
s3:GetObject on resource: "arn:aws:s3:::amzn-s3-demo-bucket1/object-name" with
an explicit deny in a resource-based policy
```
Weitere Informationen zu diesen Einstellungen finden Sie unter [Block Public Access-Einstellungen](access-control-block-public-access.md#access-control-block-public-access-options). Informationen zum Überprüfen und Aktualisieren dieser Einstellungen finden Sie unter [Verwenden von Block Public Access](access-control-block-public-access.md#configuring-block-public-access).
## Zugriff verweigert aufgrund von „Zahlung durch den Anforderer“-Einstellungen
Wenn für den Amazon S3-Bucket, auf den Sie zugreifen möchten, die Funktion „Zahlung durch den Anforderer“ aktiviert ist, müssen Sie sicherstellen, dass Sie bei Anfragen an diesen Bucket die richtigen Anforderungsparameter übergeben. Das Feature „Zahlung durch den Anforderer“ in Amazon S3 ermöglicht es dem Anforderer, anstelle des Bucket-Eigentümers die Datenübertragungs- und Anfragekosten für den Zugriff auf Objekte im Bucket zu bezahlen. Wenn Requester Pays für einen Bucket aktiviert ist, werden dem Bucket-Besitzer keine Gebühren für Anfragen von anderen Konten berechnet. AWS
Wenn Sie eine Anfrage an einen Bucket stellen, der für „Zahlung durch den Anforderer“ aktiviert ist, ohne die erforderlichen Parameter zu übergeben, erhalten Sie die Fehlermeldung „Zugriff verweigert (403 Verboten)“. Um auf Objekte in einem Bucket zuzugreifen, in dem Zahlungen für Antragsteller aktiviert sind, müssen Sie Folgendes tun:
1. Wenn Sie Anfragen über die AWS CLI stellen, müssen Sie den `--request-payer requester` Parameter angeben. Um beispielsweise ein Objekt mit dem Schlüssel `object.txt` aus dem S3 Bucket `s3://amzn-s3-demo-bucket/` an einen Speicherort auf Ihrem lokalen Rechner zu kopieren, müssen Sie auch den Parameter `--request-payer requester` übergeben, wenn in diesem Bucket die Option „Zahlung durch den Anforderer“ aktiviert ist.
```
aws s3 cp s3://amzn-s3-demo-bucket/object.txt /local/path \
--request-payer requester
```
1. Wenn Sie programmatische Anfragen mit einem AWS SDK stellen, setzen Sie den `x-amz-request-payer` Header auf den Wert`requester`. Ein Beispiel finden Sie unter [Herunterladen von Objekten aus Buckets mit Zahlung durch den Anforderer](ObjectsinRequesterPaysBuckets.md).
1. Vergewissern Sie sich, dass der IAM-Benutzer oder die IAM-Rolle, der/die die Anfrage stellt, über die erforderlichen Berechtigungen für den Zugriff auf den Bucket „Zahlung durch den Anforderer“ verfügt, z. B. die Berechtigungen `s3:GetObject` und `s3:ListBucket`.
Durch Einfügen des Parameters `--request-payer requester` oder Setzen des Headers `x-amz-request-payer` teilen Sie Amazon S3 mit, dass Sie als Anforderer, die mit dem Zugriff auf die Objekte in einem für Zahlung durch den Anforderer aktivierten Bucket verbundenen Kosten übernehmen. Dadurch wird der Fehler Zugriff verweigert (403 Verboten) vermieden.
## Bucket-Richtlinien und IAM-Richtlinien
### Vorgänge auf Bucket-Ebene
Wenn keine Bucket-Richtlinie vorhanden ist, lässt der Bucket implizit Anfragen von beliebigen AWS Identity and Access Management (IAM-) Identitäten im Konto des Bucket-Besitzers zu. Ebenso lehnt der Bucket implizit Anforderungen von anderen IAM-Identitäten von anderen Konten sowie anonyme (unsignierte) Anforderungen ab. Wenn jedoch keine IAM-Benutzerrichtlinie vorhanden ist, wird dem Anforderer (es sei denn, er ist der AWS-Konto Root-Benutzer) implizit untersagt, Anfragen zu stellen. Weitere Informationen zu dieser Evaluierungslogik finden Sie unter [Ermitteln, ob eine Anforderung innerhalb eines Kontos zugelassen oder verweigert wird](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html#policy-eval-denyallow) im *IAM-Benutzerhandbuch*.
### Vorgänge auf Objektebene
Wenn das Objekt dem Konto gehört, das den Bucket besitzt, funktionieren die Bucket-Richtlinie und die IAM-Benutzerrichtlinie für Vorgänge auf Objektebene genauso wie für Vorgänge auf Bucket-Ebene. Wenn es beispielsweise keine Bucket-Richtlinie gibt, lässt der Bucket implizit Objektanforderungen von jeder IAM-Identität in dem Konto zu, das im Besitz des Buckets ist. Ebenso lehnt der Bucket implizit Objektanforderungen von anderen IAM-Identitäten von anderen Konten sowie anonyme (unsignierte) Anforderungen ab. Wenn jedoch keine IAM-Benutzerrichtlinie vorhanden ist, wird dem Anforderer (es sei denn, er ist der AWS-Konto Root-Benutzer) implizit untersagt, Objektanforderungen zu stellen.
Wenn das Objekt einem externen Konto gehört, kann der Zugriff auf das Objekt nur über Objektzugriffskontrolllisten () gewährt werden. ACLs Die Bucket-Richtlinie und die IAM-Benutzerrichtlinie können weiterhin verwendet werden, um Objektanforderungen zu verweigern.
Stellen Sie daher sicher, dass die folgenden Voraussetzungen erfüllt sind, um sicherzugehen, dass Ihre Bucket-Richtlinie oder IAM-Benutzerrichtlinie keinen „Zugriff verweigert“-Fehler (403 Forbidden) verursacht:
+ Für den Zugriff auf dasselbe Konto darf es weder in der Bucket-Richtlinie noch in der IAM-Benutzerrichtlinie eine explizite `Deny`-Anweisung gegen den Anforderer geben, dem Sie Berechtigungen gewähren möchten. Wenn Sie Berechtigungen nur mithilfe der Bucket-Richtlinie und der IAM-Benutzerrichtlinie gewähren möchten, muss eine dieser Richtlinien mindestens eine explizite `Allow`-Anweisung enthalten.
+ Für den kontoübergreifenden Zugriff darf es weder in der Bucket-Richtlinie noch in der IAM-Benutzerrichtlinie eine explizite `Deny`-Anweisung gegen den Anforderer geben, dem Sie Berechtigungen gewähren möchten. Um kontoübergreifende Berechtigungen nur mit der Bucket-Richtlinie und der IAM-Benutzerrichtlinie zu gewähren, stellen Sie sicher, dass sowohl die Bucket-Richtlinie als auch die IAM-Benutzerrichtlinie des Anforderers eine explizite `Allow`-Anweisung enthalten.
**Anmerkung**
`Allow`-Anweisungen in einer Bucket-Richtlinie gelten nur für Objekte, [die demselben Konto gehören, das im Besitz des Buckets ist](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html). `Deny`-Anweisungen in einer Bucket-Richtlinie gelten jedoch für alle Objekte, unabhängig von der Objekteigentümerschaft.
**So überprüfen oder bearbeiten Sie Ihre Bucket-Richtlinie**
**Anmerkung**
Um eine Bucket-Richtlinie anzuzeigen oder zu bearbeiten, benötigen Sie die Berechtigung `s3:GetBucketPolicy`.
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie im linken Navigationsbereich **Buckets** aus.
1. Wählen Sie in der Liste **Buckets** den Namen des Buckets aus, für den Sie eine Bucket-Richtlinie anzeigen oder bearbeiten möchten.
1. Wählen Sie die Registerkarte **Berechtigungen**.
1. Wählen Sie unter **Bucket-Richtlinie** **Bearbeiten** aus. Die Seite **Bucket-Richtlinie bearbeiten** wird angezeigt.
Um Ihre Bucket-Richtlinie mithilfe von AWS Command Line Interface (AWS CLI) zu überprüfen oder zu bearbeiten, verwenden Sie den [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-bucket-policy.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-bucket-policy.html)Befehl.
**Anmerkung**
Wenn Sie aufgrund einer falschen Bucket-Richtlinie aus einem Bucket ausgesperrt werden, [melden Sie sich mit Ihren AWS-Konto Root-Benutzeranmeldedaten bei dem AWS-Managementkonsole an.](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) Um wieder Zugriff auf Ihren Bucket zu erhalten, stellen Sie sicher, dass Sie die falsche Bucket-Richtlinie mithilfe Ihrer AWS-Konto Root-Benutzeranmeldedaten löschen.
### Tipps zum Überprüfen von Berechtigungen
Gehen Sie wie folgt vor, um zu überprüfen, ob der Anforderer über die erforderlichen Berechtigungen für die Ausführung einer Amazon-S3-Operation verfügt:
+ Ermitteln Sie den Anforderer. Bei einer unsignierten Anforderung handelt es sich um eine anonyme Anforderung ohne IAM-Benutzerrichtlinie. Wenn es sich um eine Anforderung handelt, die eine vorsignierte URL verwendet, ist die Benutzerrichtlinie dieselbe wie die für den IAM-Benutzer oder die Rolle, die die Anforderung signiert hat.
+ Vergewissern Sie sich, dass Sie den richtigen IAM-Benutzer oder die richtige IAM-Rolle verwenden. Sie können Ihren IAM-Benutzer oder Ihre IAM-Rolle überprüfen, indem Sie rechts oben in der AWS-Managementkonsole nachsehen oder den Befehl [https://docs.aws.amazon.com/cli/latest/reference/sts/get-caller-identity.html](https://docs.aws.amazon.com/cli/latest/reference/sts/get-caller-identity.html) verwenden.
+ Prüfen Sie die IAM-Richtlinien im Zusammenhang mit dem IAM-Benutzer oder der IAM-Rolle. Sie können eine der folgenden Methoden verwenden:
+ [Testen von IAM-Richtlinien mit dem IAM-Richtliniensimulator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)
+ Überprüfen der verschiedenen [IAM-Richtlinientypen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)
+ [Bearbeiten Sie gegebenenfalls Ihre IAM-Benutzerrichtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html).
+ Sehen Sie sich die folgenden Beispiele für Richtlinien an, die den Zugriff explizit verweigern oder zulassen:
+ IAM-Benutzerrichtlinie zum expliziten Zulassen des Zugriffs: [IAM: Ermöglicht und verweigert den Zugriff auf verschiedene Services, sowohl programmgesteuert als auch über die Konsole](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_iam_multiple-services-console.html)
+ Explizite Bucket-Richtlinie „Zulassen“: [Erteilen Sie mehreren Konten die Erlaubnis, Objekte hochzuladen oder Objekte öffentlich zugänglich ACLs zu machen](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies.html#example-bucket-policies-acl-1)
+ IAM-Benutzerrichtlinie „Explizite Ablehnung“ [AWS: Verweigert den Zugriff AWS auf die angeforderten Daten AWS-Region](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-requested-region.html)
+ Bucket-Richtlinie zum expliziten Verweigern des Zugriffs: [SSE-KMS für alle in einen Bucket geschriebenen Objekte verlangen](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies.html#example-bucket-policies-encryption-1)
## Amazon-S3-ACL-Einstellungen
Wenn Sie Ihre ACL-Einstellungen überprüfen, überprüfen Sie zunächst [Ihre Einstellungen für den Objekteigentum](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-ownership-retrieving.html), um zu überprüfen, ob sie für den Bucket aktiviert ACLs sind. Beachten Sie, dass ACL-Berechtigungen nur zur Erteilung von Berechtigungen und nicht zur Ablehnung von Anfragen verwendet werden können. ACLs kann auch nicht verwendet werden, um Anforderern Zugriff zu gewähren, die durch ausdrückliche Ablehnungen in Bucket-Richtlinien oder IAM-Benutzerrichtlinien abgelehnt wurden.
### Die Einstellung Object Ownership ist auf Bucket owner enforced gesetzt
Wenn die Einstellung „**Bucket Owner erforced**“ aktiviert ist, ist es unwahrscheinlich, dass ACL-Einstellungen zu einem Fehler „Zugriff verweigert“ (403 Forbidden) führen, da diese Einstellung alles deaktiviert ACLs , was für Buckets und Objekte gilt. **Bucket-Eigentümer erzwungen** ist die Standardeinstellung (und empfohlene Einstellung) für Amazon-S3-Buckets.
### Die Einstellung Object Ownership ist auf Bucket owner preferred oder Object writer gesetzt
ACL-Berechtigungen sind weiterhin gültig, wenn die Einstellung **Bucket-Eigentümer bevorzugt** oder **Objektschreiber** verwendet wird. Es gibt zwei Arten von ACLs: Bucket ACLs und Objekt. ACLs Die Unterschiede zwischen diesen beiden Typen finden Sie unter [Zuordnung von ACLs ACL-Berechtigungen und Zugriffsrichtlinienberechtigungen](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html#acl-access-policy-permission-mapping).
Überprüfen Sie abhängig von der Aktion der zurückgewiesenen Anforderung [die ACL-Berechtigungen für Ihren Bucket oder das Objekt](https://docs.aws.amazon.com/AmazonS3/latest/userguide/managing-acls.html):
+ Wenn Amazon S3 eine `LIST`-, `PUT` (für ein Objekt), `GetBucketAcl`- oder `PutBucketAcl`-Anforderung zurückgewiesen hat, [überprüfen Sie die ACL-Berechtigungen für Ihren Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/managing-acls.html).
**Anmerkung**
Mit den Bucket-ACL-Einstellungen können Sie keine `GET`-Objektberechtigungen gewähren.
+ Wenn Amazon S3 eine `GET`-Anforderung für ein S3-Objekt oder eine [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html)-Anforderung abgelehnt hat, [überprüfen Sie die ACL-Berechtigungen für das Objekt](https://docs.aws.amazon.com/AmazonS3/latest/userguide/managing-acls.html).
**Wichtig**
Wenn es sich bei dem Konto, dem das Objekt gehört, nicht um das Konto handelt, das im Besitz des Buckets ist, wird der Zugriff auf das Objekt nicht durch die Bucket-Richtlinie gesteuert.
### Beheben eines Fehlers aufgrund einer Zugriffsverweigerung (403 Forbidden) bei einer `GET`-Objekt-Anforderung während einer kontoübergreifenden Objekteigentümerschaft
Überprüfen Sie die [Einstellungen für Object Ownership](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html#object-ownership-overview) des Buckets, um den Objekteigentümer zu ermitteln. Wenn Sie Zugriff auf das [Objekt](https://docs.aws.amazon.com/AmazonS3/latest/userguide/managing-acls.html) haben ACLs, können Sie auch das Konto des Objekteigentümers überprüfen. (Um das Konto des Objekteigentümers einzusehen, überprüfen Sie die Objekt-ACL-Einstellung in der Amazon-S3-Konsole.) Alternativ können Sie auch eine `GetObjectAcl`-Anforderung stellen, um die [kanonische ID](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAcl.html) des Objekteigentümers zu ermitteln und so das Konto des Objekteigentümers überprüfen zu können. ACLs Erteilen Sie dem Konto des Objekteigentümers standardmäßig explizite Genehmigungsberechtigungen für `GET` Anfragen.
Nachdem Sie bestätigt haben, dass der Objekteigentümer nicht mit dem Bucket-Eigentümer identisch ist, wählen Sie je nach Anwendungsfall und Zugriffsebene eine der folgenden Methoden aus, um den Fehler aufgrund einer Zugriffsverweigerung (403 Forbidden) zu beheben:
+ **Deaktivieren ACLs (empfohlen)** — Diese Methode gilt für alle Objekte und kann vom Bucket-Besitzer ausgeführt werden. Bei dieser Methode erhält der Bucket-Eigentümer automatisch das Eigentum an jedem Objekt im Bucket und die volle Kontrolle darüber. Bevor Sie diese Methode implementieren, überprüfen Sie die [Voraussetzungen für die Deaktivierung ACLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-ownership-migrating-acls-prerequisites.html). Informationen dazu, wie Sie Ihren Bucket auf den Modus **Bucket-Eigentümer erzwungen** (empfohlen) setzen, finden Sie unter [Einstellung für Object Ownership für einen vorhandenen Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-ownership-existing-bucket.html).
**Wichtig**
Um zu verhindern, dass der Fehler „Zugriff verweigert“ (403 Forbidden) auftritt, sollten Sie vor der Deaktivierung ACLs die ACL-Berechtigungen auf eine Bucket-Richtlinie migrieren. Weitere Informationen finden Sie unter [Beispiele für Bucket-Richtlinien für die Migration von ACL-Berechtigungen](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-ownership-migrating-acls-prerequisites.html#migrate-acl-permissions-bucket-policies).
+ **Objekteigentümer in Bucket-Eigentümer ändern** – Diese Methode kann auf einzelne Objekte angewendet werden, doch nur der Objekteigentümer (oder ein Benutzer mit den entsprechenden Berechtigungen) kann die Eigentümerschaft eines Objekts ändern. Es können zusätzliche `PUT`-Kosten anfallen. (Weitere Informationen finden Sie unter [Amazon S3 – Preise](https://aws.amazon.com/s3/pricing/).) Diese Methode gewährt dem Bucket-Eigentümer das vollständige Eigentum an dem Objekt, sodass der Bucket-Eigentümer den Zugriff auf das Objekt über eine Bucket-Richtlinie steuern kann.
Führen Sie einen der folgenden Schritte aus, um die Objekteigentümerschaft zu ändern:
+ Sie (der Bucket-Eigentümer) können [das Objekt wieder in den Bucket kopieren](https://docs.aws.amazon.com/AmazonS3/latest/userguide/copy-object.html#CopyingObjectsExamples).
+ Sie können die Einstellung für Object Ownership des Buckets auf **Bucket-Eigentümer bevorzugt** setzen. Wenn die Versionsverwaltung deaktiviert ist, werden die Objekte im Bucket überschrieben. Wenn die Versionsverwaltung aktiviert ist, werden doppelte Versionen desselben Objekts im Bucket angezeigt, für die der Bucket-Eigentümer [eine Lebenszyklusregel festlegen kann, damit sie ablaufen](https://docs.aws.amazon.com/AmazonS3/latest/userguide/lifecycle-expire-general-considerations.html). Anweisungen zum Ändern der Einstellung für Object Ownership finden Sie unter [Einstellung für Object Ownership für einen vorhandenen Bucket](object-ownership-existing-bucket.md).
**Anmerkung**
Wenn Sie Ihre Einstellung für Object Ownership in **Bucket-Eigentümer bevorzugt** aktualisieren, wird die Einstellung nur auf neue Objekte angewendet, die in den Bucket hochgeladen werden.
+ Sie können den Objekteigentümer das Objekt mit der vordefinierten Objekt-ACL `bucket-owner-full-control` erneut hochladen lassen.
**Anmerkung**
Für kontoübergreifende Uploads können Sie in Ihrer Bucket-Richtlinie auch die vordefinierte Objekt-ACL `bucket-owner-full-control` verlangen. Ein Beispiel für eine Bucket-Richtlinie finden Sie unter [Erteilung von kontoübergreifenden Berechtigungen für das Hochladen von Objekten, wobei sichergestellt wird, dass der Bucket-Eigentümer volle Kontrolle besitzt](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies.html#example-bucket-policies-acl-2).
+ **Objektschreiber als Objekteigentümer beibehalten** – Mit dieser Methode wird der Objekteigentümer nicht geändert, Sie können jedoch den Zugriff auf Objekte einzeln gewähren. Um Zugriff auf ein Objekt zu gewähren, müssen Sie über die Berechtigung `PutObjectAcl` für das Objekt verfügen. Um dann den Fehler Zugriff verweigert (403 Forbidden) zu beheben, fügen Sie den Anforderer als [Empfänger für den](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html#specifying-grantee) Zugriff auf das Objekt im Objekt hinzu. ACLs Weitere Informationen finden Sie unter [Konfiguration ACLs](managing-acls.md).
## S3-Block-Public-Access-Einstellungen
Wenn die fehlgeschlagene Anforderung öffentlichen Zugriff oder öffentliche Richtlinien beinhaltet, überprüfen Sie die S3-Block-Public-Access-Einstellungen in Ihrem Konto, Bucket oder Zugangspunkt. Weitere Informationen zur Behebung von Fehlern im Zusammenhang mit S3-Block-Public-Access-Einstellungen finden Sie unter [Zugriffsverweigerung aufgrund von Einstellungen für „Öffentlichen Zugriff blockieren“](#access-denied-bpa-examples).
## Amazon-S3-Verschlüsselungseinstellungen
Amazon S3 unterstützt die serverseitige Verschlüsselung in Ihrem Bucket. Serverseitige Verschlüsselung ist die Verschlüsselung von Daten am Zielort durch die Anwendung oder den Service, der sie erhält. Amazon S3 verschlüsselt Ihre Daten auf Objektebene, wenn es sie auf Festplatten in AWS Rechenzentren schreibt, und entschlüsselt sie für Sie, wenn Sie darauf zugreifen.
Standardmäßig wendet Amazon S3 jetzt eine serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) als Basisverschlüsselung für jeden Bucket in Amazon S3 an. Amazon S3 ermöglicht es Ihnen auch, die serverseitige Verschlüsselungsmethode beim Hochladen von Objekten anzugeben.
**So überprüfen Sie den Status der serverseitigen Verschlüsselung und die Verschlüsselungseinstellungen Ihres Buckets**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie im linken Navigationsbereich **Buckets** aus.
1. Wählen Sie in der Liste **Buckets** den Bucket aus, für den Sie die Verschlüsselungseinstellungen überprüfen möchten.
1. Wählen Sie die Registerkarte **Eigenschaften** aus.
1. Scrollen Sie nach unten zum Abschnitt **Standardverschlüsselung** und sehen Sie sich die Einstellungen für den **Verschlüsselungstyp** an.
Um Ihre Verschlüsselungseinstellungen mithilfe von zu überprüfen AWS CLI, verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/s3api/get-bucket-encryption.html](https://docs.aws.amazon.com/cli/latest/reference/s3api/get-bucket-encryption.html)Befehl.
**So überprüfen Sie den Verschlüsselungsstatus eines Objekts**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie im linken Navigationsbereich **Buckets** aus.
1. Wählen Sie in der Liste **Buckets** den Namen des Buckets aus, der das Objekt enthält.
1. Wählen Sie in der Liste **Objekte** den Namen des Objekts aus, für das Sie eine Verschlüsselung hinzufügen oder ändern möchten.
Die Seite mit den Objektdetails wird angezeigt.
1. Scrollen Sie nach unten zum Abschnitt **Serverseitige Verschlüsselungseinstellungen**, um die serverseitigen Verschlüsselungseinstellungen des Objekts anzuzeigen.
Um den Verschlüsselungsstatus Ihres Objekts mithilfe von zu überprüfen AWS CLI, verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/s3api/head-object.html#examples](https://docs.aws.amazon.com/cli/latest/reference/s3api/head-object.html#examples)Befehl.
### Verschlüsselungs- und Berechtigungsanforderungen
Amazon S3 unterstützt drei Arten von serverseitiger Verschlüsselung:
+ Serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3)
+ Serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) Schlüsseln (SSE-KMS)
+ Serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C)
Stellen Sie unter Berücksichtigung Ihrer Verschlüsselungseinstellungen sicher, dass die folgenden Berechtigungen erfüllt sind:
+ **SSE-S3** – Es sind keine zusätzlichen Berechtigungen erforderlich.
+ **SSE-KMS (mit einem vom Kunden verwalteten Schlüssel)** – Um Objekte hochzuladen, wird die Berechtigung `kms:GenerateDataKey` für AWS KMS key benötigt. Um Objekte herunterzuladen und mehrteilige Uploads von Objekten durchzuführen, ist die Berechtigung `kms:Decrypt` für den KMS-Schlüssel erforderlich.
+ **SSE-KMS (mit einem Von AWS verwalteter Schlüssel)** — Der Anforderer muss aus demselben Konto stammen, dem der KMS-Schlüssel gehört. `aws/s3` Der Anforderer muss außerdem über die richtigen Amazon-S3-Berechtigungen verfügen, um auf das Objekt zugreifen zu können.
+ **SSE-C (mit einem vom Kunden bereitgestellten Schlüssel)** – Es sind keine zusätzlichen Berechtigungen erforderlich. Sie können die Bucket-Richtlinie so konfigurieren, dass [eine serverseitige Verschlüsselung mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln für Objekte in Ihrem Bucket erforderlich und beschränkt ist](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerSideEncryptionCustomerKeys.html#ssec-require-condition-key).
Wenn das Objekt mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, stellen Sie sicher, dass es Ihnen die KMS-Schlüsselrichtlinie gestattet, die Aktionen `kms:GenerateDataKey` oder `kms:Decrypt` auszuführen. Anweisungen zur Überprüfung Ihrer KMS-Schlüsselrichtlinie finden Sie unter [Anzeigen einer Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-viewing.html) im *AWS Key Management Service -Entwicklerhandbuch*.
## S3-Einstellungen für die Objektsperre
Wenn in Ihrem Bucket die [S3-Object Lock](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html) aktiviert ist und das Objekt durch eine [Aufbewahrungsfrist](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-overview.html#object-lock-retention-periods) oder eine [gesetzliche Aufbewahrungspflicht](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-overview.html#object-lock-legal-holds) geschützt ist und Sie versuchen, ein Objekt zu löschen, gibt Amazon S3 je nachdem, wie Sie versucht haben, das Objekt zu löschen, eine der folgenden Antworten zurück:
+ **Permanente `DELETE`-Anfrage** – Wenn Sie eine permanente `DELETE` Anfrage gestellt haben (eine Anfrage, die eine Versions-ID angibt), gibt Amazon S3 den Fehler „Zugriff verweigert“ (`403 Forbidden`) zurück, wenn Sie versuchen, das Objekt zu löschen.
+ **Einfache `DELETE` Anfrage** – Wenn Sie eine einfache `DELETE` Anfrage gestellt haben (eine Anfrage, die keine Versions-ID enthält), gibt Amazon S3 eine `200 OK` Antwort zurück und fügt eine [Löschmarkierung](DeleteMarker.md) in den Bucket ein, und diese Markierung wird zur aktuellen Objektversion mit einer neuen ID.
**So überprüfen Sie, ob für den Bucket eine Objektsperre aktiviert ist**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie im linken Navigationsbereich **Buckets** aus.
1. Wählen Sie in der Liste **Buckets** den Namen des Buckets aus, den Sie überprüfen möchten.
1. Wählen Sie die Registerkarte **Eigenschaften** aus.
1. Scrollen Sie nach unten zum Abschnitt **Objektsperre**. Überprüfen Sie, ob die Einstellung für **Objektsperre** **Aktiviert** oder **Deaktiviert** lautet.
Um festzustellen, ob das Objekt durch einen Aufbewahrungszeitraum oder eine rechtliche Aufbewahrungspflicht geschützt ist, [zeigen Sie die Sperrinformationen](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-managing.html#object-lock-managing-view) für Ihr Objekt an.
Wenn das Objekt durch einen Aufbewahrungszeitraum oder eine rechtliche Aufbewahrungspflicht geschützt ist, überprüfen Sie Folgendes:
+ Wenn die Objektversion durch den Compliance-Aufbewahrungsmodus geschützt ist, gibt es keine Möglichkeit, sie dauerhaft zu löschen. Eine permanente `DELETE` Anfrage von einem beliebigen Anforderer, einschließlich des AWS-Konto Root-Benutzers, führt zu der Fehlermeldung Access Denied (403 Forbidden). Beachten Sie außerdem, dass Amazon S3 eine [Löschmarkierung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DeleteMarker.html) für das Objekt erstellt, wenn Sie eine `DELETE`-Anforderung für ein Objekt einreichen, das durch den Compliance-Aufbewahrungsmodus geschützt ist.
+ Wenn die Objektversion durch den Governance-Aufbewahrungsmodus geschützt ist und Sie über die Berechtigung `s3:BypassGovernanceRetention` verfügen, können Sie den Schutz umgehen und die Version dauerhaft löschen. Weitere Informationen finden Sie unter [Umgehen des Governance-Modus](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-managing.html#object-lock-managing-bypass).
+ Wenn die Objektversion durch eine rechtliche Aufbewahrungspflicht geschützt ist, kann eine permanente `DELETE`-Anforderung zu einem Fehler aufgrund einer Zugriffsverweigerung (403 Forbidden) führen. Um die Objektversion dauerhaft zu löschen, müssen Sie die rechtliche Aufbewahrungspflicht für die Objektversion aufheben. Um eine rechtliche Aufbewahrungspflicht aufzuheben, benötigen Sie die Berechtigung `s3:PutObjectLegalHold`. Weitere Informationen zum Aufheben einer rechtlichen Aufbewahrungspflicht finden Sie unter [Konfigurieren von S3 Object Lock](object-lock-configure.md).
## VPC-Endpunktrichtlinien
Wenn Sie über einen Virtual Private Cloud (VPC)-Endpunkt auf Amazon S3 zugreifen, stellen Sie sicher, dass die VPC-Endpunktrichtlinie Sie nicht am Zugriff auf Ihre Amazon-S3-Ressourcen hindert. Standardmäßig erlaubt die VPC-Endpunktrichtlinie alle Anforderungen an Amazon S3. Sie können die VPC-Endpunktrichtlinie auch so konfigurieren, dass bestimmte Anforderungen eingeschränkt werden. Informationen darüber, wie Sie Ihre VPC-Endpunktrichtlinie überprüfen, finden Sie in den folgenden Ressourcen:
+ [Zugriff aufgrund einer VPC-Endpunktrichtlinie verweigert – implizite Ablehnung](#access-denied-vpc-endpoint-examples-implicit)
+ [Zugriff aufgrund einer VPC-Endpunktrichtlinie verweigert – explizite Ablehnung](#access-denied-vpc-endpoint-examples-explicit)
+ [Steuern des Zugriffs auf VPC-Endpunkte mithilfe von Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) im *AWS PrivateLink -Handbuch*.
## AWS Organizations Richtlinien
Wenn Sie zu einer Organisation AWS-Konto gehören, können AWS Organizations Richtlinien Sie daran hindern, auf Amazon S3 S3-Ressourcen zuzugreifen. Standardmäßig blockieren AWS Organizations Richtlinien keine Anfragen an Amazon S3. Stellen Sie jedoch sicher, dass Ihre AWS Organizations Richtlinien nicht so konfiguriert wurden, dass sie den Zugriff auf S3-Buckets blockieren. Anweisungen, wie Sie Ihre AWS Organizations Richtlinien überprüfen können, finden Sie in den folgenden Ressourcen:
+ [Zugriffsverweigerung aufgrund einer Service-Kontrollrichtlinie – implizite Verweigerung](#access-denied-scp-examples-implicit)
+ [Zugriffsverweigerung aufgrund einer Service-Kontrollrichtlinie – explizite Verweigerung](#access-denied-scp-examples-explicit)
+ [Zugriff aufgrund einer Ressourcenkontrollrichtlinie verweigert – explizite Verweigerung](#access-denied-rcp-examples-explicit)
+ [Auflisten aller Richtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_info-operations.html#list-all-pols-in-org) im *AWS Organizations -Benutzerhandbuch*
Wenn Sie Ihre Bucket-Richtlinie für ein Mitgliedskonto falsch konfiguriert haben, um allen Benutzern den Zugriff auf Ihren S3-Bucket zu verweigern, können Sie den Bucket außerdem entsperren, indem Sie eine privilegierte Sitzung für das Mitgliedskonto in IAM starten. Nachdem Sie eine privilegierte Sitzung gestartet haben, können Sie die falsch konfigurierte Bucket-Richtlinie löschen, um wieder Zugriff auf den Bucket zu erhalten. Weitere Informationen finden Sie im *AWS Identity and Access Management Benutzerhandbuch* unter [Ausführen einer privilegierten Aufgabe für ein AWS Organizations Mitgliedskonto](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user-privileged-task.html).
## CloudFront Zugriff auf Vertrieb
Wenn Sie beim Versuch, über Ihre statische S3-Website auf Ihre statische S3-Website zuzugreifen, die Fehlermeldung „Zugriff verweigert“ (403 Forbidden) erhalten CloudFront, überprüfen Sie diese häufig auftretenden Probleme:
+ **Haben Sie das richtige Format für den Domain-Namen?**
+ Stellen Sie sicher, dass Sie das S3-Website-Endpunktformat (bucket-name.s3-website-region.amazonaws.com) und nicht den REST-API-Endpunkt verwenden.
+ Überprüfen Sie, ob das Hosting einer statischen Website in Ihrem Bucket aktiviert ist
+ **Erlaubt Ihre Bucket-Richtlinie CloudFront Zugriff?**
+ Stelle sicher, dass deine Bucket-Richtlinie auch Berechtigungen für Origin Access Identity (OAI) oder Origin Access Control (OAC) deiner CloudFront Distribution beinhaltet
+ Vergewissere dich, dass die Richtlinie die erforderlichen s3: -Berechtigungen beinhaltet GetObject
Weitere Schritte und Konfigurationen zur Fehlerbehebung, einschließlich der Einrichtung von Fehlerseiten und Protokolleinstellungen, finden Sie unter [Warum erhalte ich die Fehlermeldung „403 access denied“, wenn ich einen Amazon S3 S3-Website-Endpunkt als Ursprung meiner CloudFront Distribution verwende](https://repost.aws/knowledge-center/s3-website-cloudfront-error-403)? im AWS re:Post Knowledge Center.
**Anmerkung**
Dieser Fehler unterscheidet sich von 403-Fehlern, die Sie beim direkten Zugriff auf S3 erhalten können. Bei CloudFront spezifischen Problemen sollten Sie sowohl Ihre CloudFront Distributionseinstellungen als auch Ihre S3-Konfigurationen überprüfen.
## Zugriffspunkteinstellungen
Wenn Sie bei Anforderungen über Amazon-S3-Zugriffspunkte einen Fehler aufgrund einer Zugriffsverweigerung (403 Forbidden) erhalten, müssen Sie möglicherweise Folgendes überprüfen:
+ Die Konfigurationen Ihrer Zugriffspunkte
+ Die IAM-Benutzerrichtlinie, die für Ihre Zugriffspunkte verwendet wird
+ Die Bucket-Richtlinie, die zur Verwaltung oder Konfiguration Ihrer kontoübergreifenden Zugriffspunkte verwendet wird
**Zugriffspunktkonfigurationen und -richtlinien**
+ Wenn Sie einen Zugriffspunkt erstellen, können Sie **Internet** oder **VPC** als Netzwerkursprung festlegen. Wenn der Netzwerkursprung auf „Nur VPC“ gesetzt ist, weist Amazon S3 alle Anforderungen an den Zugriffspunkt zurück, die nicht von der angegebenen VPC stammen. Informationen zum Überprüfen des Netzwerkursprungs Ihres Zugriffspunkts finden Sie unter [Erstellen von Zugriffspunkten, die auf eine Virtual Private Cloud beschränkt sind](access-points-vpc.md).
+ Mit Zugriffspunkten können Sie auch benutzerdefinierte Block-Public-Access-Einstellungen konfigurieren, die ähnlich wie die Block-Public-Access-Einstellungen auf Bucket- oder Kontoebene funktionieren. Informationen zu Ihren benutzerdefinierten Block-Public-Access-Einstellungen finden Sie unter [Verwalten des öffentlichen Zugriffs auf Zugangspunkte für Allzweck-Buckets](access-points-bpa-settings.md).
+ Um mithilfe von Zugriffspunkten erfolgreiche Anforderungen an Amazon S3 zu stellen, stellen Sie sicher, dass der Anforderer über die erforderlichen IAM-Berechtigungen verfügt. Weitere Informationen finden Sie unter [Konfigurieren von IAM-Richtlinien für die Verwendung von Zugriffspunkten](access-points-policies.md).
+ Wenn die Anforderung kontoübergreifende Zugriffspunkte umfasst, stellen Sie sicher, dass der Bucket-Eigentümer die Bucket-Richtlinie aktualisiert hat, um Anforderungen vom Zugriffspunkt zu autorisieren. Weitere Informationen finden Sie unter [Erteilen von Berechtigungen für kontoübergreifende Zugriffspunkte](access-points-policies.md#access-points-cross-account).
Wenn der Fehler Zugriff verweigert (403 Forbidden) weiterhin besteht, nachdem Sie alle Artikel in diesem Thema überprüft haben, [rufen Sie Ihre Amazon S3 S3-Anfrage-ID](https://docs.aws.amazon.com/AmazonS3/latest/userguide/get-request-ids.html) ab und wenden Sie sich an uns, um Support weitere Informationen zu erhalten.
## Weitere Ressourcen
Weitere Hinweise zu Fehlern, die den Zugriff verweigern (403 Forbidden), finden Sie in den folgenden Ressourcen:
+ [Wie behebe ich 403 Access Denied-Fehler von Amazon S3?](https://repost.aws/knowledge-center/s3-troubleshoot-403) im AWS re:Post Knowledge Center.
+ [Warum erhalte ich die Fehlermeldung 403 Forbidden, wenn ich versuche, auf einen Amazon S3-Bucket oder ein Amazon S3-Objekt zuzugreifen?](https://repost.aws/knowledge-center/s3-403-forbidden-error) im AWS re:Post Knowledge Center.
+ [Warum erhalte ich die Fehlermeldung „Zugriff verweigert“, wenn ich versuche, auf dieselbe Amazon S3 S3-Ressource zuzugreifen AWS-Konto?](https://repost.aws/knowledge-center/s3-troubleshoot-403-resource-same-account) im AWS re:Post Knowledge Center.
+ [Warum erhalte ich die Fehlermeldung „Zugriff verweigert“, wenn ich versuche, auf einen Amazon S3 S3-Bucket mit öffentlichem Lesezugriff zuzugreifen?](https://repost.aws/knowledge-center/s3-troubleshoot-403-public-read) im AWS re:Post Knowledge Center.
+ [Warum erhalte ich die Fehlermeldung „Signature Mismatch“, wenn ich versuche, ein Objekt mit einer vorsignierten URL auf Amazon S3 hochzuladen?](https://repost.aws/knowledge-center/s3-presigned-url-signature-mismatch) im AWS re:Post Knowledge Center.
+ [Warum erhalte ich die Fehlermeldung „Zugriff verweigert“ für ListObjects V2, wenn ich den Sync-Befehl in meinem Amazon S3-Bucket ausführe?](https://repost.aws/knowledge-center/s3-access-denied-listobjects-sync) im AWS re:Post Knowledge Center.
+ [Warum erhalte ich die Fehlermeldung „403 access denied“, wenn ich einen Amazon S3 S3-Website-Endpunkt als Ausgangspunkt für meine CloudFront Distribution verwende?](https://repost.aws/knowledge-center/s3-website-cloudfront-error-403) im AWS re:Post Knowledge Center.
# AWS verwaltete Richtlinien für Amazon S3
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
## AWS verwaltete Richtlinie: AmazonS3FullAccess
Sie können die `AmazonS3FullAccess`-Richtlinie an Ihre IAM-Identitäten anfügen. Diese Richtlinie gewährt Berechtigungen, die vollen Zugriff auf Amazon S3 ermöglichen.
Informationen zum Anzeigen der Berechtigungen für diese Richtlinie finden Sie unter [https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonS3FullAccess$jsonEditor](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonS3FullAccess$jsonEditor) im AWS-Managementkonsole.
## AWS verwaltete Richtlinie: AmazonS3ReadOnlyAccess
Sie können die `AmazonS3ReadOnlyAccess`-Richtlinie an Ihre IAM-Identitäten anfügen. Diese Richtlinie gewährt Berechtigungen, die einen schreibgeschützten Zugriff auf Amazon S3 erlauben.
Informationen zum Anzeigen der Berechtigungen für diese Richtlinie finden Sie unter [https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess$jsonEditor](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess$jsonEditor) im AWS-Managementkonsole.
## AWS verwaltete Richtlinie: AmazonS3ObjectLambdaExecutionRolePolicy
Stellt AWS Lambda Funktionen die erforderlichen Berechtigungen zum Senden von Daten an S3 Object Lambda bereit, wenn Anfragen an einen S3 Object Lambda-Zugriffspunkt gestellt werden. Gewährt Lambda außerdem Berechtigungen zum Schreiben in CloudWatch Amazon-Logs.
Informationen zum Anzeigen der Berechtigungen für diese Richtlinie finden Sie unter [https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/service-role/AmazonS3ObjectLambdaExecutionRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/service-role/AmazonS3ObjectLambdaExecutionRolePolicy$jsonEditor) im AWS-Managementkonsole.
## AWS verwaltete Richtlinie: S3UnlockBucketPolicy
Wenn Sie Ihre Bucket-Richtlinie für ein Mitgliedskonto falsch konfiguriert haben, um allen Benutzern den Zugriff auf Ihren S3-Bucket zu verweigern, können Sie diese AWS verwaltete Richtlinie (`S3UnlockBucketPolicy`) verwenden, um den Bucket zu entsperren. *Weitere Informationen zum Entfernen einer falsch konfigurierten Bucket-Richtlinie, die allen Principals den Zugriff auf einen Amazon S3 S3-Bucket verweigert, finden Sie unter [Ausführen einer privilegierten Aufgabe für ein AWS Organizations Mitgliedskonto](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user-privileged-task.html) im AWS Identity and Access Management Benutzerhandbuch.*
## Amazon S3 S3-Updates für AWS verwaltete Richtlinien
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon S3 an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| Amazon S3 `S3UnlockBucketPolicy` hinzugefügt | Amazon S3 hat eine neue AWS verwaltete Richtlinie hinzugefügt, mit der ein Bucket entsperrt und eine falsch konfigurierte Bucket-Richtlinie entfernt werden `S3UnlockBucketPolicy` soll, die allen Principals den Zugriff auf einen Amazon S3 S3-Bucket verweigert. | 1. November 2024 |
| Amazon S3 hat die Beschreibungsberechtigungen zu `AmazonS3ReadOnlyAccess` hinzugefügt. | Amazon S3 hat die `s3:Describe*`-Berechtigungen zu `AmazonS3ReadOnlyAccess` hinzugefügt. | 11. August 2023 |
| Amazon S3 hat S3 Objekt Lambda-Berechtigungen zu `AmazonS3FullAccess` und `AmazonS3ReadOnlyAccess` hinzugefügt | Amazon S3 hat die `AmazonS3FullAccess`- und `AmazonS3ReadOnlyAccess`-Richtlinien zur Einbeziehung von Berechtigungen für S3-Objekt-Lambda aktualisiert. | 27. September 2021 |
| Amazon S3 `AmazonS3ObjectLambdaExecutionRolePolicy` hinzugefügt | Amazon S3 hat eine neue AWS verwaltete Richtlinie hinzugefügt`AmazonS3ObjectLambdaExecutionRolePolicy`, die Lambda-Funktionen Berechtigungen zur Interaktion mit S3 Object Lambda und zum Schreiben in Protokolle gewährt. CloudWatch | 18. August 2021 |
| Amazon S3 hat mit der Verfolgung von Änderungen begonnen | Amazon S3 hat damit begonnen, Änderungen für seine AWS verwalteten Richtlinien nachzuverfolgen. | 18. August 2021 |