Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Funktionsweise von Amazon S3 mit IAM
Bevor Sie mit IAM den Zugriff auf Amazon S3 verwalten können, sollten Sie sich darüber informieren, welche IAM-Features Sie mit AmazonS3 verwenden können.
**IAM-Features, die Sie mit Amazon S3 verwenden können**
| IAM-Feature | Amazon-S3-Support |
| --- | --- |
| [Identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies) | Ja |
| [Ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies) | Ja |
| [Richtlinienaktionen](#security_iam_service-with-iam-id-based-policies-actions) | Ja |
| [Richtlinienressourcen](#security_iam_service-with-iam-id-based-policies-resources) | Ja |
| [Richtlinienbedingungsschlüssel (servicespezifisch)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ja |
| [ACLs](#security_iam_service-with-iam-acls) | Ja |
| [ABAC (Tags in Richtlinien)](#security_iam_service-with-iam-tags) | Teilweise |
| [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-roles-tempcreds) | Ja |
| [Forward Access Sessions (FAS)](#security_iam_service-with-iam-principal-permissions) | Ja |
| [Servicerollen](#security_iam_service-with-iam-roles-service) | Ja |
| [Service-verknüpfte Rollen](#security_iam_service-with-iam-roles-service-linked) | Teilweise |
Einen allgemeinen Überblick darüber, wie Amazon S3 und andere AWS Services mit den meisten IAM-Funktionen funktionieren, finden Sie im [IAM-Benutzerhandbuch unter AWS Dienste, die mit *IAM* funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
Weitere Informationen zu den Berechtigungen für S3-API-Operationen nach S3-Ressourcentypen finden Sie unter [Erforderliche Berechtigungen für Amazon-S3-API-Operationen](using-with-s3-policy-actions.md).
## Identitätsbasierte Richtlinien für Amazon S3
**Unterstützt Richtlinien auf Identitätsbasis:** Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Beispiele für identitätsbasierte Richtlinien für Amazon S3
Beispiele für identitätsbasierte Amazon-S3-Richtlinien finden Sie unter [Identitätsbasierte Richtlinien für Amazon S3](security_iam_id-based-policy-examples.md).
## Ressourcenbasierte Richtlinien in Amazon S3
**Unterstützt ressourcenbasierte Richtlinien:** Ja
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-*Rollen-Vertrauensrichtlinien* und Amazon-S3-*Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services
Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
Der Amazon-S3-Service unterstützt *Bucket-Richtlinien*, *Zugangspunktrichtlinien* und *Zugriffsgewährungen*:
+ Bucket-Richtlinien sind ressourcenbasierte Richtlinien, die einem Amazon-S3-Bucket angefügt sind. Eine Bucket-Richtlinie definiert, welche Prinzipale Aktionen auf dem Bucket ausführen dürfen.
+ Zugangspunktrichtlinien sind ressourcenbasierte Richtlinien, die in Verbindung mit der zugrunde liegenden Bucket-Richtlinie bewertet werden.
+ Zugriffsgewährungen sind ein vereinfachtes Modell für die Definition von Zugriffsberechtigungen für Daten in Amazon S3 nach Präfix, Bucket oder Objekt. Informationen zu S3 Access Grants finden Sie unter [Verwalten des Zugriffs mit S3-Zugriffsberechtigungen](access-grants.md).
### Prinzipale für Bucket-Richtlinien
Das `Principal`-Element gibt an, welchem Benutzer, Konto, Dienst oder welcher anderen Entität der Zugriff auf eine Ressource gewährt oder verweigert wird. Die folgenden sind Beispiele legen den `Principal` fest. Weitere Informationen finden Sie unter [Prinzipal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) im *IAM-Benutzerhandbuch*.
#### Erteilen Sie Berechtigungen für einen AWS-Konto
Um einem Berechtigungen zu erteilen AWS-Konto, identifizieren Sie das Konto anhand des folgenden Formats.
```
"AWS":"account-ARN"
```
Im Folgenden sind einige Beispiele aufgeführt.
```
"Principal":{"AWS":"arn:aws:iam::AccountIDWithoutHyphens:root"}
```
```
"Principal":{"AWS":["arn:aws:iam::AccountID1WithoutHyphens:root","arn:aws:iam::AccountID2WithoutHyphens:root"]}
```
**Anmerkung**
In den obigen Beispielen werden dem Root-Benutzer Berechtigungen erteilt, der diese auf die Kontoebene delegiert. IAM-Richtlinien sind jedoch weiterhin für die spezifischen Rollen und Benutzer des Kontos erforderlich.
#### Erteilen von Berechtigungen für einen IAM-Benutzer
Um einem IAM-Benutzer in Ihrem Konto eine Berechtigung zu erteilen, müssen Sie ein `"AWS":"user-ARN"`-Name-Wert-Paar bereitstellen.
```
"Principal":{"AWS":"arn:aws:iam::account-number-without-hyphens:user/username"}
```
Ausführliche Beispiele mit step-by-step Anweisungen finden Sie unter [Beispiel 1: Bucket-Eigentümer erteilt seinen Benutzern Bucket-Berechtigungen](example-walkthroughs-managing-access-example1.md) und[Beispiel 3: Bucket-Eigentümer, der Berechtigungen für Objekte erteilt, die ihm nicht gehören](example-walkthroughs-managing-access-example3.md).
**Anmerkung**
Wenn eine IAM-Identität gelöscht wird, nachdem Sie Ihre Bucket-Richtlinie aktualisiert haben, zeigt die Bucket-Richtlinie anstelle eines ARN eine eindeutige Kennung im Hauptelement an. Diese eindeutigen Daten IDs werden niemals wiederverwendet, sodass Sie Principals mit eindeutigen Kennungen problemlos aus all Ihren Richtlinienerklärungen entfernen können. Weitere Informationen zu eindeutigen Kennungen finden Sie unter [IAM-Kennungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-unique-ids) im *IAM-Benutzerhandbuch*.
#### Erteilen anonymer Berechtigungen
**Warnung**
Seien Sie vorsichtig, wenn Sie anonymen Zugriff auf Ihren Amazon-S3-Bucket erteilen. Wenn Sie anonymen Zugriff gewähren, kann jeder auf der ganzen Welt auf Ihren Bucket zugreifen. Wir empfehlen dringend, nie einen anonymen Schreibzugriff auf Ihren S3-Bucket zu gewähren.
Um jedem Benutzer Berechtigung zu erteilen, auch als anonymer Zugriff bezeichnet, legen Sie den Platzhalter (`"*"`) auf den Wert `Principal` fest. Wenn Sie beispielsweise ihren Bucket als Website konfigurieren, müssen Sie alle Objekte im Bucket öffentlich zugänglich machen.
```
"Principal":"*"
```
```
"Principal":{"AWS":"*"}
```
Durch die Verwendung `"Principal": "*"` mit `Allow` Wirkung in einer ressourcenbasierten Richtlinie kann jeder, auch wenn er nicht angemeldet ist AWS, auf Ihre Ressource zugreifen.
Das Verwenden von `"Principal" : { "AWS" : "*" }` mit einem `Allow`-Effekt in einer ressourcenbasierten Richtlinie ermöglicht jeden Stammbenutzer, IAM-Benutzer, angenommener Rollensitzung oder Verbundbenutzer in einem beliebigen Konto in der selben Partition, auf Ihre Ressource zuzugreifen.
Für anonyme Benutzer sind diese beiden Methoden gleichwertig. Weitere Informationen finden Sie unter [Alle Prinzipale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-anonymous) im *IAM-Benutzerhandbuch*.
Sie können keinen Platzhalter verwenden, um einen Teil eines Namens oder eines ARNs zu ersetzen.
**Wichtig**
In AWS Zugriffskontrollrichtlinien verhalten sich die Principals „\$1“ und \$1“AWS„: „\$1"\$1 identisch.
#### Ressourcenberechtigungen beschränken
Sie können die Ressourcenrichtlinie auch verwenden, um den Zugriff auf Ressourcen einzuschränken, die sonst für IAM-Prinzipale verfügbar wären. Verwenden Sie eine `Deny`-Anweisung, um den Zugriff zu verhindern.
Das folgende Beispiel blockiert den Zugriff, wenn kein sicheres Transportprotokoll verwendet wird:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyBucketAccessIfSTPNotUsed",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
------
Es hat sich für diese Richtlinie bewährt, `"Principal": "*"` so zu verwenden, dass diese Einschränkung für alle gilt, anstatt zu versuchen, mit dieser Methode nur bestimmten Konten oder Prinzipalen den Zugriff zu verweigern.
#### Erfordert Zugriff über CloudFront URLs
Sie können verlangen, dass Ihre Benutzer nur auf Ihre Amazon S3-Inhalte zugreifen, indem sie Amazon S3 CloudFront URLs anstelle von Amazon S3 verwenden URLs. Erstellen Sie dazu eine CloudFront Origin Access Control (OAC). Ändern Sie anschließend die Berechtigungen für Ihre S3-Daten. In Ihrer Bucket-Richtlinie können Sie Folgendes CloudFront als Principal festlegen:
```
"Principal":{"Service":"cloudfront.amazonaws.com"}
```
Verwenden Sie ein `Condition` Element in der Richtlinie, um nur dann Zugriff auf den Bucket CloudFront zu gewähren, wenn die Anfrage im Namen der CloudFront Distribution erfolgt, die den S3-Ursprung enthält.
```
"Condition": {
"StringEquals": {
"AWS:SourceArn": "arn:aws:cloudfront::111122223333:distribution/CloudFront-distribution-ID"
}
}
```
Weitere Informationen zur Anforderung von S3-Zugriff über CloudFront URLs finden Sie unter [Beschränken des Zugriffs auf einen Amazon Simple Storage Service-Ursprung](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) im *Amazon CloudFront Developer Guide*. Weitere Informationen zu den Sicherheits- und Datenschutzvorteilen der Nutzung von Amazon CloudFront finden Sie unter [Konfiguration des sicheren Zugriffs und Beschränkung des Zugriffs auf Inhalte](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecurityAndPrivateContent.html).
### Beispiele für ressourcenbasierte Richtlinien in Amazon S3
+ Beispiele für Amazon S3-Bucket-Richtlinien finden Sie unter [Bucket-Richtlinien für Amazon S3](bucket-policies.md).
+ Richtlinienbeispiele für Zugangspunkte finden Sie unter [Konfigurieren von IAM-Richtlinien für die Verwendung von Zugriffspunkten](access-points-policies.md).
## Richtlinienaktionen für Amazon S3
**Unterstützt Richtlinienaktionen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Nachstehend sehen Sie verschiedene Arten von Zuordnungsbeziehungen zwischen S3-API-Operationen und den erforderlichen Richtlinienaktionen.
+ One-to-one Zuordnung mit demselben Namen. Um beispielsweise die `PutBucketPolicy`-API-Operation zu verwenden, ist die `s3:PutBucketPolicy`-Richtlinienaktion erforderlich.
+ One-to-one Zuordnung mit unterschiedlichen Namen. Um beispielsweise die `ListObjectsV2`-API-Operation zu verwenden, ist die `s3:ListBucket`-Richtlinienaktion erforderlich.
+ One-to-many Kartierung. Um beispielsweise die `HeadObject`-API-Operation verwenden zu können, ist `s3:GetObject` erforderlich. Wenn Sie S3 Object Lock verwenden und den Status der rechtlichen Aufbewahrung oder die Aufbewahrungseinstellungen eines Objekts abrufen möchten, sind außerdem die entsprechenden `s3:GetObjectLegalHold`- oder `s3:GetObjectRetention`-Richtlinienaktionen erforderlich, bevor Sie die `HeadObject`-API-Operation verwenden können.
+ Many-to-one Kartierung. Um beispielsweise die `ListObjectsV2`- oder `HeadBucket`-API-Operationen zu verwenden, ist die `s3:ListBucket`-Richtlinienaktion erforderlich.
Eine Liste der Amazon-S3-Aktionen, die in Richtlinien verwendet werden können, finden Sie unter [Von Amazon S3 definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-actions-as-permissions) in der *Service-Authorization-Referenz*. Eine vollständige Liste von Amazon-S3-API-Operationen finden Sie unter [Amazon-S3-API-Aktionen](https://docs.aws.amazon.com//AmazonS3/latest/API/API_Operations.html) in der *API-Referenz zum Amazon Simple Storage Service*.
Weitere Informationen zu den Berechtigungen für S3-API-Operationen nach S3-Ressourcentypen finden Sie unter [Erforderliche Berechtigungen für Amazon-S3-API-Operationen](using-with-s3-policy-actions.md).
Richtlinienaktionen in Amazon S3 verwenden das folgende Präfix vor der Aktion:
```
s3
```
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:
```
"Action": [
"s3:action1",
"s3:action2"
]
```
### Bucket-Operationen
Bucket-Operationen sind S3-API-Operationen, die auf dem Bucket-Ressourcentyp ausgeführt werden. Beispiel: `CreateBucket`, `ListObjectsV2` und `PutBucketPolicy`. Für S3-Richtlinienaktionen für Bucket-Operationen muss das `Resource`-Element in Bucket-Richtlinien oder identitätsbasierten IAM-Richtlinien die Amazon Resource Name (ARN)-Kennung vom S3-Bucket-Typ im folgenden Beispielformat sein.
```
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
```
Die folgende Bucket-Richtlinie gewährt dem Benutzer `Akua` mit dem Konto `12345678901` die `s3:ListBucket`-Berechtigung, die [https://docs.aws.amazon.com//AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_PutObject.html)-API-Operation durchzuführen und Objekte in einem S3-Bucket aufzulisten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow Akua to list objects in the bucket",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/Akua"
},
"Action": [
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
}
]
}
```
------
**Bucket-Operationen in Richtlinien für Zugangspunkts für Allzweck-Buckets**
Die in einer Zugangspunktrichtlinie für Allzweck-Buckets erteilten Berechtigungen sind nur dann wirksam, wenn der zugrunde liegende Bucket dieselben Berechtigungen zulässt. Wenn Sie S3 Access Points verwenden, müssen Sie die Zugriffssteuerung vom Bucket an den Zugangspunkt delegieren oder die gleichen Berechtigungen in den Zugangspunktrichtlinien zur Richtlinie des zugrunde liegenden Buckets hinzufügen. Weitere Informationen finden Sie unter [Konfigurieren von IAM-Richtlinien für die Verwendung von Zugriffspunkten](access-points-policies.md). In Zugangspunktrichtlinien erfordern S3-Richtlinienaktionen für Bucket-Operationen, dass Sie den Zugangspunkt-ARN für das `Resource`-Element im folgenden Format verwenden.
```
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point"
```
Die folgende Zugangspunktrichtlinie gewährt dem Benutzer `Akua` mit dem Konto `12345678901` die `s3:ListBucket`-Berechtigung, die [https://docs.aws.amazon.com//AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_ListObjectsV2.html)-API-Operation über den S3-Zugangspunkt namens `example-access-point` durchzuführen. Diese Berechtigung ermöglicht es `Akua`, die Objekte in dem Bucket aufzulisten, der mit `example-access-point` verknüpft ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAkuaToListObjectsInBucketThroughAccessPoint",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/Akua"
},
"Action": [
"s3:ListBucket"
],
"Resource": "arn:aws:s3:us-west-2:111122223333:accesspoint/example-access-point"
}
]
}
```
------
**Anmerkung**
Nicht alle Bucket-Vorgänge werden von Zugangspunkten für Allzweck-Buckets unterstützt. Weitere Informationen finden Sie unter [Zugangspunkt-Kompatibilität mit S3-Vorgänge](access-points-service-api-support.md#access-points-operations-support).
**Bucket-Operationen in Richtlinien für Zugangspunkte für Verzeichnis-Buckets**
Berechtigungen, die in einer Richtlinie für Zugangspunkte für Verzeichnis-Buckets gewährt werden, sind nur dann wirksam, wenn der zugrunde liegende Bucket die gleichen Berechtigungen zulässt. Wenn Sie S3 Access Points verwenden, müssen Sie die Zugriffssteuerung vom Bucket an den Zugangspunkt delegieren oder die gleichen Berechtigungen in den Zugangspunktrichtlinien zur Richtlinie des zugrunde liegenden Buckets hinzufügen. Weitere Informationen finden Sie unter [Konfigurieren von IAM-Richtlinien für die Verwendung von Zugangspunkten für Verzeichnis-Buckets](access-points-directory-buckets-policies.md). In Zugangspunktrichtlinien erfordern S3-Richtlinienaktionen für Bucket-Operationen, dass Sie den Zugangspunkt-ARN für das `Resource`-Element im folgenden Format verwenden.
```
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point--usw2-az1--xa-s3"
```
Die folgende Zugangspunktrichtlinie gewährt dem Benutzer `Akua` mit dem Konto `12345678901` die `s3:ListBucket`-Berechtigung, die [https://docs.aws.amazon.com//AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_ListObjectsV2.html)-API-Operation über den Zugangspunkt namens `example-access-point--usw2-az1--xa-s3` durchzuführen. Diese Berechtigung ermöglicht es `Akua`, die Objekte in dem Bucket aufzulisten, der mit `example-access-point--usw2-az1--xa-s3` verknüpft ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAkuaToListObjectsInTheBucketThroughAccessPoint",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/Akua"
},
"Action": [
"s3:ListBucket"
],
"Resource": "arn:aws:s3express:us-east-1:111122223333:accesspoint/example-access-point-usw2-az1-xa-s3"
}
]
}
```
------
**Anmerkung**
Nicht alle Bucket-Vorgänge werden von den Zugangspunkten für Verzeichnis-Bucket unterstützt. Weitere Informationen finden Sie unter [Objektoperationen für Zugangspunkte für Verzeichnis-Buckets](access-points-directory-buckets-service-api-support.md).
### Objektoperationen
Objektoperationen sind S3-API-Operationen, die auf dem Objektressourcentyp ausgeführt werden. Beispiel: `GetObject`, `PutObject` und `DeleteObject`. S3-Richtlinienaktionen für Objektoperationen erfordern, dass das `Resource`-Element in Richtlinien der S3-Objekt-ARN in den folgenden Beispielformaten ist.
```
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
```
```
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/prefix/*"
```
**Anmerkung**
Der Objekt-ARN muss nach dem Bucket-Namen einen Schrägstrich enthalten, wie in den vorherigen Beispielen gezeigt.
Die folgende Bucket-Richtlinie erteilt dem Benutzer `Akua` mit dem Konto `12345678901` die `s3:PutObject`-Berechtigung. Diese Berechtigung ermöglicht es `Akua`, mithilfe der [https://docs.aws.amazon.com//AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_PutObject.html)-API-Operation Objekte in den S3-Bucket namens `amzn-s3-demo-bucket` hochzuladen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow Akua to upload objects",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/Akua"
},
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
**Objektoperationen in Zugangspunktrichtlinien**
Wenn Sie S3 Access Points verwenden, um den Zugriff auf Objektoperationen zu steuern, können Sie Zugangspunktrichtlinien verwenden. Wenn Sie Zugangspunktrichtlinien verwenden, erfordern S3-Richtlinienaktionen für Objektoperationen, dass Sie den Zugangspunkt-ARN für das `Resource`-Element im folgenden Format verwenden: `arn:aws:s3:region:account-id:accesspoint/access-point-name/object/resource`. Für Objektoperationen, die Zugangspunkte verwenden, müssen Sie den `/object/`-Wert nach dem vollständigen Zugangspunkt-ARN im `Resource`-Element einfügen. Hier sind einige Beispiele.
```
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point/object/*"
```
```
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point/object/prefix/*"
```
Die folgende Zugangspunktrichtlinie erteilt dem Benutzer `Akua` mit dem Konto `12345678901` die `s3:GetObject`-Berechtigung. Diese Berechtigung ermöglicht `Akua` die Ausführung der [https://docs.aws.amazon.com//AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_GetObject.html)-API-Operation über den Zugangspunkt mit dem Namen `example-access-point` auf allen Objekten im Bucket, der mit dem Zugangspunkt verknüpft ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow Akua to get objects through access point",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/Akua"
},
"Action": [
"s3:GetObject"
],
"Resource": "arn:aws:s3:us-east-1:111122223333:accesspoint/example-access-point/object/*"
}
]
}
```
------
**Anmerkung**
Nicht alle Objektoperationen werden von Zugangspunkten unterstützt. Weitere Informationen finden Sie unter [Zugangspunkt-Kompatibilität mit S3-Vorgänge](access-points-service-api-support.md#access-points-operations-support).
**Objektoperationen in Richtlinien für Zugangspunkte für Verzeichnis-Buckets**
Wenn Sie Zugangspunkte für Verzeichnis-Buckets verwenden, um den Zugriff auf Objektoperationen zu steuern, können Sie Zugriffsrichtlinien verwenden. Wenn Sie Zugangspunktrichtlinien verwenden, erfordern S3-Richtlinienaktionen für Objektoperationen, dass Sie den Zugangspunkt-ARN für das `Resource`-Element im folgenden Format verwenden: `arn:aws:s3:region:account-id:accesspoint/access-point-name/object/resource`. Für Objektoperationen, die Zugangspunkte verwenden, müssen Sie den `/object/`-Wert nach dem vollständigen Zugangspunkt-ARN im `Resource`-Element einfügen. Hier sind einige Beispiele.
```
"Resource": "arn:aws:s3express:us-west-2:123456789012:accesspoint/example-access-point--usw2-az1--xa-s3/object/*"
```
```
"Resource": "arn:aws:s3express:us-west-2:123456789012:accesspoint/example-access-point--usw2-az1--xa-s3/object/prefix/*"
```
Die folgende Zugangspunktrichtlinie erteilt dem Benutzer `Akua` mit dem Konto `12345678901` die `s3:GetObject`-Berechtigung. Diese Berechtigung ermöglicht `Akua` die Ausführung der [https://docs.aws.amazon.com//AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_GetObject.html)-API-Operation über den Zugangspunkt mit dem Namen `example-access-point--usw2-az1--xa-s3` auf allen Objekten im Bucket, der mit dem Zugangspunkt verknüpft ist.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Allow Akua to get objects through access point",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::12345678901:user/Akua"
},
"Action": "s3express:CreateSession","s3:GetObject"
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point--usw2-az1--xa-s3/object/*"
}
]
}
```
**Anmerkung**
Nicht alle Objektoperationen werden von Zugangspunkten für Verzeichnis-Buckets unterstützt. Weitere Informationen finden Sie unter [Objektoperationen für Zugangspunkte für Verzeichnis-Buckets](access-points-directory-buckets-service-api-support.md).
### Zugangspunkt für Allzweck-Bucket-Operationen
Zugangspunktoperationen sind S3-API-Operationen, die auf dem `accesspoint`-Ressourcentyp ausgeführt werden. Beispiel: `CreateAccessPoint`, `DeleteAccessPoint` und `GetAccessPointPolicy`. S3-Richtlinienaktionen für Zugangspunktoperationen können nur in identitätsbasierten IAM-Richtlinien verwendet werden, nicht in Bucket-Richtlinien oder Zugangspunktrichtlinien. Für Zugangspunktoperationen muss das `Resource`-Element der Zugangspunkt-ARN das folgende Beispielformat haben.
```
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point"
```
Die folgende identitätsbasierte IAM-Richtlinie gewährt die `s3:GetAccessPointPolicy`-Berechtigung, die [https://docs.aws.amazon.com//AmazonS3/latest/API/API_control_GetAccessPointPolicy.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_control_GetAccessPointPolicy.html)-API-Operation auf dem S3-Zugriffspunkt namens `example-access-point` auszuführen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "GrantPermissionToRetrieveTheAccessPointPolicyOfAccessPointExampleAccessPoint",
"Effect": "Allow",
"Action": [
"s3:GetAccessPointPolicy"
],
"Resource": "arn:aws:s3:*:123456789012:accesspoint/example-access-point"
}
]
}
```
------
Informationen zur Steuerung des Zugriffs auf Bucket-Operationen mithilfe von Zugangspunkten finden Sie unter [Bucket-Operationen in Richtlinien für Zugangspunkts für Allzweck-Buckets](#bucket-operations-ap). Informationen zur Steuerung des Zugriffs auf Objektoperationen finden Sie unter [Objektoperationen in Zugangspunktrichtlinien](#object-operations-ap). Weitere Informationen über das Konfigurieren von Zugangspunktrichtlinien finden Sie unter [Konfigurieren von IAM-Richtlinien für die Verwendung von Zugriffspunkten](access-points-policies.md).
### Zugangspunkt für Operationen mit Verzeichnis-Buckets
Zugangspunkt für Verzeichnis-Buckets Operationen sind S3-API-Operationen, die mit dem Ressourcentyp `accesspoint` arbeiten. Beispiel: `CreateAccessPoint`, `DeleteAccessPoint` und `GetAccessPointPolicy`. S3-Richtlinienaktionen für Zugangspunktoperationen können nur in identitätsbasierten IAM-Richtlinien verwendet werden, nicht in Bucket-Richtlinien oder Zugangspunktrichtlinien. Zugangspunkte für Operationen mit Verzeichnis-Buckets erfordern das Element `Resource` als Zugangspunkt-ARN im folgenden Beispielformat.
```
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point--usw2-az1--xa-s3"
```
Die folgende identitätsbasierte IAM-Richtlinie gewährt die `s3express:GetAccessPointPolicy`-Berechtigung, die [https://docs.aws.amazon.com//AmazonS3/latest/API/API_control_GetAccessPointPolicy.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_control_GetAccessPointPolicy.html)-API-Operation auf dem Zugangspunkt namens `example-access-point--usw2-az1--xa-s3` auszuführen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "GrantPermissionToRetrieveTheAccessPointPolicyOfAccessPointExampleAccessPointUsw2Az1XaS3",
"Effect": "Allow",
"Action": [
"s3express:CreateSession","s3express:GetAccessPointPolicy"
],
"Resource": "arn:aws:s3:*:111122223333:accesspoint/example-access-point"
}
]
}
```
------
Die folgende identitätsbasierte IAM-Richtlinie gewährt die `s3express:CreateAccessPoint` Berechtigung, Zugangspunkte für Verzeichnis-Buckets zu erstellen.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Grant CreateAccessPoint.",
"Principal": "*",
"Action": "s3express:CreateSession",
"s3express:CreateAccessPoint""Effect": "Allow",
"Resource": "*"
}
]
}
```
Die folgende identitätsbasierte IAM-Richtlinie gewährt die `s3express:PutAccessPointScope` Genehmigung, einen Zugangspunktbereich für Zugangspunkte für Verzeichnis-Buckets zu erstellen.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Grant PutAccessPointScope",
"Principal": "*",
"Action": "s3express:CreateSession",
"s3express:CreateAccessPoint",
"S3Express:PutAccessPointScope""Effect": "Allow",
"Resource": "*",
}
]
}
```
Wenn Sie Zugangspunkte für Verzeichnis-Buckets verwenden, um den Zugriff auf Bucket-Operationen zu steuern, siehe [Bucket-Operationen in Richtlinien für Zugangspunkte für Verzeichnis-Buckets](#bucket-operations-ap-directory-buckets); um den Zugriff auf Objektoperationen zu steuern, siehe [Objektoperationen in Richtlinien für Zugangspunkte für Verzeichnis-Buckets](#object-operations-ap-directory-buckets). Weitere Informationen über die Konfiguration von Zugangspunkten für Verzeichnis-Buckets-Richtlinien finden Sie unter [Konfigurieren von IAM-Richtlinien für die Verwendung von Zugangspunkten für Verzeichnis-Buckets](access-points-directory-buckets-policies.md).
### Object Lambda Access Point – Operationen
Mit S3 Object Lambda können Sie `GET`-, `LIST`- und `HEAD`-Anforderungen von Amazon S3 eigenen Code hinzufügen, um Daten zu ändern und zu verarbeiten, wenn sie an eine Anwendung zurückgegeben werden. Sie können Anfragen über einen Object Lambda Access Point stellen, der auf die gleiche Weise funktioniert wie Anfragen über andere Zugangspunkte. Weitere Informationen finden Sie unter [Transformieren von Objekten mit S3 Object Lambda](transforming-objects.md).
Weitere Informationen zur Konfiguration von Richtlinien für Operationen mit Object Lambda Access Points finden Sie unter [Konfigurieren von IAM-Richtlinien für Object Lambda Access Points](olap-policies.md).
### Multi-Region Access Point – Operationen
Ein Multi-Region Access Point stellt einen globalen Endpunkt bereit, mit dem Anwendungen Anforderungen von S3-Buckets ausführen können, die sich in mehreren AWS-Region-Regionen befinden. Sie können einen Multi-Region Access Point verwenden, um Anwendungen für mehrere Regionen mit der gleichen Architektur zu erstellen, die in einer einzelnen Region verwendet wird, und diese Anwendungen dann überall auf der Welt ausführen. Weitere Informationen finden Sie unter [Verwalten von Multi-Region-Traffic mit Multi-Region Access Points](MultiRegionAccessPoints.md).
Weitere Informationen zur Konfiguration von Richtlinien für Operationen mit Multi-Region Access Points finden Sie unter [Beispielrichtlinien für Multi-Region Access Points](MultiRegionAccessPointPermissions.md#MultiRegionAccessPointPolicyExamples).
### Batch-Auftragsoperationen
(Batch Operations)-Auftragsoperationen sind S3-API-Operationen, die auf dem Auftragsressourcentyp ausgeführt werden. Beispiel: `DescribeJob` und `CreateJob`. S3-Richtlinienaktionen für Auftragsoperationen können nur in identitätsbasierten IAM-Richtlinien verwendet werden, nicht in Bucket-Richtlinien. Für Auftragsoperationen muss das `Resource`-Element in identitätsbasierten IAM-Richtlinien außerdem der `job`-ARN das folgende Beispielformat haben.
```
"Resource": "arn:aws:s3:*:123456789012:job/*"
```
Die folgende identitätsbasierte IAM-Richtlinie gewährt die `s3:DescribeJob` Erlaubnis, den [DescribeJob](https://docs.aws.amazon.com//AmazonS3/latest/API/API_DescribeJob.html)API-Vorgang für den genannten S3 Batch Operations-Job auszuführen. `example-job`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribingBatchOperationJob",
"Effect": "Allow",
"Action": [
"s3:DescribeJob"
],
"Resource": "arn:aws:s3:*:111122223333:job/example-job"
}
]
}
```
------
### S3 Storage Lens – Konfigurationsoperationen
Weitere Informationen zur Konfiguration von S3-Storage-Lens-Konfigurationsoperationen finden Sie unter [Festlegen der Berechtigungen für Amazon S3 Storage Lens](storage_lens_iam_permissions.md).
### Kontooperationen
Kontovorgänge sind S3-API-Operationen, die auf Kontoebene ausgeführt werden. Zum Beispiel `GetPublicAccessBlock` (für ein Konto). Konto ist kein von Amazon S3 definierter Ressourcentyp. S3-Richtlinienaktionen für Kontooperationen können nur in identitätsbasierten IAM-Richtlinien verwendet werden, nicht in Bucket-Richtlinien. Außerdem erfordern Kontooperationen, dass das `Resource`-Element in IAM-identitätsbasierten Richtlinien `"*"` ist
Die folgende identitätsbasierte IAM-Richtlinie gewährt die `s3:GetAccountPublicAccessBlock`-Berechtigung, die [https://docs.aws.amazon.com//AmazonS3/latest/API/API_control_GetPublicAccessBlock.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_control_GetPublicAccessBlock.html)-API-Operation auf Kontoebene durchzuführen und die Einstellungen für das Blockieren des öffentlichen Zugriffs auf Kontoebene abzurufen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AllowRetrievingTheAccountLevelPublicAccessBlockSettings",
"Effect":"Allow",
"Action":[
"s3:GetAccountPublicAccessBlock"
],
"Resource":[
"*"
]
}
]
}
```
------
### Richtlinienbeispiele für Amazon S3
+ Beispiele für identitätsbasierte Amazon-S3-Richtlinien finden Sie unter [Identitätsbasierte Richtlinien für Amazon S3](security_iam_id-based-policy-examples.md).
+ Beispiele für ressourcenbasierte Amazon-S3-Richtlinien finden Sie unter [Bucket-Richtlinien für Amazon S3](bucket-policies.md) und [Konfigurieren von IAM-Richtlinien für die Verwendung von Zugriffspunkten](access-points-policies.md).
## Richtlinienressourcen für Amazon S3
**Unterstützt Richtlinienressourcen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Einige API-Aktionen von Amazon S3 unterstützen mehrere Ressourcen. Beispielsweise greift `s3:GetObject` auf `example-resource-1` und `example-resource-2` zu, sodass ein Prinzipal Berechtigungen für den Zugriff auf beide Ressourcen haben muss. Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie sie ARNs durch Kommas, wie im folgenden Beispiel gezeigt.
```
"Resource": [
"example-resource-1",
"example-resource-2"
```
Ressourcen in Amazon S3 sind Buckets, Objekte, Zugangspunkte oder Aufträge. Verwenden Sie in einer Richtlinie den Amazon-Ressourcennamen (ARN) des Buckets, Objekts, Zugangspunkts oder Auftrags, um die Ressource zu identifizieren.
Eine vollständige Liste der Amazon S3-Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter [Von Amazon S3 definierte Ressourcen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-resources-for-iam-policies) in der *Service Authorization Reference*. Informationen zu den Aktionen, mit denen Sie den ARN einzelner Ressourcen angeben können, finden Sie unter [Von Amazon S3 definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-actions-as-permissions).
Weitere Informationen zu den Berechtigungen für S3-API-Operationen nach S3-Ressourcentypen finden Sie unter [Erforderliche Berechtigungen für Amazon-S3-API-Operationen](using-with-s3-policy-actions.md).
### Platzhalterzeichen in der Ressource ARNs
Sie können Platzhalterzeichen als Teil des Ressourcen-ARN verwenden. Sie können Platzhalterzeichen (`*` und `?`) in einem beliebigen ARN-Segment (durch Doppelpunkte getrennte Teile) verwenden. Ein Sternchen (`*`) steht für kein Zeichen oder eine beliebige Kombination von mehreren Zeichen und ein Fragezeichen (`?`) entspricht einem beliebigen einzelnen Zeichen. Sie können mehrere `*`- oder `?`-Zeichen in jedem Segment verwenden. Ein Platzhalterzeichen kann sich jedoch nicht über mehrere Segmente erstrecken.
+ Der folgende ARN verwendet das Platzhalterzeichen `*` im Teil `relative-ID` des ARN, um alle Objekte im Bucket `amzn-s3-demo-bucket` anzugeben.
```
1. arn:aws:s3:::amzn-s3-demo-bucket/*
```
+ Der folgende ARN verwendet `*`, um alle S3-Buckets und -Objekte anzugeben.
```
arn:aws:s3:::*
```
+ Der folgende ARN verwendet beide Platzhalterzeichen, `*` und `?`, im Teil `relative-ID`. Dieser ARN identifiziert alle Objekte in Buckets wie *`amzn-s3-demo-example1bucket`*, `amzn-s3-demo-example2bucket`, `amzn-s3-demo-example3bucket` usw.
```
1. arn:aws:s3:::amzn-s3-demo-example?bucket/*
```
### Richtlinienvariablen für die Ressource ARNs
Sie können Richtlinienvariablen in Amazon S3 verwenden ARNs. Bei der Richtlinienauswertung werden diese vordefinierten Variablen durch ihre entsprechenden Werte ersetzt. Angenommen, Sie organisieren Ihren Bucket als eine Sammlung von Ordnern mit je einem Ordner für jeden Ihrer Benutzer. Der Ordnername entspricht dabei dem Benutzernamen. Um den Benutzern Berechtigungen für ihre Ordner zu erteilen, können Sie eine Richtlinienvariable im Ressourcen-ARN angeben:
```
arn:aws:s3:::bucket_name/developers/${aws:username}/
```
Zur Laufzeit wird bei der Auswertung der Richtlinie die Variable `${aws:username}` im Ressourcen-ARN durch den Benutzernamen der Person ersetzt, die die Anforderung stellt.
### Richtlinienbeispiele für Amazon S3
+ Beispiele für identitätsbasierte Amazon-S3-Richtlinien finden Sie unter [Identitätsbasierte Richtlinien für Amazon S3](security_iam_id-based-policy-examples.md).
+ Beispiele für ressourcenbasierte Amazon-S3-Richtlinien finden Sie unter [Bucket-Richtlinien für Amazon S3](bucket-policies.md) und [Konfigurieren von IAM-Richtlinien für die Verwendung von Zugriffspunkten](access-points-policies.md).
## Richtlinienbedingungsschlüssel für Amazon S3
**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Jeder Amazon S3-Bedingungsschlüssel entspricht dem gleichen Namen des Anfrage-Headers, der von der API erlaubt ist, auf der die Bedingung festgelegt werden kann. Amazon-S3-spezifische Bedingungsschlüssel bestimmen das Verhalten der Anforderungs-Header mit demselben Namen. Beispielsweise definiert der Bedingungsschlüssel `s3:VersionId`, der verwendet wird, um bedingte Berechtigungen für die `s3:GetObjectVersion`-Berechtigung zu gewähren, das Verhalten des `versionId`-Abfrageparameters, den Sie in einer GET-Object-Anforderung festlegen.
Eine Liste von Amazon-S3-Bedingungsschlüsseln finden Sie unter [Bedingungsschlüssel für Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-policy-keys) in der *Service-Authorization-Referenz*. Informationen dazu, für welche Aktionen und Ressourcen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von Amazon S3 definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-actions-as-permissions).
### Beispiel: Beschränken von Objekt-Uploads auf Objekte mit einer bestimmten Speicherklasse
Angenommen, Konto A, dargestellt durch Konto-ID `123456789012`, besitzt einen Bucket. Der Administrator von Konto A möchte *`Dave`*, einen Benutzer in Konto A, so einschränken, dass *`Dave`* nur dann Objekte in das Bucket hochladen kann, wenn das Objekt in der Speicherklasse `STANDARD_IA` gespeichert ist. Um das Hochladen von Objekten auf eine bestimmte Speicherklasse einzuschränken, kann der Administrator von Konto A den Bedingungsschlüssel `s3:x-amz-storage-class` verwenden wie in der folgenden Bucket-Beispielrichtlinie gezeigt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "statement1",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Dave"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*",
"Condition": {
"StringEquals": {
"s3:x-amz-storage-class": [
"STANDARD_IA"
]
}
}
}
]
}
```
------
Im Beispiel gibt der Block `Condition` die Bedingung `StringEquals` an, die auf das angegebene Schlüssel-Wert-Paar angewendet wird, `"s3:x-amz-acl":["public-read"]`. Es gibt einen Satz vordefinierter Schlüssel, die Sie zum Ausdruck einer Bedingung verwenden können. Das Beispiel verwendet den Bedingungsschlüssel `s3:x-amz-acl`. Diese Bedingung erfordert, dass der Benutzer in jeder `PutObject`-Anforderung den Header `x-amz-acl` mit dem Wert `public-read` angibt.
### Richtlinienbeispiele für Amazon S3
+ Beispiele für identitätsbasierte Amazon-S3-Richtlinien finden Sie unter [Identitätsbasierte Richtlinien für Amazon S3](security_iam_id-based-policy-examples.md).
+ Beispiele für ressourcenbasierte Amazon-S3-Richtlinien finden Sie unter [Bucket-Richtlinien für Amazon S3](bucket-policies.md) und [Konfigurieren von IAM-Richtlinien für die Verwendung von Zugriffspunkten](access-points-policies.md).
## ACLs auf Amazon S3
**Unterstützt ACLs:** Ja
In Amazon S3 kontrollieren Zugriffskontrolllisten (ACLs), welche Berechtigungen für den Zugriff auf eine Ressource AWS-Konten haben. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das Format für JSON-Richtliniendokumente.
**Wichtig**
Für die meisten modernen Anwendungsfälle in Amazon S3 ist die Verwendung von nicht mehr erforderlich ACLs.
Informationen zur Verwendung ACLs zur Zugriffskontrolle in Amazon S3 finden Sie unter[Zugriff verwalten mit ACLs](acls.md).
## ABAC mit Amazon S3
**Unterstützt ABAC (Tags in Richtlinien):** Teilweise
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, die Operationen zulassen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.
Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.
Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.
*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.
Informationen über Ressourcen, die ABAC in Amazon S3 unterstützen, finden Sie unter [Verwendung von Tags für attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging.html#using-tags-for-abac).
Ein Beispiel für eine identitätsbasierte Richtlinie zur Einschränkung des Zugriffs auf S3-Batch-Operations-Aufträge auf der Grundlage von Tags finden Sie unter [Steuern von Berechtigungen für Batch Operations mithilfe von Auftragsmarkierungen](batch-ops-job-tags-examples.md).
### ABAC und Objekt-Tags
In ABAC-Richtlinien verwenden Objekte `s3:`-Tags anstelle von `aws:`-Tags. Um den Zugriff auf Objekte basierend auf Objekt-Tags zu steuern, geben Sie Tag-Informationen im [Condition-Element](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) einer Richtlinie unter Verwendung der folgenden Tags an:
+ `s3:ExistingObjectTag/tag-key`
+ `s3:RequestObjectTagKeys`
+ `s3:RequestObjectTag/tag-key`
Informationen zur Verwendung von Objekt-Tags zur Zugriffssteuerung, einschließlich beispielhafter Berechtigungsrichtlinien, finden Sie unter [Markierungs- und Zugriffskontrollrichtlinien](tagging-and-policies.md).
## Verwenden von temporären Anmeldeinformationen mit Amazon S3
**Unterstützt temporäre Anmeldeinformationen:** Ja
Temporäre Anmeldeinformationen ermöglichen den kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie einen Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
## Forward Access Sessions für Amazon S3
**Unterstützt Forward Access Sessions (FAS):** Ja
Forward Access Sessions (FAS) verwenden die Berechtigungen des Prinzipals, der einen aufruft AWS-Service, in Kombination mit der Anfrage, Anfragen AWS-Service an nachgeschaltete Dienste zu stellen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
+ FAS wird von Amazon S3 verwendet, um Aufrufe zur Entschlüsselung eines Objekts AWS KMS zu tätigen, wenn SSE-KMS zur Verschlüsselung verwendet wurde. Weitere Informationen finden Sie unter [Verwenden der serverseitigen Verschlüsselung mit AWS KMS Schlüsseln (SSE-KMS)](UsingKMSEncryption.md).
+ S3 Access Grants verwendet auch FAS. Nachdem Sie eine Zugriffsberechtigung für Ihre S3-Daten für eine bestimmte Identität erstellt haben, fordert der Empfänger temporäre Anmeldeinformationen von S3 Access Grants an. S3 Access Grants erhält temporäre Anmeldeinformationen für den Anforderer von AWS STS und sendet die Anmeldeinformationen an den Antragsteller. Weitere Informationen finden Sie unter [Anfordern des Zugriffs auf Amazon-S3-Daten über S3 Access Grants](access-grants-credentials.md).
## Servicerollen für Amazon S3
**Unterstützt Servicerollen:** Ja
Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
**Warnung**
Das Ändern der Berechtigungen für eine Servicerolle könnte die Funktionalität von Amazon EFS beeinträchtigen. Bearbeiten Sie Servicerollen nur, wenn Amazon S3 dazu Anleitungen gibt.
## Serviceverknüpfte Rollen für Amazon S3
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine dienstbezogene Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Amazon S3 unterstützt serviceverknüpfte Rollen für Amazon S3 Storage Lens. Details zum Erstellen oder Verwalten von serviceverknüpften Amazon-S3-Rollen finden Sie unter [Verwenden von serviceverknüpften Rollen für Amazon S3 Storage Lens](using-service-linked-roles.md).
**Amazon-S3-Service als Prinzipal**
| Dienstname in der Richtlinie | S3-Feature | Weitere Informationen |
| --- | --- | --- |
| `s3.amazonaws.com` | S3-Replikation | [Einrichten einer Live-Replikation – Überblick](replication-how-setup.md) |
| `s3.amazonaws.com` | S3-Ereignisbenachrichtigungen | [Amazon-S3-Ereignisbenachrichtigungen](EventNotifications.md) |
| `s3.amazonaws.com` | S3-Bestand | [Katalogisieren und Analysieren Ihrer Daten mit S3 Inventory](storage-inventory.md) |
| `access-grants.s3.amazonaws.com` | S3-Zugriffsberechtigungen | [Registrieren eines Speicherorts](access-grants-location-register.md) |
| `batchoperations.s3.amazonaws.com` | S3 Batch Operations | [Gewähren von Berechtigungen für Batchoperationen](batch-ops-iam-role-policies.md) |
| `logging.s3.amazonaws.com` | S3 Server Access Logging | [Aktivieren Sie die Amazon-S3-Server-Zugriffsprotokollierung](enable-server-access-logging.md) |
| `storage-lens.s3.amazonaws.com` | S3 Storage Lens | [Anzeigen von Amazon S3-Storage-Lens-Metriken mit einem Datenexport](storage_lens_view_metrics_export.md) |