Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Gewährung von Zugriff und Berechtigungen für Fileshares und Buckets
<a name="add-file-share"></a>

Nachdem Ihr S3 File Gateway aktiviert ist und läuft, können Sie weitere Dateifreigaben hinzufügen und Zugriff auf Amazon S3 S3-Buckets gewähren, einschließlich Buckets, die sich von Ihren Gateways und Dateifreigaben unterscheiden AWS-Konten . In den folgenden Abschnitten wird beschrieben, wie Sie mithilfe von IAM-Rollen Ihrem Gateway Zugriffsberechtigungen für Amazon S3 S3-Buckets und VPC-Endpunkte gewähren, bestimmte Sicherheitsprobleme verhindern und Dateifreigaben mit Buckets verbinden können. AWS-Konten

Informationen zum Erstellen einer neuen Dateifreigabe finden Sie unter. [Erstellen einer Dateifreigabe](GettingStartedCreateFileShare.md)

Dieser Abschnitt enthält die folgenden Themen, die zusätzliche Informationen darüber enthalten, wie Sie Zugriff und Berechtigungen für Dateifreigaben und Amazon S3 S3-Buckets gewähren können:

**Topics**
+ [Zugriff auf einen Amazon S3 S3-Bucket gewähren](grant-access-s3.md)- Erfahren Sie, wie Sie Ihrem File Gateway Zugriff gewähren, um Dateien in Ihren Amazon S3 S3-Bucket hochzuladen und Aktionen an allen Access Points oder Amazon Virtual Private Cloud (Amazon VPC) -Endpunkten durchzuführen, die es für die Verbindung mit dem Bucket verwendet.
+ [Serviceübergreifende Confused-Deputy-Prävention](cross-service-confused-deputy-prevention.md)- Erfahren Sie, wie Sie ein häufig auftretendes Sicherheitsproblem verhindern können, bei dem eine Entität, die nicht zur Ausführung einer Aktion berechtigt ist, eine Entität mit mehr Rechten dazu zwingen kann, die Aktion auszuführen.
+ [Verwenden einer Dateifreigabe für kontoübergreifenden Zugriff](cross-account-access.md)- Erfahren Sie, wie Sie Zugriff für ein Amazon Web Services Services-Konto gewähren und Benutzern dieses Kontos Zugriff auf Ressourcen gewähren, die zu einem anderen Amazon Web Services Services-Konto gehören. 

# Zugriff auf einen Amazon S3 S3-Bucket gewähren
<a name="grant-access-s3"></a>

Wenn Sie eine Dateifreigabe erstellen, benötigt Ihr File Gateway Zugriff, um Dateien in Ihren Amazon S3 S3-Bucket hochzuladen und Aktionen auf allen Access Points oder Virtual Private Cloud (VPC) -Endpunkten auszuführen, die es für die Verbindung mit dem Bucket verwendet. Um diesen Zugriff zu gewähren, nimmt Ihr File Gateway eine AWS Identity and Access Management (IAM) -Rolle an, die mit einer IAM-Richtlinie verknüpft ist, die diesen Zugriff gewährt.

Für die Rolle ist diese IAM-Richtlinie und eine Vertrauensbeziehung zum Security Token Service (STS) erforderlich. Die Richtlinie bestimmt, welche Aktionen die Rolle ausführen kann. Darüber hinaus müssen Ihr S3-Bucket und alle zugehörigen Access Points oder VPC-Endpoints über eine Zugriffsrichtlinie verfügen, die der IAM-Rolle den Zugriff darauf ermöglicht.

Sie können die Rolle und die Zugriffsrichtlinie selbst erstellen, oder Ihr File Gateway kann sie für Sie erstellen. Wenn Ihr File Gateway die Richtlinie für Sie erstellt, enthält die Richtlinie eine Liste von S3-Aktionen. Informationen zu Rollen und Berechtigungen finden Sie im *IAM-Benutzerhandbuch* unter [Eine Rolle erstellen, um Berechtigungen AWS-Service an eine zu delegieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).

Das folgende Beispiel ist eine Vertrauensrichtlinie, die es Ihrem File Gateway ermöglicht, eine IAM-Rolle anzunehmen.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "storagegateway.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

**Wichtig**  
Storage Gateway kann bestehende Servicerollen übernehmen, die mithilfe der `iam:PassRole` Richtlinienaktion übergeben werden, unterstützt jedoch keine IAM-Richtlinien, die den `iam:PassedToService` Kontextschlüssel verwenden, um die Aktion auf bestimmte Dienste zu beschränken.  
Weitere Informationen finden Sie in folgenden Themen im *AWS Identity and Access Management -Benutzerhandbuch*:  
[IAM: Übergibt eine IAM-Rolle an einen bestimmten Dienst AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_iam-passrole-service.html)
[Einem Benutzer Berechtigungen zur Übergabe einer Rolle an einen Dienst gewähren AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html)
[Verfügbare Schlüssel für IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_iam-condition-keys.html#ck_PassedToService)

Wenn Sie nicht möchten, dass Ihr File Gateway in Ihrem Namen eine Richtlinie erstellt, können Sie Ihre eigene Richtlinie erstellen und sie an Ihre Dateifreigabe anhängen. Weitere Information dazu finden Sie unter [Erstellen einer Dateifreigabe](GettingStartedCreateFileShare.md).

Die folgende Beispielrichtlinie ermöglicht es Ihrem File Gateway, alle in der Richtlinie aufgeführten Amazon S3 S3-Aktionen durchzuführen. Der erste Teil der Anweisung definiert, dass alle aufgeführten Aktionen auf den S3-Bucket `amzn-s3-demo-bucket` angewendet werden dürfen. Der zweite Teil legt fest, dass die aufgeführten Aktionen auf alle Objekte in `amzn-s3-demo-bucket` angewendet werden dürfen.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "s3:GetAccelerateConfiguration",
                "s3:GetBucketLocation",
                "s3:GetBucketVersioning",
                "s3:ListBucket",
                "s3:ListBucketVersions",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Effect": "Allow"
        }
    ]
}
```

------

Die folgende Beispielrichtlinie ähnelt der vorherigen, ermöglicht Ihrem File Gateway jedoch die Durchführung von Aktionen, die für den Zugriff auf einen Bucket über einen Zugriffspunkt erforderlich sind.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:us-east-1:111122223333:accesspoint/TestAccessPointName/*",
            "Effect": "Allow"
        }
    ]
}
```

------

**Anmerkung**  
Wenn Sie Ihre Dateifreigabe über einen VPC-Endpunkt mit einem S3-Bucket verbinden müssen, finden Sie weitere Informationen unter [Endpunktrichtlinien für Amazon S3](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#vpc-endpoints-policies-s3) im *AWS PrivateLink Benutzerhandbuch*.

**Anmerkung**  
Für verschlüsselte Buckets muss das Fileshare den Schlüssel im Ziel-S3-Bucket-Konto verwenden.

**Anmerkung**  
***Wenn Ihr File Gateway SSE-KMS oder DSSE-KMS für die Verschlüsselung verwendet, stellen Sie sicher, dass die der Dateifreigabe zugeordnete IAM-Rolle die Berechtigungen *kms:encrypt, *kms:Decrypt**, kms: \$1, kms: und kms: umfasst. ReEncrypt GenerateDataKey DescribeKey*** Weitere Informationen finden Sie unter [Verwenden von identitätsbasierten Richtlinien (IAM-Richtlinien) für](https://docs.aws.amazon.com/filegateway/latest/files3/using-identity-based-policies.html) Storage Gateway.

# Serviceübergreifende Confused-Deputy-Prävention
<a name="cross-service-confused-deputy-prevention"></a>

Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann. In AWS kann ein dienstübergreifendes Identitätswechsels zum Problem des verwirrten Stellvertreters führen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der *Anruf-Dienst*) einen anderen Dienst anruft (den *aufgerufenen Dienst*). Der aufrufende Service kann manipuliert werden, um seine Berechtigungen zu verwenden, um Aktionen auf die Ressourcen eines anderen Kunden auszuführen, für die er sonst keine Zugriffsberechtigung haben sollte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben. 

Wir empfehlen, die Kontextschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)und die [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globalen Bedingungsschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen einzuschränken, die der AWS Storage Gateway Ressource einen anderen Dienst gewähren. Wenn Sie beide globalen Bedingungskontextschlüssel verwenden, müssen der `aws:SourceAccount`-Wert und das Konto im `aws:SourceArn`-Wert dieselbe Konto-ID verwenden, wenn sie in derselben Richtlinienanweisung verwendet werden.

Der Wert von `aws:SourceArn` muss der ARN des Storage Gateway sein, mit dem Ihre Dateifreigabe verknüpft ist.

Der effektivste Weg, um sich vor dem Confused-Deputy-Problem zu schützen, ist die Verwendung des globalen Bedingungskontext-Schlüssels `aws:SourceArn` mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den globalen Bedingungskontext-Schlüssel `aws:SourceArn` mit Platzhaltern (`*`) für die unbekannten Teile des ARN. Beispiel, `arn:aws:servicename::123456789012:*`. 

Das folgende Beispiel zeigt, wie Sie die Kontextschlüssel `aws:SourceArn` und die `aws:SourceAccount` globalen Bedingungsschlüssel in Storage Gateway verwenden können, um das Problem des verwirrten Stellvertreters zu verhindern.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
       "Sid": "ConfusedDeputyPreventionExamplePolicy",
       "Effect": "Allow",
       "Principal": {
         "Service": "storagegateway.amazonaws.com"
       },
       "Action": "sts:AssumeRole",
       "Condition": {
         "StringEquals": {
           "aws:SourceAccount": "444455556666"
         },
         "ArnLike": {
          "aws:SourceArn": "arn:aws:storagegateway:us-east-1:444455556666:gateway/sgw-123456DA"
        }
      }
    }
  ]  
}
```

------

# Verwenden einer Dateifreigabe für kontoübergreifenden Zugriff
<a name="cross-account-access"></a>

*Kontoübergreifender* Zugriff liegt vor, wenn einem Amazon Web Services Services-Konto und Benutzern dieses Kontos Zugriff auf Ressourcen gewährt wird, die zu einem anderen Amazon Web Services Services-Konto gehören. Mit File Gateways können Sie eine Dateifreigabe in einem Amazon Web Services Services-Konto verwenden, um auf Objekte in einem Amazon S3 S3-Bucket zuzugreifen, der zu einem anderen Amazon Web Services Services-Konto gehört.

**So verwenden Sie eine Dateifreigabe, die einem Amazon Web Services Services-Konto gehört, um auf einen S3-Bucket in einem anderen Amazon Web Services Services-Konto zuzugreifen**

1. Stellen Sie sicher, dass der S3-Bucket-Besitzer Ihrem Amazon Web Services Services-Konto Zugriff auf den S3-Bucket, auf den Sie zugreifen müssen, und auf die Objekte in diesem Bucket gewährt hat. Informationen zur Gewährung dieses Zugriffs finden Sie unter [Beispiel 2: Bucket-Besitzer, der kontoübergreifende Bucket-Berechtigungen gewährt](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example2.html) im *Amazon Simple Storage Service-Benutzerhandbuch*. Eine Liste der erforderlichen Berechtigungen finden Sie unter [Zugriff auf einen Amazon S3 S3-Bucket gewähren](grant-access-s3.md).

1. Stellen Sie sicher, dass die von der Dateifreigabe für den Zugriff auf den S3-Bucket verwendete IAM-Rolle über Berechtigungen für Operationen wie `s3:GetObjectAcl` und `s3:PutObjectAcl` verfügt. Stellen Sie außerdem sicher, dass die IAM-Rolle eine Vertrauensrichtlinie enthält, die es dem Konto ermöglicht, diese IAM-Rolle zu übernehmen. Ein Beispiel für eine solche Vertrauensrichtlinie finden Sie unter [Zugriff auf einen Amazon S3 S3-Bucket gewähren](grant-access-s3.md).

   Wenn die Dateifreigabe für den Zugriff auf den S3-Bucket eine vorhandene Rolle verwendet, sollten Sie Berechtigungen für die Operationen `s3:GetObjectAc` und `s3:PutObjectAcl` einschließen. Außerdem benötigt die Rolle eine Vertrauensrichtlinie, die es dem Konto ermöglicht, diese Rolle anzunehmen. Ein Beispiel für eine solche Vertrauensrichtlinie finden Sie unter [Zugriff auf einen Amazon S3 S3-Bucket gewähren](grant-access-s3.md).

1. [Wählen Sie **Gateway-Dateien, auf die der Besitzer des S3-Buckets zugreifen** kann, wenn Sie Ihre Dateifreigabe erstellen oder die Dateifreigabeeinstellungen im Home bearbeiten. https://console.aws.amazon.com/storagegateway/](https://console.aws.amazon.com/storagegateway/)

Wenn Sie die Dateifreigabe für kontoübergreifenden Zugriff erstellt oder aktualisiert und die Dateifreigabe lokal eingebunden haben, empfehlen wir dringend, die Konfiguration zu testen. Listen Sie hierzu den Verzeichnisinhalt auf oder schreiben Sie Testdateien und stellen Sie sicher, dass die Dateien als Objekte im S3-Bucket angezeigt werden.

**Wichtig**  
Sie müssen die Richtlinien so einrichten, dass kontoübergreifender Zugriff auf das von der Dateifreigabe verwendete Konto gewährt wird. Wenn Sie dies nicht tun, werden Aktualisierungen von Dateien über Ihre lokalen Anwendungen nicht an den Amazon S3 S3-Bucket weitergegeben, mit dem Sie arbeiten.

## Ressourcen
<a name="related-topics-fileshare"></a>

Weitere Informationen zu Zugriffsrichtlinien und Zugriffskontrolllisten finden Sie unter:

[Richtlinien für die Verwendung der verfügbaren Zugriffsrichtlinienoptionen](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-policy-alternatives-guidelines.html) im *Amazon Simple Storage Service-Benutzerhandbuch*

[Übersicht über Zugriffssteuerungsliste (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/dev/acl-overview.html) im *Benutzerhandbuch für Amazon Simple Storage Service*