Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Zugriffskontrolle für Snowball Edge Console und Erstellen von Jobs
Wie bei allen AWS Diensten AWS Snowball Edge erfordert der Zugriff auf Anmeldeinformationen, mit denen Sie Ihre Anfragen authentifizieren AWS können. Diese Anmeldeinformationen müssen über Berechtigungen für den Zugriff auf AWS Ressourcen wie einen Amazon S3 S3-Bucket oder eine AWS Lambda Funktion verfügen. AWS Snowball Edge unterscheidet sich in zweierlei Hinsicht:
1. Jobs in haben AWS Snowball Edge keine Amazon-Ressourcennamen (ARNs).
1. Die Steuerung des physischen Zugangs und des Netzwerkzugriffs eines Geräts bei Ihnen vor Ort liegt in Ihrer Verantwortung.
[Identity and Access Management für AWS Snowball Edge](security-iam.md)Einzelheiten dazu, wie Sie [AWS Identity and Access Management (IAM) verwenden und](https://docs.aws.amazon.com/IAM/latest/UserGuide/) wie Sie Ihre Ressourcen schützen können AWS Snowball Edge , indem Sie kontrollieren, wer darauf zugreifen kann, finden Sie in den Empfehlungen sowie in den AWS Cloud Empfehlungen zur lokalen Zugriffskontrolle.
## Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre Ressourcen im AWS Cloud
Jede AWS Ressource gehört einem AWS-Konto, und die Berechtigungen zum Erstellen oder Zugreifen auf eine Ressource werden durch Berechtigungsrichtlinien geregelt. Ein Kontoadministrator kann IAM-Identitäten (d. h. Benutzern, Gruppen und Rollen) Berechtigungsrichtlinien zuordnen, und einige Dienste (z. B. AWS Lambda) unterstützen auch das Anhängen von Berechtigungsrichtlinien an Ressourcen.
**Anmerkung**
Ein *Kontoadministrator* (oder Administratorbenutzer) ist ein Benutzer mit Administratorrechten. Weitere Informationen finden Sie unter [Bewährte Methoden für IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Ressourcen und Operationen](#access-control-resources)
+ [Grundlegendes zum Eigentum an Ressourcen](#access-control-owner)
+ [Verwaltung des Zugriffs auf Ressourcen in AWS Cloud](#access-control-manage-access-intro)
+ [Festlegen der Richtlinienelemente: Aktionen, Effekte und Prinzipale](#access-control-specify-actions)
+ [Angeben von Bedingungen in einer Richtlinie](#specifying-conditions)
### Ressourcen und Operationen
*In ist AWS Snowball Edge die primäre Ressource ein Job.* AWS Snowball Edge hat auch Geräte wie den Snowball und das AWS Snowball Edge Gerät, Sie können diese Geräte jedoch nur im Kontext eines vorhandenen Jobs verwenden. Amazon S3-Buckets und Lambda-Funktionen sind Ressourcen von Amazon S3 bzw. Lambda.
Wie bereits erwähnt, sind Jobs nicht mit Amazon Resource Names (ARNs) verknüpft. Den Ressourcen anderer Dienste, wie z. B. Amazon S3 S3-Buckets, ist jedoch unique (ARNs) zugeordnet, wie in der folgenden Tabelle dargestellt.
| Ressourcentyp | ARN-Format |
| --- | --- |
| S3-Bucket | arn:aws:s3:region:account-id:BucketName/ObjectName |
AWS Snowball Edge bietet eine Reihe von Vorgängen zum Erstellen und Verwalten von Aufträgen. Eine Liste der verfügbaren Operationen finden Sie in der [AWS Snowball Edge API-Referenz](https://docs.aws.amazon.com/snowball/latest/api-reference/api-reference.html).
### Grundlegendes zum Eigentum an Ressourcen
Der AWS-Konto besitzt die Ressourcen, die im Konto erstellt wurden, unabhängig davon, wer die Ressourcen erstellt hat. Insbesondere ist der Ressourcenbesitzer derjenige AWS-Konto der [Prinzipalentität](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) (d. h. das Root-Konto, ein IAM-Benutzer oder eine IAM-Rolle), die die Anfrage zur Ressourcenerstellung authentifiziert. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:
+ Wenn Sie Ihre Root-Kontoanmeldeinformationen verwenden, AWS-Konto um einen S3-Bucket zu erstellen, AWS-Konto sind Sie der Eigentümer der Ressource (in AWS Snowball Edge, die Ressource ist der Job).
+ Wenn Sie in Ihrem einen IAM-Benutzer erstellen AWS-Konto und diesem Benutzer Berechtigungen zum Erstellen eines Auftrags zur Bestellung eines Snowball Edge-Geräts erteilen, kann der Benutzer einen Auftrag zur Bestellung eines Snowball Edge-Geräts erstellen. Ihre AWS-Konto, zu der der Benutzer gehört, besitzt jedoch die Jobressource.
+ Wenn Sie eine IAM-Rolle in Ihrem AWS-Konto mit den Berechtigungen zum Erstellen eines Jobs erstellen, kann jeder, der die Rolle übernehmen kann, einen Job erstellen, um ein Snowball Edge-Gerät zu bestellen. Ihre AWS-Konto, zu der die Rolle gehört, besitzt die Jobressource.
### Verwaltung des Zugriffs auf Ressourcen in AWS Cloud
Eine *Berechtigungsrichtlinie* beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werden die verfügbaren Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.
**Anmerkung**
In diesem Abschnitt wird die Verwendung von IAM im Kontext von AWS Snowball Edge beschrieben. Er enthält keine detaillierten Informationen über den IAM-Service. Eine umfassende IAM-Dokumentation finden Sie unter [Was ist IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) im *IAM-Benutzerhandbuch*. Für Informationen über die Syntax und Beschreibungen von [AWS -IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) lesen Sie die *IAM-Richtlinienreferenz im IAM-Benutzerhandbuch*.
*Richtlinien, die mit einer IAM-Identität verknüpft sind, werden als *identitätsbasierte* Richtlinien (IAM-Richtlinien) bezeichnet, und Richtlinien, die einer Ressource zugeordnet sind, werden als ressourcenbasierte Richtlinien bezeichnet.* AWS Snowball Edge unterstützt nur identitätsbasierte Richtlinien (IAM-Richtlinien).
**Topics**
+ [Ressourcenbasierte Richtlinien](#access-control-manage-access-intro-resource-policies)
#### Ressourcenbasierte Richtlinien
Andere Services, z. B. Amazon-S3, unterstützen auch ressourcenbasierte Berechtigungsrichtlinien. Sie können beispielsweise eine Richtlinie an einen S3-Bucket anhängen, um die Zugriffsberechtigungen für diesen Bucket zu verwalten. AWS Snowball Edge unterstützt keine ressourcenbasierten Richtlinien.
### Festlegen der Richtlinienelemente: Aktionen, Effekte und Prinzipale
Für jeden Job (siehe[Ressourcen und Operationen](#access-control-resources)) definiert der Service eine Reihe von API-Operationen (siehe [AWS Snowball Edge API-Referenz](https://docs.aws.amazon.com/snowball/latest/api-reference/api-reference.html)), um den Job zu erstellen und zu verwalten. AWS Snowball Edge Definiert eine Reihe von Aktionen, die Sie in einer Richtlinie angeben können, um Berechtigungen für diese API-Operationen zu erteilen. Beispielsweise werden für einen Auftrag die folgenden Aktionen definiert: `CreateJob`, `CancelJob` und `DescribeJob`. Zur Durchführung einer API-Operation können Berechtigungen für mehrere Aktionen erforderlich sein.
Grundlegende Richtlinienelemente:
+ **Ressource** – In einer Richtlinie wird der Amazon-Ressourcenname (ARN) zur Identifizierung der Ressource verwendet, für die die Richtlinie gilt. Weitere Informationen finden Sie unter [Ressourcen und Operationen](#access-control-resources).
**Anmerkung**
Dies wird für Amazon S3, Amazon EC2, AWS Lambda und viele andere Dienste unterstützt. AWS KMS
Snowball unterstützt nicht die Angabe eines Ressourcen-ARN im `Resource` Element einer IAM-Richtlinienanweisung. Um den Zugriff auf Snowball zu ermöglichen, geben Sie dies `“Resource”: “*”` in Ihrer Richtlinie an.
+ **Aktion** – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten. Abhängig vom angegebenen `Effect` gestattet oder verweigert `snowball:*` den Benutzerberechtigungen z. B. die Durchführung von Operationen.
**Anmerkung**
Dies wird für Amazon EC2, Amazon S3 und IAM unterstützt.
+ **Auswirkung** – Die von Ihnen festgelegte Auswirkung, wenn der Benutzer die jeweilige Aktion anfordert – entweder „allow“ (Zugriffserlaubnis) oder „deny“ (Zugriffsverweigerung). Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten ("Allow"), wird er automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.
**Anmerkung**
Dies wird für Amazon EC2, Amazon S3 und IAM unterstützt.
+ **Prinzipal** – In identitätsbasierten Richtlinien (IAM-Richtlinien) ist der Benutzer, dem die Richtlinie zugewiesen ist, automatisch der Prinzipal. Bei ressourcenbasierten Richtlinien geben Sie den Benutzer, das Konto, den Dienst oder die andere Entität an, für die Sie Berechtigungen erhalten möchten (gilt nur für ressourcenbasierte Richtlinien). AWS Snowball Edge unterstützt keine ressourcenbasierten Richtlinien.
Weitere Informationen zur Syntax und zu Beschreibungen von IAM-Richtlinien finden Sie in der [AWS -IAM-Richtlinienreferenz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) im *IAM-Benutzerhandbuch*.
Eine Tabelle mit allen AWS Snowball Edge API-Aktionen finden Sie unter. [AWS Snowball Edge API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen](access-policy-examples-for-sdk-cli.md#snowball-api-permissions-ref)
### Angeben von Bedingungen in einer Richtlinie
Beim Erteilen von Berechtigungen können Sie mithilfe der IAM-Richtliniensyntax die Bedingungen angeben, unter denen die Richtlinie wirksam werden soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zum Angeben von Bedingungen in einer Richtliniensyntax finden Sie im Thema [Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) im *IAM Benutzerhandbuch*.
Bedingungen werden mithilfe vordefinierter Bedingungsschlüssel formuliert. Für AWS Snowball Edge gibt es keine speziellen Bedingungsschlüssel. Es gibt jedoch Bedingungsschlüssel für AWS alle Bereiche, die Sie je nach Bedarf verwenden können. Eine vollständige Liste der AWS-weiten Schlüssel finden Sie unter [Verfügbare Schlüssel für Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
## AWS-Verwaltete (vordefinierte) Richtlinien für AWS Snowball Edge
AWS adressiert viele gängige Anwendungsfälle durch die Bereitstellung eigenständiger IAM-Richtlinien, die von erstellt und verwaltet werden. AWS Die verwalteten Richtlinien erteilen die erforderlichen Berechtigungen für viele häufige Anwendungsfälle, sodass Sie nicht mühsam ermitteln müssen, welche Berechtigungen erforderlich sind. Weitere Informationen finden Sie unter [AWS -verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
Sie können die folgenden AWS verwalteten Richtlinien mit verwenden. AWS Snowball Edge
### Erstellen einer IAM-Rollenrichtlinie für Snowball Edge Edge
Es muss eine IAM-Rollenrichtlinie mit Lese- und Schreibberechtigungen für Ihre Amazon S3 S3-Buckets erstellt werden. Die IAM-Rolle muss auch eine Vertrauensbeziehung mit Snowball Edge haben. Eine Vertrauensbeziehung bedeutet, dass AWS Sie die Daten in den Snowball und in Ihre Amazon S3 S3-Buckets schreiben können, je nachdem, ob Sie Daten importieren oder exportieren.
Wenn Sie einen Auftrag erstellen, um ein Snowball Edge-Gerät in der zu bestellen Managementkonsole für die AWS Snow-Familie, erfolgt die Erstellung der erforderlichen IAM-Rolle in Schritt 4 im Abschnitt **Permission**. Dieser Prozess erfolgt automatisch. Die IAM-Rolle, die Sie Snowball Edge übernehmen lassen, wird nur verwendet, um Ihre Daten in Ihren Bucket zu schreiben, wenn der Snowball mit Ihren übertragenen Daten eintrifft. AWS Der Vorgang wird wie folgt ausgeführt.
**Um die IAM-Rolle für Ihr i zu erstellen**
1. Melden Sie sich bei an AWS-Managementkonsole und öffnen Sie die AWS Snowball Edge Konsole unter [https://console.aws.amazon.com/importexport/](https://console.aws.amazon.com/importexport/).
1. Wählen Sie **Job erstellen** aus.
1. Geben Sie im ersten Schritt die Details für Ihren Importauftrag in Amazon S3 ein und wählen Sie dann **Weiter**.
1. Im zweiten Schritt wählen Sie unter **Permission (Berechtigung)** die Option **Create/Select IAM Role (IAM-Rolle erstellen/auswählen)** aus.
Die IAM-Managementkonsole wird geöffnet und zeigt die IAM-Rolle an, mit der Objekte in Ihre angegebenen Amazon S3 S3-Buckets kopiert werden. AWS
1. Überprüfen Sie die Angaben auf dieser Seite und wählen Sie dann **Allow (Zulassen)** aus.
Sie kehren zu dem zurück Managementkonsole für die AWS Snow-Familie, wo der **ARN der ausgewählten IAM-Rolle** den Amazon-Ressourcennamen (ARN) für die IAM-Rolle enthält, die Sie gerade erstellt haben.
1. Wählen Sie **Weiter**, um die Erstellung Ihrer IAM-Rolle abzuschließen.
Das vorherige Verfahren erstellt eine IAM-Rolle mit Schreibberechtigungen für die Amazon S3 S3-Buckets, in die Sie Ihre Daten importieren möchten. Die erstellte IAM-Rolle weist eine der folgenden Strukturen auf, je nachdem, ob sie für einen Import- oder einen Exportauftrag gilt.
**IAM-Rolle für einen Importauftrag**
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucketMultipartUploads"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketPolicy",
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts",
"s3:PutObjectAcl",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::*"
}
]
}
```
------
Wenn Sie serverseitige Verschlüsselung mit AWS KMS verwalteten Schlüsseln (SSE-KMS) verwenden, um die Amazon S3 S3-Buckets zu verschlüsseln, die Ihrem Importauftrag zugeordnet sind, müssen Sie Ihrer IAM-Rolle auch die folgende Anweisung hinzufügen.
```
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}
```
Wenn die Objektgrößen größer sind, verwendet der Amazon S3 S3-Client, der für den Importvorgang verwendet wird, den mehrteiligen Upload. Wenn Sie einen mehrteiligen Upload mit SSE-KMS initiieren, werden alle hochgeladenen Teile mit dem angegebenen Schlüssel verschlüsselt. AWS KMS Da die Teile verschlüsselt sind, müssen sie zuerst entschlüsselt werden, bevor sie zur Vervollständigung des mehrteiligen Uploads zusammengesetzt werden können. Sie benötigen also die Erlaubnis, den AWS KMS Schlüssel (`kms:Decrypt`) zu entschlüsseln, wenn Sie einen mehrteiligen Upload zu Amazon S3 mit SSE-KMS ausführen.
Im Folgenden finden Sie ein Beispiel für eine IAM-Rolle, die für einen Importauftrag benötigt wird, für den die Berechtigung `kms:Decrypt` erforderlich ist.
```
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey","kms:Decrypt"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}
```
Im Folgenden finden Sie ein Beispiel für eine IAM-Rolle, die für einen Exportauftrag benötigt wird.
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetBucketPolicy",
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::*"
}
]
}
```
------
Wenn Sie serverseitige Verschlüsselung mit AWS KMS—managed keys verwenden, um die Amazon S3 S3-Buckets zu verschlüsseln, die Ihrem Exportauftrag zugeordnet sind, müssen Sie Ihrer IAM-Rolle auch die folgende Anweisung hinzufügen.
```
{
"Effect": "Allow",
"Action": [
“kms:Decrypt”
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}
```
Sie können Ihre eigenen benutzerdefinierten IAM-Richtlinien erstellen, um Berechtigungen für API-Operationen für die Auftragsverwaltung zu gewähren. AWS Snowball Edge Die benutzerdefinierten Richtlinien können Sie dann den IAM-Benutzern oder -Gruppen zuweisen, die diese Berechtigungen benötigen.