Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Zugriff auf einen Amazon S3 S3-Bucket gewähren Wenn Sie eine Dateifreigabe erstellen, benötigt Ihr File Gateway Zugriff, um Dateien in Ihren Amazon S3 S3-Bucket hochzuladen und Aktionen auf allen Access Points oder Virtual Private Cloud (VPC) -Endpunkten auszuführen, die es für die Verbindung mit dem Bucket verwendet. Um diesen Zugriff zu gewähren, nimmt Ihr File Gateway eine AWS Identity and Access Management (IAM) -Rolle an, die mit einer IAM-Richtlinie verknüpft ist, die diesen Zugriff gewährt. Für die Rolle ist diese IAM-Richtlinie und eine Vertrauensbeziehung zum Security Token Service (STS) erforderlich. Die Richtlinie bestimmt, welche Aktionen die Rolle ausführen kann. Darüber hinaus müssen Ihr S3-Bucket und alle zugehörigen Access Points oder VPC-Endpoints über eine Zugriffsrichtlinie verfügen, die der IAM-Rolle den Zugriff darauf ermöglicht. Sie können die Rolle und die Zugriffsrichtlinie selbst erstellen, oder Ihr File Gateway kann sie für Sie erstellen. Wenn Ihr File Gateway die Richtlinie für Sie erstellt, enthält die Richtlinie eine Liste von S3-Aktionen. Informationen zu Rollen und Berechtigungen finden Sie im *IAM-Benutzerhandbuch* unter [Eine Rolle erstellen, um Berechtigungen AWS-Service an eine zu delegieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html). Das folgende Beispiel ist eine Vertrauensrichtlinie, die es Ihrem File Gateway ermöglicht, eine IAM-Rolle anzunehmen. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "storagegateway.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } ``` ------ **Wichtig** Storage Gateway kann bestehende Servicerollen übernehmen, die mithilfe der `iam:PassRole` Richtlinienaktion übergeben werden, unterstützt jedoch keine IAM-Richtlinien, die den `iam:PassedToService` Kontextschlüssel verwenden, um die Aktion auf bestimmte Dienste zu beschränken. Weitere Informationen finden Sie in folgenden Themen im *AWS Identity and Access Management -Benutzerhandbuch*: [IAM: Übergibt eine IAM-Rolle an einen bestimmten Dienst AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_iam-passrole-service.html) [Einem Benutzer Berechtigungen zur Übergabe einer Rolle an einen Dienst gewähren AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) [Verfügbare Schlüssel für IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_iam-condition-keys.html#ck_PassedToService) Wenn Sie nicht möchten, dass Ihr File Gateway in Ihrem Namen eine Richtlinie erstellt, können Sie Ihre eigene Richtlinie erstellen und sie an Ihre Dateifreigabe anhängen. Weitere Information dazu finden Sie unter [Erstellen einer Dateifreigabe](GettingStartedCreateFileShare.md). Die folgende Beispielrichtlinie ermöglicht es Ihrem File Gateway, alle in der Richtlinie aufgeführten Amazon S3 S3-Aktionen durchzuführen. Der erste Teil der Anweisung definiert, dass alle aufgeführten Aktionen auf den S3-Bucket `amzn-s3-demo-bucket` angewendet werden dürfen. Der zweite Teil legt fest, dass die aufgeführten Aktionen auf alle Objekte in `amzn-s3-demo-bucket` angewendet werden dürfen. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": [ "s3:GetAccelerateConfiguration", "s3:GetBucketLocation", "s3:GetBucketVersioning", "s3:ListBucket", "s3:ListBucketVersions", "s3:ListBucketMultipartUploads" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket", "Effect": "Allow" }, { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObject", "s3:GetObjectAcl", "s3:GetObjectVersion", "s3:ListMultipartUploadParts", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*", "Effect": "Allow" } ] } ``` ------ Die folgende Beispielrichtlinie ähnelt der vorherigen, ermöglicht Ihrem File Gateway jedoch die Durchführung von Aktionen, die für den Zugriff auf einen Bucket über einen Zugriffspunkt erforderlich sind. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObject", "s3:GetObjectAcl", "s3:GetObjectVersion", "s3:ListMultipartUploadParts", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:us-east-1:111122223333:accesspoint/TestAccessPointName/*", "Effect": "Allow" } ] } ``` ------ **Anmerkung** Wenn Sie Ihre Dateifreigabe über einen VPC-Endpunkt mit einem S3-Bucket verbinden müssen, finden Sie weitere Informationen unter [Endpunktrichtlinien für Amazon S3](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#vpc-endpoints-policies-s3) im *AWS PrivateLink Benutzerhandbuch*. **Anmerkung** Für verschlüsselte Buckets muss das Fileshare den Schlüssel im Ziel-S3-Bucket-Konto verwenden.