Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# So funktioniert Amazon Lightsail mit IAM
Bevor Sie IAM verwenden, um den Zugriff auf Lightsail zu verwalten, sollten Sie wissen, welche IAM-Funktionen für Lightsail verfügbar sind. *Einen allgemeinen Überblick darüber, wie Lightsail und andere AWS Dienste mit IAM funktionieren, finden Sie unter [AWS Services That Work with IAM im IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
## Identitätsbasierte Lightsail-Richtlinien
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Lightsail unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Aktionen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Richtlinienaktionen in Lightsail verwenden das folgende Präfix vor der Aktion:. `lightsail:` Um beispielsweise jemandem die Erlaubnis zu erteilen, eine Lightsail-Instanz mit dem `CreateInstances` Lightsail-API-Vorgang auszuführen, nehmen Sie die `lightsail:CreateInstances` Aktion in seine Richtlinie auf. Richtlinienanweisungen müssen entweder ein – `Action`oder ein `NotAction`-Element enthalten. Lightsail definiert eigene Aktionen, die Aufgaben beschreiben, die Sie mit diesem Dienst ausführen können.
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:
```
"Action": [
"lightsail:action1",
"lightsail:action2"
```
Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Create` beginnen, einschließlich der folgenden Aktion:
```
"Action": "lightsail:Create*"
```
*Eine Liste der Lightsail-Aktionen finden Sie unter [Von Amazon Lightsail definierte Aktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonlightsail.html#amazonlightsail-actions-as-permissions) im IAM-Benutzerhandbuch.*
### Ressourcen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
**Wichtig**
Lightsail unterstützt für einige API-Aktionen keine Berechtigungen auf Ressourcenebene. Weitere Informationen finden Sie unter [Unterstützung für Berechtigungen auf Ressourcenebene und Autorisierung auf der Basis von Tags](resource-level-permissions-and-auth-based-on-tags-support.md).
Die Lightsail-Instanzressource hat den folgenden ARN:
```
arn:${Partition}:lightsail:${Region}:${Account}:Instance/${InstanceId}
```
Weitere Informationen zum Format von ARNs finden Sie unter [Amazon Resource Names (ARNs) und AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Wenn Sie beispielsweise die `ea123456-e6b9-4f1d-b518-3ad1234567e6`-Instance in Ihrer Anweisung angeben möchten, verwenden Sie den folgenden ARN:
```
"Resource": "arn:aws:lightsail:us-east-1:123456789012:Instance/ea123456-e6b9-4f1d-b518-3ad1234567e6"
```
Um alle Instances anzugeben, die zu einem bestimmten Konto gehören, verwenden Sie den Platzhalter (\$1):
```
"Resource": "arn:aws:lightsail:us-east-1:123456789012:Instance/*"
```
Einige Lightsail-Aktionen, z. B. zum Erstellen von Ressourcen, können nicht für eine bestimmte Ressource ausgeführt werden. In diesen Fällen müssen Sie den Platzhalter (\$1) verwenden.
```
"Resource": "*"
```
Viele Lightsail-API-Aktionen beinhalten mehrere Ressourcen. `AttachDisk`Hängt beispielsweise eine Lightsail-Blockspeicherfestplatte an eine Instanz an, sodass ein IAM-Benutzer über Berechtigungen zur Verwendung der Festplatte und der Instanz verfügen muss. Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie sie durch Kommas. ARNs
```
"Resource": [
"resource1",
"resource2"
```
*Eine Liste der Lightsail-Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter [Von Amazon Lightsail definierte Ressourcen im IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonlightsail.html#amazonlightsail-resources-for-iam-policies).* Informationen darüber, mit welchen Aktionen Sie den ARN jeder Ressource angeben können, finden Sie unter [Von Amazon Lightsail definierte Aktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonlightsail.html#amazonlightsail-actions-as-permissions).
### Bedingungsschlüssel
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Lightsail stellt keine dienstspezifischen Bedingungsschlüssel bereit, unterstützt jedoch die Verwendung einiger globaler Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [AWS Globale Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
*Eine Liste der Lightsail-Condition-Keys finden Sie unter [Condition Keys for Amazon Lightsail im IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonlightsail.html#amazonlightsail-policy-keys).* Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von Amazon Lightsail definierte Aktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonlightsail.html#amazonlightsail-actions-as-permissions).
### Beispiele
Beispiele für identitätsbasierte Lightsail-Richtlinien finden Sie unter Beispiele für identitätsbasierte Richtlinien von [Amazon Lightsail](security_iam_id-based-policy-examples.md).
## Ressourcenbasierte Lightsail-Richtlinien
Lightsail unterstützt keine ressourcenbasierten Richtlinien.
## Zugriffskontrolllisten () ACLs
Lightsail unterstützt keine Zugriffskontrolllisten ()ACLs.
## Autorisierung auf Basis von Lightsail-Tags
Sie können Tags an Lightsail-Ressourcen anhängen oder Tags in einer Anfrage an Lightsail übergeben. Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `lightsail:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.
**Wichtig**
Lightsail unterstützt für einige API-Aktionen keine Autorisierung auf Basis von Tags. Weitere Informationen finden Sie unter [Unterstützung für Berechtigungen auf Ressourcenebene und Autorisierung auf der Basis von Tags](resource-level-permissions-and-auth-based-on-tags-support.md).
[Weitere Informationen zum Taggen von Lightsail-Ressourcen finden Sie unter Tags.](amazon-lightsail-tags.md)
Ein Beispiel für eine identitätsbasierte Richtlinie zur Beschränkung des Zugriffs auf eine Ressource basierend auf den Tags dieser Ressource finden Sie unter [Zulassen der Erstellung und Löschung von Lightsail-Ressourcen auf der Grundlage von](https://lightsail.aws.amazon.com/ls/docs/en_us/articles/security_iam_id-based-policy-examples#security_iam_id-based-policy-examples-view-widget-tags) Tags.
## Lightsail IAM-Rollen
Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine Entität in Ihrem AWS -Konto mit spezifischen Berechtigungen.
### Temporäre Anmeldeinformationen mit Lightsail verwenden
Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)oder aufrufen. [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)
Lightsail unterstützt die Verwendung temporärer Anmeldeinformationen.
### Serviceverknüpfte Rollen
Mit [dienstverknüpften Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) können AWS Dienste auf Ressourcen in anderen Diensten zugreifen, um eine Aktion in Ihrem Namen auszuführen. Serviceverknüpfte Rollen werden in Ihrem IAM-Konto angezeigt und gehören zum Service. Ein IAM-Administrator kann die Berechtigungen für serviceverknüpfte Rollen anzeigen, aber nicht bearbeiten.
Lightsail unterstützt serviceverknüpfte Rollen. [Einzelheiten zum Erstellen oder Verwalten von dienstverknüpften Lightsail-Rollen finden Sie unter Dienstverknüpfte Rollen.](amazon-lightsail-using-service-linked-roles.md)
### Servicerollen
Lightsail unterstützt keine Servicerollen.
**Topics**
+ [Identitätsbasierte Lightsail-Richtlinien](#security_iam_service-with-iam-id-based-policies)
+ [Ressourcenbasierte Lightsail-Richtlinien](#security_iam_service-with-iam-resource-based-policies)
+ [Zugriffskontrolllisten () ACLs](#security_iam_service-with-iam-acls)
+ [Autorisierung auf Basis von Lightsail-Tags](#security_iam_service-with-iam-tags)
+ [Lightsail IAM-Rollen](#security_iam_service-with-iam-roles)
+ [Beispiele für identitätsbasierte Richtlinien](security_iam_id-based-policy-examples.md)
+ [Richtlinienbeispiele auf Ressourcenebene](security_iam_resource-based-policy-examples.md)
+ [Serviceverknüpfte Rollen verwenden](amazon-lightsail-using-service-linked-roles.md)
+ [Buckets mit IAM verwalten](amazon-lightsail-bucket-management-policies.md)
# Erteilen Sie mit IAM-Identitätsrichtlinien in Lightsail Berechtigungen mit den geringsten Rechten
Standardmäßig sind IAM-Benutzer und -Rollen nicht berechtigt, Lightsail-Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben mit der AWS-Managementkonsole AWS CLI, oder API ausführen. AWS Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern und Rollen die Berechtigung zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcen gewähren, die diese benötigen. Der Administrator muss diese Richtlinien anschließend den IAM-Benutzern oder -Gruppen anfügen, die diese Berechtigungen benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von Richtlinien auf der JSON-Registerkarte](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) im *IAM-Benutzerhandbuch*.
## Bewährte Methoden für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand Amazon Lightsail-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder diese löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn Sie identitätsbasierte Richtlinien erstellen oder bearbeiten, befolgen Sie diese Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der Lightsail-Konsole
Um auf die Amazon Lightsail-Konsole zugreifen zu können, benötigen Sie Vollzugriff auf alle Lightsail-Aktionen und -Ressourcen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den Lightsail-Ressourcen in Ihrem AWS Konto aufzulisten und anzuzeigen. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen (z. B ohne Vollzugriff), funktioniert die Konsole nicht wie vorgesehen für Entitäten (IAM-Benutzer oder -Rollen) mit dieser Richtlinie.
Um sicherzustellen, dass diese Entitäten die Lightsail-Konsole verwenden können, fügen Sie den Entitäten die folgende Richtlinie hinzu. Weitere Informationen finden Sie unter [Hinzufügen von Berechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) zu einem Benutzer im* IAM-Benutzerhandbuch*:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lightsail:*"
],
"Resource": "*"
}
]
}
```
------
Sie müssen Benutzern, die nur die API AWS CLI oder die API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. AWS Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die den API-Operation entsprechen, die Sie ausführen möchten.
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API AWS CLI oder AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Ermöglichen der Erstellung und Löschung von Lightsail-Ressourcen auf der Grundlage von Tags
Sie können Bedingungen in Ihrer identitätsbasierten Richtlinie verwenden, um den Zugriff auf Lightsail-Ressourcen anhand von Tags zu steuern. Dieses Beispiel zeigt, wie Sie eine Richtlinie erstellen können, die Benutzer daran hindert, neue Lightsail-Ressourcen zu erstellen, sofern nicht ein Schlüsseltag `allow` und ein Wert von in der `true` Erstellungsanforderung definiert sind. Diese Richtlinie beschränkt außerdem das Löschen von Ressourcen, es sei denn, sie haben den Schlüssel-Wert-Tag `allow/true`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lightsail:Create*",
"lightsail:TagResource",
"lightsail:UntagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/allow": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"lightsail:Delete*",
"lightsail:TagResource",
"lightsail:UntagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/allow": "true"
}
}
}
]
}
```
------
Das folgende Beispiel hindert Benutzer daran, das Tag für Ressourcen zu ändern, die ein anderes Schlüssel-Wert-Tag als `allow/false` haben.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"lightsail:TagResource"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:ResourceTag/allow": "false"
}
}
}
]
}
```
------
Sie können diese Richtlinien den IAM-Benutzern in Ihrem Konto anhängen. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
# Gewähren Sie mithilfe von IAM-Richtlinien Zugriff auf bestimmte Lightsail-Ressourcen
*Berechtigungen auf Ressourcenebene* bedeutet, dass Sie angeben können, für welche Ressourcen die Benutzer Aktionen ausführen dürfen. Amazon Lightsail unterstützt Berechtigungen auf Ressourcenebene. Das bedeutet, dass Sie für bestimmte Lightsail-Aktionen steuern können, wann Benutzer diese Aktionen verwenden dürfen, basierend auf Bedingungen, die erfüllt sein müssen, oder auf bestimmten Ressourcen, die Benutzer verwenden oder bearbeiten dürfen. Beispielsweise können Sie den Benutzern auch Berechtigungen zur Verwaltung einer Instance oder Datenbank mit einem bestimmten Amazon-Ressourcenname (ARN) erteilen.
**Wichtig**
Lightsail unterstützt für einige API-Aktionen keine Berechtigungen auf Ressourcenebene. Weitere Informationen finden Sie unter [Unterstützung für Berechtigungen auf Ressourcenebene und Autorisierung auf der Basis von Tags](resource-level-permissions-and-auth-based-on-tags-support.md).
*Weitere Informationen zu den Ressourcen, die durch die Lightsail-Aktionen erstellt oder geändert werden, und zu den ARNs Lightsail-Bedingungsschlüsseln, die Sie in einer IAM-Richtlinienerklärung verwenden können, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Lightsail](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonlightsail.html) im IAM-Benutzerhandbuch.*
## Zulassen der Verwaltung einer bestimmten Instance
Die folgende Richtlinie gewährt Zugriff auf reboot/start/stop eine Instance, verwaltet Instance-Ports und erstellt Instance-Snapshots für eine bestimmte Instance. Es bietet auch schreibgeschützten Zugriff auf andere instanzbezogene Informationen und Ressourcen im Lightsail-Konto. Ersetzen Sie es in der Richtlinie *InstanceARN* durch den Amazon-Ressourcennamen (ARN) Ihrer Instance.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"lightsail:GetActiveNames",
"lightsail:GetAlarms",
"lightsail:GetAutoSnapshots",
"lightsail:GetBlueprints",
"lightsail:GetBundles",
"lightsail:GetCertificates",
"lightsail:GetCloudFormationStackRecords",
"lightsail:GetContactMethods",
"lightsail:GetDisk",
"lightsail:GetDisks",
"lightsail:GetDiskSnapshot",
"lightsail:GetDiskSnapshots",
"lightsail:GetDistributionBundles",
"lightsail:GetDistributionLatestCacheReset",
"lightsail:GetDistributionMetricData",
"lightsail:GetDistributions",
"lightsail:GetDomain",
"lightsail:GetDomains",
"lightsail:GetExportSnapshotRecords",
"lightsail:GetInstance",
"lightsail:GetInstanceAccessDetails",
"lightsail:GetInstanceMetricData",
"lightsail:GetInstancePortStates",
"lightsail:GetInstances",
"lightsail:GetInstanceSnapshot",
"lightsail:GetInstanceSnapshots",
"lightsail:GetInstanceState",
"lightsail:GetKeyPair",
"lightsail:GetKeyPairs",
"lightsail:GetLoadBalancer",
"lightsail:GetLoadBalancerMetricData",
"lightsail:GetLoadBalancers",
"lightsail:GetLoadBalancerTlsCertificates",
"lightsail:GetOperation",
"lightsail:GetOperations",
"lightsail:GetOperationsForResource",
"lightsail:GetRegions",
"lightsail:GetRelationalDatabase",
"lightsail:GetRelationalDatabaseBlueprints",
"lightsail:GetRelationalDatabaseBundles",
"lightsail:GetRelationalDatabaseEvents",
"lightsail:GetRelationalDatabaseLogEvents",
"lightsail:GetRelationalDatabaseLogStreams",
"lightsail:GetRelationalDatabaseMetricData",
"lightsail:GetRelationalDatabaseParameters",
"lightsail:GetRelationalDatabases",
"lightsail:GetRelationalDatabaseSnapshot",
"lightsail:GetRelationalDatabaseSnapshots",
"lightsail:GetStaticIp",
"lightsail:GetStaticIps",
"lightsail:IsVpcPeered"
],
"Resource": "*"
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": [
"lightsail:CloseInstancePublicPorts",
"lightsail:CreateInstanceSnapshot",
"lightsail:OpenInstancePublicPorts",
"lightsail:PutInstancePublicPorts",
"lightsail:RebootInstance",
"lightsail:StartInstance",
"lightsail:StopInstance"
],
"Resource": "arn:aws:lightsail:us-east-2:123456789012:Instance/244ad76f-8aad-4741-809f-12345EXAMPLE"
}
]
}
```
------
Um den ARN für Ihre Instance abzurufen, verwenden Sie die `GetInstance` Lightsail-API-Aktion und geben Sie den Namen der Instanz mithilfe des `instanceName` Parameters an. Ihr Instance-ARN wird in den Ergebnissen dieser Aktion aufgeführt, wie im folgenden Beispiel gezeigt. Weitere Informationen finden Sie [GetInstance](https://docs.aws.amazon.com/lightsail/2016-11-28/api-reference/API_GetInstance.html)in der *Amazon Lightsail API-Referenz*.
![\[Ein Instanz-ARN in den GetInstance Ergebnissen.\]](http://docs.aws.amazon.com/de_de/lightsail/latest/userguide/images/amazon-lightsail-instance-arn.png)
## Zulassen der Verwaltung einer bestimmten Datenbank
Die folgende Richtlinie gewährt Zugriff auf eine bestimmte Datenbank reboot/start/stop und deren Aktualisierung. Es bietet auch schreibgeschützten Zugriff auf andere datenbankbezogene Informationen und Ressourcen im Lightsail-Konto. Ersetzen Sie es in der Richtlinie *DatabaseARN* durch den Amazon-Ressourcennamen (ARN) Ihrer Datenbank.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"lightsail:GetActiveNames",
"lightsail:GetAlarms",
"lightsail:GetAutoSnapshots",
"lightsail:GetBlueprints",
"lightsail:GetBundles",
"lightsail:GetCertificates",
"lightsail:GetCloudFormationStackRecords",
"lightsail:GetContactMethods",
"lightsail:GetDisk",
"lightsail:GetDisks",
"lightsail:GetDiskSnapshot",
"lightsail:GetDiskSnapshots",
"lightsail:GetDistributionBundles",
"lightsail:GetDistributionLatestCacheReset",
"lightsail:GetDistributionMetricData",
"lightsail:GetDistributions",
"lightsail:GetDomain",
"lightsail:GetDomains",
"lightsail:GetExportSnapshotRecords",
"lightsail:GetInstance",
"lightsail:GetInstanceAccessDetails",
"lightsail:GetInstanceMetricData",
"lightsail:GetInstancePortStates",
"lightsail:GetInstances",
"lightsail:GetInstanceSnapshot",
"lightsail:GetInstanceSnapshots",
"lightsail:GetInstanceState",
"lightsail:GetKeyPair",
"lightsail:GetKeyPairs",
"lightsail:GetLoadBalancer",
"lightsail:GetLoadBalancerMetricData",
"lightsail:GetLoadBalancers",
"lightsail:GetLoadBalancerTlsCertificates",
"lightsail:GetOperation",
"lightsail:GetOperations",
"lightsail:GetOperationsForResource",
"lightsail:GetRegions",
"lightsail:GetRelationalDatabase",
"lightsail:GetRelationalDatabaseBlueprints",
"lightsail:GetRelationalDatabaseBundles",
"lightsail:GetRelationalDatabaseEvents",
"lightsail:GetRelationalDatabaseLogEvents",
"lightsail:GetRelationalDatabaseLogStreams",
"lightsail:GetRelationalDatabaseMetricData",
"lightsail:GetRelationalDatabaseParameters",
"lightsail:GetRelationalDatabases",
"lightsail:GetRelationalDatabaseSnapshot",
"lightsail:GetRelationalDatabaseSnapshots",
"lightsail:GetStaticIp",
"lightsail:GetStaticIps",
"lightsail:IsVpcPeered"
],
"Resource": "*"
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": [
"lightsail:RebootRelationalDatabase",
"lightsail:StartRelationalDatabase",
"lightsail:StopRelationalDatabase",
"lightsail:UpdateRelationalDatabase"
],
"Resource": "arn:aws:lightsail:us-east-2:123456789012:RelationalDatabase/244ad76f-8aad-4741-809f-12345EXAMPLE"
}
]
}
```
------
Um den ARN für Ihre Datenbank abzurufen, verwenden Sie die `GetRelationalDatabase` Lightsail-API-Aktion und geben Sie den Namen der Datenbank mithilfe des `relationalDatabaseName` Parameters an. Ihr Datenbank-ARN wird in den Ergebnissen dieser Aktion aufgeführt, wie im folgenden Beispiel gezeigt. Weitere Informationen finden Sie [GetRelationalDatabase](https://docs.aws.amazon.com/lightsail/2016-11-28/api-reference/API_GetRelationalDatabase.html)in der *Amazon Lightsail API-Referenz*.
![\[Ein Datenbank-ARN in den GetRelationalDatabase Ergebnissen.\]](http://docs.aws.amazon.com/de_de/lightsail/latest/userguide/images/amazon-lightsail-database-arn.png)
# Verwenden Sie serviceverknüpfte Rollen für Amazon Lightsail
[Amazon Lightsail verwendet AWS Identity and Access Management (IAM) serviceverknüpfte Rollen.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Amazon Lightsail verknüpft ist. Servicebezogene Rollen sind von Amazon Lightsail vordefiniert und beinhalten alle Berechtigungen, die Lightsail benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine serviceverknüpfte Rolle erleichtert die Einrichtung von Amazon Lightsail, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Amazon Lightsail definiert die Berechtigungen seiner serviceverknüpften Rollen, und sofern nicht anders definiert, kann nur Amazon Lightsail seine Rollen übernehmen. Die definierten Berechtigungen enthält die Vertrauens- und Berechtigungsrichtlinie, die keinen anderen IAM-Entitäten zugewiesen werden kann.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dadurch werden Ihre Amazon Lightsail-Ressourcen geschützt, da Sie die Zugriffsberechtigung für die Ressourcen nicht versehentlich entziehen können.
Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unter [AWS-Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie nach den Services, für die **Ja** in der Spalte **Serviceverknüpfte Rolle** angegeben ist. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
## Servicebezogene Rollenberechtigungen für Amazon Lightsail
Amazon Lightsail verwendet die mit dem Service verknüpfte Rolle **AWSServiceRoleForLightsail**— Rolle, um Lightsail-Instance- und Blockspeicher-Festplatten-Snapshots nach Amazon Elastic Compute Cloud (Amazon EC2) zu exportieren und die aktuelle Block Public Access-Konfiguration auf Kontoebene von Amazon Simple Storage Service (Amazon S3) abzurufen.
Die AWSService RoleForLightsail serviceverknüpfte Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
+ `lightsail.amazonaws.com`
Die Rollenberechtigungsrichtlinie ermöglicht es Amazon Lightsail, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:
+ Aktion: für alle `ec2:CopySnapshot` AWS Ressourcen.
+ Aktion: `ec2:DescribeSnapshots` für alle AWS Ressourcen.
+ Aktion: `ec2:CopyImage` für alle AWS Ressourcen.
+ Aktion: `ec2:DescribeImages` für alle AWS Ressourcen.
+ Aktion: `cloudformation:DescribeStacks` auf allen CloudFormation AWS-Stacks.
+ Aktion: `s3:GetAccountPublicAccessBlock` auf allen AWS Ressourcen.
### Berechtigungen von serviceverknüpften Rollen
Sie müssen Berechtigungen konfigurieren, damit eine IAM-Entität (z. B. Benutzer, Gruppen oder Rollen) die Beschreibung einer serviceverknüpften Rolle erstellen oder bearbeiten können.
**So erlauben Sie einer IAM-Entität das Erstellen einer bestimmten serviceverknüpften Rolle**
Fügen Sie die folgende Richtlinie der IAM-Entität hinzu, um die serviceverknüpfte Rolle zu erstellen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*",
"Condition": {"StringLike": {"iam:AWSServiceName": "lightsail.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*"
}
]
}
```
------
**So erlauben Sie einer IAM-Entität das Erstellen einer beliebigen serviceverknüpften Rolle**
Fügen Sie die folgende Anweisung der Berechtigungsrichtlinie für die IAM-Entität hinzu, um eine serviceverknüpfte Rolle oder eine beliebige Servicerolle zu erstellen, die die benötigten Richtlinien enthält. Diese Richtlinie fügt eine Richtlinie an die Rolle an.
```
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
```
**So erlauben Sie einer IAM-Entität das Bearbeiten der Beschreibung von beliebigen Servicerollen**
Fügen Sie die folgende Anweisung der Berechtigungsrichtlinie für die IAM-Entität hinzu, um die Beschreibung einer serviceverknüpften Rolle oder einer beliebigen Servicerolle zu bearbeiten.
```
{
"Effect": "Allow",
"Action": "iam:UpdateRoleDescription",
"Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
```
**So erlauben Sie einer IAM-Entität das Löschen einer bestimmten serviceverknüpften Rolle**
Fügen Sie die folgende Anweisung der Berechtigungsrichtlinie für die IAM-Entität hinzu, die die serviceverknüpfte Rolle löschen soll.
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*"
}
```
**So erlauben Sie einer IAM-Entität das Löschen einer beliebigen Servicerolle**
Fügen Sie die folgende Anweisung der Berechtigungsrichtlinie für die IAM-Entität hinzu, die eine serviceverknüpfte Rolle oder eine beliebige Servicerolle löschen soll.
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
```
Alternativ können Sie eine AWS verwaltete Richtlinie verwenden, um vollen Zugriff auf den Dienst zu gewähren.
## Eine serviceverknüpfte Rolle für Amazon Lightsail erstellen
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie Ihre Lightsail-Instance oder Ihren Blockspeicher-Festplatten-Snapshot nach Amazon EC2 exportieren oder einen Lightsail-Bucket in der, der oder der AWS API erstellen oder aktualisieren AWS AWS-Managementkonsole, erstellt Amazon Lightsail die serviceverknüpfte Rolle für Sie. AWS CLI
Wenn Sie diese dienstverknüpfte Rolle löschen und erneut erstellen müssen, können Sie die Rolle in Ihrem Konto auf dieselbe Weise neu erstellen. Wenn Sie Ihre Lightsail-Instance oder Ihren Blockspeicher-Festplatten-Snapshot nach Amazon EC2 exportieren oder einen Lightsail-Bucket erstellen oder aktualisieren, erstellt Amazon Lightsail die serviceverknüpfte Rolle erneut für Sie.
**Wichtig**
Sie müssen IAM-Berechtigungen konfigurieren, damit Amazon Lightsail die serviceverknüpfte Rolle erstellen kann. Führen Sie dazu die Schritte aus, die sich im folgenden Abschnitt *Berechtigungen von serviceverknüpften Rollen* befinden.
## Bearbeiten einer serviceverknüpften Rolle für Amazon Lightsail
Amazon Lightsail erlaubt Ihnen nicht, die AWSService RoleForLightsail serviceverknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer serviceverknüpften Rolle für Amazon Lightsail
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch sicherstellen, dass sich keine Amazon Lightsail-Instance oder Festplatten-Snapshots im Status „Ausstehende Kopie“ befinden, bevor Sie die AWSService RoleForLightsail serviceverknüpfte Rolle löschen können. Weitere Informationen finden Sie unter [Exportieren von Snapshots nach Amazon EC2](amazon-lightsail-exporting-snapshots-to-amazon-ec2.md).
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API, um die AWS CLI serviceverknüpfte Rolle zu löschen. AWSService RoleForLightsail Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Leitfaden*.
## Unterstützte Regionen für mit Amazon Lightsail Service verknüpfte Rollen
Amazon Lightsail unterstützt die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen zu den Regionen, in denen Lightsail verfügbar ist, finden Sie unter [Amazon Lightsail-Regionen](https://docs.aws.amazon.com/general/latest/gr/rande.html#lightsail_region).
# Lightsail-Buckets mit einer IAM-Richtlinie verwalten
Die folgende Richtlinie gewährt einem Benutzer Zugriff auf die Verwaltung eines bestimmten Buckets im Amazon Lightsail-Objektspeicherservice. Diese Richtlinie gewährt Zugriff auf Buckets über die Lightsail-Konsole, die AWS Command Line Interface (AWS CLI), AWS API und. AWS SDKs Ersetzen Sie den Wert in der Richtlinie ** durch den Namen des Buckets, der verwaltet werden soll. Weitere Informationen zum Erstellen von IAM-Richtlinien finden Sie unter [Erstellen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *AWS Identity and Access Management -Benutzerhandbuch*. Weitere Informationen zum Erstellen von IAM-Benutzern und -Benutzergruppen finden Sie unter [Erstellen Ihres ersten delegierten IAM-Benutzers und Ihrer ersten IAM-Benutzergruppe](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-delegated-user.html) im *AWS Identity and Access Management -Benutzerhandbuch*.
**Wichtig**
Bei Benutzern, die nicht über diese Richtlinie verfügen, treten Fehler auf, wenn sie die Registerkarte „**Objekte**“ der Bucket-Verwaltungsseite in der Lightsail-Konsole aufrufen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LightsailAccess",
"Effect": "Allow",
"Action": "lightsail:*",
"Resource": "*"
},
{
"Sid": "S3BucketAccess",
"Effect": "Allow",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::/*",
"arn:aws:s3:::"
]
}
]
}
```
------
## Verwalten von Buckets und Objekten
Dies sind die allgemeinen Schritte zur Verwaltung Ihres Lightsail-Objektspeicher-Buckets:
1. Erfahren Sie mehr über Objekte und Buckets im Amazon Lightsail-Objektspeicherservice. Weitere Informationen finden Sie unter [Objektspeicher in Amazon Lightsail](buckets-in-amazon-lightsail.md).
1. Erfahren Sie mehr über die Namen, die Sie Ihren Buckets in Amazon Lightsail geben können. Weitere Informationen finden Sie unter [Regeln zur Benennung von Buckets in Amazon Lightsail](bucket-naming-rules-in-amazon-lightsail.md).
1. Beginnen Sie mit dem Lightsail-Objektspeicherdienst, indem Sie einen Bucket erstellen. Weitere Informationen finden Sie unter [Buckets in Amazon Lightsail erstellen](amazon-lightsail-creating-buckets.md).
1. Erfahren Sie mehr über bewährte Sicherheitsmethoden für Buckets und die Zugriffsberechtigungen, die Sie für Ihren Bucket konfigurieren können. Sie können alle Objekte in Ihrem Bucket öffentlich oder privat machen, oder Sie können einzelne Objekte öffentlich machen. Sie können auch Zugriff auf Ihren Bucket gewähren, indem Sie Zugriffsschlüssel erstellen, Instances zu Ihrem Bucket hinzufügen und Zugriff auf andere AWS-Konten gewähren. Weitere Informationen finden Sie unter [Bewährte Sicherheitsmethoden für Amazon Lightsail-Objektspeicher und [Grundlegendes zu Bucket-Berechtigungen in Amazon](amazon-lightsail-understanding-bucket-permissions.md) Lightsail](amazon-lightsail-bucket-security-best-practices.md).
Nachdem Sie sich mit den Zugriffsberechtigungen für Buckets vertraut gemacht haben, lesen Sie in den folgenden Anleitungen nach, wie Sie Zugriff auf Ihren Bucket gewähren können:
+ [Sperren Sie den öffentlichen Zugriff für Buckets in Amazon Lightsail](amazon-lightsail-block-public-access-for-buckets.md)
+ [Konfiguration von Bucket-Zugriffsberechtigungen in Amazon Lightsail](amazon-lightsail-configuring-bucket-permissions.md)
+ [Konfiguration von Zugriffsberechtigungen für einzelne Objekte in einem Bucket in Amazon Lightsail](amazon-lightsail-configuring-individual-object-access.md)
+ [Zugriffsschlüssel für einen Bucket in Amazon Lightsail erstellen](amazon-lightsail-creating-bucket-access-keys.md)
+ [Konfiguration des Ressourcenzugriffs für einen Bucket in Amazon Lightsail](amazon-lightsail-configuring-bucket-resource-access.md)
+ [Konfiguration des kontoübergreifenden Zugriffs für einen Bucket in Amazon Lightsail](amazon-lightsail-configuring-bucket-cross-account-access.md)
1. Erfahren Sie, wie Sie die Zugriffsprotokollierung für Ihren Bucket aktivieren und wie Sie mithilfe von Zugriffsprotokollen die Sicherheit Ihres Buckets überprüfen können. Weitere Informationen finden Sie in den folgenden Anleitungen.
+ [Zugriffsprotokollierung für Buckets im Amazon Lightsail Object Storage Service](amazon-lightsail-bucket-access-logs.md)
+ [Zugriffsprotokollformat für einen Bucket im Amazon Lightsail Object Storage Service](amazon-lightsail-bucket-access-log-format.md)
+ [Aktivieren der Zugriffsprotokollierung für einen Bucket im Amazon Lightsail Object Storage Service](amazon-lightsail-enabling-bucket-access-logs.md)
+ [Verwenden von Zugriffsprotokollen für einen Bucket in Amazon Lightsail zur Identifizierung von Anfragen](amazon-lightsail-using-bucket-access-logs.md)
1. Erstellen Sie eine IAM-Richtlinie, die einem Benutzer die Möglichkeit gibt, einen Bucket in Lightsail zu verwalten. Weitere Informationen finden Sie unter [IAM-Richtlinie zur Verwaltung von Buckets in Amazon](#amazon-lightsail-bucket-management-policies) Lightsail.
1. Erfahren Sie, wie Objekte in Ihrem Bucket beschriftet und identifiziert werden. Weitere Informationen finden Sie unter [Grundlegendes zu Objektschlüsselnamen in Amazon Lightsail](understanding-bucket-object-key-names-in-amazon-lightsail.md).
1. Erfahren Sie, wie Sie Dateien hochladen und Objekte in Ihren Buckets verwalten. Weitere Informationen finden Sie in den folgenden Anleitungen.
+ [Dateien in einen Bucket in Amazon Lightsail hochladen](amazon-lightsail-uploading-files-to-a-bucket.md)
+ [Hochladen von Dateien in einen Bucket in Amazon Lightsail mithilfe eines mehrteiligen Uploads](amazon-lightsail-uploading-files-to-a-bucket-using-multipart-upload.md)
+ [Objekte in einem Bucket in Amazon Lightsail anzeigen](amazon-lightsail-viewing-objects-in-a-bucket.md)
+ [Objekte in einem Bucket in Amazon Lightsail kopieren oder verschieben](amazon-lightsail-copying-moving-bucket-objects.md)
+ [Objekte aus einem Bucket in Amazon Lightsail herunterladen](amazon-lightsail-downloading-bucket-objects.md)
+ [Objekte in einem Bucket in Amazon Lightsail filtern](amazon-lightsail-filtering-bucket-objects.md)
+ [Markieren von Objekten in einem Bucket in Amazon Lightsail](amazon-lightsail-tagging-bucket-objects.md)
+ [Löschen von Objekten in einem Bucket in Amazon Lightsail](amazon-lightsail-deleting-bucket-objects.md)
1. Aktivieren Sie Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Bucket zu speichern, abzurufen oder wiederherzustellen. Weitere Informationen finden Sie unter [Objektversionierung in einem Bucket in Amazon Lightsail aktivieren und aussetzen](amazon-lightsail-managing-bucket-object-versioning.md).
1. Nachdem Sie die Objekt-Versionsverwaltung aktiviert haben, können Sie frühere Versionen von Objekten in Ihrem Bucket wiederherstellen. Weitere Informationen finden Sie unter [Wiederherstellen früherer Versionen von Objekten in einem Bucket in Amazon Lightsail](amazon-lightsail-restoring-bucket-object-versions.md).
1. Überwachen Sie die Auslastung Ihres Buckets. Weitere Informationen finden Sie unter [Metriken für Ihren Bucket in Amazon Lightsail anzeigen](amazon-lightsail-viewing-bucket-metrics.md).
1. Konfigurieren Sie einen Alarm für Bucket-Metriken, sodass Sie benachrichtigt werden, wenn die Auslastung Ihres Buckets einen Schwellenwert überschreitet. Weitere Informationen finden Sie unter [Bucket-Metrik-Alarme in Amazon Lightsail erstellen](amazon-lightsail-adding-bucket-metric-alarms.md).
1. Ändern Sie den Speicherplan Ihres Buckets, wenn der Speicherplatz und die Netzwerkübertragung knapp werden. Weitere Informationen finden Sie unter [Ändern des Plans Ihres Buckets in Amazon Lightsail](amazon-lightsail-changing-bucket-plans.md).
1. Erfahren Sie, wie Sie Ihren Bucket mit anderen Ressourcen verbinden. Weitere Informationen finden Sie in den folgenden Tutorials.
+ [Tutorial: Eine WordPress Instance mit einem Amazon Lightsail-Bucket verbinden](amazon-lightsail-connecting-buckets-to-wordpress.md)
+ [Tutorial: Verwenden eines Amazon Lightsail-Buckets mit einem Lightsail-Vertriebsnetzwerk für die Bereitstellung von Inhalten](amazon-lightsail-using-distributions-with-buckets.md)
1. Löschen Sie Ihren Bucket, wenn Sie ihn nicht mehr verwenden. Weitere Informationen finden Sie unter [Löschen von Buckets in Amazon Lightsail](amazon-lightsail-deleting-buckets.md).