Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Konfigurieren Sie die IAM-Berechtigungen.
Amazon Location Jobs erfordert eine IAM-Ausführungsrolle, die dem Service die Erlaubnis erteilt, auf Ihre Amazon S3 S3-Buckets zuzugreifen. Wenn Sie einen Job ausführen, übernimmt Amazon Location diese Rolle, um in Ihrem Namen Eingabedateien aus Ihrem Eingabe-Bucket zu lesen und Ausgabeergebnisse in Ihren Ausgabe-Bucket zu schreiben. Sie stellen diese Berechtigungen bereit, indem Sie eine IAM-Richtlinie mit den erforderlichen Amazon S3 S3-Berechtigungen erstellen und sie einer IAM-Rolle mit einer Vertrauensrichtlinie zuordnen, die es dem Amazon Location Service ermöglicht, die Rolle zu übernehmen.
**Anmerkung**
Die Amazon S3 S3-Eingabe- und Ausgabe-Buckets, die Sie erstellen, müssen sich in AWS-Region dem Bereich befinden, in dem Sie Ihre Jobs ausführen möchten. Die IAM-Ressourcen, die Sie erstellen, müssen in demselben Konto erstellt werden.
## Schritt 1: Erstellen einer IAM-Richtlinie
Erstellen Sie eine IAM-Richtlinie, die die für Amazon Location-Jobs erforderlichen Berechtigungen gewährt.
**So erstellen Sie eine IAM-Richtlinie für Amazon Location-Jobs**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Richtlinien**.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Wählen Sie die Registerkarte **JSON** und geben Sie das folgende Richtliniendokument ein, {{OUTPUT\_BUCKET\_NAME}} wobei Sie Ihre Bucket-Namen durch {{INPUT\_BUCKET\_NAME}} und ersetzen:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:GetObjectVersion",
"s3:GetBucketVersioning"
],
"Resource": [
"arn:aws:s3:::{{INPUT_BUCKET_NAME}}",
"arn:aws:s3:::{{INPUT_BUCKET_NAME}}/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::{{OUTPUT_BUCKET_NAME}}/*"
]
}
]
}
```
1. Wählen Sie **Weiter** aus.
1. Geben für **Richtlinienname** einen beschreibenden Namen wie `{{LocationJobsS3AccessPolicy}}` ein.
1. Wählen Sie **Richtlinie erstellen** aus.
In der folgenden Tabelle werden die durch diese Richtlinie gewährten Berechtigungen beschrieben:
| Berechtigung | Description |
| --- | --- |
| s3:GetObject | Ermöglicht Amazon Location, Eingabedateien aus Ihrem Eingabe-Bucket zu lesen. |
| s3:ListBucket | Ermöglicht Amazon Location, Dateien in Ihrem Eingabe-Bucket aufzulisten, um alle Eingabedateien für die Verarbeitung zu identifizieren. |
| s3:GetObjectVersion | Ermöglicht Amazon Location den Zugriff auf bestimmte Versionen von Eingabedateien. Erforderlich, da die Versionierung für Ihre Buckets aktiviert sein muss. |
| s3:GetBucketVersioning | Ermöglicht Amazon Location, zu überprüfen, ob die Versionierung in Ihrem Eingabe-Bucket aktiviert ist. |
| s3:PutObject | Ermöglicht Amazon Location, Ausgabeergebnisse in Ihren Ausgabe-Bucket zu schreiben. |
| s3:AbortMultipartUpload | Ermöglicht Amazon Location, fehlgeschlagene mehrteilige Uploads beim Schreiben großer Ausgabedateien zu bereinigen. |
**Anmerkung**
Diese Richtlinie folgt dem Prinzip der geringsten Rechte, indem sie nur die Berechtigungen gewährt, die für das Funktionieren von Amazon Location Jobs erforderlich sind. Die Richtlinie schränkt die Leseberechtigungen auf Ihren Eingabe-Bucket und die Schreibberechtigungen auf Ihren Ausgabe-Bucket ein.
**Um eine IAM-Richtlinie zu erstellen, verwenden Sie AWS CLI**
1. Erstellen Sie eine Datei `location-jobs-policy.json` mit dem folgenden Inhalt, ersetzen Sie dabei Ihre Bucket-Namen {{INPUT\_BUCKET\_NAME}} und {{OUTPUT\_BUCKET\_NAME}} fügen Sie sie hinzu:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:GetObjectVersion",
"s3:GetBucketVersioning"
],
"Resource": [
"arn:aws:s3:::{{INPUT_BUCKET_NAME}}",
"arn:aws:s3:::{{INPUT_BUCKET_NAME}}/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::{{OUTPUT_BUCKET_NAME}}/*"
]
}
]
}
```
1. Erstellen Sie die Richtlinie:
```
aws iam create-policy \
--policy-name {{LocationJobsS3AccessPolicy}} \
--policy-document file://location-jobs-policy.json
```
1. Notieren Sie sich den Richtlinien-ARN aus der Ausgabe. Sie benötigen diesen ARN im nächsten Schritt.
## Schritt 2: Erstellen Sie eine Ausführungsrolle
Erstellen Sie eine IAM-Rolle, von der Amazon Location annimmt, dass sie während der Auftragsausführung auf Ihre Amazon S3 S3-Buckets zugreift.
Die Vertrauensrichtlinie ermöglicht es dem Amazon Location Service (`geo.amazonaws.com`), diese Rolle zu übernehmen. Diese Vertrauensbeziehung ist erforderlich, damit Amazon Location während der Auftragsausführung auf Ihre Amazon S3 S3-Buckets zugreifen kann.
**Um eine Ausführungsrolle für Amazon Location-Jobs zu erstellen**
1. Wählen Sie im Navigationsbereich der IAM-Konsole **Roles** (Rollen) aus.
1. Wählen Sie **Rolle erstellen** aus.
1. Für **Trusted entity type** (Vertrauenstyp der Entität), wählen Sie **Custom trust policy** (Benutzerdefinierte Vertrauensrichtlinie).
1. Geben Sie die folgende Vertrauensrichtlinie ein und {{ACCOUNT\_ID}} ersetzen Sie sie durch Ihre AWS Konto-ID:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "geo.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{ACCOUNT_ID}}"
}
}
}
]
}
```
1. Wählen Sie **Weiter** aus.
1. Suchen Sie nach der Richtlinie, die Sie in Schritt 1 erstellt haben, und wählen Sie sie aus (z. B.`{{LocationJobsS3AccessPolicy}}`).
1. Wählen Sie **Weiter** aus.
1. Geben Sie **unter Rollenname** einen aussagekräftigen Namen ein, z. B. `LocationServiceJobExecutionRole`
1. Wählen Sie **Rolle erstellen** aus.
**Um eine Ausführungsrolle mit dem zu erstellen AWS CLI**
1. Erstellen Sie eine Datei `trust-policy.json` mit dem folgenden Inhalt und {{ACCOUNT\_ID}} ersetzen Sie sie durch Ihre AWS Konto-ID:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "geo.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{ACCOUNT_ID}}"
}
}
}
]
}
```
1. Erstellen Sie die Rolle:
```
aws iam create-role \
--role-name LocationServiceJobExecutionRole \
--assume-role-policy-document file://trust-policy.json
```
1. Hängen Sie die Richtlinie an, die Sie in Schritt 1 erstellt haben ({{ACCOUNT\_ID}}ersetzen Sie sie durch Ihre AWS Konto-ID und {{LocationJobsS3AccessPolicy}} durch Ihren Richtliniennamen, falls anders):
```
aws iam attach-role-policy \
--role-name LocationServiceJobExecutionRole \
--policy-arn arn:aws:iam::{{ACCOUNT_ID}}:policy/{{LocationJobsS3AccessPolicy}}
```
1. Holen Sie sich den Rollen-ARN:
```
aws iam get-role \
--role-name LocationServiceJobExecutionRole \
--query 'Role.Arn' \
--output text
```
1. Notieren Sie sich den Rollen-ARN aus der Ausgabe. Sie benötigen diesen ARN, wenn Sie Jobs mit dem `ExecutionRoleArn` Parameter starten.
Notieren Sie sich nach dem Erstellen der Rolle den ARN der Rolle. Sie benötigen diesen ARN, wenn Sie Jobs mit dem `ExecutionRoleArn` Parameter starten. Weitere Informationen finden Sie unter [Eingabedaten vorbereiten](preparing-input-data.md).
## Bewährte Methoden für die Gewährleistung der Sicherheit
Halten Sie sich bei der Konfiguration von IAM-Berechtigungen für Amazon Location Jobs an die folgenden bewährten Sicherheitsmethoden:
+ **Verwenden Sie einen bestimmten Bucket ARNs:** Ersetzen Sie die Platzhalter-Bucket-Namen in der Richtlinie durch Ihre tatsächlichen Bucket-Namen, um den Zugriff nur auf die Buckets zu beschränken, die Sie verwenden möchten.
+ **Separate Eingabe- und Ausgabe-Buckets:** Verwenden Sie unterschiedliche Buckets für Eingabe und Ausgabe, um eine klare Trennung von Lese- und Schreibberechtigungen zu gewährleisten.
+ **Amazon S3 S3-Bucket-Versionierung aktivieren:** Die Versionierung muss für Ihre Buckets aktiviert sein. Dies ist erforderlich, damit Amazon Location Jobs ordnungsgemäß funktioniert.
+ **Verwenden Sie Amazon S3 S3-Bucket-Richtlinien:** Fügen Sie Bucket-Richtlinien zu Ihren Amazon S3 S3-Buckets hinzu, um zusätzliche Zugriffskontrollen zu erhalten, die über die IAM-Richtlinien hinausgehen.
+ **Rollennutzung überwachen:** Wird verwendet, um zu überwachen, wann und wie die Ausführungsrolle von Amazon Location Jobs verwendet wird.