Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden von Tags mit S3 Zugangspunkten für Verzeichnis-Buckets
Ein AWS Tag ist ein Schlüssel-Wert-Paar, das Metadaten zu Ressourcen enthält, in diesem Fall Amazon S3 Access Points für Verzeichnis-Buckets. Sie können Zugangspunkte kennzeichnen, wenn Sie sie erstellen, oder Tags auf vorhandenen Zugangspunkte verwalten. Allgemeine Informationen zur Verwendung von Tags finden Sie unter [Kennzeichnung für die Kostenzuweisung oder attributbasierte Zugriffskontrolle (ABAC)](tagging.md).
**Anmerkung**
Für die Verwendung von Tags auf Zugangspunkten für Verzeichnis-Buckets fallen keine zusätzlichen Gebühren an, die über die standardmäßigen S3-API-Anforderungsraten hinausgehen. Weitere Informationen finden Sie unter [Amazon S3 – Preise](https://aws.amazon.com/s3/pricing/).
## Gängige Methoden zur Verwendung von Tags mit Zugangspunkten für Verzeichnis-Buckets
Mit der attributbasierten Zugriffskontrolle (ABAC) können Sie Zugriffsberechtigungen skalieren und den Zugriff auf Zugangspunkte für Verzeichnis-Buckets basierend auf ihren Tags gewähren. Weitere Informationen zu ABAC in Amazon S3 finden Sie unter [Verwenden von Tags für ABAC](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging.html#using-tags-for-abac).
### ABAC für S3-Zugangspunkte
Amazon S3 Access Points unterstützen die attributbasierte Zugriffskontrolle (ABAC) mithilfe von Tags. Verwenden Sie Tag-basierte Bedingungsschlüssel in Ihren AWS Organisations-, IAM- und Access Point-Richtlinien. Für Unternehmen unterstützt ABAC in Amazon S3 die Autorisierung über mehrere AWS Konten hinweg.
In Ihren IAM-Richtlinien können Sie den Zugriff auf Zugangspunkte für Verzeichnis-Buckets anhand der Bucket-Tags steuern, indem Sie die folgenden [globalen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys) Bedingungsschlüssel verwenden:
+ `aws:ResourceTag/key-name`
+ Verwenden Sie diesen Schlüssel, um das Tag-Schlüssel-Wert-Paar, das Sie in der Richtlinie angeben, mit dem Schlüssel-Wert-Paar zu vergleichen, das der Ressource zugeordnet ist. Beispiel: Sie können verlangen, dass der Zugriff auf eine Ressource nur gewährt wird, wenn die Ressource über den angefügten Tag-Schlüssel `Dept` mit dem Wert `Marketing` verfügt. Weitere Informationen finden Sie unter [Steuern des Zugriffs auf AWS Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-resources).
+ `aws:RequestTag/key-name`
+ Verwenden Sie diesen Schlüssel, um das Tag-Schlüssel-Wert-Paar, das in der Anforderung übergeben wurde, mit dem Tag-Paar zu vergleichen, das Sie in der Richtlinie angeben. Sie können beispielsweise prüfen, ob die Anforderung den Tag-Schlüssel `Dept` enthält und dieser den Wert `Accounting` hat. Weitere Informationen finden Sie unter [Steuern des Zugriffs bei AWS Anfragen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-requests). Sie können diesen Bedingungsschlüssel verwenden, um einzuschränken, welche Tag-Schlüsselwert-Paare während der `TagResource` und `CreateAccessPoint` API-Operationen weitergeleitet werden können.
+ `aws:TagKeys`
+ Verwenden Sie diesen Schlüssel, um die Tag-Schlüssel in einer Anforderung mit den Schlüsseln zu vergleichen, die Sie in der Richtlinie angeben. Wir empfehlen, dass Sie bei der Verwendung von Richtlinien zur Zugriffskontrolle mithilfe von Tags den `aws:TagKeys`-Bedingungsschlüssel verwenden, um festzulegen, welche Tag-Schlüssel zulässig sind. Beispiele für Richtlinien und weitere Informationen finden Sie unter [Zugriffssteuerung basierend auf Tag-Schlüsseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-tag-keys). Sie können einen Zugangspunkt für Verzeichnis-Buckets mit Tags erstellen. Um das Markieren während des `CreateAccessPoint` API-Vorgangs zu erlauben, müssen Sie eine Richtlinie erstellen, die die `s3express:TagResource`- und `s3express:CreateAccessPoint`-Aktionen enthält. Anschließend können Sie den `aws:TagKeys`-Bedingungsschlüssel zum Erzwingen mit spezifischen Tags in der `CreateAccessPoint`-Anforderung verwenden.
+ `s3express:AccessPointTag/tag-key`
+ Verwenden Sie diesen Bedingungsschlüssel, um über Zugangspunkte mithilfe von Tags Berechtigungen für bestimmte Daten zu erteilen. Bei der Verwendung `aws:ResourceTag/tag-key` in einer IAM-Richtlinie müssen sowohl der Zugangspunkt als auch der Bucket, auf den der Zugangspunkt verweist, dasselbe Tag haben, da beide bei der Autorisierung berücksichtigt werden. Wenn Sie den Zugriff auf Ihre Daten ausschließlich über das Access-Point-Tag kontrollieren möchten, können Sie den Bedingungsschlüssel verwenden`s3express:AccessPointTag/tag-key`.
### Beispiel für ABAC-Richtlinien für Zugangspunkte für Verzeichnis-Buckets
Sehen Sie sich das folgende Beispiel für ABAC-Richtlinien für Zugangspunkte für Verzeichnis-Buckets an.
#### 1.1 – IAM-Richtlinie zum Erstellen oder Ändern von Zugangspunkte mit bestimmten Tags
In dieser IAM-Richtlinie können Benutzer oder Rollen mit dieser Richtlinie nur dann Zugangspunkte erstellen, wenn sie die Zugangspunkte mit dem Tag-Schlüssel `project` und dem Tag-Wert `Trinity` in der Anfrage zur Erstellung des Zugangspunkts kennzeichnen. Sie können auch Tags auf vorhandenen Zugangspunkten für Verzeichnis-Buckets hinzufügen oder ändern, sofern die `TagResource` Anfrage das Schlüssel-Wert-Paar des Tags `project:Trinity` enthält.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateAccessPointWithTags",
"Effect": "Allow",
"Action": [
"s3express:CreateAccessPoint",
"s3express:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/project": [
"Trinity"
]
}
}
}
]
}
```
#### 1.2 – Zugangspunkt-Richtlinie zur Einschränkung von Vorgängen im Bucket mithilfe von Tags
In dieser Zugangspunkt-Richtlinie können IAM-Prinzipale (Benutzer und Rollen) nur dann Operationen mithilfe der `CreateSession` Aktion auf dem Zugangspunkt ausführen, wenn der Wert des Access `project` Point-Tags mit dem Wert des `project` Prinzipal-Tags übereinstimmt.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowObjectOperations",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": "s3express:CreateSession",
"Resource": "arn:aws::s3express:region:111122223333:access-point/my-access-point",
"Condition": {
"StringEquals": {
"aws:ResourceTag/project": "${aws:PrincipalTag/project}"
}
}
}
]
}
```
#### 1.3 – IAM-Richtlinie zur Änderung von Tags auf vorhandenen Ressourcen unter Beibehaltung der Tagging-Governance
In dieser IAM-Richtlinie können IAM-Prinzipale (Benutzer oder Rollen) Tags auf einem Zugangspunkt nur ändern, wenn der Wert des Zugangspunkt-Tags `project` mit dem Wert des Prinzipal-Tags `project` übereinstimmt. Für diese Verzeichnis-Buckets sind nur die vier Tags `project`, `environment`, `owner` und `cost-center` die in den `aws:TagKeys`-Bedingungsschlüsseln angegebenen Zugangspunkte zulässig. Dies trägt zur Durchsetzung der Tag-Governance bei, verhindert unbefugte Tag-Änderungen und sorgt dafür, dass das Tagging-Schema an Ihren Zugangspunkten einheitlich bleibt.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EnforceTaggingRulesOnModification",
"Effect": "Allow",
"Action": [
"s3express:TagResource"
],
"Resource": "arn:aws::s3express:region:111122223333:accesspoint/my-access-point",
"Condition": {
"StringEquals": {
"aws:ResourceTag/project": "${aws:PrincipalTag/project}"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"project",
"environment",
"owner",
"cost-center"
]
}
}
}
]
}
```
#### 1.4 — Verwendung des Bedingungsschlüssels s3express: AccessPointTag
In dieser IAM-Richtlinie erlaubt die Bedingungsanweisung den Zugriff auf die Daten des Buckets nur, wenn der Zugangspunkt, der für den Zugriff auf den Bucket verwendet wird, den Tag-Schlüssel `Environment` und den Tag-Wert `Production` hat.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToSpecificAccessPoint",
"Effect": "Allow",
"Action": "*",
"Resource": "arn:aws::s3express:region:111122223333:accesspoint/my-access-point",
"Condition": {
"StringEquals": {
"s3express:AccessPointTag/Environment": "Production"
}
}
}
]
}
```
## Arbeiten mit Tags für Zugangspunkte für Verzeichnis-Buckets
Sie können Tags für Access Points für Directory-Buckets mithilfe der Amazon S3 S3-Konsole, der AWS Befehlszeilenschnittstelle (CLI) AWS SDKs, der oder mithilfe von S3 APIs: [TagResource[UntagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html)](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html), und [ListTagsForResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html)hinzufügen oder verwalten. Weitere Informationen finden Sie unter:
**Topics**
+ [Gängige Methoden zur Verwendung von Tags mit Zugangspunkten für Verzeichnis-Buckets](#common-ways-to-use-tags-access-points-db)
+ [Arbeiten mit Tags für Zugangspunkte für Verzeichnis-Buckets](#working-with-tags-access-points-db)
+ [Erstellen von Zugangspunkten für Verzeichnis-Buckets mit Tags](access-points-db-create-tag.md)
+ [Hinzufügen eines Tags zu einem Zugangspunkt für Verzeichnis-Buckets](access-points-db-tag-add.md)
+ [Die Tags eines Zugangspunkts für Verzeichnis-Buckets anzeigen](access-points-db-tag-view.md)
+ [Löschen eines Tags von einem Zugangspunkt für Verzeichnis-Buckets](access-points-db-tag-delete.md)