Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwalten des Zugriffs auf gemeinsam genutzte Datensätze mit Zugangspunkten
Amazon S3 S3-Zugriffspunkte vereinfachen den Datenzugriff für alle AWS Service- oder Kundenanwendungen, die Daten in S3 speichern. Access Points sind so genannte Netzwerkendpunkte, die mit einer Datenquelle wie einem Bucket, Amazon FSx für NetApp ONTAP-Volume oder Amazon FSx für OpenZFS-Volume verbunden sind. Hinweise zum Arbeiten mit Buckets finden Sie unter [Übersicht über Allzweck-Buckets](UsingBucket.md). Informationen zur Arbeit mit FSx for NetApp ONTAP finden Sie unter [Was ist Amazon FSx for NetApp ONTAP](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/what-is-fsx-ontap.html) im Benutzerhandbuch *FSx für ONTAP*. *Informationen zur Arbeit mit FSx für OpenZFS finden Sie unter [Was ist Amazon FSx für OpenZFS im Benutzerhandbuch für OpenZFS](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/what-is-fsx.html). FSx *
Zugangspunkte sind Buckets zugeordnet, mit denen Sie S3-Objektvorgänge ausführen können, z. B. `GetObject` und `PutObject`. Jeder Zugriffspunkt verfügt über unterschiedliche Berechtigungen und Netzwerkkontrollen, die S3 für alle Anforderungen anwendet, die über diesen Zugriffspunkt eingehen. Jeder Endpunkt setzt eine benutzerdefinierte Zugangspunktrichtlinie durch, mit der Sie die Verwendung nach Ressource, Benutzer oder anderen Bedingungen steuern können. Jeder Zugangspunkt erzwingt eine benutzerdefinierte Zugangspunktrichtlinie, die in Verbindung mit der Bucket-Richtlinie funktioniert, die dem zugrunde liegenden Bucket zugeordnet ist. Sie können jeden Zugriffspunkt so konfigurieren, dass nur Anforderungen aus einer Virtual Private Cloud (VPC) akzeptiert werden, um den Amazon S3-Datenzugriff auf ein privates Netzwerk zu beschränken. Sie können auch benutzerdefinierte Block Public Access-Einstellungen für jeden Zugriffspunkt konfigurieren.
**Anmerkung**
Sie können Zugriffspunkte nur zum Ausführen von Vorgängen an Objekten verwenden. Sie können mit Zugangspunkten keine anderen Amazon S3-Vorgänge auszuführen, z. B. das Löschen von Buckets oder das Erstellen von S3-Replikationskonfigurationen. Eine vollständige Liste der S3-Vorgänge, die Zugriffspunkte unterstützen, finden Sie unter [Kompatibilität von Zugangspunkten](access-points-service-api-support.md).
In diesem Abschnitt wird erläutert, wie Sie mit Amazon S3 Access Points arbeiten. Themen zur Verwendung von Zugangspunkten mit Verzeichnis-Buckets finden Sie unter. [Verwaltung des Zugriffs auf gemeinsam genutzte Datensätze in Verzeichnis-Buckets mit Zugangspunkten](access-points-directory-buckets.md)
**Topics**
+ [Regeln für die Benennung von Zugangspunkten, Einschränkungen und Begrenzungen](access-points-restrictions-limitations-naming-rules.md)
+ [Referenzierung von Access Points mit ARNs Access-Point-Aliasnamen oder virtuell gehostetem System URIs](access-points-naming.md)
+ [Kompatibilität von Zugangspunkten](access-points-service-api-support.md)
+ [Konfigurieren von IAM-Richtlinien für die Verwendung von Zugriffspunkten](access-points-policies.md)
+ [Überwachen und Protokollieren von Zugriffspunkten](access-points-monitoring-logging.md)
+ [Erstellen eines Zugriffspunkts](creating-access-points.md)
+ [Verwalten Ihrer Amazon-S3-Zugangspunkte für Allzweck-Buckets](access-points-manage.md)
+ [Verwenden von Amazon-S3-Zugangspunkten für Allzweck-Buckets](using-access-points.md)
+ [Verwenden von Tags mit S3 Zugangspunkte für Allzweck-Buckets.](access-points-tagging.md)
# Regeln für die Benennung von Zugangspunkten, Einschränkungen und Begrenzungen
Access Points sind so genannte Netzwerkendpunkte, die an einen Bucket oder ein Volume in einem FSx Amazon-Dateisystem angeschlossen sind und die Datenverwaltung vereinfachen. Wenn Sie einen Access Point erstellen, wählen Sie einen Namen und dann, in dem er erstellt werden AWS-Region soll. Die folgenden Themen enthalten Informationen zu Regeln, Einschränkungen und Einschränkungen für Zugangspunkte.
**Topics**
+ [Regeln für die Benennung von Zugangspunkten](#access-points-names)
+ [Einschränkungen und Beschränkungen für Zugangspunkte](#access-points-restrictions-limitations)
+ [Einschränkungen und Beschränkungen für Zugriffspunkte, die an ein Volume in einem FSx Amazon-Dateisystem angehängt sind](#access-points-restrictions-limitations-fsx)
## Regeln für die Benennung von Zugangspunkten
Wenn Sie einen Access Point erstellen, wählen Sie seinen Namen und den, in AWS-Region dem er erstellt werden soll. Im Gegensatz zu Buckets für allgemeine Zwecke müssen die Namen von Access Points in AWS-Konten oder AWS-Regionen nicht eindeutig sein. Dasselbe AWS-Konto kann Access Points mit demselben Namen in verschiedenen Versionen erstellen AWS-Regionen oder zwei verschiedene verwenden AWS-Konten möglicherweise denselben Zugangspunktnamen. In AWS-Region einem einzigen Fan AWS-Konto dürfen sich jedoch nicht zwei Access Points mit identischem Namen befinden.
**Anmerkung**
Wenn Sie Ihren Zugangspunkt veröffentlichen möchten, sollten Sie den Zugangspunkt vermeiden. Die Namen von Zugriffspunkten werden in einer öffentlich zugänglichen Datenbank veröffentlicht, die als Domain Name System (DNS) bekannt ist.
Zugangspunktnamen müssen DNS-konform sein und die folgenden Bedingungen erfüllen:
+ Muss innerhalb eines einzigen AWS-Konto und eindeutig sein AWS-Region
+ Muss mit einer Zahl oder einem Kleinbuchstaben beginnen
+ Muss zwischen 3 und 50 Zeichen lang sein.
+ Dürfen nicht mit einem Bindestrich (`-`) beginnen oder enden
+ Dürfen keine Unterstriche (`_`), Großbuchstaben oder Punkte (`.`) enthalten
+ Kann nicht mit dem Suffix `-s3alias` oder `-ext-s3alias` enden. Dieses Suffix ist für Zugangspunkt-Aliasnamen reserviert. Weitere Informationen finden Sie unter [Zugriffspunkt-Aliasse](access-points-naming.md#access-points-alias).
## Einschränkungen und Beschränkungen für Zugangspunkte
Es gelten die folgenden Einschränkungen und Beschränkungen für Amazon S3-Zugriffspunkte:
+ Jeder Access Point ist genau einem Bucket oder FSx einem OpenZFS-Volume zugeordnet. Sie müssen diesen Wert angeben, wenn Sie den Zugangspunkt erstellen. Nachdem Sie einen Access Point erstellt haben, können Sie ihn keinem anderen Bucket oder FSx einem OpenZFS-Volume zuordnen. Sie können jedoch einen Zugangspunkt löschen und dann einen anderen mit demselben Namen erstellen, der einem anderen Bucket zugeordnet ist.
+ Nachdem Sie einen Zugriffspunkt erstellt haben, können Sie die VPC-Konfiguration (Virtual Private Cloud) nicht mehr ändern.
+ Zugriffspunkt-Richtlinien sind auf eine Größe von 20 KB beschränkt.
+ Sie können maximal 10.000 Access Points pro Person AWS-Konto erstellen. AWS-Region Wenn Sie mehr als 10 000 Zugriffspunkte für ein einzelnes Konto in einer Region benötigen, können Sie eine Erhöhung der Service Quotas beantragen. Weitere Informationen zu Service Quotas und zum Beantragen einer Erhöhung finden Sie unter [AWS Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) in der *Allgemeine AWS-Referenz*.
+ Sie können einen Zugriffspunkt nicht als Ziel für die Replikation in S3 verwenden. Weitere Informationen zur Replikation finden Sie unter [Replizieren von Objekten innerhalb und zwischen Regionen](replication.md).
+ Sie können S3-Zugangspunkt-Aliasse nicht als Quelle oder Ziel für **Verschieben**-Operationen in der Amazon-S3-Konsole verwenden.
+ Sie können Access Points nur adressieren, indem Sie virtual-host-style URLs. Weitere Hinweise virtual-host-style zur Adressierung finden Sie unter[Zugriff auf einen Amazon S3-Allzweck-Bucket](access-bucket-intro.md).
+ API-Operationen, die die Zugriffspunktfunktionalität steuern (z. B. `PutAccessPoint` und `GetAccessPointPolicy`), unterstützen keine kontoübergreifende Aufrufe.
+ Sie müssen AWS Signature Version 4 verwenden, wenn Sie mithilfe von REST Anfragen an einen Access Point stellen APIs. Weitere Informationen zur Authentifizierung von Anfragen finden Sie unter [Authentifizieren von Anfragen (AWS Signature Version 4)](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html) in der *Amazon Simple Storage Service API-Referenz*.
+ Zugangspunkte unterstützen nur Anforderungen über HTTPS. Amazon S3 antwortet automatisch mit einer HTTP-Weiterleitung auf alle Anforderungen, die über HTTP gestellt werden, um die Anforderung auf HTTPS zu aktualisieren.
+ Zugriffspunkte unterstützen keinen anonymen Zugriff.
+ Nachdem Sie einen Zugriffspunkt erstellt haben, können Sie die Einstellungen zum Blockieren des öffentlichen Zugriffs nicht mehr ändern.
+ Mit den kontoübergreifenden Zugriffspunkten erhalten Sie jedoch erst dann Zugriff auf Daten, wenn Ihnen vom Bucket-Eigentümer die entsprechenden Berechtigungen erteilt wurden. Der Bucket-Eigentümer behält immer die ultimative Kontrolle über den Datenzugriff und muss die Bucket-Richtlinie aktualisieren, um Anforderungen vom kontoübergreifenden Zugriffspunkt zu autorisieren. Eine Bucket-Beispielrichtlinie finden Sie unter [Konfigurieren von IAM-Richtlinien für die Verwendung von Zugriffspunkten](access-points-policies.md).
+ Wenn Sie über mehr als 1.000 Access Points verfügen, können Sie in der Amazon S3 S3-Konsole nicht anhand des Namens nach einem Access Point suchen. AWS-Regionen
+ Wenn Sie in der Amazon-S3-Konsole einen kontoübergreifenden Zugriffspunkt anzeigen, wird in der Spalte **Zugriff** **Unbekannt** angezeigt. Die Amazon-S3-Konsole kann nicht feststellen, ob öffentlicher Zugriff für den zugehörigen Bucket und die zugehörigen Objekte gewährt wurde. Sofern Sie keine öffentliche Konfiguration für einen spezifischen Anwendungsfall benötigen, empfehlen wir, dass Sie und der Bucket-Eigentümer den gesamten öffentlichen Zugriff auf den Zugangspunkt und den Bucket blockieren. Weitere Informationen finden Sie unter [Blockieren des öffentlichen Zugriffs auf Ihren Amazon-S3-Speicher](access-control-block-public-access.md).
## Einschränkungen und Beschränkungen für Zugriffspunkte, die an ein Volume in einem FSx Amazon-Dateisystem angehängt sind
Im Folgenden finden Sie spezifische Einschränkungen bei der Verwendung von Access Points, die an ein Volume in einem FSx Amazon-Dateisystem angeschlossen sind:
+ Wenn Sie Access Points erstellen, können Sie den Access Point nur an ein Volume auf einem FSx Amazon-Dateisystem anhängen, das Sie besitzen. Sie können keine Verbindung zu einem Volume herstellen, das einem anderen gehört AWS-Konto.
+ Sie können die `CreateAccessPoint` API nicht verwenden, wenn Sie einen Access Point erstellen und an ein Volume in einem FSx Amazon-Dateisystem anhängen. Sie müssen die [https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateAndAttachS3AccessPoint.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateAndAttachS3AccessPoint.html)-API verwenden.
+ Sie können keine Einstellungen zum Blockieren des öffentlichen Zugriffs deaktivieren, wenn Sie einen Access Point erstellen oder verwenden, der an ein Volume in einem FSx Amazon-Dateisystem angeschlossen ist.
+ Sie können in der S3-Konsole keine Objekte auflisten oder **Kopier** - oder **Verschiebeoperationen** verwenden, wenn Access Points an ein Volume in einem FSx Amazon-Dateisystem angeschlossen sind.
+ `CopyObject`wird nur für Access Points unterstützt, die an ein FSx for NetApp ONTAP- oder FSx OpenZFS-Volume angeschlossen sind, wenn Quelle und Ziel derselbe Access Point sind. Weitere Informationen zu Zugangspunkt-ARNs finden Sie unter [Kompatibilität von Zugangspunkten](access-points-service-api-support.md).
+ Mehrteilige Uploads sind auf 5 GB begrenzt.
+ FSx Die Unterstützung für OpenZFS-Bereitstellungstyp und Speicherklasse variiert je nach. AWS-Region Weitere Informationen finden Sie unter [Verfügbarkeit nach AWS-Region](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/available-aws-regions.html) im *OpenZFS User Guide*.
# Referenzierung von Access Points mit ARNs Access-Point-Aliasnamen oder virtuell gehostetem System URIs
Nachdem Sie einen Zugangspunkt erstellt haben, können Sie diese Endpunkte verwenden, um eine Reihe von Vorgängen auszuführen. Wenn Sie auf einen Access Point verweisen, können Sie Amazon Resource Names (ARNs), den Access Point-Alias oder den URI im virtual-hosted-Stil verwenden.
**Topics**
+ [Zugriffspunkt ARNs](#access-points-arns)
+ [Zugriffspunkt-Aliasse](#access-points-alias)
+ [URI im virtuellen Hosting-Stil](#accessing-a-bucket-through-s3-access-point)
## Zugriffspunkt ARNs
Access Points haben Amazon-Ressourcennamen (ARNs). Access ARNs Points ähneln Bucket ARNs, sind jedoch explizit typisiert und kodieren die ID des Access Points AWS-Region und die AWS-Konto ID des Besitzers des Access Points. Weitere Informationen zu ARNs finden Sie unter [Identifizieren von AWS Ressourcen mit Amazon-Ressourcennamen (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) im *IAM-Benutzerhandbuch*.
Der Access Point ARNs verwendet das folgende Format:
```
arn:aws:s3:region:account-id:accesspoint/resource
```
+ `arn:aws:s3:us-west-2:123456789012:accesspoint/test` repräsentiert den Zugangspunkt namens `test`, der dem Konto *`123456789012`* in der Region *`us-west-2`* gehört.
+ `arn:aws:s3:us-west-2:123456789012:accesspoint/*` repräsentiert alle Zugangspunkte unter dem Konto *`123456789012`* in der Region *`us-west-2`*.
ARNs Verwenden Sie für Objekte, auf die über einen Access Point zugegriffen wird, das folgende Format:
```
arn:aws:s3:region:account-id:accesspoint/access-point-name/object/resource
```
+ `arn:aws:s3:us-west-2:123456789012:accesspoint/test/object/unit-01` repräsentiert das Objekt *`unit-01`*, auf das durch den Zugangspunkt namens *`test`* zugegriffen wird, das dem Konto *`123456789012`* in der Region *`us-west-2`* gehört.
+ `arn:aws:s3:us-west-2:123456789012:accesspoint/test/object/*` repräsentiert alle Objekte für den Zugangspunkt namens *`test`* im Konto *`123456789012`* in der Region *`us-west-2`*.
+ `arn:aws:s3:us-west-2:123456789012:accesspoint/test/object/unit-01/finance/*` repräsentiert alle Objekte unter dem Präfix *`unit-01/finance/`* für den Zugangspunkt namens *`test`* im Konto *`123456789012`* in der Region *`us-west-2`*.
## Zugriffspunkt-Aliasse
Wenn Sie einen Zugriffspunkt erstellen, generiert Amazon S3 automatisch einen Alias, den Sie anstelle eines Amazon S3-Bucket-Namens für den Datenzugriff verwenden können. Sie können diesen Zugriffspunkt-Alias anstelle eines Amazon-Ressourcennamens (ARN) für Zugriffspunkt-Operationen auf Datenebene verwenden. Eine Liste dieser Vorgänge finden Sie unter [Kompatibilität von Zugangspunkten](access-points-service-api-support.md).
Ein Zugriffspunkt-Aliasname wird innerhalb desselben Namespace wie ein Amazon S3-Bucket erstellt. Dieser Aliasname wird automatisch generiert und kann nicht geändert werden. Ein Zugriffspunkt-Aliasname erfüllt alle Anforderungen eines gültigen Amazon S3-Bucket-Namens und besteht aus den folgenden Teilen:
`ACCESS POINT NAME-METADATA-s3alias` (für Zugangspunkte, die an einen Amazon-S3-Bucket angeschlossen sind)
`ACCESS POINT NAME-METADATA-ext-s3alias` (für Zugangspunkte, die an eine Datenquelle angeschlossen sind, die nicht zu einem S3-Bucket gehört)
**Anmerkung**
Die Suffixe „`-s3alias`“ und „`-ext-s3alias`“ sind für Aliasnamen von Zugangspunkten reserviert und können nicht für Bucket- oder Zugangspunktnamen verwendet werden. Weitere Informationen zu Amazon-S3-Bucket-Benennungsregeln finden Sie unter [Benennungsregeln für Allzweck-Buckets](bucketnamingrules.md).
### Zugangspunkt-Alias-Anwendungsfälle und -beschränkungen
Bei der Übernahme von Zugriffspunkten können Sie Zugriffspunkt-Aliasnamen verwenden, ohne dass umfangreiche Codeänderungen erforderlich sind.
Wenn Sie einen Zugriffspunkt erstellen, generiert Amazon S3 automatisch einen Zugriffspunkt-Aliasnamen, wie im folgenden Beispiel gezeigt. Zum Ausführen dieses Befehls ersetzen Sie `user input placeholders` durch Ihre Informationen.
```
aws s3control create-access-point --bucket amzn-s3-demo-bucket1 --name my-access-point --account-id 111122223333
{
"AccessPointArn": "arn:aws:s3:region:111122223333:accesspoint/my-access-point",
"Alias": "my-access-point-aqfqprnstn7aefdfbarligizwgyfouse1a-s3alias"
}
```
Sie können diesen Zugriffspunkt-Aliasnamen anstelle eines Amazon S3-Bucket-Namen für jeden Datenebenen-Vorgang verwenden. Eine Liste dieser Vorgänge finden Sie unter [Kompatibilität von Zugangspunkten](access-points-service-api-support.md).
Im folgenden AWS CLI Beispiel für den `get-object` Befehl wird der Access Point-Alias des Buckets verwendet, um Informationen über das angegebene Objekt zurückzugeben. Zum Ausführen dieses Befehls ersetzen Sie `user input placeholders` durch Ihre Informationen.
```
aws s3api get-object --bucket my-access-point-aqfqprnstn7aefdfbarligizwgyfouse1a-s3alias --key dir/my_data.rtf my_data.rtf
{
"AcceptRanges": "bytes",
"LastModified": "2020-01-08T22:16:28+00:00",
"ContentLength": 910,
"ETag": "\"00751974dc146b76404bb7290f8f51bb\"",
"VersionId": "null",
"ContentType": "text/rtf",
"Metadata": {}
}
```
#### Einschränkungen für Zugangspunkt-Alias
+ Aliase können nicht von Kunden konfiguriert werden.
+ Aliasse können auf einem Zugriffspunkt nicht gelöscht, geändert oder deaktiviert werden.
+ Sie können diesen Zugriffspunkt-Aliasnamen anstelle eines Amazon-S3-Bucket-Namen für manche Datenebenen-Operationen verwenden. Eine Liste dieser Vorgänge finden Sie unter [Zugangspunkt-Kompatibilität mit S3-Vorgänge](access-points-service-api-support.md#access-points-operations-support).
+ Sie können einen Aliasnamen für Amazon S3-Kontrollebenenvorgänge nicht verwenden. Eine Liste der Amazon S3-Kontrollebenenvorgänge finden Sie unter [Amazon S3-Kontrolle](https://docs.aws.amazon.com/AmazonS3/latest/API/API_Operations_AWS_S3_Control.html) in der *API-Referenz für Amazon Simple Storage Service*.
+ Sie können S3-Zugangspunkt-Aliasse nicht als Quelle oder Ziel für **Verschieben**-Operationen in der Amazon-S3-Konsole verwenden.
+ Aliase können nicht in AWS Identity and Access Management (IAM-) Richtlinien verwendet werden.
+ Aliase können nicht als Protokollierungsziel für S3-Server-Zugriffsprotokolle verwendet werden.
+ Aliase können nicht als Protokollierungsziel für AWS CloudTrail -Protokolle verwendet werden.
+ Amazon SageMaker AI GroundTruth unterstützt keine Access Point-Aliase.
## URI im virtuellen Hosting-Stil
Access Points unterstützen nur virtual-host-style Adressierung. Bei einer URI im Stil eines virtuellen Hostings AWS-Region ist der Name des Access Points, AWS-Konto, und Teil des Domainnamens in der URL. Weitere Informationen über virtuelles Hosting finden Sie unter [Virtuelles Hosting von Allzweck-Buckets](VirtualHosting.md).
Der Virtual-Hosted-Stil für Zugangspunkte verwendet das folgende Format:
```
https://access-point-name-account-id.s3-accesspoint.region.amazonaws.com
```
**Anmerkung**
Wenn der Name Ihres Zugriffspunkts Bindestriche (-) enthält, fügen Sie die Bindestriche in die URL ein und fügen einen weiteren Bindestrich vor der Konto-ID ein. Wenn Sie beispielsweise einen Zugangspunkt namens *`finance-docs`* verwenden möchten, der im Besitz des Kontos *`123456789012`* in der Region *`us-west-2`* ist, würde die entsprechende URL `https://finance-docs-123456789012.s3-accesspoint.us-west-2.amazonaws.com` lauten.
S3 Access Points unterstützen keinen Zugriff über HTTP. Access Points unterstützen nur den sicheren Zugriff über HTTPS.
# Kompatibilität von Zugangspunkten
Sie können Access Points verwenden, um mithilfe der folgenden Teilmenge von Amazon S3 APIs auf Objekte zuzugreifen. Alle unten aufgeführten Operationen können entweder Access Point ARNs - oder Access Point-Aliase akzeptieren.
Beispiele für die Verwendung von Zugangspunkten zum Ausführen von Operationen an Objekten finden Sie unter[Verwenden von Amazon-S3-Zugangspunkten für Allzweck-Buckets](using-access-points.md).
## Zugangspunkt-Kompatibilität mit S3-Vorgänge
Die folgende Tabelle enthält eine unvollständige Liste der Amazon S3-Operationen und ob sie mit Zugangspunkten kompatibel sind. Alle unten aufgeführten Operationen werden von Access Points unterstützt, die einen S3-Bucket als Datenquelle verwenden, wohingegen nur einige Operationen von Access Points unterstützt werden, die ein Volume FSx für ONTAP oder FSx für OpenZFS als Datenquelle verwenden.
Weitere Informationen finden Sie unter Kompatibilität von Access Points im Benutzerhandbuch [https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-object-api-support.html](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-object-api-support.html) [https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/access-points-object-api-support.html](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/access-points-object-api-support.html) OpenZFS.
| S3-Betrieb | Zugangspunkt, der an einen S3-Bucket angeschlossen ist | Zugriffspunkt, der an ein OpenZFS-Volume angeschlossen ist FSx |
| --- | --- | --- |
| `[AbortMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_AbortMultipartUpload.html)` | Unterstützt | Unterstützt |
| `[CompleteMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html)` | Unterstützt | Unterstützt |
| `[CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)` (nur Kopien in derselben Region) | Unterstützt | Wird unterstützt, wenn Quelle und Ziel derselbe Zugangspunkt sind |
| `[CreateMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)` | Unterstützt | Unterstützt |
| `[DeleteObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html)` | Unterstützt | Unterstützt |
| `[DeleteObjects](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjects.html)` | Unterstützt | Unterstützt |
| `[DeleteObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjectTagging.html)` | Unterstützt | Unterstützt |
| `[GetBucketAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAcl.html)` | Unterstützt | Nicht unterstützt |
| `[GetBucketCors](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketCors.html)` | Unterstützt | Nicht unterstützt |
| `[GetBucketLocation](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLocation.html)` | Unterstützt | Unterstützt |
| `[GetBucketNotificationConfiguration](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketNotificationConfiguration.html)` | Unterstützt | Nicht unterstützt |
| `[GetBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)` | Unterstützt | Nicht unterstützt |
| `[GetObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)` | Unterstützt | Unterstützt |
| `[GetObjectAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAcl.html)` | Unterstützt | Nicht unterstützt |
| `[GetObjectAttributes](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAttributes.html)` | Unterstützt | Unterstützt |
| `[GetObjectLegalHold](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLegalHold.html)` | Unterstützt | Nicht unterstützt |
| `[GetObjectRetention](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectRetention.html)` | Unterstützt | Nicht unterstützt |
| `[GetObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectTagging.html)` | Unterstützt | Unterstützt |
| `[HeadBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html)` | Unterstützt | Unterstützt |
| `[HeadObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html)` | Unterstützt | Unterstützt |
| `[ListMultipartUploads](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html)` | Unterstützt | Unterstützt |
| `[ListObjects](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjects.html)` | Unterstützt | Unterstützt |
| `[ListObjectsV2](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html)` | Unterstützt | Unterstützt |
| `[ListObjectVersions](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectVersions.html)` | Unterstützt | Nicht unterstützt |
| `[ListParts](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListParts.html)` | Unterstützt | Unterstützt |
| `[Presign](https://docs.aws.amazon.com/AmazonS3/latest/API/sigv4-query-string-auth.html)` | Unterstützt | Unterstützt |
| `[PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)` | Unterstützt | Unterstützt |
| `[PutObjectAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html)` | Unterstützt | Nicht unterstützt |
| `[PutObjectLegalHold](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLegalHold.html)` | Unterstützt | Nicht unterstützt |
| `[PutObjectRetention](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectRetention.html)` | Unterstützt | Nicht unterstützt |
| `[PutObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html)` | Unterstützt | Unterstützt |
| `[RestoreObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_RestoreObject.html)` | Unterstützt | Nicht unterstützt |
| `[UploadPart](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html)` | Unterstützt | Unterstützt |
| `[UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)` (nur Kopien in derselben Region) | Unterstützt | Wird unterstützt, wenn Quelle und Ziel derselbe Zugangspunkt sind |
# Konfigurieren von IAM-Richtlinien für die Verwendung von Zugriffspunkten
Amazon S3 Access Points unterstützen Ressourcenrichtlinien AWS Identity and Access Management (IAM), mit denen Sie die Nutzung des Access Points nach Ressourcen, Benutzern oder anderen Bedingungen steuern können. Damit eine Anwendung oder ein Benutzer über einen Access Point auf Objekte zugreifen kann, müssen sowohl der Access Point als auch das zugrunde liegende Bucket oder das FSx Amazon-Dateisystem die Anfrage zulassen.
**Wichtig**
Einschränkungen, die Sie in eine Zugriffspunktrichtlinie einschließen, gelten nur für Anforderungen, die über diesen Zugriffspunkt eingehen. Durch das Anhängen eines Zugangspunkts an einen Bucket wird das Verhalten der zugrunde liegenden Ressource nicht geändert. Alle bestehenden Vorgänge mit dem Bucket, die nicht über Ihren Zugangspunkt erfolgen, funktionieren weiterhin wie bisher.
Wenn Sie IAM-Ressourcenrichtlinien verwenden, achten Sie darauf, Sicherheitswarnungen, Fehler, allgemeine Warnungen und Vorschläge zu beheben, die Sie AWS Identity and Access Management Access Analyzer vor dem Speichern Ihrer Richtlinie erhalten haben. IAM Access Analyzer führt Richtlinienprüfungen durch, um Ihre Richtlinie anhand der [IAM-Richtliniengrammatik](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_grammar.html) und der [bewährten Methoden](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) zu validieren. Diese Prüfungen generieren Ergebnisse und bieten Empfehlungen, die Sie beim Erstellen von Richtlinien unterstützen, die funktionsfähig sind und den bewährten Methoden für Sicherheit entsprechen.
Weitere Informationen zum Validieren von Richtlinien mit IAM Access Analyzer finden Sie unter [Validierung der IAM-Access-Analyzer-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*. Eine Liste der Warnungen, Fehler und Vorschläge, die von IAM Access Analyzer zurückgegeben werden, finden Sie unter [IAM-Access-Analyzer-Richtlinienprüfungsreferenz](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html).
## Richtlinienbeispiele für Zugangspunkte
In den folgenden Beispielen wird veranschaulicht, wie IAM-Richtlinien zum Steuern von Anforderungen erstellt werden, die über einen Zugriffspunkt eingehen.
**Anmerkung**
Berechtigungen, die in einer Zugriffspunktrichtlinie erteilt werden, sind nur wirksam, wenn der zugrunde liegende Bucket auch denselben Zugriff zulässt. Sie können dies auf zwei Arten erreichen:
**(Empfohlen)** Delegieren Sie die Zugriffssteuerung vom Bucket an den Zugriffspunkt, wie unter [Delegieren der Zugangskontrolle an Zugriffspunkte](#access-points-delegating-control) beschrieben.
Fügen Sie der Richtlinie des zugrunde liegenden Buckets dieselben Berechtigungen hinzu, die in der Zugriffspunktrichtlinie enthalten sind. Beispiel 1 für eine Zugriffspunktrichtlinie veranschaulicht, wie die zugrunde liegende Bucket-Richtlinie geändert wird, damit der erforderliche Zugriff gewährt wird.
**Example 1 – Erteilung der Zugriffspunktberechtigung**
Die folgende Zugriffspunktrichtlinie gewährt IAM-Benutzer `Jane` in Konto `123456789012` Berechtigungen für `GET`- und `PUT`-Objekte mit dem Präfix `Jane/` über Zugriffspunkt *`my-access-point`* in Konto *`123456789012`*.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Jane"
},
"Action": ["s3:GetObject", "s3:PutObject"],
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/my-access-point/object/Jane/*"
}]
}
```
**Anmerkung**
Damit die Zugangspunkt-Richtlinie effektiv Zugriff auf *`Jane`* gewährt, muss der zugrunde liegende Bucket *`Jane`* auch denselben Zugriff gewähren. Sie können die Zugriffssteuerung vom Bucket an den Zugriffspunkt delegieren, wie unter [Delegieren der Zugangskontrolle an Zugriffspunkte](#access-points-delegating-control) beschrieben. Oder Sie können dem zugrunde liegenden Bucket die folgende Richtlinie hinzufügen, um Jane die erforderlichen Berechtigungen zu erteilen. Beachten Sie, dass sich der `Resource`-Eintrag zwischen den Zugriffspunkt- und Bucket-Richtlinien unterscheidet.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Jane"
},
"Action": ["s3:GetObject", "s3:PutObject"],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/Jane/*"
}]
}
```
**Example 2 – Zugriffspunktrichtlinie mit Tag-Bedingung**
Die folgende Zugriffspunktrichtlinie gewährt IAM-Benutzer *`Mateo`* in Konto *`123456789012`* Berechtigungen für `GET`-Objekte über Zugriffspunkt *`my-access-point`* in Konto *`123456789012`*, für deren Tag-Schlüssel *`data`* der Wert *`finance`* festgelegt ist.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Mateo"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/my-access-point/object/*",
"Condition": {
"StringEquals": {
"s3:ExistingObjectTag/data": "finance"
}
}
}]
}
```
**Example 3 – Zugriffspunktrichtlinie, die eine Bucket-Auflistung ermöglicht**
Die folgende Zugriffspunktrichtlinie berechtigt den IAM-Benutzer `Arnav` im Konto *`123456789012`* dazu, die Objekte in dem Bucket anzuzeigen, der Zugriffspunkt *`my-access-point`* im Konto *`123456789012`* zugrunde liegt.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Arnav"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/my-access-point"
}]
}
```
**Example 4 – Service-Kontrollrichtlinie**
Die folgende Service-Kontrollrichtlinie erfordert, dass alle neuen Zugriffspunkte mit einem Virtual Private Cloud (VPC)-Netzwerkursprung erstellt werden. Mit dieser Richtlinie können Benutzer in Ihrer Organisation keine neuen Zugriffspunkte erstellen, auf die über das Internet zugegriffen werden kann.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "s3:CreateAccessPoint",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"s3:AccessPointNetworkOrigin": "VPC"
}
}
}]
}
```
**Example 5 – Bucket-Richtlinie zur Begrenzung von S3-Vorgängen für VPC-Netzwerkursprünge**
Die folgende Bucket-Richtlinie beschränkt den Zugriff auf alle S3-Objekt-Vorgänge für Bucket `amzn-s3-demo-bucket` auf Zugriffspunkte mit einem VPC-Netzwerkursprung.
Bevor Sie eine Anweisung wie in diesem Beispiel gezeigt verwenden, stellen Sie sicher, dass Sie keine Funktionen verwenden müssen, die von Zugriffspunkten nicht unterstützt werden, z. B. regionsübergreifende Replikation.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3:AbortMultipartUpload",
"s3:BypassGovernanceRetention",
"s3:DeleteObject",
"s3:DeleteObjectTagging",
"s3:DeleteObjectVersion",
"s3:DeleteObjectVersionTagging",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectLegalHold",
"s3:GetObjectRetention",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:GetObjectVersionAcl",
"s3:GetObjectVersionTagging",
"s3:ListMultipartUploadParts",
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectLegalHold",
"s3:PutObjectRetention",
"s3:PutObjectTagging",
"s3:PutObjectVersionAcl",
"s3:PutObjectVersionTagging",
"s3:RestoreObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringNotEquals": {
"s3:AccessPointNetworkOrigin": "VPC"
}
}
}
]
}
```
## Bedingungsschlüssel
S3-Zugriffspunkte verwenden Bedingungsschlüssel, die Sie in IAM-Richtlinien zur Kontrolle des Zugriffs auf Ihre Ressourcen verwendet werden können. Die folgenden Bedingungsschlüssel stellen nur einen Teil einer IAM-Richtlinie dar. Vollständige Richtlinienbeispiele finden Sie unter [Richtlinienbeispiele für Zugangspunkte](#access-points-policy-examples), [Delegieren der Zugangskontrolle an Zugriffspunkte](#access-points-delegating-control) und [Erteilen von Berechtigungen für kontoübergreifende Zugriffspunkte](#access-points-cross-account).
**`s3:DataAccessPointArn`**
Dieses Beispiel zeigt eine Zeichenfolge, die Sie mit einem Zugriffspunkt-ARN abgleichen können. Das folgende Beispiel entspricht allen Access Points für AWS-Konto *`123456789012`* in Region*`us-west-2`*:
```
"Condition" : {
"StringLike": {
"s3:DataAccessPointArn": "arn:aws:s3:us-west-2:123456789012:accesspoint/*"
}
}
```
**`s3:DataAccessPointAccount`**
Dieses Beispiel zeigt einen Zeichenfolgenoperator, mit dem Sie die Konto-ID des Besitzers eines Zugriffspunkts abgleichen können. Das folgende Beispiel entspricht allen Zugriffspunkten im Besitz des AWS-Konto s *`123456789012`*.
```
"Condition" : {
"StringEquals": {
"s3:DataAccessPointAccount": "123456789012"
}
}
```
**`s3:AccessPointNetworkOrigin`**
Dieses Beispiel zeigt einen Zeichenfolgenoperator, den Sie verwenden können, um für den Netzwerkursprung entweder `Internet` oder `VPC` abzugleichen. Im folgenden Beispiel werden nur Zugriffspunkte mit einem VPC-Ursprung abgeglichen.
```
"Condition" : {
"StringEquals": {
"s3:AccessPointNetworkOrigin": "VPC"
}
}
```
Weitere Informationen zur Verwendung von Bedingungsschlüsseln mit Amazon S3 finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html) in der *Service-Authorization-Referenz*.
Weitere Informationen zu den Berechtigungen für S3-API-Operationen nach S3-Ressourcentypen finden Sie unter [Erforderliche Berechtigungen für Amazon-S3-API-Operationen](using-with-s3-policy-actions.md).
## Delegieren der Zugangskontrolle an Zugriffspunkte
Sie können die Zugriffssteuerung für einen Bucket an die Zugriffspunkte des Buckets delegieren. Die folgende Bucket-Beispielrichtlinie ermöglicht Vollzugriff auf alle Zugriffspunkte, die dem Konto des Bucket-Eigentümers gehören. Somit wird der gesamte Zugriff auf diesen Bucket durch die an seine Zugriffspunkte angehängten Richtlinien gesteuert. Wir empfehlen, Ihre Buckets auf diese Weise für alle Anwendungsfälle zu konfigurieren, die keinen direkten Zugriff auf den Bucket erfordern.
**Example 6 – Bucket-Richtlinie zum Delegieren der Zugriffskontrolle an Standardzugriffspunkte**
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect": "Allow",
"Principal" : { "AWS": "*" },
"Action" : "*",
"Resource" : [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*"],
"Condition": {
"StringEquals" : { "s3:DataAccessPointAccount" : "111122223333" }
}
}]
}
```
## Erteilen von Berechtigungen für kontoübergreifende Zugriffspunkte
Wenn Sie einen Zugriffspunkt für einen Bucket erstellen möchten, der einem anderen Konto gehört, müssen Sie zuerst den Zugriffspunkt erstellen, indem Sie den Bucket-Namen und die Kontobesitzer-ID angeben. Dann muss der Bucket-Eigentümer die Bucket-Richtlinie aktualisieren, um Anfragen vom Zugriffspunkt zu autorisieren. Ein Zugriffspunkt wird insofern ähnlich erstellt wie ein DNS-CNAME, als der Zugriffspunkt keinen Zugriff auf den Bucket-Inhalt bietet. Der gesamte Bucket-Zugriff wird durch die Bucket-Richtlinie kontrolliert. Die folgende Bucket-Beispielrichtlinie erlaubt `GET`- und `LIST`- Anfragen an den Bucket von einem Zugriffspunkt aus, der einem vertrauenswürdigen AWS-Konto gehört.
Durch *Bucket ARN* den ARN des Buckets ersetzen.
**Example 7 — Bucket-Richtlinie, mit der Berechtigungen an einen anderen delegiert werden AWS-Konto**
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect": "Allow",
"Principal" : { "AWS": "*" },
"Action" : ["s3:GetObject","s3:ListBucket"],
"Resource" : ["arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*"],
"Condition": {
"StringEquals" : { "s3:DataAccessPointAccount" : "Access point owner's account ID" }
}
}]
}
```
Kontoübergreifende Zugangspunkte sind nur für Zugangspunkte verfügbar, die an S3-Buckets angeschlossen sind. Sie können keinen Access Point an ein Volume auf einem FSx Amazon-Dateisystem anhängen, das einem anderen gehört AWS-Konto.
# Überwachen und Protokollieren von Zugriffspunkten
Amazon S3 protokolliert Anforderungen, die über Zugangspunkte ausgeführt werden, und Anforderungen an die API-Operationen, die Zugangspunkte verwalten, z. B. `CreateAccessPoint` und `GetAccessPointPolicy`. Um Nutzungsmuster zu überwachen und zu verwalten, können Sie auch Amazon CloudWatch Logs-Anforderungsmetriken für Access Points konfigurieren.
**Topics**
+ [CloudWatch Metriken anfordern](#request-metrics-access-points)
+ [AWS CloudTrail Protokolle für Anfragen, die über Access Points gestellt wurden](#logging-access-points)
## CloudWatch Metriken anfordern
Um die Leistung von Anwendungen, die Access Points verwenden, zu verstehen und zu verbessern, können Sie Amazon S3 S3-Anforderungsmetriken verwenden CloudWatch . Anforderungsmetriken helfen Ihnen beim Überwachen von Amazon S3-Anforderungen, um Probleme bei der Ausführung schnell zu identifizieren und zu beheben.
Standardmäßig stehen diese Anforderungsmetriken auf Ebene der Buckets zur Verfügung. Sie können jedoch einen Filter für Anforderungsmetriken mit einem gemeinsamen Präfix, Objekt-Tags oder einem Zugriffspunkt definieren. Wenn Sie einen Zugriffspunktfilter erstellen, enthält die Konfiguration der Anforderungsmetriken Anforderungen an den von Ihnen angegebenen Zugriffspunkt. Sie können Metriken erhalten, Alarme festlegen und auf Dashboards zugreifen, um Echtzeit-Vorgänge anzuzeigen, die über diesen Zugriffspunkt ausgeführt werden.
Sie wählen Anforderungsmetriken aus, indem Sie diese in der Konsole konfigurieren oder die Amazon S3-API verwenden. Die Anforderungsmetriken sind in 1-Minuten-Intervallen nach einer gewissen Latenz für die Verarbeitung verfügbar. Anforderungsmetriken werden zum gleichen Tarif wie CloudWatch benutzerdefinierte Metriken abgerechnet. Weitere Informationen finden Sie unter [ CloudWatch Amazon-Preise](https://aws.amazon.com/cloudwatch/pricing/).
Informationen zum Erstellen einer Anforderungsmetrikkonfiguration, die nach Zugriffspunkt filtert, finden Sie unter [Erstellen einer Metrik-Konfiguration, die nach dem Präfix, Objekt-Tag oder Zugriffspunkt filtert](metrics-configurations-filter.md).
## AWS CloudTrail Protokolle für Anfragen, die über Access Points gestellt wurden
Sie können Anfragen protokollieren, die über Access Points gestellt wurden, und Anfragen an die APIs , die Access Points verwalten, gestellt wurden, wie z. B. `CreateAccessPoint` und `GetAccessPointPolicy,` mithilfe der Serverzugriffsprotokollierung und AWS CloudTrail.
CloudTrail Protokolleinträge für Anfragen, die über Access Points gestellt wurden, enthalten den Zugriffspunkt-ARN im `resources` Abschnitt des Protokolls.
Angenommen, folgende Konfiguration liegt vor:
+ Ein Bucket mit dem Namen *`amzn-s3-demo-bucket1`* in Region *`us-west-2`*, das ein Objekt namens *`my-image.jpg`* enthält
+ Ein Zugangspunkt mit dem Namen *`my-bucket-ap`*, der mit *`amzn-s3-demo-bucket1`* verknüpft ist
+ Eine AWS-Konto ID von *`123456789012`*
Das folgende Beispiel zeigt den `resources` Abschnitt eines CloudTrail Protokolleintrags für die vorherige Konfiguration:
```
"resources": [
{"type": "AWS::S3::Object",
"ARN": "arn:aws:s3:::amzn-s3-demo-bucket1/my-image.jpg"
},
{"accountId": "123456789012",
"type": "AWS::S3::Bucket",
"ARN": "arn:aws:s3:::amzn-s3-demo-bucket1"
},
{"accountId": "123456789012",
"type": "AWS::S3::AccessPoint",
"ARN": "arn:aws:s3:us-west-2:123456789012:accesspoint/my-bucket-ap"
}
]
```
Wenn Sie einen Access Point verwenden, der an ein Volume in einem FSx Amazon-Dateisystem angeschlossen ist, sieht der `resources` Abschnitt eines CloudTrail Protokolleintrags anders aus. Beispiel:
```
"resources": [
{
"accountId": "123456789012",
"type": "AWS::FSx::Volume",
"ARN": "arn:aws:fsx:us-east-1:123456789012:volume/fs-0123456789abcdef9/fsvol-01234567891112223"
}
]
```
Weitere Informationen zu S3 Server-Zugriffsprotokollen finden Sie unter [Protokollieren von Anfragen mit Server-Zugriffsprotokollierung](ServerLogs.md). Weitere Informationen zu AWS CloudTrail finden Sie unter [Was ist AWS CloudTrail?](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) im *AWS CloudTrail Benutzerhandbuch*.
# Erstellen eines Zugriffspunkts
Sie können S3-Zugriffspunkte mithilfe der AWS-Managementkonsole, AWS Command Line Interface (AWS CLI) AWS SDKs, oder Amazon S3 S3-REST-API erstellen. Access Points sind so genannte Netzwerkendpunkte, die mit einer Datenquelle wie einem Bucket, Amazon FSx für ONTAP-Volume oder Amazon FSx für OpenZFS-Volume verbunden sind.
Standardmäßig können Sie für jedes Ihrer AWS-Konten bis zu 10 000 Zugriffspunkte pro Region erstellen. Wenn Sie mehr als 10 000 Zugriffspunkte für ein einzelnes Konto in einer Region benötigen, können Sie eine Erhöhung der Service Quotas beantragen. Weitere Informationen zu Service Quotas und zum Beantragen einer Erhöhung finden Sie unter [AWS Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) in der *Allgemeine AWS-Referenz*.
**Topics**
+ [Zugangspunkte mit S3-Buckets erstellen](#create-access-points)
+ [Access Points mit Amazon erstellen FSx](#create-access-points-with-fsx)
+ [Erstellen von Zugriffspunkten, die auf eine Virtual Private Cloud beschränkt sind](access-points-vpc.md)
+ [Verwalten des öffentlichen Zugriffs auf Zugangspunkte für Allzweck-Buckets](access-points-bpa-settings.md)
## Zugangspunkte mit S3-Buckets erstellen
Ein Zugangspunkt ist genau einem Amazon S3-Allzweck-Bucket zugeordnet. Wenn Sie einen Bucket in Ihrem verwenden möchten AWS-Konto, müssen Sie zuerst einen Bucket erstellen. Weitere Informationen zum Erstellen von Buckets finden Sie unter [Erstellen, Konfigurieren und Arbeiten mit Amazon S3-Allzweck-Buckets](creating-buckets-s3.md).
Sie können auch einen kontoübergreifenden Zugriffspunkt erstellen, der mit einem Bucket in einem anderen AWS-Konto verknüpft ist, sofern Sie den Bucket-Namen und die Konto-ID des Bucket-Eigentümers kennen. Wenn Sie kontoübergreifende Zugriffspunkte erstellen, erhalten Sie jedoch erst Zugriff auf Daten im Bucket, wenn Ihnen vom Bucket-Eigentümer die entsprechenden Berechtigungen erteilt wurden. Der Bucket-Eigentümer muss dem Konto des Zugriffspunktbesitzers (Ihr Konto) über die Bucket-Richtlinie Zugriff auf den Bucket gewähren. Weitere Informationen finden Sie unter [Erteilen von Berechtigungen für kontoübergreifende Zugriffspunkte](access-points-policies.md#access-points-cross-account).
### Verwenden der S3-Konsole
**So erstellen Sie einen Zugangspunkt**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie in der Navigationsleiste oben auf der Seite den Namen der aktuell angezeigten Datei aus AWS-Region. Wählen Sie als Nächstes die Region aus, in der Sie einen Zugangspunkt einrichten möchten. Der Zugangspunkt muss in derselben Region erstellt werden wie der zugehörige Bucket.
1. Wählen Sie im linken Navigationsbereich **Zugriffspunkte** aus.
1. Wählen Sie auf der Seite **Zugriffspunkte** die Option **Zugriffspunkt erstellen** aus.
1. Geben Sie im Feld **Name des Zugriffspunkts** den gewünschten Namen für den Zugriffspunkt ein. Weitere Benennungen zur Benennung von Zugangspunkten finden Sie unter [Regeln für die Benennung von Zugangspunkten](access-points-restrictions-limitations-naming-rules.md#access-points-names).
1. Geben Sie unter **Datenquelle** den S3-Bucket an, den Sie mit dem Zugangspunkt verwenden möchten.
Um in einen Bucket in Ihrem Konto zu verwenden, wählen Sie **Bucket in diesem Konto auswählen** aus und geben Sie den Namen des Buckets ein oder suchen Sie danach.
Um einen Bucket in einem anderen Konto zu verwenden AWS-Konto, wählen **Sie Spezify a bucket in another account** und geben Sie die AWS-Konto ID und den Namen des Buckets ein. Wenn Sie einen Bucket in einem anderen Bucket verwenden AWS-Konto, muss der Bucket-Besitzer die Bucket-Richtlinie aktualisieren, um Anfragen vom Access Point zu autorisieren. Ein Beispiel für eine Bucket-Richtlinie finden Sie in Beispiel [Erteilen von Berechtigungen für kontoübergreifende Zugriffspunkte](access-points-policies.md#access-points-cross-account).
**Anmerkung**
Hinweise zur Verwendung eines FSx for OpenZFS-Volumes als Datenquelle finden Sie unter. [Access Points mit Amazon erstellen FSx](#create-access-points-with-fsx)
1. Wählen Sie einen **Netzursprung**, entweder **Internet** oder **virtual Private Cloud (VPC)**. Wenn Sie **Virtual Private Cloud (VPC)** auswählen, geben Sie die **VPC-ID** ein, die Sie mit dem Zugangspunkt verwenden möchten.
Weitere Informationen zu Netzwerkursprüngen für Zugangspunkte finden Sie unter [Erstellen von Zugriffspunkten, die auf eine Virtual Private Cloud beschränkt sind](access-points-vpc.md).
1. Wählen Sie unter **Block Public Access settings for this Access Point (Block-Public-Access-Einstellungen für diesen Zugriffspunkt)** die Block-Public-Access-Einstellungen, die Sie für den Zugriffspunkt anwenden möchten. Alle Einstellungen zum Blockieren des öffentlichen Zugriffs sind standardmäßig für neue Zugriffspunkte aktiviert. Wir empfehlen, alle Einstellungen aktiviert zu lassen, es sei denn, Sie wissen, dass Sie eine bestimmte Einstellung deaktivieren müssen.
**Anmerkung**
Nachdem Sie einen Zugriffspunkt erstellt haben, können Sie die Einstellungen zum Blockieren des öffentlichen Zugriffs nicht mehr ändern.
Weitere Informationen zur Verwendung von Amazon S3-Block-Public-Access mit Zugriffspunkten finden Sie unter [Verwalten des öffentlichen Zugriffs auf Zugangspunkte für Allzweck-Buckets](access-points-bpa-settings.md).
1. (Optional) Geben Sie unter **Access point policy (Zugriffspunktrichtlinie) – *optional*** die Zugriffspunktrichtlinie an. Beheben Sie vor dem Speichern Ihrer Richtlinie Sicherheitswarnungen, Fehler, allgemeine Warnungen und Vorschläge. Weitere Informationen zum Festlegen einer Zugriffspunktrichtlinie finden Sie unter [Richtlinienbeispiele für Zugangspunkte](access-points-policies.md#access-points-policy-examples).
1. Wählen Sie **Create access point (Zugriffspunkt erstellen)** aus.
### Verwenden von AWS CLI
Im folgenden Beispiel wird ein Zugriffspunkt mit dem Namen *`example-ap`* für den Bucket *`amzn-s3-demo-bucket`* im Konto *`111122223333`* erstellt. Zum Erstellen des Zugriffspunkts senden Sie eine Anfrage an Amazon S3, die Folgendes enthält:
+ Den Namen des Zugriffspunkts Informationen zu Benennungsregeln finden Sie unter [Regeln für die Benennung von Zugangspunkten](access-points-restrictions-limitations-naming-rules.md#access-points-names).
+ Den Name des Buckets, dem Sie den Zugriffspunkt zuweisen möchten
+ Die Konto-ID für den AWS-Konto , dem der Access Point gehört.
```
aws s3control create-access-point --name example-ap --account-id 111122223333 --bucket amzn-s3-demo-bucket
```
Wenn Sie einen Access Point mithilfe eines Buckets in einem anderen erstellen AWS-Konto, geben Sie den `--bucket-account-id` Parameter an. Der folgende Beispielbefehl erstellt einen Zugriffspunkt im AWS-Konto *`111122223333`* mithilfe des Buckets *`amzn-s3-demo-bucket2`*, der sich im AWS-Konto *`444455556666`* befindet.
```
aws s3control create-access-point --name example-ap --account-id 111122223333 --bucket amzn-s3-demo-bucket --bucket-account-id 444455556666
```
### Verwenden der REST-API
Sie können die REST-API nutzen, um einen Zugangspunkt zu erstellen. Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPoint.html) in der *API-Referenz zu Amazon Simple Storage Service*.
## Access Points mit Amazon erstellen FSx
Sie können mithilfe der FSx Amazon-Konsole oder API einen FSx Access Point erstellen und an ein OpenZFS-Volume anhängen. AWS CLI Nach dem Anhängen können Sie das S3-Objekt verwenden APIs , um auf Ihre Dateidaten zuzugreifen. Ihre Daten befinden sich weiterhin im FSx Amazon-Dateisystem und sind weiterhin für Ihre vorhandenen Workloads direkt zugänglich. Sie verwalten Ihren Speicher weiterhin mit allen Speicherverwaltungsfunktionen von OpenZFS, einschließlich Backups, Snapshots, Benutzer- und Gruppenkontingenten sowie Komprimierung. FSx
*Anweisungen zum Erstellen eines Zugriffspunkts und zum Anhängen dieses Zugriffspunkts an ein Volume FSx für OpenZFS finden Sie unter [Erstellen eines Zugriffspunkts](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/create-access-points.html) im Benutzerhandbuch für OpenZFS. FSx *
# Erstellen von Zugriffspunkten, die auf eine Virtual Private Cloud beschränkt sind
Wenn Sie einen Zugangspunkt erstellen, können Sie ihn über das Internet zugänglich machen, oder Sie können angeben, dass alle über diesen Zugangspunkt eingehenden Anforderungen aus einer bestimmten Virtual Private Cloud (VPC) stammen müssen. Ein Zugangspunkt, der über das Internet zugänglich ist, soll einen Netzwerkursprung von `Internet` haben. Er kann von überall im Internet verwendet werden, vorbehaltlich anderer Zugriffsbeschränkungen für den Zugangspunkt, den zugrunde liegende Datenquelle und die zugehörige Ressourcen, z. B. die angeforderten Objekte. Ein Zugriffspunkt, auf den nur von einer angegebenen VPC aus zugegriffen werden kann, hat den Netzwerkursprung `VPC`. Amazon S3 weist jede Anforderung an den Zugriffspunkt zurück, die nicht von dieser VPC stammt.
**Wichtig**
Sie können den Netzwerkursprung eines Zugriffspunkts nur angeben, wenn Sie den Zugriffspunkt erstellen. Nachdem Sie den Zugriffspunkt erstellt haben, können Sie seinen Netzwerkursprung nicht mehr ändern.
Um einen Zugriffspunkt auf reinen VPC-Zugriff zu beschränken, fügen Sie den Parameter `VpcConfiguration` in die Anforderung zum Erstellen des Zugriffspunkts ein. Im Parameter `VpcConfiguration` geben Sie die VPC-ID an, die in der Lage sein soll, den Zugriffspunkt zu verwenden. Wenn eine Anfrage über den Zugriffspunkt erfolgt, muss die Anfrage von der VPC stammen, sonst lehnt Amazon S3 sie ab.
Sie können den Netzwerkursprung eines Access Points mithilfe von, oder REST AWS CLI abrufen. AWS SDKs APIs Wenn für einen Zugriffspunkt eine VPC-Konfiguration angegeben ist, lautet der Netzwerkursprung `VPC`. Andernfalls ist der Netzwerkursprung des Zugriffspunkts `Internet`.
## Beispiel: Einen Access Point erstellen und auf eine VPC-ID beschränken
Im folgenden Beispiel wird ein Zugriffspunkt mit dem Namen `example-vpc-ap` für Bucket `amzn-s3-demo-bucket` in Konto `123456789012` erstellt, der den Zugriff nur von der VPC `vpc-1a2b3c` aus zulässt. Das Beispiel überprüft dann, ob der neue Zugriffspunkt den Netzwerkursprung `VPC` hat.
------
#### [ AWS CLI ]
```
aws s3control create-access-point --name example-vpc-ap --account-id 123456789012 --bucket amzn-s3-demo-bucket --vpc-configuration VpcId=vpc-1a2b3c
```
```
aws s3control get-access-point --name example-vpc-ap --account-id 123456789012
{
"Name": "example-vpc-ap",
"Bucket": "amzn-s3-demo-bucket",
"NetworkOrigin": "VPC",
"VpcConfiguration": {
"VpcId": "vpc-1a2b3c"
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"IgnorePublicAcls": true,
"BlockPublicPolicy": true,
"RestrictPublicBuckets": true
},
"CreationDate": "2019-11-27T00:00:00Z"
}
```
------
Um einen Zugriffspunkt mit einer VPC zu verwenden, müssen Sie die Zugriffsrichtlinie für Ihren VPC-Endpunkt ändern. VPC-Endpunkte ermöglichen den Datenfluss von Ihrer VPC zu Amazon S3. Sie verfügen über Zugriffssteuerungsrichtlinien, die kontrollieren, wie Ressourcen innerhalb der VPC mit Amazon S3 interagieren dürfen. Anforderungen von Ihrer VPC an Amazon S3 werden nur dann über einen Zugriffspunkt erfolgreich ausgeführt, wenn die VPC-Endpunktrichtlinie sowohl Zugriff auf den Zugriffspunkt als auch auf den zugrunde liegenden Bucket gewährt.
**Anmerkung**
Damit Ressourcen nur innerhalb einer VPC zugänglich sind, erstellen Sie unbedingt eine [privat gehostete Zone](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) für Ihren VPC-Endpunkt. Wenn Sie eine privat gehostete Zone verwenden möchten, [ändern Sie Ihre VPC-Einstellungen](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) so, dass die [VPC-Netzwerkattribute](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support) `enableDnsHostnames` und `enableDnsSupport` auf `true` festgelegt sind.
In der folgenden Beispielrichtlinienanweisung wird ein VPC-Endpunkt so konfiguriert, dass Aufrufe von `GetObject` für einen Bucket mit dem Namen `awsexamplebucket1` und einen Zugriffspunkt mit dem Namen `example-vpc-ap` zulässig sind.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::awsexamplebucket1/*",
"arn:aws:s3:us-west-2:123456789012:accesspoint/example-vpc-ap/object/*"
]
}]
}
```
------
**Anmerkung**
Die `"Resource"`-Deklaration in diesem Beispiel verwendet einen Amazon-Ressourcennamen (ARN) zur Angabe des Zugriffspunkts. Weitere Informationen zum Access Point finden Sie ARNs unter[Referenzierung von Access Points mit ARNs Access-Point-Aliasnamen oder virtuell gehostetem System URIs](access-points-naming.md).
Weitere Informationen zu VPC-Endpunktrichtlinien finden Sie unter [Verwenden von Endpoint-Richtlinien für Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3) im *VPC-Benutzerhandbuch*.
Ein Tutorial zum Erstellen von Zugangspunkten mit VPC-Endpunkten finden Sie unter [Verwalten des Amazon-S3-Zugriffs mit VPC-Endpunkten und Zugangspunkten](https://aws.amazon.com/blogs/storage/managing-amazon-s3-access-with-vpc-endpoints-and-s3-access-points/).
## Beispiel: Erstellen Sie einen Access Point, der an ein FSx for OpenZFS-Volume angehängt ist, und beschränken Sie ihn auf eine VPC-ID
Sie können mithilfe der FSx Amazon-Konsole oder API einen Access Point erstellen, der an ein FSx for OpenZFS-Volume angehängt AWS CLI wird. Nach dem Anhängen können Sie das S3-Objekt verwenden APIs , um von einer bestimmten VPC aus auf Ihre Dateidaten zuzugreifen.
Anweisungen zum Erstellen und Einschränken eines Access Points, der an ein FSx for OpenZFS-Volume angehängt ist, finden Sie im Abschnitt [Creating Access Points limited to a Virtual Private Cloud (VPC)](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/create-access-points.html) im Benutzerhandbuch *FSx für* OpenZFS.
## Beispiel: Einen Access Point, der an ein FSX for ONTAP-Volume angeschlossen ist, erstellen und auf eine VPC-ID beschränken
Sie können mithilfe der FSx Amazon-Konsole oder API einen Access Point erstellen, der an ein FSx for ONTAP-Volume angehängt wird. AWS CLI Nach dem Anhängen können Sie das S3-Objekt verwenden APIs , um von einer bestimmten VPC aus auf Ihre Dateidaten zuzugreifen.
Anweisungen zum Erstellen und Einschränken eines Access Points, der an ein FSx für ONTAP Volume angeschlossen ist, finden Sie im [https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-vpc.html](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-vpc.html) User Guide.
# Verwalten des öffentlichen Zugriffs auf Zugangspunkte für Allzweck-Buckets
Amazon S3-Zugriffspunkte unterstützen unabhängige *Block Public Access*-Einstellungen für jeden Zugriffspunkt. Wenn Sie einen Zugriffspunkt erstellen, können Sie die Block Public Access-Einstellungen für diesen Zugriffspunkt festlegen. Für jede Anforderung, die über einen Zugriffspunkt eingeht, wertet Amazon S3 die Block Public Access-Einstellungen für diesen Zugriffspunkt, den zugrunde liegenden Bucket und das Konto des Bucket-Eigentümers aus. Wenn eine dieser Einstellungen darauf hinweist, dass die Anforderung gesperrt werden soll, lehnt Amazon S3 die Anforderung ab.
Weitere Hinweise zur Funktion S3 Block Public Access finden Sie unter [Blockieren des öffentlichen Zugriffs auf Ihren Amazon-S3-Speicher](access-control-block-public-access.md).
**Wichtig**
Alle Block Public Access-Einstellungen sind standardmäßig für Zugriffspunkte aktiviert. Sie müssen alle Einstellungen, die Sie nicht auf einen Zugangspunkt anwenden möchten, explizit deaktivieren.
Sie können keine Einstellungen zum Blockieren des öffentlichen Zugriffs deaktivieren, wenn Sie einen Access Point erstellen oder verwenden, der an ein FSx Amazon-Dateisystem angeschlossen ist.
Nachdem Sie einen Zugriffspunkt erstellt haben, können Sie die Einstellungen zum Blockieren des öffentlichen Zugriffs nicht mehr ändern.
**Example**
***Beispiel: Erstellen eines Zugriffspunkts mit benutzerdefinierten Block-Public-Access-Einstellungen ***
In diesem Beispiel wird ein Zugriffspunkt mit dem Namen `example-ap` für Bucket `amzn-s3-demo-bucket` in Konto `123456789012` mit nicht standardmäßigen Block Public Access-Einstellungen erstellt. Das Beispiel ruft dann die Konfiguration des neuen Zugriffspunkts ab, um seine Block Public Access-Einstellungen zu überprüfen.
```
aws s3control create-access-point --name example-ap --account-id 123456789012 --bucket amzn-s3-demo-bucket--public-access-block-configuration BlockPublicAcls=false,IgnorePublicAcls=false,BlockPublicPolicy=true,RestrictPublicBuckets=true
```
```
aws s3control get-access-point --name example-ap --account-id 123456789012
{
"Name": "example-ap",
"Bucket": "amzn-s3-demo-bucket",
"NetworkOrigin": "Internet",
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"IgnorePublicAcls": false,
"BlockPublicPolicy": true,
"RestrictPublicBuckets": true
},
"CreationDate": "2019-11-27T00:00:00Z"
}
```
# Verwalten Ihrer Amazon-S3-Zugangspunkte für Allzweck-Buckets
In diesem Abschnitt wird erklärt, wie Sie Ihre Amazon S3 S3-Zugriffspunkte für Allzweck-Buckets mithilfe der AWS-Managementkonsole AWS Command Line Interface, oder REST-API verwalten. Informationen zur Verwaltung von Access Points, die an ein FSx for OpenZFS-Volume angeschlossen sind, finden Sie unter [Managing your Amazon S3 Access Points](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/access-points-manage.html) im *FSx for OpenZFS* User Guide.
**Anmerkung**
Sie können Zugriffspunkte nur zum Ausführen von Vorgängen an Objekten verwenden. Sie können mit Zugangspunkten keine anderen Amazon S3-Vorgänge auszuführen, z. B. das Löschen von Buckets oder das Erstellen von S3-Replikationskonfigurationen. Eine vollständige Liste der S3-Vorgänge, die Zugriffspunkte unterstützen, finden Sie unter [Kompatibilität von Zugangspunkten](access-points-service-api-support.md).
**Topics**
+ [Auflisten Ihrer Zugangspunkte für Allzweck-Buckets](access-points-list.md)
+ [Sehen Sie sich die Details Ihres Zugangspunkts für Allzweck-Buckets an](access-points-details.md)
+ [Löschen Sie Ihren Zugangspunkt für einen Allzweck-Bucket](access-points-delete.md)
# Auflisten Ihrer Zugangspunkte für Allzweck-Buckets
In diesem Abschnitt wird erklärt, wie Sie mithilfe der REST-API,, oder Ihre Access Points für Allzweck-Buckets auflisten. AWS-Managementkonsole AWS Command Line Interface
## Verwenden der S3-Konsole
**Um Access Points in Ihrem aufzulisten AWS-Konto**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie in der Navigationsleiste oben auf der Seite den Namen der aktuell angezeigten Datei aus AWS-Region. Wählen Sie als Nächstes die Region aus, für die Sie Zugangspunkte auflisten möchten.
1. Klicken Sie im Navigationsbereich links in der Konsole auf **Zugangspunkte**.
1. (Optional) Suche nach Zugangspunkten anhand des Namens. Nur die von Ihnen ausgewählten Access Points AWS-Region werden hier angezeigt.
1. Wählen Sie den Namen des Zugriffspunkts, den Sie verwalten oder verwenden möchten.
## Mit dem AWS CLI
Der folgende `list-access-points` Beispielbefehl zeigt, wie Sie mit dem AWS CLI Ihre Access Points auflisten können.
Der folgende Befehl listet Zugriffspunkte für auf AWS-Konto *111122223333*.
```
aws s3control list-access-points --account-id 111122223333
```
Der folgende Befehl listet die Access Points auf AWS-Konto *111122223333*, die an den Bucket angehängt sind*amzn-s3-demo-bucket*.
```
aws s3control list-access-points --account-id 111122223333 --bucket amzn-s3-demo-bucket
```
Weitere Informationen und Beispiele finden Sie unter [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/list-access-points.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/list-access-points.html) in der *Referenz zum AWS CLI -Befehl*.
## Verwenden der REST-API
Sie können die REST-API verwenden, um Ihre Zugangspunkte aufzulisten. Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessPoints.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessPoints.html) in der *API-Referenz zu Amazon Simple Storage Service*.
# Sehen Sie sich die Details Ihres Zugangspunkts für Allzweck-Buckets an
In diesem Abschnitt wird erklärt, wie Sie mithilfe der REST-API AWS-Managementkonsole, AWS Command Line Interface oder Details für Ihren Access Point für einen Allzweck-Bucket anzeigen können.
## Verwenden der S3-Konsole
**Um Details für Ihren Access Point in Ihrem einzusehen AWS-Konto**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie in der Navigationsleiste oben auf der Seite den Namen der aktuell angezeigten Datei aus AWS-Region. Wählen Sie als Nächstes die Region aus, für die Sie Zugangspunkte auflisten möchten.
1. Klicken Sie im Navigationsbereich links in der Konsole auf **Zugangspunkte**.
1. (Optional) Suche nach Zugangspunkten anhand des Namens. Nur die von Ihnen ausgewählten Access Points AWS-Region werden hier angezeigt.
1. Wählen Sie den Namen des Zugriffspunkts, den Sie verwalten oder verwenden möchten.
1. Wählen Sie die Registerkarte **Eigenschaften**, um die Access Point-Datenquelle, die Konto-ID, das Erstellungsdatum AWS-Region, den Netzwerkursprung, die S3-URI, den ARN und den Access Point-Alias für den ausgewählten Access Point anzuzeigen.
1. Wählen Sie die Registerkarte „**Berechtigungen**“, um die Einstellungen zum Blockieren des öffentlichen Zugriffs und die Zugangspunktrichtlinie für den ausgewählten Zugangspunkt anzuzeigen.
**Anmerkung**
Sie können die Block Public Access-Einstellungen für einen Zugangspunkt nicht ändern, nachdem der Zugangspunkt erstellt wurde.
## Verwenden des AWS CLI
Der folgende `get-access-point` Beispielbefehl zeigt, wie Sie den verwenden können AWS CLI , um Details für Ihren Access Point anzuzeigen.
Der folgende Befehl listet Details für den Access Point *my-access-point* auf, der an den S3-Bucket AWS-Konto *111122223333* angeschlossen ist*amzn-s3-demo-bucket*.
```
aws s3control get-access-point --name my-access-point --account-id 111122223333
```
Beispielausgabe:
```
{
"Name": "my-access-point",
"Bucket": "amzn-s3-demo-bucket",
"NetworkOrigin": "Internet",
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"IgnorePublicAcls": true,
"BlockPublicPolicy": true,
"RestrictPublicBuckets": true
},
"CreationDate": "2016-08-29T22:57:52Z",
"Alias": "my-access-point-u1ny6bhm7moymqx8cuon8o1g4mwikuse2a-s3alias",
"AccessPointArn": "arn:aws:s3:AWS-Region:111122223333:accesspoint/my-access-point",
"Endpoints": {
"ipv4": "s3-accesspoint.AWS-Region.amazonaws.com",
"fips": "s3-accesspoint-fips.AWS-Region.amazonaws.com",
"fips_dualstack": "s3-accesspoint-fips.dualstack.AWS-Region.amazonaws.com",
"dualstack": "s3-accesspoint.dualstack.AWS-Region.amazonaws.com"
},
"BucketAccountId": "111122223333"
}
```
Der folgende Befehl listet Details für den Access Point *example-fsx-ap* für auf AWS-Konto *444455556666*. Dieser Access Point ist an ein FSx Amazon-Dateisystem angehängt.
```
aws s3control get-access-point --name example-fsx-ap --account-id 444455556666
```
Beispielausgabe:
```
{
"Name": "example-fsx-ap",
"Bucket": "",
"NetworkOrigin": "Internet",
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"IgnorePublicAcls": true,
"BlockPublicPolicy": true,
"RestrictPublicBuckets": true
},
"CreationDate": "2025-01-19T14:16:12Z",
"Alias": "example-fsx-ap-qrqbyebjtsxorhhaa5exx6r3q7-ext-s3alias",
"AccessPointArn": "arn:aws:s3:AWS-Region:444455556666:accesspoint/example-fsx-ap",
"Endpoints": {
"ipv4": "s3-accesspoint.AWS-Region.amazonaws.com",
"fips": "s3-accesspoint-fips.AWS-Region.amazonaws.com",
"fips_dualstack": "s3-accesspoint-fips.dualstack.AWS-Region.amazonaws.com",
"dualstack": "s3-accesspoint.dualstack.AWS-Region.amazonaws.com"
},
"DataSourceId": "arn:aws::fsx:AWS-Region:444455556666:file-system/fs-5432106789abcdef0/volume/vol-0123456789abcdef0",
"DataSourceType": "FSX_OPENZFS"
}
```
Weitere Informationen und Beispiele finden Sie unter [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/get-access-point.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/get-access-point.html) in der *Referenz zum AWS CLI -Befehl*.
## Verwenden der REST-API
Sie können die REST-API verwenden, um Details für Ihren Zugangspunkt anzuzeigen. Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPoint.html) in der *API-Referenz zu Amazon Simple Storage Service*.
# Löschen Sie Ihren Zugangspunkt für einen Allzweck-Bucket
In diesem Abschnitt wird erklärt, wie Sie Ihren Access Point für einen Allzweck-Bucket mithilfe der REST-API AWS-Managementkonsole AWS Command Line Interface, oder löschen.
## Verwenden der S3-Konsole
**Um für Ihre Access Points in Ihrem zu löschen AWS-Konto**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie in der Navigationsleiste oben auf der Seite den Namen der aktuell angezeigten Datei aus AWS-Region. Wählen Sie als Nächstes die Region aus, für die Sie Zugangspunkte auflisten möchten.
1. Klicken Sie im Navigationsbereich links in der Konsole auf **Zugangspunkte**.
1. (Optional) Suche nach Zugangspunkten anhand des Namens. Nur die von Ihnen ausgewählten Access Points AWS-Region werden hier angezeigt.
1. Wählen Sie den Namen des Zugriffspunkts, den Sie verwalten oder verwenden möchten.
1. Wählen Sie **auf der Seite Zugangspunkt** die Option **Löschen** aus, um den ausgewählten Zugangspunkt zu löschen.
1. Um den Löschvorgang zu bestätigen, geben Sie den Namen des Zugangspunkts ein und wählen Sie **Löschen**.
## Mit dem AWS CLI
Der folgende `delete-access-point` Beispielbefehl zeigt, wie Sie den verwenden können AWS CLI , um Ihren Access Point zu löschen.
Der folgende Befehl löscht den Access Point *my-access-point* für AWS-Konto *111122223333*.
```
aws s3control delete-access-point --name my-access-point --account-id 111122223333
```
Weitere Informationen und Beispiele finden Sie unter [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/delete-access-point.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/delete-access-point.html) in der *Referenz zum AWS CLI -Befehl*.
## Verwenden der REST-API
Sie können die REST-API verwenden, um Details für Ihren Zugangspunkt anzuzeigen. Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPoint.html) in der *API-Referenz zu Amazon Simple Storage Service*.
# Verwenden von Amazon-S3-Zugangspunkten für Allzweck-Buckets
Die folgenden Beispiele veranschaulichen, wie Sie Zugangspunkte für Allzweck-Buckets mit kompatiblen Vorgängen in Amazon S3 verwenden können.
**Anmerkung**
S3 generiert automatisch Zugangspunkt-Aliase für alle Zugangspunkte. Diese Aliase können überall dort verwendet werden, wo ein Bucket-Name für Operationen auf Objektebene verwendet wird. Weitere Informationen finden Sie unter [Zugriffspunkt-Aliasse](access-points-naming.md#access-points-alias).
Sie können Zugangspunkte nur für Allzweck-Buckets verwenden, um Vorgänge an Objekten auszuführen. Sie können mit Zugriffspunkten keine anderen Amazon S3-Vorgänge auszuführen, z. B. das Ändern oder Löschen von Buckets. Eine vollständige Liste der S3-Vorgänge, die Zugriffspunkte unterstützen, finden Sie unter [Kompatibilität von Zugangspunkten](access-points-service-api-support.md).
**Topics**
+ [Auflisten von Objekten über einen Zugangspunkt für einen Allzweck-Bucket](list-object-ap.md)
+ [Herunterladen eines Objekts über einen Zugangspunkt für einen Allzweck-Bucket](get-object-ap.md)
+ [Konfigurieren Sie Zugriffskontrolllisten (ACLs) über einen Access Point für einen Allzweck-Bucket](put-acl-permissions-ap.md)
+ [Hochladen eines Objekts über einen Zugangspunkt für einen Allzweck-Bucket](put-object-ap.md)
+ [Fügen Sie über einen Zugangspunkt ein Tag-Set für einen Allzweck-Bucket hinzu](add-tag-set-ap.md)
+ [Löschen eines Objekts über einen Zugangspunkt für einen Allzweck-Bucket](delete-object-ap.md)
# Auflisten von Objekten über einen Zugangspunkt für einen Allzweck-Bucket
In diesem Abschnitt wird erklärt, wie Sie Ihre Objekte über einen Access Point für einen Allzweck-Bucket mithilfe der REST-API AWS-Managementkonsole, AWS Command Line Interface, oder auflisten können.
## Verwenden der S3-Konsole
**Um Ihre Objekte über einen Access Point in Ihrem aufzulisten AWS-Konto**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie in der Navigationsleiste oben auf der Seite den Namen der aktuell angezeigten Datei aus AWS-Region. Wählen Sie als Nächstes die Region aus, für die Sie Zugangspunkte auflisten möchten.
1. Klicken Sie im Navigationsbereich links in der Konsole auf **Zugangspunkte**.
1. (Optional) Suche nach Zugangspunkten anhand des Namens. Nur die von Ihnen ausgewählten Access Points AWS-Region werden hier angezeigt.
1. Wählen Sie den Namen des Zugriffspunkts, den Sie verwalten oder verwenden möchten.
1. Wählen Sie im Tab **Objekte** den Namen eines Objekts oder von Objekten aus, auf das/die Sie über den Zugangspunkt zugreifen möchten. Während Sie den Zugriffspunkt verwenden, können Sie nur die Objekt-Vorgänge ausführen, die durch die Zugriffspunktberechtigungen gewährt werden.
**Anmerkung**
In der Konsolenansicht werden immer alle Objekte im Bucket angezeigt. Die Verwendung eines Zugriffspunkts, wie in dieser Prozedur beschrieben, beschränkt die Vorgänge, die Sie für diese Objekte ausführen können, jedoch nicht, ob Sie sehen können, dass sie im Bucket vorhanden sind.
Die Verwendung von Virtual Private Cloud (VPC) -Zugriffspunkten für den Zugriff auf Bucket-Ressourcen wird AWS-Managementkonsole nicht unterstützt. Verwenden Sie Amazon S3 REST APIs, um von einem VPC-Zugriffspunkt aus auf Bucket-Ressourcen zuzugreifen. AWS CLI AWS SDKs
## Mit dem AWS CLI
Der folgende `list-objects-v2` Beispielbefehl zeigt, wie Sie mit AWS CLI dem Ihr Objekt über einen Access Point auflisten können.
Der folgende Befehl listet Objekte für die AWS-Konto *111122223333* Verwendung des Access Points auf*my-access-point*.
```
aws s3api list-objects-v2 --bucket arn:aws:s3:AWS-Region:111122223333:accesspoint/my-access-point
```
**Anmerkung**
S3 generiert automatisch Zugangspunkt-Aliase für alle Zugangspunkte. Diese Aliase können überall dort verwendet werden, wo ein Bucket-Name für Operationen auf Objektebene verwendet wird. Weitere Informationen finden Sie unter [Zugriffspunkt-Aliasse](access-points-naming.md#access-points-alias).
Weitere Informationen und Beispiele finden Sie unter [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/list-objects-v2.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/list-objects-v2.html) in der *Referenz zum AWS CLI -Befehl*.
## Verwenden der REST-API
Sie können die REST-API verwenden, um Ihre Zugangspunkte aufzulisten. Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) in der *API-Referenz zu Amazon Simple Storage Service*.
# Herunterladen eines Objekts über einen Zugangspunkt für einen Allzweck-Bucket
In diesem Abschnitt wird erklärt, wie Sie mithilfe der REST-API, oder ein Objekt über einen Access Point für einen Allzweck-Bucket herunterladen. AWS-Managementkonsole AWS Command Line Interface
## Verwenden der S3-Konsole
**Um ein Objekt über einen Access Point in Ihrem herunterzuladen AWS-Konto**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie in der Navigationsleiste oben auf der Seite den Namen der aktuell angezeigten Datei aus AWS-Region. Wählen Sie als Nächstes die Region aus, für die Sie Zugangspunkte auflisten möchten.
1. Klicken Sie im Navigationsbereich links in der Konsole auf **Zugangspunkte**.
1. (Optional) Suche nach Zugangspunkten anhand des Namens. Nur die von Ihnen ausgewählten Access Points AWS-Region werden hier angezeigt.
1. Wählen Sie den Namen des Zugriffspunkts, den Sie verwalten oder verwenden möchten.
1. Wählen Sie auf der Registerkarte **Objekte** den Namen des Objekts, das Sie herunterladen möchten.
1. Wählen Sie **Herunterladen** aus.
## Mit dem AWS CLI
Der folgende `get-object` Beispielbefehl zeigt, wie Sie mit AWS CLI dem ein Objekt über einen Access Point herunterladen können.
Mit dem folgenden Befehl wird das Objekt `puppy.jpg` für die AWS-Konto *111122223333* Verwendung des Access Points heruntergeladen*my-access-point*. Sie müssen einen Namen `outfile` angeben, der ein Dateiname für das heruntergeladene Objekt ist, z. `my_downloaded_image.jpg` B.
```
aws s3api get-object --bucket arn:aws:s3:AWS-Region:111122223333:accesspoint/my-access-point --key puppy.jpg my_downloaded_image.jpg
```
**Anmerkung**
S3 generiert automatisch Zugangspunkt-Aliase für alle Zugangspunkte. Diese Aliase können überall dort verwendet werden, wo ein Bucket-Name für Operationen auf Objektebene verwendet wird. Weitere Informationen finden Sie unter [Zugriffspunkt-Aliasse](access-points-naming.md#access-points-alias).
Weitere Informationen und Beispiele finden Sie unter [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-object.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-object.html) in der *Referenz zum AWS CLI -Befehl*.
## Verwenden der REST-API
Sie können die REST-API verwenden, um ein Objekt über einen Zugangspunkt herunterzuladen. Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html) in der *API-Referenz zu Amazon Simple Storage Service*.
## Mit dem AWS SDKs
Sie können das AWS SDK für Python verwenden, um ein Objekt über einen Access Point herunterzuladen.
------
#### [ Python ]
Im folgenden Beispiel `hello.txt` wird die Datei mit dem Namen für das AWS Konto *111122223333* unter Verwendung des angegebenen Zugriffspunkts heruntergeladen*my-access-point*.
```
import boto3
s3 = boto3.client('s3')
s3.download_file('arn:aws:s3:us-east-1:111122223333:accesspoint/my-access-point', 'hello.txt', '/tmp/hello.txt')
```
------
# Konfigurieren Sie Zugriffskontrolllisten (ACLs) über einen Access Point für einen Allzweck-Bucket
In diesem Abschnitt wird erklärt, wie Sie mithilfe der REST-API AWS-Managementkonsole, AWS Command Line Interface oder ACLs über einen Access Point einen Allzweck-Bucket konfigurieren. Weitere Informationen zu finden ACLs Sie unter[Zugriffskontrolllisten (ACL) – Übersicht](acl-overview.md).
## Verwenden der S3-Konsole
**Zur Konfiguration ACLs über einen Access Point in Ihrem AWS-Konto**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie in der Navigationsleiste oben auf der Seite den Namen der aktuell angezeigten Datei aus AWS-Region. Wählen Sie als Nächstes die Region aus, für die Sie Zugangspunkte auflisten möchten.
1. Klicken Sie im Navigationsbereich links in der Konsole auf **Zugangspunkte**.
1. (Optional) Suche nach Zugangspunkten anhand des Namens. Nur die von Ihnen ausgewählten Access Points AWS-Region werden hier angezeigt.
1. Wählen Sie den Namen des Zugriffspunkts, den Sie verwalten oder verwenden möchten.
1. Wählen Sie auf der Registerkarte **Objekte** den Namen des Objekts, für das Sie eine ACL konfigurieren möchten.
1. Wählen Sie auf der Registerkarte **Berechtigungen** die Option **Bearbeiten**, um die Objekt-ACL zu konfigurieren.
**Anmerkung**
Amazon S3 unterstützt derzeit nicht das Ändern der Public Block Access-Einstellungen eines Zugriffspunkts, nachdem der Zugriffspunkt erstellt wurde.
## Mit dem AWS CLI
Der folgende `put-object-acl` Beispielbefehl zeigt, wie Sie mit dem AWS CLI Zugriffsberechtigungen über einen Access Point mithilfe einer ACL konfigurieren können.
Der folgende Befehl wendet eine ACL auf ein vorhandenes Objekt `puppy.jpg` über einen Access Point an, dessen Eigentümer AWS-Konto *111122223333*.
```
aws s3api put-object-acl --bucket arn:aws:s3:AWS-Region:111122223333:accesspoint/my-access-point --key puppy.jpg --acl private
```
**Anmerkung**
S3 generiert automatisch Zugangspunkt-Aliase für alle Zugangspunkte. Diese Aliase können überall dort verwendet werden, wo ein Bucket-Name für Operationen auf Objektebene verwendet wird. Weitere Informationen finden Sie unter [Zugriffspunkt-Aliasse](access-points-naming.md#access-points-alias).
Weitere Informationen und Beispiele finden Sie unter [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object-acl.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object-acl.html) in der *Referenz zum AWS CLI -Befehl*.
## Verwenden der REST-API
Sie können die REST-API verwenden, um Zugriffsberechtigungen über einen Zugangspunkt mithilfe einer ACL zu konfigurieren. Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html) in der *API-Referenz zu Amazon Simple Storage Service*.
# Hochladen eines Objekts über einen Zugangspunkt für einen Allzweck-Bucket
In diesem Abschnitt wird erklärt, wie Sie mithilfe der REST-API, oder ein Objekt über einen Access Point für einen Allzweck-Bucket hochladen. AWS-Managementkonsole AWS Command Line Interface
## Verwenden der S3-Konsole
**Um ein Objekt über einen Access Point in Ihrem hochzuladen AWS-Konto**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie in der Navigationsleiste oben auf der Seite den Namen der aktuell angezeigten Datei aus AWS-Region. Wählen Sie als Nächstes die Region aus, für die Sie Zugangspunkte auflisten möchten.
1. Klicken Sie im Navigationsbereich links in der Konsole auf **Zugangspunkte**.
1. (Optional) Suche nach Zugangspunkten anhand des Namens. Nur die von Ihnen ausgewählten Access Points AWS-Region werden hier angezeigt.
1. Wählen Sie den Namen des Zugriffspunkts, den Sie verwalten oder verwenden möchten.
1. Wählen Sie auf der Registerkarte **Objekte** die Option **Hochladen**.
1. Ziehen Sie die Dateien und Ordner, die Sie hochladen möchten, hierher, oder wählen Sie **Dateien hinzufügen** oder **Ordner hinzufügen**.
**Anmerkung**
Die maximale Größe einer Datei, die Sie über die Amazon-S3-Konsole hochladen können, ist 160 GB. Um eine Datei mit mehr als 160 GB hochzuladen, verwenden Sie die AWS Command Line Interface (AWS CLI) AWS SDKs, oder die Amazon S3 S3-REST-API.
1. Um Zugriffssteuerungslisten-Berechtigungen zu ändern, wählen Sie **Permissions** (Berechtigungen) aus.
1. Bearbeiten Sie die Berechtigungen unter **Access control list (ACL)** (Zugriffssteuerungsliste).
Weitere Informationen zu den Zugriffsberechtigungen für Objekte finden Sie unter [Festlegen von ACL-Berechtigungen für ein Objekt mit der S3-Konsole](managing-acls.md#set-object-permissions). Sie können der Öffentlichkeit Lesezugriff auf Ihre Objekte erteilen, und zwar für alle Dateien, die Sie hochladen. Wir empfehlen allerdings, die Standardeinstellung für den öffentlichen Lesezugriff nicht zu ändern. Die Erteilung von öffentlichem Lesezugriff ist nur für wenige Anwendungsfälle sinnvoll, beispielsweise, wenn Buckets für Websites verwendet werden. Nachdem Sie das Objekt hochgeladen haben, können Sie jederzeit Änderungen an den Objektberechtigungen vornehmen.
1. Um andere zusätzliche Eigenschaften zu konfigurieren, wählen Sie **Properties** (Eigenschaften) aus.
1. Wählen Sie im Abschnitt **Speicherklasse** die Speicherklasse für die Dateien aus, die Sie hochladen.
Weitere Informationen über Speicherklassen finden Sie unter [Verstehen und Verwalten von Amazon-S3-Speicherklassen](storage-class-intro.md).
1. Um die Verschlüsselungseinstellungen für Ihre Objekte zu aktualisieren, gehen Sie unter **Server-side encryption settings (Serverseitige Verschlüsselungseinstellungen)** wie folgt vor.
1. Klicken Sie auf **Specify an encryption key** (Verschlüsselungsschlüssel angeben).
1. Wählen Sie unter **Verschlüsselungseinstellungen** die Option **Verwenden von Bucket-Einstellungen für die Standardverschlüsselung** oder **Überschreiben der Bucket-Einstellungen für die Standardverschlüsselung** aus.
1. Wenn Sie **Überschreiben der Bucket-Einstellungen für die Standardverschlüsselung** ausgewählt haben, müssen Sie die folgenden Verschlüsselungseinstellungen konfigurieren.
+ Um die hochgeladenen Dateien mit Schlüsseln zu verschlüsseln, die von Amazon S3 verwaltet werden, wählen Sie **Von Amazon S3 verwalteter Schlüssel (SSE-S3)** aus.
Weitere Informationen finden Sie unter [Verwenden serverseitiger Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3)](UsingServerSideEncryption.md).
+ Um die hochgeladenen Dateien mit den in AWS Key Management Service (AWS KMS) gespeicherten Schlüsseln zu verschlüsseln, wählen Sie **AWS Key Management Service Schlüssel (SSE-KMS**). Wählen Sie dann eine der folgenden Optionen für **AWS KMS -Schlüssel** aus:
+ Wenn Sie aus einer Liste verfügbarer KMS-Schlüssel auswählen möchten, wählen Sie **Aus Ihren AWS KMS keys wählen** und dann den **KMS-Schlüssel** in der Liste der verfügbaren Schlüssel aus.
Sowohl der Von AWS verwalteter Schlüssel (`aws/s3`) als auch Ihr vom Kunden verwalteter Schlüssel werden in dieser Liste angezeigt. Weitere Informationen über vom Kunden verwaltete Schlüssel finden Sie unter [Kundenschlüssel und AWS -Schlüssel](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt) im *Entwicklerhandbuch zu AWS Key Management Service *.
+ Um den KMS-Schlüssel-ARN einzugeben, wählen **Sie AWS KMS key ARN eingeben** und geben Sie dann Ihren KMS-Schlüssel-ARN in das angezeigte Feld ein.
+ Um einen neuen vom Kunden verwalteten Schlüssel in der AWS KMS Konsole zu **erstellen, wählen Sie Create a KMS Key** aus.
Weitere Informationen zum Erstellen eines finden Sie AWS KMS key unter [Creating Keys](https://docs.aws.amazon.com//kms/latest/developerguide/create-keys.html) im *AWS Key Management Service Developer Guide*.
**Wichtig**
Sie können nur KMS-Schlüssel verwenden, die im selben AWS-Region Bucket verfügbar sind. Die Amazon-S3-Konsole führt nur die ersten 100 KMS-Schlüssel auf, die in derselben Region wie der Bucket verfügbar sind. Wenn Sie einen KMS-Schlüssel verwenden möchten, der nicht aufgeführt ist, müssen Sie den KMS-Schlüssel-ARN eingeben. Wenn Sie einen KMS-Schlüssel verwenden möchten, der sich im Besitz eines anderen Kontos befindet, müssen Sie über die Berechtigung zum Verwenden des Schlüssels verfügen und Sie müssen den KMS-Schlüssel-ARN eingeben.
Amazon S3 unterstützt nur symmetrisch verschlüsselte KMS-Schlüssel und keine asymmetrischen KMS-Schlüssel. Weitere Informationen finden Sie unter [Erkennen von symmetrischen und asymmetrischen KMS-Schlüsseln](https://docs.aws.amazon.com//kms/latest/developerguide/find-symm-asymm.html) im *Entwicklerhandbuch zu AWS Key Management Service *.
1. Wählen Sie **On** (Ein) aus, um zusätzliche Prüfsummen zu verwenden. Wählen Sie dann für **Checksum function** (Prüfsummenfunktion) die Funktion aus, die Sie verwenden möchten. Amazon S3 berechnet und speichert den Prüfsummenwert, nachdem es das gesamte Objekt erhalten hat. Sie können das Feld **Precalculated value** (Vorberechneter Wert) verwenden, um einen vorberechneten Wert anzugeben. In diesem Fall vergleicht Amazon S3 den von Ihnen angegebenen Wert mit dem eigenen berechneten Wert. Wenn die beiden Werte nicht übereinstimmen, generiert Amazon S3 einen Fehler.
Mit zusätzlichen Prüfsummen können Sie den Prüfsummenalgorithmus angeben, den Sie zur Überprüfung Ihrer Daten verwenden möchten. Weitere Informationen zu zusätzlichen Prüfsummen finden Sie unter [Überprüfen der Objektintegrität in Amazon S3](checking-object-integrity.md).
1. Um allen hochgeladenen Objekten Markierungen hinzuzufügen, wählen Sie **Add tag (Tag hinzufügen)**. Geben Sie einen Tag-Namen in das Feld **Schlüssel** ein. Geben Sie einen Wert für das Tag ein.
Das Markieren von Objekten ermöglicht Ihnen, Speicher zu kategorisieren. Jeder Tag ist ein Schlüssel/Wert-Paar. Bei Schlüssel- und Tag-Werten wird die Groß-/Kleinschreibung berücksichtigt. Sie können über bis zu 10 Markierungen pro Objekt verfügen. Ein Tag-Schlüssel kann maximal 128 Unicode-Zeichen lang sein, und die Tag-Werte können bis zu 255 Unicode-Zeichen lang sein. Weitere Informationen über Objekt-Markierungen finden Sie unter [Kategorisierung Ihrer Objekte mit Hilfe von Tags](object-tagging.md).
1. Um Metadaten hinzuzufügen, wählen Sie **Add metadata** (Metadaten hinzufügen).
1. Wählen Sie unter **Typ**die Option **System defined (System definiert)** oder **User defined (Benutzerdefiniert)** aus.
Für systemdefinierte Metadaten können Sie gemeinsame HTTP-Header wie **Content-Type** und **Content-Disposition** auswählen. Eine Liste systemdefinierter Metadaten und Informationen dazu, ob Sie Werte hinzufügen können, finden Sie unter [Systemdefinierte Objektmetadaten](UsingMetadata.md#SysMetadata). Metadaten, die mit dem Präfix `x-amz-meta-` beginnen, werden als benutzerdefinierte Metadaten behandelt. Benutzerdefinierte Metadaten werden zusammen mit dem Objekt gespeichert und beim Herunterladen des Objekts zurückgegeben. Sowohl die Schlüssel als auch deren Werte müssen US-ASCII-Standards entsprechen. Benutzerdefinierte Metadaten können bis zu 2 KB umfassen. Weitere Informationen zu systemdefinierten und benutzerdefinierten Metadaten finden Sie unter [Arbeiten mit Objekt-Metadaten](UsingMetadata.md).
1. Wählen Sie für **Key** einen Schlüssel aus.
1. Geben Sie einen Wert für den Schlüssel ein.
1. Um Ihre Objekte hochzuladen, wählen Sie **Upload (Hochladen)** aus.
Amazon S3 lädt Ihr Objekt hoch. Wenn der Upload abgeschlossen ist, wird auf der Seite **Upload: status** eine Erfolgsmeldung angezeigt.
## Mit dem AWS CLI
Der folgende `put-object` Beispielbefehl zeigt, wie Sie mit AWS CLI dem ein Objekt über einen Access Point hochladen können.
Mit dem folgenden Befehl wird das Objekt `puppy.jpg` zur AWS-Konto *111122223333* Verwendung des Access Points *my-access-point* hochgeladen.
```
aws s3api put-object --bucket arn:aws:s3:AWS-Region:111122223333:accesspoint/my-access-point --key puppy.jpg --body puppy.jpg
```
**Anmerkung**
S3 generiert automatisch Zugangspunkt-Aliase für alle Zugangspunkte, und Zugangspunkt-Aliase können überall dort verwendet werden, wo ein Bucket-Name für Operationen auf Objektebene verwendet wird. Weitere Informationen finden Sie unter [Zugriffspunkt-Aliasse](access-points-naming.md#access-points-alias).
Weitere Informationen und Beispiele finden Sie unter [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object.html) in der *Referenz zum AWS CLI -Befehl*.
## Verwenden der REST-API
Sie können die REST-API verwenden, um ein Objekt über einen Zugangspunkt hochzuladen. Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html) in der *API-Referenz zu Amazon Simple Storage Service*.
## Mit dem AWS SDKs
Sie können das AWS SDK für Python verwenden, um ein Objekt über einen Access Point hochzuladen.
------
#### [ Python ]
Im folgenden Beispiel `hello.txt` wird die angegebene Datei *111122223333* mithilfe des angegebenen Zugriffspunkts für das AWS Konto hochgeladen*my-access-point*.
```
import boto3
s3 = boto3.client('s3')
s3.upload_file('/tmp/hello.txt', 'arn:aws:s3:us-east-1:111122223333:accesspoint/my-access-point', 'hello.txt')
```
------
# Fügen Sie über einen Zugangspunkt ein Tag-Set für einen Allzweck-Bucket hinzu
In diesem Abschnitt wird erklärt, wie Sie mithilfe der REST-API, oder über einen Access Point ein Tag-Set für einen Allzweck-Bucket hinzufügen. AWS-Managementkonsole AWS Command Line Interface Weitere Informationen finden Sie unter [Kategorisierung Ihrer Objekte mit Hilfe von Tags](object-tagging.md).
## Verwenden der S3-Konsole
**Um ein Tag-Set über einen Access Point in Ihrem hinzuzufügen AWS-Konto**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie in der Navigationsleiste oben auf der Seite den Namen der aktuell angezeigten Datei aus AWS-Region. Wählen Sie als Nächstes die Region aus, für die Sie Zugangspunkte auflisten möchten.
1. Klicken Sie im Navigationsbereich links in der Konsole auf **Zugangspunkte**.
1. (Optional) Suche nach Zugangspunkten anhand des Namens. Nur die von Ihnen ausgewählten Access Points AWS-Region werden hier angezeigt.
1. Wählen Sie den Namen des Zugriffspunkts, den Sie verwalten oder verwenden möchten.
1. Wählen Sie auf der Registerkarte **Objekte** den Namen des Objekts aus, dem Sie einen Tag-Satz hinzufügen möchten.
1. Unter der Registerkarte **Eigenschaften** finden Sie die Unterüberschrift **Tags** und wählen **Bearbeiten**.
1. Überprüfen Sie die aufgelisteten Objekte, und wählen Sie **Tag hinzufügen**.
1. Jedes Objekt-Tag ist ein Schlüssel-Wert-Paar. Geben Sie einen **Key (Schlüssel)** und einen **Value (Wert)** ein. Um ein weiteres Tag hinzuzufügen, wählen Sie **Add Tag (Tag hinzufügen)**.
Sie können bis zu 10 Marker für ein Objekt eingeben.
1. Wählen Sie **Änderungen speichern ** aus.
## Mit dem AWS CLI
Der folgende `put-object-tagging` Beispielbefehl zeigt, wie Sie den verwenden können AWS CLI , um ein Tag-Set über einen Access Point hinzuzufügen.
Der folgende Befehl fügt mithilfe des Access Points ein Tag-Set für ein vorhandenes Objekt `puppy.jpg` hinzu. *my-access-point*
```
aws s3api put-object-tagging --bucket arn:aws:s3:AWS-Region:111122223333:accesspoint/my-access-point --key puppy.jpg --tagging TagSet=[{Key="animal",Value="true"}]
```
**Anmerkung**
S3 generiert automatisch Zugangspunkt-Aliase für alle Zugangspunkte, und Zugangspunkt-Aliase können überall dort verwendet werden, wo ein Bucket-Name für Operationen auf Objektebene verwendet wird. Weitere Informationen finden Sie unter [Zugriffspunkt-Aliasse](access-points-naming.md#access-points-alias).
Weitere Informationen und Beispiele finden Sie unter [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object-tagging.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object-tagging.html) in der *Referenz zum AWS CLI -Befehl*.
## Verwenden der REST-API
Sie können die REST-API verwenden, um einem Objekt über einen Zugangspunkt einen Tagsatz hinzuzufügen. Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html) in der *API-Referenz zu Amazon Simple Storage Service*.
# Löschen eines Objekts über einen Zugangspunkt für einen Allzweck-Bucket
In diesem Abschnitt wird erklärt, wie ein Objekt mithilfe der REST-API, oder über einen Access Point für einen Allzweck-Bucket gelöscht wird. AWS-Managementkonsole AWS Command Line Interface
## Verwenden der S3-Konsole
**Um ein Objekt oder mehrere Objekte über einen Access Point in Ihrem zu löschen AWS-Konto**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie in der Navigationsleiste oben auf der Seite den Namen der aktuell angezeigten Datei aus AWS-Region. Wählen Sie als Nächstes die Region aus, für die Sie Zugangspunkte auflisten möchten.
1. Klicken Sie im Navigationsbereich links in der Konsole auf **Zugangspunkte**.
1. (Optional) Suche nach Zugangspunkten anhand des Namens. Nur die von Ihnen ausgewählten Access Points AWS-Region werden hier angezeigt.
1. Wählen Sie den Namen des Zugriffspunkts, den Sie verwalten oder verwenden möchten.
1. Wählen Sie auf der Registerkarte **Objekte** den Namen des Objekts oder der Objekte, die Sie löschen möchten.
1. Überprüfen Sie die zum Löschen aufgelisteten Objekte, und geben Sie *Löschen* in das Bestätigungsfeld ein.
1. Wählen Sie **Objekte löschen** aus.
## Mit dem AWS CLI
Der folgende `delete-object` Beispielbefehl zeigt, wie Sie mit AWS CLI dem ein Objekt über einen Access Point löschen können.
Der folgende Befehl löscht das vorhandene Objekt `puppy.jpg` mithilfe des Access Points*my-access-point*.
```
aws s3api delete-object --bucket arn:aws:s3:AWS-Region:111122223333:accesspoint/my-access-point --key puppy.jpg
```
**Anmerkung**
S3 generiert automatisch Zugangspunkt-Aliase für alle Zugangspunkte, und Zugangspunkt-Aliase können überall dort verwendet werden, wo ein Bucket-Name für Operationen auf Objektebene verwendet wird. Weitere Informationen finden Sie unter [Zugriffspunkt-Aliasse](access-points-naming.md#access-points-alias).
Weitere Informationen und Beispiele finden Sie unter [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/delete-object.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/delete-object.html) in der *Referenz zum AWS CLI -Befehl*.
## Verwenden der REST-API
Sie können die REST-API verwenden, um ein Objekt über einen Zugangspunkt zu löschen. Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html) in der *API-Referenz zu Amazon Simple Storage Service*.
# Verwenden von Tags mit S3 Zugangspunkte für Allzweck-Buckets.
Ein AWS Tag ist ein Schlüssel-Wert-Paar, das Metadaten zu Ressourcen, in diesem Fall Amazon S3 Access Points, enthält. Sie können Zugangspunkte kennzeichnen, wenn Sie sie erstellen, oder Tags auf vorhandenen Zugangspunkte verwalten. Allgemeine Informationen zur Verwendung von Tags finden Sie unter [Kennzeichnung für die Kostenzuweisung oder attributbasierte Zugriffskontrolle (ABAC)](tagging.md).
**Anmerkung**
Es fallen keine zusätzlichen Kosten für die Verwendung von Tags an Zugangspunkten an, die über die Standard-S3-API-Anforderungsgebühren hinausgehen. Weitere Informationen finden Sie unter [Amazon S3 – Preise](https://aws.amazon.com/s3/pricing/).
## Gängige Methoden zur Verwendung von Tags mit Zugangspunkte
Mit der attributbasierten Zugriffskontrolle (ABAC) können Sie Zugriffsberechtigungen abskalieren und Zugangspunkten auf der Grundlage ihrer Tags Zugang gewähren. Weitere Informationen zu ABAC in Amazon S3 finden Sie unter [Verwenden von Tags für ABAC](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging.html#).
### ABAC für S3-Zugangspunkte
Amazon S3 Access Points unterstützen die attributbasierte Zugriffskontrolle (ABAC) mithilfe von Tags. Verwenden Sie Tag-basierte Bedingungsschlüssel in Ihren AWS Organisations-, IAM- und Access Point-Richtlinien. Für Unternehmen unterstützt ABAC in Amazon S3 die Autorisierung über mehrere AWS Konten hinweg.
In Ihren IAM-Richtlinien können Sie den Zugriff auf Zugangspunkte anhand der Tags der Zugangspunkte steuern, indem Sie die folgenden [globalen Bedingungsschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys) verwenden:
+ `aws:ResourceTag/key-name`
**Wichtig**
Der `aws:ResourceTag` Bedingungsschlüssel kann nur für S3-Aktionen verwendet werden, die über einen Zugangspunkt-ARN für Allzweck-Buckets ausgeführt werden, und deckt nur die zugrunde liegenden Zugangspunkt-Tags ab.
+ Verwenden Sie diesen Schlüssel, um das Tag-Schlüssel-Wert-Paar, das Sie in der Richtlinie angeben, mit dem Schlüssel-Wert-Paar zu vergleichen, das der Ressource zugeordnet ist. Beispiel: Sie können verlangen, dass der Zugriff auf eine Ressource nur gewährt wird, wenn die Ressource über den angefügten Tag-Schlüssel `Dept` mit dem Wert `Marketing` verfügt. Weitere Informationen finden Sie unter [Steuern des Zugriffs auf AWS Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-resources).
+ `aws:RequestTag/key-name`
+ Verwenden Sie diesen Schlüssel, um das Tag-Schlüssel-Wert-Paar, das in der Anforderung übergeben wurde, mit dem Tag-Paar zu vergleichen, das Sie in der Richtlinie angeben. Sie können beispielsweise prüfen, ob die Anforderung den Tag-Schlüssel `Dept` enthält und dieser den Wert `Accounting` hat. Weitere Informationen finden Sie unter [Steuern des Zugriffs bei AWS Anfragen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-requests). Sie können diesen Bedingungsschlüssel verwenden, um einzuschränken, welche Tag-Schlüsselwert-Paare während der `TagResource` und `CreateAccessPoint` API-Operationen weitergeleitet werden können.
+ `aws:TagKeys`
+ Verwenden Sie diesen Schlüssel, um die Tag-Schlüssel in einer Anforderung mit den Schlüsseln zu vergleichen, die Sie in der Richtlinie angeben. Wir empfehlen, dass Sie bei der Verwendung von Richtlinien zur Zugriffskontrolle mithilfe von Tags den `aws:TagKeys`-Bedingungsschlüssel verwenden, um festzulegen, welche Tag-Schlüssel zulässig sind. Beispiele für Richtlinien und weitere Informationen finden Sie unter [Zugriffssteuerung basierend auf Tag-Schlüsseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-tag-keys). Sie können einen Zugangspunkt mit Tags erstellen. Um das Markieren während des `CreateAccessPoint` API-Vorgangs zu erlauben, müssen Sie eine Richtlinie erstellen, die die `s3:TagResource`- und `s3:CreateAccessPoint`-Aktionen enthält. Anschließend können Sie den `aws:TagKeys`-Bedingungsschlüssel zum Erzwingen mit spezifischen Tags in der `CreateAccessPoint`-Anforderung verwenden.
+ `s3:AccessPointTag/tag-key`
+ Verwenden Sie diesen Bedingungsschlüssel, um über Zugangspunkte mithilfe von Tags Berechtigungen für bestimmte Daten zu erteilen. Bei der Verwendung `aws:ResourceTag/tag-key` in einer IAM-Richtlinie müssen sowohl der Zugangspunkt als auch der Bucket, auf den der Zugangspunkt verweist, dasselbe Tag haben, da beide bei der Autorisierung berücksichtigt werden. Wenn Sie den Zugriff auf Ihre Daten ausschließlich über das Access-Point-Tag kontrollieren möchten, können Sie den Bedingungsschlüssel verwenden`s3:AccessPointTag/tag-key`.
### Beispiel für ABAC-Richtlinien für Zugangspunkte
Siehe die folgenden Beispiel-ABAC-Richtlinien für Amazon S3 Access Points.
#### 1.1 – IAM-Richtlinie zum Erstellen oder Ändern von Buckets mit bestimmten Tags
In dieser IAM-Richtlinie können Benutzer oder Rollen mit dieser Richtlinie nur dann Zugangspunkte erstellen, wenn sie die Zugangspunkte mit dem Tag-Schlüssel `project` und dem Tag-Wert `Trinity` in der Anfrage zur Erstellung von Zugangspunkte kennzeichnen. Sie können auch Tags an vorhandenen Zugangspunkte hinzufügen oder ändern, sofern die `TagResource` Anfrage das Schlüssel-Wert-Paar des Tags `project:Trinity` enthält.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateAccessPointWithTags",
"Effect": "Allow",
"Action": [
"s3:CreateAccessPoint",
"s3:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/project": [
"Trinity"
]
}
}
}
]
}
```
#### 1.2 – Zugangspunkt-Richtlinie zur Einschränkung von Vorgängen auf dem Zugangspunkt mithilfe von Tags
In dieser Zugangspunkt-Richtlinie können IAM-Prinzipale (Benutzer und Rollen) nur dann Operationen mithilfe der `GetObject` Aktion auf dem Zugangspunkt ausführen, wenn der Wert des Access `project` Point-Tags mit dem Wert des `project` Prinzipal-Tags übereinstimmt.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowObjectOperations",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": "s3:GetObject",
"Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
"Condition": {
"StringEquals": {
"aws:ResourceTag/project": "${aws:PrincipalTag/project}"
}
}
}
]
}
```
#### 1.3 – IAM-Richtlinie zur Änderung von Tags auf vorhandenen Ressourcen unter Beibehaltung der Tagging-Governance
In dieser IAM-Richtlinie können IAM-Prinzipale (Benutzer oder Rollen) Tags auf einem Zugangspunkt nur ändern, wenn der Wert des Zugangspunkt-Tags `project` mit dem Wert des Prinzipal-Tags `project` übereinstimmt. Für diese Verzeichnis-Buckets sind nur die vier Tags `project`, `environment`, `owner` und `cost-center` die in den `aws:TagKeys`-Bedingungsschlüsseln angegebenen Zugangspunkte zulässig. Dies trägt zur Durchsetzung der Tag-Governance bei, verhindert unbefugte Tag-Änderungen und sorgt dafür, dass das Tagging-Schema an Ihren Zugangspunkten einheitlich bleibt.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EnforceTaggingRulesOnModification",
"Effect": "Allow",
"Action": [
"s3:TagResource"
],
"Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
"Condition": {
"StringEquals": {
"aws:ResourceTag/project": "${aws:PrincipalTag/project}"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"project",
"environment",
"owner",
"cost-center"
]
}
}
}
]
}
```
#### 1.4 — Verwendung des AccessPointTag Bedingungsschlüssels s3:
In dieser IAM-Richtlinie ermöglicht die Bedingungsanweisung den Zugriff auf die Daten des Buckets, wenn der Zugangspunkt über den Tag-Schlüssel `Environment` und den Tag-Wert `Production` verfügt.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToSpecificAccessPoint",
"Effect": "Allow",
"Action": "*",
"Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
"Condition": {
"StringEquals": {
"s3:AccessPointTag/Environment": "Production"
}
}
}
]
}
```
#### 1.5 – Verwendung einer delegierten Bucket-Richtlinie
In Amazon S3 können Sie den Zugriff auf oder die Kontrolle über Ihre S3-Bucket-Richtlinie an ein anderes AWS Konto oder an einen bestimmten AWS Identity and Access Management (IAM-) Benutzer oder eine bestimmte Rolle in dem anderen Konto delegieren. Die delegierte Bucket-Richtlinie gewährt diesem anderen Konto, Benutzer oder dieser Rolle die Berechtigung auf Ihren Bucket und dessen Objekte. Weitere Informationen finden Sie unter [Berechtigungsdelegation](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-policy-language-overview.html#permission-delegation).
Wenn Sie eine delegierte Bucket-Richtlinie verwenden, z. B. die folgende:
```
{
"Version": "2012-10-17",
"Statement": {
"Principal": {"AWS": "*"},
"Effect": "Allow",
"Action": ["s3:*"],
"Resource":["arn:aws::s3:::amzn-s3-demo-bucket/*", "arn:aws::s3:::amzn-s3-demo-bucket"],
"Condition": {
"StringEquals" : {
"s3:DataAccessPointAccount" : "111122223333"
}
}
}
}
```
In der folgenden IAM-Richtlinie ermöglicht die Bedingungsanweisung den Zugriff auf die Daten des Buckets, wenn der Zugangspunkt über den Tag-Schlüssel `Environment` und den Tag-Wert `Production` verfügt.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToSpecificAccessPoint",
"Effect": "Allow",
"Action": "*",
"Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
"Condition": {
"StringEquals": {
"s3:AccessPointTag/Environment": "Production"
}
}
}
]
}
```
## Arbeiten mit Tags für Zugangspunkte für Allzweck-Buckets
Sie können Tags für Access Points mithilfe der Amazon S3 S3-Konsole, der AWS Befehlszeilenschnittstelle (CLI) AWS SDKs, der oder mithilfe von S3 APIs: [TagResource[UntagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html)](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html), und hinzufügen oder verwalten [ListTagsForResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html). Weitere Informationen finden Sie unter:
**Topics**
+ [Gängige Methoden zur Verwendung von Tags mit Zugangspunkte](#common-ways-to-use-tags-directory-bucket)
+ [Arbeiten mit Tags für Zugangspunkte für Allzweck-Buckets](#working-with-tags-access-points)
+ [Erstellen von Zugangspunkten](access-points-create-tag.md)
+ [Hinzufügen von Tags zu einem Zugangspunkt](access-points-tag-add.md)
+ [Anzeigen von Zugangspunkt-Tags](access-points-tag-view.md)
+ [Löschen eines Tags von einem Zugangspunkt](access-points-tag-delete.md)
# Erstellen von Zugangspunkten
Sie können Zugangspunkte kennzeichnen, wenn Sie sie erstellen. Es fallen keine zusätzlichen Kosten für die Verwendung von Tags an Zugangspunkten an, die über die Standard-S3-API-Anforderungsgebühren hinausgehen. Weitere Informationen finden Sie unter [Amazon S3 – Preise](https://docs.aws.amazon.com/s3/pricing/). Weitere Hinweise zu Zugangspunkten finden Sie unter [Verwenden von Tags mit S3 Zugangspunkte für Allzweck-Buckets.](access-points-tagging.md).
## Berechtigungen
Zum Erstellen eines Zugangspunkts mit Tags benötigen Sie folgende Berechtigungen:
+ `s3:CreateBucket`
+ `s3:TagResource`
## Behebung von Fehlern
Wenn beim Versuch, einen Zugangspunkt mit Tags zu erstellen, ein Fehler auftritt, können Sie wie folgt vorgehen:
+ Stellen Sie sicher, dass Sie über die erforderlichen Informationen verfügen[Berechtigungen](#access-points-create-tag-permissions), um den Zugangspunkt zu erstellen und ihm ein Tag hinzuzufügen.
+ Überprüfen Sie Ihre IAM-Benutzerrichtlinie auf alle Bedingungen der attributbasierten Zugriffskontrolle (ABAC). Möglicherweise müssen Sie Ihre Zugangspunkte nur mit bestimmten Tag-Schlüsseln und Werten kennzeichnen. Weitere Informationen finden Sie unter [Verwendung von Tags für attributbasierte Zugriffskontrolle (ABAC)](tagging.md#using-tags-for-abac).
## Schritte
Sie können einen Access Point mit angewendeten Tags mithilfe der Amazon S3 S3-Konsole, der AWS Command Line Interface (AWS CLI), der Amazon S3 S3-REST-API und erstellen AWS SDKs.
## Verwenden der S3-Konsole
So erstellen Sie einen Zugangspunkt mit Tags mithilfe der Amazon-S3-Konsole:
1. Melden Sie sich bei der Amazon S3 S3-Konsole an unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie im linken Navigationsbereich **Zugangspunkte (Allzweck-Buckets)** aus.
1. Wählen Sie **Zugangspunkt erstellen**, um einen neuen Zugangspunkt zu erstellen.
1. Auf der Seite **Zugangspunkt erstellen** ist **Tags** eine Option, wenn Sie einen neuen Zugangspunkt erstellen.
1. Geben Sie einen Namen für den Zugangspunkt ein. Weitere Informationen finden Sie unter [Regeln für die Benennung von Zugangspunkten, Einschränkungen und Begrenzungen](access-points-restrictions-limitations-naming-rules.md).
1. Wählen Sie **Neues Tag hinzufügen**, um den **Tags**-Editor zu öffnen und ein Tag-Schlüssel-Wert-Paar einzugeben. Das Tag ist erforderlich, aber der Wert ist optional.
1. Zum Hinzufügen eines weiteren Tags wählen Sie **Neues Tag hinzufügen** erneut aus. Sie können bis zu 50 Schlüssel-Wert-Paare taggen.
1. Nachdem Sie die Optionen für Ihren neuen Zugangspunkt angegeben haben, wählen Sie **Create Zugangspunkt** aus.
## Verwenden Sie den AWS SDKs
------
#### [ SDK for Java 2.x ]
Dieses Beispiel veranschaulicht, wie Sie mit der AWS SDK for Java 2.x einem Zugangspunkt erstellen. Um den Befehl zu verwenden, ersetzen Sie die *user input placeholders* durch Ihre eigenen Informationen.
```
CreateAccessPointRequest createAccessPointRequest = CreateAccessPointRequest.builder()
.accountId(111122223333)
.name(my-access-point)
.bucket(amzn-s3-demo-bucket)
.tags(Collections.singletonList(Tag.builder().key("key1").value("value1").build()))
.build();
awss3Control.createAccessPoint(createAccessPointRequest);
```
------
## Verwenden der REST-API
Informationen zur Unterstützung der Amazon S3 REST-API für die Erstellung eines Zugangspunkts mit Tags finden Sie im folgenden Abschnitt der *Amazon Simple Storage Service API-Referenz*:
+ [CreateAccessPoint](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPoint.html)
## Verwenden Sie den AWS CLI
Informationen zur Installation der AWS CLI finden Sie unter [Installation der AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) im *AWS Command Line Interface Benutzerhandbuch*.
Das folgende CLI-Beispiel veranschaulicht, wie Sie mithilfe der AWS CLI einen Zugangspunkt mit Tags erstellen können. Um den Befehl zu verwenden, ersetzen Sie den *user input placeholders* durch Ihre eigenen Informationen.
**Anfrage:**
```
aws s3control create-access-point --name my-access-point \
--bucket amzn-s3-demo-bucket \
--account-id 111122223333 \ --profile personal \
--tags [{Key=key1,Value=value1},{Key=key2,Value=value2}] \
--region region
```
# Hinzufügen von Tags zu einem Zugangspunkt
Sie können Tags zu Amazon S3 Access Points hinzufügen und diese Tags ändern. Es fallen keine zusätzlichen Kosten für die Verwendung von Tags an Zugangspunkten an, die über die Standard-S3-API-Anforderungsgebühren hinausgehen. Weitere Informationen finden Sie unter [Amazon S3 – Preise](https://docs.aws.amazon.com/s3/pricing/). Weitere Hinweise zu Zugangspunkten finden Sie unter [Verwenden von Tags mit S3 Zugangspunkte für Allzweck-Buckets.](access-points-tagging.md).
## Berechtigungen
Um einem Zugangspunkt ein Tag hinzuzufügen, müssen Sie über die folgende Berechtigung verfügen:
+ `s3:TagResource`
## Behebung von Fehlern
Wenn beim Versuch, einem Zugangspunkt ein Tag hinzuzufügen, ein Fehler auftritt, können Sie wie folgt vorgehen:
+ Stellen Sie sicher, dass Sie über die erforderlichen [Berechtigungen](#access-points-tag-add-permissions) Informationen verfügen, um einem Zugangspunkt ein Tag hinzuzufügen.
+ Wenn Sie versucht haben, einen Tag-Schlüssel hinzuzufügen, der mit dem AWS reservierten Präfix beginnt`aws:`, ändern Sie den Tag-Schlüssel und versuchen Sie es erneut.
## Schritte
Sie können Tags zu Access Points hinzufügen, indem Sie die Amazon S3 S3-Konsole, die AWS Befehlszeilenschnittstelle (AWS CLI), die Amazon S3 S3-REST-API und verwenden AWS SDKs.
## Verwenden der S3-Konsole
So fügen Sie einem Zugangspunkt mithilfe der Amazon-S3-Konsole Tags hinzu:
1. Melden Sie sich bei der Amazon S3 S3-Konsole an unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie im linken Navigationsbereich **Zugangspunkte (Allzweck-Buckets)** aus.
1. Wählen Sie den Namen des Zugriffspunkts aus.
1. Wählen Sie die Registerkarte **Eigenschaften** aus.
1. Klicken Sie im Abschnitt **Tags** auf **Neuen Tag hinzufügen**.
1. Die Seite **Tags hinzufügen** wird geöffnet. Sie können bis zu 50 Schlüssel-Wert-Paare taggen.
1. Wenn Sie ein neues Tag mit demselben Schlüsselnamen wie ein bereits vorhandenes Tag hinzufügen, wird der Wert des neuen Tags den Wert des vorhandenen Tags überschreiben.
1. Auf der Seite Tags können Sie auch die Schlüssel und Werte von vorhandenen Tags bearbeiten.
1. Nachdem Sie die Tags hinzugefügt haben, wählen Sie **Änderungen speichern**.
## Verwenden Sie den AWS SDKs
------
#### [ SDK for Java 2.x ]
Dieses Beispiel zeigt, wie Sie einem Zugangspunkt mithilfe von Tags hinzufügen AWS SDK for Java 2.x. Um den Befehl zu verwenden, ersetzen Sie die *user input placeholders* durch Ihre eigenen Informationen.
```
TagResourceRequest tagResourceRequest = TagResourceRequest.builder().resourceArn(arn:aws::s3:region:111122223333:accesspoint/my-access-point/*)
.accountId(111122223333)
.tags(List.of(Tag.builder().key("key1").value("value1").build(),
Tag.builder().key("key2").value("value2").build()))
.build();
awss3Control.tagResource(tagResourceRequest);
```
------
## Verwenden der REST-API
Informationen über die Unterstützung der Amazon S3 REST-API für das Hinzufügen von Tags zu einem Zugangspunkt finden Sie im folgenden Abschnitt in der *Amazon Simple Storage Service API-Referenz*:
+ [TagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html)
## Verwenden Sie den AWS CLI
Informationen zur Installation der AWS CLI finden Sie unter [Installation der AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) im *AWS Command Line Interface Benutzerhandbuch*.
Das folgende CLI-Beispiel veranschaulicht, wie Sie mithilfe der AWS CLI Tags zu einem Zugangspunkt hinzufügen können. Um den Befehl zu verwenden, ersetzen Sie den *user input placeholders* durch Ihre eigenen Informationen.
**Anfrage:**
```
aws s3control tag-resource \
--account-id 111122223333 \
--resource-arn arn:aws::s3:region:111122223333:accesspoint/my-access-point/* \
--tags "Key=key1,Value=value1"
```
**Antwort:**
```
{
"ResponseMetadata": {
"RequestId": "EXAMPLE123456789",
"HTTPStatusCode": 200,
"HTTPHeaders": {
"date": "Wed, 19 Jun 2025 10:30:00 GMT",
"content-length": "0"
},
"RetryAttempts": 0
}
}
```
# Anzeigen von Zugangspunkt-Tags
Sie können Tags, die auf Zugangspunkte angewendet wurden, anzeigen oder auflisten. Weitere Informationen zu Tags erhalten Sie unter [Verwenden von Tags mit S3 Zugangspunkte für Allzweck-Buckets.](access-points-tagging.md).
## Berechtigungen
Zum Anzeigen von Tags, die auf einen Zugangspunkt angewendet wurden, benötigen Sie folgende Berechtigungen:
+ `s3:ListTagsForResource`
## Behebung von Fehlern
Wenn beim Versuch, die Tags eines Zugangspunkts aufzulisten oder anzuzeigen, ein Fehler auftritt, können Sie wie folgt vorgehen:
+ Stellen Sie sicher, dass Sie über die erforderlichen [Berechtigungen](#access-points-tag-view-permissions) Daten verfügen, um die Tags des Zugangspunkts anzuzeigen oder aufzulisten.
## Schritte
Sie können Tags, die auf Access Points angewendet wurden, mithilfe der Amazon S3 S3-Konsole, der AWS Command Line Interface (AWS CLI), der Amazon S3 S3-REST-API und anzeigen AWS SDKs.
## Verwenden der S3-Konsole
So zeigen Sie die Tags an, die einem Zugangspunkt mit der Amazon-S3-Konsole zugewiesen wurden:
1. Melden Sie sich bei der Amazon S3 S3-Konsole an unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie im linken Navigationsbereich **Zugangspunkte (Allzweck-Buckets)** aus.
1. Wählen Sie den Namen des Zugriffspunkts aus.
1. Wählen Sie die Registerkarte **Eigenschaften** aus.
1. Scrollen Sie zum Abschnitt **Tags**, um alle Tags zu sehen, die auf den Zugangspunkt angewendet wurden.
1. Im Abschnitt „**Tags**“ werden standardmäßig die **benutzerdefinierten Tags** angezeigt. Sie können die Registerkarte „**AWS-generated tags**“ auswählen, um sich die Tags anzusehen, die Ihrem Access Point nach AWS Diensten zugewiesen wurden.
## Verwenden Sie den AWS SDKs
Dieser Abschnitt enthält ein Beispiel dafür, wie Sie Tags anzeigen können, die auf einen Access Point angewendet wurden, mithilfe von AWS SDKs.
------
#### [ SDK for Java 2.x ]
Dieses Beispiel zeigt, wie Sie Tags anzeigen können, die auf einen Zugangspunkt angewendet wurden, indem Sie die verwenden AWS SDK for Java 2.x.
```
ListTagsForResourceRequest listTagsForResourceRequest = ListTagsForResourceRequest
.builder().resourceArn(arn:aws::s3:region:111122223333:accesspoint/my-access-point/*)
.accountId(111122223333).build();
awss3Control.listTagsForResource(listTagsForResourceRequest);
```
------
## Verwenden der REST-API
Informationen über die Unterstützung der Amazon S3 REST-API zum Anzeigen der auf einen Zugangspunkt angewendeten Tags finden Sie im folgenden Abschnitt der *Amazon Simple Storage Service API-Referenz*:
+ [ListTagsforResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html)
## Mit dem AWS CLI
Informationen zur Installation der AWS CLI finden Sie unter [Installation der AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) im *AWS Command Line Interface Benutzerhandbuch*.
Das folgende CLI-Beispiel zeigt, wie Sie die auf einen Zugangspunkt angewendeten Tags anzeigen. Um den Befehl zu verwenden, ersetzen Sie den *user input placeholders* durch Ihre eigenen Informationen.
**Anfrage:**
```
aws s3control list-tags-for-resource \
--account-id 111122223333 \
--resource-arn arn:aws::s3:region:444455556666:bucket/prefix--use1-az4--x-s3 \
```
**Antwort – Tags vorhanden:**
```
{
"Tags": [
{
"Key": "MyKey1",
"Value": "MyValue1"
},
{
"Key": "MyKey2",
"Value": "MyValue2"
},
{
"Key": "MyKey3",
"Value": "MyValue3"
}
]
}
```
**Antwort – keine Tags vorhanden:**
```
{
"Tags": []
}
```
# Löschen eines Tags von einem Zugangspunkt
Sie können Tags von Amazon S3 Access Points entfernen. Ein AWS Tag ist ein Schlüssel-Wert-Paar, das Metadaten zu Ressourcen, in diesem Fall Access Points, enthält. Weitere Informationen zu Tags erhalten Sie unter [Verwenden von Tags mit S3 Zugangspunkte für Allzweck-Buckets.](access-points-tagging.md).
**Anmerkung**
Wenn Sie ein Tag löschen und später erfahren, dass es zur Kostenverfolgung oder zur Zugriffskontrolle verwendet wurde, können Sie das Tag wieder zum Zugangspunkt hinzufügen.
## Berechtigungen
Um ein Tag von einem Zugangspunkt zu löschen, müssen Sie über die folgende Berechtigung verfügen:
+ `s3:UntagResource`
## Behebung von Fehlern
Wenn beim Versuch, ein Tag von einem Zugangspunkt zu löschen, ein Fehler auftritt, können Sie wie folgt vorgehen:
+ Stellen Sie sicher, dass Sie über die erforderlichen [Berechtigungen](access-points-db-tag-delete.md#access-points-db-tag-delete-permissions) Informationen verfügen, um ein Tag von einem Zugangspunkt zu löschen.
## Schritte
Sie können Tags von Access Points löschen, indem Sie die Amazon S3 S3-Konsole, die AWS Command Line Interface (AWS CLI), die Amazon S3 S3-REST-API und verwenden AWS SDKs.
## Verwenden der S3-Konsole
So löschen Sie Tags von einem Zugangspunkt mithilfe der Amazon-S3-Konsole:
1. Melden Sie sich bei der Amazon S3 S3-Konsole an unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie im linken Navigationsbereich **Zugangspunkte (Allzweck-Buckets)** aus.
1. Wählen Sie den Namen des Zugriffspunkts aus.
1. Wählen Sie die Registerkarte **Eigenschaften** aus.
1. Scrollen Sie zum Abschnitt „**Tags**“ und aktivieren Sie das Kontrollkästchen neben dem Tag oder den Tags, die Sie löschen möchten.
1. Wählen Sie **Löschen** aus.
1. Das Popup-Fenster „**Benutzerdefinierte Tags löschen**“ wird angezeigt und fordert Sie auf, das Löschen des oder der ausgewählten Tags zu bestätigen.
1. Wählen Sie zur Bestätigung **Delete**.
## Verwenden Sie den AWS SDKs
------
#### [ SDK for Java 2.x ]
Dieses Beispiel zeigt, wie Sie mit der Tags von einem Zugangspunkt löschen AWS SDK for Java 2.x. Um den Befehl zu verwenden, ersetzen Sie die *user input placeholders* durch Ihre eigenen Informationen.
```
UntagResourceRequest tagResourceRequest = UntagResourceRequest.builder()
.resourceArn(arn:aws::s3:region:111122223333:accesspoint/my-access-point/*)
.accountId(111122223333)
.tagKeys(List.of("key1", "key2")).build();
awss3Control.untagResource(tagResourceRequest);
```
------
## Verwenden der REST-API
Informationen zur Amazon-S3-REST-API-Unterstützung für das Löschen von Tags von einem Zugangspunkt finden Sie im folgenden Abschnitt der *Amazon-Simple-Storage-Service-API-Referenz*:
+ [UnTagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html)
## Verwenden Sie den AWS CLI
Informationen zur Installation der AWS CLI finden Sie unter [Installation der AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) im *AWS Command Line Interface Benutzerhandbuch*.
Das folgende CLI-Beispiel veranschaulicht, wie Sie Tags mithilfe der AWS CLI von einem Zugangspunkt löschen können. Um den Befehl zu verwenden, ersetzen Sie den *user input placeholders* durch Ihre eigenen Informationen.
**Anfrage:**
```
aws s3control untag-resource \
--account-id 111122223333 \
--resource-arn arn:aws::s3:region:444455556666:access-point/my-access-point \
--tag-keys "tagkey1" "tagkey2"
aws s3control untag-resource \
--account-id 111122223333 \
--resource-arn arn:aws::s3:region:444455556666:accesspointmy-access-point/* \
--tag-keys "key1" "key2"
```
**Antwort:**
```
{
"ResponseMetadata": {
"RequestId": "EXAMPLE123456789",
"HTTPStatusCode": 204,
"HTTPHeaders": {
"date": "Wed, 19 Jun 2025 10:30:00 GMT",
"content-length": "0"
},
"RetryAttempts": 0
}
}
```