Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Beispiel 2: Bucket-Eigentümer erteilt kontoübergreifende Bucket-Berechtigungen
<a name="example-walkthroughs-managing-access-example2"></a>

**Wichtig**  
Das Erteilen von Berechtigungen für IAM-Rollen ist eine bessere Vorgehensweise als die Erteilung von Berechtigungen an einzelne Benutzer. Weitere Informationen zur Vorgehensweise finden Sie unter [Verständnis von kontoübergreifenden Berechtigungen und der Verwendung von IAM-Rollen](example-walkthroughs-managing-access-example4.md#access-policies-walkthrough-example4-overview).

**Topics**
+ [Vorbereitung auf den Walkthrough](#cross-acct-access-step0)
+ [Schritt 1: Erledigen der Aufgaben von Konto A](#access-policies-walkthrough-cross-account-permissions-acctA-tasks)
+ [Schritt 2: Erledigen der Aufgaben von Konto B](#access-policies-walkthrough-cross-account-permissions-acctB-tasks)
+ [Schritt 3: (Optional) Versuchen Sie eine explizite Zugriffsverweigerung](#access-policies-walkthrough-example2-explicit-deny)
+ [Schritt 4: Bereinigen](#access-policies-walkthrough-example2-cleanup-step)

Ein Konto AWS-Konto— zum Beispiel Konto A — kann einem anderen AWS-Konto Konto B die Erlaubnis erteilen, auf seine Ressourcen wie Buckets und Objekte zuzugreifen. Konto B kann diese Berechtigungen an Benutzer in seinem Konto delegieren. In diesem Beispielszenario erteilt ein Bucket-Eigentümer einem anderen Konto eine kontenübergreifende Berechtigung, um bestimmte Bucket-Vorgänge auszuführen.

**Anmerkung**  
Konto A kann einem Benutzer in Konto B unter Verwendung einer Bucket-Richtlinie auch direkt Berechtigungen erteilen. Der Benutzer braucht dennoch eine Berechtigung von seinem übergeordneten Konto, Konto B, zu dem der Benutzer gehört, auch wenn Konto B keine Berechtigungen von Konto A erhalten hat. Solange der Benutzer die Berechtigung vom Ressourceneigentümer und dem übergeordneten Konto hat, kann der Benutzer auf die Ressource zugreifen.

Nachfolgend finden Sie eine kurze Zusammenfassung der wichtigsten Details: 

![\[Ein anderer Benutzer AWS-Konto erhält die AWS-Konto Erlaubnis, auf seine Ressourcen zuzugreifen.\]](http://docs.aws.amazon.com/de_de/AmazonS3/latest/userguide/images/access-policy-ex2.png)


1. Der Administrator-Benutzer von Konto A ordnet eine Bucket-Richtlinie zu, die Konto B kontenübergreifende Berechtigungen erteilt, um bestimmte Bucket-Vorgänge auszuführen.

   Beachten Sie, dass der Administrator-Benutzer in Konto B die Berechtigungen automatisch erbt.

1. Der Administrator-Benutzer von Konto B ordnet dem Benutzer eine Benutzerrichtlinie zu, die die Berechtigungen an den Benutzer delegiert, die er von Konto A erhalten hat.

1. Der Benutzer in Konto B überprüft die Berechtigungen, indem er auf ein Objekt in dem Bucket zugreift, das Konto A gehört.

Für dieses Beispiel benötigen Sie zwei Konten. Die folgende Tabelle zeigt, wie wir auf diese Konten und die Administrator-Benutzer darin verweisen. Laut den IAM-Richtlinien (siehe [Informationen zur Verwendung eines Administratorbenutzers zum Erstellen von Ressourcen und Erteilen von Berechtigungen](example-walkthroughs-managing-access.md#about-using-root-credentials)) verwenden wir in dieser Anleitung nicht die Anmeldeinformationen des Root-Benutzers. Stattdessen erstellen Sie einen Administrator-Benutzer in jedem Konto, und verwenden dessen Anmeldeinformationen, um Ressourcen zu erstellen und ihnen Berechtigungen zu erteilen. 


| AWS-Konto Ausweis | Konto bezeichnet als | Administratorbenutzer im Konto  | 
| --- | --- | --- | 
|  *1111-1111-1111*  |  Konto A  |  AccountAadmin  | 
|  *2222-2222-2222*  |  Konto B  |  AccountBadmin  | 

Alle Aufgaben in Verbindung mit dem Erstellen von Benutzern und Gewähren von Berechtigungen werden in der AWS-Managementkonsole ausgeführt. Um die Berechtigungen zu überprüfen, verwendet die exemplarische Vorgehensweise die Befehlszeilentools AWS Command Line Interface (CLI) und AWS Tools for Windows PowerShell, sodass Sie keinen Code schreiben müssen.

## Vorbereitung auf den Walkthrough
<a name="cross-acct-access-step0"></a>

1. Stellen Sie sicher, dass Sie zwei haben AWS-Konten und dass jedes Konto über einen Administratorbenutzer verfügt, wie in der Tabelle im vorherigen Abschnitt dargestellt.

   1. Melden Sie sich bei Bedarf für einen an AWS-Konto. 

   1. Melden Sie sich mit den Anmeldeinformationen für Konto A an der [IAM-Konsole](https://console.aws.amazon.com/iam/home?#home) an und erstellen Sie wie folgt den Administrator-Benutzer:

      1. Erstellen Sie den Benutzer **AccountAadmin** und schreiben Sie sich die Sicherheitsanmeldeinformationen auf. Anweisungen finden Sie unter [Erstellen eines IAM-Benutzers in Ihrem AWS-Konto](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html) im *IAM-Benutzerhandbuch*. 

      1. Gewähren Sie Administratorrechte, **AccountAadmin**indem Sie eine Benutzerrichtlinie anhängen, die vollen Zugriff gewährt. Weitere Informationen finden Sie unter [Arbeiten mit Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) im *IAM-Benutzerhandbuch*. 

   1. Während Sie sich in der IAM-Konsole befinden, notieren Sie sich die **IAM-Benutzer-Anmelde-URL** auf dem **Dashboard**. Alle Benutzer in diesem Konto müssen diese URL für die Anmeldung an der AWS-Managementkonsole verwenden.

      Weitere Informationen finden Sie unter [Wie sich Benutzer in Ihrem Konto anmelden](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_how-users-sign-in.html) im *IAM-Benutzerhandbuch*. 

   1. Wiederholen Sie den obigen Schritt unter Verwendung der Anmeldeinformationen von Konto B und erstellen Sie den Administrator-Benutzer **AccountBadmin**.

1. Richten Sie entweder die AWS Command Line Interface (AWS CLI) oder die AWS Tools for Windows PowerShell ein. Stellen Sie sicher, dass Sie die Administratoranmeldeinformationen wie folgt speichern:
   + Wenn Sie das verwenden AWS CLI, erstellen Sie zwei Profile `AccountAadmin` und`AccountBadmin`, in der Konfigurationsdatei.
   + Wenn Sie die verwenden AWS Tools for Windows PowerShell, stellen Sie sicher, dass Sie die Anmeldeinformationen für die Sitzung als `AccountAadmin` und speichern`AccountBadmin`.

   Detaillierte Anweisungen finden Sie unter [Einrichten der Tools für die Anleitungen](policy-eval-walkthrough-download-awscli.md). 

1. Speichern Sie die Anmeldeinformationen des Administrator-Benutzers, auch als Profile bezeichnet. Sie können den Profilnamen verwenden, statt für jeden eingegebenen Befehl Anmeldeinformationen anzugeben. Weitere Informationen finden Sie unter [Einrichten der Tools für die Anleitungen](policy-eval-walkthrough-download-awscli.md). 

   1. Fügen Sie der AWS CLI Anmeldeinformationsdatei Profile für jeden der Administratorbenutzer `AccountAadmin` und `AccountBadmin` in den beiden Konten hinzu. 

      ```
      [AccountAadmin]
      aws_access_key_id = access-key-ID
      aws_secret_access_key = secret-access-key
      region = us-east-1
      
      [AccountBadmin]
      aws_access_key_id = access-key-ID
      aws_secret_access_key = secret-access-key
      region = us-east-1
      ```

   1. Wenn Sie die AWS Tools for Windows PowerShell verwenden, führen Sie den folgenden Befehl au.

      ```
      set-awscredentials –AccessKey AcctA-access-key-ID –SecretKey AcctA-secret-access-key –storeas AccountAadmin
      set-awscredentials –AccessKey AcctB-access-key-ID –SecretKey AcctB-secret-access-key –storeas AccountBadmin
      ```

## Schritt 1: Erledigen der Aufgaben von Konto A
<a name="access-policies-walkthrough-cross-account-permissions-acctA-tasks"></a>

### Schritt 1.1: Melden Sie sich an AWS-Managementkonsole
<a name="access-policies-walkthrough-cross-account-permissions-acctA-tasks-sign-in"></a>

Melden Sie sich mit der IAM-Benutzer-Anmelde-URL für Konto A zunächst beim Benutzer AWS-Managementkonsole as **AccountAadmin**an. Dieser Benutzer erstellt einen Bucket und ordnet ihm eine Richtlinie zu. 

### Schritt 1.2: Erstellen eines Buckets
<a name="access-policies-walkthrough-example2a-create-bucket"></a>

1. Erstellen Sie in der Amazon-S3-Konsole einen Bucket. In dieser Übung wird davon ausgegangen, dass der Bucket im Osten der USA (Nord-Virginia) erstellt AWS-Region und benannt wurde. `amzn-s3-demo-bucket`

   Detaillierte Anweisungen finden Sie unter [Erstellen eines Allzweck-Buckets](create-bucket-overview.md). 

1. Hochladen eines Beispielobjekts in den Bucket.

   Anweisungen finden Sie unter [Schritt 2: Hochladen eines Objekts in Ihren Bucket](GetStartedWithS3.md#uploading-an-object-bucket). 

### Schritt 1.3: Zuordnen einer Bucket-Richtlinie, um Konto B kontoübergreifende Berechtigungen zu erteilen
<a name="access-policies-walkthrough-example2a"></a>

Die Bucket-Richtlinie gewährt Konto B die `s3:ListBucket` Berechtigungen `s3:GetLifecycleConfiguration` und. Es wird davon ausgegangen, dass Sie immer noch mit **AccountAadmin**Benutzeranmeldedaten bei der Konsole angemeldet sind.

1. Weisen Sie `amzn-s3-demo-bucket` die folgende Bucket-Richtlinie zu. Die Richtlinie erteilt Konto B die Berechtigung für die Aktionen `s3:GetLifecycleConfiguration` und `s3:ListBucket`.

   Detaillierte Anweisungen finden Sie unter [Hinzufügen einer Bucket-Richtlinie mit der Amazon-S3-Konsole](add-bucket-policy.md). 

------
#### [ JSON ]

****  

   ```
   {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
         {
            "Sid": "Example permissions",
            "Effect": "Allow",
            "Principal": {
               "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
               "s3:GetLifecycleConfiguration",
               "s3:ListBucket"
            ],
            "Resource": [
               "arn:aws:s3:::amzn-s3-demo-bucket"
            ]
         }
      ]
   }
   ```

------

1. Überprüfen Sie, ob Konto B (und damit sein Administratorbenutzer) die Operationen ausführen kann
   + Überprüfen Sie mit dem AWS CLI

     ```
     aws s3 ls s3://amzn-s3-demo-bucket --profile AccountBadmin
     aws s3api get-bucket-lifecycle-configuration --bucket amzn-s3-demo-bucket --profile AccountBadmin
     ```
   + Überprüfen Sie mit dem AWS Tools for Windows PowerShell

     ```
     get-s3object -BucketName amzn-s3-demo-bucket -StoredCredentials AccountBadmin 
     get-s3bucketlifecycleconfiguration -BucketName amzn-s3-demo-bucket -StoredCredentials AccountBadmin
     ```

## Schritt 2: Erledigen der Aufgaben von Konto B
<a name="access-policies-walkthrough-cross-account-permissions-acctB-tasks"></a>

Jetzt erstellt der Administrator von Konto B einen Benutzer Dave und delegiert an Dave die Berechtigungen, die er von Konto A erhalten hat. 

### Schritt 2.1: Melden Sie sich an bei AWS-Managementkonsole
<a name="access-policies-walkthrough-cross-account-permissions-acctB-tasks-sign-in"></a>

Melden Sie sich mit der IAM-Benutzer-Anmelde-URL für Konto B zunächst beim Benutzer AWS-Managementkonsole as **AccountBadmin**an. 

### Schritt 2.2: Erstellen des Benutzers Dave in Konto B
<a name="access-policies-walkthrough-example2b-create-user"></a>

Erstellen Sie in der [IAM-Konsole](https://console.aws.amazon.com/iam/) einen Benutzer, **Dave**. 

Detaillierte Anleitungen finden Sie unter [Erstellen von IAM-Benutzern (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console) im *IAM-Benutzerhandbuch*. 

### Schritt 2.3: Delegieren von Berechtigungen an den Benutzer Dave
<a name="access-policies-walkthrough-example2-delegate-perm-userdave"></a>

Erstellen Sie mithilfe der folgenden Richtlinie eine Inlinerichtlinie für den Benutzer Dave. Sie müssen die Richtlinie aktualisieren, indem Sie Ihren Bucket-Namen angeben.

Es wird davon ausgegangen, dass Sie mit **AccountBadmin**Benutzeranmeldedaten bei der Konsole angemeldet sind.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Sid": "Example",
         "Effect": "Allow",
         "Action": [
            "s3:ListBucket"
         ],
         "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket"
         ]
      }
   ]
}
```

------

Weitere Informationen finden Sie unter [Verwalten von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_inline-using.html) im *IAM-Benutzerhandbuch*.

### Schritt 2.4: Testen der Berechtigungen
<a name="access-policies-walkthrough-example2b-user-dave-access"></a>

Jetzt kann Dave in Konto B den Inhalt von `amzn-s3-demo-bucket` auflisten, der Konto A gehört. Sie können die Berechtigungen mit einem der folgenden Verfahren überprüfen. 

**Testen Sie die Berechtigungen mit dem AWS CLI**

1. Fügen Sie das `UserDave` Profil der AWS CLI Konfigurationsdatei hinzu. Weitere Informationen zur Config-Datei finden Sie unter [Einrichten der Tools für die Anleitungen](policy-eval-walkthrough-download-awscli.md).

   ```
   [profile UserDave]
   aws_access_key_id = access-key
   aws_secret_access_key = secret-access-key
   region = us-east-1
   ```

1. Geben Sie an der Befehlszeile den folgenden AWS CLI Befehl ein, um zu überprüfen, ob Dave jetzt eine Objektliste aus dem `amzn-s3-demo-bucket` Konto A abrufen kann. Beachten Sie, dass der Befehl das `UserDave` Profil angibt.

   ```
   aws s3 ls s3://amzn-s3-demo-bucket --profile UserDave
   ```

   Dave besitzt keine anderen Berechtigungen. Wenn er also versucht, eine andere Operation auszuführen – zum Beispiel die folgende `get-bucket-lifecycle`-Konfiguration – gibt Amazon S3 die Meldung „Zugriff verweigert“ zurück. 

   ```
   aws s3api get-bucket-lifecycle-configuration --bucket amzn-s3-demo-bucket --profile UserDave
   ```

**Testen Sie die Berechtigungen mit AWS Tools for Windows PowerShell**

1. Speichern Sie die Anmeldeinformationen von Dave als `AccountBDave`.

   ```
   set-awscredentials -AccessKey AccessKeyID -SecretKey SecretAccessKey -storeas AccountBDave
   ```

1. Probieren Sie den Befehl List Bucket aus.

   ```
   get-s3object -BucketName amzn-s3-demo-bucket -StoredCredentials AccountBDave
   ```

   Dave besitzt keine anderen Berechtigungen. Wenn er also versucht, eine andere Operation auszuführen, zum Beispiel die folgende `get-s3bucketlifecycleconfiguration`, gibt Amazon S3 die Meldung „Zugriff verweigert“ zurück. 

   ```
   get-s3bucketlifecycleconfiguration -BucketName amzn-s3-demo-bucket -StoredCredentials AccountBDave
   ```

## Schritt 3: (Optional) Versuchen Sie eine explizite Zugriffsverweigerung
<a name="access-policies-walkthrough-example2-explicit-deny"></a>

Sie können Berechtigungen mithilfe einer Zugriffssteuerungsliste (ACL), einer Bucket-Richtlinie oder einer Benutzerrichtlinie erhalten. Wenn es jedoch eine explizite Zugriffsverweigerung gibt, die entweder über eine Bucket-Richtlinie oder ein Benutzerprofil festgelegt wurde, hat die explizite Zugriffsverweigerung Vorrang gegenüber allen anderen Berechtigungen. Aktualisieren Sie zum Testen die Bucket-Richtlinie und verweigern Konto B explizit die `s3:ListBucket`-Berechtigung. Die Richtlinie erteilt auch die `s3:ListBucket`-Berechtigung. Eine explizite Verweigerung hat jedoch Vorrang, sodass Konto B bzw. die Benutzer in Konto B nicht in der Lage sein werden, Objekte in `amzn-s3-demo-bucket` aufzulisten.

1. Ersetzen Sie unter Verwendung der Anmeldeinformationen von Benutzer `AccountAadmin` in Konto A die Bucket-Richtlinie durch Folgendes. 

1. Wenn Sie jetzt versuchen, über die Anmeldeinformationen von `AccountBadmin` eine Bucket-Liste zu erhalten, wird Ihnen eine Zugriffsverweigerung gemeldet.
   + Führen Sie mit dem AWS CLI den folgenden Befehl aus:

     ```
     aws s3 ls s3://amzn-s3-demo-bucket --profile AccountBadmin
     ```
   + Führen Sie mit dem AWS Tools for Windows PowerShell den folgenden Befehl aus:

     ```
     get-s3object -BucketName amzn-s3-demo-bucket -StoredCredentials AccountBDave
     ```

## Schritt 4: Bereinigen
<a name="access-policies-walkthrough-example2-cleanup-step"></a>

1. Nachdem Sie mit den Tests fertig sind, räumen Sie wie folgt auf:

   1. Melden Sie sich mit den Anmeldeinformationen von Konto A bei AWS-Managementkonsole ([AWS-Managementkonsole](https://console.aws.amazon.com/)) an und gehen Sie wie folgt vor:
     + Entfernen Sie in der Amazon-S3-Konsole die an `amzn-s3-demo-bucket` angefügte Bucket-Richtlinie. Löschen Sie in den Bucket **Properties** die Richtlinie im Abschnitt **Permissions**. 
     + Wenn der Bucket für diese Übung erstellt wurde, löschen Sie in der Amazon-S3-Konsole die Objekte und dann den Bucket. 
     + Entfernen Sie in der [IAM-Konsole](https://console.aws.amazon.com/iam/) den Benutzer `AccountAadmin`.

1. Melden Sie sich mit den Anmeldeinformationen von Konto B bei der [IAM-Konsole](https://console.aws.amazon.com/iam/) an. Löschen Sie den Benutzer `AccountBadmin`. step-by-stepAnweisungen finden Sie unter [Löschen eines IAM-Benutzers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_manage.html#id_users_deleting) im *IAM-Benutzerhandbuch*.