Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Einrichten einer Live-Replikation – Überblick
<a name="replication-how-setup"></a>

**Anmerkung**  
Objekte, die vor dem Einrichten der Replikation vorhanden waren, werden nicht automatisch repliziert. Anders ausgedrückt: Amazon S3 repliziert Objekte nicht rückwirkend. Verwenden Sie die S3-Batch-Replikation, um Objekte zu replizieren, die vor Ihrer Replikationskonfiguration erstellt wurden. Weitere Informationen zum Konfigurieren einer Batch-Replikation finden Sie unter [Replizieren vorhandener Objekte](s3-batch-replication-batch.md).

Um eine Live-Replikation – Replikation in derselben Region (SRR) oder regionsübergreifende Replikation (CRR) – zu aktivieren, fügen Sie Ihrem Quell-Bucket eine Replikationskonfiguration hinzu. Diese Konfiguration weist Amazon S3 an, Objekte wie angegeben zu replizieren. In der Replikations-Konfiguration müssen Sie Folgendes angeben:
+ **Die Ziel-Buckets** – Der Bucket oder die Buckets, in den/die Amazon S3 die Objekte replizieren soll.
+ **Die Objekte, die Sie replizieren möchten** – Sie können alle Objekte im Quell-Bucket replizieren oder nur eine Teilmenge davon. Teilmengen identifizieren Sie, indem Sie ein [Schlüsselnamenpräfix](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html#keyprefix), mindestens ein Objekt-Tag oder beides in der Konfiguration angeben.

  Wenn Sie beispielsweise eine Replikationsregel konfigurieren, um nur Objekte mit dem Schlüsselnamenpräfix `Tax/` zu replizieren, repliziert Amazon S3 Objekte mit Schlüsseln wie `Tax/doc1` oder `Tax/doc2`. Es repliziert aber keine Objekte mit dem Schlüssel `Legal/doc3`. Wenn Sie sowohl ein Präfix als auch mindestens ein Tag angeben, repliziert Amazon S3 nur Objekte, die dieses Schlüsselpräfix und diese Tags aufweisen.
+ **Eine AWS Identity and Access Management (IAM-) Rolle** — Amazon S3 übernimmt diese IAM-Rolle, um Objekte in Ihrem Namen zu replizieren. Weitere Informationen zur Erstellung dieser IAM-Rolle und Verwaltung von Berechtigungen finden Sie unter [Einrichten von Berechtigungen für die Live-Replikation](setting-repl-config-perm-overview.md).

Zusätzlich zu diesen Mindestanforderungen können Sie die folgenden Optionen auswählen: 
+ **Replikat-Speicherklasse** – Standardmäßig speichert Amazon S3 Objektreplikate in derselben Speicherklasse wie das Quellobjekt. Sie können eine andere Speicherklasse für die Replikate festlegen.
+ **Replikat-Eigentümerschaft** – Amazon S3 geht davon aus, dass ein Objektreplikat weiterhin das Eigentum des Eigentümers des Quellobjekts bleibt. Wenn es Objekte repliziert, wird auch die entsprechende Objekt-Zugriffssteuerungsliste (ACL) oder die S3-Object-Ownership-Einstellung repliziert. Wenn sich der Quell- und der Ziel-Bucket im Besitz verschiedener AWS-Konten befinden, können Sie die Replikation so konfigurieren, dass der Besitzer eines Replikats auf das AWS-Konto geändert wird, dem der Ziel-Bucket gehört. Weitere Informationen finden Sie unter [Ändern des Replikat-Eigentümers](replication-change-owner.md).

Sie können die Replikation mithilfe der Amazon S3 S3-Konsole AWS Command Line Interface (AWS CLI) oder der Amazon S3 S3-REST-API konfigurieren. AWS SDKs Eine ausführliche Anleitung zum Einrichten einer Replikation finden Sie unter [Beispiele für die Konfiguration einer Live-Replikation](replication-example-walkthroughs.md).

 Amazon S3 stellt REST-API-Vorgänge zur Unterstützung der Einrichtung von Replikationsregeln bereit. Weitere Informationen finden Sie in den folgenden Themen in der *Amazon Simple Storage Service – API-Referenz*.
+  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketReplication.html) 
+  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketReplication.html) 
+  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketReplication.html) 

**Topics**
+ [

# Elemente der Replikationskonfigurationsdatei
](replication-add-config.md)
+ [

# Einrichten von Berechtigungen für die Live-Replikation
](setting-repl-config-perm-overview.md)
+ [

# Beispiele für die Konfiguration einer Live-Replikation
](replication-example-walkthroughs.md)

# Elemente der Replikationskonfigurationsdatei
<a name="replication-add-config"></a>

Amazon S3 speichert die Replikations-Konfiguration als XML. Wenn Sie die Replikation programmgesteuert über die REST-API von Amazon S3 konfigurieren, geben Sie die verschiedenen Elemente Ihrer Replikationskonfiguration in dieser XML-Datei an. Wenn Sie die Replikation über die AWS Command Line Interface (AWS CLI) konfigurieren, geben Sie Ihre Replikationskonfiguration im JSON-Format an. JSON-Beispiele finden Sie in den Anleitungen unter [Beispiele für die Konfiguration einer Live-Replikation](replication-example-walkthroughs.md).

**Anmerkung**  
Die aktuelle Formatversion der Replikationskonfigurations-XML ist V2. XML V2-Replikations-Konfigurationen sind solche, die das `<Filter>`-Element für Regeln und Regeln enthalten, die S3-Replikations-Zeitkontrolle (S3 RTC) angeben.  
Um die Version Ihrer Replikationskonfiguration anzuzeigen, können Sie den `GetBucketReplication`-API-Vorgang verwenden. Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketReplication.html) in der *API-Referenz zu Amazon Simple Storage Service*.   
Aus Gründen der Abwärtskompatibilität unterstützt Amazon S3 für Replikationskonfigurationen weiterhin das Format XML V1. Wenn Sie bisher für Replikationskonfigurationen das Format XML V1 verwendet haben, lesen Sie die Überlegungen zur Abwärtskompatibilität unter [Überlegungen zur Rückwärtskompatibilität](#replication-backward-compat-considerations).

In der XML-Datei für die Replikationskonfiguration müssen Sie eine AWS Identity and Access Management (IAM-) Rolle und eine oder mehrere Regeln angeben, wie im folgenden Beispiel gezeigt:

```
<ReplicationConfiguration>
    <Role>IAM-role-ARN</Role>
    <Rule>
        ...
    </Rule>
    <Rule>
         ... 
    </Rule>
     ...
</ReplicationConfiguration>
```

Amazon S3 kann ohne Berechtigung durch Sie keine Objekte replizieren. Sie gewähren Amazon S3 Berechtigungen mit der IAM-Rolle, die Sie in der Replikations-Konfiguration angeben. Amazon S3 übernimmt diese IAM-Rolle, um Objekte in Ihrem Namen zu replizieren. Sie müssen der IAM-Rolle zunächst die erforderlichen Berechtigungen erteilen. Weitere Informationen zum Verwalten von Berechtigungen finden Sie unter [Einrichten von Berechtigungen für die Live-Replikation](setting-repl-config-perm-overview.md).

In den folgenden Szenarien fügen Sie nur eine Regel zur Replikationskonfiguration hinzu:
+ Sie möchten alle Objekte replizieren.
+ Sie möchten nur eine Teilmenge der Objekte replizieren. Sie identifizieren die Teilmenge der Objekte, indem Sie einen Filter zur Regel hinzufügen. In dem Filter geben Sie ein Objektschlüsselpräfix, Markierungen oder eine Kombination aus beidem an, um die Objektteilmenge zu identifizieren, für die die Regel gilt. Die Filter zielen auf Objekte ab, die genau den von Ihnen angegebenen Werten entsprechen.

Wenn Sie unterschiedliche Teilmengen von Objekten replizieren möchten, fügen Sie mehrere Regeln zu einer Replikationskonfiguration hinzu. In jeder Regel geben Sie einen Filter an, der eine andere Teilmenge auswählt. Beispiel: Sie möchten Objekte mit dem Schlüsselpräfix `tax/` oder `document/` replizieren. Dazu fügen Sie zwei Regeln hinzu, eine, die den `tax/`-Schlüsselpräfix-Filter angibt und eine andere, die das `document/`-Schlüsselpräfix angibt. Weitere Informationen zu Präfixen für Objektschlüssel finden Sie unter [Organisieren von Objekten mit Präfixen](using-prefixes.md).

In den folgenden Abschnitten finden Sie zusätzliche Informationen.

**Topics**
+ [

## Basisregelkonfiguration
](#replication-config-min-rule-config)
+ [

## Optional: Festlegen eines Filters
](#replication-config-optional-filter)
+ [

## Zusätzliche Zielkonfigurationen
](#replication-config-optional-dest-config)
+ [

## Beispiele für Replikations-Konfigurationen
](#replication-config-example-configs)
+ [

## Überlegungen zur Rückwärtskompatibilität
](#replication-backward-compat-considerations)

## Basisregelkonfiguration
<a name="replication-config-min-rule-config"></a>

Jede Regel muss den Status und die Priorität der Regel enthalten. Die Regel muss auch angeben, ob Löschmarkierungen repliziert werden sollen. 
+ Das Element `<Status>` gibt an, ob die Regel mithilfe der Werte `Enabled` oder `Disabled` aktiviert oder deaktiviert ist. Wenn eine Regel deaktiviert ist, führt Amazon S3 die in der Regel angegebenen Aktionen nicht durch. 
+ Das Element `<Priority>` gibt an, welche Regel Vorrang hat, wenn zwei oder mehr Replikationsregeln in Konflikt stehen. Amazon S3 versucht, Objekte gemäß allen Replikationsregeln zu replizieren. Wenn es jedoch zwei oder mehr Regeln mit demselben Ziel-Bucket gibt, werden Objekte gemäß der Regel mit der höchsten Priorität repliziert. Je höher die Zahl, desto höher die Priorität.
+ Das Element `<DeleteMarkerReplication>` gibt an, ob Löschmarkierungen unter Verwendung der Werte `Enabled` oder `Disabled` repliziert werden sollen.

In der Konfiguration von Element `<Destination>` müssen Sie den Namen des Ziel-Buckets oder der Buckets angeben, in den/die Amazon S3 Objekte replizieren soll. 

Das folgende Beispiel zeigt die Mindestanforderungen für eine V2-Regel. Aus Gründen der Abwärtskompatibilität unterstützt Amazon S3 weiterhin das Format XML V1. Weitere Informationen finden Sie unter [Überlegungen zur Rückwärtskompatibilität](#replication-backward-compat-considerations).

```
...
    <Rule>
        <ID>Rule-1</ID>
        <Status>Enabled-or-Disabled</Status>
        <Filter>
            <Prefix></Prefix>   
        </Filter>
        <Priority>integer</Priority>
        <DeleteMarkerReplication>
           <Status>Enabled-or-Disabled</Status>
        </DeleteMarkerReplication>
        <Destination>        
           <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket> 
        </Destination>    
    </Rule>
    <Rule>
         ...
    </Rule>
     ...
...
```

Sie können auch andere Konfigurationsoptionen festlegen. Beispiel: Sie möchten für Objektreplikate eine andere Speicherklasse verwenden als für das Quellobjekt. 

## Optional: Festlegen eines Filters
<a name="replication-config-optional-filter"></a>

Um eine Teilmenge von Objekten auszuwählen, für die die Regel gilt, fügen Sie einen optionalen Filter hinzu. Sie können nach Objekt-Schlüsselpräfix, Objekt-Tags oder einer Kombination aus beidem filtern. Wenn Sie sowohl nach Schlüsselpräfix als auch nach Objekt-Tags filtern, kombiniert Amazon S3 die Filter mit einem logischen `AND`-Operator. Anders ausgedrückt: Die Regel wird auf eine Teilmenge von Objekten sowohl mit einem bestimmten Schlüsselpräfix als auch mit bestimmten Tags angewendet. 

**Filter basierend auf Objektschlüsselpräfix**  
Um eine Regel mit einem Filter nach Objektschlüsselpräfix festzulegen, verwenden Sie folgende XML-Datei. Sie können nur ein Präfix pro Regel angeben.

```
<Rule>
    ...
    <Filter>
        <Prefix>key-prefix</Prefix>   
    </Filter>
    ...
</Rule>
...
```

**Filter basierend auf Objekt-Markierungen**  
Um eine Regel mit einem Filter nach Objekt-Markierungen festzulegen, verwenden Sie folgende XML-Datei. Sie können einen oder mehrere Objekt-Markierungen festlegen.

```
<Rule>
    ...
    <Filter>
        <And>
            <Tag>
                <Key>key1</Key>
                <Value>value1</Value>
            </Tag>
            <Tag>
                <Key>key2</Key>
                <Value>value2</Value>
            </Tag>
             ...
        </And>
    </Filter>
    ...
</Rule>
...
```

**Filtern mit einem Schlüsselpräfix und Objekt-Markierungen**  
Um eine Regel mit einem Filter nach einer Kombination aus Schlüsselpräfix und Objekt-Markierungen festzulegen, verwenden Sie folgende XML-Datei. Sie wickeln diese Filter in ein übergeordnetes `<And>`-Element ein. Amazon S3 führt eine logische `AND`-Operation aus, um diese Filter zu kombinieren. Anders ausgedrückt: Die Regel wird auf eine Teilmenge von Objekten sowohl mit einem bestimmten Schlüsselpräfix als auch mit bestimmten Tags angewendet. 

```
<Rule>
    ...
    <Filter>
        <And>
            <Prefix>key-prefix</Prefix>
            <Tag>
                <Key>key1</Key>
                <Value>value1</Value>
            </Tag>
            <Tag>
                <Key>key2</Key>
                <Value>value2</Value>
            </Tag>
             ...
    </Filter>
    ...
</Rule>
...
```

**Anmerkung**  
Wenn Sie eine Regel mit einem leeren `<Filter>`-Element angeben, gilt Ihre Regel für alle Objekte in Ihrem Bucket.
Wenn Sie tagbasierte Replikationsregeln mit Live-Replikation verwenden, müssen neue Objekte bei der `PutObject`-Operation mit dem Tag für die entsprechende Replikationsregel markiert werden. Andernfalls werden die Objekte nicht repliziert. Wenn Objekte erst nach der `PutObject`-Operation markiert werden, werden diese Objekte ebenfalls nicht repliziert.   
Um Objekte zu replizieren, die nach der `PutObject`-Operation markiert wurden, müssen Sie die S3-Batch-Replikation verwenden. Weitere Informationen zur Batch-Replikationen finden Sie unter [Replizieren vorhandener Objekte](s3-batch-replication-batch.md).

## Zusätzliche Zielkonfigurationen
<a name="replication-config-optional-dest-config"></a>

In der Zielkonfiguration geben Sie den/die Bucket(s) an, in den/die Amazon S3 Objekte replizieren soll. Sie können Konfigurationen einrichten, um Objekte aus einem Quell-Bucket in einen oder mehrere Ziel-Buckets zu replizieren. 

```
...
<Destination>        
    <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
</Destination>
...
```

Sie können die folgenden Optionen im Element `<Destination>` hinzufügen.

**Topics**
+ [

### Festlegen der Speicherklasse
](#storage-class-configuration)
+ [

### Hinzufügen mehrerer Ziel-Buckets
](#multiple-destination-buckets-configuration)
+ [

### Angeben verschiedener Parameter für jede Replikationsregel mit mehreren Ziel-Buckets
](#replication-rule-configuration)
+ [

### Ändern der Replikat-Eigentümerschaft
](#replica-ownership-configuration)
+ [

### Aktivieren der S3 Replication Time Control
](#rtc-configuration)
+ [

### Replizieren Sie Objekte, die mit serverseitiger Verschlüsselung erstellt wurden, mithilfe von AWS KMS
](#sse-kms-configuration)

### Festlegen der Speicherklasse
<a name="storage-class-configuration"></a>

Sie können die Speicherklasse für die Objektreplikate festlegen. Standardmäßig verwendet Amazon S3 wie im folgenden Beispiel die Speicherklasse des Quellobjekts zum Erstellen von Objektreplikaten.

```
...
<Destination>
       <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
       <StorageClass>storage-class</StorageClass>
</Destination>
...
```

### Hinzufügen mehrerer Ziel-Buckets
<a name="multiple-destination-buckets-configuration"></a>

Sie können wie folgt mehrere Ziel-Buckets in einer einzigen Replikations-Konfiguration hinzufügen.

```
...
<Rule>
    <ID>Rule-1</ID>
    <Status>Enabled-or-Disabled</Status>
    <Priority>integer</Priority>
    <DeleteMarkerReplication>
       <Status>Enabled-or-Disabled</Status>
    </DeleteMarkerReplication>
    <Destination>        
       <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket1</Bucket> 
    </Destination>    
</Rule>
<Rule>
    <ID>Rule-2</ID>
    <Status>Enabled-or-Disabled</Status>
    <Priority>integer</Priority>
    <DeleteMarkerReplication>
       <Status>Enabled-or-Disabled</Status>
    </DeleteMarkerReplication>
    <Destination>        
       <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket2</Bucket> 
    </Destination>    
</Rule>
...
```

### Angeben verschiedener Parameter für jede Replikationsregel mit mehreren Ziel-Buckets
<a name="replication-rule-configuration"></a>

Wenn Sie mehrere Ziel-Buckets in einer einzigen Replikations-Konfiguration hinzufügen, können Sie wie folgt verschiedene Parameter für jede Replizierungsregel angeben.

```
...
<Rule>
    <ID>Rule-1</ID>
    <Status>Enabled-or-Disabled</Status>
    <Priority>integer</Priority>
    <DeleteMarkerReplication>
       <Status>Disabled</Status>
    </DeleteMarkerReplication>
      <Metrics>
    <Status>Enabled</Status>
    <EventThreshold>
      <Minutes>15</Minutes> 
    </EventThreshold>
  </Metrics>
    <Destination>        
       <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket1</Bucket> 
    </Destination>    
</Rule>
<Rule>
    <ID>Rule-2</ID>
    <Status>Enabled-or-Disabled</Status>
    <Priority>integer</Priority>
    <DeleteMarkerReplication>
       <Status>Enabled</Status>
    </DeleteMarkerReplication>
      <Metrics>
    <Status>Enabled</Status>
    <EventThreshold>
      <Minutes>15</Minutes> 
    </EventThreshold>
  </Metrics>
  <ReplicationTime>
    <Status>Enabled</Status>
    <Time>
      <Minutes>15</Minutes>
    </Time>
  </ReplicationTime>
    <Destination>        
       <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket2</Bucket> 
    </Destination>    
</Rule>
...
```

### Ändern der Replikat-Eigentümerschaft
<a name="replica-ownership-configuration"></a>

Wenn der Quell- und der Ziel-Bucket nicht denselben Konten gehören, können Sie den Besitz des Replikats auf das Konto ändern, dem der AWS-Konto Ziel-Bucket gehört. Fügen Sie dazu das `<AccessControlTranslation>`-Element hinzu. Dieses Element übernimmt den Wert `Destination`.

```
...
<Destination>
   <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
   <Account>destination-bucket-owner-account-id</Account>
   <AccessControlTranslation>
       <Owner>Destination</Owner>
   </AccessControlTranslation>
</Destination>
...
```

Wenn Sie das `<AccessControlTranslation>` Element nicht zur Replikationskonfiguration hinzufügen, gehören die Replikate demjenigen, der das AWS-Konto Quellobjekt besitzt. Weitere Informationen finden Sie unter [Ändern des Replikat-Eigentümers](replication-change-owner.md).

### Aktivieren der S3 Replication Time Control
<a name="rtc-configuration"></a>

Sie können die S3-Replikationszeitkontrolle (S3 RTC) in Ihrer Replikations-Konfiguration aktivieren. S3 RTC repliziert die meisten Objekte in Sekunden und 99,99 Prozent der Objekte innerhalb von 15 Minuten (gestützt auf ein Service Level Agreement). 

**Anmerkung**  
Für die Elemente `<EventThreshold>` und `<Time>` wird nur der Wert `<Minutes>15</Minutes>` akzeptiert.

```
...
<Destination>
  <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
  <Metrics>
    <Status>Enabled</Status>
    <EventThreshold>
      <Minutes>15</Minutes> 
    </EventThreshold>
  </Metrics>
  <ReplicationTime>
    <Status>Enabled</Status>
    <Time>
      <Minutes>15</Minutes>
    </Time>
  </ReplicationTime>
</Destination>
...
```

Weitere Informationen finden Sie unter [Erfüllen der Compliance-Anforderungen durch eine Begrenzung der S3-Replikationszeit (S3 RTC)](replication-time-control.md). API-Beispiele finden Sie unter [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketReplication.html) in der *API-Referenz zu Amazon Simple Storage Service*.

### Replizieren Sie Objekte, die mit serverseitiger Verschlüsselung erstellt wurden, mithilfe von AWS KMS
<a name="sse-kms-configuration"></a>

Ihr Quell-Bucket enthält möglicherweise Objekte, die mit serverseitiger Verschlüsselung mithilfe von () -Schlüsseln AWS Key Management Service (AWS KMS SSE-KMS) erstellt wurden. Standardmäßig repliziert Amazon S3 diese Objekte nicht. Optional können Sie Amazon S3 zum Replizieren dieser Objekte anweisen. Um dies zu tun, entscheiden Sie sich zunächst explizit für diese Funktion, indem Sie das `<SourceSelectionCriteria>`-Element hinzufügen. Geben Sie dann den AWS KMS key (für den Ziel-Bucket) an, AWS-Region der zum Verschlüsseln von Objektreplikaten verwendet werden soll. Das folgende Beispiel zeigt, wie diese Elemente angegeben werden.

```
...
<SourceSelectionCriteria>
  <SseKmsEncryptedObjects>
    <Status>Enabled</Status>
  </SseKmsEncryptedObjects>
</SourceSelectionCriteria>
<Destination>
  <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
  <EncryptionConfiguration>
    <ReplicaKmsKeyID>AWS KMS key ID to use for encrypting object replicas</ReplicaKmsKeyID>
  </EncryptionConfiguration>
</Destination>
...
```

Weitere Informationen finden Sie unter [Replizieren verschlüsselter Objekte (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)](replication-config-for-kms-objects.md).

## Beispiele für Replikations-Konfigurationen
<a name="replication-config-example-configs"></a>

Fügen Sie zunächst die folgenden Beispiel-Replikations-Konfigurationen zu Ihrem Bucket hinzu.

**Wichtig**  
Um eine Replikationskonfiguration zu einem Bucket hinzuzufügen, benötigen Sie die `iam:PassRole`-Berechtigung. Diese Berechtigung erlaubt es Ihnen, die IAM-Rolle weiterzugeben, die Amazon S3 die Replikationsberechtigungen erteilt. Sie legen die IAM-Rolle fest, indem Sie den Amazon-Ressourcennamen (ARN) angeben, der im `<Role>`-Element in der XML-Datei der Replikationskonfiguration verwendet wird. Weitere Informationen finden Sie unter [Erteilen von Berechtigungen, mit denen ein Benutzer eine Rolle an einen AWS-Serviceübergeben kann](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) im *IAM-Benutzerhandbuch*.

**Example 1: Replikations-Konfiguration mit einer Regel**  
Die folgende grundlegende Replikations-Konfiguration legt eine Regel fest. Die Regel legt eine IAM-Rolle, die Amazon S3 annehmen kann, sowie einen einzigen Ziel-Bucket für Objektreplikate fest. Wenn der Wert des `<Status>`-Elements `Enabled` lautet, bedeutet das, dass die Regel aktiviert ist.  

```
<?xml version="1.0" encoding="UTF-8"?>
<ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
  <Role>arn:aws:iam::account-id:role/role-name</Role>
  <Rule>
    <Status>Enabled</Status>

    <Destination>
      <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
    </Destination>
  </Rule>
</ReplicationConfiguration>
```
Um eine Teilmenge von Objekten für die Replikation auszuwählen, können Sie einen Filter hinzufügen. In der folgenden Konfiguration gibt der Filter ein Objektschlüsselpräfix an. Diese Regel gilt für Objekte mit dem Schlüsselnamenpräfix `Tax/`.   

```
<?xml version="1.0" encoding="UTF-8"?>
<ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
  <Role>arn:aws:iam::account-id:role/role-name</Role>
  <Rule>
    <Status>Enabled</Status>
    <Priority>1</Priority>
    <DeleteMarkerReplication>
       <Status>string</Status>
    </DeleteMarkerReplication>

    <Filter>
       <Prefix>Tax/</Prefix>
    </Filter>

    <Destination>
       <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
    </Destination>

  </Rule>
</ReplicationConfiguration>
```
Wenn Sie das `<Filter>`-Element angeben, müssen Sie auch die Elemente `<Priority>` und `<DeleteMarkerReplication>` einschließen. In diesem Beispiel ist der Wert, den Sie für das Element `<Priority>` festlegen, nicht relevant, da nur eine Regel vorhanden ist.  
In der folgenden Konfiguration gibt der Filter ein Präfix und zwei Markierungen an. Die Regel gilt für eine Untermenge der Objekte, die das angegebene Schlüsselpräfix und die angegebenen Markierungen aufweisen. Insbesondere gilt die Regel für Objekte, die das Präfix `Tax/` im Schlüsselnamen und die zwei festgelegten Objekt-Markierungen aufweisen. In diesem Beispiel ist der Wert, den Sie für das Element `<Priority>` festlegen, nicht relevant, da nur eine Regel vorhanden ist.  

```
<?xml version="1.0" encoding="UTF-8"?>
<ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
  <Role>arn:aws:iam::account-id:role/role-name</Role>
  <Rule>
    <Status>Enabled</Status>
    <Priority>1</Priority>
    <DeleteMarkerReplication>
       <Status>string</Status>
    </DeleteMarkerReplication>

    <Filter>
        <And>
          <Prefix>Tax/</Prefix>
          <Tag>
             <Tag>
                <Key>tagA</Key>
                <Value>valueA</Value>
             </Tag>
          </Tag>
          <Tag>
             <Tag>
                <Key>tagB</Key>
                <Value>valueB</Value>
             </Tag>
          </Tag>
       </And>

    </Filter>

    <Destination>
        <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
    </Destination>

  </Rule>
</ReplicationConfiguration>
```
Sie können eine Speicherklasse für die Objektreplikate wie folgt festlegen:  

```
<?xml version="1.0" encoding="UTF-8"?>

<ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
  <Role>arn:aws:iam::account-id:role/role-name</Role>
  <Rule>
    <Status>Enabled</Status>
    <Destination>
       <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
       <StorageClass>storage-class</StorageClass>
    </Destination>
  </Rule>
</ReplicationConfiguration>
```
Sie können jede Speicherklasse festlegen, die Amazon S3 unterstützt.

**Example 2: Replikations-Konfiguration mit zwei Regeln**  

**Example**  
In der folgenden Replikationskonfiguration legen die Regeln Folgendes fest:  
+ Jede Regel filtert nach einem anderen Schlüsselpräfix, sodass jede Regel auf eine bestimmte Teilmenge von Objekten angewendet wird. In diesem Beispiel repliziert Amazon S3 Objekte mit den Schlüsselnamen *`Tax/doc1.pdf`* und *`Project/project1.txt`*, repliziert jedoch keine Objekte mit dem Schlüsselnamen *`PersonalDoc/documentA`*. 
+ Obwohl beide Regeln einen Wert für das Element `<Priority>` festlegen, ist die Regelpriorität nicht relevant, da die Regeln für zwei unterschiedliche Objektgruppen gelten. Das nächste Beispiel zeigt, was geschieht, wenn die Regelpriorität angewendet wird. 
+ Die zweite Regel gibt eine Speicherklasse S3 Standard-IA für Objektreplikate an. Amazon S3 verwendet die angegebene Speicherklasse für diese Objektreplikate.
   

```
<?xml version="1.0" encoding="UTF-8"?>

<ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
  <Role>arn:aws:iam::account-id:role/role-name</Role>
  <Rule>
    <Status>Enabled</Status>
    <Priority>1</Priority>
    <DeleteMarkerReplication>
       <Status>string</Status>
    </DeleteMarkerReplication>
    <Filter>
        <Prefix>Tax</Prefix>
    </Filter>
    <Status>Enabled</Status>
    <Destination>
      <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
    </Destination>
     ...
  </Rule>
 <Rule>
    <Status>Enabled</Status>
    <Priority>2</Priority>
    <DeleteMarkerReplication>
       <Status>string</Status>
    </DeleteMarkerReplication>
    <Filter>
        <Prefix>Project</Prefix>
    </Filter>
    <Status>Enabled</Status>
    <Destination>
      <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
     <StorageClass>STANDARD_IA</StorageClass>
    </Destination>
     ...
  </Rule>


</ReplicationConfiguration>
```

**Example 3: Replikations-Konfiguration mit zwei Regeln mit einander überlappenden Präfixen**  <a name="overlap-rule-example"></a>
In dieser Konfiguration geben die zwei Regeln Filter mit einander überlappenden Schlüsselpräfixen an – *`star`* und *`starship`*. Beide Regeln gelten für Objekte mit dem Schlüsselnamen *`starship-x`*. In diesem Fall nutzt Amazon S3 die Regelpriorität, um zu bestimmen, welche Regel angewendet werden soll. Je höher die Zahl, desto höher die Priorität.  

```
<ReplicationConfiguration>

  <Role>arn:aws:iam::account-id:role/role-name</Role>

  <Rule>
    <Status>Enabled</Status>
    <Priority>1</Priority>
    <DeleteMarkerReplication>
       <Status>string</Status>
    </DeleteMarkerReplication>
    <Filter>
        <Prefix>star</Prefix>
    </Filter>
    <Destination>
      <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
    </Destination>
  </Rule>
  <Rule>
    <Status>Enabled</Status>
    <Priority>2</Priority>
    <DeleteMarkerReplication>
       <Status>string</Status>
    </DeleteMarkerReplication>
    <Filter>
        <Prefix>starship</Prefix>
    </Filter>    
    <Destination>
      <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
    </Destination>
  </Rule>
</ReplicationConfiguration>
```

**Example 4. Beispielhafte Walkthroughs**  
Beispielanleitungen finden Sie unter [Beispiele für die Konfiguration einer Live-Replikation](replication-example-walkthroughs.md).

Weitere Informationen zur XML-Struktur der Replikationskonfiguration finden Sie [PutBucketReplication](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketPUTreplication.html)in der *Amazon Simple Storage Service API-Referenz*. 

## Überlegungen zur Rückwärtskompatibilität
<a name="replication-backward-compat-considerations"></a>

Die aktuelle Formatversion der Replikationskonfigurations-XML ist V2. XML V2-Replikations-Konfigurationen sind solche, die das `<Filter>`-Element für Regeln und Regeln enthalten, die S3-Replikations-Zeitkontrolle (S3 RTC) angeben.

Um die Version Ihrer Replikationskonfiguration anzuzeigen, können Sie den `GetBucketReplication`-API-Vorgang verwenden. Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketReplication.html) in der *API-Referenz zu Amazon Simple Storage Service*. 

Aus Gründen der Abwärtskompatibilität unterstützt Amazon S3 für Replikationskonfigurationen weiterhin das Format XML V1. Wenn Sie für die Replikationskonfiguration das Format XML V1 verwendet haben, berücksichtigen Sie bitte die folgenden Probleme, die die Abwärtskompatibilität beeinträchtigen:
+ Das Format XML V2 für die Replikationskonfiguration enthält das `<Filter>`-Element für Regeln. Mit dem `<Filter>`-Element können Sie Objektfilter basierend auf dem Objektschlüsselpräfix, Tags oder einer Kombination aus beidem angeben, um die Objekte festzulegen, für die die Regel gilt. Das Format XML V1 für die Replikationskonfiguration unterstützt eine Filterung, die ausschließlich auf dem Schlüsselpräfix basiert. In diesem Fall fügen Sie das Element `<Prefix>` wie im folgenden Beispiel direkt als untergeordnetes Element des Elements `<Rule>` hinzu:

  ```
  <?xml version="1.0" encoding="UTF-8"?>
  <ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
    <Role>arn:aws:iam::account-id:role/role-name</Role>
    <Rule>
      <Status>Enabled</Status>
      <Prefix>key-prefix</Prefix>
      <Destination>
         <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
      </Destination>
  
    </Rule>
  </ReplicationConfiguration>
  ```
+ Wenn Sie ein Objekt aus Ihrem Quell-Bucket löschen, ohne eine Objektversions-ID anzugeben, fügt Amazon S3 eine Löschmarkierung hinzu. Wenn Sie für die Replikationskonfiguration das Format XML V1 verwenden, repliziert Amazon S3 nur Löschmarkierungen, die von Benutzeraktionen stammen. Anders ausgedrückt: Amazon S3 repliziert die Löschmarkierung nur, wenn ein Benutzer ein Objekt löscht. Wenn ein abgelaufenes Objekt von Amazon S3 (im Rahmen einer Lebenszyklusaktion) entfernt wird, repliziert Amazon S3 die Löschmarkierung nicht. 

  Im XML V2-Format für die Replikationskonfiguration können Sie die Replikation von Löschmarken für non-tag-based Regeln aktivieren. Weitere Informationen finden Sie unter [Replizieren von Löschmarkierungen auf Buckets](delete-marker-replication.md). 

 

# Einrichten von Berechtigungen für die Live-Replikation
<a name="setting-repl-config-perm-overview"></a>

Wenn Sie eine Live-Replikation in Amazon S3 einrichten, müssen Sie die erforderlichen Berechtigungen wie folgt einholen:
+ Sie müssen dem AWS Identity and Access Management (IAM-) Prinzipal (Benutzer oder Rolle), der die Replikationsregeln erstellt, bestimmte Berechtigungen gewähren.
+ Amazon S3 benötigt Berechtigungen, um Objekte in Ihrem Namen zu replizieren. Sie erteilen diese Berechtigungen, indem Sie eine IAM-Rolle erstellen und die Rolle in der Replikationskonfiguration festlegen.
+ Wenn sich der Quell- und der Ziel-Bucket im Besitz verschiedener Konten befinden, muss der Eigentümer des Ziel-Buckets dem Quell-Bucket-Eigentümer auch die Berechtigungen zum Speichern der Replikate erteilen.

**Anmerkung**  
Wenn Sie S3 Batch Operations verwenden, um Objekte bei Bedarf zu replizieren, anstatt die Live-Replikation einzurichten, sind für die S3-Batch-Replikation eine andere IAM-Rolle und andere Richtlinien erforderlich. Beispiele für eine Batch-Replikations-IAM-Rolle und entsprechende Richtlinien finden Sie unter [Konfigurieren einer IAM-Rolle für die S3-Batch-Replikation](s3-batch-replication-policies.md).

**Topics**
+ [

## Schritt 1: Erteilen von Berechtigungen für den IAM-Prinzipal, der die Replikationsregeln erstellt
](#setting-repl-config-role)
+ [

## Schritt 2: Erstellen einer IAM-Rolle, die Amazon S3 übernehmen soll
](#setting-repl-config-same-acctowner)
+ [

## (Optional) Schritt 3: Erteilen von Berechtigungen, wenn die Quell- und Ziel-Buckets unterschiedlichen Besitzern gehören AWS-Konten
](#setting-repl-config-crossacct)
+ [

## (Optional) Schritt 4: Erteilen der Berechtigungen zum Ändern der Replikateigentümerschaft für
](#change-replica-ownership)

## Schritt 1: Erteilen von Berechtigungen für den IAM-Prinzipal, der die Replikationsregeln erstellt
<a name="setting-repl-config-role"></a>

Der IAM-Benutzer oder die IAM-Rolle, die Sie zum Erstellen von Replikationsregeln verwenden, benötigt Berechtigungen zum Erstellen von Replikationsregeln für unidirektionale oder bidirektionale Replikationen. Wenn der Benutzer oder die Rolle diese Berechtigungen nicht hat, können Sie keine Replikationsregeln erstellen. Weitere Informationen finden Sie unter [IAM-Identitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) im *IAM-Benutzerhandbuch*.

Der Benutzer oder die Rolle benötigt die folgenden Aktionen:
+ `iam:AttachRolePolicy`
+ `iam:CreatePolicy`
+ `iam:CreateServiceLinkedRole`
+ `iam:PassRole`
+ `iam:PutRolePolicy`
+ `s3:GetBucketVersioning`
+ `s3:GetObjectVersionAcl`
+ `s3:GetObjectVersionForReplication`
+ `s3:GetReplicationConfiguration`
+ `s3:PutReplicationConfiguration`

Im Folgenden finden Sie ein Beispiel für eine IAM-Richtlinie, die diese Aktionen umfasst.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetAccessPoint",
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:ListAccessPoints",
                "s3:ListAllMyBuckets",
                "s3:PutReplicationConfiguration",
                "s3:GetReplicationConfiguration",
                "s3:GetBucketVersioning",
                "s3:GetObjectVersionForReplication",
                "s3:GetObjectVersionAcl",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:GetObjectVersion",
                "s3:GetBucketOwnershipControls",
                "s3:PutBucketOwnershipControls",
                "s3:GetObjectLegalHold",
                "s3:GetObjectRetention",
                "s3:GetBucketObjectLockConfiguration"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1-*",
                "arn:aws:s3:::amzn-s3-demo-bucket2-*/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:List*AccessPoint*",
                "s3:GetMultiRegion*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:Get*",
                "iam:CreateServiceLinkedRole",
                "iam:CreateRole",
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/service-role/s3*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:List*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:PutRolePolicy",
                "iam:CreatePolicy"
              ],
            "Resource": [
                "arn:aws:iam::*:policy/service-role/s3*",
                "arn:aws:iam::*:role/service-role/s3*"
            ]
        }
    ]
}
```

------

## Schritt 2: Erstellen einer IAM-Rolle, die Amazon S3 übernehmen soll
<a name="setting-repl-config-same-acctowner"></a>



Standardmäßig sind alle Amazon-S3-Ressourcen – Buckets, Objekte und zugehörige Unterressourcen – privat, sodass nur der Ressourcenbesitzer auf die Ressource zugreifen kann. Amazon S3 benötigt Berechtigungen zum Lesen und Replizieren von Objekten aus dem Quell-Bucket. Sie erteilen diese Berechtigungen, indem Sie eine IAM-Rolle erstellen und die Rolle in Ihrer Replikationskonfiguration festlegen. 

In diesem Abschnitt werden die Vertrauensrichtlinie und die mindestens erforderliche Berechtigungsrichtlinie erläutert, die dieser IAM-Rolle hinzugefügt werden. Die exemplarischen Vorgehensweisen enthalten step-by-step Anweisungen zum Erstellen einer IAM-Rolle. Weitere Informationen finden Sie unter [Beispiele für die Konfiguration einer Live-Replikation](replication-example-walkthroughs.md).

**Anmerkung**  
Wenn Sie die Konsole verwenden, um Ihre Replikationskonfiguration zu erstellen, empfehlen wir Ihnen, diesen Abschnitt zu überspringen und stattdessen die Konsole diese IAM-Rolle und die erforderlichen Vertrauens- und Berechtigungsrichtlinien für Sie erstellen zu lassen.

Die *Vertrauensrichtlinie* legt fest, welche Prinzipalidentitäten die IAM-Rolle übernehmen können. Die *Berechtigungsrichtlinie* legt fest, welche Aktionen die IAM-Rolle für welche Ressourcen und unter welchen Bedingungen ausführen kann. 
+ Das folgende Beispiel zeigt eine *Vertrauensrichtlinie*, bei der Sie Amazon S3 als AWS-Service Principal identifizieren, der die Rolle übernehmen kann:

------
#### [ JSON ]

****  

  ```
  {
     "Version":"2012-10-17",		 	 	 
     "Statement":[
        {
           "Effect":"Allow",
           "Principal":{
              "Service":"s3.amazonaws.com"
           },
           "Action":"sts:AssumeRole"
        }
     ]
  }
  ```

------
+ Das folgende Beispiel zeigt eine *Vertrauensrichtlinie*, bei der Sie Amazon S3 und S3-Batch-Vorgänge als Service-Prinzipale identifizieren, die die Rolle übernehmen können. Wenden Sie diesen Ansatz an, wenn Sie einen Batch-Replikationsauftrag erstellen. Weitere Informationen finden Sie unter [Einen Batch-Replikationsauftrag für neue Replikationsregeln oder Ziele erstellen](s3-batch-replication-new-config.md).

------
#### [ JSON ]

****  

  ```
  {
     "Version":"2012-10-17",		 	 	 
     "Statement":[ 
        {
           "Effect":"Allow",
           "Principal":{
              "Service": [
                "s3.amazonaws.com",
                "batchoperations.s3.amazonaws.com"
             ]
           },
           "Action":"sts:AssumeRole"
        }
     ]
  }
  ```

------

  Weitere Informationen zu IAM-Rollen finden Sie unter [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) im *IAM-Benutzerhandbuch*.
+ Das folgende Beispiel zeigt eine *Zugriffsrichtlinie*, bei der Sie der IAM-Rolle die Berechtigungen erteilen, Replikationsaufgaben in Ihrem Namen durchzuführen. Wenn Amazon S3 die Rolle annimmt, verfügt es über die Berechtigungen, die Sie in dieser Richtlinie angeben. In dieser Richtlinie ist `amzn-s3-demo-source-bucket` der Quell-Bucket und `amzn-s3-demo-destination-bucket` der Ziel-Bucket.

------
#### [ JSON ]

****  

  ```
  {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
        {
           "Effect": "Allow",
           "Action": [
              "s3:GetReplicationConfiguration",
              "s3:ListBucket"
           ],
           "Resource": [
              "arn:aws:s3:::amzn-s3-demo-source-bucket"
           ]
        },
        {
           "Effect": "Allow",
           "Action": [
              "s3:GetObjectVersionForReplication",
              "s3:GetObjectVersionAcl",
              "s3:GetObjectVersionTagging"
           ],
           "Resource": [
              "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
           ]
        },
        {
           "Effect": "Allow",
           "Action": [
              "s3:ReplicateObject",
              "s3:ReplicateDelete",
              "s3:ReplicateTags"
           ],
           "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
        }
     ]
  }
  ```

------

  Die Berechtigungsrichtlinie erteilt Berechtigungen für die folgenden Aktionen:
  +  `s3:GetReplicationConfiguration` und `s3:ListBucket` – Berechtigungen für diese Aktionen im Bucket `amzn-s3-demo-source-bucket` erlauben es Amazon S3, die Replikationskonfiguration abzurufen und den Bucket-Inhalt aufzulisten. (Das aktuelle Berechtigungsmodell erfordert die `s3:ListBucket`-Berechtigung für den Zugriff auf Löschmarkierungen.)
  + `s3:GetObjectVersionForReplication` und `s3:GetObjectVersionAcl` – Berechtigungen für diese Aktionen, die für alle Objekte erteilt wurden, erlauben es Amazon S3, eine bestimmte Objektversion und eine mit Objekten verknüpfte Zugriffssteuerungsliste (ACL) abzurufen. 

    
  + `s3:ReplicateObject` und `s3:ReplicateDelete` – Berechtigungen für diese Aktionen für alle Objekte im `amzn-s3-demo-destination-bucket`-Bucket erlauben es Amazon S3, Objekte oder Löschmarkierungen in den Ziel-Bucket zu replizieren. Informationen zu Löschmarkierungen finden Sie unter [Auswirkungen von Löschvorgängen auf die Replikation](replication-what-is-isnot-replicated.md#replication-delete-op). 
**Anmerkung**  
Die Berechtigungen für die `s3:ReplicateObject` Aktion im `amzn-s3-demo-destination-bucket` Bucket ermöglichen auch die Replikation von Metadaten wie Objekt-Tags und ACLs. Daher müssen Sie für die `s3:ReplicateTags`-Aktion keine explizite Berechtigung erteilen.
  + `s3:GetObjectVersionTagging` – Berechtigungen für diese Aktion für Objekte im Bucket `amzn-s3-demo-source-bucket` erlauben es Amazon S3, Objektmarkierungen für die Replikation zu lesen. Weitere Informationen über Objekt-Markierungen finden Sie unter [Kategorisierung Ihrer Objekte mit Hilfe von Tags](object-tagging.md). Wenn Amazon S3 nicht über die Berechtigung `s3:GetObjectVersionTagging` verfügt, repliziert es die Objekte, aber nicht die Objektmarkierungen.

  Eine Liste von Amazon-S3-Aktionen finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#list_amazons3-actions-as-permissions) in der *Service-Autorisierungs-Referenz*.

  Weitere Informationen zu den Berechtigungen für S3-API-Operationen nach S3-Ressourcentypen finden Sie unter [Erforderliche Berechtigungen für Amazon-S3-API-Operationen](using-with-s3-policy-actions.md).
**Wichtig**  
 AWS-Konto Derjenige, der die IAM-Rolle besitzt, muss über Berechtigungen für die Aktionen verfügen, die er der IAM-Rolle gewährt.   
Angenommen, der Quell-Bucket enthält beispielsweise Objekte, die im Besitz eines anderen AWS-Konto sind. Der Besitzer der Objekte muss demjenigen AWS-Konto , dem die IAM-Rolle gehört, die erforderlichen Berechtigungen über die Zugriffskontrolllisten der Objekte () ausdrücklich gewähren. ACLs Andernfalls kann Amazon S3 nicht auf die Objekte zugreifen, und die Replikation dieser Objekte schlägt fehl. Weitere Informationen zu ACL-Berechtigungen finden Sie unter [Zugriffskontrolllisten (ACL) – Übersicht](acl-overview.md).  
  
Die hier beschriebenen Berechtigungen gehören zur Mindest-Replikationskonfiguration. Wenn Sie optionale Replikations-Konfigurationen hinzufügen möchten, müssen Sie Amazon S3 zusätzliche Berechtigungen erteilen:   
Um verschlüsselte Objekte zu replizieren, müssen Sie auch die erforderlichen Berechtigungen für den AWS KMS-Schlüssel ( AWS Key Management Service ) erteilen. Weitere Informationen finden Sie unter [Replizieren verschlüsselter Objekte (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)](replication-config-for-kms-objects.md).
Um Object Lock mit der Replikation zu verwenden, müssen Sie zwei zusätzliche Berechtigungen für den Quell-S3-Bucket in der AWS Identity and Access Management (IAM) -Rolle gewähren, mit der Sie die Replikation einrichten. Die zwei neuen Berechtigungen sind `s3:GetObjectRetention` und `s3:GetObjectLegalHold`. Wenn die Rolle über eine `s3:Get*`-Berechtigungsanweisung verfügt, ist die Anforderung dadurch erfüllt. Weitere Informationen finden Sie unter [Verwenden von Object Lock mit der S3-Replikation](object-lock-managing.md#object-lock-managing-replication).

## (Optional) Schritt 3: Erteilen von Berechtigungen, wenn die Quell- und Ziel-Buckets unterschiedlichen Besitzern gehören AWS-Konten
<a name="setting-repl-config-crossacct"></a>

Wenn sich der Quell- und der Ziel-Bucket im Besitz von unterschiedlichen Konten befinden, muss der Eigentümer des Ziel-Buckets auch eine Bucket-Richtlinie hinzufügen, um dem Eigentümer des Quell-Buckets die Berechtigung zum Ausführen von Replikationsaktionen zu erteilen, wie im folgenden Beispiel gezeigt. In dieser Beispielrichtlinie ist `amzn-s3-demo-destination-bucket` der Ziel-Bucket.

Sie können diese Bucket-Richtlinie auch automatisch über die Amazon-S3-Konsole für Sie generieren lassen. Weitere Informationen finden Sie unter [Den Empfang replizierter Objekte aus einem Quell-Bucket aktivieren](#receiving-replicated-objects).

**Anmerkung**  
Das ARN-Format der Rolle könnte anders aussehen. Wenn die Rolle mit der Konsole erstellt wurde, lautet das ARN-Format `arn:aws:iam::account-ID:role/service-role/role-name`. Wenn die Rolle mit dem erstellt wurde AWS CLI, lautet das ARN-Format`arn:aws:iam::account-ID:role/role-name`. Weitere Informationen finden Sie unter [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html) im *IAM-Benutzerhandbuch*. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "PolicyForDestinationBucket",
    "Statement": [
        {
            "Sid": "Permissions on objects",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/service-role/source-account-IAM-role"
            },
            "Action": [
                "s3:ReplicateDelete",
                "s3:ReplicateObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
        },
        {
            "Sid": "Permissions on bucket",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/service-role/source-account-IAM-role"
            },
            "Action": [
                "s3:List*",
                "s3:GetBucketVersioning",
                "s3:PutBucketVersioning"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket"
        }
    ]
}
```

------

Ein Beispiel finden Sie unter [Konfigurieren einer Replikation bei Buckets in verschiedenen Konten](replication-walkthrough-2.md).

Wenn Objekte im Quell-Bucket mit einem Tag versehen sind, beachten Sie Folgendes:
+ Wenn der Eigentümer des Quell-Buckets Amazon S3 die Berechtigung für die Aktionen `s3:GetObjectVersionTagging` und `s3:ReplicateTags` zum Replizieren von Objekt-Tags (über die IAM-Rolle) erteilt, repliziert Amazon S3 die Tags zusammen mit den Objekten. Weitere Information zur IAM-Rolle finden Sie unter [Schritt 2: Erstellen einer IAM-Rolle, die Amazon S3 übernehmen soll](#setting-repl-config-same-acctowner).
+ Wenn der Eigentümer des Ziel-Buckets die Tags nicht replizieren will, kann er die folgende Anweisung zur Richtlinie für den Ziel-Bucket hinzufügen, um die Berechtigung für die Aktion `s3:ReplicateTags` explizit zu verweigern. In dieser Richtlinie ist `amzn-s3-demo-destination-bucket` der Ziel-Bucket.

  ```
  ...
     "Statement":[
        {
           "Effect":"Deny",
           "Principal":{
              "AWS":"arn:aws:iam::source-bucket-account-id:role/service-role/source-account-IAM-role"
           },
           "Action":"s3:ReplicateTags",
           "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
        }
     ]
  ...
  ```

**Anmerkung**  
Wenn Sie verschlüsselte Objekte replizieren möchten, müssen Sie auch die erforderlichen Berechtigungen für den AWS KMS-Schlüssel ( AWS Key Management Service ) erteilen. Weitere Informationen finden Sie unter [Replizieren verschlüsselter Objekte (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)](replication-config-for-kms-objects.md).
Um Object Lock mit der Replikation zu verwenden, müssen Sie zwei zusätzliche Berechtigungen für den S3-Quell-Bucket in der AWS Identity and Access Management (IAM) -Rolle gewähren, mit der Sie die Replikation einrichten. Die zwei neuen Berechtigungen sind `s3:GetObjectRetention` und `s3:GetObjectLegalHold`. Wenn die Rolle über eine `s3:Get*`-Berechtigungsanweisung verfügt, ist die Anforderung dadurch erfüllt. Weitere Informationen finden Sie unter [Verwenden von Object Lock mit der S3-Replikation](object-lock-managing.md#object-lock-managing-replication). 

**Den Empfang replizierter Objekte aus einem Quell-Bucket aktivieren**  
Anstatt die vorherige Richtlinie manuell zu Ihrem Ziel-Bucket hinzuzufügen, können Sie schnell die Richtlinien generieren, die erforderlich sind, um den Empfang replizierter Objekte aus einem Quell-Bucket über die Amazon-S3-Konsole zu aktivieren. 

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. Wählen Sie im linken Navigationsbereich **Buckets** aus.

1. Wählen Sie in der Liste **Buckets** den Bucket aus, den Sie als Ziel-Bucket verwenden möchten.

1. Wählen Sie die Registerkarte **Management** (Verwaltung) aus und scrollen Sie nach unten zu **Replication rules** (Replikationsregeln).

1. Wählen Sie für **Actions** (Aktionen) die Option **Receive replicated objects** (Replizierte Objekte empfangen) aus. 

   Folgen Sie den Anweisungen, geben Sie die AWS-Konto ID des Quell-Bucket-Kontos ein und wählen Sie dann **Richtlinien generieren** aus. Die Konsole generiert daraufhin eine Amazon-S3-Bucket-Richtlinie und eine KMS-Schlüsselrichtlinie.

1. Wenn Sie diese Richtlinie Ihrer bestehenden Bucket-Richtlinie hinzufügen möchten, wählen Sie entweder **Apply settings** (Einstellungen anwenden) oder **Copy** (Kopieren) aus, um die Änderungen manuell zu kopieren. 

1. (Optional) Kopieren Sie die AWS KMS Richtlinie in die gewünschte KMS-Schlüsselrichtlinie in der AWS Key Management Service Konsole. 

## (Optional) Schritt 4: Erteilen der Berechtigungen zum Ändern der Replikateigentümerschaft für
<a name="change-replica-ownership"></a>

Wenn unterschiedliche AWS-Konten Eigentümer des Quell- und des Ziel-Buckets sind, können Sie Amazon S3 anweisen, den Eigentümer des Replikats auf den Eigentümer des Ziel-Buckets zu ändern. AWS-Konto Um den Besitz von Replikaten außer Kraft zu setzen, müssen Sie entweder zusätzliche Berechtigungen gewähren oder die Einstellungen für den Besitz von Objekten in S3 für den Ziel-Bucket anpassen. Weitere Informationen zum Außerkraftsetzen des Besitzers finden Sie unter [Ändern des Replikat-Eigentümers](replication-change-owner.md).

# Beispiele für die Konfiguration einer Live-Replikation
<a name="replication-example-walkthroughs"></a>

Die folgenden Beispiele bieten step-by-step exemplarische Vorgehensweisen, die zeigen, wie die Live-Replikation für allgemeine Anwendungsfälle konfiguriert wird. 

**Anmerkung**  
Die Live-Replikation bezieht sich auf Replikation innerhalb derselben Region (SRR) und die Replikation in mehreren Regionen (CRR). Die Live-Replikation repliziert keine Objekte, die bereits vor dem Einrichten der Replikation in dem Bucket vorhanden waren. Verwenden Sie die On-Demand-Replikation, um Objekte zu replizieren, die bereits vor dem Einrichten der Replikation vorhanden waren. Informationen zum Synchronisieren von Buckets und zum bedarfsbasierten Replizieren vorhandener Objekte finden Sie unter [Replizieren vorhandener Objekte](s3-batch-replication-batch.md).

Diese Beispiele zeigen, wie eine Replikationskonfiguration mithilfe der Amazon S3 S3-Konsole, AWS Command Line Interface (AWS CLI) und AWS SDKs (AWS SDK für Java und es werden AWS SDK für .NET Beispiele gezeigt) erstellt. 

Informationen zur Installation und Konfiguration von finden Sie in den folgenden Themen im *AWS Command Line Interface Benutzerhandbuch*: AWS CLI
+  [Beginnen Sie mit dem AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) 
+  [Konfigurieren Sie das AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html) — Sie müssen mindestens ein Profil einrichten. Richten Sie bei kontoübergreifenden Szenarien zwei Profile ein.

Informationen über das AWS SDKs finden Sie unter [AWS SDK für Java](https://aws.amazon.com/sdk-for-java/)und [AWS SDK für .NET](https://aws.amazon.com/sdk-for-net/).

**Tipp**  
Ein step-by-step Tutorial, das zeigt, wie Sie Daten mithilfe der Live-Replikation replizieren können, finden Sie unter Praktische [Einführung: Replizieren von Daten innerhalb und zwischen Daten AWS-Regionen mithilfe der S3-Replikation](https://aws.amazon.com/getting-started/hands-on/replicate-data-using-amazon-s3-replication/?ref=docs_gateway/amazons3/replication-example-walkthroughs.html).

**Topics**
+ [Konfigurieren für Buckets im selben Konto](replication-walkthrough1.md)
+ [Konfigurieren bei Buckets in verschiedenen Konten](replication-walkthrough-2.md)
+ [Begrenzung der S3-Replikationszeit (S3 RTC)](replication-time-control.md)
+ [Replizieren verschlüsselter Objekte](replication-config-for-kms-objects.md)
+ [Replizieren von Metadatenänderungen](replication-for-metadata-changes.md)
+ [Replizieren von Löschmarkierungen](delete-marker-replication.md)

# Konfigurieren einer Replikation für Buckets im selben Konto
<a name="replication-walkthrough1"></a>

Bei der Live-Replikation handelt es sich um das automatische, asynchrone Kopieren von Objekten zwischen Allzweck-Buckets in denselben oder unterschiedlichen Buckets. AWS-Regionen Eine Live-Replikation kopiert neu erstellte Objekte und Objektaktualisierungen aus einem Quell-Bucket in einen Ziel-Bucket oder mehrere Buckets. Weitere Informationen finden Sie unter [Replizieren von Objekten innerhalb und zwischen Regionen](replication.md).

Wenn Sie die Replikation konfigurieren, fügen Sie dem Quell-Bucket Replikationsregeln hinzu. Replikationsregeln definieren, welche Quell-Bucket-Objekte repliziert werden sollen, und den Ziel-Bucket/die Ziel-Buckets, in dem/denen die replizierten Objekte gespeichert werden sollen. Sie können eine Regel erstellen, um alle Objekte in einem Bucket oder eine Untermenge von Objekten mit einem spezifischen Schlüsselnamenpräfixen, einem oder mehreren Objekt-Markierungen oder beidem zu replizieren. Ein Ziel-Bucket kann sich im selben AWS-Konto wie der Quell-Bucket oder in einem anderen Konto befinden.

Wenn Sie angeben, dass eine Objektversions-ID gelöscht werden soll, löscht Amazon S3 diese Objektversion im Quell-Bucket. Es repliziert die Löschung aber nicht im Ziel-Bucket. Anders ausgedrückt: Dieselbe Objektversion wird im Ziel-Bucket nicht gelöscht. Dies schützt Daten vor missbräuchlichen Löschungen.

Wenn Sie einem Bucket eine Replikationsregel hinzufügen, ist diese standardmäßig aktiviert, sodass sie ausgeführt wird, sobald Sie sie speichern. 

In diesem Beispiel richten Sie eine Live-Replikation für Quell- und Ziel-Buckets ein, die demselben AWS-Konto gehören. Es werden Beispiele für die Verwendung der Amazon S3 S3-Konsole, der AWS Command Line Interface (AWS CLI) und der AWS SDK für Java und bereitgestellt AWS SDK für .NET.

## Voraussetzungen
<a name="replication-prerequisites"></a>

Bevor Sie die folgenden Verfahren verwenden, stellen Sie sicher, dass Sie die erforderlichen Berechtigungen für die Replikation eingerichtet haben, je nachdem, ob sich Quell- und Ziel-Buckets im Eigentum desselben oder unterschiedlicher befinden. Weitere Informationen finden Sie unter [Einrichten von Berechtigungen für die Live-Replikation](setting-repl-config-perm-overview.md).

**Anmerkung**  
Wenn Sie verschlüsselte Objekte replizieren möchten, müssen Sie auch die erforderlichen Berechtigungen für den AWS KMS-Schlüssel ( AWS Key Management Service ) erteilen. Weitere Informationen finden Sie unter [Replizieren verschlüsselter Objekte (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)](replication-config-for-kms-objects.md).
Um Object Lock mit der Replikation zu verwenden, müssen Sie zwei zusätzliche Berechtigungen für den Quell-S3-Bucket in der AWS Identity and Access Management (IAM) -Rolle gewähren, mit der Sie die Replikation einrichten. Die zwei neuen Berechtigungen sind `s3:GetObjectRetention` und `s3:GetObjectLegalHold`. Wenn die Rolle über eine `s3:Get*`-Berechtigungsanweisung verfügt, ist die Anforderung dadurch erfüllt. Weitere Informationen finden Sie unter [Verwenden von Object Lock mit der S3-Replikation](object-lock-managing.md#object-lock-managing-replication). 

## Verwenden der S3-Konsole
<a name="enable-replication"></a>

Gehen Sie wie folgt vor, um eine Replikationsregel zu konfigurieren, wenn sich der Ziel-Bucket im selben AWS-Konto wie der Quell-Bucket befindet.

Wenn sich der Ziel-Bucket in einem anderen Konto als der Quell-Bucket befindet, müssen Sie eine Bucket-Richtlinie für den Ziel-Bucket hinzufügen, um dem Eigentümer des Quell-Bucket-Kontos die Berechtigung zum Replizieren von Objekten in der Ziel-Bucket zu erteilen. Weitere Informationen finden Sie unter [(Optional) Schritt 3: Erteilen von Berechtigungen, wenn die Quell- und Ziel-Buckets unterschiedlichen Besitzern gehören AWS-Konten](setting-repl-config-perm-overview.md#setting-repl-config-crossacct).

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. Wählen Sie im linken Navigationsbereich **Allzweck-Buckets** aus.

1. Wählen Sie in der Liste Buckets den Namen des von Ihnen erstellten Buckets aus.

1. Wählen Sie die Registerkarte **Verwaltung** aus, scrollen Sie nach unten zu **Replikationsregeln** und wählen Sie dann **Replikationsregel erstellen** aus.

    

1. Geben Sie im Abschnitt **Replikationsregelkonfiguration** unter **Name der Replikationsregel** einen Namen für Ihre Regel ein, um die Regel später leichter identifizieren zu können. Der Name ist erforderlich und muss innerhalb des Buckets eindeutig sein.

1. In **Status (Status)**ist **Enabled (Aktiviert)** standardmäßig ausgewählt. Eine aktivierte Regel wird ausgeführt, sobald Sie speichern. Wenn Sie die Regel später aktivieren möchten, wählen Sie **Deaktiviert** aus.

1. Wenn es bereits Replikationsregeln für den Bucket gibt, werden Sie angewiesen, eine Priorität für die Regel festzulegen. Sie müssen eine Priorität für die Regel festlegen, um Konflikte zu vermeiden, die durch Objekte verursacht werden, die mehreren Regeln unterliegen. Wenn sich Regeln überschneiden, verwendet Amazon S3 die Regelpriorität, um die Regel zu ermitteln, die angewendet werden muss. Je höher die Zahl, desto höher die Priorität. Weitere Informationen zur Priorität von Regeln finden Sie unter [Elemente der Replikationskonfigurationsdatei](replication-add-config.md).

1. Unter **Quell-Bucket** stehen Ihnen folgende Optionen zum Festlegen der Replikationsquelle zur Verfügung:
   + Um den gesamten Bucket zu replizieren, wählen Sie **Apply to all objects in the bucket** (Auf alle Objekte im Bucket anwenden). 
   + Um alle Objekte zu replizieren, die dasselbe Präfix haben, wählen Sie **Limit the scope of this rule using one or more filters (Geltungsbereich dieser Regel mit einem oder mehreren Filtern einschränken)**. Dies beschränkt die Replikation auf alle Objekte, deren Namen mit dem von Ihnen angegebenen Präfix beginnen (z. B. `pictures`). Geben Sie ein Präfix in das Feld **Präfix** ein. 
**Anmerkung**  
Wenn Sie ein Präfix eingeben, das den Namen eines Ordners darstellt, müssen Sie **/** (Schrägstrich) als letztes Zeichen eingeben (z. B. `pictures/`).
   + Um alle Objekte mit einem oder mehreren Objekt-Tags zu replizieren, wählen Sie **Tag hinzufügen** aus und geben Sie das Schlüssel-Wert-Paar in die Felder ein. Wiederholen Sie den Vorgang, um ein weiteres Tag hinzuzufügen. Sie können ein Präfix und Markierungen kombinieren. Weitere Informationen über Objekt-Markierungen finden Sie unter [Kategorisierung Ihrer Objekte mit Hilfe von Tags](object-tagging.md).

   Das neue XML-Schema für die Replikationskonfiguration unterstützt das Filtern nach Präfix und Tag und die Priorisierung von Regeln. Weitere Informationen über das neue Schema finden Sie unter [Überlegungen zur Rückwärtskompatibilität](replication-add-config.md#replication-backward-compat-considerations). Weitere Informationen über das mit der Amazon-S3-API verwendete XML, das hinter der Benutzeroberfläche funktioniert, finden Sie unter [Elemente der Replikationskonfigurationsdatei](replication-add-config.md). Das neue Schema wird als *XML V2 für die Replikationskonfiguration* beschrieben.

1. Wählen Sie unter **Ziel** den Bucket aus, in den Amazon S3 Objekte replizieren soll.
**Anmerkung**  
Die Anzahl der Ziel-Buckets ist auf die Anzahl der AWS-Regionen in einer bestimmten Partition beschränkt. Eine Partition ist eine Gruppierung von Regionen. AWS hat derzeit drei Partitionen: `aws` (Standardregionen), `aws-cn` (China-Regionen) und `aws-us-gov` (AWS GovCloud (US) Regionen). Sie können [Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) verwenden, um eine Erhöhung Ihres Ziel-Bucket-Kontingents anzufordern.
   + Um in einen Bucket oder mehrere Buckets in Ihrem Konto zu replizieren, wählen Sie **Bucket in diesem Konto wählen** aus und geben Sie die Ziel-Bucket-Namen ein oder suchen Sie danach. 
   + Um in einen oder mehrere Buckets in einem anderen Bucket zu replizieren AWS-Konto, wählen Sie **Spezify a bucket in another account** aus und geben Sie die Konto-ID und den Bucket-Namen des Ziel-Buckets ein. 

     Wenn sich das Ziel in einem anderen Konto als der Quell-Bucket befindet, müssen Sie eine Bucket-Richtlinie für die Ziel-Buckets hinzufügen, um dem Eigentümer des Quell-Bucket-Kontos die Berechtigung zum Replizieren von Objekten zu erteilen. Weitere Informationen finden Sie unter [(Optional) Schritt 3: Erteilen von Berechtigungen, wenn die Quell- und Ziel-Buckets unterschiedlichen Besitzern gehören AWS-Konten](setting-repl-config-perm-overview.md#setting-repl-config-crossacct).

     Wenn Sie eine leichtere Standardisierung der Eigentümerschaft für neue Objekte im Ziel-Bucket ermöglichen möchten, wählen Sie **Objekteigentümerschaft in Eigentümer des Ziel-Buckets ändern** aus. Weitere Informationen zu dieser Option finden Sie unter [Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket](about-object-ownership.md).
**Anmerkung**  
Wenn die Versionssteuerung für den Ziel-Bucket nicht aktiviert ist, erhalten Sie eine Warnmeldung, die die Schaltfläche **Versionierung aktivieren** enthält. Wählen Sie diese Schaltfläche, um das Versioning für den Bucket zu aktivieren.

1. Richten Sie eine AWS Identity and Access Management (IAM-) Rolle ein, die Amazon S3 übernehmen kann, um Objekte in Ihrem Namen zu replizieren.

   Um eine IAM-Rolle einzurichten, wählen Sie im Abschnitt **IAM-Rolle** eine der folgenden Optionen aus der Dropdown-Liste **IAM-Rolle** aus:
   + Wir empfehlen Ihnen, **Create new role (Neue Rolle erstellen)** auszuwählen, um Amazon S3 anzuweisen, eine neue IAM-Rolle für Sie zu erstellen. Wenn Sie die Regel speichern, wird eine neue Richtlinie für die IAM-Rolle erstellt, die mit den von Ihnen ausgewählten Quell- und Ziel-Buckets übereinstimmt.
   + Sie haben auch die Möglichkeit eine vorhandene IAM-Rolle zu verwenden. In diesem Fall müssen Sie eine Rolle auswählen, die Amazon S3 die erforderlichen Berechtigungen für die Replikation gewährt. Die Replikation schlägt fehl, wenn diese Rolle Amazon S3 keine ausreichenden Berechtigungen gewährt, um Ihre Replikationsregel zu befolgen.
**Wichtig**  
Wenn Sie eine Replikationsregel zu einem Bucket hinzufügen, benötigen Sie die Berechtigung `iam:PassRole` zum Übergeben der IAM-Rolle, die Amazon S3 Replikationsberechtigungen erteilt. Weitere Informationen finden Sie unter [Erteilen von Berechtigungen, mit denen ein Benutzer eine Rolle an einen AWS-Serviceübergeben kann](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) im *IAM-Benutzerhandbuch*.

1. **Um Objekte im Quell-Bucket zu replizieren, die mit serverseitiger Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (SSE-KMS) verschlüsselt sind, wählen Sie unter **Verschlüsselung** die Option Objekte replizieren mit. AWS KMS** Unter **AWS KMS -Schlüssel für die Verschlüsselung von Zielobjekten** befinden sich die Quellschlüssel, deren Verwendung Sie der Replikation erlauben. Alle Quell-KMS-Schlüssel sind standardmäßig enthalten. Um die KMS-Schlüsselauswahl einzuschränken, können Sie einen Alias oder eine Schlüssel-ID auswählen. 

   Objekte, die nicht von Ihnen ausgewählt wurden AWS KMS keys , verschlüsselt wurden, werden nicht repliziert. Ein KMS-Schlüssel oder eine Gruppe von KMS-Schlüsseln wird für Sie ausgewählt, aber Sie können die KMS-Schlüssel auch selbst auswählen. Hinweise zur Verwendung AWS KMS mit Replikation finden Sie unter[Replizieren verschlüsselter Objekte (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)](replication-config-for-kms-objects.md).
**Wichtig**  
Wenn Sie Objekte replizieren, die mit verschlüsselt sind AWS KMS, verdoppelt sich die AWS KMS Anforderungsrate in der Quellregion und steigt in der Zielregion um den gleichen Betrag. Diese erhöhten Anrufraten AWS KMS sind auf die Art und Weise zurückzuführen, wie Daten mithilfe des KMS-Schlüssels, den Sie für die Zielregion der Replikation definieren, erneut verschlüsselt werden. AWS KMS hat ein Kontingent für die Anforderungsrate, das pro Anrufkonto und Region gilt. Informationen zu den standardmäßigen Kontingenten finden Sie unter [AWS KMS -Kontingente – Anforderungen pro Sekunde: variabel](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html#requests-per-second) im *AWS Key Management Service Entwicklerhandbuch*.   
Wenn Ihre aktuelle Amazon S3 `PUT` S3-Objektanforderungsrate während der Replikation mehr als die Hälfte der AWS KMS Standardratenbegrenzung für Ihr Konto beträgt, empfehlen wir Ihnen, eine Erhöhung Ihres Anforderungsratenkontingents zu AWS KMS beantragen. Wenn Sie eine Erhöhung anfordern möchten, erstellen Sie einen Fall im Support -Center unter [Contact Us](https://aws.amazon.com/contact-us/) (Kontakt). Nehmen wir zum Beispiel an, dass Ihre aktuelle `PUT` Objektanforderungsrate 1.000 Anfragen pro Sekunde beträgt und AWS KMS Sie Ihre Objekte verschlüsseln. In diesem Fall empfehlen wir Ihnen, eine Erhöhung Ihres AWS KMS Ratenlimits auf 2.500 Anfragen pro Sekunde Support zu beantragen, und zwar sowohl in Ihrer Quell- als auch in Ihrer Zielregion (falls unterschiedlich), um sicherzustellen, dass es nicht zu einer Drosselung durch kommt. AWS KMS  
Ihre `PUT` Objektanforderungsrate im Quell-Bucket finden Sie `PutRequests` in den CloudWatch Amazon-Anforderungsmetriken für Amazon S3. Informationen zum Anzeigen von CloudWatch Metriken finden Sie unter[Verwenden der S3-Konsole](configure-request-metrics-bucket.md#configure-metrics).

   Wenn Sie Objekte replizieren möchten, die mit verschlüsselt sind AWS KMS, gehen Sie wie folgt vor: 

   1. Geben Sie unter **AWS KMS key für die Verschlüsselung von Zielobjekten** Ihren KMS-Schlüssel auf eine der folgenden Arten an:
     + Wenn Sie aus einer Liste verfügbarer KMS-Schlüssel auswählen möchten, wählen Sie **Aus Ihren AWS KMS keys wählen** und anschließend den **KMS-Schlüssel** in der Liste der verfügbaren Schlüssel aus.

       Sowohl der Von AWS verwalteter Schlüssel (`aws/s3`) als auch Ihr vom Kunden verwalteter Schlüssel werden in dieser Liste angezeigt. Weitere Informationen über vom Kunden verwaltete Schlüssel finden Sie unter [Kundenschlüssel und AWS -Schlüssel](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt) im *Entwicklerhandbuch zu AWS Key Management Service *.
     + Wählen Sie zum Eingeben des Amazon-Ressourcennamens (ARN) des KMS-Schlüssels ** AWS KMS key -ARN eingeben** aus und geben Sie Ihren KMS-Schlüssel-ARN in das angezeigte Feld ein. Dadurch werden die Replikate im Ziel-Bucket verschlüsselt. Sie finden den ARN für Ihren KMS-Schlüssel in der [IAM-Konsole](https://console.aws.amazon.com/iam/) unter **Verschlüsselungsschlüssel**. 
     + Um einen neuen vom Kunden verwalteten Schlüssel in der AWS KMS Konsole zu **erstellen, wählen Sie Create a KMS Key** aus.

       Weitere Informationen zum Erstellen eines finden Sie AWS KMS key unter [Creating Keys](https://docs.aws.amazon.com//kms/latest/developerguide/create-keys.html) im *AWS Key Management Service Developer Guide*.
**Wichtig**  
Sie können nur KMS-Schlüssel verwenden, die im selben AWS-Region Bucket aktiviert sind. Wenn Sie **Aus Ihren KMS-Schlüsseln wählen** auswählen, werden in der S3-Konsole nur 100 KMS-Schlüssel pro Region aufgeführt. Wenn Sie über mehr als 100 KMS-Schlüssel in derselben Region verfügen, können Sie nur die ersten 100 KMS-Schlüssel in der S3-Konsole sehen. Um einen nicht in der Konsole aufgeführten KMS-Schlüssel zu verwenden, wählen Sie ** AWS KMS key -ARN eingeben** aus und geben Sie Ihren KMS-Schlüssel-ARN ein.  
Wenn Sie einen AWS KMS key für die serverseitige Verschlüsselung in Amazon S3 verwenden, müssen Sie einen KMS-Schlüssel für die symmetrische Verschlüsselung wählen. Amazon S3 unterstützt nur KMS-Schlüssel mit symmetrischer Verschlüsselung und keine asymmetrischen KMS-Schlüssel. Weitere Informationen finden Sie unter [Erkennen von symmetrischen und asymmetrischen KMS-Schlüsseln](https://docs.aws.amazon.com//kms/latest/developerguide/find-symm-asymm.html) im *Entwicklerhandbuch zu AWS Key Management Service *.

     Weitere Informationen zum Erstellen eines AWS KMS key finden Sie unter [Creating Keys](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) im *AWS Key Management Service Developer* Guide. Weitere Informationen zur Verwendung AWS KMS mit Amazon S3 finden Sie unter[Verwenden der serverseitigen Verschlüsselung mit AWS KMS Schlüsseln (SSE-KMS)](UsingKMSEncryption.md).

1. Wenn Sie Ihre Daten in eine bestimmte Speicherklasse im Ziel replizieren wollen, wählen Sie unter **Zielspeicherklasse** die Option **Speicherklasse für die replizierten Objekte ändern** aus. Anschließend wählen Sie die Speicherklasse, die Sie für die replizierten Objekte im Ziel verwenden wollen. Wenn Sie diese Option nicht auswählen, ist die Speicherklasse für replizierte Objekte dieselbe Klasse wie für die ursprünglichen Objekte.

1. Beim Festlegen der **zusätzlichen Replikationsoptionen** haben Sie folgende zusätzliche Optionen:
   + Wenn Sie die Begrenzung der S3-Replikationszeit (S3 RTC) in Ihrer Replikationskonfiguration aktivieren möchten, wählen Sie **Replikationszeitkontrolle (Replication Time Control, RTC)** aus. Weitere Informationen zu dieser Option finden Sie unter [Erfüllen der Compliance-Anforderungen durch eine Begrenzung der S3-Replikationszeit (S3 RTC)](replication-time-control.md).
   + Wenn Sie S3-Replikationsmetriken in Ihrer Replikationskonfiguration aktivieren möchten, wählen Sie **Replication metrics and events** (Replikationsmetriken und -ereignisse) aus. Weitere Informationen finden Sie unter [Überwachen der Replikation mit Metriken, Ereignisbenachrichtigungen und Status](replication-metrics.md).
   + Wenn Sie die Replikation von Löschmarkierungen in Ihrer Replikations-Konfiguration aktivieren möchten, wählen Sie **Markierungsreplikation löschen** aus. Weitere Informationen finden Sie unter [Replizieren von Löschmarkierungen auf Buckets](delete-marker-replication.md).
   + Wenn Sie die Synchronisierung der Amazon-S3-Replikatänderung in Ihrer Replikations-Konfiguration aktivieren möchten, wählen Sie **Synchronisierung der Replikatänderung** aus. Weitere Informationen finden Sie unter [Replizieren von Metadatenänderungen mit der Synchronisierung von Replikatänderungen](replication-for-metadata-changes.md).
**Anmerkung**  
Wenn Sie S3-RTC- oder S3-Replikationsmetriken verwenden, fallen zusätzliche Gebühren an.

1. Zum Abschluss wählen Sie **Save (Speichern)**.

1. Nachdem Sie Ihre Regel gespeichert haben, können Sie Ihre Regel bearbeiten, aktivieren, deaktivieren oder löschen, indem Sie Ihre Regel auswählen und **Edit rule (Regel bearbeiten)** wählen. 

## Verwenden des AWS CLI
<a name="replication-ex1-cli"></a>

Gehen Sie wie folgt vor AWS CLI , um die Replikation einzurichten, wenn Quell- und Ziel-Buckets demselben AWS-Konto gehören:
+ Erstellen Sie Quell- und Ziel-Buckets.
+ Aktivieren Sie die Versionsverwaltung für die Buckets.
+ Erstellen Sie eine AWS Identity and Access Management (IAM-) Rolle, die Amazon S3 die Berechtigung erteilt, Objekte zu replizieren.
+ Fügen Sie die Replikationskonfiguration zum Quell-Bucket hinzu.

Um die Einrichtung zu prüfen, testen Sie sie.

**Um die Replikation einzurichten, wenn die Quell- und Ziel-Buckets demselben gehören AWS-Konto**

1. Richten Sie das Anmeldeinformationsprofil für die AWS CLI ein. Dieses Beispiel verwendet den Profilnamen `acctA`. Informationen zum Einrichten der Anmeldeinformations-Profile und der Verwendung benannter Profile finden Sie unter [Einstellungen der Konfigurations- und Anmeldeinformationsdatei](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) im *Benutzerhandbuch zur AWS Command Line Interface *. 
**Wichtig**  
Das Profil, das Sie für dieses Beispiel verwenden, muss über die nötigen Berechtigungen verfügen. Beispielsweise legen Sie in der Replikations-Konfiguration die IAM-Rolle fest, die Amazon S3 annehmen kann. Dies gelingt Ihnen nur, wenn das verwendete Profil über die `iam:PassRole`-Berechtigung verfügt. Weitere Informationen finden Sie unter [Einem Benutzer Berechtigungen zum Übergeben einer Rolle an einen AWS-Service erteilen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) im *Benutzerhandbuch zu IAM*. Wenn Sie zur Erstellung eines benannten Profils die Anmeldeinformationen eines Administrators verwenden, können Sie alle Aufgaben durchführen. 

1. Verwenden Sie die folgenden AWS CLI -Befehle, um einen Quell-Bucket zu erstellen und die Versionsverwaltung für ihn zu aktivieren. Wenn Sie diese Befehle verwenden wollen, ersetzen Sie *`user input placeholders`* durch Ihre eigenen Informationen. 

   Mit dem folgenden `create-bucket`-Befehl wird ein Quell-Bucket mit dem Namen `amzn-s3-demo-source-bucket` in der Region USA Ost (Nord-Virginia) (`us-east-1`) erstellt:

   

   ```
   aws s3api create-bucket \
   --bucket amzn-s3-demo-source-bucket \
   --region us-east-1 \
   --profile acctA
   ```

   Mit dem folgenden `put-bucket-versioning`-Befehl wird die S3-Versionsverwaltung auf dem Bucket `amzn-s3-demo-source-bucket` aktiviert: 

   ```
   aws s3api put-bucket-versioning \
   --bucket amzn-s3-demo-source-bucket \
   --versioning-configuration Status=Enabled \
   --profile acctA
   ```

1. Erstellen Sie einen Ziel-Bucket und aktivieren Sie die Versionsverwaltung für ihn, indem Sie die folgenden AWS CLI Befehle verwenden. Wenn Sie diese Befehle verwenden wollen, ersetzen Sie *`user input placeholders`* durch Ihre eigenen Informationen. 
**Anmerkung**  
Um eine Replikationskonfiguration einzurichten, wenn sich Quell- und Ziel-Bucket im selben befinden AWS-Konto, verwenden Sie dasselbe Profil für Quell- und Ziel-Bucket. Dieses Beispiel verwendet `acctA`.   
Um eine Replikationskonfiguration zu testen, wenn die Buckets unterschiedlichen Besitzern gehören AWS-Konten, geben Sie für jedes Konto unterschiedliche Profile an. Verwenden Sie beispielsweise ein `acctB`-Profil für den Ziel-Bucket.

   

   Mit dem folgenden `create-bucket`-Befehl wird ein Ziel-Bucket mit dem Namen `amzn-s3-demo-destination-bucket` in der Region USA West (Oregon) (`us-west-2`) erstellt:

   ```
   aws s3api create-bucket \
   --bucket amzn-s3-demo-destination-bucket \
   --region us-west-2 \
   --create-bucket-configuration LocationConstraint=us-west-2 \
   --profile acctA
   ```

   Mit dem folgenden `put-bucket-versioning`-Befehl wird die S3-Versionsverwaltung auf dem Bucket `amzn-s3-demo-destination-bucket` aktiviert: 

   ```
   aws s3api put-bucket-versioning \
   --bucket amzn-s3-demo-destination-bucket \
   --versioning-configuration Status=Enabled \
   --profile acctA
   ```

1. Erstellen Sie eine IAM-Rolle. Sie geben diese Rolle in der Replizierungskonfiguration an, die Sie später zum *Quell-Bucket* hinzufügen. Amazon S3 übernimmt diese Rolle, um Objekte in Ihrem Namen zu replizieren. Sie erstellen eine IAM-Rolle in zwei Schritten:
   + Erstellen Sie eine Rolle.
   + Fügen Sie eine Berechtigungsrichtlinie zur Rolle hinzu.

   1. Erstellen Sie die IAM-Rolle.

      1. Kopieren Sie die folgende Vertrauensrichtlinie und speichern Sie sie in einer Datei mit dem Namen `s3-role-trust-policy.json` im aktuellen Verzeichnis auf Ihrem lokalen Computer. Diese Richtlinie erteilt dem Amazon-S3-Service Prinzipalberechtigungen, um die Rolle zu übernehmen.

------
#### [ JSON ]

****  

         ```
         {
            "Version":"2012-10-17",		 	 	 
            "Statement":[
               {
                  "Effect":"Allow",
                  "Principal":{
                     "Service":"s3.amazonaws.com"
                  },
                  "Action":"sts:AssumeRole"
               }
            ]
         }
         ```

------

      1. Führen Sie den folgenden Befehl aus, um eine Rolle zu erstellen.

         ```
         $ aws iam create-role \
         --role-name replicationRole \
         --assume-role-policy-document file://s3-role-trust-policy.json  \
         --profile acctA
         ```

   1. Fügen Sie eine Berechtigungsrichtlinie zur Rolle hinzu.

      1. Kopieren Sie die folgende Berechtigungsrichtlinie und speichern Sie sie in einer Datei mit dem Namen `s3-role-permissions-policy.json` im aktuellen Verzeichnis auf Ihrem lokalen Computer. Diese Zugriffsrichtlinie erteilt Berechtigungen für verschiedene Amazon-S3-Bucket- und -Objektaktionen. 

------
#### [ JSON ]

****  

         ```
         {
            "Version":"2012-10-17",		 	 	 
            "Statement":[
               {
                  "Effect":"Allow",
                  "Action":[
                     "s3:GetObjectVersionForReplication",
                     "s3:GetObjectVersionAcl",
                     "s3:GetObjectVersionTagging"
                  ],
                  "Resource":[
                     "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
                  ]
               },
               {
                  "Effect":"Allow",
                  "Action":[
                     "s3:ListBucket",
                     "s3:GetReplicationConfiguration"
                  ],
                  "Resource":[
                     "arn:aws:s3:::amzn-s3-demo-source-bucket"
                  ]
               },
               {
                  "Effect":"Allow",
                  "Action":[
                     "s3:ReplicateObject",
                     "s3:ReplicateDelete",
                     "s3:ReplicateTags"
                  ],
                  "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
               }
            ]
         }
         ```

------
**Anmerkung**  
Wenn Sie verschlüsselte Objekte replizieren möchten, müssen Sie auch die erforderlichen Berechtigungen für den AWS KMS-Schlüssel ( AWS Key Management Service ) erteilen. Weitere Informationen finden Sie unter [Replizieren verschlüsselter Objekte (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)](replication-config-for-kms-objects.md).
Um Object Lock mit der Replikation zu verwenden, müssen Sie zwei zusätzliche Berechtigungen für den S3-Quell-Bucket in der AWS Identity and Access Management (IAM) -Rolle gewähren, mit der Sie die Replikation einrichten. Die zwei neuen Berechtigungen sind `s3:GetObjectRetention` und `s3:GetObjectLegalHold`. Wenn die Rolle über eine `s3:Get*`-Berechtigungsanweisung verfügt, ist die Anforderung dadurch erfüllt. Weitere Informationen finden Sie unter [Verwenden von Object Lock mit der S3-Replikation](object-lock-managing.md#object-lock-managing-replication). 

      1. Führen Sie den folgenden Befehl aus, um eine Richtlinie zu erstellen und sie der Rolle anzufügen. Ersetzen Sie *`user input placeholders`* durch Ihre Informationen.

         ```
         $ aws iam put-role-policy \
         --role-name replicationRole \
         --policy-document file://s3-role-permissions-policy.json \
         --policy-name replicationRolePolicy \
         --profile acctA
         ```

1. Fügen Sie eine Replikationskonfiguration zum Quell-Bucket hinzu. 

   1. Die Amazon S3 S3-API erfordert zwar, dass Sie die Replikationskonfiguration als XML angeben, AWS CLI erfordert jedoch, dass Sie die Replikationskonfiguration als JSON angeben. Speichern Sie den folgenden JSON-Code in einer Datei mit dem Namen `replication.json` im lokalen Verzeichnis auf Ihrem Computer.

      ```
      {
        "Role": "IAM-role-ARN",
        "Rules": [
          {
            "Status": "Enabled",
            "Priority": 1,
            "DeleteMarkerReplication": { "Status": "Disabled" },
            "Filter" : { "Prefix": "Tax"},
            "Destination": {
              "Bucket": "arn:aws:s3:::amzn-s3-demo-destination-bucket"
            }
          }
        ]
      }
      ```

   1. Aktualisieren Sie die JSON-Datei, indem Sie die Werte für den `amzn-s3-demo-destination-bucket` und den `IAM-role-ARN` durch Ihre eigenen Informationen ersetzen. Speichern Sie die Änderungen.

   1. Führen Sie den folgenden `put-bucket-replication`-Befehl aus, um die Replikationskonfiguration zu Ihrem Quell-Bucket hinzuzufügen. Stellen Sie sicher, dass Sie den Namen für den Quell-Bucket angeben:

      ```
      $ aws s3api put-bucket-replication \
      --replication-configuration file://replication.json \
      --bucket amzn-s3-demo-source-bucket \
      --profile acctA
      ```

   Um die Replikationskonfiguration abzurufen, verwenden Sie den Befehl `get-bucket-replication`:

   ```
   $ aws s3api get-bucket-replication \
   --bucket amzn-s3-demo-source-bucket \
   --profile acctA
   ```

1. Testen Sie die Einrichtung in der Amazon-S3-Konsole, indem Sie die folgenden Schritte durchführen:

   1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

   1. Wählen Sie im linken Navigationsbereich **Buckets** aus. Wählen Sie in der Liste der **Allzweck-Buckets** den Quell-Bucket aus.

   1. Erstellen Sie im Quell-Bucket einen Ordner mit dem Namen `Tax`. 

   1. Fügen Sie Beispielobjekte zum `Tax`-Ordner im Quell-Bucket hinzu. 
**Anmerkung**  
Die von Amazon S3 für die Replikation eines Objekts benötigte Zeit hängt von der Größe des Objekts ab. Weitere Informationen zum Anzeigen des Replikationsstatus finden Sie unter [Abrufen von Replikationsstatusinformationen](replication-status.md).

      Überprüfen Sie im *Ziel*-Bucket Folgendes:
      + Dass Amazon S3 die Objekte repliziert hat.
      + Dass es sich bei den Objekten um Replikate handelt. Scrollen Sie auf der Registerkarte **Properties (Eigenschaften)** für Ihre Objekte nach unten zum Abschnitt **Object management overview (Objektverwaltung – Übersicht)**. Beachten Sie unter **Management configurations (Verwaltungskonfigurationen)** den Wert unter **Replication status (Replikationsstatus)**. Stellen Sie sicher, dass dieser Wert auf `REPLICA` festgelegt ist.
      + Und dass sich die Replikate im Besitz des Quell-Bucket-Kontos befinden. Sie können die Eigentümerschaft Ihrer Objekte auf der Registerkarte **Permissions (Berechtigungen)** überprüfen. 

        Wenn sich der Quell- und der Ziel-Bucket im Besitz verschiedener Konten befinden, können Sie eine optionale Konfiguration hinzufügen, um Amazon S3 anzuweisen, die Replikateigentümerschaft zu dem Zielkonto zu ändern. Ein Beispiel finden Sie unter [So ändern Sie den Replikateigentümer](replication-change-owner.md#replication-walkthrough-3). 

## Verwenden Sie den AWS SDKs
<a name="replication-ex1-sdk"></a>

Verwenden Sie die folgenden Codebeispiele, um einem Bucket eine Replikationskonfiguration mit dem AWS SDK für Java bzw. AWS SDK für .NET hinzuzufügen.

**Anmerkung**  
Wenn Sie verschlüsselte Objekte replizieren möchten, müssen Sie auch die erforderlichen Berechtigungen für den AWS KMS-Schlüssel ( AWS Key Management Service ) erteilen. Weitere Informationen finden Sie unter [Replizieren verschlüsselter Objekte (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)](replication-config-for-kms-objects.md).
Um Object Lock mit der Replikation zu verwenden, müssen Sie zwei zusätzliche Berechtigungen für den S3-Quell-Bucket in der AWS Identity and Access Management (IAM) -Rolle gewähren, mit der Sie die Replikation einrichten. Die zwei neuen Berechtigungen sind `s3:GetObjectRetention` und `s3:GetObjectLegalHold`. Wenn die Rolle über eine `s3:Get*`-Berechtigungsanweisung verfügt, ist die Anforderung dadurch erfüllt. Weitere Informationen finden Sie unter [Verwenden von Object Lock mit der S3-Replikation](object-lock-managing.md#object-lock-managing-replication). 

------
#### [ Java ]

Um einem Bucket eine Replikationskonfiguration hinzuzufügen und dann die Konfiguration mithilfe des AWS SDK for Java abzurufen und zu überprüfen, können Sie den S3Client verwenden, um die Replikationseinstellungen programmgesteuert zu verwalten.

Beispiele für die Konfiguration der Replikation mit dem AWS SDK for Java finden Sie unter Die [Replikationskonfiguration für einen Bucket festlegen](https://docs.aws.amazon.com/AmazonS3/latest/API/s3_example_s3_PutBucketReplication_section.html) in der *Amazon S3 S3-API-Referenz*.

------
#### [ C\$1 ]

Das folgende AWS SDK für .NET Codebeispiel fügt einem Bucket eine Replikationskonfiguration hinzu und ruft sie dann ab. Um diesen Code zu verwenden, geben Sie die Namen für die Buckets und den Amazon-Ressourcennamen (ARN) für die IAM-Rolle an. Informationen zum Einrichten und Ausführen der Codebeispiele finden Sie unter [Getting Started with the AWS SDK für .NET](https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/net-dg-config.html) (Erste Schritte mit dem NET) im *AWS SDK für .NET -Entwicklerhandbuch*. 

```
using Amazon;
using Amazon.S3;
using Amazon.S3.Model;
using System;
using System.Threading.Tasks;

namespace Amazon.DocSamples.S3
{
    class CrossRegionReplicationTest
    {
        private const string sourceBucket = "*** source bucket ***";
        // Bucket ARN example - arn:aws:s3:::destinationbucket
        private const string destinationBucketArn = "*** destination bucket ARN ***";
        private const string roleArn = "*** IAM Role ARN ***";
        // Specify your bucket region (an example region is shown).
        private static readonly RegionEndpoint sourceBucketRegion = RegionEndpoint.USWest2;
        private static IAmazonS3 s3Client;
        public static void Main()
        {
            s3Client = new AmazonS3Client(sourceBucketRegion);
            EnableReplicationAsync().Wait();
        }
        static async Task EnableReplicationAsync()
        {
            try
            {
                ReplicationConfiguration replConfig = new ReplicationConfiguration
                {
                    Role = roleArn,
                    Rules =
                        {
                            new ReplicationRule
                            {
                                Prefix = "Tax",
                                Status = ReplicationRuleStatus.Enabled,
                                Destination = new ReplicationDestination
                                {
                                    BucketArn = destinationBucketArn
                                }
                            }
                        }
                };

                PutBucketReplicationRequest putRequest = new PutBucketReplicationRequest
                {
                    BucketName = sourceBucket,
                    Configuration = replConfig
                };

                PutBucketReplicationResponse putResponse = await s3Client.PutBucketReplicationAsync(putRequest);

                // Verify configuration by retrieving it.
                await RetrieveReplicationConfigurationAsync(s3Client);
            }
            catch (AmazonS3Exception e)
            {
                Console.WriteLine("Error encountered on server. Message:'{0}' when writing an object", e.Message);
            }
            catch (Exception e)
            {
                Console.WriteLine("Unknown encountered on server. Message:'{0}' when writing an object", e.Message);
            }
        }
        private static async Task RetrieveReplicationConfigurationAsync(IAmazonS3 client)
        {
            // Retrieve the configuration.
            GetBucketReplicationRequest getRequest = new GetBucketReplicationRequest
            {
                BucketName = sourceBucket
            };
            GetBucketReplicationResponse getResponse = await client.GetBucketReplicationAsync(getRequest);
            // Print.
            Console.WriteLine("Printing replication configuration information...");
            Console.WriteLine("Role ARN: {0}", getResponse.Configuration.Role);
            foreach (var rule in getResponse.Configuration.Rules)
            {
                Console.WriteLine("ID: {0}", rule.Id);
                Console.WriteLine("Prefix: {0}", rule.Prefix);
                Console.WriteLine("Status: {0}", rule.Status);
            }
        }
    }
}
```

------

# Konfigurieren einer Replikation bei Buckets in verschiedenen Konten
<a name="replication-walkthrough-2"></a>

Live-Replikation ist das automatische, asynchrone Kopieren von Objekten zwischen Buckets, die sich in denselben oder unterschiedlichen Buckets befinden. AWS-Regionen Eine Live-Replikation kopiert neu erstellte Objekte und Objektaktualisierungen aus einem Quell-Bucket in einen Ziel-Bucket oder mehrere Buckets. Weitere Informationen finden Sie unter [Replizieren von Objekten innerhalb und zwischen Regionen](replication.md).

Wenn Sie die Replikation konfigurieren, fügen Sie dem Quell-Bucket Replikationsregeln hinzu. Replikationsregeln definieren, welche Quell-Bucket-Objekte repliziert werden sollen, und den Ziel-Bucket/die Ziel-Buckets, in dem/denen die replizierten Objekte gespeichert werden sollen. Sie können eine Regel erstellen, um alle Objekte in einem Bucket oder eine Untermenge von Objekten mit einem spezifischen Schlüsselnamenpräfixen, einem oder mehreren Objekt-Markierungen oder beidem zu replizieren. Ein Ziel-Bucket kann sich im selben AWS-Konto wie der Quell-Bucket oder in einem anderen Konto befinden.

Wenn Sie angeben, dass eine Objektversions-ID gelöscht werden soll, löscht Amazon S3 diese Objektversion im Quell-Bucket. Es repliziert die Löschung aber nicht im Ziel-Bucket. Anders ausgedrückt: Dieselbe Objektversion wird im Ziel-Bucket nicht gelöscht. Dies schützt Daten vor missbräuchlichen Löschungen.

Wenn Sie einem Bucket eine Replikationsregel hinzufügen, ist diese standardmäßig aktiviert, sodass sie ausgeführt wird, sobald Sie sie speichern. 

Die Einrichtung einer Live-Replikation, wenn sich Quell- und Ziel-Bucket im Besitz verschiedener AWS-Konten befinden, ähnelt der Einrichtung der Replikation, wenn sich beide Buckets im Besitz des gleichen Kontos befinden. Es gibt jedoch mehrere Unterschiede, wenn Sie die Replikation in einem kontoübergreifenden Szenario konfigurieren: 
+ Der Eigentümer des Ziel-Buckets muss dem Eigentümer des Quell-Buckets in der Ziel-Bucket-Richtlinie die Berechtigungen zum Replizieren von Objekten erteilen. 
+ Wenn Sie in einem kontoübergreifenden Szenario Objekte replizieren, die serverseitig mit AWS Key Management Service (AWS KMS)-Schlüsseln (SSE-KMS) verschlüsselt sind, muss der Eigentümer des KMS-Schlüssels dem Eigentümer des Quell-Buckets die Berechtigung erteilen, den KMS-Schlüssel zu verwenden. Weitere Informationen finden Sie unter [Erteilen von zusätzlichen Berechtigungen für kontenübergreifende Szenarien](replication-config-for-kms-objects.md#replication-kms-cross-acct-scenario). 
+ Standardmäßig befinden sich replizierte Objekte im Besitz des Eigentümers des Quell-Buckets. In einem kontoübergreifenden Szenario möchten Sie die Replikation vielleicht so konfigurieren, dass die Eigentümerschaft der replizierten Objekte auf den Eigentümer des Ziel-Buckets übergeht. Weitere Informationen finden Sie unter [Ändern des Replikat-Eigentümers](replication-change-owner.md).

**Um die Replikation zu konfigurieren, wenn Quell- und Ziel-Buckets unterschiedlichen Besitzern gehören AWS-Konten**

1. In diesem Beispiel erstellen Sie Quell- und Ziel-Buckets in zwei unterschiedlichen AWS-Konten. Sie müssen zwei Anmeldeinformationsprofile für die AWS CLI eingerichtet haben. In diesem Beispiel werden für diese Profilnamen die Werte `acctA` und `acctB` verwendet. Informationen zum Einrichten der Anmeldeinformations-Profile und der Verwendung benannter Profile finden Sie unter [Einstellungen der Konfigurations- und Anmeldeinformationsdatei](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) im *Benutzerhandbuch zur AWS Command Line Interface *. 

1. Folgen Sie den step-by-step Anweisungen unter [Konfigurieren einer Replikation für Buckets im selben Konto](replication-walkthrough1.md) mit den folgenden Änderungen:
   + Verwenden Sie für alle AWS CLI Befehle, die sich auf Quell-Bucket-Aktivitäten beziehen (z. B. das Erstellen des Quell-Buckets, das Aktivieren der Versionierung und das Erstellen der IAM-Rolle), das `acctA` Profil. Verwenden Sie das Profil `acctB`, um den Ziel-Bucket zu erstellen. 
   + Stellen Sie sicher, dass die Berechtigungsrichtlinie für die IAM-Rolle den Quell- und den Ziel-Bucket angibt, die Sie für dieses Beispiel erstellt haben.

1. Fügen Sie in der Konsole die folgende Bucket-Richtlinie für den *Ziel*-Bucket hinzu, um dem Eigentümer des *Quell*-Buckets die Berechtigung zum Replizieren von Objekten zu erteilen. Detaillierte Anweisungen finden Sie unter [Hinzufügen einer Bucket-Richtlinie mit der Amazon-S3-Konsole](add-bucket-policy.md). Achten Sie darauf, die Richtlinie zu bearbeiten, indem Sie die AWS-Konto ID des Quell-Bucket-Besitzers, den IAM-Rollennamen und den Ziel-Bucket-Namen angeben. 
**Anmerkung**  
Wenn Sie das folgende Beispiel verwenden möchten, ersetzen Sie die `user input placeholders` (Platzhalter für Benutzereingaben) durch Ihre eigenen Informationen. Ersetzen Sie `amzn-s3-demo-destination-bucket` durch den Namen Ihres Ziel-Buckets. Ersetzen Sie `source-bucket-account-ID:role/service-role/source-account-IAM-role` im Amazon-Ressourcennamen (ARN) von IAM durch die IAM-Rolle, die Sie für diese Replikationskonfiguration verwenden.  
Wenn Sie die IAM-Servicerolle manuell erstellt haben, legen Sie den Rollenpfad im IAM-ARN als `role/service-role/` fest, wie im folgenden Richtlinienbeispiel dargestellt. Weitere Informationen finden Sie unter [IAM ARNs](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns) im *IAM-Benutzerhandbuch*. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Id": "",
       "Statement": [
           {
               "Sid": "Set-permissions-for-objects",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:role/service-role/source-account-IAM-role"
               },
               "Action": [
                   "s3:ReplicateObject",
                   "s3:ReplicateDelete"
               ],
               "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
           },
           {
               "Sid": "Set-permissions-on-bucket",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:role/service-role/source-account-IAM-role"
               },
               "Action": [
                   "s3:GetBucketVersioning",
                   "s3:PutBucketVersioning"
               ],
               "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket"
           }
       ]
   }
   ```

------

1. (Optional) Wenn Sie Objekte replizieren, die mit SSE-KMS verschlüsselt sind, muss der Eigentümer des KMS-Schlüssels dem Eigentümer des Quell-Buckets die Berechtigung erteilen, den KMS-Schlüssel zu verwenden. Weitere Informationen finden Sie unter [Erteilen von zusätzlichen Berechtigungen für kontenübergreifende Szenarien](replication-config-for-kms-objects.md#replication-kms-cross-acct-scenario).

1. (Optional) Bei der Replikation besitzt der Eigentümer des Quellobjekts standardmäßig das Replikat. Wenn Quell- und Ziel-Bucket unterschiedlichen Besitzern gehören AWS-Konten, können Sie optionale Konfigurationseinstellungen hinzufügen, um den Besitz des Replikats auf den Eigentümer der AWS-Konto Ziel-Buckets zu übertragen. Dazu gehört auch die Gewährung der `ObjectOwnerOverrideToBucketOwner`-Berechtigung. Weitere Informationen finden Sie unter [Ändern des Replikat-Eigentümers](replication-change-owner.md).

# Ändern des Replikat-Eigentümers
<a name="replication-change-owner"></a>

Bei der Replikation besitzt der Eigentümer des Quellobjekts standardmäßig auch das Replikat. Wenn die Quell- und Ziel-Buckets jedoch unterschiedlichen Eigentümern gehören AWS-Konten, möchten Sie möglicherweise den Besitz des Replikats ändern. Vielleicht möchten Sie beispielsweise die Eigentümerschaft ändern, um den Zugriff auf Objektreplikate einzuschränken. In Ihrer Replikationskonfiguration können Sie optionale Konfigurationseinstellungen hinzufügen, um den Besitz des Replikats auf das Replikat zu ändern AWS-Konto , dem die Ziel-Buckets gehören. 

Gehen Sie wie folgt vor, um den Replikateigentümer zu ändern:
+ Fügen Sie die Option zum *Überschreiben des Eigentümers* zur Replikationskonfiguration hinzu, um Amazon S3 anzuweisen, die Replikat-Eigentümerschaft zu ändern. 
+ Erteilen Sie Amazon S3 die Berechtigung `s3:ObjectOwnerOverrideToBucketOwner` zum Ändern der Replikat-Eigentümerschaft. 
+ Fügen Sie die Berechtigung `s3:ObjectOwnerOverrideToBucketOwner` zur Richtlinie für den Ziel-Bucket hinzu, um das Ändern der Replikateigentümerschaft zuzulassen. Die Berechtigung `s3:ObjectOwnerOverrideToBucketOwner` ermöglicht es dem Eigentümer der Ziel-Buckets, die Eigentümerschaft von Objektreplikaten anzunehmen.

Weitere Informationen erhalten Sie unter [Überlegungen zur Option zum Überschreiben der Eigentümerschaft](#repl-ownership-considerations) und [Hinzufügen der Eigentümer-Überschreibungs-Option zur Replikations-Konfiguration](#repl-ownership-owneroverride-option). Ein funktionierendes Beispiel mit step-by-step Anweisungen finden Sie unter. [So ändern Sie den Replikateigentümer](#replication-walkthrough-3)

**Wichtig**  
Anstatt die Option zum Überschreiben des Eigentümers zu verwenden, können Sie die Einstellung zum Erzwingen des Bucket-Eigentümers für die Objekteigentümerschaft verwenden. Wenn Sie die Replikation verwenden und Quell- und Ziel-Bucket unterschiedlichen Besitzern gehören AWS-Konten, kann der Bucket-Besitzer des Ziel-Buckets die vom Bucket-Besitzer erzwungene Einstellung für Objekteigentümer verwenden, um den Besitz des Replikats auf den AWS-Konto Besitzer des Ziel-Buckets zu ändern. Diese Einstellung deaktiviert Objektzugriffskontrolllisten (). ACLs   
Die Einstellung zum Erzwingen des Bucket-Eigentümers ahmt das Verhalten der Überschreibung des bestehenden Eigentümers nach, ohne dass eine `s3:ObjectOwnerOverrideToBucketOwner`-Berechtigung erforderlich ist. Alle Objekte, die mit der Einstellung „Bucket-Eigentümer erzwungen“ in den Ziel-Bucket repliziert werden, gehören dem Eigentümer des Ziel-Buckets. Informationen zu Object Ownership finden Sie unter [Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket](about-object-ownership.md).

## Überlegungen zur Option zum Überschreiben der Eigentümerschaft
<a name="repl-ownership-considerations"></a>

Wenn Sie die Option zum Überschreiben der Eigentümerschaft konfigurieren, berücksichtigen Sie die folgenden Überlegungen:
+ Standardmäßig besitzt der Eigentümer des Quellobjekts auch das Replikat. Amazon S3 repliziert die Objektversion und die damit verbundene ACL.

  Wenn Sie die Option zum Überschreiben der Eigentümerschaft zu Ihrer Replikationskonfiguration hinzufügen, repliziert Amazon S3 nur die Objektversion, nicht die ACL. Darüber hinaus repliziert Amazon S3 keine nachfolgenden Änderungen an der ACL des Quellobjekts. Amazon S3 legt die ACL für das Replikat fest, das dem Ziel-Bucket-Eigentümer Vollzugriff erteilt. 
+  Wenn Sie eine Replikationskonfiguration ändern, um die Option zum Überschreiben der Eigentümerschaft zu aktivieren oder zu deaktivieren, tritt folgendes Verhalten ein:
  + Wenn Sie die Option zur Überschreibung des Eigentümers zur Replikationskonfiguration hinzufügen

    Wenn Amazon S3 eine Objektversion repliziert, verwirft es die ACL, die mit dem Quellobjekt verknüpft ist. Amazon S3 legt stattdessen die ACL für das Replikat fest, sodass der Ziel-Bucket-Eigentümer vollständige Kontrolle erhält. Amazon S3 repliziert keine nachfolgenden Änderungen an der ACL des Quellobjekts. Diese Änderung der ACL gilt nicht für Objektversionen, die repliziert wurden, bevor Sie die Eigentümer-Überschreibungs-Option festgelegt haben. ACL-Aktualisierungen an den Quellobjekten, die repliziert wurden, bevor die Eigentümer-Überschreibungs-Option festgelegt wurde, werden weiterhin repliziert (da das Objekt und seine Replikate weiterhin denselben Eigentümer haben).
  + Wenn Sie die Eigentümer-Überschreibungs-Option aus der Replikations-Konfiguration entfernen

    Amazon S3 repliziert neue Objekte, die im Quell-Bucket und den mit den Ziel-Buckets verknüpften ACLs Buckets erscheinen. Für Objekte, die repliziert wurden, bevor Sie die Eigentümerüberschreibung entfernt haben, repliziert Amazon S3 das nicht, ACLs da die von Amazon S3 vorgenommene Änderung des Objekteigentums weiterhin in Kraft ist. Das heißt, ACLs die Objektversion, die repliziert wurde, als die Eigentümerüberschreibung festgelegt wurde, wird weiterhin nicht repliziert.

## Hinzufügen der Eigentümer-Überschreibungs-Option zur Replikations-Konfiguration
<a name="repl-ownership-owneroverride-option"></a>

**Warnung**  
Fügen Sie die Option zum Überschreiben des Besitzers nur hinzu, wenn die Quell- und Ziel-Buckets unterschiedlichen Besitzern gehören. AWS-Konten Amazon S3 überprüft nicht, ob die Buckets im Besitz von gleichen oder unterschiedlichen Konten sind. Wenn Sie die Besitzer-Override hinzufügen, obwohl beide Buckets demselben gehören AWS-Konto, wendet Amazon S3 die Besitzer-Override an. Diese Option gewährt dem Besitzer des Ziel-Buckets volle Rechte und repliziert keine nachfolgenden Aktualisierungen der Zugriffskontrolllisten der Quellobjekte (). ACLs Der Replikateigentümer kann die ACL, die mit einem Replikat mit einer `PutObjectAcl`-Anforderung verknüpft ist, direkt ändern, aber nicht über eine Replikation.

Um die Option zur Eigentümer-Überschreibung festzulegen, fügen Sie Folgendes zu jedem `Destination`-Element hinzu: 
+ Das Element `AccessControlTranslation`, das Amazon S3 anweist, die Replikateigentümerschaft zu ändern
+ Das `Account` Element, das den Besitzer AWS-Konto des Ziel-Buckets angibt 

```
<ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
    ...
    <Destination>
      ...
      <AccessControlTranslation>
           <Owner>Destination</Owner>
       </AccessControlTranslation>
      <Account>destination-bucket-owner-account-id</Account>
    </Destination>
  </Rule>
</ReplicationConfiguration>
```

Die folgende Beispiel-Replikations-Konfiguration weist Amazon S3 an, Objekte mit dem Schlüsselpräfix *`Tax`* in den Ziel-Bucket `amzn-s3-demo-destination-bucket` zu replizieren und die Replikat-Eigentümerschaft zu ändern. Wenn Sie dieses Beispiel verwenden möchten, ersetzen Sie die `user input placeholders` (Platzhalter für Benutzereingaben) durch Ihre Informationen.

```
<?xml version="1.0" encoding="UTF-8"?>
<ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
   <Role>arn:aws:iam::account-id:role/role-name</Role>
   <Rule>
      <ID>Rule-1</ID>
      <Priority>1</Priority>
      <Status>Enabled</Status>
      <DeleteMarkerReplication>
         <Status>Disabled</Status>
      </DeleteMarkerReplication>
      <Filter>
         <Prefix>Tax</Prefix>
      </Filter>
      <Destination>
         <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
         <Account>destination-bucket-owner-account-id</Account>
         <AccessControlTranslation>
            <Owner>Destination</Owner>
         </AccessControlTranslation>
      </Destination>
   </Rule>
</ReplicationConfiguration>
```

## Erteilen der Berechtigung zur Änderung der Replikat-Eigentümerschaft an Amazon S3
<a name="repl-ownership-add-role-permission"></a>

Gewähren Sie Amazon S3 S3-Berechtigungen zum Ändern des Replikatbesitzes, indem Sie in der Berechtigungsrichtlinie, die mit der AWS Identity and Access Management (IAM-) Rolle verknüpft ist, die Berechtigung für die `s3:ObjectOwnerOverrideToBucketOwner` Aktion hinzufügen. Diese Rolle ist die IAM-Rolle, die Sie in der Replikations-Konfiguration festgelegt haben und die es Amazon S3 gestattet, Objekte in Ihrem Namen anzunehmen und zu replizieren. Um das folgende Beispiel zu verwenden, ersetzen Sie `amzn-s3-demo-destination-bucket` durch den Namen des Ziel-Buckets.

```
...
{
    "Effect":"Allow",
         "Action":[
       "s3:ObjectOwnerOverrideToBucketOwner"
    ],
    "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
}
...
```

## Hinzufügen der Berechtigung zur Ziel-Bucket-Richtlinie, um das Ändern der Replikat-Eigentümerschaft zuzulassen
<a name="repl-ownership-accept-ownership-b-policy"></a>

Der Eigentümer des Ziel-Buckets muss dem Eigentümer des Quell-Buckets die Berechtigung zum Ändern der Replikat-Eigentümerschaft erteilen. Der Eigentümer des Ziel-Buckets erteilt dem Eigentümer des Quell-Buckets die Berechtigung für die Aktion `s3:ObjectOwnerOverrideToBucketOwner`. Diese Berechtigung ermöglicht dem Eigentümer des Ziel-Buckets, die Eigentümerschaft von Objektreplikaten anzunehmen. Die folgende Beispielanweisung einer Bucket-Richtlinie zeigt, wie dies funktioniert: Wenn Sie dieses Beispiel verwenden möchten, ersetzen Sie die `user input placeholders` (Platzhalter für Benutzereingaben) durch Ihre Informationen.

```
...
{
    "Sid":"1",
    "Effect":"Allow",
    "Principal":{"AWS":"source-bucket-account-id"},
    "Action":["s3:ObjectOwnerOverrideToBucketOwner"],
    "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
}
...
```

## So ändern Sie den Replikateigentümer
<a name="replication-walkthrough-3"></a>

Wenn die Quell- und Ziel-Buckets in einer Replikationskonfiguration unterschiedlichen Besitzern gehören AWS-Konten, können Sie Amazon S3 anweisen, den Besitz des Replikats in den Besitz des AWS-Konto Ziel-Buckets zu ändern. Die folgenden Beispiele zeigen, wie Sie die Amazon S3 S3-Konsole, die AWS Command Line Interface (AWS CLI) und die verwenden, AWS SDKs um den Besitz eines Replikats zu ändern. 

### Verwenden der S3-Konsole
<a name="replication-ex3-console"></a>

 step-by-stepEine Anleitung finden Sie unter[Konfigurieren einer Replikation für Buckets im selben Konto](replication-walkthrough1.md). Dieses Thema enthält Anweisungen zum Einrichten einer Replikationskonfiguration, wenn Quell- und Ziel-Buckets denselben und unterschiedlichen AWS-Konten Besitzern gehören.

### Verwenden von AWS CLI
<a name="replication-ex3-cli"></a>

Das folgenden Verfahren zeigt, wie Sie die Replikat-Eigentümerschaft mithilfe der AWS CLIändern können. In diesem Verfahren gehen Sie wie folgt vor: 
+ Erstellen Sie die Quell- und Ziel-Buckets.
+ Aktivieren Sie die Versionsverwaltung für die Buckets.
+ Erstellen Sie eine AWS Identity and Access Management (IAM-) Rolle, die Amazon S3 die Berechtigung erteilt, Objekte zu replizieren.
+ Fügen Sie die Replikationskonfiguration zum Quell-Bucket hinzu.
+ In der Replikationskonfiguration weisen Sie Amazon S3 an, die Eigentümerschaft für das Replikat zu ändern.
+ Testen Sie Ihre Replikationskonfiguration.

**Um den Besitz des Replikats zu ändern, wenn der Quell- und der Ziel-Bucket different () gehören AWS-Konten AWS CLI**

Um die AWS CLI Beispielbefehle in diesem Verfahren zu verwenden, ersetzen Sie die `user input placeholders` durch Ihre eigenen Informationen. 

1. In diesem Beispiel erstellen Sie die Quell- und Ziel-Buckets in zwei verschiedenen AWS-Konten Buckets. Um mit diesen beiden Konten zu arbeiten, konfigurieren Sie die AWS CLI mit zwei benannten Profilen. Bei diesem Beispiel werden die Profile *`acctA`* bzw. *`acctB`* verwendet. Informationen zum Einrichten der Anmeldeinformations-Profile und der Verwendung benannter Profile finden Sie unter [Einstellungen der Konfigurations- und Anmeldeinformationsdatei](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) im *Benutzerhandbuch zur AWS Command Line Interface *. 
**Wichtig**  
Die Profile, die Sie für dieses Verfahren verwenden, müssen über die nötigen Berechtigungen verfügen. Beispielsweise legen Sie in der Replikations-Konfiguration die IAM-Rolle fest, die Amazon S3 annehmen kann. Dies gelingt Ihnen nur, wenn das verwendete Profil über die `iam:PassRole`-Berechtigung verfügt. Wenn Sie zur Erstellung eines benannten Profils die Benutzer-Anmeldeinformationen eines Administrators verwenden, können Sie alle Aufgaben in diesem Verfahren durchführen. Weitere Informationen finden Sie unter [Erteilen von Berechtigungen, mit denen ein Benutzer eine Rolle an einen AWS-Serviceübergeben kann](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) im *IAM-Benutzerhandbuch*. 

1. Erstellen Sie den *Quell*-Bucket und aktivieren Sie das Versioning für ihn. In diesem Beispiel erstellen wir einen Quell-Bucket mit dem Namen `amzn-s3-demo-source-bucket` in der Region USA Ost (Nord-Virginia) (`us-east-1`). 

   ```
   aws s3api create-bucket \
   --bucket amzn-s3-demo-source-bucket \
   --region us-east-1 \
   --profile acctA
   ```

   ```
   aws s3api put-bucket-versioning \
   --bucket amzn-s3-demo-source-bucket \
   --versioning-configuration Status=Enabled \
   --profile acctA
   ```

1. Erstellen Sie einen *Ziel*-Bucket und aktivieren Sie das Versioning für ihn. In diesem Beispiel erstellen wir einen Ziel-Bucket mit dem Namen `amzn-s3-demo-destination-bucket` in der Region USA West (Oregon) (`us-west-2`). Verwenden Sie ein anderes AWS-Konto -Profil als das, das Sie für den Quell-Bucket verwendet haben.

   ```
   aws s3api create-bucket \
   --bucket amzn-s3-demo-destination-bucket \
   --region us-west-2 \
   --create-bucket-configuration LocationConstraint=us-west-2 \
   --profile acctB
   ```

   ```
   aws s3api put-bucket-versioning \
   --bucket amzn-s3-demo-destination-bucket \
   --versioning-configuration Status=Enabled \
   --profile acctB
   ```

1. Sie müssen Ihrer *Ziel*-Bucket-Richtlinie Berechtigungen hinzufügen, um eine Änderung der Replikat-Eigentümerschaft zuzulassen.

   1.  Speichern Sie die folgende Richtlinie in eine Datei mit dem Namen `destination-bucket-policy.json`. Ersetzen Sie *`user input placeholders`* durch Ihre eigenen Informationen.

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Sid": "destination_bucket_policy_sid",
                  "Principal": {
                      "AWS": "source-bucket-owner-123456789012"
                  },
                  "Action": [
                      "s3:ReplicateObject",
                      "s3:ReplicateDelete",
                      "s3:ObjectOwnerOverrideToBucketOwner",
                      "s3:ReplicateTags",
                      "s3:GetObjectVersionTagging"
                  ],
                  "Effect": "Allow",
                  "Resource": [
                      "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
                  ]
              }
          ]
      }
      ```

------

   1. Fügen Sie die vorherige Richtlinie mithilfe des folgenden `put-bucket-policy`-Befehls zum Ziel-Bucket hinzu:

      ```
      aws s3api put-bucket-policy --region $ {destination-region} --bucket $ {amzn-s3-demo-destination-bucket} --policy file://destination_bucket_policy.json
      ```

1. Erstellen Sie eine IAM-Rolle. Sie geben diese Rolle in der Replizierungskonfiguration an, die Sie später zum *Quell-Bucket* hinzufügen. Amazon S3 übernimmt diese Rolle, um Objekte in Ihrem Namen zu replizieren. Sie erstellen eine IAM-Rolle in zwei Schritten:
   + Erstellen Sie die Rolle.
   + Fügen Sie eine Berechtigungsrichtlinie zur Rolle hinzu.

   1. Erstellen Sie die IAM-Rolle.

      1. Kopieren Sie die folgende Vertrauensrichtlinie und speichern Sie sie in einer Datei mit dem Namen `s3-role-trust-policy.json` im aktuellen Verzeichnis auf Ihrem lokalen Computer. Diese Richtlinie erteilt Amazon S3 Berechtigungen für die Übernahme der Rolle.

------
#### [ JSON ]

****  

         ```
         {
            "Version":"2012-10-17",		 	 	 
            "Statement":[
               {
                  "Effect":"Allow",
                  "Principal":{
                     "Service":"s3.amazonaws.com"
                  },
                  "Action":"sts:AssumeRole"
               }
            ]
         }
         ```

------

      1. Führen Sie den folgenden AWS CLI `create-role` Befehl aus, um die IAM-Rolle zu erstellen:

         ```
         $ aws iam create-role \
         --role-name replicationRole \
         --assume-role-policy-document file://s3-role-trust-policy.json  \
         --profile acctA
         ```

         Notieren Sie sich den Amazon-Ressourcennamen (ARN) der von Ihnen erstellten IAM-Rolle. Sie werden diesen ARN in einem späteren Schritt benötigen.

   1. Fügen Sie eine Berechtigungsrichtlinie zur Rolle hinzu.

      1. Kopieren Sie die folgende Berechtigungsrichtlinie und speichern Sie sie in einer Datei mit dem Namen `s3-role-perm-pol-changeowner.json` im aktuellen Verzeichnis auf Ihrem lokalen Computer. Diese Zugriffsrichtlinie erteilt Berechtigungen für verschiedene Amazon-S3-Bucket- und -Objektaktionen. In den folgenden Schritten fügen Sie diese Richtlinie der IAM-Rolle hinzu, die Sie zuvor erstellt haben. 

------
#### [ JSON ]

****  

         ```
         {
            "Version":"2012-10-17",		 	 	 
            "Statement":[
               {
                  "Effect":"Allow",
                  "Action":[
                     "s3:GetObjectVersionForReplication",
                     "s3:GetObjectVersionAcl"
                  ],
                  "Resource":[
                     "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
                  ]
               },
               {
                  "Effect":"Allow",
                  "Action":[
                     "s3:ListBucket",
                     "s3:GetReplicationConfiguration"
                  ],
                  "Resource":[
                     "arn:aws:s3:::amzn-s3-demo-source-bucket"
                  ]
               },
               {
                  "Effect":"Allow",
                  "Action":[
                     "s3:ReplicateObject",
                     "s3:ReplicateDelete",
                     "s3:ObjectOwnerOverrideToBucketOwner",
                     "s3:ReplicateTags",
                     "s3:GetObjectVersionTagging"
                  ],
                  "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
               }
            ]
         }
         ```

------

      1. Verwenden Sie den folgenden `put-role-policy`-Befehl, um die vorherige Berechtigungsrichtlinie der Rolle hinzuzufügen.

         ```
         $ aws iam put-role-policy \
         --role-name replicationRole \
         --policy-document file://s3-role-perm-pol-changeowner.json \
         --policy-name replicationRolechangeownerPolicy \
         --profile acctA
         ```

1. Fügen Sie Ihrem Quell-Bucket eine Replikations-Konfiguration hinzu.

   1. Das AWS CLI erfordert die Angabe der Replikationskonfiguration als JSON. Speichern Sie den folgenden JSON-Code in einer Datei mit dem Namen `replication.json` im aktuellen Verzeichnis auf Ihrem lokalen Computer. In der Konfiguration legt `AccessControlTranslation` die Änderung der Eigentümerschaft des Replikats vom Eigentümer des Quell-Buckets zum Eigentümer des Ziel-Buckets fest. 

      ```
      {
         "Role":"IAM-role-ARN",
         "Rules":[
            {
               "Status":"Enabled",
               "Priority":1,
               "DeleteMarkerReplication":{
                  "Status":"Disabled"
               },
               "Filter":{
               },
               "Status":"Enabled",
               "Destination":{
                  "Bucket":"arn:aws:s3:::amzn-s3-demo-destination-bucket",
                  "Account":"destination-bucket-owner-account-id",
                  "AccessControlTranslation":{
                     "Owner":"Destination"
                  }
               }
            }
         ]
      }
      ```

   1. Bearbeiten Sie die JSON-Datei, indem Sie Werte für den Namen des Ziel-Buckets, die Konto-ID des Eigentümers des Ziel-Buckets und den `IAM-role-ARN` angeben. Ersetzen Sie *`IAM-role-ARN`* durch den ARN des Buckets, den Sie zuvor erstellt haben. Speichern Sie die Änderungen.

   1. Um die Replikationskonfiguration zum Quell-Bucket hinzuzufügen, führen Sie den folgenden Befehl aus:

      ```
      $ aws s3api put-bucket-replication \
      --replication-configuration file://replication.json \
      --bucket amzn-s3-demo-source-bucket \
      --profile acctA
      ```

1. Testen Sie Ihre Replikationskonfiguration, indem Sie die Replikateigentümerschaft in der Amazon-S3-Konsole überprüfen.

   1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

   1. Fügen Sie Objekte zum *Quell*-Bucket hinzu. Stellen Sie sicher, dass der Ziel-Bucket die Objektreplikate enthält und dass der Eigentümer der Replikate auf den Eigentümer des Ziel-Buckets übergegangen ist. AWS-Konto 

### Verwenden von AWS SDKs
<a name="replication-ex3-sdk"></a>

 Ein Code-Beispiel zum Hinzufügen einer Replikationskonfiguration finden Sie unter [Verwenden Sie den AWS SDKs](replication-walkthrough1.md#replication-ex1-sdk). Sie müssen die Replikationskonfiguration entsprechend ändern. Weitere konzeptuelle Informationen finden Sie unter [Ändern des Replikat-Eigentümers](#replication-change-owner). 

# Erfüllen der Compliance-Anforderungen durch eine Begrenzung der S3-Replikationszeit (S3 RTC)
<a name="replication-time-control"></a>

Die Begrenzung der S3-Replikationszeit (S3 RTC) hilft Ihnen bei der Einhaltung von Compliance- oder Geschäftsanforderungen für die Datenreplikation und bietet Einblick in die Amazon-S3-Replikationsaktivitäten. S3 RTC repliziert die meisten Objekte, die Sie zu Amazon S3 hochladen, in Sekunden und 99,9 Prozent dieser Objekte innerhalb von 15 Minuten. 

Standardmäßig bietet S3 RTC Ihnen zwei Möglichkeiten, den Fortschritt der Replikation zu verfolgen: 
+ **S3-Replikationsmetriken** – Sie können S3-Replikationsmetriken verwenden, um die Gesamtzahl der S3-API-Operationen mit ausstehender Replikation, die Gesamtgröße der Objekte mit ausstehender Replikation, die maximale Replikationszeit in der Zielregion und der Gesamtzahl der Operationen zu überwachen, deren Replikation fehlgeschlagen ist. Anschließend können Sie jedes Dataset, das Sie separat replizieren, überwachen. Sie können S3-Replikationsmetriken auch unabhängig von S3 RTC aktivieren. Weitere Informationen finden Sie unter [Verwenden von S3-Replikationsmetriken](repl-metrics.md).

  Replikationsregeln mit aktivierter Begrenzung der S3-Replikationszeit (S3 RTC) veröffentlichen S3-Replikationsmetriken. Replikationsmetriken sind innerhalb von 15 Minuten nach der Aktivierung von S3 RTC verfügbar. Replikationsmetriken sind über die Amazon S3 S3-Konsole, die Amazon S3 S3-API AWS SDKs, the, AWS Command Line Interface the (AWS CLI) und Amazon verfügbar CloudWatch. Weitere Informationen zu CloudWatch Metriken finden Sie unter[Metriken mit Amazon überwachen CloudWatch](cloudwatch-monitoring.md). Weitere Informationen zum Anzeigen von Replikationsmetriken über die Amazon-S3-Konsole finden Sie unter [Anzeigen von Replikationsmetriken](repl-metrics.md#viewing-replication-metrics).

  S3-Replikationsmetriken werden zum gleichen Tarif wie CloudWatch benutzerdefinierte Amazon-Metriken abgerechnet. Weitere Informationen finden Sie unter [ CloudWatchAmazon-Preise](https://aws.amazon.com/cloudwatch/pricing/). 
+ **Amazon-S3-Ereignisbenachrichtigungen** – S3 RTC bietet `OperationMissedThreshold`- und `OperationReplicatedAfterThreshold`-Ereignisse, die den Bucket-Eigentümer benachrichtigen, wenn die Objektreplikation den 15-Minuten-Grenzwert überschreitet oder danach erfolgt. Mit S3 RTC können Sie in den seltenen Fällen, in denen Objekte nicht innerhalb von 15 Minuten oder erst nach dem Grenzwert von 15 Minuten repliziert werden, Amazon-S3-Ereignisbenachrichtigungen erhalten. 

  Replikationsmetriken sind innerhalb von 15 Minuten nach der Aktivierung von S3 RTC verfügbar. Amazon S3 S3-Ereignisbenachrichtigungen sind über Amazon SQS, Amazon SNS oder verfügbar. AWS Lambda Weitere Informationen finden Sie unter [Erhalten von Amazon-S3-Ereignisbenachrichtigungen über Replikations-Fehlerereignisse](replication-metrics-events.md).

 

## Bewährte Methoden und Richtlinien für S3 RTC
<a name="rtc-best-practices"></a>

Befolgen Sie beim Replizieren von Daten in Amazon S3 mit aktivierter Begrenzung der S3-Replikationszeit (S3 RTC) diese bewährten Methoden, um die Replikationsleistung für Ihre Workloads zu optimieren. 

**Topics**
+ [

### Leistungsrichtlinien für Amazon-S3-Replikation and -Anforderungsraten
](#rtc-request-rate-performance)
+ [

### Schätzen der Replikationsanforderungsraten
](#estimating-replication-request-rates)
+ [

### Überschreiten der Kontingente für die S3-RTC-Datenübertragungsrate
](#exceed-rtc-data-transfer-limits)
+ [

### AWS KMS Anforderungsraten für die Replikation verschlüsselter Objekte
](#kms-object-replication-request-rates)

### Leistungsrichtlinien für Amazon-S3-Replikation and -Anforderungsraten
<a name="rtc-request-rate-performance"></a>

Wenn Speicherinhalte zu Amazon S3 hochgeladen oder von dort abgerufen werden, können Ihre Anwendungen Tausende von Transaktionen pro Sekunde bei der Anforderungsleistung erhalten. Beispielsweise kann eine Anwendung mindestens 3.500 `PUT`/`COPY`/`POST`/`DELETE`- oder 5.500 `GET`/`HEAD`-Anforderungen pro Sekunde pro Präfix in einem S3-Bucket erreichen, einschließlich der Anforderungen, die die S3-Replikation in Ihrem Namen vornimmt. Es gibt keine Einschränkungen für die Anzahl der Präfixe in einem Bucket. Sie können Ihre Lese- und Schreibleistung steigern, indem Sie Lesevorgänge parallelisieren. Wenn Sie beispielsweise 10 Präfixe in einem S3-Bucket für parallele Lesevorgänge einrichten, können Sie damit die Leseleistung auf 55 000 Leseanfragen pro Sekunde skalieren. 

Amazon S3 skaliert automatisch als Reaktion auf anhaltende Anforderungsraten oberhalb dieser Richtlinien oder anhaltender Anforderungsraten übereinstimmend mit `LIST`-Anforderungen. Während Amazon S3 intern für die neue Anforderungsrate optimiert wird, erhalten Sie möglicherweise temporär HTTP 503-Anforderungsantworten, bis die Optimierung abgeschlossen ist. Dieses Verhalten kann mit steigenden Anforderungsraten pro Sekunde oder beim ersten Aktivieren von S3 RTC auftreten. Während dieser Zeiträume kann sich die Replikationslatenz erhöhen. Das S3 RTC Service Level Agreement (SLA) gilt nicht für Zeiträume, in denen Amazon-S3-Leistungsrichtlinien für Anforderungen pro Sekunde überschritten werden. 

Das S3 RTC SLA gilt auch nicht für Zeiträume, in denen Ihre Replikationsdatenübertragungsrate das Standardlimit von 1 Gbit/s überschreitet. Wenn Sie erwarten, dass Ihre Replikations-Übertragungsrate 1 Gbit/s überschreitet, können Sie Ihr [AWS Support -Center](https://console.aws.amazon.com/support/home#/) kontaktieren oder über [Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) eine Erhöhung Ihres Kontingents für die Replikationsübertragungsrate anfordern. 

### Schätzen der Replikationsanforderungsraten
<a name="estimating-replication-request-rates"></a>

Ihre Gesamtanforderungsrate einschließlich der Anforderungen, die die Amazon-S3-Replikation in Ihrem Namen vornimmt, muss den Richtlinien für die Amazon-S3-Anforderungsrate sowohl für die Quell- als auch für die Ziel-Buckets der Replikation entsprechen. Für jedes replizierte Objekt führt die Amazon-S3-Replikation bis zu fünf `GET`/`HEAD`-Anforderungen und eine `PUT`-Anforderung an den Quell-Bucket sowie eine `PUT`-Anforderung an jeden Ziel-Bucket aus.

Wenn Sie beispielsweise davon ausgehen, dass 100 Objekte pro Sekunde repliziert werden, kann die Amazon-S3-Replikation für Sie zusätzliche 100 `PUT`-Anforderungen für insgesamt 200 `PUT`-Anforderungen pro Sekunde an den Quell-S3-Bucket ausführen. Die Amazon-S3-Replikation kann außerdem bis zu 500 `GET`/`HEAD`-Anforderungen ausführen (5 `GET`/`HEAD`-Anforderungen für jedes replizierte Objekt). 

**Anmerkung**  
Es entstehen Kosten für nur eine `PUT`-Anforderung pro repliziertem Objekt. Weitere Informationen finden Sie in den Preisinformationen zur [Replikation in Amazon S3 FAQs ](https://aws.amazon.com/s3/faqs/#Replication). 

### Überschreiten der Kontingente für die S3-RTC-Datenübertragungsrate
<a name="exceed-rtc-data-transfer-limits"></a>

Wenn Sie erwarten, dass die Datenübertragungsrate von S3 RTC das Standardkontingent von 1 Gbit/s überschreitet, wenden Sie sich an Ihr [AWS Support -Center](https://console.aws.amazon.com/support/home#/) oder verwenden Sie [Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html), um eine Erhöhung Ihres Kontingents für die Datenübertragungsrate anzufordern. 

### AWS KMS Anforderungsraten für die Replikation verschlüsselter Objekte
<a name="kms-object-replication-request-rates"></a>

Wenn Sie Objekte replizieren, die mit serverseitiger Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (SSE-KMS) verschlüsselt sind, gelten Kontingente für AWS KMS Anfragen pro Sekunde. AWS KMS lehnt möglicherweise eine ansonsten gültige Anfrage ab, weil Ihre Anforderungsrate das Kontingent für die Anzahl der Anfragen pro Sekunde überschreitet. Wenn eine Anfrage gedrosselt wird, wird ein AWS KMS `ThrottlingException` Fehler zurückgegeben. Das AWS KMS Anforderungsratenkontingent gilt für Anfragen, die Sie direkt stellen, und für Anfragen, die von der Amazon S3 S3-Replikation in Ihrem Namen gestellt werden. 

Wenn Sie beispielsweise damit rechnen, 1.000 Objekte pro Sekunde zu replizieren, können Sie 2.000 Anfragen von Ihrer AWS KMS Quote für Anfragen abziehen. Die daraus resultierende Anforderungsrate pro Sekunde ist für Ihre AWS KMS Workloads ohne Replikation verfügbar. Sie können die [AWS KMS Anforderungsmetriken in Amazon](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-cloudwatch.html) verwenden CloudWatch, um die gesamte AWS KMS Anforderungsrate auf Ihrem zu überwachen AWS-Konto.

Um eine Erhöhung Ihres Kontingents für AWS KMS Anfragen pro Sekunde zu beantragen, wenden Sie sich an das [AWS Support Center](https://console.aws.amazon.com/support/home#/) oder nutzen Sie [Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html). 

## Aktivieren der Begrenzung der S3-Replikationszeit (S3 RTC)
<a name="replication-walkthrough-5"></a>

Sie können die Begrenzung der S3-Replikationszeit (S3 RTC) mit einer neuen oder einer vorhandenen Replikationsregel verwenden. Sie können die Replikationsregel auf einen gesamten S3-Bucket oder auf Objekte mit einem bestimmten Präfix oder Tag anwenden. Wenn Sie S3 RTC aktivieren, werden S3-Replikationsmetriken auch für Ihre Replikationsregel aktiviert. 

Sie können S3 RTC mithilfe der Amazon S3 S3-Konsole, der Amazon S3 S3-API AWS SDKs, der und der AWS Command Line Interface (AWS CLI) konfigurieren.

**Topics**

### Verwenden der S3-Konsole
<a name="replication-ex5-console"></a>

 step-by-stepAnweisungen finden Sie unter[Konfigurieren einer Replikation für Buckets im selben Konto](replication-walkthrough1.md). Dieses Thema enthält Anweisungen zur Aktivierung von S3 RTC in Ihrer Replikationskonfiguration, wenn Quell- und Ziel-Buckets denselben und unterschiedlichen Besitzern gehören. AWS-Konten

### Verwenden von AWS CLI
<a name="replication-ex5-cli"></a>

Um Objekte mit aktiviertem S3 RTC AWS CLI zu replizieren, erstellen Sie Buckets, aktivieren die Versionierung für die Buckets, erstellen eine IAM-Rolle, die Amazon S3 die Berechtigung erteilt, Objekte zu replizieren, und fügen die Replikationskonfiguration zum Quell-Bucket hinzu. Für die Replikationskonfiguration muss S3 RTC aktiviert sein, wie im folgenden Beispiel gezeigt. 

 step-by-stepAnweisungen zum Einrichten Ihrer Replikationskonfiguration mithilfe von finden Sie unter. AWS CLI[Konfigurieren einer Replikation für Buckets im selben Konto](replication-walkthrough1.md)

Das folgende Beispiel für eine Replikationskonfiguration aktiviert die Werte `ReplicationTime` und `EventThreshold` und legt sie für eine Replikationsregel fest. Wenn Sie diese Werte aktivieren und festlegen, wird S3 RTC für die Regel aktiviert.

```
{
    "Rules": [
        {
            "Status": "Enabled",
            "Filter": {
                "Prefix": "Tax"
            },
            "DeleteMarkerReplication": {
                "Status": "Disabled"
            },
            "Destination": {
                "Bucket": "arn:aws:s3:::amzn-s3-demo-destination-bucket",
                "Metrics": {
                    "Status": "Enabled",
                    "EventThreshold": {
                        "Minutes": 15
                    }
                },
                "ReplicationTime": {
                    "Status": "Enabled",
                    "Time": {
                        "Minutes": 15
                    }
                }
            },
            "Priority": 1
        }
    ],
    "Role": "IAM-Role-ARN"
}
```

**Wichtig**  
 Für `Metrics:EventThreshold:Minutes` und `ReplicationTime:Time:Minutes` ist als gültiger Wert nur `15` zulässig. 

### Verwenden des AWS SDK for Java
<a name="replication-ex5-sdk"></a>

 Im folgenden Java-Beispiel wird eine Replikationskonfiguration mit aktivierter Begrenzung der S3-Replikationszeit (S3 RTC) hinzugefügt.

```
import software.amazon.awssdk.auth.credentials.AwsBasicCredentials;
import software.amazon.awssdk.regions.Region;
import software.amazon.awssdk.services.s3.model.DeleteMarkerReplication;
import software.amazon.awssdk.services.s3.model.Destination;
import software.amazon.awssdk.services.s3.model.Metrics;
import software.amazon.awssdk.services.s3.model.MetricsStatus;
import software.amazon.awssdk.services.s3.model.PutBucketReplicationRequest;
import software.amazon.awssdk.services.s3.model.ReplicationConfiguration;
import software.amazon.awssdk.services.s3.model.ReplicationRule;
import software.amazon.awssdk.services.s3.model.ReplicationRuleFilter;
import software.amazon.awssdk.services.s3.model.ReplicationTime;
import software.amazon.awssdk.services.s3.model.ReplicationTimeStatus;
import software.amazon.awssdk.services.s3.model.ReplicationTimeValue;

public class Main {

  public static void main(String[] args) {
    S3Client s3 = S3Client.builder()
      .region(Region.US_EAST_1)
      .credentialsProvider(() -> AwsBasicCredentials.create(
          "AWS_ACCESS_KEY_ID",
          "AWS_SECRET_ACCESS_KEY")
      )
      .build();

    ReplicationConfiguration replicationConfig = ReplicationConfiguration
      .builder()
      .rules(
          ReplicationRule
            .builder()
            .status("Enabled")
            .priority(1)
            .deleteMarkerReplication(
                DeleteMarkerReplication
                    .builder()
                    .status("Disabled")
                    .build()
            )
            .destination(
                Destination
                    .builder()
                    .bucket("destination_bucket_arn")
                    .replicationTime(
                        ReplicationTime.builder().time(
                            ReplicationTimeValue.builder().minutes(15).build()
                        ).status(
                            ReplicationTimeStatus.ENABLED
                        ).build()
                    )
                    .metrics(
                        Metrics.builder().eventThreshold(
                            ReplicationTimeValue.builder().minutes(15).build()
                        ).status(
                            MetricsStatus.ENABLED
                        ).build()
                    )
                    .build()
            )
            .filter(
                ReplicationRuleFilter
                    .builder()
                    .prefix("testtest")
                    .build()
            )
        .build())
        .role("role_arn")
        .build();

    // Put replication configuration
    PutBucketReplicationRequest putBucketReplicationRequest = PutBucketReplicationRequest
      .builder()
      .bucket("source_bucket")
      .replicationConfiguration(replicationConfig)
      .build();

    s3.putBucketReplication(putBucketReplicationRequest);
  }
}
```

# Replizieren verschlüsselter Objekte (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)
<a name="replication-config-for-kms-objects"></a>

**Wichtig**  
Amazon S3 wendet jetzt serverseitige Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüssel (SSE-S3) als Basisverschlüsselung für jeden Bucket in Amazon S3 an. Ab dem 5. Januar 2023 werden alle neuen Objekt-Uploads auf Amazon S3 ohne zusätzliche Kosten und ohne Auswirkungen auf die Leistung automatisch verschlüsselt. Der automatische Verschlüsselungsstatus für die Standardverschlüsselungskonfiguration des S3-Buckets und für das Hochladen neuer Objekte ist in den CloudTrail Protokollen, im S3-Inventar, in der S3-Speicherlinse, in der Amazon S3-Konsole und als zusätzlicher Amazon S3 S3-API-Antwortheader im AWS CLI und AWS SDKs verfügbar. Weitere Informationen finden Sie unter [Häufig gestellte Fragen zur Standardverschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-encryption-faq.html).

Bei der Replikation von Objekten, die mit der serverseitigen Verschlüsselung verschlüsselt wurden, sind einige besondere Punkte zu beachten. Amazon S3 unterstützt die folgenden Arten von serverseitiger Verschlüsselung:
+ Serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3)
+ Serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) Schlüsseln (SSE-KMS)
+ Zweischichtige serverseitige Verschlüsselung mit Schlüsseln (DSSE-KMS) AWS KMS 
+ Serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C)

Weitere Informationen zur serverseitigen Verschlüsselung finden Sie unter [Schützen von Daten mit serverseitiger Verschlüsselung](serv-side-encryption.md).

In diesem Thema werden die Berechtigungen erläutert, die Sie benötigen, um Amazon S3 anzuweisen, Objekte zu replizieren, die mithilfe serverseitiger Verschlüsselung verschlüsselt wurden. Dieses Thema enthält auch zusätzliche Konfigurationselemente, die Sie hinzufügen können, sowie Beispielrichtlinien AWS Identity and Access Management (IAM), die die erforderlichen Berechtigungen für die Replikation verschlüsselter Objekte gewähren. 

Ein Beispiel mit step-by-step Anweisungen finden Sie unter. [Aktivieren der Replikation für verschlüsselte Objekte](#replication-walkthrough-4) Weitere Informationen zum Erstellen einer Replikationskonfiguration finden Sie unter [Replizieren von Objekten innerhalb und zwischen Regionen](replication.md). 

**Anmerkung**  
Sie können Multiregion AWS KMS keys in Amazon S3 verwenden. Amazon S3 behandelt jedoch derzeit Multi-Regions-Schlüssel wie Einzel-Regions-Schlüssel und verwendet nicht die Multi-Regions-Funktionen des Schlüssels. Weitere Informationen finden Sie unter [Verwenden von multiregionalen Schlüsseln)](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) im *AWS Key Management Service -Entwicklerhandbuch*.

**Topics**
+ [

## So wirkt sich die Standard-Bucket-Verschlüsselung auf die Replikation aus
](#replication-default-encryption)
+ [

## Mit SSE-C verschlüsselte Objekte replizieren
](#replicationSSEC)
+ [

## Replizieren von mit SSE-S3, SSE-KMS oder DSSE-KMS verschlüsselten Objekten
](#replications)
+ [

## Aktivieren der Replikation für verschlüsselte Objekte
](#replication-walkthrough-4)

## So wirkt sich die Standard-Bucket-Verschlüsselung auf die Replikation aus
<a name="replication-default-encryption"></a>

Wenn Sie die Standard-Verschlüsselung für einen Replikations-Ziel-Bucket aktivieren, gilt das folgende Verschlüsselungsverhalten:
+ Wenn Objekte im Quell-Bucket nicht verschlüsselt sind, werden die Replikatobjekte im Ziel-Bucket mithilfe der Einstellungen der Standard-Verschlüsselung des Ziel-Buckets verschlüsselt. Infolgedessen unterscheiden sich die Entity-Tags (ETags) der Quellobjekte von denen ETags der Replikatobjekte. Wenn Sie Anwendungen haben, die dies verwenden ETags, müssen Sie diese Anwendungen aktualisieren, um diesen Unterschied zu berücksichtigen.
+ Wenn Objekte im Quell-Bucket mit serverseitiger Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3), serverseitiger Verschlüsselung mit () -Schlüsseln AWS Key Management Service (SSE-KMS AWS KMS) oder zweischichtiger serverseitiger Verschlüsselung mit AWS KMS Schlüsseln (DSSE-KMS) verschlüsselt werden, verwenden die Replikatobjekte im Ziel-Bucket denselben Verschlüsselungstyp wie die Quellobjekte. Die Einstellungen der Standard-Verschlüsselung des Ziel-Buckets werden nicht verwendet.

## Mit SSE-C verschlüsselte Objekte replizieren
<a name="replicationSSEC"></a>

Die serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) gestattet Ihnen, Ihre eigenen Verschlüsselungsschlüssel zu verwalten. Mit SSE-C verwalten Sie die Schlüssel, während Amazon S3 den Verschlüsselungs- und Entschlüsselungsprozess verwaltet. Sie müssen einen Verschlüsselungsschlüssel als Teil Ihrer Anfrage angeben, brauchen aber keinen Code zu schreiben, um die Objektverschlüsselung oder -entschlüsselung durchzuführen. Wenn Sie ein Objekt hochladen, verschlüsselt Amazon S3 das Objekt mithilfe des von Ihnen angegebenen Schlüssels. Amazon S3 löscht diesen Schlüssel dann aus dem Speicher. Wenn Sie ein Objekt abrufen, müssen Sie denselben Verschlüsselungsschlüssel als Teil Ihrer Anfrage angeben. Weitere Informationen finden Sie unter [Verwenden von serverseitiger Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C)](ServerSideEncryptionCustomerKeys.md).

Die S3-Replikation unterstützt Objekte, die mit SSE-C verschlüsselt sind. Sie können die SSE-C-Objektreplikation in der Amazon S3 S3-Konsole oder mit der AWS SDKs auf dieselbe Weise konfigurieren, wie Sie die Replikation für unverschlüsselte Objekte konfigurieren. Es gibt keine zusätzlichen SSE-C-Berechtigungen, die über das hinausgehen, was derzeit für die Replikation erforderlich ist. 

Die S3-Replikation repliziert automatisch neu hochgeladene mit SSE-C verschlüsselte Objekte, sofern sie wie in Ihrer S3-Replikationskonfiguration angegeben infrage kommen. Verwenden Sie die S3-Batchreplikation, um vorhandene Objekte in Ihren Buckets zu replizieren. Weitere Informationen zum Replizieren von Objekten finden Sie unter [Einrichten einer Live-Replikation – Überblick](replication-how-setup.md) und [Replizieren vorhandener Objekte mit der Batch-Replikation](s3-batch-replication-batch.md).

Für die Replikation von SSE-C-Objekten fallen keine zusätzlichen Gebühren an. Einzelheiten zu den Replikationspreisen finden Sie unter [Amazon S3 – Preise](https://aws.amazon.com/s3/pricing/). 

## Replizieren von mit SSE-S3, SSE-KMS oder DSSE-KMS verschlüsselten Objekten
<a name="replications"></a>

Standardmäßig repliziert Amazon S3 keine Objekte, die mit SSE-KMS oder DSSE-KMS verschlüsselt sind. In diesem Abschnitt werden die zusätzlichen Konfigurationselemente erörtert, die Sie hinzufügen können, um Amazon S3 anzuweisen, diese Objekte zu replizieren. 

Ein Beispiel mit step-by-step Anweisungen finden Sie unter. [Aktivieren der Replikation für verschlüsselte Objekte](#replication-walkthrough-4) Weitere Informationen zum Erstellen einer Replikationskonfiguration finden Sie unter [Replizieren von Objekten innerhalb und zwischen Regionen](replication.md). 

### Angeben zusätzlicher Informationen in der Replikations-Konfiguration
<a name="replication-kms-extra-config"></a>

In der Replikations-Konfiguration machen Sie Folgendes:
+ Fügen Sie in dem `Destination` Element in Ihrer Replikationskonfiguration die ID des symmetrischen, vom AWS KMS Kunden verwalteten Schlüssels hinzu, den Amazon S3 zur Verschlüsselung von Objektreplikaten verwenden soll, wie in der folgenden Beispiel-Replikationskonfiguration gezeigt. 
+ Melden Sie sich ausdrücklich an, indem Sie die Replikation von Objekten aktivieren, die mit KMS-Schlüsseln (SSE-KMS oder DSSE-KMS) verschlüsselt wurden. Fügen Sie dazu das `SourceSelectionCriteria`-Element hinzu, wie im folgenden Beispiel einer Replikationskonfiguration dargestellt.

 

```
<ReplicationConfiguration>
   <Rule>
      ...
      <SourceSelectionCriteria>
         <SseKmsEncryptedObjects>
           <Status>Enabled</Status>
         </SseKmsEncryptedObjects>
      </SourceSelectionCriteria>

      <Destination>
          ...
          <EncryptionConfiguration>
             <ReplicaKmsKeyID>AWS KMS key ARN or Key Alias ARN that's in the same AWS-Region as the destination bucket.</ReplicaKmsKeyID>
          </EncryptionConfiguration>
       </Destination>
      ...
   </Rule>
</ReplicationConfiguration>
```

**Wichtig**  
Der KMS-Schlüssel muss im selben Ordner AWS-Region wie der Ziel-Bucket erstellt worden sein. 
Der KMS-Schlüssel *muss* gültig sein. Die `PutBucketReplication`-API-Operation überprüft nicht die Gültigkeit von KMS-Schlüsseln. Wenn Sie einen ungültigen KMS-Schlüssel verwenden, erhalten Sie als Antwort den HTTP-`200 OK`-Statuscode, aber die Replikation schlägt fehl.

Das folgende Beispiel zeigt eine Replikationskonfiguration, die optionale Konfigurationselemente enthält. Diese Replikations-Konfiguration weist eine Regel auf. Die Regel wird auf alle Objekte mit dem Schlüsselpräfix `Tax` angewendet. Amazon S3 verwendet die angegebene AWS KMS key ID, um diese Objektreplikate zu verschlüsseln.

```
<?xml version="1.0" encoding="UTF-8"?>
<ReplicationConfiguration>
   <Role>arn:aws:iam::account-id:role/role-name</Role>
   <Rule>
      <ID>Rule-1</ID>
      <Priority>1</Priority>
      <Status>Enabled</Status>
      <DeleteMarkerReplication>
         <Status>Disabled</Status>
      </DeleteMarkerReplication>
      <Filter>
         <Prefix>Tax</Prefix>
      </Filter>
      <Destination>
         <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
         <EncryptionConfiguration>
            <ReplicaKmsKeyID>AWS KMS key ARN or Key Alias ARN that's in the same AWS-Region as the destination bucket.</ReplicaKmsKeyID>
         </EncryptionConfiguration>
      </Destination>
      <SourceSelectionCriteria>
         <SseKmsEncryptedObjects>
            <Status>Enabled</Status>
         </SseKmsEncryptedObjects>
      </SourceSelectionCriteria>
   </Rule>
</ReplicationConfiguration>
```

### Erteilen zusätzlicher Berechtigungen für die IAM-Rolle
<a name="replication-kms-permissions"></a>

Um Objekte zu replizieren, die im Ruhezustand mithilfe von SSE-S3, SSE-KMS oder DSSE-KMS verschlüsselt wurden, gewähren Sie der AWS Identity and Access Management (IAM-) Rolle, die Sie in der Replikationskonfiguration angeben, die folgenden zusätzlichen Berechtigungen. Sie erteilen diese Berechtigungen, indem Sie die mit der IAM-Rolle verknüpfte Berechtigungsrichtlinie aktualisieren. 
+ **`s3:GetObjectVersionForReplication`-Aktion für Quellobjekte** – Diese Aktion ermöglicht Amazon S3, sowohl unverschlüsselte Objekte als auch Objekte, die mit serverseitiger Verschlüsselung mit SSE-S3, SSE-KMS oder DSSE-KMS erstellt wurden, zu replizieren.
**Anmerkung**  
Wir empfehlen, dass Sie die Aktion `s3:GetObjectVersionForReplication` statt der Aktion `s3:GetObjectVersion` verwenden, da `s3:GetObjectVersionForReplication` Amazon S3 nur die minimalen Berechtigungen bereitstellt, die für eine Replikation nötig sind. Darüber hinaus ermöglicht die Aktion `s3:GetObjectVersion` die Replikation von unverschlüsselten und über SSE-S3 verschlüsselten Objekten, nicht aber von Objekten, die mit KMS-Schlüsseln (SSE-KMS oder DSSE-KMS) verschlüsselt wurden. 
+ **`kms:Decrypt``kms:Encrypt` AWS KMS und Aktionen für die KMS-Schlüssel**
  + Sie müssen `kms:Decrypt`-Berechtigungen für den AWS KMS key gewähren, der zum Entschlüsseln des Quellobjekts verwendet wird.
  + Sie müssen `kms:Encrypt`-Berechtigungen für den AWS KMS key gewähren, der zum Verschlüsseln des Objektreplikats verwendet wird.
+ **`kms:GenerateDataKey`-Aktion zur Replikation von Klartextobjekten** – Wenn Sie Klartextobjekte in einen Bucket replizieren, für den die SSE-KMS- oder DSSE-KMS-Verschlüsselung standardmäßig aktiviert ist, müssen Sie die `kms:GenerateDataKey`-Berechtigung für den Zielverschlüsselungskontext und den KMS-Schlüssel zur IAM-Richtlinie hinzufügen.

**Wichtig**  
Wenn Sie S3 Batch Replication verwenden, um Datensätze regionsübergreifend zu replizieren und der serverseitige Verschlüsselungstyp Ihrer Objekte zuvor von SSE-S3 auf SSE-KMS aktualisiert wurde, benötigen Sie möglicherweise zusätzliche Berechtigungen. Für den Bucket der Quellregion benötigen Sie Berechtigungen. `kms:decrypt` Anschließend benötigen Sie die `kms:encrypt` Berechtigungen `kms:decrypt` und für den Bucket in der Zielregion. 

Wir empfehlen, diese Berechtigungen mithilfe von AWS KMS Bedingungsschlüsseln nur auf die Ziel-Buckets und -Objekte zu beschränken. Derjenige AWS-Konto , dem die IAM-Rolle gehört, muss über Berechtigungen für die `kms:Encrypt` und `kms:Decrypt` Aktionen für die KMS-Schlüssel verfügen, die in der Richtlinie aufgeführt sind. Wenn die KMS-Schlüssel einer anderen Person gehören AWS-Konto, muss der Besitzer der KMS-Schlüssel diese Berechtigungen demjenigen gewähren AWS-Konto , dem die IAM-Rolle gehört. Weitere Informationen zur Verwaltung des Zugriffs auf diese KMS-Schlüssel finden Sie unter [Verwenden von IAM-Richtlinien mit AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) im * AWS Key Management Service Entwicklerhandbuch*.

### S3 Bucket-Schlüssel und Replikation
<a name="bk-replication"></a>

Um die Replikation mit einem S3-Bucket-Schlüssel zu verwenden, muss die AWS KMS key Richtlinie für den KMS-Schlüssel, der zum Verschlüsseln des Objektreplikats verwendet wird, die `kms:Decrypt` Berechtigung für den aufrufenden Prinzipal enthalten. Der Aufruf zur `kms:Decrypt` Überprüfung der Integrität des S3-Bucket-Schlüssels, bevor er verwendet wird. Weitere Informationen finden Sie unter [Verwenden eines S3-Bucket-Schlüssels mit Replikation](bucket-key.md#bucket-key-replication).

Wenn ein S3-Bucket-Schlüssel für den Quell- oder Ziel-Bucket aktiviert ist, ist der Verschlüsselungskontext der Amazon-Ressourcenname (ARN) des Buckets, nicht der Objekt-ARN (z. B. `arn:aws:s3:::bucket_ARN`). Sie müssen Ihre IAM-Richtlinien aktualisieren, um den Bucket-ARN für den Verschlüsselungskontext verwenden zu können:

```
"kms:EncryptionContext:aws:s3:arn": [
"arn:aws:s3:::bucket_ARN"
]
```

Weitere Informationen finden Sie unter [Verschlüsselungskontext (`x-amz-server-side-encryption-context`)](specifying-kms-encryption.md#s3-kms-encryption-context) (im Abschnitt „Verwenden der REST-API“ und unter [Änderungen, die Sie vor dem Aktivieren eines S3-Bucket-Schlüssels beachten sollten](bucket-key.md#bucket-key-changes).

### Beispielrichtlinien: Verwenden von SSE-S3 und SSE-KMS bei der Replikation
<a name="kms-replication-examples"></a>

Die folgenden IAM-Beispielrichtlinien zeigen Anweisungen für die Verwendung von SSE-S3 und SSE-KMS bei der Replikation.

**Example – Verwenden von SSE-KMS mit separaten Ziel-Buckets**  
Die folgende Beispielrichtlinie zeigt Anweisungen zur Verwendung von SSE-KMS mit separaten Ziel-Buckets. 

**Example – Replizieren von mit SSE-S3 und SSE-KMS erstellten Objekten**  
Im Folgenden sehen Sie eine vollständige IAM-Richtlinie, die die erforderlichen Berechtigungen zum Replizieren von unverschlüsselten Objekten, Objekten, die mit SSE-S3 erstellt wurden, und Objekten, die mit SSE-KMS erstellt wurden, gewährt.    
****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetReplicationConfiguration",
            "s3:ListBucket"
         ],
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-source-bucket"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetObjectVersionForReplication",
            "s3:GetObjectVersionAcl"
         ],
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-source-bucket/key-prefix1*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:ReplicateObject",
            "s3:ReplicateDelete"
         ],
         "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/key-prefix1*"
      },
      {
         "Action":[
            "kms:Decrypt"
         ],
         "Effect":"Allow",
         "Condition":{
            "StringLike":{
               "kms:ViaService":"s3.us-east-1.amazonaws.com",
               "kms:EncryptionContext:aws:s3:arn":[
                  "arn:aws:s3:::amzn-s3-demo-source-bucket/key-prefix1*"
               ]
            }
         },
         "Resource":[
           "arn:aws:kms:us-east-1:111122223333:key/key-id"
         ]
      },
      {
         "Action":[
            "kms:Encrypt"
         ],
         "Effect":"Allow",
         "Condition":{
            "StringLike":{
               "kms:ViaService":"s3.us-east-1.amazonaws.com",
               "kms:EncryptionContext:aws:s3:arn":[
                  "arn:aws:s3:::amzn-s3-demo-destination-bucket/prefix1*"
               ]
            }
         },
         "Resource":[
            "arn:aws:kms:us-east-1:111122223333:key/key-id"
         ]
      }
   ]
}
```

**Example – Replizieren von Objekten mit S3-Bucket-Schlüsseln**  
Im Folgenden sehen Sie eine vollständige IAM-Richtlinie, die die erforderlichen Berechtigungen zum Replizieren von Objekten mit S3-Bucket-Schlüsseln gewährt.    
****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetReplicationConfiguration",
            "s3:ListBucket"
         ],
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-source-bucket"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetObjectVersionForReplication",
            "s3:GetObjectVersionAcl"
         ],
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-source-bucket/key-prefix1*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:ReplicateObject",
            "s3:ReplicateDelete"
         ],
         "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/key-prefix1*"
      },
      {
         "Action":[
            "kms:Decrypt"
         ],
         "Effect":"Allow",
         "Condition":{
            "StringLike":{
               "kms:ViaService":"s3.us-east-1.amazonaws.com",
               "kms:EncryptionContext:aws:s3:arn":[
                  "arn:aws:s3:::amzn-s3-demo-source-bucket"
               ]
            }
         },
         "Resource":[
           "arn:aws:kms:us-east-1:111122223333:key/key-id"
         ]
      },
      {
         "Action":[
            "kms:Encrypt"
         ],
         "Effect":"Allow",
         "Condition":{
            "StringLike":{
               "kms:ViaService":"s3.us-east-1.amazonaws.com",
               "kms:EncryptionContext:aws:s3:arn":[
                  "arn:aws:s3:::amzn-s3-demo-destination-bucket"
               ]
            }
         },
         "Resource":[
            "arn:aws:kms:us-east-1:111122223333:key/key-id"
         ]
      }
   ]
}
```

### Erteilen von zusätzlichen Berechtigungen für kontenübergreifende Szenarien
<a name="replication-kms-cross-acct-scenario"></a>

In einem kontoübergreifenden Szenario, in dem die Quell- und Ziel-Buckets unterschiedlichen Besitzern gehören, können Sie einen KMS-Schlüssel verwenden AWS-Konten, um Objektreplikate zu verschlüsseln. Der KMS-Schlüssel-Besitzer muss dem Besitzer des Quell-Buckets jedoch die Berechtigung erteilen, den KMS-Schlüssel zu verwenden. 

**Anmerkung**  
Wenn Sie SSE-KMS-Daten kontenübergreifend replizieren müssen, muss Ihre Replikationsregel einen vom [Kunden](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) verwalteten Schlüssel für das Zielkonto angeben. AWS KMS [Von AWS verwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk)erlauben keine kontoübergreifende Verwendung und können daher nicht für die kontenübergreifende Replikation verwendet werden.<a name="cross-acct-kms-key-permission"></a>

**So erteilen Sie dem Quell-Bucket-Eigentümer die Berechtigung zur Verwendung des KMS-Schlüssels (AWS KMS -Konsole)**

1. [Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS KMS Konsole unter https://console.aws.amazon.com /kms.](https://console.aws.amazon.com/kms)

1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

1. Zum Anzeigen der Schlüssel in Ihrem Konto, die Sie erstellen und verwalten, wählen Sie im Navigationsbereich **Customer managed keys (Vom Kunden verwaltete Schlüssel)** aus.

1. Wählen Sie den KMS-Schlüssel aus.

1. Wählen Sie unter **Allgemeine Konfiguration** den Tab **Schlüsselrichtlinie** aus.

1. **Scrollen Sie nach unten zu Andere. AWS-Konten**

1. Wählen **Sie Andere hinzufügen AWS-Konten**. 

   Daraufhin wird das Dialogfeld **Other AWS-Konten** (Andere AWS-Konten) angezeigt. 

1. Wählen Sie im Dialogfeld **Weitere hinzufügen** aus AWS-Konto. Geben Sie für **arn:aws:iam::** die Konto-ID des Quell-Buckets ein.

1. Wählen Sie **Änderungen speichern** aus.

**So erteilen Sie dem Quell-Bucket-Eigentümer die Berechtigung zur Verwendung des KMS-Schlüssels (AWS CLI)**
+ Informationen zum Befehl `put-key-policy` AWS Command Line Interface (AWS CLI) finden Sie [https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html)in der * AWS CLI Befehlsreferenz*. Weitere Informationen über die zugrundeliegende `PutKeyPolicy`-API-Operation finden Sie unter [https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) in der [AWS Key Management Service -API-Referenz](https://docs.aws.amazon.com/kms/latest/APIReference/).

### AWS KMS Überlegungen zu Transaktionsquoten
<a name="crr-kms-considerations"></a>

Wenn Sie nach der Aktivierung der regionsübergreifenden Replikation (CRR) viele neue Objekte mit AWS KMS Verschlüsselung hinzufügen, kann es zu Drosselungen (HTTP-Fehler) kommen. `503 Service Unavailable` Die Drosselung erfolgt, wenn die Anzahl an AWS KMS -Transaktionen pro Sekunde das aktuelle Kontingent überschreitet. Weitere Informationen finden Sie unter [Kontingente](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html) im *AWS Key Management Service -Entwicklerhandbuch*.

Zum Anfordern einer Erhöhung für ein Kontingent verwenden Sie Service-Quotas verwenden. Weitere Informationen finden Sie unter [Anfordern einer Kontingenterhöhung](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html). Wenn Service Quotas in Ihrer Region nicht unterstützt werden, [öffnen Sie einen AWS Support Fall](https://console.aws.amazon.com/support/home#/). 

## Aktivieren der Replikation für verschlüsselte Objekte
<a name="replication-walkthrough-4"></a>

Standardmäßig repliziert Amazon S3 keine Objekte, die mit serverseitiger Verschlüsselung mit () -Schlüsseln AWS Key Management Service (SSE-KMS AWS KMS) oder zweischichtiger serverseitiger Verschlüsselung mit Schlüsseln (DSSE-KMS) verschlüsselt wurden. AWS KMS Um mit SSE-KMS oder DSSE-KMS verschlüsselte Objekte zu replizieren, müssen Sie die Bucket-Replikationskonfiguration ändern und weisen damit Amazon S3 an, diese Objekte zu replizieren. In diesem Beispiel wird erklärt, wie Sie die Amazon S3 S3-Konsole und die AWS Command Line Interface (AWS CLI) verwenden, um die Bucket-Replikationskonfiguration zu ändern, um die Replikation verschlüsselter Objekte zu ermöglichen.

**Anmerkung**  
Wenn ein S3-Bucket-Schlüssel für den Quell- oder Ziel-Bucket aktiviert ist, ist der Verschlüsselungskontext der Amazon-Ressourcenname (ARN) des Buckets, nicht der Objekt-ARN. Sie müssen Ihre IAM-Richtlinien aktualisieren, um den Bucket-ARN für den Verschlüsselungskontext verwenden zu können. Weitere Informationen finden Sie unter [S3 Bucket-Schlüssel und Replikation](#bk-replication).

**Anmerkung**  
Sie können Multiregion AWS KMS keys in Amazon S3 verwenden. Amazon S3 behandelt jedoch derzeit Multi-Regions-Schlüssel wie Einzel-Regions-Schlüssel und verwendet nicht die Multi-Regions-Funktionen des Schlüssels. Weitere Informationen finden Sie unter [Verwenden von multiregionalen Schlüsseln)](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) im *AWS Key Management Service -Entwicklerhandbuch*.

### Verwenden der S3-Konsole
<a name="replication-ex4-console"></a>

 step-by-stepAnweisungen finden Sie unter[Konfigurieren einer Replikation für Buckets im selben Konto](replication-walkthrough1.md). Dieses Thema enthält Anweisungen zum Einrichten einer Replikationskonfiguration, wenn Quell- und Ziel-Buckets denselben und unterschiedlichen AWS-Konten Besitzern gehören.

### Verwenden von AWS CLI
<a name="replication-ex4-cli"></a>

Um verschlüsselte Objekte mit dem zu replizieren AWS CLI, gehen Sie wie folgt vor: 
+ Erstellen Sie Quell- und Ziel-Buckets und aktivieren Sie die Versionsverwaltung für diese Buckets. 
+ Erstellen Sie eine AWS Identity and Access Management (IAM) -Servicerolle, die Amazon S3 die Berechtigung erteilt, Objekte zu replizieren. Zu den Berechtigungen für die IAM-Rolle gehören die, die zum Replizieren der verschlüsselten Objekte notwendig sind.
+ Fügen Sie eine Replikationskonfiguration zum Quell-Bucket hinzu. Die Replikationskonfiguration stellt Informationen zur Replizierung von Objekten bereit, die mit KMS-Schlüsseln verschlüsselt wurden.
+ Fügen Sie verschlüsselte Objekte zum Quell-Bucket hinzu. 
+ Testen Sie die Einrichtung, um sicherzustellen, dass Ihre verschlüsselten Objekte in den Ziel-Bucket repliziert werden.

Die folgenden Verfahren führen Sie durch diesen Prozess. 

**Replizieren Sie serverseitig verschlüsselte Objekte (AWS CLI) wie folgt:**

Die Beispiele in diesem Verfahren können Sie verwenden, indem Sie die `user input placeholders` durch Ihre eigenen Informationen ersetzen.

1. In diesem Beispiel erstellen Sie den Quell-Bucket (*`amzn-s3-demo-source-bucket`*) und den Ziel-Bucket (*`amzn-s3-demo-destination-bucket`*) im selben AWS-Konto. Sie richten auch das Anmeldeinformationsprofil für die AWS CLI ein. Dieses Beispiel verwendet den Profilnamen `acctA`. 

   Informationen zum Einrichten der Anmeldeinformations-Profile und der Verwendung benannter Profile finden Sie unter [Einstellungen der Konfigurations- und Anmeldeinformationsdatei](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) im *Benutzerhandbuch zur AWS Command Line Interface *. 

1. Verwenden Sie die folgenden Befehle, um den `amzn-s3-demo-source-bucket`-Bucket zu erstellen und die Versionsverwaltung für diesen zu aktivieren. Mit den folgenden Beispielbefehlen wird der `amzn-s3-demo-source-bucket`-Bucket in der Region USA Ost (Nord-Virginia) (`us-east-1`) erstellt.

   ```
   aws s3api create-bucket \
   --bucket amzn-s3-demo-source-bucket \
   --region us-east-1 \
   --profile acctA
   ```

   ```
   aws s3api put-bucket-versioning \
   --bucket amzn-s3-demo-source-bucket \
   --versioning-configuration Status=Enabled \
   --profile acctA
   ```

1. Verwenden Sie die folgenden Befehle, um den `amzn-s3-demo-destination-bucket`-Bucket zu erstellen und die Versionsverwaltung für diesen zu aktivieren. Mit den folgenden Beispielbefehlen wird der `amzn-s3-demo-destination-bucket`-Bucket in der Region USA West (Oregon) (`us-west-2`) erstellt. 
**Anmerkung**  
Um eine Replikationskonfiguration einzurichten, wenn sich `amzn-s3-demo-source-bucket`- und `amzn-s3-demo-destination-bucket`-Bucket im selben AWS-Konto befinden, verwenden Sie dasselbe Profil. Dieses Beispiel verwendet `acctA`. Um die Replikation zu konfigurieren, wenn die Buckets unterschiedlichen Besitzern gehören AWS-Konten, geben Sie für jeden Bucket unterschiedliche Profile an. 

   

   ```
   aws s3api create-bucket \
   --bucket amzn-s3-demo-destination-bucket \
   --region us-west-2 \
   --create-bucket-configuration LocationConstraint=us-west-2 \
   --profile acctA
   ```

   ```
   aws s3api put-bucket-versioning \
   --bucket amzn-s3-demo-destination-bucket \
   --versioning-configuration Status=Enabled \
   --profile acctA
   ```

1. Als Nächstes erstellen Sie eine IAM-Servicerolle. Sie geben diese Rolle in der Replizierungskonfiguration an, die Sie später zum `amzn-s3-demo-source-bucket`-Bucket hinzufügen. Amazon S3 übernimmt diese Rolle, um Objekte in Ihrem Namen zu replizieren. Sie erstellen eine IAM-Rolle in zwei Schritten:
   + Erstellen Sie eine Servicerolle.
   + Fügen Sie eine Berechtigungsrichtlinie zur Rolle hinzu.

   1. Um eine IAM-Servicerolle zu erstellen, gehen Sie wie folgt vor:

      1. Kopieren Sie die folgende Vertrauensrichtlinie und speichern Sie sie in einer Datei mit dem Namen `s3-role-trust-policy-kmsobj.json` im aktuellen Verzeichnis auf Ihrem lokalen Computer. Diese Richtlinie erteilt dem Amazon-S3-Service Prinzipal-Berechtigungen zum Übernehmen der Rolle, damit Amazon S3 Aufgaben in Ihrem Namen durchführen kann.

------
#### [ JSON ]

****  

         ```
         {
            "Version":"2012-10-17",		 	 	 
            "Statement":[
               {
                  "Effect":"Allow",
                  "Principal":{
                     "Service":"s3.amazonaws.com"
                  },
                  "Action":"sts:AssumeRole"
               }
            ]
         }
         ```

------

      1. Verwenden Sie den folgenden Befehl, um die Rolle zu erstellen:

         ```
         $ aws iam create-role \
         --role-name replicationRolekmsobj \
         --assume-role-policy-document file://s3-role-trust-policy-kmsobj.json  \
         --profile acctA
         ```

   1. Als Nächstes fügen Sie eine Berechtigungsrichtlinie zur Rolle hinzu. Diese Zugriffsrichtlinie erteilt Berechtigungen für verschiedene Amazon-S3-Bucket- und -Objektaktionen. 

      1. Kopieren Sie die folgende Berechtigungsrichtlinie und speichern Sie sie in einer Datei mit dem Namen `s3-role-permissions-policykmsobj.json` im aktuellen Verzeichnis auf Ihrem lokalen Computer. Sie werden eine IAM-Rolle erstellen und fügen ihr später die Richtlinie an. 
**Wichtig**  
In der Berechtigungsrichtlinie geben Sie den AWS KMS Schlüssel an IDs , der für die Verschlüsselung der `amzn-s3-demo-destination-bucket` Buckets `amzn-s3-demo-source-bucket` und verwendet wird. Sie müssen zwei separate KMS-Schlüssel für die `amzn-s3-demo-destination-bucket` Buckets `amzn-s3-demo-source-bucket` und erstellen. AWS KMS keys werden nicht außerhalb des Bereichs geteilt, AWS-Region in dem sie erstellt wurden. 

------
#### [ JSON ]

****  

         ```
         {
            "Version":"2012-10-17",		 	 	 
            "Statement":[
               {
                  "Action":[
                     "s3:ListBucket",
                     "s3:GetReplicationConfiguration",
                     "s3:GetObjectVersionForReplication",
                     "s3:GetObjectVersionAcl",
                     "s3:GetObjectVersionTagging"
                  ],
                  "Effect":"Allow",
                  "Resource":[
                     "arn:aws:s3:::amzn-s3-demo-source-bucket",
                     "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
                  ]
               },
               {
                  "Action":[
                     "s3:ReplicateObject",
                     "s3:ReplicateDelete",
                     "s3:ReplicateTags"
                  ],
                  "Effect":"Allow",
                  "Condition":{
                     "StringLikeIfExists":{
                        "s3:x-amz-server-side-encryption":[
                           "aws:kms",
                           "AES256",
                           "aws:kms:dsse"
                        ],
                        "s3:x-amz-server-side-encryption-aws-kms-key-id":[
                           "AWS KMS key IDs(in ARN format) to use for encrypting object replicas"  
                        ]
                     }
                  },
                  "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
               },
               {
                  "Action":[
                     "kms:Decrypt"
                  ],
                  "Effect":"Allow",
                  "Condition":{
                     "StringLike":{
                        "kms:ViaService":"s3.us-east-1.amazonaws.com",
                        "kms:EncryptionContext:aws:s3:arn":[
                           "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
                        ]
                     }
                  },
                  "Resource":[
                     "arn:aws:kms:us-east-1:111122223333:key/key-id" 
                  ]
               },
               {
                  "Action":[
                     "kms:Encrypt"
                  ],
                  "Effect":"Allow",
                  "Condition":{
                     "StringLike":{
                        "kms:ViaService":"s3.us-west-2.amazonaws.com",
                        "kms:EncryptionContext:aws:s3:arn":[
                           "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
                        ]
                     }
                  },
                  "Resource":[
                     "arn:aws:kms:us-west-2:111122223333:key/key-id" 
                  ]
               }
            ]
         }
         ```

------

      1. Erstellen Sie eine Richtlinie und hängen Sie sie an die Rolle an.

         ```
         $ aws iam put-role-policy \
         --role-name replicationRolekmsobj \
         --policy-document file://s3-role-permissions-policykmsobj.json \
         --policy-name replicationRolechangeownerPolicy \
         --profile acctA
         ```

1. Als Nächstes fügen Sie die folgende Replikationskonfiguration zum `amzn-s3-demo-source-bucket`-Bucket hinzu. Sie weist Amazon S3 an, Objekte mit dem Präfix `Tax/` in den `amzn-s3-demo-destination-bucket`-Bucket zu replizieren. 
**Wichtig**  
In der Replikationskonfiguration legen Sie die IAM-Rolle fest, die Amazon S3 annehmen kann. Dies können Sie nur tun, wenn Sie über die `iam:PassRole`-Berechtigung verfügen. Das Profil, das Sie im CLI-Befehl angeben, muss über diese Berechtigung verfügen. Weitere Informationen finden Sie unter [Erteilen von Berechtigungen, mit denen ein Benutzer eine Rolle an einen AWS-Serviceübergeben kann](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) im *IAM-Benutzerhandbuch*.

   ```
    <ReplicationConfiguration>
     <Role>IAM-Role-ARN</Role>
     <Rule>
       <Priority>1</Priority>
       <DeleteMarkerReplication>
          <Status>Disabled</Status>
       </DeleteMarkerReplication>
       <Filter>
          <Prefix>Tax</Prefix>
       </Filter>
       <Status>Enabled</Status>
       <SourceSelectionCriteria>
         <SseKmsEncryptedObjects>
           <Status>Enabled</Status>
         </SseKmsEncryptedObjects>
       </SourceSelectionCriteria>
       <Destination>
         <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
         <EncryptionConfiguration>
           <ReplicaKmsKeyID>AWS KMS key IDs to use for encrypting object replicas</ReplicaKmsKeyID>
         </EncryptionConfiguration>
       </Destination>
     </Rule>
   </ReplicationConfiguration>
   ```

   Um eine Replikationskonfiguration zum `amzn-s3-demo-source-bucket`-Bucket hinzuzufügen, gehen Sie wie folgt vor:

   1.  AWS CLI Dazu müssen Sie die Replikationskonfiguration als JSON angeben. Speichern Sie den folgenden JSON-Code in einer Datei (`replication.json`) im aktuellen Verzeichnis auf Ihrem lokalen Computer. 

      ```
      {
         "Role":"IAM-Role-ARN",
         "Rules":[
            {
               "Status":"Enabled",
               "Priority":1,
               "DeleteMarkerReplication":{
                  "Status":"Disabled"
               },
               "Filter":{
                  "Prefix":"Tax"
               },
               "Destination":{
                  "Bucket":"arn:aws:s3:::amzn-s3-demo-destination-bucket",
                  "EncryptionConfiguration":{
                     "ReplicaKmsKeyID":"AWS KMS key IDs (in ARN format) to use for encrypting object replicas"
                  }
               },
               "SourceSelectionCriteria":{
                  "SseKmsEncryptedObjects":{
                     "Status":"Enabled"
                  }
               }
            }
         ]
      }
      ```

   1. Bearbeiten Sie den JSON-Code, um Werte für den `amzn-s3-demo-destination-bucket`-Bucket, die `AWS KMS key IDs (in ARN format)` und den `IAM-role-ARN` anzugeben. Speichern Sie die Änderungen.

   1. Verwenden Sie den folgenden Befehl, um die Replikationskonfiguration zu Ihrem `amzn-s3-demo-source-bucket`-Bucket hinzuzufügen. Stellen Sie sicher, dass Sie den Namen für den `amzn-s3-demo-source-bucket`-Bucket angeben.

      ```
      $ aws s3api put-bucket-replication \
      --replication-configuration file://replication.json \
      --bucket amzn-s3-demo-source-bucket \
      --profile acctA
      ```

1. Testen Sie die Konfiguration, um zu überprüfen, ob die verschlüsselten Objekte repliziert werden. Führen Sie in der Amazon-S3-Konsole die folgenden Schritte aus:

   1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

   1. Erstellen Sie im `amzn-s3-demo-source-bucket`-Bucket einen Ordner mit dem Namen `Tax`. 

   1. Fügen Sie Beispielobjekte zum Ordner hinzu. Stellen Sie sicher, dass Sie die Verschlüsselungsoption wählen und Ihren KMS-Schlüssel angeben, um die Objekte zu verschlüsseln. 

   1. Vergewissern Sie sich, dass der `amzn-s3-demo-destination-bucket`-Bucket die Objektreplikate enthält und dass sie mithilfe des KMS-Schlüssels verschlüsselt sind, den Sie in der Konfiguration angegeben haben. Weitere Informationen finden Sie unter [Abrufen von Replikationsstatusinformationen](replication-status.md).

### Verwenden Sie den AWS SDKs
<a name="replication-ex4-sdk"></a>

Ein Code-Beispiel, das zeigt, wie eine Replikationskonfiguration hinzugefügt wird, finden Sie unter [Verwenden Sie den AWS SDKs](replication-walkthrough1.md#replication-ex1-sdk). Sie müssen die Replikationskonfiguration entsprechend ändern. 

 

# Replizieren von Metadatenänderungen mit der Synchronisierung von Replikatänderungen
<a name="replication-for-metadata-changes"></a>

Amazon S3 Replica Modification Sync kann Ihnen dabei helfen, Objektmetadaten wie Tags, Zugriffskontrolllisten (ACLs) und Object Lock-Einstellungen zwischen Replikaten und Quellobjekten replizieren zu lassen. Standardmäßig repliziert Amazon S3 Metadaten aus den Quellobjekten nur auf die Replikate. Wenn die Synchronisierung von Replikatänderungen aktiviert ist, repliziert Amazon S3 Metadatenänderungen an den Replikatkopien zurück auf das Quellobjekt, sodass die Replikation bidirektional erfolgt.

## Aktivieren der Synchronisierung von Replikatänderungen
<a name="enabling-replication-for-metadata-changes"></a>

Sie können die Synchronisierung von Amazon-S3-Replikatänderungen mit neuen oder vorhandenen Replikationsregeln verwenden. Sie können sie auf einen gesamten Bucket oder auf Objekte anwenden, die ein bestimmtes Präfix haben.

Informationen zum Aktivieren der Synchronisierung von Replikatänderungen über die Amazon-S3-Konsole finden Sie unter [Beispiele für die Konfiguration einer Live-Replikation](replication-example-walkthroughs.md). Dieses Thema enthält Anweisungen zur Aktivierung der Synchronisierung von Replikatänderungen in Ihrer Replikationskonfiguration, wenn die Quell- und Ziel-Buckets demselben oder verschiedenen gehören. AWS-Konten

Um die Synchronisierung von Replikatänderungen mithilfe von AWS Command Line Interface (AWS CLI) zu aktivieren, müssen Sie dem Bucket, der die Replikate enthält, eine Replikationskonfiguration hinzufügen, wenn diese Option aktiviert ist. `ReplicaModifications` Um eine bidirektionale Replikation einzurichten, erstellen Sie eine Replikationsregel vom Quell-Bucket (`amzn-s3-demo-source-bucket`) zu dem Bucket, der die Replikate enthält (`amzn-s3-demo-destination-bucket`). Erstellen Sie dann eine zweite Replikationsregel von dem Bucket, der die Replikate enthält (`amzn-s3-demo-destination-bucket`), zum Quell-Bucket (`amzn-s3-demo-source-bucket`). Die Quell- und Ziel-Buckets können sich im selben oder in unterschiedlichen Buckets befinden. AWS-Regionen

**Anmerkung**  
Sie müssen die Replikatänderungssynchronisierung sowohl für den Quell- als auch für den Ziel-Bucket aktivieren, um Änderungen an den Replikatmetadaten wie Objektzugriffskontrolllisten (ACLs), Objekttags oder Objektsperreinstellungen für die replizierten Objekte zu replizieren. Wie alle Replikationsregeln können Sie diese Regeln entweder auf den gesamten Bucket oder auf eine nach Präfix oder Objektmarkierung gefilterte Teilmenge von Objekten anwenden.

In der folgenden Beispielkonfiguration repliziert Amazon S3 Metadatenänderungen unter dem Präfix `Tax` auf den Bucket `amzn-s3-demo-source-bucket`, der die Quellobjekte enthält.

```
{
    "Rules": [
        {
            "Status": "Enabled",
            "Filter": {
                "Prefix": "Tax"
            },
            "SourceSelectionCriteria": {
                "ReplicaModifications":{
                    "Status": "Enabled"
                }
            },
            "Destination": {
                "Bucket": "arn:aws:s3:::amzn-s3-demo-source-bucket"
            },
            "Priority": 1
        }
    ],
    "Role": "IAM-Role-ARN"
}
```

Vollständige Anweisungen zum Erstellen von Replikationsregeln mithilfe von finden Sie unter. AWS CLI[Konfigurieren einer Replikation für Buckets im selben Konto](replication-walkthrough1.md)

# Replizieren von Löschmarkierungen auf Buckets
<a name="delete-marker-replication"></a>

Wenn S3-Replikation aktiviert ist und ein Objekt im Quell-Bucket gelöscht wird, fügt Amazon S3 standardmäßig nur im Quell-Bucket eine Löschmarkierung hinzu. Diese Aktion trägt dazu bei, Daten in den Ziel-Buckets vor versehentlichem oder böswilligem Löschen zu schützen. Wenn Sie die *Replikation von Löschmarkierungen* aktiviert haben, werden diese Markierungen in die Ziel-Buckets kopiert und Amazon S3 verhält sich so, als sei das Objekt sowohl in den Quell- als auch in den Ziel-Buckets gelöscht worden. Weitere Informationen zur Funktionsweise von Löschmarkierungen finden Sie unter [Arbeiten mit Löschmarkierungen](DeleteMarker.md).

**Anmerkung**  
Die Replikation von Löschmarkierungen wird für markierungsbasierte Replikationsregeln nicht unterstützt. Die Replikation von Löschmarkierungen erfüllt auch nicht das SLA (Service Level Agreement) von 15 Minuten, das gewährt wird, wenn Sie die Begrenzung der S3-Replikationszeit (S3 RTC) verwenden.
Wenn Sie nicht die neueste Version der Replikationskonfiguration-XML verwenden, wirken sich Löschvorgänge unterschiedlich auf die Replikation aus. Weitere Informationen finden Sie unter [Auswirkungen von Löschvorgängen auf die Replikation](replication-what-is-isnot-replicated.md#replication-delete-op).
Wenn Sie die Replikation von Löschmarkierungen aktivieren und Ihr Quell-Bucket über eine S3-Lebenszyklusablaufregel verfügt, werden die durch die S3-Lebenszyklusablaufregel hinzugefügten Löschmarkierungen nicht auf den Ziel-Bucket repliziert.

## Aktivieren der Replikation von Löschmarkierungen
<a name="enabling-delete-marker-replication"></a>

Sie können die Replikation von Löschmarkierungen mit einer neuen oder einer vorhandenen Replikationsregel verwenden. Sie können die Replikation von Löschmarkierungen auf einen gesamten Bucket oder auf Objekte anwenden, die ein bestimmtes Präfix haben.

Informationen zum Aktivieren der Replikation von Löschmarkierungen mit der Amazon-S3-Konsole finden Sie unter [Verwenden der S3-Konsole](replication-walkthrough1.md#enable-replication). Dieses Thema enthält Anweisungen zur Aktivierung der Replikation mit Löschmarkern in Ihrer Replikationskonfiguration, wenn Quell- und Ziel-Buckets demselben oder unterschiedlichen AWS-Konten Eigentümer sind.

Um die Replikation mit Löschmarkern mithilfe von AWS Command Line Interface (AWS CLI) zu aktivieren, müssen Sie dem Quell-Bucket eine Replikationskonfiguration mit `DeleteMarkerReplication` aktivierter Option hinzufügen, wie in der folgenden Beispielkonfiguration gezeigt. 

In der folgenden Beispielkonfiguration werden Löschmarkierungen für Objekte unter dem Präfix `Tax` auf den Ziel-Bucket `amzn-s3-demo-destination-bucket` repliziert.

```
{
    "Rules": [
        {
            "Status": "Enabled",
            "Filter": {
                "Prefix": "Tax"
            },
            "DeleteMarkerReplication": {
                "Status": "Enabled"
            },
            "Destination": {
                "Bucket": "arn:aws:s3:::amzn-s3-demo-destination-bucket"
            },
            "Priority": 1
        }
    ],
    "Role": "IAM-Role-ARN"
}
```

Vollständige Anweisungen zum Erstellen von Replikationsregeln mit dem AWS CLI finden Sie unter[Konfigurieren einer Replikation für Buckets im selben Konto](replication-walkthrough1.md).