Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Sicherheit für S3-Dateien
<a name="s3-files-security"></a>

Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.

Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:

**Sicherheit der Cloud**  
AWS ist verantwortlich für den Schutz der Infrastruktur, auf der AWS Dienste in der ausgeführt AWS Cloud werden. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Auditoren von Drittanbietern testen und überprüfen die Effektivität unserer Sicherheitsmaßnahmen im Rahmen der [AWS -Compliance-Programme](https://aws.amazon.com/compliance/programs/) regelmäßig. Weitere Informationen zu den Compliance-Programmen, die für Amazon S3 S3-Dateien gelten, finden Sie unter [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/).

**Sicherheit in der Cloud**  
Ihre Verantwortung richtet sich nach dem AWS Service, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, einschließlich der Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.

Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Verwendung von Amazon S3 Files anwenden können.

## Datenschutz
<a name="s3-files-security-data-protection"></a>

Das [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) gilt für den Datenschutz in S3 Files. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme ausgeführt AWS Cloud werden. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben der von Ihnen verwendeten AWS Dienste verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)-Modell der geteilten Verantwortung und die GDPR*AWS im Blog zur *-Sicherheit.

Aus Datenschutzgründen empfehlen wir, die AWS Kontoanmeldeinformationen zu schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einzurichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird für SSL/TLS die Kommunikation mit AWS Ressourcen verwendet. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen Standardsicherheitskontrollen innerhalb der AWS Dienste.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit S3-Dateien oder anderen AWS Diensten über die Konsole, API, AWS CLI oder arbeiten AWS SDKs. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.

**Topics**
+ [

## Datenschutz
](#s3-files-security-data-protection)
+ [

# Verschlüsselung
](s3-files-encryption.md)
+ [

# So funktioniert S3 Files mit IAM
](s3-files-security-iam.md)

# Verschlüsselung
<a name="s3-files-encryption"></a>

S3 Files bietet umfassende Verschlüsselungsfunktionen, um Ihre Daten sowohl im Speicher als auch bei der Übertragung zu schützen.

## Verschlüsselung im Ruhezustand
<a name="s3-files-encryption-at-rest"></a>

Ihr S3-Bucket wird mithilfe der Verschlüsselungsmechanismen von Amazon S3 verschlüsselt. Informationen zur Verschlüsselung von Daten in S3 finden Sie unter [Daten durch Verschlüsselung schützen](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html).

S3 Files verschlüsselt ruhende Daten im S3-Dateisystem mithilfe serverseitiger Verschlüsselung. Serverseitige Verschlüsselung ist die Verschlüsselung von Daten am Zielort durch die Anwendung oder den Service, der sie erhält. In S3-Dateisystemen werden Daten und Metadaten standardmäßig verschlüsselt, bevor sie in den Speicher geschrieben werden, und beim Lesen automatisch entschlüsselt. Diese Prozesse werden von S3 Files transparent abgewickelt, sodass Sie Ihre Anwendungen nicht ändern müssen. Alle Daten, die sich im Dateisystem befinden, werden mithilfe von AWS Key Management Service (KMS) -Schlüsseln mit einer der folgenden Methoden verschlüsselt:
+ (Standard) Serverseitige Verschlüsselung mit AWS eigenen KMS-Schlüsseln (SSE-KMS)
+ Serverseitige Verschlüsselung mit vom Kunden verwalteten KMS-Schlüsseln (SSE-KMS-CMK)

Für die Verwendung von KMS-Schlüsseln fallen zusätzliche Gebühren an. AWS Weitere Informationen finden Sie unter [Schlüsselkonzepte von AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) im *AWS Key Management Service Developer Guide* und unter [AWS KMS-Preisgestaltung](https://aws.amazon.com/kms/pricing/).

### Serverseitige Verschlüsselung mit AWS eigenen KMS-Schlüsseln (SSE-KMS)
<a name="s3-files-encryption-aws-owned-key"></a>

Dies ist der Standardschlüssel für die Verschlüsselung ruhender Daten in Ihrem S3-Dateisystem. AWS Eigene Schlüssel sind eine Sammlung von KMS-Schlüsseln, die ein AWS Dienst besitzt und verwaltet. S3 Files besitzt und verwaltet die Verschlüsselung Ihrer Daten und Metadaten, die sich in Ihrem S3-Dateisystem befinden, wenn Sie einen AWS eigenen Schlüssel verwenden. Weitere Informationen zu AWS eigenen Schlüsseln finden Sie unter [AWS KMS-Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html).

### Serverseitige Verschlüsselung mit vom Kunden verwalteten AWS KMS-Schlüsseln (SSE-KMS-CMK)
<a name="s3-files-encryption-sse-kms"></a>

Bei der Erstellung Ihres Dateisystems können Sie wählen, ob Sie einen AWS Key Management Service (AWS KMS) -Schlüssel konfigurieren möchten, den Sie verwalten. Wenn Sie die SSE-KMS-Verschlüsselung mit einem S3-Dateisystem verwenden, müssen sich die AWS KMS-Schlüssel in derselben Region wie das Dateisystem befinden.

## Wichtige Richtlinien für KMS für S3-Dateien AWS
<a name="s3-files-encryption-key-policies"></a>

Schlüsselrichtlinien sind die wichtigste Methode zur Kontrolle des Zugriffs auf vom Kunden verwaltete Schlüssel. Weitere Informationen zu wichtigen Richtlinien finden Sie unter [Wichtige Richtlinien in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) im *AWS Key Management Service Developer Guide*. In der folgenden Liste werden alle AWS KMS-bezogenen Berechtigungen beschrieben, die von S3 Files zur Verschlüsselung von Dateisystemen im Ruhezustand unterstützt werden:

kms:Encrypt  
(Optional) Verschlüsselt Klartext in Chiffretext. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.

kms:Decrypt  
(Erforderlich) Entschlüsselt Chiffretext. Geheimtext ist Klartext, der zuvor verschlüsselt wurde. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.

km: ReEncrypt  
(Optional) Verschlüsselt Daten auf der Serverseite mit einem neuen, vom Kunden verwalteten Schlüssel, ohne dass der Klartext der Daten auf der Clientseite offengelegt wird. Die Daten werden zuerst entschlüsselt und dann neu verschlüsselt. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.

km: GenerateDataKeyWithoutPlaintext  
(Erforderlich) Gibt einen Datenverschlüsselungsschlüssel zurück, der unter einem vom Kunden verwalteten Schlüssel verschlüsselt wurde. Diese Berechtigung ist in der Standardschlüsselrichtlinie unter kms: GenerateDataKey \$1 enthalten.

km: CreateGrant  
(Erforderlich) Fügt einem Schlüssel einen Grant hinzu, um anzugeben, wer den Schlüssel verwenden kann und unter welchen Bedingungen. Erteilungen sind eine alternative Berechtigungsmethode zu Schlüsselrichtlinien. Weitere Informationen zu Zuschüssen finden Sie unter [Grants in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) im *AWS Key Management Service Developer Guide*. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.

km: DescribeKey  
(Erforderlich) Stellt detaillierte Informationen zum angegebenen vom Kunden verwalteten Schlüssel bereit. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.

km: ListAliases  
(Optional) Listet alle Schlüsselaliase im Konto auf. Wenn Sie die Konsole verwenden, um ein verschlüsseltes Dateisystem zu erstellen, wird mit dieser Berechtigung die Liste KMS-Schlüssel auswählen ausgefüllt. Wir empfehlen für eine optimale Benutzererfahrung diese Berechtigung. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.

## Wichtige Zustände und ihre Auswirkungen
<a name="s3-files-encryption-key-states"></a>

Der Status Ihres KMS-Schlüssels wirkt sich direkt auf den Zugriff auf Ihr verschlüsseltes Dateisystem aus:

Aktiviert  
Normaler Betrieb — voller Lese- und Schreibzugriff auf das Dateisystem.

Disabled  
Auf das Dateisystem kann nach einiger Zeit nicht mehr zugegriffen werden. Kann wieder aktiviert werden.

Löschen ausstehend  
Auf das Dateisystem kann nicht mehr zugegriffen werden. Das Löschen kann während der Wartezeit abgebrochen werden. Beachten Sie, dass der Schlüssel nach dem Abbrechen des Löschvorgangs in den aktivierten Zustand versetzt werden muss.

Gelöscht  
Auf das Dateisystem kann dauerhaft nicht zugegriffen werden. Diese Aktion kann nicht rückgängig gemacht werden.

**Warnung**  
Wenn Sie den für Ihr Dateisystem verwendeten KMS-Schlüssel deaktivieren oder löschen oder S3 Files den Zugriff auf den Schlüssel entziehen, kann nicht mehr auf Ihr Dateisystem zugegriffen werden. Dies kann zu Datenverlust führen, wenn Sie keine Backups haben. Stellen Sie immer sicher, dass Sie über die richtigen Backup-Verfahren verfügen, bevor Sie Änderungen an den Verschlüsselungsschlüsseln vornehmen.

## Verschlüsselung während der Übertragung
<a name="s3-files-encryption-in-transit"></a>

S3-Dateien erfordern die Verschlüsselung von Daten während der Übertragung mit Transport Layer Security (TLS). Wenn Sie Ihr Dateisystem mit dem Mount Helper mounten, werden alle Daten, die zwischen Ihrem Client und dem Dateisystem übertragen werden, mit TLS verschlüsselt. Der Mount-Helper initialisiert den EFS-Proxy-Prozess, um eine sichere TLS-Verbindung mit Ihrem Dateisystem herzustellen. Der Mount-Helper erstellt auch einen Prozess namens amazon-efs-mount-watchdog, der den Zustand von Mounts überwacht und automatisch gestartet wird, wenn ein S3-Dateisystem zum ersten Mal gemountet wird. Er stellt sicher, dass der EFS-Proxy-Prozess jedes Mounts läuft, und stoppt den Prozess, wenn das Dateisystem unmountet wird. Wenn der Prozess aus irgendeinem Grund unerwartet beendet wird, startet der Watchdog-Prozess ihn neu.

Im Folgenden wird beschrieben, wie die TLS-Verschlüsselung bei der Übertragung funktioniert:

1. Es wird eine sichere TLS-Verbindung zwischen Ihrem Client und dem Dateisystem hergestellt

1. Der gesamte NFS-Verkehr wird über diese verschlüsselte Verbindung geleitet

1. Daten werden vor der Übertragung verschlüsselt und beim Empfang entschlüsselt

Durch die Verschlüsselung von Daten während der Übertragung ändert sich Ihr NFS-Client-Setup. In den aktiv gemounteten Dateisystemen ist ein Dateisystem wie im folgenden Beispiel gezeigt als 127.0.0.1 oder localhost gemountet.

```
$ mount | column -t
127.0.0.1:/  on  /home/ec2-user/s3files        type  nfs4         (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)
```

Sie mounten Ihr Dateisystem mit dem Mount Helper, der Daten während der Übertragung immer mit TLS verschlüsselt. Daher wird Ihr NFS-Client beim Mounten so umkonfiguriert, dass er an einem lokalen Port gemountet wird.

# So funktioniert S3 Files mit IAM
<a name="s3-files-security-iam"></a>

Auf dieser Seite wird beschrieben, wie AWS Identity and Access Management (IAM) mit S3-Dateien funktioniert und wie Sie IAM-Richtlinien verwenden können, um den Zugriff auf Ihre Dateisysteme zu kontrollieren.

S3 Files verwendet IAM für zwei verschiedene Arten der Zugriffskontrolle:
+ **API-Zugriff** — Steuert, wer S3 Files-Ressourcen wie Dateisysteme, Mount-Ziele und Access Points erstellen, verwalten und löschen kann. Sie steuern diesen Zugriff mithilfe identitätsbasierter Richtlinien, die IAM-Benutzern, -Gruppen oder -Rollen zugeordnet sind.
+ **Client-Zugriff** — Steuert, was Clients (Ihre bereitgestellten Rechenressourcen) mit dem Dateisystem tun können, sobald sie eine Verbindung hergestellt haben, z. B. Dateien als Root-Benutzer lesen, schreiben oder darauf zugreifen können. Sie steuern diesen Zugriff mithilfe einer Kombination aus ressourcenbasierten Richtlinien, identitätsbasierten Richtlinien, Zugriffspunkten und POSIX-Berechtigungen.

Mit IAM können Sie Clients erlauben, bestimmte Aktionen auf einem Dateisystem durchzuführen, einschließlich Lese-, Schreib- und Root-Zugriff. Eine „allow“-Erlaubnis für eine Aktion in einer IAM-Identitätsrichtlinie oder einer Dateisystem-Ressourcenrichtlinie erlaubt den Zugriff auf diese Aktion. Die Genehmigung muss nicht sowohl in einer Identitäts- als auch in einer Ressourcenrichtlinie erteilt werden.

Ihre S3-Bucket-Richtlinien in Ihrem verknüpften S3-Bucket regeln auch den Zugriff von Ihrer Rechenressource und Ihrem Dateisystem auf Ihren S3-Bucket. Sie müssen außerdem sicherstellen, dass die Bucket-Richtlinien Ihres Quell-Buckets den Zugriff über Ihre Rechenressource oder Ihr Dateisystem nicht verweigern. Weitere Informationen finden Sie unter [Bucket-Richtlinien für Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html).

## Identitätsbasierte Richtlinien
<a name="s3-files-security-iam-identity-based"></a>

Identitätsbasierte Richtlinien sind JSON-Richtlinien, die Sie IAM-Benutzern, -Gruppen oder -Rollen zuordnen. Sie können diese Berechtigungen bereitstellen, indem Sie benutzerdefinierte Richtlinien schreiben oder eine verwaltete Richtlinie anhängen. AWS Weitere Informationen zu verfügbaren verwalteten Richtlinien für API-Zugriff und Client-Zugriff finden Sie unter [AWS Verwaltete Richtlinien für Amazon S3 S3-Dateien](s3-files-security-iam-awsmanpol.md).

S3 Files optimiert auch die Leseleistung, indem es Clients ermöglicht, Dateidaten direkt aus dem S3-Quell-Bucket zu lesen. Wenn Sie ein S3-Dateisystem auf Ihrer Rechenressource bereitstellen, müssen Sie der IAM-Rolle Ihrer Rechenressource eine Inline-Richtlinie hinzufügen, die Berechtigungen zum Lesen von Objekten aus dem angegebenen S3-Bucket gewährt. Der Mount-Helper verwendet diese Berechtigungen, um die S3-Daten zu lesen. Weitere Informationen zu dieser Richtlinie finden Sie unter[IAM-Rolle zum Anhängen Ihres Dateisystems an Rechenressourcen AWS](s3-files-prereq-policies.md#s3-files-prereq-iam-compute-role).

## Ressourcenbasierte Richtlinien
<a name="s3-files-security-iam-resource-based"></a>

Eine Dateisystemrichtlinie ist eine auf IAM-Ressourcen basierende Richtlinie, die Sie direkt an ein Dateisystem anhängen, um den Client-Zugriff zu steuern. Mithilfe von Dateisystemrichtlinien können Sie Clients Berechtigungen zur Ausführung von Vorgängen wie Mounten, Schreiben und Root-Zugriff gewähren oder verweigern.

Ein Dateisystem hat entweder eine leere (Standard-) Dateisystemrichtlinie oder genau eine explizite Richtlinie. S3-Dateisystemrichtlinien haben ein Limit von 20.000 Zeichen. Informationen zum Erstellen und Verwalten von Dateisystemrichtlinien finden Sie unter[Erstellen von Dateisystemrichtlinien](s3-files-file-system-policies-creating.md).

## S3 Files-Aktionen für Clients
<a name="s3-files-security-iam-client-actions"></a>

Sie können die folgenden Aktionen in einer Dateisystemrichtlinie angeben, um den Client-Zugriff zu steuern:


| Action | Description | 
| --- | --- | 
| s3files:ClientMount | Ermöglicht den Nur-Lese-Zugriff auf ein Dateisystem. | 
| s3files:ClientWrite | Bietet Schreibrechte für ein Dateisystem. | 
| s3files:ClientRootAccess | Ermöglicht die Verwendung des Root-Benutzers beim Zugriff auf ein Dateisystem. | 

## Bedingungsschlüssel für S3-Dateien für Clients
<a name="s3-files-security-iam-condition-keys"></a>

Sie können die folgenden Bedingungsschlüssel im `Condition` Element einer Dateisystemrichtlinie verwenden, um die Zugriffskontrolle weiter zu verfeinern:


| Bedingungsschlüssel | Description | Operator | 
| --- | --- | --- | 
| s3files:AccessPointArn | ARN des S3 Files-Zugriffspunkts, zu dem der Client eine Verbindung herstellt. | Zeichenfolge | 

## Beispiele für Dateisystemrichtlinien
<a name="s3-files-security-iam-policy-examples"></a>

### Beispiel: Erteilen von schreibgeschütztem Zugriff
<a name="s3-files-security-iam-policy-example-readonly"></a>

Die folgende Dateisystemrichtlinie gewährt der `ReadOnly` IAM-Rolle nur `ClientMount` (schreibgeschützt) Berechtigungen. Ersetzen Sie es *111122223333* durch Ihre Konto-ID AWS .

```
{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/ReadOnly"
            },
            "Action": [
                "s3files:ClientMount"
            ]
        }
    ]
}
```

### Beispiel: Gewähren Sie Zugriff auf einen S3 Files-Zugriffspunkt
<a name="s3-files-security-iam-policy-example-accesspoint"></a>

Die folgende Dateisystemrichtlinie verwendet ein Bedingungselement, um einem bestimmten Zugriffspunkt vollen Zugriff auf das Dateisystem zu gewähren, wenn das Mounten über den angegebenen Zugriffspunkt erfolgt. Ersetzen Sie den ARN und die Konto-ID des Access Points durch Ihre Werte. Weitere Informationen finden Sie unter [Access Points für ein S3-Dateisystem erstellen](s3-files-access-points-creating.md).

```
{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::555555555555:role/S3FilesAccessPointFullAccess"
            },
            "Action": [
                "s3files:Client*"
            ],
            "Condition": {
                "StringEquals": {
                    "s3files:AccessPointArn": "arn:partition:s3files:region:account-id:file-system/fs-1234567890/access-point/fsap-0987654321"
                }
            }
        }
    ]
}
```

## POSIX-Berechtigungen
<a name="s3-files-security-iam-posix"></a>

Nach erfolgreicher IAM-Autorisierung erzwingt S3 Files POSIX-Standardberechtigungen (UNIX-Stil) auf Datei- und Verzeichnisebene. POSIX-Berechtigungen steuern den Zugriff auf der Grundlage der Benutzer-ID (UID), der Gruppen-ID (GID) und der Berechtigungsbits (Lesen, Schreiben, Ausführen), die jeder Datei und jedem Verzeichnis zugeordnet sind. Access Points können eine bestimmte POSIX-Benutzeridentität für alle Anfragen erzwingen und so die Zugriffsverwaltung für gemeinsam genutzte Datensätze vereinfachen. Weitere Informationen finden Sie unter [Access Points für ein S3-Dateisystem erstellen](s3-files-access-points-creating.md).

## Sicherheitsgruppen
<a name="s3-files-security-iam-security-groups"></a>

Sicherheitsgruppen fungieren als Firewall auf Netzwerkebene, die den Verkehr zwischen Ihren Rechenressourcen und den Mount-Zielen des Dateisystems steuert. Einzelheiten zur Konfiguration von Sicherheitsgruppen für den Einstieg in S3 Files finden Sie unter. [Sicherheitsgruppen](s3-files-prereq-policies.md#s3-files-prereq-security-groups)

# AWS verwaltete Richtlinien für Amazon S3 S3-Dateien
<a name="s3-files-security-iam-awsmanpol"></a>

Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.

Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.

## AWS verwaltete Richtlinie: AmazonS3FilesFullAccess
<a name="s3-files-security-iam-awsmanpol-amazons3filesfullaccess"></a>

Sie können die `AmazonS3FilesFullAccess`-Richtlinie an Ihre IAM-Identitäten anfügen. Diese Richtlinie gewährt vollen Zugriff auf Amazon S3 S3-Dateien, einschließlich der Berechtigungen zum Erstellen und Verwalten von Dateisystemen, Bereitstellungszielen und Zugriffspunkten. Weitere Informationen zu dieser Richtlinie finden Sie [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesFullAccess.html)in der Referenz zu AWS verwalteten Richtlinien.

## AWS verwaltete Richtlinie: AmazonS3FilesReadOnlyAccess
<a name="s3-files-security-iam-awsmanpol-amazons3filesreadonlyaccess"></a>

Sie können die `AmazonS3FilesReadOnlyAccess`-Richtlinie an Ihre IAM-Identitäten anfügen. Diese Richtlinie gewährt nur Lesezugriff auf Amazon S3 S3-Dateien, einschließlich Berechtigungen zum Anzeigen von Dateisystemen, Mount-Zielen, Zugriffspunkten und zugehörigen Konfigurationen. Weitere Informationen zu dieser Richtlinie finden Sie [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesReadOnlyAccess.html)in der Referenz zu AWS verwalteten Richtlinien.

## AWS verwaltete Richtlinie: AmazonS3FilesClientFullAccess
<a name="s3-files-security-iam-awsmanpol-amazons3filesclientfullaccess"></a>

Sie können die `AmazonS3FilesClientFullAccess`-Richtlinie an Ihre IAM-Identitäten anfügen. Diese Richtlinie gewährt dem Client vollen Zugriff auf die Dateisysteme von S3 Files, einschließlich der Möglichkeit, Dateien als Root-Benutzer bereitzustellen, zu lesen, zu schreiben und darauf zuzugreifen. Weitere Informationen zu dieser Richtlinie finden Sie [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesClientFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesClientFullAccess.html)in der Referenz zu AWS verwalteten Richtlinien.

## AWS verwaltete Richtlinie: AmazonS3FilesClientReadWriteAccess
<a name="s3-files-security-iam-awsmanpol-amazons3filesclientreadwriteaccess"></a>

Sie können die `AmazonS3FilesClientReadWriteAccess`-Richtlinie an Ihre IAM-Identitäten anfügen. Diese Richtlinie gewährt dem Client Lese- und Schreibzugriff auf die Dateisysteme von S3 Files, einschließlich der Fähigkeit zum Mounten, Lesen und Schreiben. Diese Richtlinie gewährt keinen Root-Zugriff. Weitere Informationen zu dieser Richtlinie finden Sie [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesClientReadWriteAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesClientReadWriteAccess.html)in der Referenz zu AWS verwalteten Richtlinien.

## AWS verwaltete Richtlinie: AmazonS3FilesClientReadOnlyAccess
<a name="s3-files-security-iam-awsmanpol-amazons3filesclientreadonlyaccess"></a>

Sie können die `AmazonS3FilesClientReadOnlyAccess`-Richtlinie an Ihre IAM-Identitäten anfügen. Diese Richtlinie gewährt nur lesenden Client-Zugriff auf S3 Files-Dateisysteme, einschließlich der Möglichkeit, das Dateisystem zu mounten und aus dem Dateisystem zu lesen. Weitere Informationen zu dieser Richtlinie finden Sie [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesClientReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesClientReadOnlyAccess.html)in der Referenz zu AWS verwalteten Richtlinien.

## AWS verwaltete Richtlinie: AmazonS3FilesCSIDriverPolicy
<a name="s3-files-security-iam-awsmanpol-amazons3filescsidriverpolicy"></a>

Sie können die `AmazonS3FilesCSIDriverPolicy`-Richtlinie an Ihre IAM-Identitäten anfügen. Diese Richtlinie gewährt dem Amazon EFS Container Storage Interface (CSI) -Treiber Berechtigungen zur Verwaltung von S3 Files-Zugriffspunkten im Namen von Amazon EKS-Clustern. Weitere Informationen zu dieser Richtlinie finden Sie [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesCSIDriverPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesCSIDriverPolicy.html)in der Referenz zu AWS verwalteten Richtlinien.

## AWS verwaltete Richtlinie: AmazonElasticFileSystemUtils
<a name="s3-files-security-iam-awsmanpol-amazonelasticfilesystemutils"></a>

Sie können die `AmazonElasticFileSystemUtils`-Richtlinie an Ihre IAM-Identitäten anfügen. Diese Richtlinie gewährt den Dienstprogrammen des S3 Files-Clients (amazon-efs-utils) Berechtigungen zur Ausführung von Vorgängen wie der Beschreibung von Bereitstellungszielen, der Veröffentlichung von CloudWatch Metriken und Protokollen und der Kommunikation mit AWS Systems Manager. Weitere Informationen zu dieser Richtlinie finden Sie [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonElasticFileSystemUtils.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonElasticFileSystemUtils.html)in der Referenz zu AWS verwalteten Richtlinien.

## Aktualisierungen AWS verwalteter Richtlinien in Amazon S3 Files
<a name="s3-files-security-iam-awsmanpol-updates"></a>

Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon S3 Files an, seit S3 Files begonnen hat, diese Änderungen zu verfolgen.


| Änderungen | Beschreibung | Date | 
| --- | --- | --- | 
|  `AmazonElasticFileSystemUtils`— Aktualisiert  |   CloudWatch PutMetricData Amazon-Berechtigungen wurden hinzugefügt, um die Veröffentlichung von Client-Konnektivitätsmetriken zu unterstützen.  | 7. April 2026 | 
|  `AmazonS3FilesCSIDriverPolicy`— Hinzugefügt  |  Neue verwaltete Richtlinie, die dem Amazon EFS CSI-Treiber Berechtigungen zur Verwaltung von S3 Files-Zugriffspunkten im Namen von Amazon EKS-Clustern gewährt.  | 7. April 2026 | 
|  `AmazonS3FilesClientReadOnlyAccess`— Hinzugefügt  |  Neue verwaltete Richtlinie, die schreibgeschützten Client-Zugriff auf S3 Files-Dateisysteme gewährt.  | 7. April 2026 | 
|  `AmazonS3FilesClientReadWriteAccess`— Hinzugefügt  |  Neue verwaltete Richtlinie, die Lese- und Schreibclientzugriff auf S3 Files-Dateisysteme gewährt.  | 7. April 2026 | 
|  `AmazonS3FilesClientFullAccess`— Hinzugefügt  |  Neue verwaltete Richtlinie, die vollen Client-Zugriff auf S3 Files-Dateisysteme gewährt, einschließlich Root-Zugriff.  | 7. April 2026 | 
|  `AmazonS3FilesReadOnlyAccess`— Hinzugefügt  |  Neue verwaltete Richtlinie, die nur Lesezugriff auf S3 Files-Ressourcen gewährt.  | 7. April 2026 | 
|  `AmazonS3FilesFullAccess`— Hinzugefügt  |  Neue verwaltete Richtlinie, die vollen Zugriff auf S3 Files-Ressourcen gewährt.  | 7. April 2026 | 
|  S3 Files hat begonnen, Änderungen zu verfolgen  |  Amazon S3 Files hat damit begonnen, Änderungen für seine AWS verwalteten Richtlinien nachzuverfolgen.  | 7. April 2026 |