Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Einrichten von Storage Browser für S3
<a name="setup-storagebrowser"></a>

Um Endbenutzer mit Amazon-S3*-Standorten* zu verbinden, müssen Sie zunächst eine Authentifizierungs- und Autorisierungsmethode einrichten. Es gibt drei Methoden, um eine Authentifizierungs- und Autorisierungsmethode mit Storage Browser einzurichten:
+ [Methode 1: Verwalten des Datenzugriffs für Ihre Kunden und Drittanbieter](#setup-storagebrowser-method1)
+ [Methode 2: Verwaltung des Datenzugriffs für Ihre IAM-Prinzipale für Ihr Konto AWS](#setup-storagebrowser-method2)
+ [Methode 3: Verwalten des Datenzugriffs in großem Umfang](#setup-storagebrowser-method3)

## Methode 1: Verwalten des Datenzugriffs für Ihre Kunden und Drittanbieter
<a name="setup-storagebrowser-method1"></a>

Mit dieser Methode können Sie [AWS Amplify Auth](https://docs.amplify.aws/react/build-a-backend/auth/set-up-auth/) verwenden, um Datenzugriff und -sicherheit zu verwalten. Diese Methode ist ideal, wenn Sie Ihre Kunden oder Drittanbieter mit Daten in S3 verbinden möchten. Mit dieser Option können sich Ihre Kunden mithilfe von Identitätsanbietern für soziale Netzwerke oder Unternehmen authentifizieren.

Sie stellen Ihren Endbenutzern und Drittanbietern IAM-Anmeldeinformationen zur Verfügung, indem Sie AWS Amplify Auth mit einem S3-Bucket verwenden, der für die Verwendung von Amplify Storage konfiguriert ist. AWS Amplify Auth basiert auf [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/what-is-amazon-cognito.html), einem vollständig verwalteten Kundenidentitäts- und Zugriffsverwaltungsservice, mit dem Sie Benutzer über ein integriertes Benutzerverzeichnis oder Unternehmensverzeichnis oder über Anbieter von Verbraucheridentitäten authentifizieren und autorisieren können. Das Amplify-Autorisierungsmodell definiert, auf welche Präfixe der aktuell authentifizierte Benutzer zugreifen kann. Weitere Informationen zum Einrichten der Autorisierung für AWS Amplify finden Sie unter [Einrichten des Speichers](https://docs.amplify.aws/react/build-a-backend/storage/set-up-storage/).

Um die Komponente mit den Amplify-Authentifizierungs- und Speichermethoden zu initialisieren, fügen Sie Ihrer Webanwendung den folgenden Codeausschnitt hinzu:

```
import {
  createAmplifyAuthAdapter,
  createStorageBrowser,
} from '@aws-amplify/ui-react-storage/browser';
import "@aws-amplify/ui-react-storage/styles.css";

import config from './amplify_outputs.json';

Amplify.configure(config);

export const { StorageBrowser } = createStorageBrowser({
  config: createAmplifyAuthAdapter(),
});
```

## Methode 2: Verwaltung des Datenzugriffs für Ihre IAM-Prinzipale für Ihr Konto AWS
<a name="setup-storagebrowser-method2"></a>

Wenn Sie den Zugriff für Ihre IAM-Prinzipale oder für Sie AWS-Konto direkt verwalten möchten, können Sie eine IAM-Rolle erstellen, die über Berechtigungen zum Aufrufen des S3-API-Vorgangs verfügt. [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetDataAccess.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetDataAccess.html) Um dies einzurichten, müssen Sie eine S3 Access Grants Instance erstellen, um den angegebenen IAM-Identitäten Berechtigungen für S3-Allzweck-Buckets und Präfixe zuzuweisen. Die Komponente Storage Browser (die auf der Client-Seite nach dem Erhalt der IAM-Anmeldeinformationen aufgerufen werden muss) ruft dann die S3-API-Operation [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListCallerAccessGrants.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListCallerAccessGrants.html) auf, um die verfügbaren Berechtigungen für den Identitätsanforderer abzurufen und die Speicherorte in der Komponente aufzufüllen. Nachdem Sie die `s3:GetDataAccess`-Genehmigung erhalten haben, werden diese Anmeldeinformationen dann von der Storage-Browser-Komponente verwendet, um den Datenzugriff auf S3 anzufordern.

```
import {
  createManagedAuthAdapter,
  createStorageBrowser,
} from '@aws-amplify/ui-react-storage/browser';
import "@aws-amplify/ui-react-storage/styles.css";

export const { StorageBrowser } = createStorageBrowser({
  config: createManagedAuthAdapter({
    credentialsProvider: async (options?: { forceRefresh?: boolean }) => {
      // return your credentials object
      return {
        credentials: {
          accessKeyId: 'my-access-key-id',
          secretAccessKey: 'my-secret-access-key',
          sessionToken: 'my-session-token',
          expiration: new Date()
        },
      }
    },
    // AWS `region` and `accountId`
    region: '',
    accountId: '',
    // call `onAuthStateChange` when end user auth state changes 
    // to clear sensitive data from the `StorageBrowser` state
    registerAuthListener: (onAuthStateChange) => {},
  })
});
```

## Methode 3: Verwalten des Datenzugriffs in großem Umfang
<a name="setup-storagebrowser-method3"></a>

Wenn Sie Ihrem IAM Identity Center eine [S3-Access-Grants-Instance](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html) zuordnen möchten, um eine skalierbarere Lösung zu erhalten (z. B. Datenzugriff für Ihr gesamtes Unternehmen gewähren), können Sie im Namen des aktuell authentifizierten Benutzers Daten von Amazon S3 anfordern. Sie können beispielsweise Benutzergruppen in Ihrem Unternehmensverzeichnis Zugriff auf Ihre Daten in S3 gewähren. Mit diesem Ansatz können Sie S3-Access-Grants-Berechtigungen für Ihre Benutzer und Gruppen zentral verwalten, einschließlich derer, die bei externen Anbietern wie Microsoft Entra, Okta und anderen gehostet werden.

Wenn Sie diese Methode verwenden, ermöglicht Ihnen die [Integration mit dem IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation.html) die Verwendung vorhandener Benutzerverzeichnisse. Ein weiterer Vorteil der Weitergabe vertrauenswürdiger Identitäten im IAM Identity Center besteht darin, dass jedes [AWS CloudTrail -Datenereignis für Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html) einen direkten Verweis auf die Identität des Endbenutzers enthält, der auf die S3-Daten zugegriffen hat.

Wenn Sie über eine Anwendung verfügen, die OAuth 2.0 unterstützt, und Ihre Benutzer Zugriff von diesen Anwendungen auf AWS Dienste benötigen, empfehlen wir Ihnen, Trusted Identity Propagation zu verwenden. Mit Trusted Identity Propagation kann sich ein Benutzer bei einer Anwendung anmelden, und diese Anwendung kann die Identität des Benutzers bei allen Anfragen weitergeben, die auf Daten in AWS Diensten zugreifen. Diese Anwendung interagiert im Namen aller authentifizierten Benutzer mit IAM Identity Center. Weitere Informationen finden Sie unter [Verbreitung vertrauenswürdiger Identitäten mit vom Kunden verwalteten Anwendungen](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-using-customermanagedapps-setup.html).

[Die Weitergabe vertrauenswürdiger Identitäten](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overview.html) ist eine AWS IAM Identity Center Funktion, mit der Administratoren von Connected den Zugriff auf Servicedaten gewähren und prüfen AWS-Services können. Der Zugriff auf diese Daten basiert auf Benutzerattributen wie Gruppenzuordnungen. Die Einrichtung der Verbreitung vertrauenswürdiger Identitäten erfordert die Zusammenarbeit zwischen den Administratoren von Connected AWS-Services und den IAM Identity Center-Administratoren. Weitere Informationen finden Sie unter [Voraussetzungen und Überlegungen](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html).

### Einrichtung
<a name="setup-workflow-storagebrowser-method3"></a>

Um die Storage Browser-Authentifizierung in der [vertrauenswürdigen Identitätsverbreitung AWS-Managementkonsole mithilfe von [S3 Access Grants](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html) und IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation.html) einzurichten, müssen Ihre Anwendungen im Namen des aktuell authentifizierten Benutzers Daten von Amazon S3 anfordern. Mit diesem Ansatz können Sie Benutzern oder Benutzergruppen aus Ihrem Unternehmensverzeichnis direkten Zugriff auf Ihre S3-Buckets, -Präfixe oder -Objekte gewähren. Das bedeutet, dass Ihre Anwendung keine Benutzer einem IAM-Prinzipal zuordnen muss.

Der folgende Workflow beschreibt die Schritte zur Einrichtung von Storage Browser für S3 mithilfe von IAM Identity Center und S3 Access Grants:


| Schritte | Description | 
| --- | --- | 
| 1 | [Aktivieren Sie IAM Identity Center für Ihr AWS Organizations](#enable-iam-idc-org) | 
| 2 | [Konfigurieren Sie den AWS Identity and Access Management Identity Center-Verbund](#configure-iam-idc)  | 
| 3 | [Fügen Sie in der AWS Identity and Access Management Identity Center-Konsole einen vertrauenswürdigen Token-Aussteller hinzu](#add-trusted-token-issuer-idc) Der vertrauenswürdige Token-Aussteller repräsentiert Ihren externen Identitätsanbieter (IdP) innerhalb von IAM Identity Center, sodass er Identitäts-Token für die authentifizierten Benutzer Ihrer Anwendung erkennen kann.  | 
| 4 | [Erstellen Sie eine IAM-Rolle für die `bootstrap`-Anwendung und `identity bearer`.](#create-iam-role-bootstrap)  | 
| 5 | [Ihre Anwendung in IAM Identity Center erstellen und konfigurieren](#create-app-iam-idc) Diese Anwendung interagiert im Namen authentifizierter Benutzer mit IAM Identity Center.  | 
| 6 | [Fügen Sie S3 Access Grants als vertrauenswürdige Anwendung für die Verbreitung von Identitäten hinzu](#add-s3-ag-app) In diesem Schritt wird Ihre Anwendung mit S3 Access Grants verbunden, sodass sie im Namen authentifizierter Benutzer Anfragen an S3 Access Grants stellen kann.  | 
| 7 | [Erstellen einer Gewährung für einen Benutzer oder eine Gruppe](#create-grant-user-group) In diesem Schritt werden Benutzer von AWS Identity and Access Management Identity Center mit dem System for Cross-Domain Identity Management (SCIM) synchronisiert. SCIM synchronisiert Ihre IAM-Identity-Center-Identitäten mit den Identitäten Ihres Identitätsanbieters (IdP).  | 
| 8 | [Erstellen Ihrer Storage-Browser-für-S3-Komponente](#create-storage-browser-component)  | 

### Aktivieren Sie IAM Identity Center für Ihr AWS Organizations
<a name="enable-iam-idc-org"></a>

Gehen Sie wie folgt vor AWS Organizations, um IAM Identity Center für Sie zu aktivieren:

1. Melden Sie sich mit einer der AWS-Managementkonsole folgenden Methoden bei der an:

   1. ****Neu bei AWS (Root-Benutzer)** —** Melden Sie sich als Kontoinhaber an, indem Sie Root-Benutzer auswählen und Ihre AWS-Konto E-Mail-Adresse eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.

   1. ****Verwenden Sie bereits AWS (IAM-Anmeldeinformationen)** —** Melden Sie sich mit Ihren IAM-Anmeldeinformationen mit Administratorrechten an.

1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).

1. Wählen Sie unter **IAM Identity Center aktivieren** die Option **Aktivieren** aus.
**Anmerkung**  
IAM Identity Center erfordert die Einrichtung von. AWS Organizations Wenn Sie noch keine Organisation eingerichtet haben, können Sie sich dafür entscheiden, eine für Sie AWS erstellen zu lassen. Wählen Sie ** AWS Organisation erstellen**, um diesen Vorgang abzuschließen.

1. Wählen Sie **Aktivieren mit AWS Organizations**.

1. Klicken Sie auf **Weiter**.

1. (Optional) Fügen Sie alle Tags hinzu, die Sie dieser Organisations-Instance zuordnen möchten.

1. (Optional) Konfigurieren Sie die delegierte Administration.
**Anmerkung**  
Wenn Sie eine Umgebung mit mehreren Konten verwenden, empfehlen wir Ihnen, die delegierte Administration zu konfigurieren. Mit der delegierten Verwaltung können Sie die Anzahl der Personen einschränken, die Zugriff auf das Verwaltungskonto in AWS Organizations benötigen. Weitere Informationen finden Sie unter [Delegierte Administration](https://docs.aws.amazon.com/singlesignon/latest/userguide/delegated-admin.html).

1. Wählen Sie **Speichern**.

AWS Organizations sendet automatisch eine Bestätigungs-E-Mail an die Adresse, die mit Ihrem Verwaltungskonto verknüpft ist. Es kann eine Verzögerung eintreten, bevor Sie die Verifizierungs-E-Mail erhalten. Stellen Sie sicher, dass Sie Ihre E-Mail-Adresse innerhalb von 24 Stunden verifizieren, bevor Ihre Bestätigungs-E-Mail abläuft.

### Konfigurieren Sie den AWS Identity and Access Management Identity Center-Verbund
<a name="configure-iam-idc"></a>

Um Storage Browser für S3 mit Unternehmensverzeichnisbenutzern zu verwenden, müssen Sie IAM Identity Center für die Verwendung eines externen Identitätsanbieters (IdP) konfigurieren. Sie können den bevorzugten Identitätsanbieter Ihrer Wahl verwenden. Beachten Sie jedoch, dass jeder Identitätsanbieter unterschiedliche Konfigurationseinstellungen verwendet. Tutorials zur Verwendung verschiedener externer Identitätsanbieter finden Sie in den [Tutorials zur Quelle von IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html).

**Anmerkung**  
Achten Sie darauf, die Aussteller-URL und die Zielgruppenattribute des von Ihnen konfigurierten Identitätsanbieters aufzuzeichnen, da Sie sich in späteren Schritten darauf beziehen müssen. Wenn Sie nicht über den erforderlichen Zugriff oder die erforderlichen Berechtigungen zum Konfigurieren eines IdP verfügen, müssen Sie sich möglicherweise an den Administrator des externen IdP wenden, um diese zu erhalten. 

### Fügen Sie in der AWS Identity and Access Management Identity Center-Konsole einen vertrauenswürdigen Token-Aussteller hinzu
<a name="add-trusted-token-issuer-idc"></a>

Der vertrauenswürdige Token-Aussteller repräsentiert Ihren externen Identitätsanbieter im AWS Identity and Access Management Identity Center und erkennt Token für die authentifizierten Benutzer Ihrer Anwendung. Der Kontoinhaber der IAM Identity Center-Instanz in Ihrem Fall AWS Organizations muss diese Schritte ausführen. Diese Schritte können entweder in der IAM-Identity-Center-Konsole oder programmgesteuert ausgeführt werden. 

Gehen Sie wie folgt vor, um in der AWS Identity and Access Management Identity Center-Konsole einen vertrauenswürdigen Token-Aussteller hinzuzufügen:

1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).

1. Wählen Sie **Einstellungen** aus.

1. Wählen Sie die Registerkarte **Authentifizierung** aus.

1. Navigieren Sie zum Abschnitt **Vertrauenswürdige Token-Aussteller** und geben Sie die folgenden Details ein:

   1. Geben Sie unter **Aussteller-URL** die URL des externen IdP ein, der als vertrauenswürdiger Token-Aussteller dient. Möglicherweise müssen Sie sich an den Administrator des externen IdP wenden, um diese Informationen zu erhalten. Weitere Informationen finden Sie unter [Verwenden von Anwendungen mit einem vertrauenswürdigen Token-Aussteller](https://docs.aws.amazon.com/singlesignon/latest/userguide/using-apps-with-trusted-token-issuer.html).

   1. Geben Sie unter **Name des vertrauenswürdigen Token-Ausstellers** einen Namen für den vertrauenswürdigen Token-Aussteller ein. Dieser Name wird in der Liste der vertrauenswürdigen Token-Aussteller angezeigt, die Sie in *Schritt 8* auswählen können, wenn eine Anwendungsressource für die Identitätsverbreitung konfiguriert ist.

1. Aktualisieren Sie Ihre **Zuordnungsattribute** auf Ihr bevorzugtes Anwendungsattribut, wobei jedes Identitätsanbieterattribut einem IAM-Identity-Center-Attribut zugeordnet ist. Beispielsweise können Sie das [Anwendungsattribut](https://docs.aws.amazon.com/singlesignon/latest/userguide/mapawsssoattributestoapp.html) `email` dem IAM-Identity-Center-Benutzerattribut `email` zuordnen. Eine Liste der zulässigen Benutzerattribute in IAM Identity Center finden Sie in der Tabelle unter [Attributzuordnungen für das AWS verwaltete Microsoft](https://docs.aws.amazon.com/singlesignon/latest/userguide/attributemappingsconcept.html) AD-Verzeichnis.

1. (Optional) Wenn Sie ein Ressourcen-Tag hinzufügen möchten, geben Sie das Schlüssel- und Wertepaar ein. Um mehrere Ressourcen-Tags hinzuzufügen, wählen Sie **Neues Tag hinzufügen** aus, um einen neuen Eintrag zu generieren, und geben Sie die Schlüssel- und Wertepaare ein.

1. Wählen Sie **Vertrauenswürdigen Token-Aussteller erstellen** aus.

1. Wenn Sie mit der Erstellung des vertrauenswürdigen Token-Ausstellers fertig sind, wenden Sie sich an den Anwendungsadministrator, um ihm den Namen des vertrauenswürdigen Token-Ausstellers mitzuteilen, damit er bestätigen kann, dass der vertrauenswürdige Token-Aussteller in der entsprechenden Konsole sichtbar ist. 

1. Stellen Sie sicher, dass der Anwendungsadministrator diesen vertrauenswürdigen Token-Aussteller in der entsprechenden Konsole auswählt, damit Benutzer über Anwendungen, die für die Weitergabe vertrauenswürdiger Identitäten konfiguriert sind, auf die Anwendung zugreifen können.

### Erstellen Sie eine IAM-Rolle für die `bootstrap`-Anwendung und `identity bearer`.
<a name="create-iam-role-bootstrap"></a>

Um sicherzustellen, dass die `bootstrap`-Anwendung und die `identity bearer`-Benutzer ordnungsgemäß zusammenarbeiten können, stellen Sie sicher, dass Sie [zwei IAM-Rollen erstellen](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/create-iam-role.html). Eine IAM-Rolle ist für die `bootstrap`-Anwendung erforderlich und die andere IAM-Rolle muss für den Identitätsträger oder die Endbenutzer verwendet werden, die auf die Webanwendung zugreifen, die Zugriff über S3 Access Grants anfordert. Die `bootstrap`-Anwendung empfängt das vom Identitätsanbieter ausgegebene Token und ruft die `CreateTokenWithIAM` API auf. Dabei wird dieses Token mit dem vom Identity Center ausgegebenen Token ausgetauscht.

Erstellen Sie eine IAM-Rolle, wie `bootstrap-role`, mit Berechtigungen wie den folgenden. Die folgende Beispiel-IAM-Richtlinie erteilt der `bootstrap-role` Berechtigungen, den Token-Austausch durchzuführen:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [{
        "Action": [
            "sso-oauth:CreateTokenWithIAM",
        ],
        "Resource": "arn:${Partition}:sso::${AccountId}:application/${InstanceId}/${ApplicationId}",
        "Effect": "Allow"
    },
    {
        "Action": [
            "sts:AssumeRole",
            "sts:SetContext"
        ],
        "Resource": "arn:aws:iam::${AccountId}:role/identity-bearer-role",
        "Effect": "Allow"
    }]
}
```

Erstellen Sie dann eine zweite IAM-Rolle (z. B.`identity-bearer-role`), die der Identity Broker verwendet, um die IAM-Anmeldeinformationen zu generieren. Die vom Identity Broker an die Webanwendung zurückgegebenen IAM-Anmeldeinformationen werden von der Komponente Storage Browser for S3 verwendet, um den Zugriff auf S3-Daten zu ermöglichen:

```
{
    "Action": [
        "s3:GetDataAccess",
        "s3:ListCallerAccessGrants",
    ],
    "Resource": "arn:${Partition}:s3:${Region}:${Account}:access-grants/default",
    "Effect": "Allow"
}
```

Diese IAM-Rolle (`identity-bearer-role`) muss eine Vertrauensrichtlinie mit der folgenden Anweisung verwenden:

```
{
   "Effect": "Allow",
   "Principal": {
      "AWS": "arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}"
   },
   "Action": [
       "sts:AssumeRole",
       "sts:SetContext"
   ]
}
```

### Ihre Anwendung in IAM Identity Center erstellen und konfigurieren
<a name="create-app-iam-idc"></a>

**Anmerkung**  
Bevor Sie beginnen, sollten Sie sicherstellen, dass Sie die erforderlichen IAM-Rollen aus dem vorherigen Schritt erstellt haben. In diesem Schritt müssen Sie eine dieser IAM-Rollen angeben.

Gehen Sie wie folgt vor, um eine vom Kunden verwaltete Anwendung in AWS IAM Identity Center zu erstellen und zu konfigurieren:

1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).

1. Wählen Sie **Applications (Anwendungen)**.

1. Wählen Sie die Registerkarte **Vom Kunden verwaltet** aus.

1. Wählen Sie **Anwendung hinzufügen**.

1. Wählen Sie auf der Seite **Anwendungstyp auswählen** unter **Einrichtungspräferenz** die Option **Ich habe eine Anwendung, die ich einrichten möchte** aus.

1. Wählen Sie unter **Anwendungstyp** die Option **OAuth2.0** aus.

1. Wählen Sie **Weiter** aus. Die Seite **Anwendung angeben** wird angezeigt.

1. Geben Sie im Abschnitt **Anwendungsname und Beschreibung** einen **Anzeigenamen** für die Anwendung ein, z. B. **storage-browser-oauth**.

1. Geben Sie eine **Description** ein. Die Anwendungsbeschreibung wird in der IAM Identity Center-Konsole und in API-Anfragen angezeigt, jedoch nicht im AWS Zugriffsportal.

1. Wählen Sie unter **Zuweisungsmethode für Benutzer und Gruppen** die Option **Keine Zuweisungen erforderlich** aus. Diese Option ermöglicht allen autorisierten Benutzern und Gruppen von IAM Identity Center Zugriff auf diese Anwendung.

1. Geben Sie unter **AWS -Zugriffsportal** eine Anwendungs-URL ein, über die Benutzer auf die Anwendung zugreifen können.

1. (Optional) Wenn Sie ein Ressourcen-Tag hinzufügen möchten, geben Sie das Schlüssel- und Wertepaar ein. Um mehrere Ressourcen-Tags hinzuzufügen, wählen Sie **Neues Tag hinzufügen** aus, um einen neuen Eintrag zu generieren, und geben Sie die Schlüssel- und Wertepaare ein.

1. Wählen Sie **Weiter** aus. Die Seite **Authentifizierung angeben** wird angezeigt.

1. Verwenden Sie unter **Authentifizierung mit vertrauenswürdigem Token-Aussteller** das Kontrollkästchen, um den vertrauenswürdigen Token-Aussteller auszuwählen, den Sie zuvor erstellt haben.

1. Geben Sie unter **Ausgewählte vertrauenswürdige Token-Aussteller konfigurieren** den [AUD-Anspruch](https://docs.aws.amazon.com/singlesignon/latest/userguide/trusted-token-issuer-configuration-settings.html#trusted-token-issuer-aud-claim) ein. Der **AUD-Anspruch** identifiziert die Zielgruppe des JSON Web Token (JWT) und es ist der Name, mit dem der vertrauenswürdige Token-Aussteller diese Anwendung identifiziert.
**Anmerkung**  
Möglicherweise müssen Sie sich an den Administrator des externen IdP wenden, um diese Informationen zu erhalten.

1. Wählen Sie **Weiter** aus. Die Seite **Anmeldeinformationen für die Authentifizierung angeben** wird angezeigt.

1. Wählen Sie unter **Konfigurationsmethode** die Option **Eine oder mehrere IAM-Rollen eingeben** aus.

1. Fügen Sie unter **IAM-Rollen eingeben** die [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) oder den Amazon-Ressourcennamen (ARN) für das Identitätsträger-Token hinzu. Sie müssen die IAM-Rolle eingeben, die Sie im vorherigen Schritt für die Identity-Broker-Anwendung erstellt haben (z. B. **bootstrap-role**).

1. Wählen Sie **Weiter** aus.

1. Prüfen Sie auf der Seite **Überprüfen und konfigurieren** die Details Ihrer Anwendungskonfiguration. Wenn Sie eine der Einstellungen ändern müssen, wählen Sie **Bearbeiten** für den Abschnitt aus, den Sie bearbeiten möchten, und nehmen Sie Ihre Änderungen vor.

1. Wählen Sie **Absenden** aus. Die Detailseite der Anwendung, die Sie gerade hinzugefügt haben, wird angezeigt.

Nachdem Sie Ihre Anwendungen eingerichtet haben, können Ihre Benutzer von ihrem Zugriffsportal aus auf Ihre Anwendungen AWS zugreifen, basierend auf den von [Ihnen erstellten Berechtigungssätzen](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-create-a-permission-set.html) und dem [Benutzerzugriff, den Sie zugewiesen haben](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-assign-account-access-user.html).

### Fügen Sie S3 Access Grants als vertrauenswürdige Anwendung für die Verbreitung von Identitäten hinzu
<a name="add-s3-ag-app"></a>

Nachdem Sie Ihre vom Kunden verwaltete Anwendung eingerichtet haben, müssen Sie S3 Access Grants für die Verbreitung von Identitäten angeben. S3 Access Grants bietet Benutzern Anmeldeinformationen für den Zugriff auf Amazon-S3-Daten. Wenn Sie sich bei Ihrer vom Kunden verwalteten Anwendung anmelden, gibt S3 Access Grants Ihre Benutzeridentität an die vertrauenswürdige Anwendung weiter.

 **Voraussetzung:** Stellen Sie sicher, dass Sie S3 Access Grants eingerichtet haben (z. B. [eine S3-Access-Grants-Instance erstellt](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-instance-create.html) und [einen Speicherort registriert](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-location-register.html) haben), bevor Sie diese Schritte ausführen. Weitere Informationen finden Sie unter [Erste Schritte mit S3 Access Grants](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html).

Gehen Sie wie folgt vor, um S3 Access Grants für die Verbreitung von Identitäten zu Ihrer vom Kunden verwalteten Anwendung hinzuzufügen:

1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).

1. Wählen Sie **Applications (Anwendungen)**.

1. Wählen Sie die Registerkarte **Vom Kunden verwaltet** aus.

1. Wählen Sie in der Liste „Vom **Kunden verwaltete Anwendungen**“ die OAuth 2.0-Anwendung aus, für die Sie Zugriffsanfragen initiieren möchten. Dies ist die Anwendung, bei der sich Ihre Benutzer anmelden werden.

1. Wählen Sie auf der **Detailseite** unter **Vertrauenswürdige Anwendungen für die Verbreitung von Identitäten** die Option **Vertrauenswürdige Anwendungen angeben** aus.

1. Wählen Sie unter Einrichtungstyp die Option „Einzelne Anwendungen“ aus, geben Sie den Zugriff an, und klicken Sie dann auf **Weiter**.

1. Wählen Sie auf der Seite **Serviceauswählen** die Option **S3 Access Grants** aus. S3 Access Grants verfügt über Anwendungen, mit denen Sie Ihre eigene Webanwendung für die Verbreitung vertrauenswürdiger Identitäten definieren können.

1. Wählen Sie **Weiter** aus. Im nächsten Schritt wählen Sie Ihre Anwendungen aus.

1. Wählen Sie auf der Seite **Anwendungen auswählen** die Option **Einzelne Anwendungen** aus, aktivieren Sie das Kontrollkästchen für jede Anwendung, die Zugriffsanfragen erhalten kann, und klicken Sie dann auf **Weiter**.

1. Wählen Sie auf der Seite **Zugriff konfigurieren** unter **Konfigurationsmethode** eine der folgenden Optionen aus: 
   + **Zugriff pro Anwendung auswählen –** Wählen Sie diese Option aus, um für jede Anwendung unterschiedliche Zugriffsebenen zu konfigurieren. Wählen Sie die Anwendung aus, für die Sie die Zugriffsebene konfigurieren möchten, und klicken Sie dann auf **Zugriff bearbeiten**. Ändern Sie unter **Anzuwendende Zugriffsebene** die Zugriffsebenen nach Bedarf und wählen Sie dann **Änderungen speichern** aus.
   + ****Gleiche Zugriffsebene auf alle Anwendungen anwenden** –** Wählen Sie diese Option aus, wenn Sie die Zugriffsebenen nicht für jede Anwendung konfigurieren müssen.

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie auf der Seite **Konfiguration überprüfen** die von Ihnen getroffenen Entscheidungen. 
**Anmerkung**  
Sie sollten sicherstellen, dass die `s3:access_grants:read_write`-Berechtigung für Ihre Benutzer erteilt wird. Diese Berechtigung ermöglicht Ihren Benutzern das Abrufen von Anmeldeinformationen für den Zugriff auf Amazon S3. Stellen Sie sicher, dass Sie entweder die zuvor erstellte IAM-Richtlinie oder S3 Access Grants verwenden, um den Zugriff auf Schreibvorgänge zu beschränken.

1. Um Änderungen vorzunehmen, wählen Sie **Bearbeiten** für den Konfigurationsabschnitt aus, an dem Sie Änderungen vornehmen möchten. Nehmen Sie dann die gewünschten Änderungen vor und wählen Sie **Änderungen speichern** aus.

1. Wählen Sie **Anwendungen vertrauen** aus, um die vertrauenswürdige Anwendung für die Verbreitung von Identitäten hinzuzufügen.

### Erstellen einer Gewährung für einen Benutzer oder eine Gruppe
<a name="create-grant-user-group"></a>

In diesem Schritt verwenden Sie IAM Identity Center für die Bereitstellung Ihrer Benutzer. Sie können SCIM für die [automatisierte oder manuelle Bereitstellung von Benutzern](https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html) und Gruppen verwenden. SCIM synchronisiert Ihre IAM-Identity-Center-Identitäten mit den Identitäten Ihres Identitätsanbieters (IdP). Dies beinhaltet jegliche Bereitstellung, Aktualisierung und Deprovisionierung von Benutzern zwischen Ihrem IdP und IAM Identity Center.

**Anmerkung**  
Dieser Schritt ist erforderlich, da bei der Verwendung von S3 Access Grants mit IAM Identity Center keine lokalen IAM-Identity-Center-Benutzer verwendet werden. Stattdessen müssen Benutzer vom Identitätsanbieter aus mit IAM Identity Center synchronisiert werden.

Gehen Sie wie folgt vor, um Benutzer von Ihrem Identitätsanbieter mit IAM Identity Center zu synchronisieren:

1. [Aktivieren Sie die automatische Bereitstellung](https://docs.aws.amazon.com/singlesignon/latest/userguide/how-to-with-scim.html).

1. [Erstellen Sie ein Zugriffs-Token](https://docs.aws.amazon.com/singlesignon/latest/userguide/generate-token.html).

Beispiele für die Einrichtung des Identitätsanbieters mit IAM Identity Center für Ihren speziellen Anwendungsfall finden Sie in den [Tutorials zur Identitätsquelle von IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html).

### Erstellen Ihrer Storage-Browser-für-S3-Komponente
<a name="create-storage-browser-component"></a>

Nachdem Sie Ihre IAM-Identity-Center-Instance eingerichtet und Erteilungen in S3 Access Grants erstellt haben, öffnen Sie Ihre React-Anwendung. Verwenden Sie in der React-Anwendung `createManagedAuthAdapter`, um die Autorisierungsregeln einzurichten. Sie müssen einen Anbieter für Anmeldeinformationen angeben, um die Anmeldeinformationen zurückzugeben, die Sie vom IAM Identity Center erlangt haben. Anschließend können Sie `createStorageBrowser` aufrufen, um die Komponente Storage Browser für S3 zu initialisieren:

```
import {
    createManagedAuthAdapter,
    createStorageBrowser,
} from '@aws-amplify/ui-react-storage/browser';
import '@aws-amplify/ui-react-storage/styles.css';

export const { StorageBrowser } = createStorageBrowser({
   config: createManagedAuthAdapter({
    credentialsProvider: async (options?: { forceRefresh?: boolean }) => {
      // return your credentials object
      return {
        credentials: {
          accessKeyId: 'my-access-key-id',
          secretAccessKey: 'my-secret-access-key',
          sessionToken: 'my-session-token',
          expiration: new Date(),
        },
      }
    },
    // AWS `region` and `accountId` of the S3 Access Grants Instance.
    region: '',
    accountId: '',
    // call `onAuthStateChange` when end user auth state changes 
    // to clear sensitive data from the `StorageBrowser` state
    registerAuthListener: (onAuthStateChange) => {},
  })
});
```



Erstellen Sie dann einen Mechanismus, um die JSON-Webtoken (JWTs) aus Ihrer Webanwendung gegen die IAM-Anmeldeinformationen von IAM Identity Center auszutauschen. Weitere Informationen darüber, wie das JWT ausgetauscht wird, finden Sie in den folgenden Ressourcen:
+ Beitrag [How to develop a user-facing data application with IAM Identity Center and S3 Access Grants](https://aws.amazon.com/blogs/storage/how-to-develop-a-user-facing-data-application-with-iam-identity-center-and-s3-access-grants-part-2/) im *AWS Storage Blog*
+ Beitrag [Scaling data access with S3 Access Grants](https://aws.amazon.com/blogs/storage/scaling-data-access-with-amazon-s3-access-grants/) im *AWS Storage Blog*
+ [Workshop zu S3 Access Grants](https://catalog.us-east-1.prod.workshops.aws/workshops/77b0af63-6ad2-4c94-bfc0-270eb9358c7a/en-US) im *AWS Workshop Studio*
+ Workshop „[S3 Access Grants](https://github.com/aws-samples/s3-access-grants-workshop)“ zum *GitHub*

Richten Sie anschließend einen API-Endpunkt ein, um Anfragen zum Abrufen von Anmeldeinformationen zu bearbeiten. Gehen Sie folgendermaßen vor, um den Austausch von JSON Web Token (JWT) zu validieren:

1. Rufen Sie das JSON Web Token aus dem Autorisierungs-Header für eingehende Anforderungen ab.

1. Überprüfen Sie das Token mithilfe der öffentlichen Schlüssel aus der angegebenen URL des JSON Web Key Set (JWKS).

1. Überprüfen Sie die Ablaufzeit, den Aussteller, den Betreff und die Zielgruppenansprüche des Tokens.

Gehen Sie wie folgt vor, um das JSON-Webtoken des Identitätsanbieters gegen AWS IAM-Anmeldeinformationen auszutauschen: 

**Tipp**  
Achten Sie darauf, keine vertraulichen Informationen zu protokollieren. Wir empfehlen, Fehlerbehandlungsmechanismen für fehlende Autorisierung, abgelaufene Tokens und andere Ausnahmen zu verwenden. Weitere Informationen finden Sie im Beitrag [Implementieren von AWS Lambda Fehlerbehandlungsmustern](https://aws.amazon.com/blogs/compute/implementing-aws-lambda-error-handling-patterns/) im *AWS Compute-Blog*.

1. Stellen Sie sicher, dass die erforderlichen Parameter **Berechtigung** und **Umfang** in der Anforderung angegeben sind.

1. Verwenden Sie die [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html)-API, um das JSON Web Token gegen ein IAM-Identity-Center-Token auszutauschen.
**Anmerkung**  
Nachdem das IdP-JSON-Webtoken verwendet wurde, kann es nicht erneut verwendet werden. Für den Austausch mit IAM Identity Center muss ein neues Token verwendet werden.

1. Verwenden Sie den [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)API-Vorgang, um mithilfe des IAM Identity Center-Tokens eine vorübergehende Rolle anzunehmen. Stellen Sie sicher, dass Sie die Rolle des Identitätsträgers verwenden, die auch als die Rolle bezeichnet wird, die den Identitätskontext trägt (z. B. **identity-bearer-role**), um die Anmeldeinformationen anzufordern.

1. Geben Sie die IAM-Anmeldeinformationen an die Webanwendung zurück.
**Anmerkung**  
Stellen Sie sicher, dass Sie einen geeigneten Protokollierungsmechanismus eingerichtet haben. Antworten werden in einem standardisierten JSON-Format mit einem entsprechenden HTTP-Statuscode zurückgegeben.