Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Identitäts- und Zugriffsmanagement in AWS DataSync
AWS verwendet Sicherheitsanmeldedaten, um Sie zu identifizieren und Ihnen Zugriff auf Ihre AWS Ressourcen zu gewähren. Sie können Funktionen von AWS Identity and Access Management (IAM) verwenden, um anderen Benutzern, Diensten und Anwendungen die vollständige oder eingeschränkte Nutzung Ihrer AWS Ressourcen zu ermöglichen, ohne Ihre Sicherheitsanmeldeinformationen weiterzugeben.
Standardmäßig sind IAM-Identitäten (Benutzer, Gruppen und Rollen) nicht berechtigt, Ressourcen zu erstellen, anzuzeigen oder zu ändern. AWS Damit Benutzer, Gruppen und Rollen auf AWS DataSync Ressourcen zugreifen und mit der DataSync Konsole und der API interagieren können, empfehlen wir Ihnen, eine IAM-Richtlinie zu verwenden, die ihnen die Erlaubnis erteilt, die spezifischen Ressourcen und API-Aktionen zu verwenden, die sie benötigen. Anschließend hängen Sie die Richtlinie an die IAM-Identität an, die Zugriff erfordert. Eine Übersicht über die grundlegenden Elemente einer Richtlinie erhalten Sie unter [Zugriffsverwaltung für AWS DataSync](managing-access-overview.md).
**Topics**
+ [Zugriffsverwaltung für AWS DataSync](managing-access-overview.md)
+ [AWS verwaltete Richtlinien für AWS DataSync](security-iam-awsmanpol.md)
+ [Vom Kunden verwaltete IAM-Richtlinien für AWS DataSync](using-identity-based-policies.md)
+ [Verwenden von serviceverknüpften Rollen für DataSync](using-service-linked-roles.md)
+ [Berechtigungen für das Markieren von DataSync Ressourcen während der Erstellung](supported-iam-actions-tagging.md)
+ [Serviceübergreifende Confused-Deputy-Prävention](cross-service-confused-deputy-prevention.md)
# Zugriffsverwaltung für AWS DataSync
Jede AWS Ressource gehört einem. AWS-Konto Die Berechtigungen zum Erstellen einer Ressource oder für den Zugriff darauf werden durch Berechtigungsrichtlinien geregelt. Ein Kontoadministrator kann AWS Identity and Access Management (IAM-) Identitäten Berechtigungsrichtlinien zuordnen. Einige Dienste (z. B. AWS Lambda) unterstützen auch das Anhängen von Berechtigungsrichtlinien an Ressourcen.
**Anmerkung**
Ein *Kontoadministrator* ist ein Benutzer mit Administratorrechten in einem AWS-Konto. Weitere Informationen finden Sie unter [Bewährte Methoden für IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
**Topics**
+ [DataSync Ressourcen und Operationen](#access-control-specify-datasync-actions)
+ [Grundlegendes zum Eigentum an Ressourcen](#access-control-owner)
+ [Verwaltung des Zugriffs auf -Ressourcen](#access-control-managing-permissions)
+ [Angeben der Richtlinienelemente: Aktionen, Effekte, Ressourcen und Prinzipale](#policy-elements)
+ [Angeben von Bedingungen in einer Richtlinie](#specifying-conditions)
+ [Erstellen einer VPC-Endpunktrichtlinie](#endpoint-policy-example)
## DataSync Ressourcen und Operationen
DataSyncIn sind die primären Ressourcen Agent, Standort, Aufgabe und Aufgabenausführung.
Diesen Ressourcen sind eindeutige Amazon-Ressourcennamen (ARNs) zugeordnet, wie in der folgenden Tabelle dargestellt.
| Ressourcentyp | ARN-Format |
| --- | --- |
| ARN des Kundendienstmitarbeiters | `arn:aws:datasync:region:account-id:agent/agent-id` |
| Speicherort-ARN | `arn:aws:datasync:region:account-id:location/location-id` |
| Aufgaben-ARN | `arn:aws:datasync:region:account-id:task/task-id ` |
| ARN zur Aufgabenausführung | `arn:aws:datasync:region:account-id:task/task-id/execution/exec-id` |
Um Berechtigungen für bestimmte API-Operationen, wie z. B. das Erstellen einer Aufgabe, zu gewähren, DataSync wird eine Reihe von Aktionen definiert, die Sie in einer Berechtigungsrichtlinie angeben können. Für eine API-Operation können Berechtigungen für mehrere Aktionen erforderlich sein.
## Grundlegendes zum Eigentum an Ressourcen
Ein *Ressourcenbesitzer* ist derjenige AWS-Konto , der die Ressource erstellt hat. Das heißt, der Ressourcenbesitzer ist derjenige AWS-Konto der *Hauptentität* (z. B. einer IAM-Rolle), die die Anfrage authentifiziert, mit der die Ressource erstellt wird. Die folgenden Beispiele veranschaulichen, wie dieses Verhalten funktioniert:
+ Wenn Sie Ihre Root-Kontoanmeldeinformationen verwenden, AWS-Konto um eine Aufgabe zu erstellen, sind Sie AWS-Konto der Besitzer der Ressource (in DataSync, die Ressource ist die Aufgabe).
+ Wenn Sie in Ihrem eine IAM-Rolle erstellen AWS-Konto und diesem Benutzer Berechtigungen für die `CreateTask` Aktion gewähren, kann der Benutzer eine Aufgabe erstellen. Ihre AWS-Konto, zu der der Benutzer gehört, besitzt jedoch die Aufgabenressource.
+ Wenn Sie in Ihrem System eine IAM-Rolle AWS-Konto mit den Berechtigungen zum Erstellen einer Aufgabe erstellen, kann jeder, der die Rolle übernehmen kann, eine Aufgabe erstellen. Ihre AWS-Konto, zu der die Rolle gehört, besitzt die Aufgabenressource.
## Verwaltung des Zugriffs auf -Ressourcen
Eine Berechtigungsrichtlinie beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werden die verfügbaren Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.
**Anmerkung**
In diesem Abschnitt wird die Verwendung von IAM im Kontext von DataSync beschrieben. Er enthält keine detaillierten Informationen über den IAM-Service. Eine umfassende IAM-Dokumentation finden Sie unter [Was ist IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) im *IAM-Benutzerhandbuch*. Informationen zur Syntax und Beschreibungen der IAM-Richtlinien finden Sie in der [AWS Identity and Access Management Richtlinienreferenz](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) im *IAM-Benutzerhandbuch*.
*Mit einer IAM-Identität verknüpfte Richtlinien werden als *identitätsbasierte* Richtlinien (IAM-Richtlinien) bezeichnet, und Richtlinien, die einer Ressource zugeordnet sind, werden als ressourcenbasierte Richtlinien bezeichnet.* DataSync unterstützt nur identitätsbasierte Richtlinien (IAM-Richtlinien).
**Topics**
+ [Identitätsbasierte Richtlinien](#identity-based-policies)
+ [Ressourcenbasierte Richtlinien](#resource-based-policies)
### Identitätsbasierte Richtlinien
Sie können den DataSync Ressourcenzugriff mit IAM-Richtlinien verwalten. Diese Richtlinien können einem AWS-Konto Administrator dabei helfen, Folgendes zu tun: DataSync
+ **Berechtigungen zum Erstellen und Verwalten von DataSync Ressourcen gewähren** — Erstellen Sie eine IAM-Richtlinie, die es einer IAM-Rolle in Ihrem Unternehmen ermöglicht, DataSync Ressourcen wie Agenten, Standorte und Aufgaben AWS-Konto zu erstellen und zu verwalten.
+ Erteilen **Sie Berechtigungen für eine Rolle in einer anderen AWS-Konto oder einer AWS-Service** — Erstellen Sie eine IAM-Richtlinie, die Berechtigungen für eine IAM-Rolle in einer anderen oder einer gewährt. AWS-Konto AWS-Service Beispiel:
1. Der Administrator von Konto A erstellt eine IAM-Rolle und fügt der Rolle, die Berechtigungen für Ressourcen in Konto A gewährt, eine Berechtigungsrichtlinie hinzu.
1. Der Administrator von Konto A ordnet der Rolle eine Vertrauensrichtlinie zu, die Konto B als den Prinzipal identifiziert, der die Rolle übernehmen kann.
Um einem AWS-Service Benutzer die Berechtigung zur Übernahme der Rolle zu gewähren, kann der Administrator von Konto A in der Vertrauensrichtlinie an AWS-Service als Prinzipal angeben.
1. Der Administrator von Konto B kann dann die Berechtigungen zur Übernahme der Rolle an alle Benutzer in Konto B delegieren. Dadurch kann jeder, der die Rolle in Konto B verwendet, Ressourcen in Konto A erstellen oder darauf zugreifen.
Weitere Informationen zum Delegieren von Berechtigungen mithilfe von IAM finden Sie unter [Zugriffsverwaltung](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) im *IAM-Benutzerhandbuch*.
Die folgende Beispielrichtlinie gewährt Berechtigungen für alle `List*` Aktionen auf allen Ressourcen. Diese Aktion ist schreibgeschützt und erlaubt keine Änderung von Ressourcen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllListActionsOnAllResources",
"Effect": "Allow",
"Action": [
"datasync:List*"
],
"Resource": "*"
}
]
}
```
------
[Weitere Informationen zur Verwendung identitätsbasierter Richtlinien mit DataSync finden Sie unter [AWS Verwaltete Richtlinien und Kundenverwaltete Richtlinien](security-iam-awsmanpol.md).](using-identity-based-policies.md) [https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)
### Ressourcenbasierte Richtlinien
Andere Dienste, wie Amazon S3, unterstützen ressourcenbasierte Berechtigungsrichtlinien. Beispielsweise können Sie einem Amazon S3-Bucket eine Richtlinie zuweisen, um die Zugriffsberechtigungen für diesen Bucket zu verwalten. Unterstützt jedoch DataSync keine ressourcenbasierten Richtlinien.
## Angeben der Richtlinienelemente: Aktionen, Effekte, Ressourcen und Prinzipale
Für jede DataSync Ressource definiert der Dienst eine Reihe von API-Operationen (siehe [Aktionen](https://docs.aws.amazon.com/datasync/latest/userguide/API_Operations.html)). DataSync Definiert eine Reihe von Aktionen, die Sie in einer Richtlinie angeben können, um Berechtigungen für diese API-Operationen zu gewähren. Für die DataSync Ressource sind beispielsweise die folgenden Aktionen definiert:`CreateTask`,`DeleteTask`, und`DescribeTask`. Für das Durchführen einer API-Operation können Berechtigungen für mehrere Aktionen erforderlich sein.
Grundlegende Richtlinienelemente:
+ **Ressource** – In einer Richtlinie wird der Amazon-Ressourcenname (ARN) zur Identifizierung der Ressource verwendet, für die die Richtlinie gilt. Für DataSync-Ressourcen können Sie das Platzhalterzeichen `(*)` in IAM-Richtlinien verwenden. Weitere Informationen finden Sie unter [DataSync Ressourcen und Operationen](#access-control-specify-datasync-actions).
+ **Aktion** – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten. Je nach dem angegebenen `Effect` Element gewährt oder verweigert die `datasync:CreateTask` Berechtigung dem Benutzer beispielsweise die Erlaubnis, den DataSync `CreateTask` Vorgang auszuführen.
+ **Effekt** — Sie geben den Effekt an, wenn der Benutzer die bestimmte Aktion anfordert. Dieser Effekt kann entweder oder sein. `Allow` `Deny` Wenn Sie nicht explizit Zugriff auf (`Allow`) auf eine Ressource gewähren, wird der Zugriff implizit verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern, um sicherzustellen, dass ein Benutzer nicht darauf zugreifen kann, auch wenn eine andere Richtlinie diesem Benutzer Zugriff gewährt. Weitere Informationen finden Sie unter [Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-authorization) im *IAM-Benutzerhandbuch*.
+ **Prinzipal** – In identitätsbasierten Richtlinien (IAM-Richtlinien) ist der Benutzer, dem die Richtlinie zugewiesen ist, automatisch der Prinzipal. Bei ressourcenbasierten Richtlinien geben Sie den Benutzer, das Konto, den Dienst oder die andere Entität an, für die Sie Berechtigungen erhalten möchten (gilt nur für ressourcenbasierte Richtlinien). DataSync unterstützt keine ressourcenbasierten Richtlinien.
Weitere Informationen zur Syntax und Beschreibung der IAM-Richtlinien finden Sie in der [AWS Identity and Access Management Richtlinienreferenz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) im *IAM-Benutzerhandbuch*.
## Angeben von Bedingungen in einer Richtlinie
Beim Erteilen von Berechtigungen können Sie mithilfe der IAM-Richtliniensyntax die Bedingungen angeben, unter denen die Richtlinie beim Erteilen von Berechtigungen wirksam werden soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zur Angabe von Bedingungen in der Richtliniensprache finden Sie unter [Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) im *IAM-Benutzerhandbuch*.
Bedingungen werden mithilfe vordefinierter Bedingungsschlüssel formuliert. Für DataSync gibt es keine speziellen Bedingungsschlüssel. Es gibt jedoch AWS umfangreiche Bedingungsschlüssel, die Sie je nach Bedarf verwenden können. Eine vollständige Liste der AWS Wide Keys finden Sie unter [Verfügbare Schlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) im *IAM-Benutzerhandbuch*.
## Erstellen einer VPC-Endpunktrichtlinie
VPC-Endpunktrichtlinien helfen dabei, den Zugriff auf DataSync API-Operationen über DataSync VPC Dienstendpunkte und FIPS-fähige VPC-Dienstendpunkte zu kontrollieren. VPC-Endpunktrichtlinien ermöglichen es Ihnen, bestimmte DataSync API-Aktionen einzuschränken, auf die über Ihre VPC Service-Endpunkte zugegriffen wird, z. B. `CreateTask` oder. `StartTaskExecution`
Eine Endpunktrichtlinie gibt die folgenden Informationen an:
+ Die Prinzipale, die Aktionen ausführen können.
+ Aktionen, die ausgeführt werden können
+ Die Ressourcen, für die Aktionen ausgeführt werden können.
Weitere Informationen finden Sie unter [Steuern des Zugriffs auf VPC-Endpoints mithilfe von Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html).
**Beispielrichtline**
Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"datasync:CreateTask",
"datasync:StartTaskExecution",
"datasync:DescribeTask"
],
"Resource": "arn:aws:datasync:us-east-1:123456789012:task/*"
}
]
}
```
# AWS verwaltete Richtlinien für AWS DataSync
Um Benutzern, Gruppen und Rollen Berechtigungen hinzuzufügen, ist es einfacher, AWS verwaltete Richtlinien zu verwenden, als Richtlinien selbst zu schreiben. Es erfordert Zeit und Fachwissen, um [von Kunden verwaltete IAM-Richtlinien zu erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html), die Ihrem Team nur die benötigten Berechtigungen bieten. Um schnell loszulegen, können Sie unsere AWS verwalteten Richtlinien verwenden. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS-Konto verfügbar. Weitere Informationen zu AWS verwalteten Richtlinien finden Sie im *IAM-Benutzerhandbuch* unter [AWS Verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies).
AWS-Services verwalten und aktualisieren Sie AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Services fügen einer von AWS verwalteten Richtlinien gelegentlich zusätzliche Berechtigungen hinzu, um neue Features zu unterstützen. Diese Art von Update betrifft alle Identitäten (Benutzer, Gruppen und Rollen), an welche die Richtlinie angehängt ist. Services aktualisieren eine von AWS verwaltete Richtlinie am ehesten, ein neues Feature gestartet wird oder neue Vorgänge verfügbar werden. Dienste entfernen keine Berechtigungen aus einer AWS verwalteten Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.
AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die `ReadOnlyAccess` AWS verwaltete Richtlinie bietet beispielsweise nur Lesezugriff auf alle Ressourcen AWS-Services . Wenn ein Dienst eine neue Funktion startet, werden nur Leseberechtigungen für neue Operationen und Ressourcen AWS hinzugefügt. Eine Liste und Beschreibungen der Richtlinien für Auftragsfunktionen finden Sie in [Verwaltete AWS -Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Leitfaden*.
## AWS verwaltete Richtlinie: AWSDataSyncReadOnlyAccess
Sie können die `AWSDataSyncReadOnlyAccess`-Richtlinie an Ihre IAM-Identitäten anfügen. Diese Richtlinie gewährt nur Leseberechtigungen für. DataSync
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncReadOnlyAccess.html) in der *Referenz zu von AWS verwalteten Richtlinien*.
## AWS verwaltete Richtlinie: AWSDataSyncFullAccess
Sie können die `AWSDataSyncFullAccess`-Richtlinie an Ihre IAM-Identitäten anfügen. Diese Richtlinie gewährt Administratorberechtigungen für den Dienst DataSync und ist für den AWS-Managementkonsole Zugriff darauf erforderlich. `AWSDataSyncFullAccess`bietet vollen Zugriff auf DataSync API-Operationen und die Operationen, die mit verwandten Ressourcen interagieren (wie Amazon S3 S3-Buckets, Amazon EFS-Dateisysteme, AWS KMS Schlüssel und Secrets Manager Manager-Geheimnisse). Die Richtlinie gewährt Amazon auch Berechtigungen CloudWatch, einschließlich der Erstellung von Protokollgruppen und der Erstellung oder Aktualisierung einer Ressourcenrichtlinie.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncFullAccess.html) in der *Referenz zu von AWS verwalteten Richtlinien*.
## AWS verwaltete Richtlinie: AWSDataSyncServiceRolePolicy
Sie können die `AWSDataSyncServiceRolePolicy` Richtlinie nicht an Ihre IAM-Identitäten anhängen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es ermöglicht, Aktionen DataSync in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter [Verwenden von serviceverknüpften Rollen für DataSync](using-service-linked-roles.md).
Diese Richtlinie gewährt Administratorberechtigungen, die es der serviceverknüpften Rolle ermöglichen, CloudWatch Amazon-Protokolle für DataSync Aufgaben im erweiterten Modus zu erstellen.
## Richtlinienaktualisierungen
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess)— Ändern | DataSync geänderte Genehmigungserklärungen für`AWSDataSyncFullAccess`: Die aktualisierten Anweisungen entfernen Tagging-Bedingungen aus den Berechtigungen, die zum Erstellen von Secrets Manager Manager-Geheimnissen DataSync verwendet werden. | 13. Mai 2025 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess)— Ändern | DataSync neue Berechtigungen hinzugefügt für`AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/datasync/latest/userguide/security-iam-awsmanpol.html) Diese Berechtigungen ermöglichen das DataSync Erstellen, Bearbeiten und Löschen von AWS Secrets Manager Geheimnissen. | 7. Mai 2025 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess)— Veränderung | DataSync neue Berechtigungen hinzugefügt für`AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/datasync/latest/userguide/security-iam-awsmanpol.html) Mit diesen Berechtigungen können Metadaten zu Ihren AWS Secrets Manager Geheimnissen und AWS KMS Schlüsseln DataSync abgerufen werden, einschließlich aller Aliase, die mit Ihren Schlüsseln verknüpft sind. | 23. April 2025 |
| [AWSDataSyncServiceRolePolicy](#security-iam-awsmanpol-awsdatasyncservicerolepolicy)— Ändern | DataSync hat der `AWSDataSyncServiceRolePolicy` Richtlinie, die von der DataSync serviceverknüpften Rolle `AWSServiceRoleForDataSync` verwendet wird, neue Berechtigungen hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/datasync/latest/userguide/security-iam-awsmanpol.html) Diese Berechtigungen ermöglichen das DataSync Lesen von Metadaten und Werten für Geheimnisse, die von verwaltet werden AWS Secrets Manager. | 15. April 2025 |
| [AWSDataSyncServiceRolePolicy](#security-iam-awsmanpol-awsdatasyncservicerolepolicy) – Neue Richtlinie | DataSync hat eine Richtlinie hinzugefügt, die von der DataSync serviceverknüpften Rolle `AWSServiceRoleForDataSync` verwendet wird. Diese neue verwaltete Richtlinie erstellt automatisch CloudWatch Amazon-Protokolle für Ihre DataSync Aufgaben, die den erweiterten Modus verwenden. | 30. Oktober 2024 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess)— Ändern | DataSync hat eine neue Erlaubnis hinzugefügt für`AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/datasync/latest/userguide/security-iam-awsmanpol.html) Mit dieser Berechtigung können DataSync Sie dienstbezogene Rollen für Sie erstellen. | 30. Oktober 2024 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess)— Ändern | DataSync hat eine neue Erlaubnis hinzugefügt für`AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/datasync/latest/userguide/security-iam-awsmanpol.html) Mit dieser Berechtigung können Sie beim Erstellen einer DataSync Aufgabe für Übertragungen zwischen AWS-Regionen diesen Regionen auswählen, für die Sie sich anmelden möchten. | 22. Juli 2024 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess)— Ändern | DataSync hat eine neue Erlaubnis hinzugefügt für`AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/datasync/latest/userguide/security-iam-awsmanpol.html) Mit dieser Berechtigung können Sie eine bestimmte Version Ihres [DataSync Manifests](transferring-with-manifest.md) auswählen. | 16. Februar 2024 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess)— Ändern | DataSync neue Berechtigungen hinzugefügt für`AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/datasync/latest/userguide/security-iam-awsmanpol.html) Mit diesen Berechtigungen können Sie DataSync Agenten und Standorte für Amazon EFS, Amazon FSx for NetApp ONTAP, Amazon S3 und S3 auf Outposts erstellen. | 2. Mai 2023 |
| DataSync hat begonnen, Änderungen zu verfolgen | DataSync hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen. | 1. März 2021 |
# Vom Kunden verwaltete IAM-Richtlinien für AWS DataSync
Zusätzlich zu AWS verwalteten Richtlinien können Sie auch Ihre eigenen identitätsbasierten Richtlinien für die (IAM-) Identitäten erstellen und diese an die AWS Identity and Access Management (IAM AWS DataSync -) Identitäten anhängen, für die diese Berechtigungen erforderlich sind. Diese werden als vom *Kunden verwaltete Richtlinien* bezeichnet. Dabei handelt es sich um eigenständige Richtlinien, die Sie selbst verwalten. AWS-Konto
**Wichtig**
Bevor Sie beginnen, empfehlen wir Ihnen, sich mit den grundlegenden Konzepten und Optionen für die Verwaltung des Zugriffs auf Ihre DataSync Ressourcen vertraut zu machen. Weitere Informationen finden Sie unter [Zugriffsverwaltung für AWS DataSync](managing-access-overview.md).
Wenn Sie eine vom Kunden verwaltete Richtlinie erstellen, fügen Sie Aussagen zu DataSync Vorgängen bei, die für bestimmte AWS Ressourcen verwendet werden können. Die folgende Beispielrichtlinie besteht aus zwei Aussagen (beachten Sie die `Resource` Elemente `Action` und in jeder Anweisung):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowsSpecifiedActionsOnAllTasks",
"Effect": "Allow",
"Action": "datasync:DescribeTask",
"Resource": "arn:aws:datasync:us-east-1:111122223333:task/*"
},
{
"Sid": "ListAllTasks",
"Effect": "Allow",
"Action": "datasync:ListTasks",
"Resource": "*"
}
]
}
```
------
Die Aussagen der Richtlinie haben folgende Auswirkungen:
+ Die erste Anweisung erteilt Berechtigungen zur Ausführung der `datasync:DescribeTask` Aktion für bestimmte Ressourcen der Übertragungsaufgabe, indem ein Amazon-Ressourcenname (ARN) mit einem Platzhalterzeichen (`*`) angegeben wird.
+ Die zweite Anweisung erteilt Berechtigungen zur Ausführung der `datasync:ListTasks` Aktion für alle Aufgaben, indem nur ein Platzhalterzeichen () `*` angegeben wird.
## Beispiele für vom Kunden verwaltete Richtlinien
Das folgende Beispiel für vom Kunden verwaltete Richtlinien gewährt Berechtigungen für verschiedene DataSync Vorgänge. Die Richtlinien funktionieren, wenn Sie das AWS Command Line Interface (AWS CLI) oder ein AWS SDK verwenden. Um diese Richtlinien in der Konsole zu verwenden, müssen Sie auch die verwaltete Richtlinie verwenden`AWSDataSyncFullAccess`.
**Topics**
+ [Beispiel 1: Erstellen Sie eine Vertrauensbeziehung, die DataSync den Zugriff auf Ihren Amazon S3 S3-Bucket ermöglicht](#datasync-example1)
+ [Beispiel 2: Lese- und DataSync Schreibzugriff auf Ihren Amazon S3 S3-Bucket zulassen](#datasync-example2)
+ [Beispiel 3: Erlauben DataSync Sie das Hochladen von Protokollen in CloudWatch Protokollgruppen](#datasync-example4)
### Beispiel 1: Erstellen Sie eine Vertrauensbeziehung, die DataSync den Zugriff auf Ihren Amazon S3 S3-Bucket ermöglicht
Das Folgende ist ein Beispiel für eine Vertrauensrichtlinie, die es ermöglicht, eine IAM-Rolle DataSync zu übernehmen. Diese Rolle ermöglicht DataSync den Zugriff auf einen Amazon S3 S3-Bucket. Um das [dienstübergreifende Problem der verwirrten Deputy](cross-service-confused-deputy-prevention.md) zu vermeiden, empfehlen wir, die Kontextschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)und die [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globalen Bedingungsschlüssel in der Richtlinie zu verwenden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datasync.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111111111111"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:datasync:us-east-1:111111111111:*"
}
}
}
]
}
```
------
### Beispiel 2: Lese- und DataSync Schreibzugriff auf Ihren Amazon S3 S3-Bucket zulassen
Die folgende Beispielrichtlinie gewährt DataSync die Mindestberechtigungen zum Lesen und Schreiben von Daten in einen S3-Bucket, der als Zielort verwendet wird.
**Anmerkung**
Der Wert für `aws:ResourceAccount` sollte die Konto-ID sein, der der in der Richtlinie angegebene Amazon S3 S3-Bucket gehört.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListBucketMultipartUploads"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
},
{
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:GetObjectVersionTagging",
"s3:ListMultipartUploadParts",
"s3:PutObject",
"s3:PutObjectTagging"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
}
]
}
```
### Beispiel 3: Erlauben DataSync Sie das Hochladen von Protokollen in CloudWatch Protokollgruppen
DataSync benötigt Berechtigungen, um Protokolle in Ihre CloudWatch Amazon-Protokollgruppen hochladen zu können. Sie können CloudWatch Protokollgruppen verwenden, um Ihre Aufgaben zu überwachen und zu debuggen.
Ein Beispiel für eine IAM-Richtlinie, die solche Berechtigungen gewährt, finden Sie unter. [Ermöglicht DataSync das Hochladen von Protokollen in eine CloudWatch Protokollgruppe](configure-logging.md#cloudwatchlogs)
# Verwenden von serviceverknüpften Rollen für DataSync
AWS DataSync verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, mit der direkt verknüpft ist. DataSync Mit Diensten verknüpfte Rollen sind vordefiniert DataSync und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
**Topics**
+ [Rollen verwenden für DataSync](using-service-linked-roles-service-action-2.md)
# Rollen verwenden für DataSync
AWS DataSync verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, mit der direkt verknüpft ist. DataSync Mit Diensten verknüpfte Rollen sind vordefiniert DataSync und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine dienstbezogene Rolle DataSync erleichtert die Einrichtung, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. DataSync definiert die Berechtigungen ihrer dienstbezogenen Rollen und DataSync kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dadurch werden Ihre DataSync Ressourcen geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.
**Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Spalte Dienstverknüpfte Rollen nach den Diensten, für die **Ja steht**.** Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
## Berechtigungen für dienstverknüpfte Rollen DataSync
DataSync verwendet die dienstgebundene Rolle mit dem Namen **AWSServiceRoleForDataSync**— Ermöglicht DataSync die Ausführung wichtiger Operationen zur Ausführung von Übertragungsaufgaben, einschließlich des Lesens von AWS Secrets Manager Geheimnissen und der Erstellung von CloudWatch Protokollgruppen und Ereignissen.
Die AWSService RoleForDataSync dienstverknüpfte Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
+ `datasync.amazonaws.com`
Die dienstverknüpfte Rolle verwendet die angegebene AWS verwaltete Richtlinie [AWSDataSyncServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-awsdatasyncservicerolepolicy), mit der die folgenden Aktionen DataSync für die angegebenen Ressourcen ausgeführt werden können:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "DataSyncCloudWatchLogCreateAccess",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream"
],
"Resource": [
"arn:*:logs:*:*:log-group:/aws/datasync*"
]
},
{
"Sid": "DataSyncCloudWatchLogStreamUpdateAccess",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:*:logs:*:*:log-group:/aws/datasync*:log-stream:*"
]
},
{
"Sid": "DataSyncSecretsManagerReadAccess",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:*:secretsmanager:*:*:secret:aws-datasync!*"
],
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/aws:secretsmanager:owningService": "aws-datasync",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
Sie müssen Berechtigungen konfigurieren, damit eine Benutzer, Gruppen oder Rollen eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen können. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Erstellen einer dienstbezogenen Rolle für DataSync
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie eine DataSync Aufgabe in der AWS-Managementkonsole, der oder der AWS API erstellen AWS CLI, DataSync wird die dienstbezogene Rolle für Sie erstellt.
In der AWS CLI oder der AWS API können Sie eine dienstbezogene Rolle mit dem `datasync.amazonaws.com` Dienstnamen erstellen. Weitere Informationen finden Sie unter [Erstellen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im *IAM-Benutzerhandbuch*. Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben Verfahren die Rolle erneut erstellen.
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie eine DataSync Aufgabe erstellen, DataSync wird die dienstbezogene Rolle erneut für Sie erstellt.
Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben IAM-Verfahren die Rolle erneut erstellen.
## Bearbeitung einer serviceverknüpften Rolle für DataSync
DataSync erlaubt es Ihnen nicht, die AWSService RoleForDataSync dienstbezogene Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer dienstbezogenen Rolle für DataSync
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
### Bereinigen einer serviceverknüpften Rolle
Bevor mit IAM eine serviceverknüpfte Rolle löschen können, müssen Sie zunächst alle von der Rolle verwendeten Ressourcen löschen.
**Anmerkung**
Wenn der DataSync Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**Um DataSync Ressourcen zu löschen, die verwendet werden von AWSService RoleForDataSync**
1. [Löschen Sie die von der Aufgabe verwendeten DataSync Agenten](clean-up.md#deleting-agent) (falls vorhanden).
1. [Löscht die Speicherorte der Aufgabe](clean-up.md#deleting-location).
1. [Löscht die Aufgabe](clean-up.md#delete-task).
### Manuelles Löschen der serviceverknüpften Rolle
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die AWSService RoleForDataSync serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Unterstützte Regionen für serviceverknüpfte Rollen DataSync
DataSync unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Dienst verfügbar ist. Weitere Informationen finden Sie unter [AWS -Regionen und Endpunkte](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Berechtigungen für das Markieren von DataSync Ressourcen während der Erstellung
Bei einigen AWS DataSync API-Aktionen zur Ressourcenerstellung können Sie Tags angeben, wenn Sie die Ressource erstellen. Sie können Ressourcen-Tags verwenden, um die attributebasierte Zugriffskontrolle (ABAC) zu implementieren. Weitere Informationen finden Sie unter [Wozu](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dient ABAC? AWS im *IAM-Benutzerhandbuch*.
Damit Benutzer Ressourcen bei der Erstellung taggen können, müssen sie über Berechtigungen zur Verwendung der Aktion verfügen, mit der die Ressource erstellt wird (z. B. `datasync:CreateAgent` oder`datasync:CreateTask`). Wenn bei der Aktion zum Erstellen der Ressource Tags angegeben werden, müssen Benutzer auch über ausdrückliche Berechtigungen zur Verwendung der `datasync:TagResource` Aktion verfügen.
Die `datasync:TagResource`-Aktion wird nur ausgewertet, wenn die Tags während der Aktion zur Ressourcenerstellung angewendet werden. Daher benötigt ein Benutzer, der berechtigt ist, eine Ressource zu erstellen (vorausgesetzt, es gibt keine Tagging-Bedingungen), keine Berechtigungen, um die `datasync:TagResource` Aktion zu verwenden, wenn in der Anforderung keine Tags angegeben sind.
Wenn der Benutzer jedoch versucht, eine Ressource mit Tags zu erstellen, schlägt die Anforderung fehl, wenn der Benutzer nicht über die erforderlichen Berechtigungen zur Verwendung der `datasync:TagResource` Aktion verfügt.
## Beispiele für IAM-Richtlinienerklärungen
Verwenden Sie die folgenden Beispiele für IAM-Richtlinienanweisungen, um Benutzern `TagResource` Berechtigungen zu erteilen, die Ressourcen erstellen DataSync .
Die folgende Anweisung ermöglicht es Benutzern, einen DataSync Agenten zu taggen, wenn sie den Agenten erstellen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datasync:TagResource",
"Resource": "arn:aws:datasync:us-east-1:444455556666:agent/*"
}
]
}
```
------
Die folgende Anweisung ermöglicht es Benutzern, einen DataSync Standort zu taggen, wenn sie den Standort erstellen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datasync:TagResource",
"Resource": "arn:aws:datasync:us-east-1:111122223333:location/*"
}
]
}
```
------
Die folgende Anweisung ermöglicht es Benutzern, eine DataSync Aufgabe zu taggen, wenn sie die Aufgabe erstellen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datasync:TagResource",
"Resource": "arn:aws:datasync:us-east-1:444455556666:task/*"
}
]
}
```
------
# Serviceübergreifende Confused-Deputy-Prävention
Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann. In AWS, dienststellenübergreifender Identitätswechsel kann zum Problem des verwirrten Stellvertreters führen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der *Anruf-Dienst*) einen anderen Dienst anruft (den *aufgerufenen Dienst*). Der aufrufende Service kann manipuliert werden, um seine Berechtigungen zu verwenden, um Aktionen auf die Ressourcen eines anderen Kunden auszuführen, für die er sonst keine Zugriffsberechtigung haben sollte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben.
Wir empfehlen, die Kontextschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)und die [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globalen Bedingungsschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen einzuschränken, die der AWS DataSync Ressource einen anderen Dienst gewähren. Wenn Sie beide globale Bedingungskontextschlüssel verwenden und der `aws:SourceArn`-Wert die Konto-ID enthält, müssen der `aws:SourceAccount`-Wert und das Konto im `aws:SourceArn`-Wert dieselbe Konto-ID verwenden, wenn sie in der gleichen Richtlinienanweisung verwendet wird. Verwenden Sie `aws:SourceArn`, wenn Sie nur eine Ressource mit dem betriebsübergreifenden Zugriff verknüpfen möchten. Verwenden Sie diese Option, `aws:SourceAccount` wenn Sie möchten, dass eine Ressource in diesem Konto der dienstübergreifenden Nutzung zugeordnet wird.
Der Wert von `aws:SourceArn` muss den DataSync Standort-ARN enthalten, mit dem die DataSync IAM-Rolle übernommen werden darf.
Der effektivste Weg, sich vor dem Problem des verwirrten Stellvertreters zu schützen, besteht darin, den `aws:SourceArn` Schlüssel mit dem vollständigen ARN der Ressource zu verwenden. Wenn Sie den vollständigen ARN nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie Platzhalterzeichen (`*`) für die unbekannten Teile. Hier sind einige Beispiele dafür, wie Sie dies tun können für DataSync:
+ Um die Vertrauensrichtlinie auf einen vorhandenen DataSync Standort zu beschränken, nehmen Sie den vollständigen Standort-ARN in die Richtlinie auf. DataSync übernimmt die IAM-Rolle nur, wenn es um diesen bestimmten Standort geht.
+ Wenn Sie einen Amazon S3 S3-Standort für erstellen DataSync, kennen Sie den ARN des Standorts nicht. Verwenden Sie in diesen Szenarien das folgende Format für den `aws:SourceArn` Schlüssel:`arn:aws:datasync:us-east-2:123456789012:*`. Dieses Format validiert die Partition (`aws`), die Konto-ID und die Region.
Das folgende vollständige Beispiel zeigt, wie Sie die Kontextschlüssel `aws:SourceArn` und die `aws:SourceAccount` globale Bedingung in einer Vertrauensrichtlinie verwenden können, um das Problem mit DataSync dem verwirrten Stellvertreter zu vermeiden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datasync.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*"
}
}
}
]
}
```
------
Weitere Beispielrichtlinien, die zeigen, wie Sie die Kontextschlüssel `aws:SourceArn` und die `aws:SourceAccount` globalen Bedingungsschlüssel mit verwenden können DataSync, finden Sie in den folgenden Themen:
+ [Erstellen Sie eine Vertrauensbeziehung, die DataSync den Zugriff auf Ihren Amazon S3 S3-Bucket ermöglicht](using-identity-based-policies.md#datasync-example1)
+ [Konfigurieren Sie eine IAM-Rolle für den Zugriff auf Ihren Amazon S3 S3-Bucket](create-s3-location.md#create-role-manually)