Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Voraussetzungen
In den folgenden Abschnitten werden die Voraussetzungen beschrieben, die für die Nutzung des AWS Transfer Family Dienstes erforderlich sind. Sie müssen mindestens einen Amazon Simple Storage Service (Amazon S3) -Bucket erstellen und über eine AWS Identity and Access Management (IAM) -Rolle Zugriff auf diesen Bucket gewähren. Die Rolle muss zudem eine Vertrauensstellung einrichten. Diese Vertrauensstellung ermöglicht es Transfer Family, die IAM-Rolle für den Zugriff auf Ihren Bucket zu übernehmen, sodass er die Dateiübertragungsanfragen Ihrer Benutzer bearbeiten kann.
Informationen zur IPv6 AWS Transfer Family Serverunterstützung finden Sie [IPv6 Unterstützung für Transfer Family Family-Server](ipv6-support.md) im Kapitel Server verwalten.
**Topics**
+ [Unterstützte AWS Regionen, Endpunkte und Kontingente für Transfer Family Family-Server](#regions)
+ [Melden Sie sich an für AWS](requirements-aws-signup.md)
+ [Konfigurieren Sie den Speicher für die Verwendung mit Servern AWS Transfer Family](configure-storage.md)
+ [Erstellen Sie eine IAM-Rolle und -Richtlinie](requirements-roles.md)
## Unterstützte AWS Regionen, Endpunkte und Kontingente für Transfer Family Family-Server
Um programmgesteuert eine Verbindung zu einem AWS Dienst herzustellen, verwenden Sie einen Endpunkt. Der Endpunkt für Kunden in der Region USA Ost (Ohio) (`us-east-2`) ist beispielsweise. `transfer.us-east-2.amazonaws.com` Service Quotas, auch als Limits bezeichnet, sind die maximale Anzahl von Serviceressourcen oder -vorgängen für Ihr AWS-Konto. In diesem Handbuch finden Sie Kontingente in [AS2 Kontingente](create-b2b-server.md#as2-quotas) und[Kontingente für SFTP-Anschlüsse](scale-and-limits-sftp-connector.md#limits-sftp-connector).
Weitere Informationen zu unterstützten AWS Regionen, Endpunkten und Servicekontingenten finden Sie unter [AWS Transfer Family Endpunkte und Kontingente](https://docs.aws.amazon.com//general/latest/gr/transfer-service.html) in der. *Allgemeine Amazon Web Services-Referenz*
Für Transfer Family Family-Web-Apps sind die unterstützten Regionen unter aufgeführt[AWS-Regionen für Transfer Family Family-Web-Apps](web-app.md#webapp-regions). Informationen zu Kontingenten, die sich auf Transfer Family Family-Web-Apps beziehen, finden Sie unter[Kontingente für Web-Apps](webapp-end-users.md#end-user-quotas).
# Melden Sie sich an für AWS
Wenn Sie sich für Amazon Web Services (AWS) registrieren, wird Ihr AWS Konto automatisch für alle Dienste in angemeldet AWS, einschließlich AWS Transfer Family. Berechnet werden Ihnen aber nur die Services, die Sie nutzen.
Wenn Sie bereits ein AWS Konto haben, fahren Sie mit der nächsten Aufgabe fort. Wenn Sie kein AWS -Konto haben, führen Sie die folgenden Schritte zum Erstellen eines Kontos aus.
Wenn Sie noch kein Konto haben AWS-Konto, führen Sie die folgenden Schritte aus, um eines zu erstellen.
**Um sich für eine anzumelden AWS-Konto**
1. Öffnen Sie [https://portal.aws.amazon.com/billing/die Anmeldung.](https://portal.aws.amazon.com/billing/signup)
1. Folgen Sie den Online-Anweisungen.
Während der Anmeldung erhalten Sie einen Telefonanruf oder eine Textnachricht und müssen einen Verifizierungscode über die Telefontasten eingeben.
Wenn Sie sich für eine anmelden AWS-Konto, *Root-Benutzer des AWS-Kontos*wird eine erstellt. Der Root-Benutzer hat Zugriff auf alle AWS-Services und Ressourcen des Kontos. Als bewährte Sicherheitsmethode weisen Sie einem Benutzer Administratorzugriff zu und verwenden Sie nur den Root-Benutzer, um [Aufgaben auszuführen, die Root-Benutzerzugriff erfordern](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
Informationen zur Preisgestaltung und zur Schätzung der Kosten für die Nutzung von Transfer Family finden Sie unter [AWS Transfer Family Preise](https://aws.amazon.com/sftp/pricing/). AWS Pricing Calculator
Informationen zur AWS regionalen Verfügbarkeit finden Sie unter den [AWS Transfer Family Endpunkten und Kontingenten](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html) in der *Allgemeine AWS-Referenz*.
# Konfigurieren Sie den Speicher für die Verwendung mit Servern AWS Transfer Family
In diesem Thema werden die Speicheroptionen beschrieben, die Sie zusammen verwenden können AWS Transfer Family. Sie können entweder Amazon S3 oder Amazon EFS als Speicher für Ihre Transfer Family Family-Server verwenden.
**Contents**
+ [Einen Amazon S3 S3-Bucket konfigurieren](#requirements-S3)
+ [Amazon S3 Access Points](#access-points)
+ [HeadObject Verhalten von Amazon S3](#head-object-behavior)
+ [Gewähren Sie die Möglichkeit, nur Dateien zu schreiben und aufzulisten](#headobject-access-denied)
+ [Große Anzahl von Null-Byte-Objekten verursacht Latenzprobleme](#headobject-latency)
+ [Ein Amazon EFS-Dateisystem konfigurieren](#requirements-efs)
+ [Besitz von Amazon EFS-Dateien](#efs-file-ownership)
+ [Amazon EFS-Benutzer für Transfer Family einrichten](#configure-efs-users-permissions)
+ [Transfer Family Family-Benutzer auf Amazon EFS konfigurieren](#set-up-efs-home-folders)
+ [Erstellen Sie einen Amazon EFS-Root-Benutzer](#create-root-user-efs)
+ [Unterstützte Amazon EFS-Befehle](#efs-commands)
## Einen Amazon S3 S3-Bucket konfigurieren
AWS Transfer Family greift auf Ihren Amazon S3 S3-Bucket zu, um die Übertragungsanfragen Ihrer Benutzer zu bearbeiten. Daher müssen Sie im Rahmen der Einrichtung Ihres File-Transfer-Protokoll-fähigen Servers einen Amazon S3 S3-Bucket bereitstellen. Sie können einen vorhandenen Bucket verwenden oder einen neuen Bucket erstellen.
**Anmerkung**
Sie müssen keinen Server und keinen Amazon S3 S3-Bucket verwenden, die sich in derselben AWS Region befinden, aber wir empfehlen dies als bewährte Methode.
Wenn Sie Ihre Benutzer einrichten, weisen Sie ihnen jeweils eine IAM-Rolle zu. Diese Rolle bestimmt die Zugriffsebene, die sie auf Ihren Amazon S3 S3-Bucket haben.
Informationen zum Erstellen eines neuen Buckets finden Sie unter [Wie erstelle ich einen S3-Bucket?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/create-bucket-overview.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
**Anmerkung**
Sie können Amazon S3 Object Lock verwenden, um zu verhindern, dass Objekte für einen bestimmten Zeitraum oder auf unbestimmte Zeit überschrieben werden. Dies funktioniert bei Transfer Family genauso wie bei anderen Diensten. Wenn ein Objekt existiert und geschützt ist, ist es nicht erlaubt, in diese Datei zu schreiben oder sie zu löschen. Weitere Informationen zu Amazon S3 Object Lock finden Sie unter [Verwenden von Amazon S3 Object Lock](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/object-lock.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
### Amazon S3 Access Points
AWS Transfer Family unterstützt [Amazon S3 Access Points](https://aws.amazon.com/s3/features/access-points/), eine Funktion von Amazon S3, mit der Sie den detaillierten Zugriff auf gemeinsam genutzte Datensätze einfach verwalten können. Sie können S3 Access Point-Aliase überall verwenden, wo Sie einen S3-Bucket-Namen verwenden. Sie können in Amazon S3 Hunderte von Access Points für Benutzer erstellen, die über unterschiedliche Berechtigungen für den Zugriff auf gemeinsam genutzte Daten in einem Amazon S3 S3-Bucket verfügen.
Beispielsweise können Sie Access Points verwenden, um drei verschiedenen Teams den Zugriff auf denselben gemeinsamen Datensatz zu ermöglichen, wobei ein Team Daten aus S3 lesen kann, ein zweites Team Daten in S3 schreiben kann und das dritte Team Daten aus S3 lesen, schreiben und löschen kann. Um eine detaillierte Zugriffskontrolle wie oben erwähnt zu implementieren, können Sie einen S3-Zugriffspunkt erstellen, der eine Richtlinie enthält, die verschiedenen Teams asymmetrischen Zugriff gewährt. Sie können S3-Zugriffspunkte mit Ihrem Transfer Family Family-Server verwenden, um eine differenzierte Zugriffskontrolle zu erreichen, ohne eine komplexe S3-Bucket-Richtlinie zu erstellen, die Hunderte von Anwendungsfällen umfasst. Weitere Informationen zur Verwendung von S3 Access Points mit einem Transfer Family Family-Server finden Sie im Blogbeitrag [Enhance data access control with AWS Transfer Family and Amazon S3](https://aws.amazon.com/blogs/storage/enhance-data-access-control-with-aws-transfer-family-and-amazon-s3-access-points/).
**Anmerkung**
AWS Transfer Family unterstützt derzeit keine Amazon S3 Multi-Region Access Points.
### HeadObject Verhalten von Amazon S3
**Anmerkung**
Wenn Sie einen Transfer Family Family-Server erstellen oder aktualisieren, können Sie die Leistung Ihrer Amazon S3 S3-Verzeichnisse optimieren, wodurch `HeadObject` Anrufe vermieden werden.
In Amazon S3 sind Buckets und Objekte die primären Ressourcen, in denen Objekte in Buckets gespeichert werden. Amazon S3 kann ein hierarchisches Dateisystem nachahmen, sich aber manchmal anders verhalten als ein typisches Dateisystem. Beispielsweise sind Verzeichnisse in Amazon S3 kein erstklassiges Konzept, sondern basieren stattdessen auf Objektschlüsseln. AWS Transfer Family leitet einen Verzeichnispfad ab, indem der Schlüssel eines Objekts durch den Schrägstrich (**/**) geteilt wird, das letzte Element als Dateinamen behandelt und dann Dateinamen, die dasselbe Präfix haben, unter demselben Pfad gruppiert werden. Null-Byte-Objekte werden erstellt, um den Pfad eines Ordners darzustellen, wenn Sie mit `mkdir` oder mithilfe der Amazon S3 S3-Konsole ein leeres Verzeichnis erstellen. Der Schlüssel für diese Objekte endet mit einem abschließenden Schrägstrich. Diese Null-Byte-Objekte werden unter [Organisieren von Objekten in der Amazon S3 S3-Konsole mithilfe von Ordnern](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html) im *Amazon S3 S3-Benutzerhandbuch* beschrieben.
Wenn Sie einen `ls` Befehl ausführen und einige Ergebnisse Amazon S3 S3-Null-Byte-Objekte sind (diese Objekte haben Schlüssel, die mit einem Schrägstrich enden), gibt Transfer Family eine `HeadObject` Anfrage für jedes dieser Objekte aus (Einzelheiten finden Sie [HeadObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html)in der *Amazon Simple Storage Service API-Referenz*). Dies kann zu den folgenden Problemen führen, wenn Sie Amazon S3 als Speicher mit Transfer Family verwenden.
#### Gewähren Sie die Möglichkeit, nur Dateien zu schreiben und aufzulisten
In einigen Fällen möchten Sie möglicherweise nur Schreibzugriff auf Ihre Amazon S3 S3-Objekte anbieten. Beispielsweise möchten Sie möglicherweise Zugriff auf Schreib- (oder Upload) und Auflisten von Objekten in einem Bucket gewähren, nicht jedoch auf Objekte zum Lesen (Herunterladen). Um `mkdir` Befehle mithilfe von Dateiübertragungsclients ausführen `ls` zu können, benötigen Sie Amazon S3 `ListObjects` und die `PutObject` entsprechenden Berechtigungen. Wenn Transfer Family jedoch einen `HeadObject` Aufruf tätigen muss, um Dateien zu schreiben oder aufzulisten, schlägt der Anruf mit der Fehlermeldung **Zugriff verweigert** fehl, da für diesen Aufruf die `GetObject` entsprechende Genehmigung erforderlich ist.
**Anmerkung**
Wenn Sie einen Transfer Family Family-Server erstellen oder aktualisieren, können Sie die Leistung Ihrer Amazon S3 S3-Verzeichnisse optimieren, wodurch `HeadObject` Anrufe vermieden werden.
In diesem Fall können Sie Zugriff gewähren, indem Sie eine AWS Identity and Access Management (IAM-) Richtlinienbedingung hinzufügen, die die `GetObject` Berechtigung nur für Objekte hinzufügt, die mit einem Schrägstrich (`/`) enden. Diese Bedingung verhindert das `GetObject` Aufrufen von Dateien (sodass sie nicht gelesen werden können), ermöglicht es dem Benutzer jedoch, Ordner aufzulisten und zu durchsuchen. Die folgende Beispielrichtlinie bietet nur Schreib- und Listenzugriff auf Ihre Amazon S3 S3-Buckets. Um diese Richtlinie zu verwenden, `amzn-s3-demo-bucket` ersetzen Sie sie durch den Namen Ihres Buckets.
**Anmerkung**
Um das Upload-Verhalten von WinSCP zu korrigieren, stellen Sie sicher, dass Sie die `"arn:aws:s3:::amzn-s3-demo-bucket/*.filepart"` Zeile hinzufügen, wie in der folgenden Beispielrichtlinie aufgeführt. Diese Zeile gewährleistet die korrekte Behandlung von .filepart-Objekten, um Fehler zu vermeiden.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowListing",
"Effect": "Allow",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
},
{
"Sid": "AllowReadWrite",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "DenyIfNotFolder",
"Effect": "Deny",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"NotResource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*/",
"arn:aws:s3:::amzn-s3-demo-bucket/*.filepart"
]
}
]
}
```
**Anmerkung**
Diese Richtlinie erlaubt es Benutzern nicht, Dateien anzuhängen. Mit anderen Worten, ein Benutzer, dem diese Richtlinie zugewiesen wurde, kann keine Dateien öffnen, um ihnen Inhalte hinzuzufügen oder sie zu ändern. Wenn Ihr Anwendungsfall außerdem vor dem Hochladen einer Datei einen `HeadObject` Anruf erfordert, funktioniert diese Richtlinie nicht für Sie.
#### Große Anzahl von Null-Byte-Objekten verursacht Latenzprobleme
Wenn Ihre Amazon S3 S3-Buckets eine große Anzahl dieser Null-Byte-Objekte enthalten, gibt Transfer Family viele `HeadObject` Aufrufe aus, was zu Verarbeitungsverzögerungen führen kann. Die empfohlene Lösung für dieses Problem besteht darin, **Optimized Directories zu aktivieren, um die Latenz zu reduzieren**.
Nehmen wir zum Beispiel an, Sie gehen in Ihr Home-Verzeichnis und Sie haben 10.000 Unterverzeichnisse. Mit anderen Worten, Ihr Amazon S3 S3-Bucket hat 10.000 Ordner. Wenn Sie in diesem Szenario den Befehl `ls` (list) ausführen, dauert der Listenvorgang zwischen sechs und acht Minuten. Wenn Sie Ihre Verzeichnisse optimieren, dauert dieser Vorgang jedoch nur wenige Sekunden. Sie legen diese Option während der Servererstellung oder -aktualisierung im Fenster **Zusätzliche Details konfigurieren** fest. Diese Verfahren werden unter dem [Konfiguration eines SFTP-, FTPS- oder FTP-Serverendpunkts](sftp-for-transfer-family.md) Thema detailliert beschrieben.
**Anmerkung**
GUI-Clients geben möglicherweise einen `ls` Befehl aus, auf den Sie keinen Einfluss haben. Daher ist es wichtig, diese Einstellung zu aktivieren, wenn Sie können.
Wenn Sie Ihre Verzeichnisse nicht optimieren oder nicht optimieren können, besteht eine alternative Lösung für dieses Problem darin, alle Ihre Null-Byte-Objekte zu löschen. Beachten Sie Folgendes:
+ Leere Verzeichnisse werden nicht mehr existieren. Verzeichnisse existieren nur, weil ihre Namen im Schlüssel eines Objekts stehen.
+ Hindert jemanden nicht daran, erneut anzurufen `mkdir` und Dinge kaputt zu machen. Sie könnten dies mildern, indem Sie eine Richtlinie erstellen, die die Erstellung von Verzeichnissen verhindert.
+ In einigen Szenarien werden diese 0-Byte-Objekte verwendet. Sie haben beispielsweise eine Struktur wie **/inboxes/customer1000** und das Posteingangsverzeichnis wird täglich gereinigt.
Schließlich besteht eine weitere mögliche Lösung darin, die Anzahl der sichtbaren Objekte durch eine Richtlinienbedingung zu begrenzen, um die Anzahl der Aufrufe zu reduzieren. `HeadObject` Damit dies eine praktikable Lösung ist, müssen Sie akzeptieren, dass Sie möglicherweise nur eine begrenzte Anzahl all Ihrer Unterverzeichnisse anzeigen können.
## Ein Amazon EFS-Dateisystem konfigurieren
AWS Transfer Family greift auf das Amazon Elastic File System (Amazon EFS) zu, um die Übertragungsanfragen Ihrer Benutzer zu bearbeiten. Daher müssen Sie im Rahmen der Einrichtung Ihres File-Transfer-Protokoll-fähigen Servers ein Amazon EFS-Dateisystem bereitstellen. Sie können ein vorhandenes Dateisystem verwenden oder ein neues erstellen.
Beachten Sie Folgendes:
+ Wenn Sie einen Transfer Family Family-Server und ein Amazon EFS-Dateisystem verwenden, müssen sich der Server und das Dateisystem im selben System befinden AWS-Region.
+ Der Server und das Dateisystem müssen sich nicht im selben Konto befinden. Wenn sich der Server und das Dateisystem nicht in demselben Konto befinden, muss die Dateisystemrichtlinie der Benutzerrolle eine ausdrückliche Genehmigung erteilen.
Informationen zum Einrichten mehrerer Konten finden Sie im *AWS Organizations Benutzerhandbuch* unter [Verwaltung der AWS Konten in Ihrer Organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html).
+ Wenn Sie Ihre Benutzer einrichten, weisen Sie ihnen jeweils eine IAM-Rolle zu. Diese Rolle bestimmt die Zugriffsebene, die sie auf Ihr Amazon EFS-Dateisystem haben.
+ Einzelheiten zum Mounten eines Amazon EFS-Dateisystems finden Sie unter Bereitstellen [von Amazon EFS-Dateisystemen](https://docs.aws.amazon.com//efs/latest/ug/mounting-fs.html).
Weitere Informationen zur Zusammenarbeit mit AWS Transfer Family Amazon EFS finden Sie unter [Verwenden für AWS Transfer Family den Zugriff auf Dateien in Ihrem Amazon EFS-Dateisystem](https://docs.aws.amazon.com//efs/latest/ug/using-aws-transfer-integration.html) im *Amazon Elastic File System-Benutzerhandbuch*.
### Besitz von Amazon EFS-Dateien
Amazon EFS verwendet das POSIX-Dateiberechtigungsmodell (Portable Operating System Interface), um den Dateibesitz darzustellen.
In POSIX werden Benutzer im System in drei verschiedene Berechtigungsklassen eingeteilt: Wenn Sie einem Benutzer den Zugriff auf Dateien ermöglichen, die in einem Amazon EFS-Dateisystem gespeichert sind AWS Transfer Family, müssen Sie ihm ein „POSIX-Profil“ zuweisen. Dieses Profil wird verwendet, um ihren Zugriff auf Dateien und Verzeichnisse im Amazon EFS-Dateisystem zu bestimmen.
+ Benutzer (u): Besitzer der Datei oder des Verzeichnisses. Normalerweise ist der Ersteller einer Datei oder eines Verzeichnisses auch der Eigentümer.
+ Gruppe (g): Gruppe von Benutzern, die identischen Zugriff auf Dateien und Verzeichnisse benötigen, die sie gemeinsam nutzen.
+ Andere (o): Alle anderen Benutzer, die Zugriff auf das System haben, mit Ausnahme des Besitzers und der Gruppenmitglieder. Diese Berechtigungsklasse wird auch als „Öffentlich“ bezeichnet.
Im POSIX-Berechtigungsmodell ist jedes Dateisystemobjekt (Dateien, Verzeichnisse, symbolische Links, Named Pipes und Sockets) mit den zuvor genannten drei Berechtigungssätzen verknüpft. Amazon EFS-Objekten ist ein Modus im UNIX-Stil zugeordnet. Dieser Moduswert definiert die Berechtigungen zum Ausführen von Aktionen für dieses Objekt.
Darüber hinaus werden Benutzer und Gruppen auf Unix-Systemen numerischen Bezeichnern zugeordnet, die Amazon EFS zur Darstellung von Dateibesitz verwendet. Bei Amazon EFS gehören Objekte einem einzelnen Besitzer und einer einzelnen Gruppe. Amazon EFS verwendet die zugeordnete Zahl, IDs um Berechtigungen zu überprüfen, wenn ein Benutzer versucht, auf ein Dateisystemobjekt zuzugreifen.
### Amazon EFS-Benutzer für Transfer Family einrichten
Bevor Sie Ihre Amazon EFS-Benutzer einrichten, können Sie einen der folgenden Schritte ausführen:
+ Sie können Benutzer erstellen und ihre Basisordner in Amazon EFS einrichten. Details dazu finden Sie unter [Transfer Family Family-Benutzer auf Amazon EFS konfigurieren](#set-up-efs-home-folders).
+ Wenn Sie mit dem Hinzufügen eines Root-Benutzers vertraut sind, können Sie das tun[Erstellen Sie einen Amazon EFS-Root-Benutzer](#create-root-user-efs).
**Anmerkung**
Transfer Family Family-Server unterstützen keine Amazon EFS-Zugriffspunkte zur Festlegung von POSIX-Berechtigungen. Die POSIX-Profile von Transfer Family Family-Benutzern (im vorherigen Abschnitt beschrieben) bieten die Möglichkeit, POSIX-Berechtigungen festzulegen. Diese Berechtigungen werden auf Benutzerebene für einen detaillierten Zugriff auf der Grundlage von UID, GID und sekundären Berechtigungen festgelegt. GIDs
#### Transfer Family Family-Benutzer auf Amazon EFS konfigurieren
Transfer Family ordnet die Benutzer den von Ihnen angegebenen Verzeichnissen UID/GID und zu. Wenn sie noch UID/GID/directories nicht in EFS vorhanden sind, sollten Sie sie erstellen, bevor Sie sie in Transfer an einen Benutzer zuweisen. Die Einzelheiten zum Erstellen von Amazon EFS-Benutzern werden unter [Arbeiten mit Benutzern, Gruppen und Berechtigungen auf Netzwerkdateisystemebene (NFS)](https://docs.aws.amazon.com/efs/latest/ug/accessing-fs-nfs-permissions.html) im *Amazon Elastic File System-Benutzerhandbuch* beschrieben.
**Schritte zum Einrichten von Amazon EFS-Benutzern in Transfer Family**
1. Ordnen Sie die EFS-UID und GID für Ihren Benutzer in Transfer Family mithilfe der [https://docs.aws.amazon.com/transfer/latest/APIReference/API_PosixProfile.html](https://docs.aws.amazon.com/transfer/latest/APIReference/API_PosixProfile.html)Felder zu.
1. Wenn Sie möchten, dass der Benutzer bei der Anmeldung in einem bestimmten Ordner startet, können Sie das EFS-Verzeichnis unter dem [https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateUser.html#TransferFamily-CreateUser-request-HomeDirectory](https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateUser.html#TransferFamily-CreateUser-request-HomeDirectory)Feld angeben.
Sie können den Prozess automatisieren, indem Sie eine CloudWatch Regel und eine Lambda-Funktion verwenden. Ein Beispiel für eine Lambda-Funktion, die mit EFS interagiert, finden Sie unter [Verwenden von Amazon EFS für AWS Lambda in Ihren serverlosen Anwendungen](https://aws.amazon.com/blogs/compute/using-amazon-efs-for-aws-lambda-in-your-serverless-applications).
Darüber hinaus können Sie logische Verzeichnisse für Ihre Transfer Family Family-Benutzer konfigurieren. Einzelheiten finden Sie im [Logische Verzeichnisse für Amazon EFS konfigurieren](logical-dir-mappings.md#logical-dir-efs) Abschnitt des [Verwendung logischer Verzeichnisse zur Vereinfachung Ihrer Transfer Family Family-Verzeichnisstrukturen](logical-dir-mappings.md) Themas.
#### Erstellen Sie einen Amazon EFS-Root-Benutzer
Wenn Ihr Unternehmen bereit ist, den Root-Benutzerzugriff SFTP/FTPS für die Konfiguration Ihrer Benutzer zu aktivieren, können Sie einen Benutzer erstellen, dessen UID und GID 0 sind (Root-Benutzer), und dann diesen Root-Benutzer verwenden, um Ordner zu erstellen und den übrigen Benutzern POSIX-ID-Besitzer zuzuweisen. Der Vorteil dieser Option besteht darin, dass das Amazon EFS-Dateisystem nicht bereitgestellt werden muss.
Führen Sie die unter beschriebenen Schritte aus und geben Sie sowohl für die Benutzer-ID als auch für die Gruppen-ID 0 (Null) ein. [Hinzufügen von vom Service verwalteten Amazon EFS-Benutzern](service-managed-users.md#add-efs-user)
**Tipp**
Lassen Sie dieses Superuser-Konto nicht länger als nötig bestehen. Oder, falls Sie das Root-Benutzerkonto behalten, stellen Sie sicher, dass Sie es gut schützen.
### Unterstützte Amazon EFS-Befehle
Die folgenden Befehle werden für Amazon EFS for unterstützt AWS Transfer Family.
+ `cd`
+ `ls`/`dir`
+ `pwd`
+ `put`
+ `get`
+ `rename`
+ `chown`: Nur Root-Benutzer (d. h. Benutzer mit uid=0) können den Besitz und die Berechtigungen von Dateien und Verzeichnissen ändern.
+ `chmod`: Nur Root kann den Besitz und die Berechtigungen von Dateien und Verzeichnissen ändern.
+ `chgrp`: Wird entweder für Root-Benutzer oder für den Eigentümer der Datei unterstützt, der die Gruppe einer Datei nur in eine seiner sekundären Gruppen ändern kann.
+ `ln -s`/`symlink`
+ `mkdir`
+ `rm`/`delete`
+ `rmdir`
+ `chmtime`
# Erstellen Sie eine IAM-Rolle und -Richtlinie
In diesem Thema werden die Arten von Richtlinien und Rollen beschrieben, die zusammen verwendet werden können AWS Transfer Family, und der Prozess der Erstellung einer Benutzerrolle wird beschrieben. Außerdem wird beschrieben, wie Sitzungsrichtlinien funktionieren, und es wird ein Beispiel für eine Benutzerrolle bereitgestellt.
AWS Transfer Family verwendet die folgenden Rollentypen:
+ **Benutzerrolle** — Ermöglicht dienstverwalteten Benutzern den Zugriff auf die erforderlichen Transfer Family Family-Ressourcen. AWS Transfer Family nimmt diese Rolle im Kontext eines Transfer Family Family-Benutzer-ARN an.
+ **Zugriffsrolle** — Ermöglicht den Zugriff nur auf die Amazon S3 S3-Dateien, die übertragen werden. Für eingehende AS2 Übertragungen verwendet die Zugriffsrolle den Amazon-Ressourcennamen (ARN) für die Vereinbarung. Für ausgehende AS2 Übertragungen verwendet die Zugriffsrolle den ARN für den Connector.
+ **Aufrufrolle** — Zur Verwendung mit Amazon API Gateway als benutzerdefiniertem Identitätsanbieter des Servers. Transfer Family übernimmt diese Rolle im Kontext eines Transfer Family Family-Servers ARN.
+ **Rolle „Protokollierung**“ — Wird verwendet, um Einträge bei Amazon zu protokollieren CloudWatch. Transfer Family verwendet diese Rolle, um Erfolgs- und Fehlschlagsdetails sowie Informationen zu Dateiübertragungen zu protokollieren. Transfer Family übernimmt diese Rolle im Kontext eines Transfer Family Family-Servers ARN. Für ausgehende AS2 Übertragungen verwendet die Protokollierungsrolle den Connector-ARN.
+ **Ausführungsrolle** — Ermöglicht es einem Transfer Family Family-Benutzer, Workflows aufzurufen und zu starten. Transfer Family übernimmt diese Rolle im Zusammenhang mit einem Transfer Family Family-Workflow-ARN.
Zusätzlich zu diesen Rollen können Sie auch *Sitzungsrichtlinien* verwenden. Eine Sitzungsrichtlinie wird verwendet, um den Zugriff bei Bedarf einzuschränken. Beachten Sie, dass es sich bei diesen Richtlinien um eigenständige Richtlinien handelt, d. h., Sie fügen diese Richtlinien keiner Rolle hinzu. Stattdessen fügen Sie einem Transfer Family Family-Benutzer direkt eine Sitzungsrichtlinie hinzu.
**Anmerkung**
Wenn Sie einen vom Dienst verwalteten Transfer Family Family-Benutzer erstellen, können Sie die Option **Richtlinie automatisch auf Basis des Basisordners generieren auswählen.** Dies ist eine nützliche Tastenkombination, wenn Sie den Benutzerzugriff auf ihre eigenen Ordner einschränken möchten. Einzelheiten zu Sitzungsrichtlinien und ein Beispiel finden Sie auch unter[So funktionieren Sitzungsrichtlinien](#session-policy). Weitere Informationen zu Sitzungsrichtlinien finden Sie auch unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Eine Benutzerrolle erstellen](#role-create-procedure)
+ [So funktionieren Sitzungsrichtlinien](#session-policy)
+ [Beispiel für eine read/write Zugriffsrichtlinie](#read-write-access)
## Eine Benutzerrolle erstellen
Wenn Sie einen Benutzer erstellen, treffen Sie eine Reihe von Entscheidungen über den Benutzerzugriff. Zu diesen Entscheidungen gehört, auf welche Amazon S3 S3-Buckets oder Amazon EFS-Dateisysteme der Benutzer zugreifen kann, auf welche Teile jedes Amazon S3 S3-Buckets und auf welche Dateien im Dateisystem zugegriffen werden kann und welche Berechtigungen der Benutzer hat (z. B. `PUT` oder`GET`).
Um den Zugriff festzulegen, erstellen Sie eine identitätsbasierte AWS Identity and Access Management (IAM) -Richtlinie und Rolle, die diese Zugriffsinformationen bereitstellen. Im Rahmen dieses Prozesses gewähren Sie Ihrem Benutzer Zugriff auf den Amazon S3-Bucket oder das Amazon EFS-Dateisystem, das das Ziel oder die Quelle für Dateioperationen ist. Die folgenden grundlegenden Schritte, die im Weiteren detailliert erläutert werden, skizzieren das Verfahren:
**Eine Benutzerrolle erstellen**
1. Erstellen Sie eine IAM-Richtlinie für AWS Transfer Family. Dieser Vorgang wird unter [Um eine IAM-Richtlinie zu erstellen für AWS Transfer Family](#iam-policy-procedure) beschrieben.
1. Erstellen Sie eine IAM-Rolle und fügen Sie die neue IAM-Richtlinie an. Ein Beispiel finden Sie unter [Beispiel für eine read/write Zugriffsrichtlinie](#read-write-access).
1. Stellen Sie eine Vertrauensbeziehung zwischen AWS Transfer Family und der IAM-Rolle her. Dieser Vorgang wird unter [So stellen Sie eine Vertrauensbeziehung her](#establish-trust-transfer) beschrieben.
In den folgenden Verfahren wird beschrieben, wie eine IAM-Richtlinie und -Rolle erstellt wird.
**Um eine IAM-Richtlinie zu erstellen für AWS Transfer Family**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Richtlinien** und dann **Richtlinie erstellen**.
1. Wählen Sie auf der Seite **Create Policy (Richtlinie erstellen)** die Registerkarte **JSON** aus.
1. Ersetzen Sie im daraufhin angezeigten Editor den Inhalt des Editors durch die IAM-Richtlinie, die Sie der IAM-Rolle zuordnen möchten.
Sie können Benutzern read/write Zugriff gewähren oder sie auf ihr Home-Verzeichnis beschränken. Weitere Informationen finden Sie unter [Beispiel für eine read/write Zugriffsrichtlinie](#read-write-access).
1. Wählen Sie **Richtlinie überprüfen** aus, geben Sie einen Namen und eine Beschreibung für Ihre Richtlinie ein und wählen Sie dann **Richtlinie erstellen** aus.
Nun erstellen Sie eine IAM-Rolle und fügen an diese die neue IAM-Richtlinie an.
**Um eine IAM-Rolle zu erstellen für AWS Transfer Family**
1. Wählen Sie im Navigationsbereich **Rollen** und dann **Rolle erstellen**.
Vergewissern **Sie sich, dass auf der Seite Rolle erstellen** der **AWS Dienst** ausgewählt ist.
1. Wählen Sie in der Service-Liste **Transfer (Übertragung)** und dann **Next: Permissions (Weiter: Berechtigungen)** aus. Dadurch wird eine Vertrauensbeziehung zwischen AWS Transfer Family und hergestellt AWS.
1. Suchen **Sie im Abschnitt Berechtigungsrichtlinien anhängen** nach der Richtlinie, die Sie gerade erstellt haben, wählen Sie sie aus und klicken Sie **dann auf Weiter: Tags**.
1. (Optional) Geben Sie einen Schlüssel und einen Wert für ein Tag ein und wählen Sie **Next: Review (Weiter: Prüfen) aus**.
1. Geben Sie auf der Seite **Review (Prüfen)** einen Namen und eine Beschreibung für die neue Rolle ein und wählen Sie dann **Create role (Rolle erstellen)** aus.
Als Nächstes richten Sie eine Vertrauensbeziehung zwischen AWS Transfer Family und ein AWS.
**So stellen Sie eine Vertrauensbeziehung her**
**Anmerkung**
In unseren Beispielen verwenden wir `ArnLike` sowohl als auch`ArnEquals`. Sie sind funktionell identisch, weshalb Sie beide verwenden können, wenn Sie Ihre Richtlinien erstellen. Die Dokumentation Transfer Family verwendet`ArnLike`, wenn die Bedingung ein Platzhalterzeichen enthält, und `ArnEquals` um eine exakte Übereinstimmungsbedingung anzugeben.
1. Wählen Sie in der IAM-Konsole die von Ihnen eben erstellte Rolle aus.
1. Wählen Sie auf der Seite **Summary (Übersicht)** die Option **Trust relationships (Vertrauensbeziehungen)** und anschließend **Edit trust relationship (Vertrauensbeziehung bearbeiten)** aus.
1. Stellen **Sie im Editor „Vertrauensverhältnis bearbeiten“** sicher, dass der **Dienst aktiviert** ist`"transfer.amazonaws.com"`. Die Zugriffsrichtlinie wird im Folgenden dargestellt.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "transfer.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
Wir empfehlen Ihnen, die Zustandsschlüssel `aws:SourceAccount` und `aws:SourceArn` zu verwenden, um sich vor dem Problem der verwechselten Stellvertreter zu schützen. Das Quellkonto ist der Besitzer des Servers und der Quell-ARN ist der ARN des Benutzers. Beispiel:
```
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account_id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:transfer:region:account_id:user/*"
}
}
```
Sie können die `ArnLike` Bedingung auch verwenden, wenn Sie die Einschränkung auf einen bestimmten Server statt auf einen beliebigen Server im Benutzerkonto vornehmen möchten. Beispiel:
```
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:transfer:region:account-id:user/server-id/*"
}
}
```
**Anmerkung**
Ersetzen Sie in den obigen Beispielen jedes *user input placeholder* durch Ihre eigenen Informationen.
Einzelheiten zum Problem mit dem verwirrten Stellvertreter und weitere Beispiele finden Sie unter[Serviceübergreifende Confused-Deputy-Prävention](confused-deputy.md).
1. Wählen Sie „**Vertrauensrichtlinie** aktualisieren“, um die Zugriffsrichtlinie zu aktualisieren.
Sie haben jetzt eine IAM-Rolle erstellt, die es AWS Transfer Family ermöglicht, AWS Dienste in Ihrem Namen aufzurufen. Sie haben der Rolle die IAM-Richtlinie angehängt, die Sie erstellt haben, um Ihrem Benutzer Zugriff zu gewähren. In diesem [Erste Schritte mit AWS Transfer Family Server-Endpunkten](getting-started.md) Abschnitt werden diese Rolle und Richtlinie Ihrem oder Ihren Benutzern zugewiesen.
**Informationen finden Sie auch unter:**
+ *Weitere allgemeine Informationen zu IAM-Rollen finden Sie im IAM-Benutzerhandbuch unter [Erstellen einer Rolle zum Delegieren von Berechtigungen für einen AWS Dienst](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).*
+ Weitere Informationen zu identitätsbasierten Richtlinien für Amazon S3-Ressourcen finden Sie unter [Identitäts- und Zugriffsmanagement in Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-access-control.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
+ Weitere Informationen zu identitätsbasierten Richtlinien für Amazon EFS-Ressourcen finden Sie unter [Verwenden von IAM zur Steuerung des Dateisystemdatenzugriffs](https://docs.aws.amazon.com/efs/latest/ug/iam-access-control-nfs-efs.html) im *Amazon Elastic File System-Benutzerhandbuch*.
## So funktionieren Sitzungsrichtlinien
Wenn ein Administrator eine Rolle erstellt, umfasst die Rolle häufig umfassende Berechtigungen, die mehrere Anwendungsfälle oder Teammitglieder abdecken. Wenn ein Administrator eine [Konsolen-URL](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html) konfiguriert, kann er mithilfe einer *Sitzungsrichtlinie die Berechtigungen für die resultierende Sitzung* reduzieren. Wenn Sie beispielsweise eine Rolle mit [Lese-/Schreibzugriff](#read-write-access) erstellen, können Sie eine URL einrichten, die den Zugriff der Benutzer nur auf ihre Home-Verzeichnisse beschränkt.
Sitzungsrichtlinien sind erweiterte Richtlinien, die Sie als Parameter übergeben, wenn Sie programmgesteuert eine temporäre Sitzung für eine Rolle oder einen Benutzer erstellen. Sitzungsrichtlinien sind nützlich, um Benutzer zu sperren, sodass sie nur Zugriff auf Bereiche Ihres Buckets haben, in denen Objektpräfixe ihren Benutzernamen enthalten. Das folgende Diagramm zeigt, dass die Berechtigungen der Sitzungsrichtlinie die Schnittmenge der Sitzungsrichtlinien und der ressourcenbasierten Richtlinien sowie die Schnittmenge der Sitzungsrichtlinien und identitätsbasierten Richtlinien bilden.
![\[Venn-Diagramm der Sitzungsrichtlinienberechtigungen. Zeigt, wie effektiv Berechtigungen an den Schnittstellen von ressourcenbasierten Richtlinien, identitätsbasierten Richtlinien und Sitzungsrichtlinien liegen.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/EffectivePermissions-session-rbp-id.png)
*Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im IAM-Benutzerhandbuch.*
In AWS Transfer Family, eine Sitzungsrichtlinie wird nur unterstützt, wenn Sie zu oder von Amazon S3 übertragen. Die folgende Beispielrichtlinie ist eine Sitzungsrichtlinie, die den Zugriff von Benutzern nur auf ihre `home` Verzeichnisse beschränkt. Beachten Sie Folgendes:
+ Die `PutObjectACL` Anweisungen `GetObjectACL` und sind nur erforderlich, wenn Sie den kontenübergreifenden Zugriff aktivieren müssen. Das heißt, Ihr Transfer Family Family-Server muss auf einen Bucket in einem anderen Konto zugreifen.
+ Die maximale Länge einer Sitzungsrichtlinie beträgt 2048 Zeichen. Weitere Informationen finden Sie unter dem [Anforderungsparameter Policy](https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateUser.html#API_CreateUser_RequestSyntax) für die `CreateUser` Aktion in der *API-Referenz.*
+ Wenn Ihr Amazon S3 S3-Bucket mit AWS Key Management Service (AWS KMS) verschlüsselt ist, müssen Sie in Ihrer Richtlinie zusätzliche Berechtigungen angeben. Details hierzu finden Sie unter [Datenschutz und Verschlüsselung](encryption-at-rest.md).
+ Informationen zur Verwendung von Sitzungsrichtlinien zur Erstellung von Zugriffsberechtigungen auf der Grundlage von Benutzerattributen, ohne separate IAM-Rollen für jeden Benutzer zu erstellen, finden Sie unter[Dynamische Ansätze zur Rechteverwaltung](dynamic-permission-management.md).
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowListingOfUserFolder",
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::${transfer:HomeBucket}"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"${transfer:HomeFolder}/*",
"${transfer:HomeFolder}"
]
}
}
},
{
"Sid": "HomeDirObjectAccess",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetObjectVersion",
"s3:GetObjectACL",
"s3:PutObjectACL"
],
"Resource": "arn:aws:s3:::${transfer:HomeDirectory}/*"
}
]
}
```
**Anmerkung**
Im obigen Richtlinienbeispiel wird davon ausgegangen, dass die Basisverzeichnisse der Benutzer so eingestellt sind, dass sie einen abschließenden Schrägstrich enthalten, um anzuzeigen, dass es sich um ein Verzeichnis handelt. Wenn Sie dagegen das eines Benutzers `HomeDirectory` ohne den abschließenden Schrägstrich angeben, sollten Sie es in Ihre Richtlinie aufnehmen.
Beachten Sie in der vorherigen Beispielrichtlinie die Verwendung der `transfer:HomeFolder` `transfer:HomeDirectory` Richtlinienparameter`transfer:HomeBucket`, und. Diese Parameter werden für den festgelegt`HomeDirectory`, der für den Benutzer konfiguriert ist, wie unter [HomeDirectory](https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateUser.html#TransferFamily-CreateUser-request-HomeDirectory)und beschrieben[Implementierung Ihrer API-Gateway-Methode](authentication-api-gateway.md#authentication-api-method). Diese Parameter haben die folgenden Definitionen:
+ Der `transfer:HomeBucket` Parameter wird durch die erste Komponente von ersetzt`HomeDirectory`.
+ Der `transfer:HomeFolder` Parameter wird durch die verbleibenden Teile des `HomeDirectory` Parameters ersetzt.
+ Für den `transfer:HomeDirectory` Parameter wurde der führende Schrägstrich (`/`) entfernt, sodass er als Teil eines S3-Amazon-Ressourcennamens (ARN) in einer `Resource` Anweisung verwendet werden kann.
**Anmerkung**
Wenn Sie logische Verzeichnisse verwenden, also die Verzeichnisse des `homeDirectoryType` Benutzers, werden `LOGICAL` diese Richtlinienparameter (`HomeBucket``HomeDirectory`, und`HomeFolder`) nicht unterstützt.
Nehmen wir beispielsweise an, dass der `HomeDirectory` Parameter, der für den Transfer Family Family-Benutzer konfiguriert ist`/home/bob/amazon/stuff/`,
+ ist `transfer:HomeBucket` auf `/home` gesetzt.
+ ist `transfer:HomeFolder` auf `/bob/amazon/stuff/` gesetzt.
+ `transfer:HomeDirectory`wird`home/bob/amazon/stuff/`.
Die erste `"Sid"` ermöglicht es dem Benutzer, alle Verzeichnisse aufzulisten, beginnend mit`/home/bob/amazon/stuff/`.
Die zweite `"Sid"` schränkt den `get` Zugriff des Benutzers `put` auf denselben Pfad ein,`/home/bob/amazon/stuff/`.
## Beispiel für eine read/write Zugriffsrichtlinie
**read/write Zugriff auf den Amazon S3 S3-Bucket gewähren**
Die folgende Beispielrichtlinie für AWS Transfer Family gewährt read/write Zugriff auf Objekte in Ihrem Amazon S3 S3-Bucket.
Beachten Sie Folgendes:
+ Ersetzen Sie `amzn-s3-demo-bucket` durch den Namen Ihres Amazon-S3-Buckets.
+ Die `PutObjectACL` Anweisungen `GetObjectACL` und sind nur erforderlich, wenn Sie den kontoübergreifenden Zugriff aktivieren müssen. Das heißt, Ihr Transfer Family Family-Server muss auf einen Bucket in einem anderen Konto zugreifen.
+ Die `DeleteObjectVersion` Anweisungen `GetObjectVersion` und sind nur erforderlich, wenn die Versionierung für den Amazon S3 S3-Bucket aktiviert ist, auf den zugegriffen wird.
**Anmerkung**
Wenn Sie *jemals* die Versionierung für Ihren Bucket aktiviert haben, benötigen Sie diese Berechtigungen, da Sie die Versionierung in Amazon S3 nur aussetzen und nicht vollständig ausschalten können. Weitere Informationen finden Sie unter Buckets [ohne Version, mit aktivierter Versionsverwaltung und Sperrung der Versionierung.](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html#versioning-states)
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowListingOfUserFolder",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "HomeDirObjectAccess",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetObjectVersion",
"s3:GetObjectVersionTagging",
"s3:GetObjectACL",
"s3:PutObjectACL"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
**Dateisystemzugriff auf Dateien im Amazon EFS-Dateisystem gewähren**
**Anmerkung**
Zusätzlich zur Richtlinie müssen Sie auch sicherstellen, dass Ihre POSIX-Dateiberechtigungen den entsprechenden Zugriff gewähren. Weitere Informationen finden Sie unter [Arbeiten mit Benutzern, Gruppen und Berechtigungen auf Netzwerkdateisystem (NFS)-Ebene](https://docs.aws.amazon.com/efs/latest/ug/accessing-fs-nfs-permissions.html) im *Benutzerhandbuch für Amazon Elastic File System*.
Die folgende Beispielrichtlinie gewährt Root-Dateisystemzugriff auf Dateien in Ihrem Amazon EFS-Dateisystem.
**Anmerkung**
Ersetzen Sie in den folgenden Beispielen *region* durch Ihre Region, *account-id* das Konto, in dem sich die Datei befindet, und *file-system-id* durch die ID Ihres Amazon Elastic File System (Amazon EFS).
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RootFileSystemAccess",
"Effect": "Allow",
"Action": [
"elasticfilesystem:ClientRootAccess",
"elasticfilesystem:ClientMount",
"elasticfilesystem:ClientWrite"
],
"Resource": "arn:aws:elasticfilesystem:us-east-1:123456789012:file-system/file-system-id"
}
]
}
```
Die folgende Beispielrichtlinie gewährt Benutzerdateisystemzugriff auf Dateien in Ihrem Amazon EFS-Dateisystem.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "UserFileSystemAccess",
"Effect": "Allow",
"Action": [
"elasticfilesystem:ClientMount",
"elasticfilesystem:ClientWrite"
],
"Resource": "arn:aws:elasticfilesystem:us-east-1:123456789012:file-system/file-system-id"
}
]
}
```