Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Konfiguration von IAM-Rollen für Transfer Family Family-Web-Apps Sie benötigen zwei Rollen: eine für die Verwendung als Identitätsträgerrolle für Ihre Web-App und eine zweite für die Konfiguration einer Zugriffsgewährung. Eine Identitätsträgerrolle ist eine Rolle, die die Identität eines authentifizierten Benutzers in seine Sitzungen einbezieht. Sie wird verwendet, um Anträge auf Datenzugriff im Namen des Benutzers an S3 Access Grants zu stellen. **Anmerkung** Sie können das Verfahren zum Erstellen einer Identitätsträgerrolle überspringen. Informationen dazu, wie der Transfer Family Family-Dienst die Identitätsträgerrolle erstellt, finden Sie unter[Eine Transfer Family Family-Web-App erstellen](webapp-configure.md#web-app-create). Sie können das Verfahren zum Erstellen einer Rolle mit Zugriffsberechtigungen überspringen. Wählen Sie im Verfahren zum Erstellen einer Zugriffsberechtigung in dem Schritt, in dem Sie einen S3-Standort registrieren, die Option **Neue Rolle erstellen** aus. **Erstellen Sie eine Rolle als Identitätsträger** 1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 1. Wählen Sie **Rollen** und anschließend **Rolle erstellen** aus. 1. Wählen Sie **Benutzerdefinierte Vertrauensrichtlinie** und fügen Sie dann den folgenden Code ein. ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service":"transfer.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] } ] } ``` 1. Wählen Sie **Weiter** und überspringen **Sie dann „Berechtigungen hinzufügen**“ und wählen Sie erneut **Weiter** aus. 1. Geben Sie beispielsweise einen Namen ein`web-app-identity-bearer`. 1. Wählen Sie **Rolle erstellen**, um die Rolle des Identitätsträgers zu erstellen. 1. Wählen Sie die Rolle, die Sie gerade erstellt haben, aus der Liste aus und wählen Sie dann im Bereich „**Berechtigungsrichtlinien**“ die Option „**Berechtigungen hinzufügen**“ > „**Inline-Richtlinie erstellen**“. 1. Wählen Sie im **Richtlinien-Editor** **JSON** aus und fügen Sie dann den folgenden Codeblock ein. ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetDataAccess", "s3:ListCallerAccessGrants", "s3:ListAccessGrantsInstances" ], "Resource": "*" } ] } ``` 1. Geben Sie `AllowS3AccessGrants` den Richtliniennamen ein und wählen Sie dann **Richtlinie erstellen** aus. Als Nächstes erstellen Sie die Rolle, die S3 Access Grants übernimmt, um temporäre Anmeldeinformationen an den Empfänger zu verkaufen. **Anmerkung** Wenn Sie dem Dienst erlauben, die Rolle des Identitätsträgers für Sie zu erstellen, sorgt diese Rolle für den Schutz eines verwirrten Stellvertreters. Daher unterscheidet sich der Code von dem, der hier angezeigt wird. **Erstellen Sie eine Rolle mit Zugriffsberechtigungen** 1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Wählen Sie **Rollen** und anschließend **Rolle erstellen** aus. Diese Rolle sollte über die Berechtigung verfügen, auf Ihre S3-Daten in der zuzugreifen AWS-Region. 1. Wählen Sie **Benutzerdefinierte Vertrauensrichtlinie** und fügen Sie dann den folgenden Code ein. ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "access-grants.s3.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] } ] } ``` 1. Wählen Sie **Weiter** und fügen Sie eine Mindestrichtlinie hinzu, wie unter [Standort registrieren](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-location-register.html) beschrieben. Obwohl dies nicht empfohlen wird, können Sie die FullAccess verwaltete **AmazonS3-Richtlinie** hinzufügen, da diese für Ihre Anforderungen möglicherweise zu großzügig ist. 1. Wählen Sie **Weiter** und geben Sie einen Namen ein (zum Beispiel). `access-grants-location` 1. Wählen Sie **Rolle erstellen**, um die Rolle zu erstellen. **Anmerkung** Wenn Sie dem Dienst gestatten, die Rolle „Zugriffsberechtigungen“ für Sie zu erstellen, sorgt diese Rolle für den Schutz eines verwirrten Stellvertreters. Daher unterscheidet sich der Code von dem, der hier angezeigt wird.