Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Erstellen von Gewährungen
<a name="access-grants-grant-create"></a>

Eine individuelle *Zugriffsberechtigung in einer S3 Access Grants-Instanz* ermöglicht einer bestimmten Identität — einem AWS Identity and Access Management (IAM-) Prinzipal oder einem Benutzer oder einer Gruppe in einem Unternehmensverzeichnis — Zugriff von einem Standort aus zu erhalten, der in Ihrer S3 Access Grants-Instanz registriert ist. Ein Speicherort ordnet Buckets oder Präfixe einer IAM-Rolle zu. S3 Access Grants übernimmt diese IAM-Rolle, um temporäre Anmeldeinformationen an Gewährungsempfänger weiterzugeben. 

Sie müssen in Ihrer S3-Access-Grants-Instance [mindestens einen Speicherort registrieren](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-location.html), bevor Sie eine Zugriffsgewährung erstellen können.

Der Empfänger kann ein IAM-Benutzer, eine IAM-Rolle, ein Verzeichnisbenutzer oder eine Verzeichnisgruppe sein. Ein Verzeichnisbenutzer ist ein Benutzer aus Ihrem Unternehmensverzeichnis oder einer externen Identitätsquelle, den Sie mit Ihrer [S3-Access-Grants-Instance](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-instance-idc.html) verknüpft haben. Weitere Informationen finden Sie unter [S3 Access Grants und Unternehmensverzeichnisidentitäten](access-grants-directory-ids.md). Um eine Gewährung für einen bestimmten Verzeichnisbenutzer oder -gruppe über IAM Identity Center zu erstellen, suchen Sie die GUID, mit der dieser Benutzer in IAM Identity Center identifiziert wird, zum Beispiel `a1b2c3d4-5678-90ab-cdef-EXAMPLE11111`. Weitere Informationen zur Verwendung von IAM Identity Center zum Anzeigen von Benutzerinformationen finden Sie im *AWS IAM Identity Center -Benutzerhandbuch* unter [Anzeigen von Benutzer- und Gruppenzuweisungen](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-view-assignments.html). 

Sie können Zugriff auf einen Bucket, ein Präfix oder ein Objekt gewähren. Ein Präfix in Amazon S3 ist eine Zeichenfolge am Anfang eines Objektschlüsselnamens, mit der die Objekte in einem Bucket organisiert werden. Dabei kann es sich um eine beliebige Zeichenfolge handeln, z. B. um Objektschlüsselnamen in Ihrem Bucket, die mit dem Präfix `engineering/` beginnen. 

## Unterpräfix
<a name="subprefix"></a>

Wenn Sie Zugriff auf einen registrierten Speicherort gewähren, können Sie mit dem Feld `Subprefix` den Zugriff auf einen Teil des Speicherbereichs eingrenzen. Wenn es sich beim registrierten Speicherort, den Sie für die Gewährung auswählen, um den Standard-S3-Pfad (`s3://`) handelt, müssen Sie den Geltungsbereich der Gewährung einschränken. Sie können keine Zugriffsgewährung für den Standardspeicherort (`s3://`) erstellen, da der Empfänger hierdurch Zugriff auf alle Buckets in einer AWS-Region erhalten würde. Stattdessen müssen Sie den Geltungsbereich für eine der folgenden Kategorien festlegen:
+ Ein Bucket: `s3://bucket/*`
+ Ein Präfix innerhalb eines Buckets: `s3://bucket/prefix*`
+ Präfix innerhalb eines Präfixes: `s3://bucket/prefixA/prefixB*`
+ Objekt: `s3://bucket/object-key-name`

Wenn Sie eine Zugriffsgewährung erstellen, bei der der registrierte Speicherort ein Bucket ist, können Sie eines der folgenden Elemente im `Subprefix`-Feld angeben, um den Geltungsbereich der Gewährung einzuschränken:
+ Präfix innerhalb des Buckets: `prefix*`
+ Präfix innerhalb eines Präfixes: `prefixA/prefixB*`
+ Objekt: `/object-key-name`

Nachdem Sie den Zuschuss erstellt haben, ist der Umfang der Gewährung, der in der Amazon S3 S3-Konsole angezeigt wird oder der `GrantScope` in der API oder AWS Command Line Interface (AWS CLI) -Antwort zurückgegeben wird, das Ergebnis der Verkettung des Standortpfads mit dem. `Subprefix` Dieser verkettete Pfad muss mit dem S3-Bucket, Präfix oder Objekt übereinstimmen, dem Sie Zugriff gewähren möchten.

**Anmerkung**  
Wenn Sie eine Zugriffsgewährung erstellen müssen, die Zugriff auf ein einzelnes Objekt gewährt, müssen Sie angeben, dass der Gewährungstyp für ein Objekt gilt. Um dies in einem API-Aufruf oder einem CLI-Befehl zu tun, übergeben Sie den `s3PrefixType`- Parameter mit dem Wert `Object`. Wenn Sie in der Amazon-S3-Konsole die Gewährung erstellen, nachdem Sie einen Speicherort ausgewählt haben, aktivieren Sie unter **Gewährungsumfang** das Kontrollkästchen **Gewährungsumfang ist ein Objekt**.
Sie können keine Gewährung für einen Bucket erstellen, der noch nicht vorhanden ist. Sie können jedoch eine Berechtigung für ein Präfix erstellen, das noch nicht existiert. 
Die maximale Anzahl von Gewährungen, die Sie in Ihrer S3-Access-Grants-Instance erstellen können, finden Sie unter [Limits für S3 Access Grants](access-grants-limitations.md).

Sie können eine Zugriffsgewährung mithilfe der Amazon S3 S3-Konsole AWS CLI, der Amazon S3 S3-REST-API und erstellen AWS SDKs.

## Verwenden der S3-Konsole
<a name="access-grants-grant-create-console"></a>

**So erstellen Sie eine Zugriffsgewährung**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. Wählen Sie im linken Navigationsbereich **Zugriffsgewährungen** aus.

1. Wählen Sie auf der Seite **S3 Access Grants** die Region mit der S3-Access-Grants-Instance aus, mit der Sie arbeiten möchten.

   Wenn Sie die S3-Access-Grants-Instance zum ersten Mal verwenden, müssen Sie [Schritt 2 – Registrieren eines Speicherorts](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-location.html) abgeschlossen haben und zu **Schritt 3** des Assistenten **Access-Grants-Instance einrichten** gewechselt sein. Wenn Sie bereits über eine S3-Access-Grants-Instance verfügen, wählen Sie **Details anzeigen** und dann auf der Registerkarte **Gewährungen** die Option **Gewährung erstellen** aus.

   1. Wählen Sie im Abschnitt **Gewährungsumfang** einen registrierten Standort aus oder geben Sie diesen ein. 

      Wenn Sie den `s3://`-Standardspeicherort ausgewählt haben, können Sie im Feld **Unterpräfix** den Umfang der Zugriffsgewährung einschränken. Weitere Informationen finden Sie unter [Unterpräfix](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-grant.html#subprefix). Wenn Sie lediglich einem Objekt Zugriff gewähren, wählen Sie **Gewährungsumfang ist ein Objekt** aus.

   1. Wählen Sie unter **Berechtigungen und Zugriff** die **Berechtigungsstufe**, entweder **Lesen**, **Schreiben** oder beides. 

      Wählen Sie dann den **Empfängertyp** aus. Wenn Sie Ihr Unternehmensverzeichnis zu IAM Identity Center hinzugefügt und diese IAM-Identity-Center-Instance mit Ihrer S3-Access-Grants-Instance verknüpft haben, können Sie **Verzeichnisidentität aus IAM Identity Center** auswählen. Wenn Sie diese Option auswählen, rufen Sie die ID des Benutzers oder der Gruppe aus IAM Identity Center ab und geben diese in diesen Abschnitt ein. 

      Wenn der **Empfängertyp** ein IAM-Benutzer oder eine IAM-Rolle ist, wählen Sie **IAM-Prinzipal** aus. Wählen Sie in **IAM-Prinzipaltyp** die Option **Benutzer** oder **Rolle** aus. Wählen Sie dann in **IAM-Prinzipalbenutzer** entweder einen Eintrag aus der Liste aus oder geben Sie die ID der Identität ein. 

   1. Um die S3-Access-Grants-Gewährung zu erstellen, wählen Sie **Weiter** oder **Gewährung erstellen** aus.

1. Wenn **Weiter** oder **Gewährung erstellen** deaktiviert ist:

**Gewährung kann nicht erstellt werden**
   + Möglicherweise müssen Sie in Ihrer S3-Access-Grants-Instance zuerst [einen Speicherort registrieren](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-location.html).
   + Möglicherweise besitzen Sie die Berechtigung `s3:CreateAccessGrant` nicht, die für die Erstellung Zugriffsgewährung erforderlich ist. Nehmen Sie Kontakt mit Ihrem Kontoadministrator auf. 

## Verwenden Sie den AWS CLI
<a name="access-grants-grant-create-cli"></a>

Informationen zur AWS CLI Installation [von finden Sie unter Installation von AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) im *AWS Command Line Interface Benutzerhandbuch*. 

Die folgenden Beispiele zeigen, wie Sie eine Anforderung für eine Zugriffsgewährung für einen IAM-Prinzipal bzw. für einen Benutzer oder eine Gruppe im Unternehmensverzeichnis erstellen. 

Um die folgenden Beispielbefehle zu verwenden, ersetzen Sie `user input placeholders` durch eigene Daten.

**Anmerkung**  
Wenn Sie eine Zugriffsgewährung erstellen, die Zugriff auf ein einzelnes Objekt gewährt, geben Sie den erforderlichen Parameter `--s3-prefix-type Object` an.

**Example Erstellen einer Anforderung für eine Zugriffsgewährung für einen IAM-Prinzipal**  

```
aws s3control create-access-grant \
--account-id 111122223333 \
--access-grants-location-id a1b2c3d4-5678-90ab-cdef-EXAMPLE22222 \
--access-grants-location-configuration S3SubPrefix=prefixB* \
--permission READ \
--grantee GranteeType=IAM,GranteeIdentifier=arn:aws:iam::123456789012:user/data-consumer-3
```

**Example Erstellen einer Zugriffsgewährungsantwort**  

```
{"CreatedAt": "2023-05-31T18:41:34.663000+00:00",
    "AccessGrantId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "AccessGrantArn": "arn:aws:s3:us-east-2:111122223333:access-grants/default/grant/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Grantee": {
        "GranteeType": "IAM",
        "GranteeIdentifier": "arn:aws:iam::111122223333:user/data-consumer-3"
    },
    "AccessGrantsLocationId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
    "AccessGrantsLocationConfiguration": {
        "S3SubPrefix": "prefixB*"
    },
    "GrantScope": "s3://amzn-s3-demo-bucket/prefix*",
    "Permission": "READ"
}
```

**Erstellen einer Anforderung für eine Zugriffsgewährung für einen Verzeichnisbenutzer oder eine Verzeichnisgruppe**  
Zur Erstellung einer Anforderung für eine Zugriffsgewährung für einen Verzeichnisbenutzer oder eine Verzeichnisgruppe müssen Sie zunächst die GUID für den Verzeichnisbenutzer oder die Verzeichnisgruppe abrufen, indem Sie einen der folgenden Befehle ausführen.

**Example Abrufen einer GUID für einen Verzeichnisbenutzer oder eine Verzeichnisgruppe**  
Sie finden die GUID eines IAM Identity Center-Benutzers über die IAM Identity Center-Konsole oder mithilfe von oder. AWS CLI AWS SDKs Der folgende Befehl listet die Benutzer in der angegebenen IAM-Identity-Center-Instance mit Namen und IDs auf.  

```
aws identitystore list-users --identity-store-id d-1a2b3c4d1234 
```
Dieser Befehl listet die Gruppen in der angegebenen IAM-Identity-Center-Instance auf.  

```
aws identitystore list-groups --identity-store-id d-1a2b3c4d1234
```

**Example Erstellen einer Zugriffsgewährung für einen Verzeichnisbenutzer oder eine Verzeichnisgruppe**  
Dieser Befehl ist der Erstellung einer Gewährung für IAM-Benutzer oder -Rollen ähnlich. Der Empfängertyp ist jedoch `DIRECTORY_USER` oder `DIRECTORY_GROUP` und die Empfänger-ID ist die GUID für den Verzeichnisbenutzer oder die Verzeichnisgruppe.  

```
aws s3control create-access-grant \
--account-id 123456789012 \
--access-grants-location-id default \
--access-grants-location-configuration S3SubPrefix="amzn-s3-demo-bucket/rafael/*" \
--permission READWRITE \
--grantee GranteeType=DIRECTORY_USER,GranteeIdentifier=83d43802-00b1-7054-db02-f1d683aacba5 \
```

## Verwenden der REST-API
<a name="access-grants-grant-create-rest-api"></a>

Informationen zur Amazon-S3-REST-API-Unterstützung für die Verwaltung von Zugriffsgewährungen finden Sie in den folgenden Abschnitten in der *Amazon-Simple-Storage-Service-API-Referenz*:
+  [CreateAccessGrant](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessGrant.html) 
+  [DeleteAccessGrant](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrant.html) 
+  [GetAccessGrant](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrant.html) 
+  [ListAccessGrants](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessGrants.html)

## Verwenden Sie den AWS SDKs
<a name="access-grants-grant-create-using-sdk"></a>

Dieser Abschnitt enthält Beispiele für die Erstellung einer Zugriffsberechtigung mithilfe von AWS SDKs.

------
#### [ Java ]

Wenn Sie das folgende Beispiel verwenden möchten, ersetzen Sie `user input placeholders` durch eigene Daten.

**Anmerkung**  
Wenn Sie eine Zugriffsgewährung erstellen, die Zugriff auf ein einzelnes Objekt gewährt, geben Sie den erforderlichen Parameter `.s3PrefixType(S3PrefixType.Object)` an.

**Example Erstellen einer Anforderung für eine Zugriffsgewährung**  

```
public void createAccessGrant() {
CreateAccessGrantRequest createRequest = CreateAccessGrantRequest.builder()
.accountId("111122223333")
.accessGrantsLocationId("a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa")
.permission("READ")
.accessGrantsLocationConfiguration(AccessGrantsLocationConfiguration.builder().s3SubPrefix("prefixB*").build())
.grantee(Grantee.builder().granteeType("IAM").granteeIdentifier("arn:aws:iam::111122223333:user/data-consumer-3").build())
.build();
CreateAccessGrantResponse createResponse = s3Control.createAccessGrant(createRequest);
LOGGER.info("CreateAccessGrantResponse: " + createResponse);
}
```

**Example Erstellen einer Zugriffsgewährungsantwort**  

```
CreateAccessGrantResponse(
CreatedAt=2023-06-07T05:20:26.330Z,
AccessGrantId=a1b2c3d4-5678-90ab-cdef-EXAMPLE33333,
AccessGrantArn=arn:aws:s3:us-east-2:444455556666:access-grants/default/grant/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333,
Grantee=Grantee(
GranteeType=IAM,
GranteeIdentifier=arn:aws:iam::111122223333:user/data-consumer-3
),
AccessGrantsLocationId=a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa,
AccessGrantsLocationConfiguration=AccessGrantsLocationConfiguration(
S3SubPrefix=prefixB*
),
GrantScope=s3://amzn-s3-demo-bucket/prefixB,
Permission=READ
)
```

------