Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Für EC2 Amazon-Startvorlagen sind IAM-Berechtigungen erforderlich

PDF
RSS
Fokusmodus
Für EC2 Amazon-Startvorlagen sind IAM-Berechtigungen erforderlich - Amazon Elastic Compute Cloud
ec2: CreateLaunchTemplateec2: DescribeLaunchTemplatesec2: DescribeLaunchTemplateVersionsec2: DeleteLaunchTemplateSteuern von Berechtigungen für VersionsverwaltungSteuern des Zugriffs auf Tags in Startvorlagen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Mit IAM-Berechtigungen können Sie steuern, ob Benutzer Startvorlagen oder Versionen von Startvorlagen auflisten, anzeigen, erstellen oder löschen können.

Wichtig

Sie können Berechtigungen auf Ressourcenebene nicht verwenden, um die Ressourcen einzuschränken, die Benutzer in einer Startvorlage angeben können, wenn sie eine Startvorlage oder eine Startvorlagenversion erstellen. Stellen Sie daher sicher, dass nur vertrauenswürdigen Administratoren die Berechtigung zum Erstellen von Startvorlagen und Startvorlagenversionen gewährt wird.

Sie müssen allen Personen, die eine Startvorlage verwenden, die erforderlichen Berechtigungen zum Erstellen und Zugreifen auf die in der Startvorlage angegebenen Ressourcen gewähren. Zum Beispiel:

  • Um eine Instance aus einem freigegebenen privaten Amazon Machine Image (AMI) zu starten, muss der Benutzer über die Startberechtigung für das AMI verfügen.

  • Um EBS-Volumes mit Tags aus vorhandenen Snapshots zu erstellen, muss der Benutzer über Lesezugriff auf die Snapshots sowie über Berechtigungen zum Erstellen und Markieren von Volumes verfügen.

ec2: CreateLaunchTemplate

Um eine Startvorlage in der Konsole oder mithilfe von zu erstellen APIs, muss der Principal über die ec2:CreateLaunchTemplate entsprechende Berechtigung in einer IAM-Richtlinie verfügen. Verwenden Sie nach Möglichkeit Tags, um den Zugriff auf die Startvorlagen in Ihrem Konto zu steuern.

Beispielsweise gewährt die folgende IAM-Richtlinienanweisung dem Prinzipal nur dann die Berechtigung, Startvorlagen zu erstellen, wenn die Vorlage das angegebene Tag verwendet (purpose=testing).

{
    "Sid": "IAMPolicyForCreatingTaggedLaunchTemplates",
    "Action": "ec2:CreateLaunchTemplate",
    "Effect": "Allow",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceTag/purpose": "testing"
        }
    }
}

Prinzipale, die Schlüssel erstellen, benötigen möglicherweise einige verwandte Berechtigungen, wie beispielsweise:

  • ec2: CreateTags — Um der Startvorlage während des CreateLaunchTemplate Vorgangs Tags hinzuzufügen, muss der CreateLaunchTemplate Aufrufer über die ec2:CreateTags entsprechende Berechtigung in einer IAM-Richtlinie verfügen.

  • ec2: RunInstances — Um EC2 Instances von der Startvorlage aus zu starten, die sie erstellt haben, muss der Principal auch über die ec2:RunInstances entsprechende Berechtigung in einer IAM-Richtlinie verfügen.

Bei Aktionen zur Ressourcenerstellung, die Tags anwenden, müssen Benutzer über ec2:CreateTags-Berechtigungen verfügen. Die folgende IAM-Richtlinienanweisung verwendet den Bedingungsschlüssel ec2:CreateAction, um Benutzern das Erstellen von Tags nur im Kontext von CreateLaunchTemplate zu ermöglichen. Die Benutzer können keine vorhandenen Startvorlagen oder andere Ressourcen kennzeichnen. Weitere Informationen finden Sie unter Erteilen Sie die Erlaubnis, EC2 Amazon-Ressourcen während der Erstellung zu taggen.

{
    "Sid": "IAMPolicyForTaggingLaunchTemplatesOnCreation",
    "Action": "ec2:CreateTags",
    "Effect": "Allow",
    "Resource": "arn:aws:ec2:region:account-id:launch-template/*",
    "Condition": {
        "StringEquals": {
            "ec2:CreateAction": "CreateLaunchTemplate"
        }
    }
}

Der IAM-Benutzer, der eine Startvorlage erstellt, verfügt nicht automatisch über die Berechtigung, die von ihm erstellte Startvorlage zu verwenden. Wie jeder andere Prinzipal muss der Ersteller der Startvorlage eine Berechtigung über eine IAM-Richtlinie erhalten. Wenn ein IAM-Benutzer eine EC2 Instance von einer Startvorlage aus starten möchte, muss er über die entsprechende Genehmigung verfügen. ec2:RunInstances Wenn Sie diese Berechtigungen gewähren, können Sie angeben, dass Benutzer nur Startvorlagen mit bestimmten oder bestimmten IDs Tags verwenden können. Sie können auch das AMI und andere Ressourcen steuern, auf die jeder, der Startvorlagen verwendet, beim Starten von Instances verweisen und diese verwenden kann, indem Sie Berechtigungen auf Ressourcenebene für den RunInstances-Aufruf angeben. Beispiele für Richtlinien finden Sie unter Startvorlagen.

ec2: DescribeLaunchTemplates

Um Startvorlagen im Konto anzuzeigen und aufzulisten, muss der Prinzipal über die ec2:DescribeLaunchTemplates-Berechtigung in einer IAM-Richtlinie verfügen. Da Describe-Aktionen keine Berechtigungen auf Ressourcenebene unterstützen, müssen sie Sie ohne Bedingungen angeben, und der Wert des Ressourcenelements in der Richtlinie muss "*" sein.

Beispielsweise gewährt die folgende IAM-Richtlinienanweisung dem Prinzipal die Berechtigung, alle Startvorlagen im Konto anzuzeigen und aufzulisten.

{
    "Sid": "IAMPolicyForDescribingLaunchTemplates",
    "Action": "ec2:DescribeLaunchTemplates",
    "Effect": "Allow",
    "Resource": "*"
}

ec2: DescribeLaunchTemplateVersions

Prinzipale, die Startvorlagen aufrufen, sollten auch über die ec2:DescribeLaunchTemplateVersions-Berechtigung verfügen, den gesamten Satz von Attributen abzurufen, aus denen die Startvorlagen bestehen.

Um Startvorlagenversionen im Konto anzuzeigen und aufzulisten, muss der Prinzipal über die ec2:DescribeLaunchTemplateVersions-Berechtigung in einer IAM-Richtlinie verfügen. Da Describe-Aktionen keine Berechtigungen auf Ressourcenebene unterstützen, müssen sie Sie ohne Bedingungen angeben, und der Wert des Ressourcenelements in der Richtlinie muss "*" sein.

Beispielsweise gewährt die folgende IAM-Richtlinienanweisung dem Prinzipal die Berechtigung, alle Startvorlagenversionen im Konto anzuzeigen und aufzulisten.

{
    "Sid": "IAMPolicyForDescribingLaunchTemplateVersions",
    "Effect": "Allow",
    "Action": "ec2:DescribeLaunchTemplateVersions",
    "Resource": "*"
}

ec2: DeleteLaunchTemplate

Wichtig

Seien Sie vorsichtig, wenn Sie Prinzipalen die Berechtigung zum Löschen einer Ressource gewähren. Das Löschen einer Startvorlage kann zu einem Fehler in einer AWS Ressource führen, die auf der Startvorlage basiert.

Um eine Startvorlage zu löschen muss der Prinzipal über die ec2:DeleteLaunchTemplate-Berechtigung in einer IAM-Richtlinie verfügen. Wann immer möglich, verwenden Sie Bedingungsschlüssel, um die Berechtigungen einzuschränken.

Die folgende IAM-Richtlinienanweisung gewährt dem Prinzipal beispielsweise nur dann die Berechtigung, Startvorlagen zu löschen, wenn die Vorlage das angegebene Tag verwendet (purpose=testing).

{
    "Sid": "IAMPolicyForDeletingLaunchTemplates",
    "Action": "ec2:DeleteLaunchTemplate",
    "Effect": "Allow",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceTag/purpose": "testing"
        }
    }
}

Alternativ können Sie sie verwenden, ARNs um die Startvorlage zu identifizieren, für die die IAM-Richtlinie gilt.

Eine Startvorlage verfügt über den folgenden ARN.

"Resource": "arn:aws:ec2:region:account-id:launch-template/lt-09477bcd97b0d310e"

Sie können mehrere angeben, ARNs indem Sie sie in eine Liste einschließen, oder Sie können den Resource Wert "*" ohne das Condition Element angeben, damit der Prinzipal jede Startvorlage im Konto löschen kann.

Steuern von Berechtigungen für Versionsverwaltung

Vertrauenswürdigen Administratoren können Sie Zugriff zum Erstellen und Löschen von Versionen einer Startvorlage sowie zum Ändern der Standardversion einer Startvorlage gewähren, indem Sie IAM-Richtlinien ähnlich den folgenden Beispielen verwenden.

Wichtig

Seien Sie vorsichtig, wenn Sie Prinzipalen die Berechtigung gewähren, Versionen von Startvorlagen zu erstellen oder Startvorlagen zu ändern.

  • Wenn Sie eine Startvorlagenversion erstellen, wirken Sie sich auf alle AWS Ressourcen aus, die es Amazon EC2 ermöglichen, Instances in Ihrem Namen mit der Latest Version zu starten.

  • Wenn Sie eine Startvorlage ändern, können Sie die Version ändern Default und sich somit auf alle AWS Ressourcen auswirken, die es Amazon ermöglichen, Instances in Ihrem Namen mit dieser modifizierten Version EC2 zu starten.

Sie müssen auch vorsichtig sein, wenn Sie mit AWS Ressourcen umgehen, die mit der Vorlagenversion interagieren Latest oder diese Default starten, wie EC2 Fleet und Spot-Flotte. Wenn eine andere Version der Startvorlage für Latest oder verwendet wirdDefault, überprüft Amazon die Benutzerberechtigungen EC2 nicht erneut auf auszuführende Aktionen, wenn neue Instances gestartet werden, um die Zielkapazität der Flotte zu erreichen, da keine Benutzerinteraktion mit der AWS Ressource stattfindet. Indem einem Benutzer die Berechtigung zum Aufrufen von CreateLaunchTemplateVersion und erteilt wird ModifyLaunchTemplate APIs, wird dem Benutzer die iam:PassRole Berechtigung auch erteilt, wenn er die Flotte auf eine andere Version der Startvorlage weiterleitet, die ein Instance-Profil (einen Container für eine IAM-Rolle) enthält. Dies bedeutet, dass ein Benutzer potenziell eine Startvorlage aktualisieren kann, um eine IAM-Rolle an eine Instance zu übergeben, auch wenn er nicht über die entsprechende iam:PassRole-Berechtigung verfügt. Sie können dieses Risiko kontrollieren, indem Sie bei der Vergabe von Berechtigungen für die Erstellung und Verwaltung von Startvorlagenversionen vorsichtig vorgehen.

ec2: CreateLaunchTemplateVersion

Um eine neue Version einer Startvorlage zu erstellen, muss der Prinzipal über die ec2:CreateLaunchTemplateVersion-Berechtigung für die Startvorlage in einer IAM-Richtlinie verfügen.

Die folgende IAM-Richtlinienerklärung gewährt dem Prinzipal beispielsweise nur dann die Berechtigung, Startvorlagenversionen zu erstellen, wenn die Version das angegebene Tag verwendet (environment=production). Alternativ können Sie eine oder mehrere Startvorlagen angeben ARNs, oder Sie können den Resource Wert "*" ohne das Condition Element angeben, damit der Principal Versionen jeder Startvorlage im Konto erstellen kann. 

{
    "Sid": "IAMPolicyForCreatingLaunchTemplateVersions",
    "Action": "ec2:CreateLaunchTemplateVersion",
    "Effect": "Allow",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceTag/environment": "production"
        }
    }
}

ec2: DeleteLaunchTemplateVersion

Wichtig

Wie immer sollten Sie Vorsicht walten lassen, wenn Sie Prinzipalen die Berechtigung zum Löschen einer Ressource erteilen. Das Löschen einer Version der Startvorlage kann zu einem Fehler in einer AWS Ressource führen, die auf der Version der Startvorlage basiert.

Um eine neue Version einer Startvorlagenversion zu erstellen, muss der Prinzipal über die ec2:DeleteLaunchTemplateVersion-Berechtigung für die Startvorlage in einer IAM-Richtlinie verfügen.

Die folgende IAM-Richtlinienerklärung gewährt dem Prinzipal beispielsweise nur dann die Berechtigung, Startvorlagenversionen zu löschen, wenn die Version das angegebene Tag verwendet (environment=production). Alternativ können Sie eine oder mehrere Startvorlagen angeben ARNs, oder Sie können den Resource Wert "*" ohne das Condition Element angeben, damit der Prinzipal Versionen aller Startvorlagen im Konto löschen kann.

{
    "Sid": "IAMPolicyForDeletingLaunchTemplateVersions",
    "Action": "ec2:DeleteLaunchTemplateVersion",
    "Effect": "Allow",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceTag/environment": "production"
        }
    }
}

ec2: ModifyLaunchTemplate

Um die mit einer Startvorlage zugeordnete Default-Version zu ändern, muss der Prinzipal über die ec2:ModifyLaunchTemplate-Berechtigung für die Startvorlage in einer IAM-Richtlinie verfügen.

Die folgende IAM-Richtlinienerklärung gewährt dem Prinzipal beispielsweise nur dann die Berechtigung, Startvorlagen zu ändern, wenn die Vorlage das angegebene Tag verwendet (environment=production). Alternativ können Sie eine oder mehrere Startvorlagen angeben ARNs, oder Sie können den Resource Wert "*" ohne das Condition Element angeben, damit der Principal jede Startvorlage im Konto ändern kann.

{
    "Sid": "IAMPolicyForModifyingLaunchTemplates",
    "Action": "ec2:ModifyLaunchTemplate",
    "Effect": "Allow",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceTag/environment": "production"
        }
    }
}

Steuern des Zugriffs auf Tags in Startvorlagen

Sie können Bedingungsschlüssel verwenden, um Tagging-Berechtigungen einzuschränken, wenn es sich bei der Ressource um eine Startvorlage handelt. Die folgende IAM-Richtlinie erlaubt beispielsweise nur das Entfernen des Tags mit dem temporary-Schlüssel aus Startvorlagen im angegebenen Konto und in der angegebenen Region.

{
    "Sid": "IAMPolicyForDeletingTagsOnLaunchTemplates",
    "Action": "ec2:DeleteTags",
    "Effect": "Allow",
    "Resource": "arn:aws:ec2:region:account-id:launch-template/*",
    "Condition": {
        "ForAllValues:StringEquals": {
            "aws:TagKeys": ["temporary"]
        }
    }
}

Weitere Informationen zu Bedingungsschlüsseln, mit denen Sie die Tagschlüssel und -werte steuern können, die auf EC2 Amazon-Ressourcen angewendet werden können, finden Sie unterKontrollieren des Zugriffs auf bestimmte Tags (Markierungen).

Auf dieser Seite

Related resources

Leitfaden Amazon EC2 Amazon-Instance-Typen
Benutzerhandbuch für Amazon EBS
EC2 Amazon-Entwicklerhandbuch

Related resources

Leitfaden Amazon EC2 Amazon-Instance-Typen
Benutzerhandbuch für Amazon EBS
EC2 Amazon-Entwicklerhandbuch
DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.