Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Zugriffsmanagement für AWS Ressourcen
<a name="access"></a>

AWS Identity and Access Management (IAM) ist ein Webdienst, mit dem Sie den Zugriff auf Ressourcen sicher kontrollieren können. AWS Wenn ein [Principal](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#principal) eine Anfrage stellt AWS, überprüft der AWS Durchsetzungscode, ob der Principal authentifiziert (angemeldet) und autorisiert ist (über Berechtigungen verfügt). Sie verwalten den Zugriff, AWS indem Sie Richtlinien erstellen und diese an IAM-Identitäten oder -Ressourcen anhängen. AWS Richtlinien sind JSON-Dokumente, in AWS denen, wenn sie an eine Identität oder Ressource angehängt werden, deren Berechtigungen definieren. Weitere Informationen zu diesen Richtlinienarten und ihrer Verwendung finden Sie unter [Richtlinien und Berechtigungen in AWS Identity and Access Management](access_policies.md).

Detaillierte Informationen zum Rest des Authentifizierungs- und Autorisierungsprozesses finden Sie unter [Funktionsweise von IAM](intro-structure.md).

![\[AccessManagement_Diagramm\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/access-diagram_800.png)


Während der Autorisierung überprüft der AWS Erzwingungscode anhand von Werten aus dem [Anforderungskontext](intro-structure.md#intro-structure-request), ob die Richtlinien übereinstimmen, und bestimmt, ob die Anforderung zugelassen oder abgelehnt werden soll. 

AWS überprüft jede Richtlinie, die für den Kontext der Anfrage gilt. Wenn eine einzelne Richtlinie die Anfrage ablehnt, AWS lehnt sie die gesamte Anfrage ab und beendet die Auswertung der Richtlinien. Dieser Vorgang wird als *explizite Zugriffsverweigerung* bezeichnet. Da Anforderungen *standardmäßig verweigert* werden, autorisiert IAM Ihre Anforderung nur dann, wenn jeder Teil Ihrer Anforderung von den anwendbaren Richtlinien erlaubt wird. Die [Auswertungslogik](reference_policies_evaluation-logic.md) für eine Anforderung in einem einzelnen Konto folgt diesen Regeln:
+ Standardmäßig werden alle Anforderungen implizit verweigert. (Alternativ hat Root-Benutzer des AWS-Kontos standardmäßig vollen Zugriff.) 
+ Eine explizite Zugriffserlaubnis in einer identitätsbasierten oder ressourcenbasierten Richtlinie hat Vorrang vor diesem Standardwert.
+ Wenn eine Berechtigungsgrenze, ein AWS Organizations SCP oder eine Sitzungsrichtlinie vorhanden ist, kann diese das Zulassen durch eine implizite Verweigerung außer Kraft setzen.
+ Eine explizite Zugriffsverweigerung überschreibt jede Zugriffserlaubnis in einer Richtlinie.

 AWS Genehmigt die Anfrage, nachdem Ihre Anfrage authentifiziert und autorisiert wurde. Wenn Sie eine Anforderung in einem anderen Konto initiieren müssen, muss eine Richtlinie in dem anderen Konto Ihnen den Zugriff auf die Ressource erlauben. Darüber hinaus muss die IAM-Entität, die Sie zum Erstellen der Anforderung verwenden, eine identitätsbasierte Richtlinie aufweisen, die die Anforderung zulässt.

## Zugriffsmanagementressourcen
<a name="access_resources"></a>

Weitere Informationen über Berechtigungen und zum Erstellen von Richtlinien finden Sie in folgenden Ressourcen:

Die folgenden Einträge im AWS Sicherheits-Blog behandeln gängige Methoden zum Schreiben von Richtlinien für den Zugriff auf Amazon S3 S3-Buckets und -Objekte.
+ [Writing IAM Policies: How to Grant Access to an Amazon S3 Bucket](https://aws.amazon.com/blogs/security/writing-iam-policies-how-to-grant-access-to-an-amazon-s3-bucket/)
+ [Writing IAM policies: Zugriff auf benutzerspezifische Ordner in einem Amazon S3 Bucket gewähren](https://aws.amazon.com/blogs/security/writing-iam-policies-grant-access-to-user-specific-folders-in-an-amazon-s3-bucket/)
+ [IAM-Richtlinien und Bucket-Richtlinien und\$1 ACLs Oh je\$1 (Steuern des Zugriffs auf S3-Ressourcen)](https://aws.amazon.com/blogs/security/iam-policies-and-bucket-policies-and-acls-oh-my-controlling-access-to-s3-resources/)
+ [Eine Einführung in die Berechtigungen auf RDS-Ressourcenebene](https://aws.amazon.com/blogs/security/a-primer-on-rds-resource-level-permissions)
+ [Entmystifizierung von Berechtigungen EC2 auf Ressourcenebene](https://aws.amazon.com/blogs/security/demystifying-ec2-resource-level-permissions/)

# Richtlinien und Berechtigungen in AWS Identity and Access Management
<a name="access_policies"></a>

Verwalten Sie den Zugriff, AWS indem Sie Richtlinien erstellen und diese an IAM-Identitäten (Benutzer, Benutzergruppen oder Rollen) oder Ressourcen anhängen. AWS Eine Richtlinie ist ein Objekt, AWS das, wenn es einer Identität oder Ressource zugeordnet ist, deren Berechtigungen definiert. AWS wertet diese Richtlinien aus, wenn ein IAM-Prinzipal (Benutzer oder Rolle) eine Anfrage stellt. Die Berechtigungen in den Richtlinien legen fest, ob eine Anforderung zugelassen oder abgelehnt wird. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. AWS unterstützt sieben Arten von Richtlinien: identitätsbasierte Richtlinien, ressourcenbasierte Richtlinien, Berechtigungsgrenzen, AWS Organizations Dienststeuerungsrichtlinien (SCPs), AWS Organizations Ressourcensteuerungsrichtlinien (RCPs), Zugriffskontrolllisten (ACLs) und Sitzungsrichtlinien.

IAM-Richtlinien definieren Berechtigungen für eine Aktion unabhängig von der Methode, die Sie zur Ausführung der Aktion verwenden. Wenn eine Richtlinie die [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)Aktion beispielsweise zulässt, kann ein Benutzer mit dieser Richtlinie Benutzerinformationen von der AWS-Managementkonsole, der oder der AWS CLI API abrufen. AWS Wenn Sie einen IAM-Benutzer erstellen, können Sie auswählen, ob Konsolen- oder Programmzugriff erlaubt sind. Wenn Konsolenzugriff erlaubt ist, kann sich der IAM-Benutzer mit seinen Anmeldeinformationen an der Konsole anmelden. Wenn der programmatische Zugriff zulässig ist, kann der Benutzer Zugriffsschlüssel verwenden, um mit der CLI oder der API zu arbeiten.

## Richtlinientypen
<a name="access_policy-types"></a>

Die folgenden Richtlinientypen, aufgelistet in der Reihenfolge von am häufigsten verwendeten bis zu seltener verwendeten, stehen für die Verwendung in AWS. Weitere Informationen finden Sie in den folgenden Abschnitten zu den einzelnen Richtlinientypen.
+ **[Identitätsbasierte Richtlinien](#policies_id-based)** – Fügen Sie [verwaltete](#managedpolicy) und -Richtlinien an IAM-Identitäten (Benutzer, Gruppen, zu denen Benutzer gehören, oder Rollen) an. Identitätsbasierte Richtlinien erteilen Berechtigungen für eine Identität.
+ **[Ressourcenbasierte Richtlinien](#policies_resource-based)** – Fügen Inline-Richtlinien an Ressourcen an. Die häufigsten Beispiele für ressourcenbasierte Richtlinien sind Amazon S3-Bucket-Richtlinien und Vertrauensrichtlinien für IAM-Rollen. Ressourcenbasierte Richtlinien erteilen dem Auftraggeber Berechtigungen, der in der Richtlinie angegeben ist. Auftraggeber können sich in demselben Konto wie die Ressource oder in anderen Konten befinden.
+ **[Berechtigungsgrenzen](#policies_bound)** – Verwenden Sie eine verwaltete Richtlinie als Berechtigungsgrenze für eine IAM-Entität (Benutzer oder Rolle). Diese Richtlinie definiert die maximalen Berechtigungen, die die identitätsbasierten Richtlinien einer Entität erteilen können, sie erteilt jedoch keine Berechtigungen. Berechtigungsgrenzen definieren nicht die maximalen Berechtigungen, die eine ressourcenbasierte Richtlinie einer Entität erteilen kann.
+ **[AWS Organizations SCPs](#policies_scp)**— Verwenden Sie eine AWS Organizations Service Control Policy (SCP), um die maximalen Berechtigungen für IAM-Benutzer und IAM-Rollen innerhalb von Konten in Ihrer Organisation oder Organisationseinheit (OU) zu definieren. SCPs beschränken Sie die Berechtigungen, die identitätsbasierte Richtlinien oder ressourcenbasierte Richtlinien IAM-Benutzern oder IAM-Rollen innerhalb des Kontos gewähren. SCPs gewähren Sie keine Berechtigungen.
+ **[AWS Organizations RCPs](#policies_rcp)**— Verwenden Sie eine AWS Organizations Ressourcenkontrollrichtlinie (RCP), um die maximalen Berechtigungen für Ressourcen innerhalb von Konten in Ihrer Organisation oder Organisationseinheit (OU) zu definieren. RCPs schränken Sie die Berechtigungen ein, die identitäts- und ressourcenbasierte Richtlinien Ressourcen in Konten innerhalb Ihrer Organisation gewähren können. RCPs gewähren Sie keine Berechtigungen.
+ **[Zugriffskontrolllisten (ACLs)](#policies_acl)** — Wird verwendet ACLs , um zu steuern, welche Principals in anderen Konten auf die Ressource zugreifen können, an die die ACL angehängt ist. ACLs ähneln ressourcenbasierten Richtlinien, obwohl sie der einzige Richtlinientyp sind, der nicht die JSON-Richtliniendokumentstruktur verwendet. ACLs sind kontoübergreifende Berechtigungsrichtlinien, die dem angegebenen Prinzipal Berechtigungen gewähren. ACLs kann Entitäten innerhalb desselben Kontos keine Berechtigungen gewähren.
+ **[Sitzungsrichtlinien](#policies_session)** — Übergeben Sie erweiterte Sitzungsrichtlinien, wenn Sie die AWS API AWS CLI oder verwenden, um eine Rolle oder einen Verbundbenutzer anzunehmen. Sitzungsrichtlinien begrenzen die Berechtigungen, die die identitätsbasierten Richtlinien der Rolle oder des Benutzers der Sitzung zu gewähren. Sitzungsrichtlinien begrenzen Berechtigungen für eine erstellte Sitzung, aber sie gewähren keine Berechtigungen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)

### Identitätsbasierte Richtlinien
<a name="policies_id-based"></a>

Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die steuern, welche Aktionen eine Identität (Benutzer, Benutzergruppen und Rollen) für welche Ressourcen und unter welchen Bedingungen ausführen kann. Identitätsbasierte Richtlinien können weiter kategorisiert werden:
+ **Verwaltete Richtlinien** — Eigenständige identitätsbasierte Richtlinien, die Sie mehreren Benutzern, Gruppen und Rollen in Ihrem System zuordnen können. AWS-Konto Es gibt zwei Typen von verwalteten Richtlinien:
  + **AWS verwaltete Richtlinien** — Verwaltete Richtlinien, die von erstellt und verwaltet werden. AWS
  + **Vom Kunden verwaltete Richtlinien** – Dies sind verwaltete Richtlinien, die Sie in Ihrem AWS-Konto erstellen und verwalten. Vom Kunden verwaltete Richtlinien bieten eine genauere Kontrolle über Ihre Richtlinien als AWS verwaltete Richtlinien.
+ **Inline-Richtlinien** – Richtlinien, die Sie direkt zu einem einzelnen Benutzer, einer einzelnen Gruppe oder einer einzelnen Rolle hinzufügen. Inline-Richtlinien sorgen für eine strikte one-to-one Beziehung zwischen einer Richtlinie und einer Identität. Sie werden gelöscht, wenn Sie die Identität löschen.

Informationen darüber, wie Sie entscheiden können, ob Sie eine verwaltete Richtlinie oder eine Inline-Richtlinie verwenden sollten, finden Sie unter [Auswahl zwischen verwalteten Richtlinien und Inline-Richtlinien](access_policies-choosing-managed-or-inline.md).

### Ressourcenbasierte Richtlinien
<a name="policies_resource-based"></a>

Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource wie einen Amazon S3-Bucket anfügen. Diese Richtlinien erteilen dem angegebenen Auftraggeber die Berechtigung zum Ausführen bestimmter Aktionen für diese Ressource und definiert, unter welchen Bedingungen dies gilt. Ressourcenbasierte Richtlinien sind Inline-Richtlinien. Es gibt keine verwalteten ressourcenbasierten Richtlinien. 

Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Auftraggeber in einer ressourcenbasierten Richtlinie angeben. Durch das Hinzufügen eines kontoübergreifenden Auftraggebers zu einer ressourcenbasierten Richtlinie ist nur die halbe Vertrauensbeziehung eingerichtet. Wenn der Prinzipal und die Ressource getrennt sind AWS-Konten, müssen Sie außerdem eine identitätsbasierte Richtlinie verwenden, um dem Prinzipal Zugriff auf die Ressource zu gewähren. Wenn jedoch eine ressourcenbasierte Richtlinie Zugriff auf einen Auftraggeber in demselben Konto gewährt, ist keine zusätzliche identitätsbasierte Richtlinie erforderlich. Eine Schritt-für-Schritt-Anleitung für die Gewährung von dienstübergreifendem Zugriff finden Sie unter [IAM-Tutorial: Delegieren Sie den Zugriff über AWS Konten hinweg mithilfe von IAM-Rollen](tutorial_cross-account-with-roles.md).

Der IAM-Service unterstützt nur eine Art von ressourcenbasierter Richtlinie, die als Rollen-*Vertrauensrichtlinie* bezeichnet wird, die einer IAM-Rolle zugewiesen ist. Eine IAM-Rolle ist sowohl eine Identität als auch eine Ressource, die ressourcenbasierte Richtlinien unterstützt. Aus diesem Grund müssen Sie einer IAM-Rolle eine Vertrauensrichtlinie und eine identitätsbasierte Richtlinie anfügen. Vertrauensrichtlinien definieren, welche Auftraggeber-Entitäten (Konten, Benutzer, Rollen und Verbundbenutzer) die Rolle übernehmen können. Informationen darüber, inwieweit sich IAM-Rollen von anderen ressourcenbasierten Richtlinien unterscheiden, finden Sie unter [Kontoübergreifender Zugriff auf Ressourcen in IAM](access_policies-cross-account-resource-access.md).

Informationen darüber, welche anderen Services ressourcenbasierte Richtlinien unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](reference_aws-services-that-work-with-iam.md). Weitere Informationen zu ressourcenbasierten Richtlinien finden Sie unter [Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien](access_policies_identity-vs-resource.md). Informationen darüber, ob Auftraggeber in Konten außerhalb Ihrer Vertrauenszone (vertrauenswürdige Organisation oder Konto) Zugriff zur Annahme Ihrer Rollen haben, finden Sie unter [Was ist IAM Access Analyzer?](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html).

### IAM-IBerechtigungsgrenzen
<a name="policies_bound"></a>

Eine Berechtigungsgrenze ist ein erweitertes Feature, die Ihnen ermöglicht, die maximalen Berechtigungen festzulegen, die eine identitätsbasierte Richtlinie einer IAM-Entität gewähren kann. Wenn Sie eine Berechtigungsgrenze für eine Entität festlegen, kann die Entität nur die Aktionen durchführen, die sowohl von den identitätsbasierten Richtlinien als auch den Berechtigungsgrenzen erlaubt werden. Wenn Sie im Hauptelement einer ressourcenbasierten Richtlinie eine Rollensitzung oder einen Benutzer angeben, ist eine explizite Zulassung in der Berechtigungsgrenze nicht erforderlich. Wenn Sie jedoch eine Rollen-ARN im Hauptelement einer ressourcenbasierten Richtlinie angeben, ist eine explizite Zulassung in der Berechtigungsgrenze erforderlich. In beiden Fällen ist eine explizite Verweigerung der Berechtigungsgrenze wirksam. Eine explizite Zugriffsverweigerung in einer dieser Richtlinien setzt eine Zugriffserlaubnis außer Kraft. Weitere Informationen über Berechtigungsgrenzen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](access_policies_boundaries.md).

### AWS Organizations Richtlinien zur Dienststeuerung () SCPs
<a name="policies_scp"></a>

Wenn Sie alle Funktionen in einer Organisation aktivieren, können Sie Dienststeuerungsrichtlinien (SCPs) auf einige oder alle Ihre Konten anwenden. SCPs sind JSON-Richtlinien, die die maximalen Berechtigungen für IAM-Benutzer und IAM-Rollen innerhalb der Konten einer Organisation oder Organisationseinheit (OU) festlegen. Das SCP beschränkt die Berechtigungen für Prinzipale in Mitgliedskonten, einschließlich der einzelnen Konten. Root-Benutzer des AWS-Kontos Eine explizite Verweigerung in einer dieser Richtlinien überschreibt eine Zulassung in anderen Richtlinien.

Weitere Informationen zu AWS Organizations und SCPs finden Sie unter [Richtlinien zur Dienststeuerung (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations Benutzerhandbuch*.

### AWS Organizations Richtlinien zur Ressourcensteuerung (RCPs)
<a name="policies_rcp"></a>

Wenn Sie alle Funktionen in einer Organisation aktivieren, können Sie Ressourcensteuerungsrichtlinien (RCPs) verwenden, um Zugriffskontrollen zentral auf mehrere Ressourcen anzuwenden AWS-Konten. RCPs sind JSON-Richtlinien, mit denen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten festlegen können, ohne die IAM-Richtlinien aktualisieren zu müssen, die jeder Ressource zugeordnet sind, deren Eigentümer Sie sind. Das RCP schränkt die Berechtigungen für Ressourcen in Mitgliedskonten ein und kann sich auf die effektiven Berechtigungen für Identitäten auswirken, einschließlich der Root-Benutzer des AWS-Kontos, unabhängig davon, ob sie zu Ihrer Organisation gehören. Eine explizite Verweigerung in einer anwendbaren RCP überschreibt eine Genehmigung in anderen Richtlinien, die möglicherweise einzelnen Identitäten oder Ressourcen angefügt sind.

Weitere Informationen zu AWS Organizations und RCPs einschließlich einer Liste AWS-Services dieser Unterstützung RCPs finden Sie unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) im *AWS Organizations Benutzerhandbuch*.

### Zugriffskontrolllisten (ACLs)
<a name="policies_acl"></a>

Zugriffskontrolllisten (ACLs) sind Dienstrichtlinien, mit denen Sie steuern können, welche Principals in einem anderen Konto auf eine Ressource zugreifen können. ACLs kann nicht verwendet werden, um den Zugriff für einen Prinzipal innerhalb desselben Kontos zu steuern. ACLs ähneln ressourcenbasierten Richtlinien, obwohl sie der einzige Richtlinientyp sind, der nicht das JSON-Richtliniendokumentformat verwendet. Amazon S3 und Amazon VPC sind Beispiele für Dienste, die Unterstützung ACLs bieten. AWS WAF Weitere Informationen finden Sie in der [Übersicht über ACLs die Access Control List (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) im *Amazon Simple Storage Service Developer Guide*.

### Sitzungsrichtlinien
<a name="policies_session"></a>

Sitzungsrichtlinien sind erweiterte Richtlinien, die Sie als Parameter übergeben, wenn Sie programmgesteuert eine temporäre Sitzung für eine Rolle oder einen AWS STS Verbundbenutzerprinzipal erstellen. Die Berechtigungen für eine Sitzung stammen aus den identitätsbasierten Richtlinien für die IAM-Entität (Benutzer oder Rolle), die zum Erstellen der Sitzung und der Sitzungsrichtlinie verwendet wurde. Berechtigungen können auch aus einer ressourcenbasierten Richtlinie stammen. Eine explizite Zugriffsverweigerung in einer dieser Richtlinien setzt eine Zugriffserlaubnis außer Kraft.

Sie können eine Rollensitzung erstellen und eine Sitzungsrichtlinie programmgesteuert mithilfe der API-Operationen `AssumeRole`, `AssumeRoleWithSAML` oder `AssumeRoleWithWebIdentity` übergeben. Sie können ein einzelnes JSON-Inline-Sitzungsrichtliniendokument mit dem `Policy`-Parameter übergeben. Sie können mit dem Parameter `PolicyArns` bis zu 10 verwaltete Sitzungsrichtlinien angeben. Weitere Informationen zum Erstellen einer Rollensitzung finden Sie unter [Berechtigungen für temporäre Sicherheits-Anmeldeinformationen](id_credentials_temp_control-access.md).

Wenn Sie eine AWS STS föderierte Benutzerprinzipalsitzung erstellen, verwenden Sie die Zugriffsschlüssel des IAM-Benutzers, um den API-Vorgang programmgesteuert aufzurufen. `GetFederationToken` Außerdem müssen Sie Sitzungsrichtlinien übergeben. Die resultierenden Sitzungsberechtigungen stammen aus der identitätsbasierten Richtlinie und der Sitzungsrichtlinie. Weitere Informationen zum Erstellen von einer Sitzung für Verbundbenutzer finden Sie unter [Anfordern von Anmeldeinformationen über einen benutzerdefinierten Identity Broker](id_credentials_temp_request.md#api_getfederationtoken).

Eine ressourcenbasierte Richtlinie kann den ARN des Benutzers oder der Rolle als Auftraggeber angeben. In diesem Fall werden die Berechtigungen aus der ressourcenbasierten Richtlinie an die Rolle oder die identitätsbasierte Richtlinie des Benutzers vor der Erstellung der Sitzung hinzugefügt. Die Sitzungsrichtlinie beschränkt die Gesamtzahl der Berechtigungen, die von der ressourcenbasierten Richtlinie und der identitätsbasierten Richtlinie erteilt werden. Die resultierenden Sitzungsberechtigungen ergeben sich aus den Sitzungsrichtlinien und entweder der ressourcenbasierten Richtlinie oder der identitätsbasierten Richtlinie.

![\[Auswertung der Sitzungsrichtlinie mit einer ressourcenbasierten Richtlinie, die den Entitäts-ARN angibt\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/EffectivePermissions-session-rbp-id.png)


Eine ressourcenbasierte Richtlinie kann den ARN der Sitzung als Auftraggeber angeben. In diesem Fall werden die Berechtigungen aus der ressourcenbasierten Richtlinie nach dem Erstellen der Sitzung hinzugefügt. Die Berechtigungen der ressourcenbasierte Richtlinie werden nicht von der Sitzungsrichtlinie eingeschränkt. Die resultierende Sitzung verfügt über alle Berechtigungen der ressourcenbasierten Richtlinie *plus* die Berechtigungen, die sowohl von der identitätsbasierten Richtlinie als auch von der Sitzungsrichtlinie erteilt werden.

![\[Auswertung der Sitzungsrichtlinie mit einer ressourcenbasierten Richtlinie, die den Sitzungs-ARN angibt\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/EffectivePermissions-session-rbpsession-id.png)


Ein Berechtigungsgrenze kann für einen Benutzer oder eine Rolle die Höchstzahl der Berechtigungen festlegen, die für die Erstellung der Sitzung verwendet werden. In diesem Fall ergeben sich die resultierenden Sitzungsberechtigungen aus der Sitzungsrichtlinie, der Berechtigungsgrenze und der identitätsbasierten Richtlinie. Eine Berechtigungsgrenze schränkt jedoch nicht die Berechtigungen ein, die von einer ressourcenbasierten Richtlinie gewährt werden, die den ARN der resultierenden Sitzung angibt.

![\[Auswertung der Sitzungsrichtlinie mit einer Berechtigungsgrenze\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/EffectivePermissions-session-boundary-id.png)


## Richtlinien und Stammbenutzer
<a name="access_policies-root"></a>

Die Root-Benutzer des AWS-Kontos wird von einigen Richtlinientypen beeinflusst, von anderen jedoch nicht. Sie können dem Stammbenutzer keine identitätsbasierten Richtlinien zuweisen und Sie können die Berechtigungsgrenze für den Stammbenutzer nicht festlegen. Sie können jedoch die Stammbenutzer; als Auftraggeber in einer ressourcenbasierten Richtlinie oder einer ACL angeben. Ein Stammbenutzer ist immer noch das Mitglied eines Kontos. Wenn dieses Konto Mitglied einer Organisation in ist AWS Organizations, ist der Root-Benutzer von SCPs und RCPs für das Konto betroffen.

## Übersicht über JSON-Richtlinien
<a name="access_policies-json"></a>

Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Identitätsbasierte Richtlinien und Richtlinien zum Festlegen von Berechtigungsgrenzen sind JSON-Richtliniendokumente, die Sie einem Benutzer oder einer Rolle anfügen. Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anhängen. SCPsund RCPs sind JSON-Richtliniendokumente mit eingeschränkter Syntax, die Sie an den AWS Organizations„Organisationsstamm“, die Organisationseinheit (OU) oder ein Konto anhängen. ACLs sind ebenfalls an eine Ressource angehängt, aber Sie müssen eine andere Syntax verwenden. Sitzungsrichtlinien sind JSON-Richtlinien, die Sie bereitstellen, wenn Sie in einer Sitzung eine Rolle oder einen Verbundbenutzer übernehmen.

Es ist nicht notwendig, dass Sie die JSON-Syntax verstehen. Sie können den visuellen Editor in verwenden, AWS-Managementkonsole um vom Kunden verwaltete Richtlinien zu erstellen und zu bearbeiten, ohne jemals JSON verwenden zu müssen. Wenn Sie jedoch eingebundene Richtlinien für Gruppen oder komplexe Richtlinien verwenden, müssen Sie diese Richtlinien im JSON-Editor unter Verwendung der Konsole erstellen und bearbeiten. Weitere Informationen zur Verwendung des visuellen Editors finden Sie unter [Benutzerdefinierte IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien definieren](access_policies_create.md) und [IAM-Richtlinien bearbeiten](access_policies_manage-edit.md).

 Wenn Sie eine JSON-Richtlinie erstellen oder bearbeiten, kann IAM eine Richtlinienvalidierung durchführen, um Ihnen beim Erstellen einer effektiven Richtlinie zu helfen. IAM identifiziert JSON-Syntaxfehler, während IAM Access Analyzer zusätzliche Richtlinienüberprüfungen mit Empfehlungen zur weiteren Verfeinerung Ihrer Richtlinien bietet. Weitere Informationen zur Richtlinienvalidierung finden Sie unter [IAM-Richtlinien-Validierung](access_policies_policy-validator.md). Weitere Informationen zu IAM Access Analyzer Richtlinienvalidierungen und umsetzbaren Empfehlungen finden Sie unter [ IAM Access Analyzer-Richtlinienvalidierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html). 

### JSON-Richtliniendokumentstruktur
<a name="policies-introduction"></a>

Wie in der folgenden Abbildung dargestellt, umfasst ein JSON-Richtliniendokument die folgenden Elemente:
+ Optionale richtlinienweite Informationen oben im Dokument.
+ Eine oder mehrere einzelne Anweisungen**

Jede Anweisung enthält Angaben über die jeweilige Berechtigung. Wenn eine Richtlinie mehrere Aussagen enthält, AWS wendet sie bei deren Auswertung `OR` eine logische Anweisung für alle Anweisungen an. Wenn mehrere Richtlinien auf eine Anfrage AWS zutreffen, wird bei der Bewertung eine logische Regel `OR` auf alle diese Richtlinien angewendet. 

![\[JSON-Richtliniendokumentstruktur\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/AccessPolicyLanguage_General_Policy_Structure.diagram.png)


Die Informationen in einer Anweisung sind in einer Reihe von Elementen enthalten.
+ **Version** – Geben Sie die Version der Richtliniensprache an, die Sie verwenden möchten. Wir empfehlen, dass Sie die neueste Version `2012-10-17 ` verwenden. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Version](reference_policies_elements_version.md).
+ **Statement** – Verwenden Sie dieses Haupt-Richtlinienelement als Container für die folgenden Elemente. Sie können mehrere Anweisungen in eine Richtlinie aufnehmen.
+ **Sid** (Optional) – Fügen Sie eine optionale Statement-ID an, um Ihre Anweisungen unterscheiden zu können.
+ **Effect** – Verwenden Sie `Allow` oder `Deny`, um anzugeben, ob die Richtlinie den Zugriff erlaubt oder verweigert.
+ **Principal**(Unter bestimmten Umständen erforderlich) — Wenn Sie eine ressourcenbasierte Richtlinie erstellen, müssen Sie das Konto, den Benutzer, die Rolle oder den AWS STS Verbundbenutzerprinzipal angeben, für das Sie den Zugriff gewähren oder verweigern möchten. Wenn Sie eine IAM-Berechtigung zum Anfügen für einen Benutzer oder eine Rolle erstellen, können Sie dieses Element nicht aufnehmen. Der Auftraggeber wird als dieser Benutzer oder diese Rolle impliziert.
+ **Action** – Binden Sie eine Liste der Aktionen ein, die durch die Richtlinie erlaubt oder verweigert werden.
+ **Resource** (In einigen Fällen erforderlich) – Wenn Sie eine IAM-Berechtigungsrichtlinie erstellen, müssen Sie eine Liste der Ressourcen angeben, für die die Aktionen gelten. Wenn Sie eine ressourcenbasierte Richtlinie erstellen, hängt es von der verwendeten Ressource ab, ob dieses Element erforderlich ist oder nicht.
+ **Condition** (Optional) – Geben Sie die Bedingungen an, unter denen die Richtlinie die Berechtigung erteilt.

Weitere Informationen zu diesen und erweiterten Richtlinienelementen finden Sie unter [Referenz zum IAM-JSON-Richtlinienelement](reference_policies_elements.md). 

### Mehrere Anweisungen und mehrere Richtlinien
<a name="policies-syntax-multiples"></a>

Wenn Sie mehr als eine Berechtigung für eine Entity (Benutzer, Gruppe oder Rolle) definieren möchten, können Sie in einer einzigen Richtlinie mehrere Anweisungen verwenden. Sie können auch mehrere Richtlinien anfügen. Wenn Sie versuchen, mehrere Berechtigungen in einer einzigen Anweisung zu definieren, gewährt Ihre Richtlinie möglicherweise nicht den Zugriff, den Sie erwarten. Wir empfehlen, dass Sie die Richtlinien nach Ressourcentypen aufteilen. 

Aufgrund der [eingeschränkten Größe der Richtlinien](reference_iam-quotas.md)müssen Sie für komplexere Berechtigungen möglicherweise mehrere Richtlinien verwenden. Es ist auch sinnvoll, funktionale Gruppierungen von Berechtigungen in einer separaten, vom Kunden verwalteten Richtlinie zu erstellen. Beispiel: Erstellen Sie eine Richtlinie für die IAM-Benutzerverwaltung, eine für die Selbstverwaltung und eine weitere Richtlinie für die Verwaltung von S3-Buckets. Unabhängig von der Kombination mehrerer Aussagen und mehrerer Richtlinien werden Ihre Richtlinien auf AWS [dieselbe Weise bewertet](reference_policies_evaluation-logic.md).

Die folgende Richtlinie enthält beispielsweise drei Anweisungen, von denen jede einen eigenen Satz Berechtigungen innerhalb eines einzelnen Kontos definiert. Die Anweisungen definieren Folgendes:
+ Mit der ersten Anweisung mit der `Sid` (Statement-ID) `FirstStatement` kann der Benutzer mit der zugeordneten Richtlinie das eigene Passwort ändern. Das `Resource`-Element in dieser Anweisung ist `*` (das bedeutet "alle Ressourcen"). In der Praxis wirkt sich die API-Operation `ChangePassword` (oder der entsprechende CLI-Befehl `change-password`) praktisch nur auf das Passwort des Benutzers aus, der die Anforderung gestellt hat. 
+ Über die zweite Anweisung kann der Benutzer alle Amazon S3-Buckets in seinem AWS-Konto auflisten. Das `Resource`-Element in dieser Anweisung ist `"*"` (das bedeutet "alle Ressourcen"). Da aber Richtlinien den Zugriff nicht auf Ressourcen in anderen Konten erteilen können, kann der Benutzer nur die Buckets in seinem eigenen AWS-Konto auflisten. 
+ Durch die dritte Anweisung kann der Benutzer beliebige Objekte auflisten und abrufen, die sich in einem Bucket mit dem Namen `amzn-s3-demo-bucket-confidential-data` befinden. Allerdings ist dazu die Authentifizierung des Benutzers durch eine Multi-Factor Authentication (MFA) erforderlich. Das `Condition`-Element in der Richtlinie erzwingt die MFA-Authentifizierung.

  Wenn eine Richtlinienanweisung ein `Condition`-Element enthält, ist die Anweisung nur dann wirksam, wenn das `Condition`-Element mit „true“ ausgewertet wird. In diesem Fall wird `Condition` mit „true“ ausgewertet, wenn der Benutzer durch MFA authentifiziert ist. Wenn der Benutzer nicht durch MFA authentifiziert ist, wird `Condition` mit „false“ ausgewertet. In diesem Fall wird die dritte Anweisung in dieser Richtlinie nicht wirksam, sodass der Benutzer keinen Zugriff auf den `amzn-s3-demo-bucket-confidential-data`-Bucket hat.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "FirstStatement",
      "Effect": "Allow",
      "Action": ["iam:ChangePassword"],
      "Resource": "*"
    },
    {
      "Sid": "SecondStatement",
      "Effect": "Allow",
      "Action": "s3:ListAllMyBuckets",
      "Resource": "*"
    },
    {
      "Sid": "ThirdStatement",
      "Effect": "Allow",
      "Action": [
        "s3:List*",
        "s3:Get*"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket-confidential-data",
        "arn:aws:s3:::amzn-s3-demo-bucket-confidential-data/*"
      ],
      "Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
    }
  ]
}
```

------

### Beispiele für JSON-Richtliniensyntax
<a name="policies-syntax-examples"></a>

Die folgenden identitätsbasierte Richtlinie erlaubt dem implizierten Auftraggeber, einen einzelnen Amazon S3-Bucket mit dem Namen `amzn-s3-demo-bucket` aufzulisten: 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": "s3:ListBucket",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
  }
}
```

------

Die folgende ressourcenbasierte Richtlinie kann einem Amazon S3-Bucket angefügt werden. Die Richtlinie ermöglicht es Mitgliedern einer bestimmten Person AWS-Konto , alle Amazon S3 S3-Aktionen in dem genannten Bucket durchzuführen`amzn-s3-demo-bucket`. Sie erlaubt alle Aktionen, die für einen Bucket oder die darin enthaltenen Objekte durchgeführt werden können. (Da die Richtlinie nur dem Konto eine Vertrauensstellung einräumt, müssen den einzelnen Benutzer nach wie vor Berechtigungen für die angegebenen Amazon S3-Aktionen gewährt werden.) 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:root"
                ]
            },
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}
```

------

Beispielrichtlinien für gebräuchliche Szenarien finden Sie unter [Beispiele für identitätsbasierte Richtlinien in IAM](access_policies_examples.md).

## Gewähren der geringsten Berechtigung
<a name="grant-least-priv"></a>

Wenn Sie IAM-Richtlinien erstellen, befolgen Sie die Standard-Sicherheitsmaßnahmen, die für das Erteilen von *geringsten Rechten* gelten, d. h. es werden nur die Berechtigungen erteilt, die zum Durchführen einer Aufgabe erforderlich sind. Bestimmen Sie, was Benutzer und Rollen tun müssen, und gestalten Sie dann entsprechende Richtlinien, mit denen die Benutzer *nur* diese Aufgaben ausführen können. 

Beginnen Sie mit einem Mindestsatz an Berechtigungen und erteilen Sie bei Bedarf weitere. Dies ist sicherer, als mit Berechtigungen zu beginnen, die zu lax sind, und dann zu versuchen, sie zu einem späteren Zeitpunkt zu verschärfen.

Als Alternative zu Least Privilege können Sie [verwaltete AWS -Richtlinien](access_policies_managed-vs-inline.md#aws-managed-policies) oder Richtlinien mit Wildcard-`*`-Berechtigungen verwenden, um mit Richtlinien zu beginnen. Berücksichtigen Sie das Sicherheitsrisiko, wenn Sie Ihren Auftraggeber mehr Berechtigungen gewähren, als sie für ihre Arbeit benötigen. Überwachen Sie diese Auftraggeber, um zu erfahren, welche Berechtigungen sie verwenden. Schreiben Sie dann Richtlinien mit den geringsten Berechtigungen.

IAM bietet verschiedene Optionen, mit denen Sie die von Ihnen erteilten Berechtigungen verfeinern können.
+ **Zugriffsebenengruppierungen** – Mit Zugriffsebenengruppierungen können Sie die von einer Richtlinie gewährte Zugriffsebene nachvollziehen. [Richtlinienaktionen](reference_policies_elements_action.md) werden als `List`, `Read`, `Write`, `Permissions management`, oder `Tagging` klassifiziert. Beispielsweise können Sie Aktionen aus den Zugriffsebenen `List` und `Read` wählen, um Ihren Benutzern schreibgeschützten Zugriff zu erteilen. Informationen zur Verwendung von Richtlinienzusammenfassungen und Erläuterungen der Berechtigungen auf Zugriffsebene finden Sie unter [Zugriffsebenen in Richtlinienübersichten](access_policies_understand-policy-summary-access-level-summaries.md).
+ **Validieren Ihrer Richtlinien** – Sie können die Richtlinienvalidierung mit IAM Access Analyzer durchführen, wenn Sie JSON-Richtlinien erstellen und bearbeiten. Wir empfehlen, alle vorhandenen Richtlinien zu überprüfen und zu validieren. IAM Access Analyzer bietet über 100 Richtlinienüberprüfungen zur Validierung Ihrer Richtlinien. Es generiert Sicherheitswarnungen, wenn eine Anweisung in Ihrer Richtlinie den Zugriff zulässt, den wir als übermäßig freizügig betrachten. Sie können die umsetzbaren Empfehlungen verwenden, die durch die Sicherheitswarnungen bereitgestellt werden, wenn Sie daran arbeiten, die geringsten Berechtigungen zu erteilen. Weitere Informationen zu den von IAM Access Analyzer bereitgestellten Richtlinienprüfungen finden Sie unter [IAM Access Analyzer-Richtlinienvalidierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html).
+ **Generieren einer Richtlinie basierend auf -Zugriffsaktivitäten** – Um die Berechtigungen zu verfeinern, die Sie gewähren, können Sie eine IAM-Richtlinie generieren, die auf der Zugriffsaktivität für eine IAM-Entität (Benutzer oder Rolle) basiert. IAM Access Analyzer überprüft Ihre AWS CloudTrail Protokolle und generiert eine Richtlinienvorlage, die die Berechtigungen enthält, die von der Entität in dem von Ihnen angegebenen Zeitraum verwendet wurden. Sie können die Vorlage verwenden, um eine verwaltete Richtlinie mit definierten Berechtigungen zu erstellen und sie dann an die IAM-Rolle anzuhängen. Auf diese Weise gewähren Sie nur die Berechtigungen, die der Benutzer oder die Rolle benötigt, um mit AWS Ressourcen für Ihren speziellen Anwendungsfall zu interagieren. Weitere Informationen finden Sie unter [Richtliniengenerierung für IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html).
+ **Verwenden der Informationen zum letzten Zugriff** – Ein weiteres Feature, die bei der Wahrung der geringsten Berechtigung helfen kann, sind *Informationen über den letzten Zugriff*. Sie können diese Informationen auf der Registerkarte **Access Advisor (Advisor aufrufen)** auf der Detailseite für einen IAM-Benutzer, eine Gruppe, eine Rolle oder eine Richtlinie in der -Konsole anzeigen. Die Informationen über den letzten Zugriff enthalten Informationen über einige Aktionen, auf die zuletzt für Amazon EC2, IAM, Lambda und Amazon S3 zugegriffen wurde. Wenn Sie sich mit den Anmeldeinformationen für das AWS Organizations Verwaltungskonto anmelden, können Sie die Informationen zum letzten Zugriff auf den Dienst im **AWS Organizations**Bereich der IAM-Konsole einsehen. Sie können auch die AWS API AWS CLI oder verwenden, um einen Bericht über die zuletzt abgerufenen Informationen für Entitäten oder Richtlinien in IAM oder abzurufen. AWS Organizations Sie können diese Informationen verwenden, um unnötige Berechtigungen zu identifizieren, sodass Sie Ihr IAM oder Ihre AWS Organizations Richtlinien so verfeinern können, dass das Prinzip der geringsten Rechte besser eingehalten wird. Weitere Informationen finden Sie unter [Verfeinern Sie die Berechtigungen für AWS die Verwendung der zuletzt abgerufenen Informationen](access_policies_last-accessed.md).
+ **Kontoereignisse überprüfen in AWS CloudTrail** — Um die Zugriffsrechte weiter einzuschränken, können Sie die Ereignisse Ihres Kontos im AWS CloudTrail **Ereignisverlauf** einsehen. CloudTrail Ereignisprotokolle enthalten detaillierte Ereignisinformationen, anhand derer Sie die Berechtigungen der Richtlinie einschränken können. Die Protokolle enthalten nur die Aktionen und Ressourcen, die Ihre IAM-Entitäten benötigen. Weitere Informationen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [ CloudTrailEreignisse in der CloudTrail Konsole anzeigen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html).



Weitere Informationen finden Sie in den folgenden Richtlinienthemen für einzelne Services, die Beispiele für das Schreiben von Richtlinien für servicespezifische Ressourcen bieten.
+ [Verwendung ressourcenbasierter Richtlinien für DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/access-control-resource-based.html) im *Amazon-DynamoDB-Entwicklerhandbuch*
+ [Bucket-Richtlinien für Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) im *Benutzerhandbuch für Amazon Simple Storage Service*
+ [Übersicht über Zugriffssteuerungsliste (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) im *Benutzerhandbuch für Amazon Simple Storage Service*

# Verwaltete Richtlinien und eingebundene Richtlinien
<a name="access_policies_managed-vs-inline"></a>

Wenn Sie die Berechtigungen für eine Identität in IAM festlegen, müssen Sie entscheiden, ob Sie eine verwaltete AWS -Richtlinie, eine vom Kunden verwaltete Richtlinie oder eine Inline-Richtlinie verwenden. In den folgenden Themen erhalten Sie weitere Informationen zu den einzelnen Arten identitätsbasierter Richtlinien und deren Verwendung.

In der folgenden Tabelle werden diese Richtlinien beschrieben:


| Richtlinientyp | Description | Wer verwaltet die Richtlinie? | Berechtigungen ändern? | Anzahl der auf die Richtlinie angewendeten Prinzipale? | 
| --- | --- | --- | --- | --- | 
| [AWS verwaltete Richtlinien](#aws-managed-policies) | Eigenständige Richtlinie, erstellt und verwaltet von AWS. | AWS | Nein | Mehrere | 
| [Kundenverwaltete Richtlinien](#customer-managed-policies) | Richtlinie, die Sie für bestimmte Anwendungsfälle erstellen, die beliebig oft geändert oder aktualisiert werden kann. | Sie | Ja | Mehrere | 
| [Eingebundene Richtlinien](#inline-policies) | Richtlinie, die für eine einzelne IAM-Identität (Benutzer, Gruppe oder Rolle) erstellt wurde und eine strikte one-to-one Beziehung zwischen einer Richtlinie und einer Identität aufrechterhält. | Sie | Ja | One | 

**Topics**
+ [

## AWS verwaltete Richtlinien
](#aws-managed-policies)
+ [

## Kundenverwaltete Richtlinien
](#customer-managed-policies)
+ [

## Eingebundene Richtlinien
](#inline-policies)
+ [

# Auswahl zwischen verwalteten Richtlinien und Inline-Richtlinien
](access_policies-choosing-managed-or-inline.md)
+ [

# Konvertieren einer Inline-Richtlinie in eine verwaltete Richtlinie
](access_policies-convert-inline-to-managed.md)
+ [

# Veraltete verwaltete Richtlinien AWS
](access_policies_managed-deprecated.md)

## AWS verwaltete Richtlinien
<a name="aws-managed-policies"></a>

Bei einer von *AWS verwalteten Richtlinie* handelt es sich um eine eigenständige Richtlinie, die von AWS erstellt und verwaltet wird. Eine *eigenständige Richtlinie* bedeutet, dass die Richtlinie ihren eigenen Amazon-Ressourcennamen (ARN) hat, der den Richtliniennamen enthält. `arn:aws:iam::aws:policy/IAMReadOnlyAccess`Ist beispielsweise eine AWS verwaltete Richtlinie. Weitere Informationen zu finden ARNs Sie unter[ICH BIN ARNs](reference_identifiers.md#identifiers-arns). Eine Liste der AWS verwalteten Richtlinien für AWS-Services finden Sie unter [AWS Verwaltete Richtlinien](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/policy-list.html).

AWS Mit verwalteten Richtlinien können Sie Benutzern, IAM-Gruppen und Rollen bequem die entsprechenden Berechtigungen zuweisen. Das ist schneller, als selbst die Richtlinien zu schreiben und beinhaltet Berechtigungen für viele häufige Anwendungsfälle.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. AWS aktualisiert gelegentlich die in einer AWS verwalteten Richtlinie definierten Berechtigungen. Ab wann AWS wirkt sich das Update auf alle Prinzipalentitäten (IAM-Benutzer, IAM-Gruppen und IAM-Rollen) aus, an die die Richtlinie angehängt ist. AWS ist am wahrscheinlichsten, dass eine AWS verwaltete Richtlinie aktualisiert wird, wenn ein neuer AWS Dienst gestartet wird oder neue API-Aufrufe für bestehende Dienste verfügbar werden. Die so genannte AWS verwaltete Richtlinie **ReadOnlyAccess**bietet beispielsweise schreibgeschützten Zugriff auf alle Ressourcen AWS-Services . Wenn ein neuer Dienst AWS gestartet wird, wird die **ReadOnlyAccess**Richtlinie AWS aktualisiert, um schreibgeschützte Berechtigungen für den neuen Dienst hinzuzufügen. Die aktualisierten Berechtigungen werden auf alle Auftraggeber-Entitäten angewendet, an die die Richtlinie angefügt ist.

* AWS Verwaltete Richtlinien für vollen Zugriff*: Diese definieren Berechtigungen für Dienstadministratoren, indem sie Vollzugriff auf einen Dienst gewähren. Zu den Beispielen gehören:
+ [AmazonDynamoDBFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDynamoDBFullAccess.html)
+ [IAMFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/IAMFullAccess.html)

*Von Power-Usern AWS verwaltete Richtlinien*: Diese bieten vollen Zugriff auf AWS-Services und Ressourcen, erlauben jedoch nicht die Verwaltung von Benutzern und IAM-Gruppen. Zu den Beispielen gehören:
+ [AWSCodeCommitPowerUser](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeCommitPowerUser.html) 
+ [AWSKeyManagementServicePowerUser](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)

* AWS Verwaltete Richtlinien mit teilweisem Zugriff*: Diese bieten bestimmte Zugriffsebenen, AWS-Services ohne dass [Berechtigungen auf Zugriffsebene für die Berechtigungsverwaltung](access_policies_understand-policy-summary-access-level-summaries.md#access_policies_access-level) gewährt werden. Zu den Beispielen gehören:
+ [AmazonMobileAnalyticsWriteOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonMobileAnalyticsWriteOnlyAccess.html)
+ [AmazonEC2ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ReadOnlyAccess.html) 

*Richtlinien, die von Jobfunktionen AWS verwaltet* werden: Diese Richtlinien orientieren sich eng an den in der IT-Branche häufig verwendeten Jobfunktionen und erleichtern die Erteilung von Genehmigungen für diese Jobfunktionen. Ein entscheidender Vorteil der Verwendung von Richtlinien für berufliche Funktionen besteht darin, dass sie bei AWS der Einführung neuer Dienste und API-Operationen beibehalten und aktualisiert werden. Die [AdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess.html)Job-Funktion bietet beispielsweise vollen Zugriff und die Delegierung von Berechtigungen für jeden Dienst und jede Ressource in AWS. Wir empfehlen, dass diese Richtlinie nur für den Kontoadministrator verwendet wird. Für Poweruser, die vollen Zugriff auf alle Dienste mit Ausnahme des eingeschränkten Zugriffs auf IAM benötigen AWS Organizations, sollten Sie die [PowerUserAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/PowerUserAccess.html)Job-Funktion verwenden. Eine Liste und Beschreibungen der Richtlinien für Auftragsfunktionen finden Sie unter [AWS verwaltete Richtlinien für Jobfunktionen](access_policies_job-functions.md).

Das folgende Diagramm veranschaulicht AWS verwaltete Richtlinien. Das Diagramm zeigt drei AWS verwaltete Richtlinien: **AdministratorAccess**PowerUserAccess****, und **AWS CloudTrail\$1 ReadOnlyAccess**. Beachten Sie, dass eine einzelne AWS verwaltete Richtlinie an verschiedene Haupteinheiten und an verschiedene AWS-Konten Haupteinheiten in einer einzigen Richtlinie angehängt werden kann AWS-Konto.

![\[Diagramm der AWS verwalteten Richtlinien\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/policies-aws-managed-policies.diagram.png)


## Kundenverwaltete Richtlinien
<a name="customer-managed-policies"></a>

Sie können eigene eigenständige Richtlinien erstellen AWS-Konto , die Sie an Prinzipalentitäten (IAM-Benutzer, IAM-Gruppen und IAM-Rollen) anhängen können. Sie erstellen diese *vom Kunden verwalteten Richtlinien* für Ihre spezifischen Anwendungsfälle und können sie beliebig oft ändern und aktualisieren. Wie bei AWS verwalteten Richtlinien geben Sie, wenn Sie einer Prinzipalentität eine Richtlinie zuordnen, der Entität die in der Richtlinie definierten Berechtigungen. Wenn Sie Berechtigungen in der Richtlinie aktualisieren, werden die Änderungen auf alle Prinzipal-Entitäten angewendet, an die die Richtlinie angefügt ist.

Eine hervorragende Methode zum Erstellen einer vom Kunden verwalteten Richtlinie besteht darin, zunächst eine vorhandene, von AWS verwaltete Richtlinie zu kopieren. So wissen Sie, dass die Richtlinie zu Beginn richtig ist und Sie sie nur an Ihre Umgebung anpassen müssen.

Die vom Kunden verwalteten Richtlinien sind in der folgenden Abbildung dargestellt. Bei der jeweiligen Richtlinie handelt es sich um eine Entität in IAM mit ihrem eigenen [Amazon-Ressourcenname (ARN)](reference_identifiers.md#identifiers-arns), der den Richtliniennamen enthält. Beachten Sie, dass ein und dieselbe Richtlinie mehreren Hauptentitäten zugeordnet werden kann. So ist beispielsweise dieselbe **DynamoDB-books-app**-Richtlinie zwei verschiedenen IAM-Rollen zugeordnet.

Weitere Informationen finden Sie unter [Benutzerdefinierte IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien definieren](access_policies_create.md).

![\[Diagramm der von Kunden verwalteten Richtlinien\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/policies-customer-managed-policies.diagram.png)


## Eingebundene Richtlinien
<a name="inline-policies"></a>

Eine Inline-Richtlinie ist eine Richtlinie, die für eine einzelne IAM-Identität (einen Benutzer, eine Benutzergruppe oder eine Rolle) erstellt wird. Inline-Richtlinien sorgen für eine strikte one-to-one Beziehung zwischen einer Richtlinie und einer Identität. Sie werden gelöscht, wenn Sie die Identität löschen. Sie können eine Richtlinie erstellen und sie entweder, wenn Sie die Identität erstellen, oder später in eine Identität einbetten. Wenn eine Richtlinie für mehr als eine Entität gelten könnte, ist es besser, eine verwaltete Richtlinie zu verwenden.

Die eingebundenen Richtlinien sind in der folgenden Abbildung dargestellt. Jede Richtlinie ist unabdingbarer Bestandteil des Benutzers, der Gruppe oder der Rolle. Beachten Sie, dass zwei Rollen dieselbe Richtlinie enthalten (die Richtlinie **DynamoDB-books-app**), aber sie verwenden keine Richtlinie gemeinsam. Jede Rolle hat ihre eigene Kopie der Richtlinie.

![\[Diagramm der eingebundenen Richtlinien\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/policies-inline-policies.diagram.png)


# Auswahl zwischen verwalteten Richtlinien und Inline-Richtlinien
<a name="access_policies-choosing-managed-or-inline"></a>

Berücksichtigen Sie Ihre Anwendungsfälle, wenn Sie zwischen verwalteten und Inline-Richtlinien entscheiden. In den meisten Fällen empfehlen wir, dass Sie verwaltete Richtlinien anstelle von eingebundenen Richtlinien verwenden.

**Anmerkung**  
Sie können sowohl verwaltete als auch Inline-Richtlinien zusammen verwenden, um gemeinsame und eindeutige Berechtigungen für eine Prinzipal-Entität zu definieren.

Verwaltete Richtlinien bieten die folgenden Funktionen:

**Wiederverwendbarkeit**  
Eine einzelne verwaltete Richtlinie kann an mehrere Auftraggeber-Entitäten (Benutzer, Gruppen und Rollen) angefügt werden. Sie können eine Bibliothek mit Richtlinien erstellen, die nützliche Berechtigungen für Sie definieren AWS-Konto, und diese Richtlinien dann nach Bedarf an Prinzipalentitäten anhängen.

**Zentrale Änderungsverwaltung**  
Wenn Sie eine verwaltete Richtlinie ändern, wird die Änderung auf alle Auftraggeber-Entitäten angewendet, an die die Richtlinie angefügt ist. Wenn Sie beispielsweise Berechtigungen für eine neue AWS API hinzufügen möchten, können Sie eine vom Kunden verwaltete Richtlinie aktualisieren oder eine AWS verwaltete Richtlinie zuordnen, um die Berechtigung hinzuzufügen. Wenn Sie eine AWS verwaltete Richtlinie verwenden, AWS aktualisiert die Richtlinie. Bei der Aktualisierung einer verwalteten Richtlinie werden die Änderungen auf alle Prinzipal-Entitäten angewendet, denen die verwaltete Richtlinie angefügt ist. Im Gegensatz dazu müssen Sie zum Ändern einer Inline-Richtlinie jede Identität einzeln bearbeiten, die die Inline-Richtlinie enthält. Wenn beispielsweise eine Gruppe und eine Rolle dieselbe Inline-Richtlinie enthalten, müssen Sie beide Prinzipal-Entitäten individuell bearbeiten, um diese Richtlinie zu ändern. 

**Versioning und Rollback**  
Wenn Sie eine kundenverwaltete Richtlinie ändern, wird die vorhandene Richtlinie nicht von der geänderten Richtlinie überschrieben. IAM erstellt stattdessen eine neue Version der verwalteten Richtlinie. IAM speichert bis zu fünf Versionen Ihrer vom Kunden verwalteten Richtlinien. Sie können Richtlinienversionen verwenden, um eine frühere Version einer Richtlinie wiederherzustellen, sofern dies erforderlich ist.   
Eine Richtlinienversion ist nicht mit dem Richtlinienelement `Version` identisch. Das Richtlinienelement `Version` wird innerhalb einer Richtlinie verwendet und gibt die Version der Richtliniensprache an. Weitere Informationen zu den Richtlinienversionen finden Sie unter [Versioning von IAM-Richtlinien](access_policies_managed-versioning.md). Weitere Informationen zum Richtlinienelement `Version` finden Sie unter [IAM-JSON-Richtlinienelemente: Version](reference_policies_elements_version.md).

**Delegieren der Berechtigungsverwaltung**  
Sie können Benutzern in Ihren AWS-Konto Richtlinien das Anhängen und Trennen von Richtlinien gestatten und gleichzeitig die Kontrolle über die in diesen Richtlinien definierten Berechtigungen behalten. Sie können einige Benutzer als Administratoren mit vollständigen Rechten bestimmen, d. h. Administratoren, die Richtlinien erstellen, aktualisieren und löschen können. Anschließend können Sie andere Benutzer als Administratoren mit eingeschränkten Rechten bestimmen. Dies bedeutet, dass Administratoren zwar Richtlinien an andere Prinzipal-Entitäten anfügen können, aber nur die Richtlinien, für die Sie ihnen die Berechtigungen zum Anfügen erteilt haben.  
Weitere Informationen zum Delegieren der Berechtigungsverwaltung finden Sie unter [Steuern des Zugriffs auf Richtlinien](access_controlling.md#access_controlling-policies). 

**Größere Zeichenbeschränkungen für Richtlinien**  
Die maximale Zeichengrößenbeschränkung für verwaltete Richtlinien ist größer als die Zeichenbeschränkung für für Gruppen von Inline-Richtlinien. Wenn Sie die Zeichengrößenbeschränkung der eingebundenen Richtlinie erreichen, können Sie weitere IAM-Gruppen erstellen und die verwaltete Richtlinie der Gruppe zuweisen.  
Weitere Informationen zu Kontingenten und Limits finden Sie unter [IAM und Kontingente AWS STS](reference_iam-quotas.md). 

**Automatische Updates für AWS verwaltete Richtlinien**  
AWS verwaltet AWS verwaltete Richtlinien und aktualisiert sie bei Bedarf, um beispielsweise Berechtigungen für neue AWS Dienste hinzuzufügen, ohne dass Sie Änderungen vornehmen müssen. Die Updates werden automatisch auf die Prinzipalentitäten angewendet, denen Sie die AWS verwaltete Richtlinie zugeordnet haben. 

## Erste Schritte mit verwalteten Richtlinien
<a name="access_policies-get-started-managed-policy"></a>

Es wird empfohlen, Richtlinien zu verwenden, die [die geringsten Rechte gewähren](access_policies.md#grant-least-priv), d. h. nur die für die Durchführung einer Aufgabe erforderlichen Berechtigungen zu gewähren. Die sicherste Methode, die geringste Berechtigung zu erteilen, besteht darin, eine vom Kunden verwaltete Richtlinie mit nur den Berechtigungen zu schreiben, die Ihr Team benötigt. Sie müssen einen Prozess erstellen, damit Ihr Team bei Bedarf weitere Berechtigungen anfordern kann. Es erfordert Zeit und Fachwissen, um [von Kunden verwaltete IAM-Richtlinien zu erstellen](access_policies_create-console.md), die Ihrem Team nur die benötigten Berechtigungen bieten.

Um mit dem Hinzufügen von Berechtigungen zu Ihren IAM-Identitäten (Benutzern, Benutzergruppen und Rollen) zu beginnen, können Sie Folgendes verwenden. [AWS verwaltete Richtlinien](access_policies_managed-vs-inline.md#aws-managed-policies) AWS verwaltete Richtlinien gewähren keine Berechtigungen mit den geringsten Rechten. Sie müssen das Sicherheitsrisiko berücksichtigen, wenn Sie Ihren Auftraggeber mehr Berechtigungen gewähren, als sie für ihre Arbeit benötigen.

Sie können AWS verwaltete Richtlinien, einschließlich Jobfunktionen, an jede IAM-Identität anhängen. Weitere Informationen finden Sie unter [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](access_policies_manage-attach-detach.md).

Um zu den Berechtigungen mit den geringsten Rechten zu wechseln, können Sie Access Analyzer ausführen AWS Identity and Access Management , um die Prinzipale mit AWS verwalteten Richtlinien zu überwachen. Nachdem Sie erfahren haben, welche Berechtigungen sie verwenden, können Sie eine vom Kunden verwaltete Richtlinie schreiben oder generieren, die nur die erforderlichen Berechtigungen für Ihr Team beinhaltet. Das ist weniger sicher, bietet aber mehr Flexibilität, wenn Sie erfahren, wie Ihr Team die Daten verwendet AWS. Weitere Informationen finden Sie unter [Generieren von IAM Access Analyzer-Richtlinien](access-analyzer-policy-generation.md).

AWS verwaltete Richtlinien dienen dazu, Berechtigungen für viele gängige Anwendungsfälle bereitzustellen. Weitere Informationen zu AWS verwalteten Richtlinien, die für bestimmte Aufgaben konzipiert sind, finden Sie unter[AWS verwaltete Richtlinien für Jobfunktionen](access_policies_job-functions.md).

Eine Liste der AWS verwalteten Richtlinien finden Sie im [Referenzhandbuch für AWS verwaltete Richtlinien](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).

## Verwenden von eingebundenen Richtlinien
<a name="policies-using-inline-policies"></a>

Inline-Richtlinien sind nützlich, wenn Sie eine strikte one-to-one Beziehung zwischen einer Richtlinie und der Identität, auf die sie angewendet wird, aufrechterhalten möchten. Sie sollten beispielsweise darauf achten, dass die Berechtigungen einer Richtlinie nicht versehentlich einer Identität zugewiesen werden, für die sie nicht vorgesehen sind. Bei Verwendung einer Inline-Richtlinie können die Berechtigungen in der Richtlinie nicht versehentlich der falschen Identität zugeordnet werden. Wenn Sie AWS-Managementkonsole zum Löschen dieser Identität verwenden, werden außerdem die in der Identität eingebetteten Richtlinien ebenfalls gelöscht, da sie Teil der Prinzipalentität sind.

# Konvertieren einer Inline-Richtlinie in eine verwaltete Richtlinie
<a name="access_policies-convert-inline-to-managed"></a>

Wenn Sie eingebundene Richtlinien in Ihrem Konto verwenden, können Sie diese in verwaltete Richtlinien umwandeln. Kopieren Sie hierzu die Richtlinie in eine neue verwaltete Richtlinie. Fügen Sie als Nächstes die neue Richtlinie an die Identität an, die die Inline-Richtlinie enthält. Löschen Sie dann die eingebundene Richtlinie. 

## So konvertieren Sie eine eingebundene Richtlinie in eine verwaltete Richtlinie
<a name="access_policies-convert-inline-to-managed-procedure"></a>

**So konvertieren Sie eine eingebundene Richtlinie in eine verwaltete Richtlinie**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Klicken Sie im Navigationsbereich auf **Groups (Gruppen)**, **Users (Benutzer)** oder **Roles (Rollen)**.

1. Wählen Sie in der Liste den Namen der Gruppe, des Benutzers oder der Rolle aus, deren bzw. dessen Richtlinie Sie entfernen möchten.

1. Wählen Sie die Registerkarte **Berechtigungen**.

1. Wählen Sie für IAM-Gruppen den Namen der Inline-Richtlinie aus, die Sie entfernen möchten. Wählen Sie bei Bedarf für Benutzer und Rollen die Option ***n*Mehr anzeigen** aus und erweitern Sie dann die Inline-Richtlinie, die Sie entfernen möchten.

1. Wählen Sie **Copy** (Kopieren) aus, um das JSON-Richtliniendokument für die Richtlinie zu kopieren.

1. Wählen Sie im Navigationsbereich **Richtlinien**.

1. Wählen Sie **Create policy** (Richtlinie erstellen) und anschließend die Option **JSON** aus.

1. Ersetzen Sie den vorhandenen Text durch den Text der JSON-Richtlinie und wählen Sie dann **Next** (Weiter) aus.

1. Geben Sie einen Namen und eine optionale Beschreibung für Ihre Richtlinie ein und wählen Sie dann **Create Policy** (Richtlinie erstellen) aus.

1. Wählen Sie im Navigationsbereich **Groups (Gruppen)**, **Users (Benutzer)** oder **Roles (Rollen)** und dann den Namen der Gruppe, des Benutzers oder der Rolle aus, die die Richtlinie enthält, die Sie entfernen möchten.

1. Wählen Sie die Registerkarte **Permissions** (Berechtigungen) und anschließend die Option **Add Permissions** (Berechtigungen hinzufügen).

1. Aktivieren Sie für IAM-Gruppen das Kontrollkästchen neben dem Namen Ihrer neuen Richtlinie, wählen Sie **Berechtigungen hinzufügen** und dann **Richtlinie anfügen** aus. Wählen Sie für Benutzer oder Rollen **Add permissions (Berechtigungen hinzufügen)**. Wählen Sie auf der nächsten Seite **Vorhandene Richtlinien direkt anfügen** aus, aktivieren Sie das Kontrollkästchen neben dem Namen der neuen Richtlinie und wählen Sie dann **Weiter** und **Berechtigungen hinzufügen** aus.

   Die Seite **Summary (Übersicht)** für die Gruppe, den Benutzer oder die Rolle wird erneut angezeigt.

1. Aktivieren Sie das Kontrollkästchen neben der Inline-Richtlinie, die Sie entfernen möchten, und wählen Sie **Entfernen** aus.

# Veraltete verwaltete Richtlinien AWS
<a name="access_policies_managed-deprecated"></a>

 AWS Stellt [verwaltete Richtlinien](access_policies_managed-vs-inline.md) bereit, um die Zuweisung von Berechtigungen zu vereinfachen. Dabei handelt es sich um vordefinierte Richtlinien, die Ihren IAM-Benutzern, -Gruppen und -Rollen zugewiesen werden können.

Manchmal AWS muss einer bestehenden Richtlinie eine neue Berechtigung hinzugefügt werden, z. B. wenn ein neuer Dienst eingeführt wird. Durch das Hinzufügen einer neuen Berechtigung zu einer vorhandenen Richtlinie werden keine Eigenschaften oder Fähigkeiten beeinflusst oder gelöscht.

 AWS Möglicherweise entscheiden Sie sich jedoch für die Erstellung einer *neuen* Richtlinie, wenn die erforderlichen Änderungen Auswirkungen auf Kunden haben könnten, wenn sie auf eine bestehende Richtlinie angewendet würden. Das Entfernen von Berechtigungen aus einer vorhandenen Richtlinie könnte die Berechtigungen der IAM-Entitäten oder Anwendungen, die von dieser Richtlinie abhängig sind, aufheben und kritische Vorgänge unterbrechen.

Wenn eine solche Änderung erforderlich ist, wird daher eine völlig neue Richtlinie mit den erforderlichen Änderungen AWS erstellt und den Kunden zur Verfügung gestellt. Die alte Richtlinie wird dann als *veraltet* gekennzeichnet. Weitere Informationen finden Sie unter [Veraltete AWS verwaltete Richtlinien](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/about-managed-policy-reference.html#deprecated-managed-policies) im *Referenzhandbuch für AWS verwaltete Richtlinien.*

# Einrichten des Berechtigungs-Integritätsschutzes mithilfe von Datenperimetern
<a name="access_policies_data-perimeters"></a>

Leitplanken an den Datengrenzen dienen als ständig verfügbare Grenzen, um Ihre Daten über eine Vielzahl von Konten und Ressourcen hinweg zu schützen. AWS Datenperimeter folgen den bewährten IAM-Sicherheitsmethoden, um [Schutzmaßnahmen über mehrere Konten hinweg einzurichten.](best-practices.md#bp-permissions-guardrails) Dieser unternehmensweite Berechtigungs-Integritätsschutz ersetzt nicht Ihre vorhandenen fein abgestuften Zugriffskontrollen. Stattdessen fungieret es als **grob abgestufte Zugriffskontrollen**, die zur Verbesserung Ihrer Sicherheitsstrategie beitragen, indem sie sicherstellen, dass Benutzer, Rollen und Ressourcen eine Reihe definierter Sicherheitsstandards einhalten. 

Bei einem Datenperimeter handelt es sich um eine Reihe von Schutzplanken in Ihrer AWS Umgebung, die sicherstellen, dass nur Ihre vertrauenswürdigen Identitäten auf vertrauenswürdige Ressourcen aus den erwarteten Netzwerken zugreifen. 
+ Vertrauenswürdige Identitäten: Prinzipale (IAM-Rollen oder Benutzer) in Ihren AWS Konten und Diensten, die in Ihrem Namen handeln. AWS 
+ Vertrauenswürdige Ressourcen: Ressourcen, die Ihren AWS Konten oder AWS Diensten gehören, die in Ihrem Namen handeln.
+ Erwartete Netzwerke: Ihre lokalen Rechenzentren und virtuellen privaten Clouds (VPCs) oder Netzwerke von AWS Diensten, die in Ihrem Namen agieren.

**Anmerkung**  
In manchen Fällen müssen Sie Ihr Datenperimeter erweitern, um auch den Zugriff durch Ihre vertrauenswürdigen Geschäftspartner einzuschließen. Sie sollten alle beabsichtigten Datenzugriffsmuster berücksichtigen, wenn Sie eine Definition vertrauenswürdiger Identitäten, vertrauenswürdiger Ressourcen und erwarteter Netzwerke erstellen, die speziell auf Ihr Unternehmen und Ihre Nutzung der AWS-Services zugeschnitten ist.

Datenperimeterkontrollen sollten wie jede andere Sicherheitskontrolle im Rahmen des Informationssicherheits- und Risikomanagementprogramms behandelt werden. Dies bedeutet, dass Sie eine Bedrohungsanalyse durchführen sollten, um potenzielle Risiken in Ihrer Cloud-Umgebung zu identifizieren und dann basierend auf Ihrer eigenen Risikoakzeptanzkriterien geeignete Datenperimeterkontrollen auswählen und implementieren sollten. Um den iterativen, risikobasierten Ansatz zur Implementierung von Datenperimetern besser zu informieren, müssen Sie verstehen, welche Sicherheitsrisiken und Bedrohungsvektoren durch Datenperimeterkontrollen berücksichtigt werden und welche Sicherheitsprioritäten Sie haben.

## Datenperimeter-Kontrollen
<a name="access_policies_data-perimeters-controls"></a>

Mithilfe grob abgestufter Datenperimeterkontrollen können Sie durch die Implementierung verschiedener Kombinationen aus [Richtlinientypen](access_policies.md#access_policy-types) und [Bedingungsschlüsseln](reference_policies_condition-keys.md) sechs verschiedene Sicherheitsziele über drei Datenperimeter hinweg erreichen.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/access_policies_data-perimeters.html)

Sie können sich Datenperimeter so vorstellen, als würden Sie eine feste Grenze um Ihre Daten herum schaffen, um unbeabsichtigte Zugriffsmuster zu verhindern. Obwohl Datenperimeter einen weitreichenden, unbeabsichtigten Zugriff verhindern können, müssen Sie dennoch Entscheidungen zur differenzierten Zugriffssteuerung treffen. Die Einrichtung eines Datenperimeters mindert nicht die Notwendigkeit, Berechtigungen mithilfe von Tools wie [IAM Access Analyzer](what-is-access-analyzer.md) kontinuierlich zu optimieren, um das Prinzip der [geringsten Berechtigungen](best-practices.md#grant-least-privilege) zu erreichen.

Um Datenperimeterkontrollen für Ressourcen durchzusetzen, die derzeit nicht von unterstützt werden RCPs, können Sie ressourcenbasierte Richtlinien verwenden, die Ressourcen direkt zugeordnet sind. Eine Liste der Dienste, die ressourcenbasierte Richtlinien unterstützen, finden Sie unter Richtlinien zur [Ressourcenkontrolle](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) () RCPs und. RCPs [AWS Dienste, die mit IAM funktionieren](reference_aws-services-that-work-with-iam.md)

Um die Kontrolle der Netzwerkgrenzen durchzusetzen, empfehlen wir `aws:VpceOrgID`, `aws:VpceOrgPaths` und `aws:VpceAccount` nur zu verwenden, wenn alle Services, auf die Sie den Zugriff einschränken möchten, derzeit unterstützt werden. Die Verwendung dieser Bedingungsschlüssel mit nicht unterstützten Services kann zu unbeabsichtigten Autorisierungsergebnissen führen. Eine Liste der Services, die die Schlüssel unterstützen, finden Sie unter [AWS Kontextschlüssel für globale Bedingungen](reference_policies_condition-keys.md). Wenn Sie die Kontrollen für ein breiteres Spektrum von Services durchsetzen müssen, sollten Sie stattdessen `aws:SourceVpc` und `aws:SourceVpce` verwenden.

## Identitätsperimeter
<a name="access_policies_data-perimeters-identity"></a>

Bei einem Identitätsperimeter handelt es sich um eine Reihe grob abgestufter präventiver Zugriffskontrollen, die sicherstellen, dass nur vertrauenswürdige Identitäten auf Ihre Ressourcen zugreifen können und nur vertrauenswürdige Identitäten aus Ihrem Netzwerk zugelassen werden. Zu den vertrauenswürdigen Identitäten gehören in der Regel Principals (Rollen oder Benutzer) in Ihren AWS Konten und AWS Diensten, die in Ihrem Namen handeln. Alle anderen Identitäten gelten als nicht vertrauenswürdig und werden durch den Identitätsperimeter blockiert, sofern keine ausdrückliche Ausnahme gewährt wird.

Die folgenden globalen Bedingungsschlüssel helfen bei der Durchsetzung von Identitätsperimeterkontrollen auf Grundlage Ihrer Definition vertrauenswürdiger Identitäten. Verwenden Sie diese Schlüssel in Ressourcenkontrollrichtlinien, um den Zugriff auf Ressourcen einzuschränken, oder in [VPC-Endpunktrichtlinien](https://docs.aws.amazon.com//vpc/latest/privatelink/vpc-endpoints-access.html), um den Zugriff auf Ihre Netzwerke einzuschränken.

### Identitäten, die Ihnen gehören
<a name="data-perimeters-identity-owned-by-you"></a>

Sie können die folgenden Bedingungsschlüssel verwenden, um IAM-Prinzipale zu definieren, die Sie in Ihrem erstellen und verwalten. AWS-Konten
+ [aws:PrincipalOrgID](reference_policies_condition-keys.md#condition-keys-principalorgid) – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass IAM-Prinzipale, die die Anfrage stellen, zur angegebenen Organisation in AWS Organizations gehören.
+ [aws:PrincipalOrgPaths](reference_policies_condition-keys.md#condition-keys-principalorgpaths)— Sie können diesen Bedingungsschlüssel verwenden, um sicherzustellen, dass der IAM-Benutzer, die IAM-Rolle, der AWS STS Verbundbenutzerprinzipal, der SAML-Bundprinzipal, der OIDC-Verbundprinzipal oder Root-Benutzer des AWS-Kontos der, für den die Anfrage gestellt wurde, zur angegebenen Organisationseinheit (OU) in gehören. AWS Organizations
+ [aws:PrincipalAccount](reference_policies_condition-keys.md#condition-keys-principalaccount) – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass nur das in der Richtlinie angegebene Hauptkonto auf Ressourcen zugreifen kann.

### Identitäten von Diensten, die in Ihrem Namen handeln AWS
<a name="data-perimeters-identity-owned-by-service"></a>

Sie können die folgenden Bedingungsschlüssel verwenden, um es AWS Diensten zu ermöglichen, ihre eigenen Identitäten für den Zugriff auf Ihre Ressourcen zu verwenden, wenn sie in Ihrem Namen handeln.
+ [aws:PrincipalIsAWSService](reference_policies_condition-keys.md#condition-keys-principalisawsservice) und [aws:SourceOrgID](reference_policies_condition-keys.md#condition-keys-sourceorgid) (oder [aws:SourceOrgPaths](reference_policies_condition-keys.md#condition-keys-sourceorgpaths) und [aws:SourceAccount](reference_policies_condition-keys.md#condition-keys-sourceaccount)) – Mit diesen Bedingungsschlüsseln können Sie sicherstellen, dass [AWS-Service -Prinzipale](reference_policies_elements_principal.md#principal-services) beim Zugriff auf Ihre Ressourcen dies nur im Namen einer Ressource in der angegebenen Organisation, Organisationseinheit oder einem Konto in AWS Organizations tun.

Weitere Informationen finden Sie unter [Einrichtung eines Datenperimeters unter AWS: Nur vertrauenswürdigen Identitäten den Zugriff auf Unternehmensdaten erlauben](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-only-trusted-identities-to-access-company-data/).

## Ressourcenperimeter
<a name="access_policies_data-perimeters-resource"></a>

Ein Ressourcenperimeter ist eine Reihe grob abgestufter, präventiver Zugriffskontrollen, die sicherstellen, dass Ihre Identitäten nur auf vertrauenswürdige Ressourcen zugreifen können und von Ihrem Netzwerk aus nur auf vertrauenswürdige Ressourcen zugegriffen werden kann. Zu den vertrauenswürdigen Ressourcen gehören in der Regel Ressourcen, die Ihren AWS Konten oder AWS Diensten gehören, die in Ihrem Namen handeln.

Die folgenden globalen Bedingungsschlüssel helfen bei der Durchsetzung von Ressourcenperimeterkontrollen auf Grundlage Ihrer Definition vertrauenswürdiger Ressourcen. Verwenden Sie diese Schlüssel in [Dienststeuerungsrichtlinien (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html), um einzuschränken, auf welche Ressourcen über Ihre Identitäten zugegriffen werden kann, oder in [VPC-Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html), um einzuschränken, auf welche Ressourcen von Ihren Netzwerken aus zugegriffen werden kann.

### Ressourcen in Ihrem Besitz
<a name="data-perimeters-resource-owned-by-you"></a>

Sie können die folgenden Bedingungsschlüssel verwenden, um AWS Ressourcen zu definieren, die Sie in Ihrem erstellen und verwalten. AWS-Konten
+ [aws:ResourceOrgID](reference_policies_condition-keys.md#condition-keys-resourceorgid) – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass die Ressource, auf die zugegriffen wird, zur angegebenen Organisation in AWS Organizations gehört.
+ [aws:ResourceOrgPaths](reference_policies_condition-keys.md#condition-keys-resourceorgpaths) – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass die Ressource, auf die zugegriffen wird, zur angegebenen Organisationseinheit (OE) in AWS Organizations gehört.
+ [aws:ResourceAccount](reference_policies_condition-keys.md#condition-keys-resourceaccount) – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass die Ressource, auf die zugegriffen wird, zum angegebenen AWS-Konto gehört.

### Ressourcen von AWS Diensten, die in Ihrem Namen handeln
<a name="data-perimeters-resource-owned-by-service"></a>

In einigen Fällen müssen Sie möglicherweise den Zugriff auf AWS eigene Ressourcen gewähren, d. h. auf Ressourcen, die nicht zu Ihrer Organisation gehören und auf die Ihre Prinzipale oder in Ihrem Namen handelnde AWS Dienste zugreifen. Weitere Informationen zu diesen Szenarien finden Sie unter [Einrichtung eines Datenperimeters unter AWS: Nur vertrauenswürdige Ressourcen aus meiner Organisation zulassen](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-only-trusted-resources-from-my-organization/).

## Netzwerkperimeter
<a name="access_policies_data-perimeters-network"></a>

Bei einem Netzwerkperimeter handelt es sich um eine Reihe grob abgestufter präventiver Zugriffskontrollen, die sicherstellen, dass Ihre Identitäten nur über erwartete Netzwerke auf Ressourcen zugreifen können und dass auf Ihre Ressourcen nur über erwartete Netzwerke zugegriffen werden kann. Zu den erwarteten Netzwerken gehören in der Regel Ihre lokalen Rechenzentren und virtuelle private Clouds (VPCs) sowie Netzwerke von AWS Diensten, die in Ihrem Namen agieren. 

Die folgenden globalen Bedingungsschlüssel helfen bei der Durchsetzung von Netzwerkperimeterkontrollen auf Grundlage Ihrer Definition erwarteter Netzwerke. Verwenden Sie diese Schlüssel in [Dienststeuerungsrichtlinien (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html), um Netzwerke einzuschränken, von denen aus Ihre Identitäten kommunizieren können, oder in [Ressourcensteuerungsrichtlinien (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html), um den Ressourcenzugriff auf erwartete Netzwerke einzuschränken.

### Netzwerke, die Ihnen gehören
<a name="data-perimeters-network-owned-by-you"></a>

Sie können die folgenden Bedingungsschlüssel verwenden, um Netzwerke zu definieren, über die Ihre Mitarbeiter und Anwendungen voraussichtlich auf Ihre Ressourcen zugreifen, z. B. den IP-CIDR-Bereich Ihres Unternehmens und Ihr VPCs
+ [aws:SourceIp](reference_policies_condition-keys.md#condition-keys-sourceip) – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass die IP-Adresse des Anforderers innerhalb eines angegebenen IP-Bereichs liegt.
+ [aws:SourceVpc](reference_policies_condition-keys.md#condition-keys-sourcevpc) – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass der VPC-Endpunkt, durch den die Anfrage läuft, zur angegebenen VPC gehört.
+ [aws:SourceVpce](reference_policies_condition-keys.md#condition-keys-sourcevpce) – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass die Anfrage über den angegebenen VPC-Endpunkt läuft.
+ [aws:VpceAccount](reference_policies_condition-keys.md#condition-keys-vpceaccount)— Sie können diesen Bedingungsschlüssel verwenden, um sicherzustellen, dass Anfragen über VPC-Endpunkte kommen, die dem angegebenen AWS Konto gehören.
+ [aws:VpceOrgPaths](reference_policies_condition-keys.md#condition-keys-vpceorgpaths) – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass IAM-Prinzipale, die die Anfrage stellen, zur angegebenen Organisationseinheit (OU) in AWS Organizations gehören.
+ [aws:VpceOrgID](reference_policies_condition-keys.md#condition-keys-vpceorgid) – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass Anfragen über VPC-Endpunkte im Besitz von Konten in der angegebenen Organisation in AWS Organizations laufen.

`aws:VpceAccount`, `aws:VpceOrgPaths` und `aws:VpceOrgID` sind besonders nützlich für die Implementierung von Netzwerkperimeterkontrollen, die automatisch mit der Nutzung Ihrer VPC-Endpunkte skaliert werden, ohne dass Richtlinien aktualisiert werden müssen, wenn Sie neue Endpunkte erstellen. Eine Liste der AWS-Services , die diese Schlüssel unterstützen, finden Sie unter [AWS Kontextschlüssel für globale Bedingungen](reference_policies_condition-keys.md).

### Netzwerke von AWS Diensten, die in Ihrem Namen handeln
<a name="data-perimeters-network-owned-by-service"></a>

Sie können die folgenden Bedingungsschlüssel verwenden, um AWS Diensten den Zugriff auf Ihre Ressourcen von ihren Netzwerken aus zu ermöglichen, wenn sie in Ihrem Namen handeln.
+ [aws:ViaAWSService](reference_policies_condition-keys.md#condition-keys-viaawsservice)— Sie können diesen Bedingungsschlüssel verwenden, um sicherzustellen, dass Sie Anfragen im Namen Ihres Auftraggebers über [Forward Access Sessions (FAS)](access_forward_access_sessions.md) (FAS) stellen AWS-Services können.
+ [aws:PrincipalIsAWSService](reference_policies_condition-keys.md#condition-keys-principalisawsservice)— Sie können diesen Bedingungsschlüssel verwenden, um sicherzustellen, dass AWS-Services Sie über [AWS Dienstprinzipale](reference_policies_elements_principal.md#principal-services)

 Es gibt weitere Szenarien, in denen Sie AWS-Services den Zugriff auf Ihre Ressourcen von außerhalb Ihres Netzwerks zulassen müssen. Weitere Informationen finden Sie unter [Einrichtung eines Datenperimeters unter AWS: Zugriff auf Unternehmensdaten nur von erwarteten Netzwerken aus zulassen](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-access-to-company-data-only-from-expected-networks/).

## Ressourcen, um mehr über Datenperimeter zu erfahren
<a name="access_policies_data-perimeters-resources"></a>

Die folgenden Ressourcen können Ihnen dabei helfen, mehr über Datenperimeter in AWS zu erfahren.
+ [Datenperimeter aktiviert AWS](https://aws.amazon.com/identity/data-perimeters-on-aws/) — Erfahren Sie mehr über Datenperimeter und ihre Vorteile und Anwendungsfälle.
+  [Blogbeitragsserie: Einrichtung eines Datenperimeters am AWS](https://aws.amazon.com/identity/data-perimeters-blog-post-series/) — In diesen Blogbeiträgen finden Sie ausführliche Anleitungen zur Einrichtung Ihres Datenperimeters in großem Maßstab, einschließlich wichtiger Sicherheits- und Implementierungsaspekte.
+  [Beispiele für Datenperimeterrichtlinien](https://github.com/aws-samples/data-perimeter-policy-examples/tree/ce06665ca8b2f07debee7bed5153c3be0f31c73c) — Dieses GitHub Repository enthält Beispielrichtlinien, die einige gängige Muster behandeln, um Sie bei der Implementierung eines Datenperimeters zu unterstützen. AWS
+ [Datenperimeter-Helfer](https://github.com/aws-samples/data-perimeter-helper/tree/main?tab=readme-ov-file) – Dieses Tool unterstützt Sie bei der Gestaltung und Prognose der Auswirkungen Ihrer Datenperimeter-Kontrollen, indem es die Zugriffsaktivität in Ihren [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)-Protokollen analysiert.

# Berechtigungsgrenzen für IAM-Entitäten
<a name="access_policies_boundaries"></a>

AWS unterstützt *Berechtigungsgrenzen* für IAM-Entitäten (Benutzer oder Rollen). Eine Berechtigungsgrenze ist ein erweitertes Feature, bei der Sie eine verwaltete Richtlinie verwenden, um die maximalen Berechtigungen festzulegen, die eine identitätsbasierte Richtlinie einer IAM-Entität gewähren kann. Durch eine Berechtigungsgrenze kann eine Entität nur die Aktionen durchführen, die sowohl von den identitätsbasierten Richtlinien als auch den Berechtigungsgrenzen erlaubt werden.

Weitere Informationen zu Richtlinientypen finden Sie unter [Richtlinientypen](access_policies.md#access_policy-types).

**Wichtig**  
Verwenden Sie keine ressourcenbasierten Richtlinienanweisungen, die ein `NotPrincipal`-Richtlinienelement mit einer `Deny`-Wirkung für IAM-Benutzer oder -Rollen enthalten, denen eine Richtlinie mit Berechtigungsgrenzen angefügt ist. Das `NotPrincipal`-Element mit `Deny`-Wirkung lehnt immer jeden IAM-Prinzipal ab, an den eine Richtlinie zur Berechtigungsgrenze angefügt ist, unabhängig von den im `NotPrincipal`-Element angegebenen Werten. Dies führt dazu, dass einige IAM-Benutzer oder -Rollen, die andernfalls Zugriff auf die Ressource hätten, den Zugriff verlieren. Wir empfehlen Ihnen, Ihre ressourcenbasierten Richtlinien dahingehend zu ändern, dass Sie den Bedingungsoperator [`ArnNotEquals`](reference_policies_elements_condition_operators.md#Conditions_ARN) mit dem [`aws:PrincipalArn`](reference_policies_condition-keys.md#condition-keys-principalarn)-Kontextschlüssel verwenden, um den Zugriff zu begrenzen, anstatt das `NotPrincipal`-Element. Weitere Informationen zum `NotPrincipal`-Element finden Sie unter [AWS JSON-Richtlinienelemente: NotPrincipal](reference_policies_elements_notprincipal.md).

Sie können eine AWS verwaltete Richtlinie oder eine vom Kunden verwaltete Richtlinie verwenden, um die Grenze für eine IAM-Entität (Benutzer oder Rolle) festzulegen. Diese Richtlinie begrenzt die maximalen Berechtigungen für den Benutzer oder die Rolle.

Gehen Sie beispielsweise davon aus, dass der angegebene `Shirley` IAM-Benutzer nur Amazon S3, Amazon und Amazon CloudWatch EC2 verwalten darf. Um diese Regel durchzusetzen, können Sie die folgende Richtlinie verwenden, um die Berechtigungsgrenze für den Benutzer `Shirley` festzulegen:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:*",
                "cloudwatch:*",
                "ec2:*"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Wenn Sie eine Richtlinie verwenden, um die Berechtigungsgrenze für einen Benutzer festzulegen, schränkt sie die Berechtigungen des Benutzers ein, erteilt aber selbst keine Berechtigungen. In diesem Beispiel legt die Richtlinie die maximalen Berechtigungen für alle Operationen in Amazon S3 und Amazon EC2 fest. `Shirley` CloudWatch Shirley kann niemals Operationen in einem anderen Service durchführen, einschließlich IAM, selbst wenn sie eine Berechtigungsrichtlinie hat, die dies erlaubt. Sie können z. B. dem Benutzer `Shirley` die folgende Richtlinie hinzufügen:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": "iam:CreateUser",
    "Resource": "*"
  }
}
```

------

Diese Richtlinie erlaubt das Erstellen eines Benutzers in IAM. Wenn Sie diese Berechtigungsrichtlinie dem Benutzer `Shirley` anfügen und Shirley versucht, einen Benutzer zu erstellen, schlägt die Operation fehl. Sie schlägt fehl, weil die Berechtigungsgrenze den `iam:CreateUser`-Vorgang nicht zulässt. Angesichts dieser beiden Richtlinien hat Shirley keine Berechtigung, Operationen in AWS durchzuführen. Sie müssen eine andere Berechtigungsrichtlinie hinzufügen, um Aktionen in anderen Diensten zuzulassen, z. B. Amazon S3. Alternativ können Sie die Berechtigungsgrenze so aktualisieren, dass sie einen Benutzer in IAM erstellen kann.

## Auswerten von effektiven Berechtigungen mit Grenzen
<a name="access_policies_boundaries-eval-logic"></a>

Die Berechtigungsgrenze für eine IAM-Entität (Benutzer oder Rolle) legt die maximalen Berechtigungen fest, die die Entität haben kann. Dies kann die effektiven Berechtigungen für diesen Benutzer oder diese Rolle ändern. Die effektiven Berechtigungen für eine Entität sind die Berechtigungen, die von allen Richtlinien gewährt werden, die den Benutzer oder die Rolle betreffen. Innerhalb eines Kontos können die Berechtigungen für eine Entität durch identitätsbasierte Richtlinien, ressourcenbasierte Richtlinien, Berechtigungsgrenzen oder Sitzungsrichtlinien beeinflusst werden. AWS Organizations SCPs Weitere Informationen zu den unterschiedlichen Richtlinientypen finden Sie unter [Richtlinien und Berechtigungen in AWS Identity and Access Management](access_policies.md).

Wenn eine dieser Richtlinientypen explizit den Zugriff für eine Operation verweigert, dann wird die Anforderung abgelehnt. Die Berechtigungen, die einer Entität durch mehrere Berechtigungstypen gewährt werden, sind komplexer. Weitere Informationen darüber, wie Richtlinien AWS bewertet werden, finden Sie unter. [Auswertungslogik für Richtlinien](reference_policies_evaluation-logic.md)

**Identitätsbasierte Richtlinien mit Grenzen** – Identitätsbasierte Richtlinien sind verwaltete oder eingebundene Richtlinien, die einem Benutzer, einer Gruppe von Benutzern oder einer Rolle zugewiesen sind. Identitätsbasierte Richtlinien erteilen die Berechtigung für die Entität, Berechtigungsgrenzen beschränken diese Berechtigungen. Effektive Berechtigungen ergeben sich aus der Überlschneidung der beiden Richtlinientypen. Eine explizite Zugriffsverweigerung in einer der beiden Richtlinien überschreibt die Zugriffserlaubnis.

![\[Auswertung von identitätsbasierten Richtlinien und Berechtigungsgrenzen\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/permissions_boundary.png)


**Ressourcenbasierte Richtlinien** – Ressourcenbasierte Richtlinien steuern, wie der angegebene Auftraggeber auf die Ressource zugreifen kann, der die Richtlinie angefügt ist.

*Ressourcenbasierte Richtlinien für IAM-Benutzer*  
Innerhalb desselben Kontos werden ressourcenbasierte Richtlinien, die einem IAM-Benutzer-ARN (bei dem es sich nicht um eine AWS STS föderierte Benutzerprinzipalsitzung handelt) Berechtigungen gewähren, nicht durch eine implizite Ablehnung in einer identitätsbasierten Richtlinie oder Berechtigungsgrenze eingeschränkt.  

![\[Auswertung einer ressourcenbasierten Richtlinie, Berechtigungsgrenze und identitätsbasierte Richtlinie\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/EffectivePermissions-rbp-boundary-id.png)


*Ressourcenbasierte Richtlinien für IAM-Rollen*  
**IAM-Rolle** – Ressourcenbasierte Richtlinien, die Berechtigungen für einen IAM-Rollen-ARN erteilen, sind durch eine implizite Verweigerung in einer Berechtigungsgrenze oder einer Sitzungsrichtlinie beschränkt.  
**IAM-Rollensitzung** – Innerhalb desselben Kontos gewähren ressourcenbasierte Richtlinien, die einem IAM-Rollensitzungs-ARN Berechtigungen erteilen, auch direkt Berechtigungen für die angenommene Rollensitzung. Berechtigungen, die direkt für eine Sitzung gewährt werden, sind nicht durch eine implizite Verweigerung in einer identitätsbasierten Richtlinie, einer Berechtigungsgrenze oder einer Sitzungsrichtlinie beschränkt. Wenn Sie eine Rolle übernehmen und eine Anfrage stellen, ist der Prinzipal, der die Anfrage stellt, der ARN der IAM-Rollensitzung und nicht der ARN der Rolle selbst.

*Ressourcenbasierte Richtlinien für föderierte Benutzerprinzipalsitzungen AWS STS *  
**AWS STS föderierte Benutzerprinzipalsitzungen** — Eine AWS STS föderierte Benutzerprinzipalsitzung ist eine Sitzung, die durch einen Aufruf erstellt wird. [`GetFederationToken`](id_credentials_temp_request.md#api_getfederationtoken) Wenn ein Verbundbenutzer eine Anfrage stellt, ist der Prinzipal, der die Anfrage stellt, der ARN des Verbundbenutzers und nicht der ARN des IAM-Benutzers, der den Verbund erstellt hat. Innerhalb desselben Kontos erteilen ressourcenbasierte Richtlinien, die einem Verbundbenutzer-ARN Berechtigungen gewähren, der Sitzung direkt Berechtigungen. Berechtigungen, die direkt für eine Sitzung gewährt werden, sind nicht durch eine implizite Verweigerung in einer identitätsbasierten Richtlinie, einer Berechtigungsgrenze oder einer Sitzungsrichtlinie beschränkt.  
Wenn jedoch eine ressourcenbasierte Richtlinie dem ARN des IAM-Benutzers, der den Verbund erstellt hat, Zugriff gewährt, werden Anfragen, die vom AWS STS Verbundbenutzerprinzipal während der Sitzung gestellt werden, durch eine implizite Verweigerung in einer Berechtigungsgrenze oder Sitzungsrichtlinie eingeschränkt.

**AWS Organizations SCPs**— SCPs werden auf ein Ganzes angewendet. AWS-Konto Sie schränken die Berechtigungen für jede Anforderung ein, die von einem Auftraggeber innerhalb des Kontos gesendet wurden. eine IAM-Entität (Benutzer oder Rolle) kann eine Anforderung stellen, die durch eine SCP, eine Berechtigungsgrenze und eine identitätsbasierte Richtlinie beeinflusst wird. In diesem Fall wird die Anforderung nur gewährt, wenn alle drei Richtlinientypen sie zulassen. Die effektiven Berechtigungen ergeben sich aus der Überschneidung der drei Richtlinientypen. Eine explizite Zugriffsverweigerung in einer dieser Richtlinien setzt eine Zugriffserlaubnis außer Kraft.

![\[Auswertung einer SCP, Berechtigungsgrenze und identitätsbasierten Richtlinie\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/EffectivePermissions-scp-boundary-id.png)


Sie können erfahren [ob Ihr Konto als Mitgliedskonto einer Organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_details.html#orgs_view_account) in AWS Organizations eingerichtet ist. Eine SCP hat möglicherweise Auswirkungen auf Mitglieder einer Organisation. Um diese Daten mithilfe des AWS CLI Befehls oder der AWS API-Operation anzeigen zu können, müssen Sie über Berechtigungen für die `organizations:DescribeOrganization` Aktion für Ihre AWS Organizations Entität verfügen. Sie benötigen zusätzliche Berechtigungen, um den Vorgang in der AWS Organizations Konsole ausführen zu können. Um zu erfahren, ob ein SCP den Zugriff auf eine bestimmte Anfrage verweigert, oder um Ihre aktuellen Berechtigungen zu ändern, wenden Sie sich an Ihren AWS Organizations Administrator.

**Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die Sie als Parameter übergeben, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer programmgesteuert erstellen. Die Berechtigungen für eine Sitzung stammen aus der IAM-Entität (Benutzer oder Rolle), die verwendet wird, um die Sitzung zu erstellen, und von der Sitzungsrichtlinie. Die identitätsbasierten Richtlinienberechtigungen der Entität werden von der Sitzungsrichtlinie und der Berechtigungsgrenze eingeschränkt. Die effektiven Berechtigungen für diese Gruppe von Richtlinientypen ergeben sich aus der Überschneidung aller drei Richtlinientypen. Eine explizite Zugriffsverweigerung in einer dieser Richtlinien setzt eine Zugriffserlaubnis außer Kraft. Weitere Informationen zu Sitzungsrichtlinien finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session).

![\[Auswertung einer Sitzungsrichtlinie, einer Berechtigungsgrenze und einer identitätsbasierten Richtlinie\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/EffectivePermissions-session-boundary-id.png)


## Verantwortung mit Hilfe von Berechtigungsgrenzen an andere delegieren
<a name="access_policies_boundaries-delegate"></a>

Sie können Berechtigungsgrenzen verwenden, um Berechtigungsverwaltungsaufgaben, wie das Erstellen von Benutzern, an IAM-Benutzer in Ihrem Konto zu delegieren. Dies erlaubt es anderen, Aufgaben in Ihrem Namen innerhalb einer bestimmten Berechtigungsgrenze auszuführen.

Nehmen wir zum Beispiel an, dass María die Administratorin der X-Company ist. AWS-Konto Sie möchte die Aufgaben der Benutzererstellung an Zhang delegieren. Sie muss jedoch sicherstellen, dass Zhang Benutzer erstellt, die sich an die folgenden Unternehmensregeln halten:
+ Benutzer können IAM nicht verwenden, um Benutzer, Gruppen, Rollen oder Richtlinien zu erstellen oder zu verwalten.
+ Benutzer erhalten keinen Zugriff auf den Amazon S3 `logs`-Bucket und keinen Zugriff auf die `i-1234567890abcdef0` Amazon EC2-Instance.
+ Benutzer können ihre eigenen Begrenzungsrichtlinien nicht entfernen.

Um diese Regeln durchzusetzen, führt María die folgenden Aufgaben durch, die im Folgenden näher erläutert werden:

1. María erstellt die verwaltete Richtlinie `XCompanyBoundaries` als Berechtigungsgrenze für alle neuen Benutzer im Konto.

1. María erstellt die verwaltete Richtlinie `DelegatedUserBoundary` und weist sie als Berechtigungsgrenze für Zhang zu. Maria notiert den ARN ihres Administratorbenutzers und verwendet ihn in der Richtlinie, um zu verhindern, dass Zhang darauf zugreifen kann.

1. María erstellt die verwaltete Richtlinie `DelegatedUserPermissions` und fügt sie als Berechtigungsrichtlinie für Zhang hinzu.

1. María informiert Zhang über seine neuen Aufgaben und Grenzen.

**Aufgabe 1:** María muss zuerst eine verwaltete Richtlinie erstellen, um die Grenzen für die neuen Benutzer festzulegen. María wird es Zhang erlauben, den Benutzern die erforderlichen Rechte zu geben, aber sie möchte, dass diese Benutzer eingeschränkt werden. Zu diesem Zweck erstellt sie die folgende kundenverwaltete Richtlinie mit dem Namen `XCompanyBoundaries`. Diese Richtlinie gewährt die folgenden Aktionen:
+ Ermöglicht den Benutzern den vollständigen Zugriff auf mehrere Services
+ Ermöglicht eingeschränkten selbstverwaltenden Zugriff in der IAM-Konsole. Das bedeutet, dass sie ihr Passwort ändern können, nachdem sie sich bei der Konsole angemeldet haben. Sie können ihr anfängliches Passwort nicht festlegen. Um dies zu ermöglichen, fügen Sie die Aktion `"*LoginProfile"` zur Anweisung `AllowManageOwnPasswordAndAccessKeys` hinzu.
+ Verweigert Benutzern den Zugriff auf den Amazon S3 Protokoll-Bucket oder die `i-1234567890abcdef0`-Amazon EC2-Instance

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ServiceBoundaries",
            "Effect": "Allow",
            "Action": [
                "s3:*",
                "cloudwatch:*",
                "ec2:*",
                "dynamodb:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowIAMConsoleForCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers",
                "iam:GetAccountPasswordPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowManageOwnPasswordAndAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:*AccessKey*",
                "iam:ChangePassword",
                "iam:GetUser",
                "iam:*ServiceSpecificCredential*",
                "iam:*SigningCertificate*"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "DenyS3Logs",
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::logs",
                "arn:aws:s3:::logs/*"
            ]
        },
        {
            "Sid": "DenyEC2Production",
            "Effect": "Deny",
            "Action": "ec2:*",
            "Resource": "arn:aws:ec2:*:*:instance/i-1234567890abcdef0"
        }
    ]
}
```

------

Jede Anweisung dient einem anderen Zweck:

1. Die `ServiceBoundaries` Erklärung dieser Richtlinie ermöglicht den vollen Zugriff auf die angegebenen AWS Dienste. Dies bedeutet, dass die Aktionen eines neuen Benutzers in diesen Services nur laut der Berechtigungsrichtlinien begrenzt sind, die dem Benutzer zugeordnet sind.

1. Die `AllowIAMConsoleForCredentials`-Anweisung erlaubt den Zugriff für das Auflisten aller IAM-Benutzer. Dieser Zugriff ist erforderlich, um auf der Seite **Users (Benutzer)** in der AWS-Managementkonsole navigieren zu können. Außerdem können die Passwortanforderungen für das Konto angezeigt werden, was erforderlich ist, wenn Sie Ihr eigenes Passwort ändern.

1. Mit der `AllowManageOwnPasswordAndAccessKeys`-Anweisung können Benutzer nur ihr eigenes Konsolen-Passwort und programmatische Zugriffsschlüssel verwalten. Dies ist wichtig, wenn Zhang oder ein anderer Administrator einem neuen Benutzer eine Berechtigungsrichtlinie mit vollem IAM-Zugriff zuweist. In diesem Fall könnte der Benutzer seine eigenen Berechtigungen oder die anderer Benutzer ändern. Diese Anweisung verhindert, dass dies passiert.

1. Die Anweisung `DenyS3Logs` verweigert explizit den Zugriff auf den `logs`-Bucket.

1. Die Anweisung `DenyEC2Production` verweigert explizit den Zugriff auf die `i-1234567890abcdef0`-Instance.

**Aufgabe 2:** María möchte Zhang erlauben, alle Benutzer für die X-Company Benutzer zu erstellen, aber nur mit der Berechtigungsgrenze `XCompanyBoundaries`. Sie erstellt die folgende kundenverwaltete Richtlinie mit dem Namen `DelegatedUserBoundary`. Diese Richtlinie definiert die maximale Berechtigungen, die Zhang haben kann.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateOrChangeOnlyWithBoundary",
            "Effect": "Allow",
            "Action": [
                "iam:AttachUserPolicy",
                "iam:CreateUser",
                "iam:DeleteUserPolicy",
                "iam:DetachUserPolicy",
                "iam:PutUserPermissionsBoundary",
                "iam:PutUserPolicy"
            ],
            "Resource": "*",
            "Condition": {
               "StringEquals": {
                 "iam:PermissionsBoundary": "arn:aws:iam::123456789012:policy/XCompanyBoundaries"
                }
            }
        },
        {
            "Sid": "CloudWatchAndOtherIAMTasks",
            "Effect": "Allow",
            "Action": [
              "cloudwatch:*",
              "iam:CreateAccessKey",
              "iam:CreateGroup",
              "iam:CreateLoginProfile",
              "iam:CreatePolicy",
              "iam:DeleteGroup",
              "iam:DeletePolicy",
              "iam:DeletePolicyVersion",
              "iam:DeleteUser",
              "iam:GetAccountPasswordPolicy",
              "iam:GetGroup",
              "iam:GetLoginProfile",
              "iam:GetPolicy",
              "iam:GetPolicyVersion",
              "iam:GetRolePolicy",
              "iam:GetUser",
              "iam:GetUserPolicy",
              "iam:ListAccessKeys",
              "iam:ListAttachedRolePolicies",
              "iam:ListAttachedUserPolicies",
              "iam:ListEntitiesForPolicy",
              "iam:ListGroups",
              "iam:ListGroupsForUser",
              "iam:ListMFADevices",
              "iam:ListPolicies",
              "iam:ListPolicyVersions",
              "iam:ListRolePolicies",
              "iam:ListSSHPublicKeys",
              "iam:ListServiceSpecificCredentials",
              "iam:ListSigningCertificates",
              "iam:ListUserPolicies",
              "iam:ListUsers",
              "iam:SetDefaultPolicyVersion",
              "iam:SimulateCustomPolicy",
              "iam:SimulatePrincipalPolicy",
              "iam:UpdateGroup",
              "iam:UpdateLoginProfile",
              "iam:UpdateUser"
            ],
            "NotResource": "arn:aws:iam::123456789012:user/Maria"
        },
        {
            "Sid": "NoBoundaryPolicyEdit",
            "Effect": "Deny",
            "Action": [
                "iam:CreatePolicyVersion",
                "iam:DeletePolicy",
                "iam:DeletePolicyVersion",
                "iam:SetDefaultPolicyVersion"
            ],
            "Resource": [
                "arn:aws:iam::123456789012:policy/XCompanyBoundaries",
                "arn:aws:iam::123456789012:policy/DelegatedUserBoundary"
            ]
        },
        {
            "Sid": "NoBoundaryUserDelete",
            "Effect": "Deny",
            "Action": "iam:DeleteUserPermissionsBoundary",
            "Resource": "*"
        }
    ]
}
```

------

Jede Anweisung dient einem anderen Zweck:

1. Die Anweisung `CreateOrChangeOnlyWithBoundary` erlaubt es Zhang, IAM-Benutzer zu erstellen, aber nur, wenn er die Richtlinie `XCompanyBoundaries` verwendet, um die Berechtigungsgrenze festzulegen. Diese Anweisung erlaubt es ihm auch, die Berechtigungsgrenze für bestehende Benutzer festzulegen, jedoch nur mit der gleichen Richtlinie. Diese Anweisung schließlich erlaubt Zhang, Berechtigungsrichtlinien für Benutzer mit dieser Berechtigungsgrenze zu verwalten.

1. Die Anweisung `CloudWatchAndOtherIAMTasks` ermöglicht es Zhang, andere Aufgaben der Benutzer-, Gruppen- und Richtlinienverwaltung auszuführen. Dieser verfügt über Berechtigungen zum Zurücksetzen von Passwörtern und Erstellen von Zugriffsschlüsseln für alle IAM-Benutzer, die nicht im `NotResource`-Richtlinienelement aufgeführt sind. Dadurch kann er Benutzern bei Anmeldeproblemen helfen.

1. Die Anweisung `NoBoundaryPolicyEdit` verweigert Zhang Zugriff, um die Richtlinie `XCompanyBoundaries` zu aktualisieren. Er darf keine Richtlinien ändern, die dazu dienen, die Berechtigungsgrenze für sich selbst oder andere Benutzer festzulegen.

1. Die `NoBoundaryUserDelete`-Anweisung verweigert Zhang den Zugriff zum Löschen der Berechtigungsgrenze für ihn oder andere Benutzer.

María weist anschließend die`DelegatedUserBoundary` Richtlinie [als Berechtigungsgrenze ](id_users_change-permissions.md#users_change_permissions-set-boundary-console) für den Benutzer `Zhang` zu. 

**Aufgabe 3:** Da die Berechtigungsgrenze die maximalen Berechtigungen begrenzt, aber selbst keinen Zugriff gewährt, muss Maria eine Berechtigungsrichtlinie für Zhang erstellen. Sie erstellt die folgende Richtlinie mit dem Namen `DelegatedUserPermissions`. Diese Richtlinie definiert die Operationen, die Zhang innerhalb der definierten Grenzen ausführen kann.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "IAM",
            "Effect": "Allow",
            "Action": "iam:*",
            "Resource": "*"
        },
        {
            "Sid": "CloudWatchLimited",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetDashboard",
                "cloudwatch:GetMetricData",
                "cloudwatch:ListDashboards",
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics"
            ],
            "Resource": "*"
        },
        {
            "Sid": "S3BucketContents",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::ZhangBucket"
        }
    ]
}
```

------

Jede Anweisung dient einem anderen Zweck:

1. Die `IAM`-Anweisung der Richtlinie gewährt Zhang den vollständigen Zugriff auf IAM. Da seine Berechtigungsgrenze jedoch nur einige IAM-Operationen zulässt, sind seine effektiven IAM-Berechtigungen nur durch seine Berechtigungsgrenze begrenzt.

1. Die `CloudWatchLimited` Aussage ermöglicht es Zhang, fünf Aktionen auszuführen. CloudWatch Seine Rechtegrenze lässt alle Aktionen zu CloudWatch, sodass seine effektiven CloudWatch Berechtigungen nur durch seine Berechtigungsrichtlinie eingeschränkt werden.

1. Mit der `S3BucketContents`-Anweisung kann Zhang den Amazon S3-Bucket `ZhangBucket` auflisten. Allerdings erlaubt seine Berechtigungsgrenze keine Amazon S3-Aktion, so kann er keine S3-Operationen durchführen, unabhängig von seiner Berechtigungsrichtlinie.
**Anmerkung**  
Zhangs Richtlinien ermöglichen es ihm, einen Benutzer zu erstellen, der dann auf Amazon S3-Ressourcen zugreifen kann, auf die er nicht zugreifen kann. Durch die Delegation dieser administrativen Maßnahmen vertraut Maria effektiv Zhang mit dem Zugriff auf Amazon S3. 

María weist anschließend die `DelegatedUserPermissions`-Richtlinie als Berechtigungsrichtlinie für den Benutzer `Zhang` zu. 

**Aufgabe 4:** Sie gibt Zhang Anweisungen, einen neuen Benutzer zu erstellen. Sie sagt ihm, dass er neue Benutzer mit allen erforderlichen Berechtigungen anlegen kann, aber er muss ihnen die Richtlinie `XCompanyBoundaries` als Berechtigungsgrenze zuweisen.

Zhang führt die folgenden Aufgaben aus:

1. Zhang erstellt einen Benutzer mit dem AWS-Managementkonsole. Er gibt den Benutzernamen `Nikhil` ein und aktiviert den Konsolenzugriff für den Benutzer. Er deaktiviert das Kontrollkästchen neben **Passwortrücksetzung erforderlich**, da die oben genannten Richtlinien Benutzern erst dann erlauben, ihr Passwort zu ändern, nachdem sich bei der IAM-Konsole angemeldet haben.

1. Auf der Seite **„Berechtigungen festlegen**“ wählt Zhang die **IAMFullAccess** - und **ReadOnlyAccessAmazonS3-Berechtigungsrichtlinien** aus, die es Nikhil ermöglichen, seine Arbeit zu erledigen. 

1. Zhang überspringt den Abschnitt **Set permissions boundary (Berechtigungsgrenze festlegen)** und vergisst die Anweisungen von María.

1. Zhang überarbeitet die Benutzerdetails und wählt **Create user (Benutzer erstellen)**.

   Die Operation schlägt fehl und der Zugriff wird verweigert. Die Berechtigungsgrenze `DelegatedUserBoundary` von Zhang fordert, dass alle Benutzer, die er erstellt, die Richtlinie `XCompanyBoundaries` als Berechtigungsgrenze verwenden.

1. Zhang kehrt zurück auf die vorherige Seite. Im Abschnitt **Set permissions boundary (Berechtigungsgrenze festlegen)** wählt er die Richtlinie `XCompanyBoundaries`. 

1. Zhang überarbeitet die Benutzerdetails und wählt **Create user (Benutzer erstellen)**.

   Der Benutzer wird erstellt. 

Wenn Nikhil sich anmeldet, hat er Zugriff auf IAM und Amazon S3, mit Ausnahme der Operationen, die laut der Berechtigungsgrenze verweigert werden. Zum Beispiel kann er sein eigenes Passwort in IAM ändern, aber keinen anderen Benutzer anlegen oder seine Richtlinien bearbeiten. Nikhil hat schreibgeschützten Zugriff auf Amazon S3.

Wenn jemand dem `logs`-Bucket eine ressourcenbasierte Richtlinie zuordnet, die Nikhil das Hinzufügen eines Objekts in den Bucket gewährt, dann kann immer noch nicht auf den Bucket zuzugreifen. Der Grund ist, dass alle Aktionen im `logs`-Bucket durch seine Berechtigungsgrenze explizit verweigert werden. Eine explizite Zugriffsverweigerung in jedem Richtlinientyp führt dazu, dass eine Anforderung verweigert wird. Wenn jedoch eine ressourcenbasierte Richtlinie, die mit einem Secrets Manager-Geheimnis verknüpft ist, Nikhil erlaubt, die `secretsmanager:GetSecretValue`-Aktion durchzuführen, kann Nikhil das Geheimnis abrufen und entschlüsseln. Der Grund dafür ist, dass Secrets Manager-Operationen von seiner Berechtigungsgrenze nicht explizit verweigert werden, und impliziete Zugriffsverweigerungen in Berechtigungsgrenzen beschränken keine ressourcenbasierte Richtlinien.

# Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien
<a name="access_policies_identity-vs-resource"></a>

Eine Richtlinie ist ein Objekt, AWS das, wenn es einer Identität oder Ressource zugeordnet ist, deren Berechtigungen definiert. Wenn Sie eine Berechtigungsrichtlinie erstellen, um den Zugriff auf eine Ressource einzuschränken, können Sie zwischen einer *identitätsbasierten Richtlinie* und einer *ressourcenbasierten Richtlinie* wählen.

**Identitätsbasierte Richtlinien** werden an IAM-Benutzer, -Gruppen oder -Rollen angefügt. Mit diesen Richtlinien können Sie festlegen, welche Aktionen diese Identität durchführen darf (ihre Berechtigungen). Sie können die Richtlinie beispielsweise dem IAM-Benutzer John zuordnen und ihm erlauben, die Aktion Amazon EC2 `RunInstances` auszuführen. Die Richtlinie könnte weiterhin besagen, dass John Elemente aus einer Amazon DynamoDB-Tabelle mit dem Namen `MyCompany` abrufen darf. Sie können auch zulassen, dass John seine eigenen IAM-Sicherheitsanmeldeinformationen verwaltet. Identitätsbasierte Richtlinien können [verwaltet oder eingebunden](access_policies_managed-vs-inline.md) sein.

**Ressourcenbasierten Richtlinien** sind an eine Ressource angefügt. Sie können beispielsweise ressourcenbasierte Richtlinien an Amazon-S3-Buckets, Amazon-SQS-Warteschlangen, VPC-Endpunkte, AWS Key Management Service -Verschlüsselungsschlüssel sowie Amazon-DynamoDB-Tabellen und -Streams anfügen. Eine Liste der Services, die ressourcenbasierte Richtlinien unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](reference_aws-services-that-work-with-iam.md).

Mit ressourcenbasierten Richtlinien können Sie festlegen, wer Zugriff auf die Ressource hat und welche Aktionen ausgeführt werden können. Informationen darüber, ob Auftraggeber in Konten außerhalb Ihrer Vertrauenszone (vertrauenswürdige Organisation oder Konto) Zugriff zur Annahme Ihrer Rollen haben, finden Sie unter [Was ist IAM Access Analyzer?](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html). Ressourcenbasierten Richtlinien sind nur eingebundene Richtlinien, keine verwalteten Richtlinien.

**Anmerkung**  
*Ressourcenbasierte* Richtlinien unterscheiden sich von Berechtigungen auf *Ressourcenebene*. Sie können ressourcenbasierte Richtlinien direkt an eine Ressource anfügen, wie in diesem Thema beschrieben. Berechtigungen auf Ressourcenebene beziehen sich auf die Möglichkeit, einzelne Ressourcen in einer Richtlinie [ARNs](reference_identifiers.md#identifiers-arns)zu spezifizieren. Ressourcenbasierte Richtlinien werden nur von einigen Diensten unterstützt. AWS Eine Liste der Services, die ressourcenbasierte Richtlinien und Berechtigungen auf Ressourcenebene unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](reference_aws-services-that-work-with-iam.md).

Wie identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien innerhalb desselben Kontos zusammenwirken, erfahren Sie unter [Richtlinienauswertung für Anfragen innerhalb eines einzelnen Kontos](reference_policies_evaluation-logic_policy-eval-basics.md).

Wie die Richtlinien kontenübergreifend zusammenwirken, erfahren Sie unter [Logik für die kontoübergreifende Richtlinienauswertung](reference_policies_evaluation-logic-cross-account.md).

Um ein besseres Verständnis dieser Konzepte zu erhalten, betrachten Sie die folgende Abbildung. Der Administrator des Kontos `123456789012` hat *identitätsbasierten Richtlinien* an die Benutzer `John`, `Carlos` und `Mary` angefügt. Einige der Aktionen in diesen Richtlinien können für bestimmte Ressourcen ausgeführt werden. Der Benutzer `John` kann beispielsweise einige Aktionen für `Resource X` ausführen. Dies ist eine *Berechtigung auf Ressourcenebene* in einer identitätsbasierten Richtlinie. Der Administrator hat außerdem *ressourcenbasierte Richtlinien* zu `Resource X`, `Resource Y` und `Resource Z` hinzugefügt. Mithilfe von ressourcenbasierten Richtlinien können Sie festlegen, wer auf diese Ressource zugreifen kann. Die ressourcenbasierte Richtlinie für `Resource X` gewährt beispielsweise den Benutzern `John` und `Mary` Lese- und Schreibzugriff auf die Ressource.

![\[Unterschiede zwischen identitätsbasierten und ressourcenbasierten Richtlinien\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/Types_of_Permissions.diagram.png)


Das Kontobeispiel `123456789012` erlaubt den folgenden Benutzern, die aufgeführten Aktionen durchzuführen:
+ **John** – John kann Auflistungs- und Leseaktionen für `Resource X` durchführen. Er erhält diese Berechtigung über die identitätsbasierte Richtlinie seines Benutzers sowie die ressourcenbasierte Richtlinien von `Resource X`.
+ **Carlos** – Carlos kann Auflistungs-, Lese- und Schreibaktionen für `Resource Y` ausführen, nicht jedoch auf `Resource Z` zugreifen. Die identitätsbasierte Richtlinie von Carlos ermöglicht ihm, Auflistungs- und Leseaktionen für `Resource Y` auszuführen. Die ressourcenbasierte Richtlinie von `Resource Y` gewährt ihm Schreibberechtigungen. Aber obwohl er über seine identitätsbasierte Richtlinie Zugriff auf `Resource Z` erhält, wird ihm dieser Zugriff von der ressourcenbasierten Richtlinie `Resource Z` verweigert. Eine explizite Zugriffsverweigerung `Deny` hat Vorrang vor einer Zugriffserlaubnis `Allow` und sein Zugriff auf `Resource Z` wird verweigert. Weitere Informationen finden Sie unter [Auswertungslogik für Richtlinien](reference_policies_evaluation-logic.md). 
+ **Mary** – Mary kann Auflistungs-, Lese- und Schreibvorgänge für `Resource X`, `Resource Y` und `Resource Z` ausführen. Ihre identitätsbasierte Richtlinie gewährt ihr weitere Aktionen für weitere Ressourcen als die ressourcenbasierten Richtlinien, aber keine davon enthält eine Zugriffsverweigerung.
+ **Zhang** – Zhang hat Vollzugriff auf `Resource Z`. Zhang verfügt über keine identitätsbasierten Richtlinien, erhält jedoch über die ressourcenbasierte Richtlinie von `Resource Z` Vollzugriff auf die Ressource. Zhang kann auch Auflistungs- und Leseaktionen für `Resource Y` ausführen.

Sowohl identitätsbasierte als auch ressourcenbasierte Richtlinien sind Berechtigungsrichtlinien, die gemeinsam ausgewertet werden. Bei einer Anfrage, für die nur Berechtigungsrichtlinien gelten, werden AWS zunächst alle Richtlinien auf eine überprüft. `Deny` Ist eine Zugriffsverweigerung vorhanden, wird die Anfrage abgelehnt. Danach sucht AWS nach jedem `Allow`. Wenn die Aktion in der Anforderung von mindestens einer Richtlinienanweisung gewährt wird, wird die Anforderung gewährt. Dabei spielt es keine Rolle, ob `Allow` in der identitätsbasierten oder der ressourcenbasierten Richtlinie vorhanden ist.

**Wichtig**  
Diese Logik gilt nur, wenn die Anforderung von einem einzelnen AWS-Konto gesendet wird. Bei Anfragen, die von einem Konto an ein anderes gesendet werden, muss der Anforderer in `Account A` über eine identitätsbasierte Richtlinie verfügen, die es ihm ermöglicht, Anforderungen an die Ressource in `Account B` zu senden. Darüber hinaus muss die ressourcenbasierte Richtlinie in `Account B` dem Anforderer in `Account A` Zugriff auf die Ressource gewähren. In beiden Konten müssen Richtlinien vorhanden sein, die die Operation. Andernfalls schlägt die Anforderung fehl. Weitere Informationen zur Verwendung von ressourcenbasierten Richtlinien für kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Zugriff auf Ressourcen in IAM](access_policies-cross-account-resource-access.md).

Ein Benutzer mit speziellen Berechtigungen kann eine Ressource anfordern, an die ebenfalls eine Berechtigungsrichtlinie angefügt ist. In diesem Fall werden bei der Entscheidung, ob Zugriff auf die Ressource gewährt werden soll, beide AWS Berechtigungssätze ausgewertet. Weitere Informationen über das Auswerten von Richtlinien finden Sie unter [Auswertungslogik für Richtlinien](reference_policies_evaluation-logic.md). 

**Anmerkung**  
Amazon S3 unterstützt identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien (als *Bucket-Richtlinien* bezeichnet). Darüber hinaus unterstützt Amazon S3 einen Berechtigungsmechanismus, der auch als *Access Control List (ACL)* bezeichnet wird, der von IAM-Richtlinien und -Berechtigungen unabhängig ist. Sie können IAM-Richtlinien in Kombination mit Amazon S3 ACLs verwenden. Weitere Informationen finden Sie unter [Access Control](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingAuthAccess.html) im *Benutzerhandbuch für Amazon Simple Storage Service*. 

# Steuern Sie den Zugriff auf AWS Ressourcen mithilfe von Richtlinien
<a name="access_controlling"></a>

Sie können eine Richtlinie verwenden, um den Zugriff auf Ressourcen innerhalb von IAM oder allen von AWS zu kontrollieren.

Um eine [Richtlinie](access_policies.md) zur Zugriffskontrolle verwenden zu können AWS, müssen Sie wissen, wie der Zugriff AWS gewährt wird. AWS besteht aus Sammlungen von *Ressourcen*. Ein IAM-Benutzer ist eine Ressource. Ein Amazon S3-Bucket ist eine Ressource. Wenn Sie die AWS API, die oder die verwenden AWS CLI, AWS-Managementkonsole um einen Vorgang auszuführen (z. B. einen Benutzer zu erstellen), senden Sie eine *Anfrage* für diesen Vorgang. Ihre Anfrage gibt eine Aktion, eine Ressource, eine *Prinzipal-Entität* (Gruppe oder Rolle) und ein *Prinzipalkonto* an und enthält alle erforderlichen Anfrageinformationen. Diese Informationen stellen den *Kontext* bereit.

AWS überprüft dann, ob Sie (der Principal) authentifiziert (angemeldet) und autorisiert (berechtigt) sind, die angegebene Aktion auf der angegebenen Ressource auszuführen. AWS Überprüft während der Autorisierung alle Richtlinien, die für den Kontext Ihrer Anfrage gelten. Die meisten Richtlinien werden AWS als [JSON-Dokumente](access_policies.md#access_policies-json) gespeichert und spezifizieren die Berechtigungen für Hauptentitäten. Weitere Informationen zu diesen Richtlinienarten und ihrer Verwendung finden Sie unter [Richtlinien und Berechtigungen in AWS Identity and Access Management](access_policies.md).

AWS autorisiert die Anfrage nur, wenn jeder Teil Ihrer Anfrage gemäß den Richtlinien zulässig ist. Eine Abbildung dieses Prozesses finden Sie unter [Funktionsweise von IAM](intro-structure.md). Einzelheiten dazu, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, finden Sie unter[Auswertungslogik für Richtlinien](reference_policies_evaluation-logic.md). 

Wenn Sie eine IAM-Richtlinie erstellen, können Sie den Zugriff auf Folgendes steuern:
+ **[Prinzipal](#access_controlling-principals)** – Legen Sie fest, welche Aktionen die Person, die die Anfrage stellt (der [Prinzipal](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#principal)), durchführen darf. 
+ **[IAM-Identitäten](#access_controlling-identities)** – Steuern Sie, auf welche IAM-Identitäten (IAM-Gruppen, -Benutzer und -Rollen) zugegriffen werden kann und wie.
+ **[IAM-Richtlinien](#access_controlling-policies)** – Legen Sie fest, wer vom Benutzer verwaltete Richtlinien erstellen, bearbeiten und löschen und wer verwaltete Richtlinien anfügen und entfernen kann.
+ **[AWS -Ressourcen](#access_controlling-resources)** – Legen sie fest, wer über eine identitätsbasierte oder ressourcenbasierte Richtlinie Zugriff auf Ressourcen hat.
+ **[AWS -Konten](#access_controlling-principal-accounts)** – Legen Sie fest, ob eine Anfrage nur für Mitglieder eines bestimmten Kontos zulässig ist.

Mithilfe von Richtlinien können Sie festlegen, wer Zugriff auf AWS Ressourcen hat und welche Aktionen sie mit diesen Ressourcen ausführen können. Jeder IAM-Benutzer beginnt ohne Berechtigungen. Mit anderen Worten: Benutzer können standardmäßig nichts tun, nicht einmal ihre eigenen Zugriffsschlüssel anzeigen. Um einem Benutzer eine Berechtigung für eine Aktion zu erteilen, können Sie diese zum Benutzer hinzufügen (Sie ordnen dem Benutzer eine Richtlinie zu). Alternativ können Sie den Benutzer einer Gruppe hinzufügen, der die gewünschte Berechtigung bereits zugewiesen wurde.

Sie können beispielsweise einem Benutzer die Berechtigung gewähren, die eigenen Zugriffsschlüssel aufzulisten. Sie können diese Berechtigung auch erweitern, sodass jeder Benutzer die eigenen Schlüssel auch erstellen, aktualisieren und löschen kann. 

Wenn Sie einer Gruppe Berechtigungen geben, erhalten alle Benutzer in dieser Gruppe diese Berechtigungen. Beispielsweise können Sie der Benutzergruppe „Administratoren“ die Berechtigung erteilen, alle IAM-Aktionen auf allen AWS-Konto Ressourcen durchzuführen. Ein weiteres Beispiel: Sie können der Gruppe Managers die Berechtigung zum Beschreiben der Amazon-EC2-Instances des AWS-Konto geben.

Informationen zum Delegieren grundlegender Berechtigungen an Ihre Benutzer, IAM-Gruppen und Rollen finden Sie unter [Erforderliche Berechtigungen für den Zugriff auf IAM-Ressourcen](access_permissions-required.md). Weitere Beispiele für Richtlinien, die grundlegende Berechtigungen veranschaulichen, finden Sie unter [Beispielrichtlinien für die Verwaltung von IAM-Ressourcen](id_credentials_delegate-permissions_examples.md).

## Zugriffssteuerung für Prinzipale
<a name="access_controlling-principals"></a>

Sie können mit Richtlinien steuern, welche Aktionen die Person (der Prinzipal), von der die Anfrage stammt, ausführen darf. Dazu müssen Sie eine identitätsbasierte Richtlinie an die Identität dieser Person (Benutzer, Gruppe von Benutzern oder Rolle) anfügen. Sie können außerdem eine [Berechtigungsgrenze](access_policies_boundaries.md) zum Festlegen der maximalen Berechtigungen, die eine Entität (Benutzer oder Rolle) haben kann, verwenden.

Nehmen Sie beispielsweise an, dass der Benutzer Zhang Wei vollen Zugriff auf Amazon DynamoDB CloudWatch, Amazon EC2 und Amazon S3 haben soll. In diesem Fall erstellen Sie zwei verschiedene Richtlinien, die Sie später aufbrechen können, wenn Sie einen Berechtigungssatz für einen anderen Benutzer benötigen. Alternativ können Sie beide Berechtigungen in einer einzigen Richtlinie vereinen und diese Richtlinie anschließend dem IAM-Benutzer namens Zhang Wei zuweisen. Sie können auch eine Richtlinie zu einer Gruppe zuweisen, der Zhang angehört, oder einer Rolle zuordnen, die Zhang annehmen kann. Wenn Zhang dann die Inhalte eines S3-Buckets anzeigt, werden die Anfragen zugelassen. Wenn der Benutzer versucht, einen neuen IAM-Bucket zu erstellen, wird die Anfrage aufgrund fehlender Berechtigung abgelehnt. 

Sie können eine Berechtigungsgrenze für Zhang verwenden, um sicherzustellen, dass er nie Zugriff auf den S3-Bucket `amzn-s3-demo-bucket1` erhält. Dazu bestimmen Sie die *maximalen* Berechtigungen, die Zhang erhalten soll. In diesem Fall steuern Sie, was er unter Verwendung seiner Berechtigungsrichtlinien machen kann. Hier kümmert es Sie nur, dass er nicht auf den vertraulichen Bucket zugreift. Sie verwenden also die folgende Richtlinie, um Zhangs Grenze so zu definieren, dass alle AWS Aktionen für Amazon S3 und einige andere Dienste zulässig sind, aber der Zugriff auf den `amzn-s3-demo-bucket1` S3-Bucket verweigert wird. Da die Berechtigungsgrenze keine IAM-Aktionen zulässt, verhindert sie, dass Zhang seine Grenze (oder die eines anderen Benutzers) löscht.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "PermissionsBoundarySomeServices",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:*",
                "dynamodb:*",
                "ec2:*",
                "s3:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsBoundaryNoConfidentialBucket",
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1",
                "arn:aws:s3:::amzn-s3-demo-bucket1/*"
            ]
        }
    ]
}
```

------

Wenn Sie eine solche Richtlinie als Berechtigungsgrenze für einen Benutzer zuweisen, denken Sie daran, dass sie keine Berechtigungen gewährt. Sie legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen über Berechtigungsgrenzen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](access_policies_boundaries.md).

Weitere Informationen zu den oben genannten Verfahren finden Sie in diesen Ressourcen:
+ Weitere Informationen zum Erstellen einer IAM-Richtlinie, die Sie zu einem Prinzipal zuordnen können, finden Sie unter [Benutzerdefinierte IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien definieren](access_policies_create.md).
+ Weitere Informationen zum Hinzufügen einer IAM-Richtlinie zu einem Prinzipal finden Sie unter [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](access_policies_manage-attach-detach.md).
+ Ein Beispielrichtlinie zum Gewähren eines Vollzugriffs auf EC2 finden Sie unter [Amazon EC2: Gewährt EC2-Vollzugriff innerhalb einer bestimmten Region programmatisch und in der Konsole](reference_policies_examples_ec2_region.md).
+ Zum Gewähren eines Lesezugriffs auf einen S3-Bucket verwenden Sie die ersten beiden Anweisungen der folgenden Beispielrichtlinie: [Amazon S3: Gewährt Lese- und Schreibzugriff auf Objekte in einem S3-Bucket programmgesteuert und in der Konsole](reference_policies_examples_s3_rw-bucket-console.md).
+ Eine Beispielrichtlinie, mit der Benutzer ihre Anmeldeinformationen wie ihr Konsolenkennwort, ihre programmgesteuerten Zugriffsschlüssel und ihre MFA-Geräte festlegen können, finden Sie unter [AWS: Ermöglicht es MFA-authentifizierten IAM-Benutzern, ihr eigenen Anmeldeinformationen auf der Seite Sicherheits-Anmeldeinformationen zu verwalten](reference_policies_examples_aws_my-sec-creds-self-manage.md).

## Steuern des Zugriffs auf Identitäten
<a name="access_controlling-identities"></a>

Sie können IAM-Richtlinien verwenden, um zu steuern, was Ihre Benutzer mit einer Identität machen können, indem Sie eine Richtlinie erstellen, die Sie über eine Gruppe allen Benutzern hinzufügen. Dazu erstellen Sie eine Richtlinie, aus denen die Aktionen hervorgehen, die für eine Identität durchgeführt werden dürfen, oder die festlegt, wer zugriffsberechtigt ist.

Sie können beispielsweise eine Benutzergruppe mit dem Namen **AllUsers**erstellen und diese Benutzergruppe dann allen Benutzern zuordnen. Beim Erstellen der Benutzergruppe können Sie allen Benutzern Zugriff darauf gewähren, ihre Anmeldeinformationen wie im vorherigen Abschnitt beschrieben festzulegen. Anschließend können Sie eine Richtlinie erstellen, die einen Zugriff zum Ändern der Gruppe verweigert, sofern der Benutzername nicht Bestandteil der Richtlinienbedingung ist. Aber dieser Teil der Richtlinie verweigert nur jenen Benutzern den Zugriff, die nicht aufgelistet sind. Sie müssen Berechtigungen einschließen, damit alle Gruppenmitglieder Gruppenverwaltungsaktionen durchführen können. Anschließend weisen Sie diese Richtlinie der Gruppe zu, sodass sie für alle Benutzer gilt. Wenn dann ein Benutzer, der nicht in der Richtlinie angegeben ist, versucht, die Gruppe zu ändern, wird die Anfrage abgelehnt. 

**So erstellen Sie diese Richtlinie mit dem visuellen Editor**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Wählen Sie im Navigationsbereich auf der linken Seite **Policies (Richtlinien)**. 

   Wenn Sie zum ersten Mal **Policies (Richtlinien)** auswählen, erscheint die Seite **Welcome to Managed Policies (Willkommen bei verwalteten Richtlinien)**. Wählen Sie **Get Started**.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie im Bereich **Policy editor** (Richtlinien-Editor) die Option **Visual** aus.

1. Wählen Sie unter **Select a service** (Einen Service auswählen) die Option **IAM** aus.

1. Geben Sie im Feld **Actions allowed** (Zulässige Aktionen) **group** in das Suchfeld ein. Der visuelle Editor zeigt alle IAM-Aktionen, die das Wort `group` enthalten. Aktivieren Sie alle Kontrollkästchen..

1. Wählen Sie **Resources (Ressourcen)** aus, um die Ressourcen für Ihre Richtlinie festzulegen. Basierend auf den ausgewählten Aktionen sollten Sie die Ressourcentypen **group** (Gruppe) und **user** (Benutzer) sehen.
   + **Gruppe** — Wählen Sie **Hinzufügen ARNs**. Wählen Sie für **Resource in** (Ressource in) die Option **Any account** (Beliebiges Konto) aus. Aktivieren Sie das Kontrollkästchen **Beliebiger Gruppenname mit Pfad** und geben Sie dann den Namen der Benutzergruppe **AllUsers** ein. Wählen Sie dann **Add (Hinzufügen) ARNs**.
   + **Benutzer** – Aktivieren Sie das Kontrollkästchen neben **Alle in diesem Konto**.

   Eine der Aktionen, die Sie ausgewählt haben, `ListGroups`, unterstützt die Verwendung spezifischer Ressourcen nicht. Sie müssen für diese Aktion nicht **All resources (Alle Ressourcen)** auswählen. Beim Speichern oder Anzeigen der Richtlinie im **JSON**-Editor sehen Sie, dass IAM automatisch einen neuen Berechtigungsblock erstellt, durch den diese Aktion für alle Ressourcen zugelassen wird.

1. Zum Hinzufügen eines weiteren Berechtigungsblocks wählen Sie **Add more permissions** (Weitere Berechtigungen hinzufügen) aus.

1. Wählen Sie **Select a service** (Einen Service auswählen) und dann **IAM** aus.

1. Wählen Sie **Actions allowed** (Zulässige Aktionen) und dann **Switch to deny permissions** (Zu verweigerten Berechtigungen wechseln) aus. Wenn Sie dies durchführen, wird der gesamte Block verwendet, um Berechtigungen zu verweigern.

1. Geben Sie in das Suchfeld **group** ein. Die visuelle Editor zeigt alle IAM-Aktionen an, die das Wort `group` enthalten. Aktivieren Sie die Kontrollkästchen neben den folgenden Aktionen:
   + **CreateGroup**
   + **DeleteGroup**
   + **RemoveUserFromGroup**
   + **AttachGroupPolicy**
   + **DeleteGroupPolicy**
   + **DetachGroupPolicy**
   + **PutGroupPolicy**
   + **UpdateGroup**

1. Wählen Sie **Resources (Ressourcen)** aus, um die Ressourcen für Ihre Richtlinie festzulegen. Basierend auf den Aktionen, die Sie ausgewählt haben, sollten Sie den Ressourcentyp **group (Gruppe)** sehen. Wählen Sie **Hinzufügen ARNs** aus. Wählen Sie für **Resource in** (Ressource in) die Option **Any account** (Beliebiges Konto) aus. Geben Sie für **any group Name With Path** (Jeder Gruppenname mit Pfad) den Gruppennamen **AllUsers** ein. Wählen Sie dann **Add (Hinzufügen) ARNs**.

1. Wählen Sie **Request conditions - *optional*** (Anforderungsbedingungen - optional) und anschließend **Add another condition** (Weitere Bedingung hinzufügen). Füllen Sie das Formular mit den folgenden Werten aus:
   + **Condition key** (Bedingungsschlüssel) – Wählen Sie **aws:username** aus.
   + **Qualifier (Qualifizierer)** – Wählen Sie **Default (Standard)**
   + **Betreiber** — Wählen **StringNotEquals**
   + **Value** (Wert) – Geben Sie **srodriguez** ein und wählen Sie dann **Add** (Hinzufügen) aus, um einen weiteren Wert hinzuzufügen. Geben Sie **mjackson** ein und wählen Sie dann **Add** (Hinzufügen) aus, um einen weiteren Wert hinzuzufügen. Geben Sie **adesai** ein und wählen Sie **Add condition** (Bedingung hinzufügen).

   Diese Bedingung stellt sicher, dass der Zugriff auf die angegebenen Gruppenverwaltungsaktionen verweigert wird, wenn der Benutzer, der den Aufruf durchführt, nicht in der Liste enthalten ist. Da dadurch die Berechtigung explizit verweigert wird, wird der vorherige Block überschrieben, der den Benutzern das Aufrufen der Aktionen gestattete. Benutzern auf der Liste wird der Zugriff nicht verweigert. Sie erhalten eine Berechtigung im ersten Block, sodass sie die Gruppe vollständig verwalten können.

1. Wählen Sie danach **Next** aus.
**Anmerkung**  
Sie können jederzeit zwischen den Editoroptionen **Visual** und **JSON** wechseln. Wenn Sie jedoch Änderungen vornehmen oder in der Editoroption **Visual** **Next** (Weiter) wählen, strukturiert IAM Ihre Richtlinie möglicherweise um, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter [Umstrukturierung einer Richtlinie](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Geben Sie auf der Seite **Review and create** (Überprüfen und erstellen) für **Policy Name** (Richtlinienname) **LimitAllUserGroupManagement** ein. Geben Sie für **Description (Beschreibung)** Folgendes ein: **Allows all users read-only access to a specific user group, and allows only specific users access to make changes to the user group**. Überprüfen Sie **Permissions defined in this policy** (In dieser Richtlinie definierte Berechtigungen), um sicherzustellen, dass Sie die beabsichtigten Berechtigungen erteilt haben. Wählen Sie dann **Create policy (Richtlinie erstellen)** aus, um Ihre neue Richtlinie zu speichern.

1. Fügen Sie die Richtlinie zu Ihrer Gruppe hinzu. Weitere Informationen finden Sie unter [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](access_policies_manage-attach-detach.md).

Alternativ können Sie dieselbe Richtlinie mit diesem Beispieldokument einer JSON-Richtlinie erstellen. So zeigen Sie diese JSON-Richtlinie finden Sie unter [: Ermöglicht spezifischen IAM-Benutzern das Verwalten einer Gruppe programmgesteuert und in der Konsole](reference_policies_examples_iam_users-manage-group.md). Detaillierte Anweisungen zum Erstellen einer Richtlinie mithilfe eines JSON-Dokuments finden Sie unter [Erstellen von Richtlinien mit dem JSON-Editor](access_policies_create-console.md#access_policies_create-json-editor).

## Steuern des Zugriffs auf Richtlinien
<a name="access_controlling-policies"></a>

Sie können steuern, wie Ihre Benutzer AWS verwaltete Richtlinien anwenden können. Zu diesem Zweck weisen Sie diese Richtlinie all Ihren Benutzern zu. Idealerweise können Sie dies durch die Verwendung einer Gruppe durchführen.

Sie können beispielsweise eine Richtlinie erstellen, die es Benutzern ermöglicht, einem neuen IAM-Benutzer, einer neuen Benutzergruppe oder Rolle nur die [PowerUserAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/PowerUserAccess) AWS verwalteten Richtlinien zuzuweisen. [IAMUserChangePassword](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/IAMUserChangePassword)

Für vom Kunden verwaltete Richtlinien können Sie steuern, wer diese Richtlinien erstellen, aktualisieren und löschen darf. Sie können steuern, wer Richtlinien an Prinzipal-Entitäten (IAM-Gruppen, Benutzer und Rollen) anfügen und von diesen trennen kann. Sie können auch steuern, welche Richtlinien ein Benutzer welchen Entitäten hinzufügen oder von diesen trennen kann.

So können Sie beispielsweise einem Kontoadministrator Berechtigungen zum Erstellen, Aktualisieren und Löschen von Richtlinien erteilen. Anschließend erteilen Sie einem Teamleiter oder einem anderen Administrator mit eingeschränkten Befugnissen die Berechtigungen, um diese Richtlinien den vom Administrator mit eingeschränkten Befugnissen verwalteten Prinzipal-Entitäten anzufügen und von diesen zu trennen.

Weitere Informationen finden in folgenden Ressourcen:
+ Weitere Informationen zum Erstellen einer IAM-Richtlinie, die Sie zu einem Prinzipal zuordnen können, finden Sie unter [Benutzerdefinierte IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien definieren](access_policies_create.md).
+ Weitere Informationen zum Hinzufügen einer IAM-Richtlinie zu einem Prinzipal finden Sie unter [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](access_policies_manage-attach-detach.md).
+ Ein Beispiel für eine Richtlinie, die die Verwendung verwalteter Richtlinien einschränkt, finden Sie unter [IAM: Beschränkt die verwalteten Richtlinien, die -Benutzern, -Gruppen oder -Rollen zugeordnet werden können](reference_policies_examples_iam_limit-managed.md).

### Kontrollieren der Berechtigungen zum Erstellen, Aktualisieren und Löschen von Berechtigungen für vom Kunden verwaltete Berechtigungen
<a name="policies-controlling-access-create-update-delete"></a>

Sie können mit [IAM-Richtlinien](access_policies.md) steuern, wer vom Kunden verwaltete Richtlinien in Ihrem AWS-Konto erstellen, aktualisieren und löschen darf. Die folgende Liste enthält API-Operationen, die speziell für das Erstellen, Aktualisieren und Löschen von Richtlinien oder Richtlinienversionen vorgesehen sind: 
+ [CreatePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicy.html)
+ [CreatePolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicyVersion.html)
+ [DeletePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeletePolicy.html)
+ [DeletePolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeletePolicyVersion.html)
+ [SetDefaultPolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SetDefaultPolicyVersion.html)

Die API-Operationen in der vorherigen Liste entsprechen Aktionen, die Sie zulassen oder verweigern können, das heißt, Berechtigungen, die Sie mit mithilfe einer IAM-Richtlinie erteilen können. 

Betrachten Sie die folgende Beispielrichtlinie. Sie erteilt einem Benutzer die Berechtigung zum Erstellen, Aktualisieren (d. h. zum Erstellen einer neuen Richtlinienversion), Löschen und Festlegen einer Standardversion für alle vom Kunden verwalteten Richtlinien im AWS-Konto. Die Beispielrichtlinie gestattet dem Benutzer auch das Auflisten und Abrufen von Richtlinien. Informationen zum Erstellen einer Richtlinie mit diesem Beispiel-JSON-Richtliniendokument finden Sie unter [Erstellen von Richtlinien mit dem JSON-Editor](access_policies_create-console.md#access_policies_create-json-editor).

**Example Beispielrichtlinie, die das Erstellen, Aktualisieren, Löschen, Auflisten, Abrufen und Einstellen der Standardversion für alle Richtlinien ermöglicht**    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "iam:CreatePolicy",
      "iam:CreatePolicyVersion",
      "iam:DeletePolicy",
      "iam:DeletePolicyVersion",
      "iam:GetPolicy",
      "iam:GetPolicyVersion",
      "iam:ListPolicies",
      "iam:ListPolicyVersions",
      "iam:SetDefaultPolicyVersion"
    ],
    "Resource": "*"
  }
}
```

Sie können Richtlinien erstellen, die die Verwendung dieser API-Operationen auf die von Ihnen angegebenen, verwalteten Richtlinien beschränken. Sie möchten beispielsweise einem Benutzer die Berechtigung zum Festlegen der Standardversion und Löschen von Richtlinienversionen ausschließlich für bestimmte, vom Kunden verwaltete Richtlinien erteilen. Geben Sie hierzu den ARN der Richtlinie im Element `Resource` der Richtlinie an, die diese Berechtigungen erteilt 

Das folgende Beispiel zeigt eine Richtlinie, mit der ein Benutzer Richtlinienversionen löschen und die Standardversion festlegen kann. Diese Aktionen sind jedoch nur für die vom Kunden verwalteten Richtlinien erlaubt, die den Pfad /TEAM-A/ enthalten. Der ARN der kundenverwalteten Richtlinie ist im Element `Resource` der Richtlinie angegeben. (In diesem Beispiel enthält der ARN einen Pfad und ein Platzhalterzeichen und stimmt so mit allen kundenverwalteten Richtlinien überein, die den Pfad /TEAM-A/ enthalten). Informationen zum Erstellen einer Richtlinie mit diesem Beispiel-JSON-Richtliniendokument finden Sie unter [Erstellen von Richtlinien mit dem JSON-Editor](access_policies_create-console.md#access_policies_create-json-editor).

Weitere Informationen zur Verwendung von Pfaden in den Namen der von Kunden verwalteten Richtlinien finden Sie unter [Anzeigenamen und -pfade](reference_identifiers.md#identifiers-friendly-names). 

**Example Beispielrichtlinie, die das Löschen von Richtlinienversionen und das Einstellen der Standardversion nur für bestimmte Richtlinien erlaubt**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:DeletePolicyVersion",
            "iam:SetDefaultPolicyVersion"
        ],
        "Resource": "arn:aws:iam::111122223333:policy/TEAM-A/*"
    }
}
```

### Steuern der Berechtigungen für das Anfügen und Trennen von verwalteten Richtlinien
<a name="policies-controlling-access-attach-detach"></a>

Sie können auch IAM-Richtlinien verwenden, damit Benutzer nur mit bestimmten verwalteten Richtlinien arbeiten können. Sie können sogar steuern, welche Berechtigungen ein Benutzer anderen Prinzipal-Entitäten erteilen kann. 

In der folgenden Liste werden API-Operationen aufgeführt, die sich speziell auf das Anfügen und Trennen von verwalteten Richtlinien an und von Prinzipal-Entitäten beziehen:
+  [AttachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachGroupPolicy.html)
+ [AttachRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachRolePolicy.html)
+ [AttachUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachUserPolicy.html)
+ [DetachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachGroupPolicy.html)
+ [DetachRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachRolePolicy.html)
+ [DetachUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html)

Sie können Richtlinien erstellen, die die Verwendung dieser API-Operationen so einschränken, dass sie sich nur auf die von Ihnen angegebenen and/or Prinzipalentitäten für bestimmte verwaltete Richtlinien auswirken. Sie möchten beispielsweise einem Benutzer die Berechtigung erteilen, ausschließlich die von Ihnen angegebenen, verwalteten Richtlinien anzufügen. Oder Sie möchten einem Benutzer die Berechtigung erteilen, die verwalteten Richtlinien ausschließlich den von Ihnen angegebenen Prinzipal-Entitäten anzufügen. 

Mit der folgenden Beispielrichtlinie kann ein Benutzer verwaltete Richtlinien nur den IAM-Gruppen und -Rollen zuordnen, die den Pfad /TEAM-A/ enthalten. Die Benutzergruppe und ARNs die Rolle sind im `Resource` Element der Richtlinie angegeben. (In diesem Beispiel ARNs enthalten sie einen Pfad und ein Platzhalterzeichen und entsprechen somit allen IAM-Gruppen und -Rollen, die den Pfad /TEAM-A/ enthalten.) Informationen zum Erstellen einer Richtlinie mit diesem Beispiel-JSON-Richtliniendokument finden Sie unter [Erstellen von Richtlinien mit dem JSON-Editor](access_policies_create-console.md#access_policies_create-json-editor).

**Example Beispielrichtlinie, die es ermöglicht, verwaltete Richtlinien nur bestimmten Benutzergruppen oder Rollen zuzuordnen**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:AttachGroupPolicy",
            "iam:AttachRolePolicy"
        ],
        "Resource": [
            "arn:aws:iam::111122223333:group/TEAM-A/*",
            "arn:aws:iam::111122223333:role/TEAM-A/*"
        ]
    }
}
```

Sie können außerdem die Aktionen im vorherigen Beispiel auf bestimmte Richtlinien einschränken. Das heißt, Sie können steuern, welche Berechtigungen ein Benutzer anderen Prinzipal-Entitäten anfügen kann indem Sie eine Bedingung der Richtlinie hinzufügen. 

Im folgenden Beispiel stellt die Bedingung sicher, dass die Berechtigungen `AttachGroupPolicy` und `AttachRolePolicy` nur dann zulässig sind, wenn die angefügte Richtlinie mit einer der angegebenen Richtlinien übereinstimmt. Die Bedingung verwendet den `iam:PolicyARN` [Bedingungsschlüssel](reference_policies_elements_condition.md), um festzulegen, welche Richtlinie oder Richtlinien angefügt werden dürfen. Die folgende Beispielrichtlinie erweitert das vorherige Beispiel. Dadurch kann ein Benutzer nur die verwalteten Richtlinien, die den Pfad /TEAM-A/ enthalten, nur den IAM-Gruppen und -Rollen zuordnen, die den Pfad /TEAM-A/ enthalten. Informationen zum Erstellen einer Richtlinie mit diesem Beispiel-JSON-Richtliniendokument finden Sie unter [Erstellen von Richtlinien mit dem JSON-Editor](access_policies_create-console.md#access_policies_create-json-editor).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:AttachGroupPolicy",
            "iam:AttachRolePolicy"
        ],
        "Resource": [
            "arn:aws:iam::111122223333:group/TEAM-A/*",
            "arn:aws:iam::111122223333:role/TEAM-A/*"
        ],
        "Condition": {
            "ArnLike": {
                "iam:PolicyARN": "arn:aws:iam::111122223333:policy/TEAM-A/*"
            }
        }
    }
}
```

------

Diese Richtlinie verwendet den `ArnLike`-Bedingungsoperator, aber Sie können auch den `ArnEquals`-Bedingungsoperator verwenden, weil sich diese beiden Bedingungsoperatoren identisch verhalten. Weitere Informationen zu `ArnLike` und `ArnEquals` finden Sie unter [Bedingungsoperatoren für Amazon-Ressourcennamen (ARN)](reference_policies_elements_condition_operators.md#Conditions_ARN) im Abschnitt *Bedingungstypen* in der *Richtinienelementreferenz*. 

Sie können beispielsweise die Verwendung dieser Aktionen einschränken, sodass nur die von Ihnen angegebenen, verwalteten Richtlinien einbezogen werden. Geben Sie hierzu den ARN der Richtlinie im Element `Condition` der Richtlinie an, die diese Berechtigungen erteilt Wenn Sie beispielsweise den ARN einer vom Kunden verwalteten Richtlinie angeben möchten:

```
"Condition": {"ArnEquals": 
  {"iam:PolicyARN": "arn:aws:iam::123456789012:policy/POLICY-NAME"}
}
```

Sie können auch den ARN einer AWS verwalteten Richtlinie im `Condition` Element einer Richtlinie angeben. Der ARN einer AWS verwalteten Richtlinie verwendet den speziellen Alias `aws` im Richtlinien-ARN anstelle einer Konto-ID, wie in diesem Beispiel:

```
"Condition": {"ArnEquals": 
  {"iam:PolicyARN": "arn:aws:iam::aws:policy/AmazonEC2FullAccess"}
}
```

## Steuern des Zugriffs auf Ressourcen
<a name="access_controlling-resources"></a>

Sie können den Zugriff auf Ressourcen mit einer identitätsbasierten oder ressourcenbasierten Richtlinie steuern. Bei einer identitätsbasierten Richtlinie fügen Sie die Richtlinie einer Identität hinzu und geben an, auf welche Ressourcen die Identität zugreifen darf. Bei einer ressourcenbasierten Richtlinie ordnen Sie eine Richtlinie der Ressource zu, die Sie steuern möchten. Sie geben in der Richtlinie an, welche Prinzipale auf die Ressource zugreifen dürfen. Weitere Informationen zu diesen beiden Arten von Richtlinien finden Sie unter [Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien](access_policies_identity-vs-resource.md).

Weitere Informationen finden in folgenden Ressourcen:
+ Weitere Informationen zum Erstellen einer IAM-Richtlinie, die Sie zu einem Prinzipal zuordnen können, finden Sie unter [Benutzerdefinierte IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien definieren](access_policies_create.md).
+ Weitere Informationen zum Hinzufügen einer IAM-Richtlinie zu einem Prinzipal finden Sie unter [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](access_policies_manage-attach-detach.md).
+ Amazon S3 unterstützt die Verwendung von ressourcenbasierten Richtlinien für die Buckets. Weitere Informationen finden Sie unter [Bucket Policy Examples](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies.html).
<a name="NoDefaultPermissions"></a>
**Ersteller von Ressourcen haben nicht automatisch Berechtigungen**  
Wenn Sie sich mit den Root-Benutzer des AWS-Kontos Anmeldeinformationen anmelden, sind Sie berechtigt, alle Aktionen mit Ressourcen durchzuführen, die zu dem Konto gehören. Dies gilt jedoch nicht für IAM-Benutzer. Einem IAM-Benutzer kann der Zugriff zum Erstellen einer Ressource gewährt werden, aber die Berechtigungen des Benutzers, selbst für diese Ressource, sind darauf beschränkt, was explizit erteilt wurde. Das bedeutet: Nur weil Sie eine Ressource, beispielsweise eine IAM-Rolle, erstellen, sind Sie nicht automatisch berechtigt, diese Rolle zu bearbeiten oder zu löschen. Darüber hinaus kann Ihre Berechtigung jederzeit vom Kontoinhaber oder einem anderen Benutzer widerrufen werden, dem der Zugriff auf die Verwaltung Ihrer Berechtigungen gewährt wurde.

## Steuern des Zugriffs auf Prinzipale in einem bestimmten Konto
<a name="access_controlling-principal-accounts"></a>

Sie können direkt in Ihrem eigenen Konto IAM-Benutzern Zugriff auf Ihre Ressourcen gewähren. Wenn Benutzer eines anderen Kontos Zugriff auf Ihre Ressourcen benötigen, können Sie eine IAM-Rolle erstellen. Eine Rolle ist eine Entität, die Berechtigungen enthält, aber nicht mit einem bestimmten Benutzer verknüpft ist. Benutzer von anderen Konten können dann die Rolle annehmen und entsprechend den Berechtigungen, die Sie der Rolle zugeordnet haben, auf Ressourcen zugreifen. Weitere Informationen finden Sie unter [Zugriff für einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](id_roles_common-scenarios_aws-accounts.md).

**Anmerkung**  
Einige Services unterstützen ressourcenbasierte Richtlinien wie in [Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien](access_policies_identity-vs-resource.md) beschrieben (wie Amazon S3, Amazon SNS und Amazon SQS). Für diese Services besteht eine Alternative zur Verwendung von Rollen darin, eine Richtlinie an die Ressource (Bucket, Thema oder Warteschlange) anzuhängen, die Sie freigeben möchten. Die ressourcenbasierte Richtlinie kann das AWS Konto angeben, das über Berechtigungen für den Zugriff auf die Ressource verfügt.

# Steuerung des Zugriffs auf und für IAM-Benutzer und IAM-Rollen mithilfe von Tags
<a name="access_iam-tags"></a>

Verwenden Sie die Informationen im folgenden Abschnitt, um zu steuern, wer auf Ihre IAM-Benutzer und IAM-Rollen zugreifen kann und auf welche Ressourcen Ihre Benutzer und Rollen zugreifen können. Allgemeinere Informationen und Beispiele für die Steuerung des Zugriffs auf andere AWS Ressourcen, einschließlich anderer IAM-Ressourcen, finden Sie unter[Tags für AWS Identity and Access Management Ressourcen](id_tags.md).

**Anmerkung**  
Einzelheiten zur Berücksichtigung der Groß- und Kleinschreibung bei Tag-Schlüsseln und Tag-Schlüsselwerten finden Sie unter [Case sensitivity](id_tags.md#case-sensitivity).

Tags können an die IAM-*Ressourc*e angehängt, in der *Anforderung* übergeben oder an den *Auftraggeber*, der die Anforderung stellt, angehängt werden. Ein Benutzer oder eine Rolle in IAM kann sowohl eine Ressource als auch ein Auftraggeber sein. Sie können beispielsweise eine Richtlinie schreiben, mit der ein Benutzer die Gruppen für einen Benutzer auflisten kann. Diese Operation ist nur zulässig, wenn der Benutzer, der die Anforderung stellt (der Auftraggeber), über das gleiche `project=blue`-Tag verfügt wie der Benutzer, den er anzeigen möchte. In diesem Beispiel kann der Benutzer die Gruppenmitgliedschaft für jeden Benutzer anzeigen, einschließlich sich selbst, solange sie an demselben Projekt arbeiten.

Um den Zugriff auf Grundlage von Tags zu steuern, geben Sie im [Bedingungselement](reference_policies_elements_condition.md) einer Richtlinie Tag-Informationen an. Wenn Sie eine IAM-Richtlinie erstellen, können Sie IAM-Tags und den zugehörigen Tag-Bedingungsschlüssel verwenden, um den Zugriff auf Folgendes zu steuern:
+ **[Ressource](access_tags.md#access_tags_control-resources)** – Steuern Sie den Zugriff auf Benutzer- oder Rollenressourcen basierend auf ihren Tags. Verwenden Sie dazu den *key-name* Bedingungsschlüssel **aws:ResourceTag/**, um anzugeben, welches Tag-Schlüssel-Wert-Paar an die Ressource angehängt werden muss. Weitere Informationen finden Sie unter [Kontrolle des Zugriffs auf AWS Ressourcen](access_tags.md#access_tags_control-resources).
+ **[Anforderung](access_tags.md#access_tags_control-requests)** – Bestimmen, welche Tags in einer IAM-Anforderung weitergeleitet werden können. Verwenden Sie dazu den *key-name* Bedingungsschlüssel **aws:RequestTag/**, um anzugeben, welche Tags einem IAM-Benutzer oder einer IAM-Rolle hinzugefügt, geändert oder daraus entfernt werden können. Dieser Schlüssel wird auf die gleiche Weise für IAM-Ressourcen und andere AWS Ressourcen verwendet. Weitere Informationen finden Sie unter [Steuern des Zugriffs bei Anfragen AWS](access_tags.md#access_tags_control-requests).
+ **[Auftraggeber](#access_iam-tags_control-principals)** – Steuern Sie, welche Aktionen die Person, von der die Anforderung stammt (der Auftraggeber), durchführen darf, auf Grundlage der Tags, die dem IAM-Benutzer oder der Rolle der Person angefügt sind. Verwenden Sie dazu den *key-name* Bedingungsschlüssel **aws:PrincipalTag/**, um anzugeben, welche Tags an den IAM-Benutzer oder die IAM-Rolle angehängt werden müssen, bevor die Anfrage zugelassen wird.
+ **[Beliebiger Teil des Autorisierungsprozesses](#access_iam-tags_control-tag-keys)** — Verwenden Sie den TagKeys Bedingungsschlüssel **aws:**, um zu steuern, ob bestimmte Tag-Schlüssel in einer Anfrage oder von einem Principal verwendet werden können. In diesem Fall spielt der Schlüsselwert keine Rolle. Dieser Schlüssel verhält sich bei IAM und anderen AWS Diensten ähnlich. Wenn Sie jedoch einen Benutzer in IAM markieren, steuert dies auch, ob der Auftraggeber die Anforderung an einen beliebigen Service stellen kann. Weitere Informationen finden Sie unter [Zugriffssteuerung auf der Grundlage von Tag-Schlüsseln](access_tags.md#access_tags_control-tag-keys).

Sie können eine IAM-Richtlinie mit dem visuellen Editor, JSON oder durch Importieren einer vorhandenen verwalteten Richtlinie erstellen. Details hierzu finden Sie unter [Benutzerdefinierte IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien definieren](access_policies_create.md).

**Anmerkung**  
Sie können [Sitzungs-Tags](id_session-tags.md) auch übergeben, wenn Sie eine IAM-Rolle übernehmen oder einen Benutzer in einen Verbund aufnehmen. Diese sind nur für die Dauer der Sitzung gültig.

## Zugriffssteuerung für IAM-Auftraggeber
<a name="access_iam-tags_control-principals"></a>

Sie können steuern, was der Auftraggeber tun darf, basierend auf den Tags, die der Identität dieser Person zugeordnet sind. 

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die es jedem Benutzer in diesem Konto erlaubt, die Gruppenmitgliedschaft für jeden Benutzer, einschließlich sich selbst, anzuzeigen, solange sie am selben Projekt arbeiten. Diese Operation ist nur zulässig, wenn das Ressourcen-Tag des Benutzers und das Tag des Auftraggebers denselben Wert für den Tag-Schlüssel besitzen. `project`. Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "iam:ListGroupsForUser",
            "Resource": "arn:aws:iam::111222333444:user/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/project": "${aws:PrincipalTag/project}"}
            }
        }]
}
```

------

## Zugriffssteuerung auf der Grundlage von Tag-Schlüsseln
<a name="access_iam-tags_control-tag-keys"></a>

Sie können Tags in Ihren IAM-Richtlinien verwenden, um zu steuern, ob bestimmte Tag-Schlüssel in einer Anfrage oder von einem Prinzipal verwendet werden können.

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die es erlaubt, nur das Tag mit dem Schlüssel `temporary` von Benutzern zu entfernen. Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": "iam:UntagUser",
        "Resource": "*",
        "Condition": {"ForAllValues:StringEquals": {"aws:TagKeys": ["temporary"]}}
    }]
}
```

------

# Steuern des Zugriffs auf AWS Ressourcen mithilfe von Tags
<a name="access_tags"></a>

Sie können Tags verwenden, um den Zugriff auf Ihre AWS Ressourcen zu steuern, die Tagging unterstützen, einschließlich IAM-Ressourcen. Sie können IAM-Benutzer und IAM-Rollen markieren, um zu steuern, worauf sie zugreifen können. Weitere Informationen zum Markieren von IAM-Benutzern und IAM-Rollen finden Sie unter [Tags für AWS Identity and Access Management Ressourcen](id_tags.md). Darüber hinaus können Sie den Zugriff auf die folgenden IAM-Ressourcen steuern: von Kunden verwaltete Richtlinien, IAM-Identitätsanbieter, Instance-Profile, Serverzertifikate und virtuelle MFA-Geräte. Ein Tutorial zum Erstellen und Testen einer Richtlinie, die IAM-Rollen mit Auftraggeber-Tags den Zugriff auf Ressourcen mit übereinstimmenden Tags erlaubt, finden Sie unter [IAM-Tutorial: Berechtigungen für den Zugriff auf AWS Ressourcen auf der Grundlage von Tags definieren](tutorial_attribute-based-access-control.md). Verwenden Sie die Informationen im folgenden Abschnitt, um den Zugriff auf andere AWS Ressourcen, einschließlich IAM-Ressourcen, zu steuern, ohne IAM-Benutzer oder -Rollen zu taggen.

Bevor Sie Tags verwenden, um den Zugriff auf Ihre AWS Ressourcen zu steuern, müssen Sie wissen, wie AWS der Zugriff gewährt wird. AWS besteht aus Sammlungen von *Ressourcen*. Eine Amazon EC2-Instance ist eine Ressource. Ein Amazon S3-Bucket ist eine Ressource. Sie können die AWS API, die oder die verwenden AWS CLI, AWS-Managementkonsole um einen Vorgang auszuführen, z. B. das Erstellen eines Buckets in Amazon S3. Wenn Sie dies tun, senden Sie eine *Anforderung* für diese Operation. Ihre Anforderung gibt eine Aktion, eine Ressource, eine *Auftraggeber-Entität* (Gruppe oder Rolle) und ein *Auftraggeberkonto* an und enthält alle erforderlichen Anforderungsinformationen. Diese Informationen stellen den *Kontext* bereit.

AWS überprüft dann, ob Sie (die Haupteinheit) authentifiziert (angemeldet) und autorisiert (berechtigt) sind, die angegebene Aktion auf der angegebenen Ressource auszuführen. AWS Überprüft bei der Autorisierung alle Richtlinien, die für den Kontext Ihrer Anfrage gelten. Die meisten Richtlinien werden AWS als [JSON-Dokumente](access_policies.md#access_policies-json) gespeichert und spezifizieren die Berechtigungen für Hauptentitäten. Weitere Informationen zu diesen Richtlinienarten und ihrer Verwendung finden Sie unter [Richtlinien und Berechtigungen in AWS Identity and Access Management](access_policies.md).

AWS autorisiert die Anfrage nur, wenn jeder Teil Ihrer Anfrage gemäß den Richtlinien zulässig ist. Informationen zum Anzeigen eines Diagramms und weitere Informationen über die IAM-Infrastruktur finden Sie unter [Funktionsweise von IAM](intro-structure.md). Weitere Informationen darüber, wie IAM bestimmt, ob eine Anfoderung zulässig ist, finden Sie unter [Auswertungslogik für Richtlinien](reference_policies_evaluation-logic.md).

Tags sind eine weitere Überlegung in diesem Prozess, da Markierungen an die *Ressource* angefügt werden können oder in der *Anfrage* an Services weitergegeben werden können, die das Markieren unterstützen. Um den Zugriff auf Grundlage von Tags zu steuern, geben Sie im [Bedingungselement](reference_policies_elements_condition.md) einer Richtlinie Tag-Informationen an. Informationen darüber, ob ein AWS Service die Zugriffskontrolle mithilfe von Tags unterstützt, finden Sie unter [AWS Dienste, die mit IAM funktionieren](reference_aws-services-that-work-with-iam.md) und suchen Sie nach den Diensten, für die in der **ABAC-Spalte** **Ja** angegeben ist. Wählen Sie den Namen des Service, um die Dokumentation zur Autorisierung und Zugriffssteuerung für diesen Service anzuzeigen.

Sie können dann eine IAM-Richtlinie erstellen, die den Zugriff auf eine Ressource basierend auf dem Tag dieser Ressource erlaubt oder verweigert. In dieser Richtlinie können Sie Tag-Bedingungsschlüssel verwenden, um den Zugriff auf eine der folgenden Optionen zu steuern:
+ **[Ressource](#access_tags_control-resources)** — Steuern Sie den Zugriff auf AWS Serviceressourcen anhand der Tags auf diesen Ressourcen. Verwenden Sie dazu den *key-name* Bedingungsschlüssel **aws:ResourceTag/**, um anhand der Tags, die der Ressource zugeordnet sind, zu bestimmen, ob der Zugriff auf die Ressource erlaubt werden soll.
+ **[Anforderung](#access_tags_control-requests)** – Steuern, welche Tags an eine Anforderung weitergeleitet werden können. Verwenden Sie dazu den *key-name* Bedingungsschlüssel **aws:RequestTag/**, um anzugeben, welche Tag-Schlüssel-Wert-Paare in einer Anfrage zur Kennzeichnung einer Ressource übergeben werden können. AWS 
+ **[Beliebiger Teil des Autorisierungsprozesses](#access_tags_control-tag-keys)** — Verwenden Sie den TagKeys Bedingungsschlüssel **aws:**, um zu kontrollieren, ob bestimmte Tag-Schlüssel in einer Anfrage enthalten sein können. 

Sie können eine IAM-Richtlinie visuell mithilfe von JSON oder durch Importieren einer vorhandenen verwalteten Richtlinie erstellen. Details hierzu finden Sie unter [Benutzerdefinierte IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien definieren](access_policies_create.md).

**Anmerkung**  
Bei einigen Diensten können Benutzer beim Erstellen der Ressource Tags angeben, wenn sie über die Berechtigung zum Verwenden der Aktion verfügen, mit der die Ressource erstellt wird.

## Kontrolle des Zugriffs auf AWS Ressourcen
<a name="access_tags_control-resources"></a>

Sie können Bedingungen in Ihren IAM-Richtlinien verwenden, um den Zugriff auf AWS Ressourcen auf der Grundlage der Tags dieser Ressource zu steuern. Sie können dies mithilfe des globalen `aws:ResourceTag/tag-key`-Bedingungsschlüssels oder eines servicespezifischen Schlüssels erreichen. Einige Services unterstützen nur die servicespezifische Version dieses Schlüssels und nicht die globale Version. 

**Warnung**  
Versuchen Sie nicht zu kontrollieren, wer eine Rolle weitergeben kann, indem Sie die Rolle taggen und dann den `ResourceTag`-Bedingungsschlüssel in einer Richtlinie mit der `iam:PassRole`-Aktion verwenden. Dieser Ansatz führt nicht zu zuverlässigen Ergebnissen. Weitere Informationen zu den erforderlichen Berechtigungen, die für das Übergeben einer Rolle an einen Service erforderlich sind, finden Sie unter [Erteilen Sie einem Benutzer die Erlaubnis, eine Rolle an einen AWS Dienst zu übergeben](id_roles_use_passrole.md).

 Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die das Starten oder Stoppen von Amazon-EC2-Instances erlaubt. Diese Operationen sind nur zulässig, wenn das Instance-Tag `Owner` den Wert des Benutzernamens dieses Benutzers aufweist. Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
            }
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DescribeInstances",
            "Resource": "*"
        }
    ]
}
```

------

Sie können diese Richtlinie den IAM-Benutzern in Ihrem Konto anfügen. Wenn ein Benutzer namens `richard` versucht, eine Amazon EC2-Instance zu starten, muss die Instance mit dem Tag `Owner=richard` oder `owner=richard` versehen sein. Andernfalls wird ihm der Zugriff verweigert. Der Tag-Schlüssel `Owner` stimmt mit `Owner` und `owner` überein, da bei Bedingungsschlüsselnamen nicht zwischen Groß- und Kleinschreibung unterschieden wird. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Condition](reference_policies_elements_condition.md).

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen könnten, die das Löschen von Benutzern mit dem `team`-Prinzipal-Tag erlaubt. Die Richtlinie gewährt die Erlaubnis, Warteschlangen von Amazon Simple Queue Service zu löschen, jedoch nur, wenn der Warteschlangenname mit dem Teamnamen beginnt, gefolgt von `-queue`. Beispielsweise `qa-queue`, wenn `qa` der Teamname für das `team`-Prinzipal-Tag ist.

------
#### [ JSON ]

****  

```
{
      "Version":"2012-10-17",		 	 	 
      "Statement": {
        "Sid": "AllQueueActions",
        "Effect": "Allow",
        "Action": "sqs:DeleteQueue",
        "Resource": "arn:aws:sqs:us-east-2:111122223333:${aws:PrincipalTag/team}-queue"
      }
}
```

------

## Steuern des Zugriffs bei Anfragen AWS
<a name="access_tags_control-requests"></a>

Sie können Bedingungen in Ihren IAM-Richtlinien verwenden, um zu steuern, welche Tag-Schlüssel-Wert-Paare in einer Anfrage übergeben werden können, die Tags auf eine Ressource anwendet. AWS 

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die es erlaubt, mithilfe der Amazon-EC2-Aktion `CreateTags` Tags an eine Instance anzuhängen. Sie können Tags nur anfügen, wenn das Tag den `environment`-Schlüssel und die `preprod`- oder `production`-Werte enthält. Wenn Sie möchten, können Sie den `ForAllValues`-Modifikator mit dem `aws:TagKeys`-Bedingungsschlüssel verwenden, um anzugeben, dass nur der `environment`-Schlüssel in der Anforderung zulässig ist. So wird verhindert, dass Benutzer andere Schlüssel einbeziehen und etwa versehentlich `Environment` anstelle von `environment` verwenden. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": "ec2:CreateTags",
        "Resource": "arn:aws:ec2:*:*:instance/*",
        "Condition": {
            "StringEquals": {
                "aws:RequestTag/environment": [
                    "preprod",
                    "production"
                ]
            },
            "ForAllValues:StringEquals": {"aws:TagKeys": "environment"}
        }
    }
}
```

------

## Zugriffssteuerung auf der Grundlage von Tag-Schlüsseln
<a name="access_tags_control-tag-keys"></a>

Sie können in Ihren IAM-Richtlinien eine Bedingung verwenden, um zu steuern, ob bestimmte Tag-Schlüssel in einer Anfrage verwendet werden können.

[Wir empfehlen, dass Sie bei der Verwendung von Richtlinien zur Zugriffskontrolle mithilfe von Tags den `aws:TagKeys` Bedingungsschlüssel verwenden.](reference_policies_condition-keys.md#condition-keys-tagkeys) AWS Dienste, die Tags unterstützen, ermöglichen es Ihnen möglicherweise, mehrere Tag-Schlüsselnamen zu erstellen, die sich nur durch Groß- und Kleinschreibung unterscheiden, z. B. das Taggen einer Amazon EC2 EC2-Instance mit `stack=production` und. `Stack=test` Bei den Schlüsselnamen in den Richtlinienbedingungen wird nicht zwischen Groß- und Kleinschreibung unterschieden. Dies bedeutet Folgendes: Wenn Sie `"aws:ResourceTag/TagKey1": "Value1"` im Bedingungselement Ihrer Richtlinie angeben, stimmt die Bedingung mit einem Ressourcen-Tag-Schlüssel mit dem Namen `TagKey1` oder `tagkey1` überein, aber nicht mit beiden. Um doppelte Tags mit Schlüsseln zu verhindern, die sich nur in der Groß-/Kleinschreibung unterscheiden, verwenden Sie die `aws:TagKeys`-Bedingung zum Definieren von Tag-Schlüsseln, die Ihre Benutzer anwenden können,, oder verwenden Sie Tag-Richtlinien, die mit AWS Organizations verfügbar sind. Weitere Informationen finden Sie unter [Tag-Richtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html) im *AWS Organizations -Benutzerhandbuch*. 

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die das Erstellen und Markieren eines Secrets Manager Geheimnisses erlaubt, jedoch nur mit den Tag-Schlüsseln `environment` oder `cost-center`. Die `Null`-Bedingung stellt sicher, dass die Bedingung zu `false` ausgewertet wird, wenn in der Anfrage keine Tags vorhanden sind.

```
{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:CreateSecret",
            "secretsmanager:TagResource"
        ],
        "Resource": "*",
        "Condition": {
            "Null": {
                "aws:TagKeys": "false"
            },
            "ForAllValues:StringEquals": {
                "aws:TagKeys": [
                    "environment",
                    "cost-center"
                ]
            }
        }
}
```

# Kontoübergreifender Zugriff auf Ressourcen in IAM
<a name="access_policies-cross-account-resource-access"></a>

Für einige AWS Dienste können Sie mithilfe von IAM kontoübergreifenden Zugriff auf Ihre Ressourcen gewähren. Dazu können Sie eine Ressourcenrichtlinie direkt an die Ressource anfügen, die Sie freigeben möchten, oder eine Rolle als Proxy verwenden.

Um die Ressource direkt freizugeben, muss die Ressource, die Sie freigeben möchten, [ressourcenbasierte Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-resource-based-policies) unterstützen. Im Gegensatz zu einer identitätsbasierten Richtlinie für eine Rolle legt eine ressourcenbasierte Richtlinie fest, wer (welcher Prinzipal) auf diese Ressource zugreifen kann.

Verwenden Sie eine Rolle als Proxy, wenn Sie auf Ressourcen in einem anderen Konto zugreifen möchten, die keine ressourcenbasierten Richtlinien unterstützen.

Einzelheiten zu den Unterschieden zwischen diesen Richtlinientypen finden Sie unter [Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien](access_policies_identity-vs-resource.md).

**Anmerkung**  
IAM-Rollen und ressourcenbasierte Richtlinien delegieren den Zugriff auf Konten nur innerhalb einer einzelnen Partition. Beispiel: Sie haben ein Konto in USA West (Nordkalifornien) in der Standardpartition `aws`. Sie haben auch ein Konto in China in der Partition `aws-cn`. Sie können in Ihrem Konto in China keine ressourcenbasierte Richtlinie verwenden, um Benutzern in Ihrem AWS Standardkonto Zugriff zu gewähren.

## Kontoübergreifender Zugriff mithilfe von Rollen
<a name="access_policies-cross-account-using-roles"></a>

Nicht alle AWS Dienste unterstützen ressourcenbasierte Richtlinien. Für diese Services können Sie kontoübergreifende IAM-Rollen verwenden, um die Berechtigungsverwaltung zu zentralisieren, wenn Sie kontoübergreifenden Zugriff für mehrere Services bereitstellen. Eine kontoübergreifende IAM-Rolle ist eine IAM-Rolle, die eine [Vertrauensrichtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#term_trust-policy) beinhaltet, die es IAM-Prinzipalen in einem anderen Konto ermöglicht, diese Rolle zu übernehmen. AWS Einfach ausgedrückt können Sie in einem Konto eine Rolle erstellen, die bestimmte Berechtigungen an ein AWS anderes Konto delegiert. AWS 

Informationen zum Zuweisen einer Richtlinie an eine IAM-Identität finden Sie unter [Verwalten von IAM-Richtlinien](access_policies_manage.md).

**Anmerkung**  
Wenn ein Prinzipal zu einer Rolle wechselt, um vorübergehend die Berechtigungen der Rolle zu nutzen, gibt er seine ursprünglichen Berechtigungen auf und übernimmt die Berechtigungen, die der Rolle zugewiesen wurden, die er angenommen hat.

Schauen wir uns den gesamten Prozess an, der für die APN-Partnersoftware gilt, die auf ein Kundenkonto zugreifen muss.

1. Der Kunde erstellt in seinem eigenen Konto eine IAM-Rolle mit einer Richtlinie, die den Zugriff auf die Amazon-S3-Ressourcen ermöglicht, die der APN-Partner benötigt. In diesem Beispiel lautet der Rollenname `APNPartner`.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "s3:*",
               "Resource": [
                   "arn:aws:s3:::bucket-name"
               ]
           }
       ]
   }
   ```

------

1. Anschließend gibt der Kunde an, dass die Rolle vom AWS Konto des Partners übernommen werden kann, indem er die AWS-Konto ID des APN-Partners in der [Vertrauensrichtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) für die `APNPartner` Rolle angibt.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:role/APN-user-name"
               },
               "Action": "sts:AssumeRole"
           }
       ]
   }
   ```

------

1. Der Kunde gibt dem APN-Partner den Amazon-Ressourcennamen (ARN) der Rolle. Der ARN ist der vollqualifizierte Name der Rolle.

   ```
   arn:aws:iam::Customer-Account-ID:role/APNPartner
   ```
**Anmerkung**  
Wir empfehlen, in Situationen mit mehreren Mandanten eine externe ID zu verwenden. Details hierzu finden Sie unter [Zugriff auf AWS-Konten Eigentum Dritter](id_roles_common-scenarios_third-party.md).

1. Wenn die Software des APN-Partners auf das Konto des Kunden zugreifen muss, ruft die Software die [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)API AWS -Security-Token-Service mit dem ARN der Rolle im Kundenkonto auf. STS gibt einen temporären AWS Berechtigungsnachweis zurück, der es der Software ermöglicht, ihre Arbeit zu erledigen.

Ein weiteres Beispiel für die Gewährung von kontoübergreifendem Zugriff mithilfe von Rollen finden Sie unter [Zugriff für einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](id_roles_common-scenarios_aws-accounts.md). Sie können auch dem [IAM-Tutorial: Delegieren Sie den Zugriff über AWS Konten hinweg mithilfe von IAM-Rollen](tutorial_cross-account-with-roles.md) folgen.

## Kontoübergreifender Zugriff mit ressourcenbasierten Richtlinien
<a name="access_policies-cross-account-using-resource-based-policies"></a>

Wenn ein Konto über ein anderes Konto unter Verwendung einer ressourcenbasierten Richtlinie auf eine Ressource zugreift, funktioniert der Prinzipal weiterhin mit dem vertrauenswürdigen Konto und muss seine Berechtigungen nicht aufgeben, um die Rollenberechtigungen zu erhalten. Mit anderen Worten, der Prinzipal hat nach wie vor Zugriff auf Ressourcen im vertrauenswürdigen Konto, aber gleichzeitig auch Zugriff auf die Ressource im vertrauenden Konto. Dies ist nützlich für Aufgaben wie das Kopieren von Daten in die oder aus der gemeinsam genutzten Ressource im anderen Konto.

Zu den Prinzipalen, die Sie in einer ressourcenbasierten Richtlinie angeben können, gehören Konten, IAM-Benutzer, Verbundbenutzerprinzipale, AWS STS SAML-Verbundprinzipale, OIDC-Verbundprinzipale, IAM-Rollen, Sitzungen mit übernommenen Rollen oder Dienste. AWS Weitere Informationen finden Sie unter [Angeben eines Auftraggebers](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying).

Informationen darüber, ob Prinzipalen in Konten außerhalb Ihrer Vertrauenszone (vertrauenswürdige Organisation oder Konto) Zugriff zur Annahme Ihrer Rollen haben, finden Sie unter [Identifizieren von Ressourcen, die mit einer externen Entität geteilt wurden](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html#what-is-access-analyzer-resource-identification).

Die folgende Liste enthält AWS einige der Dienste, die ressourcenbasierte Richtlinien unterstützen. **Eine vollständige Liste der wachsenden Anzahl von AWS Diensten, die das Anhängen von Berechtigungsrichtlinien an Ressourcen statt an Prinzipale unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](reference_aws-services-that-work-with-iam.md) und suchen Sie in der Spalte Ressourcenbasiert nach den Diensten, für die **Ja** angegeben ist.**
+ **Amazon-S3-Buckets** – Die Richtlinie ist dem Bucket angefügt, allerdings steuert die Richtlinie sowohl den Zugriff auf den Bucket als auch auf die darin befindlichen Objekte. Weitere Informationen finden Sie unter [Bucket-Richtlinien für Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) im *Benutzerhandbuch für Amazon Simple Storage Service*. In einigen Fällen kann es sinnvoll sein, Rollen für den kontoübergreifenden Zugriff auf Amazon S3 zu verwenden. Weitere Informationen finden Sie in den [Beispiel-Walkthroughs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access.html) im *Benutzerhandbuch für Amazon Simple Storage Service*.
+ **Amazon Simple Notification Service (Amazon SNS)-Themen** – Weitere Informationen finden Sie unter [Beispiele für die Zugriffskontrolle in Amazon SNS](https://docs.aws.amazon.com//sns/latest/dg/sns-access-policy-use-cases.html) im *Entwicklerhandbuch zu Amazon Simple Notification Service*.
+ **Amazon Simple Queue Service (Amazon SQS)-Warteschlangen** – Weitere Informationen finden Sie unter [Anhang: Sprache der Zugriffsrichtliniensprache](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-creating-custom-policies.html) im *Amazon Simple Queue Service-Entwicklungshandbuch*. 

## Ressourcenbasierte Richtlinien zum Delegieren von Berechtigungen AWS
<a name="access_policies-cross-account-delegating-resource-based-policies"></a>

Wenn eine Ressource den Auftraggeber in Ihrem Konto Berechtigungen gewährt, können Sie diese Berechtigungen dann an bestimmte IAM-Identitäten delegieren. Identitäten sind Benutzer, Benutzergruppen oder Rollen in Ihrem Konto. Sie delegieren Berechtigungen, indem Sie eine Richtlinie mit der Identität verknüpfen. Sie können maximal die vom ressourcenbesitzenden Konto gewährten Berechtigungen gewähren.

**Wichtig**  
Beim kontoübergreifenden Zugriff benötigt ein Prinzipal `Allow` in der Identitätsrichtlinie **und** der ressourcenbasierte Richtlinie.

Nehmen Sie an, dass eine ressourcenbasierte Richtlinie allen Auftraggeber in Ihrem Konto vollen administrativen Zugriff auf eine Ressource gewährt. Anschließend können Sie Vollzugriff, Lesezugriff oder beliebigen anderen Teilzugriff auf die Prinzipale in Ihrem Konto delegieren. AWS Wenn die ressourcenbasierte Richtlinie nur Listenberechtigungen gewährt, können Sie alternativ nur den Listenzugriff delegieren. Wenn Sie versuchen, mehr Berechtigungen zu delegieren, als Ihr Konto hat, haben Ihre Auftraggeber immer noch nur Listenzugriff.

Weitere Informationen darüber, wie diese Entscheidungen getroffen werden, finden Sie unter [Ermitteln, ob eine Anforderung innerhalb eines Kontos zugelassen oder verweigert wird](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic_policy-eval-denyallow.html).

**Anmerkung**  
IAM-Rollen und ressourcenbasierte Richtlinien delegieren den Zugriff auf Konten nur innerhalb einer einzelnen Partition. Beispielsweise können Sie keinen kontenübergreifenden Zugriff zwischen einem Konto in der `aws`-Standardpartition und einem Konto in der `aws-cn`-Partition hinzufügen. 

Nehmen Sie beispielsweise an, dass Sie `AccountA` und `AccountB` verwalten. In KontoA haben Sie einen Amazon-S3-Bucket mit dem Namen `BucketA`.

![\[Eine ressourcenbasierte Richtlinie, die für den Amazon-S3-Bucket erstellt wurde, gewährt KontoB Berechtigungen für KontoAA.\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/access_policies-cross-account.png)


1. Sie weisen `BucketA` eine ressourcenbasierte Richtlinie zu, die allen Prinzipalen in KontoB Vollzugriff auf Objekte in Ihrem Bucket gewährt. Sie können beliebige Objekte in diesem Bucket erstellen, lesen oder löschen. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "PrincipalAccess",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:root"
               },
               "Action": "s3:*",
               "Resource": "arn:aws:s3:::BucketA/*"
           }
       ]
   }
   ```

------

   KontoA gewährt KontoB durch die Benennung von KontoA als Prinzipal in der ressourcenbasierten Richtlinie Vollzugriff auf BucketA. Dadurch ist KontoB berechtigt, alle Aktionen im Bucket über KontoA auszuführen und der KontoB-Administrator kann seinen Benutzern in KontoB den Zugriff erteilen.

   Der Root-Benutzer von KontoB verfügt über alle Berechtigungen, die dem Konto gewährt werden. Daher hat der Root-Benutzer Vollzugriff auf BucketA.

1. In KontoB fügen Sie dem IAM-Benutzer mit dem Namen Benutzer2 eine Richtlinie an. Diese Richtlinie erlaubt dem Benutzer nur Lesezugriff auf die Objekte in BucketA. Das bedeutet, dass Benutzer2 die Objekte anzeigen, aber nicht erstellen, bearbeiten oder löschen kann. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect" : "Allow", 
               "Action" : [ 
                   "s3:Get*", 
                   "s3:List*" ], 
                   "Resource" : "arn:aws:s3:::BucketA/*" 
           } 
       ]
   }
   ```

------

   Die maximale Zugriffsebene, die KontoB delegieren kann, ist die Zugriffsebene, die dem Konto gewährt wird. In diesem Fall gewährt die ressourcenbasierte Richtlinie KontoB Vollzugriff, aber Benutzer2 wird nur der schreibgeschützte Zugriff gewährt.

   Der KontoB-Administrator gewährt Benutzer1 keinen Zugriff. Standardmäßig haben Benutzer keine Berechtigungen, außer denen, die ausdrücklich gewährt werden, sodass Benutzer1 keinen Zugriff auf BucketA hat.

IAM wertet die Berechtigungen eines Auftraggebers zu dem Zeitpunkt aus, zu dem der Auftraggeber eine Anforderung stellt. Wenn Sie Platzhalter (\$1) verwenden, um Benutzern vollen Zugriff auf Ihre Ressourcen zu gewähren, können Prinzipale auf alle Ressourcen zugreifen, auf die Ihr Konto Zugriff hat. AWS Dies gilt auch für Ressourcen, die Sie nach der Erstellung der Benutzerrichtlinie hinzufügen oder auf die Sie Zugriff erhalten.

Hätte KontoB im vorhergehenden Beispiel eine Richtlinie an Benutzer2 angefügt, die Vollzugriff auf alle Ressourcen in allen Konten gewährt, hätte Benutzer2 automatisch Zugriff auf alle Ressourcen, auf die KontoB Zugriff hat. Dies schließt den BucketA-Zugriff und den Zugriff auf alle anderen Ressourcen ein, die durch ressourcenbasierte Richtlinien in KontoA gewährt werden.

Weitere Hinweise zur komplexen Verwendung von Rollen, z. B. zum Gewähren von Zugriff auf Anwendungen und Services, finden Sie unter [Gängige Szenarien für IAM-Rollen](id_roles_common-scenarios.md).

**Wichtig**  
Gewähren Sie nur Zugriff auf Entitäten, denen Sie vertrauen, und gewähren Sie nur das erforderliche Mindestmaß an Zugriff. Wenn es sich bei der vertrauenswürdigen Entität um ein anderes AWS Konto handelt, kann jedem IAM-Prinzipal Zugriff auf Ihre Ressource gewährt werden. Das vertrauenswürdige AWS Konto kann den Zugriff nur in dem Umfang delegieren, in dem ihm Zugriff gewährt wurde. Es kann nicht mehr Zugriff delegieren, als dem Konto selbst gewährt wurde.

Weitere Informationen über Berechtigungen, Richtlinien und die Sprache der Berechtigungsrichtlinie, mit der Sie die Richtlinien erstellen, finden Sie unter [Zugriffsmanagement für AWS Ressourcen](access.md).

# Forward Access Sessions (FAS)
<a name="access_forward_access_sessions"></a>

Forward Access Sessions (FAS) ist eine IAM-Technologie, die von AWS Diensten verwendet wird, um Ihre Identität, Berechtigungen und Sitzungsattribute weiterzugeben, wenn ein AWS Service in Ihrem Namen eine Anfrage stellt. FAS verwendet die Berechtigungen der Identität, die einen AWS Dienst aufruft, in Kombination mit der Identität eines AWS Dienstes, um Anfragen an nachgelagerte Dienste zu stellen. FAS-Anfragen werden erst im Namen eines IAM-Prinzipals an AWS Dienste gestellt, nachdem ein Dienst eine Anfrage erhalten hat, für deren Abschluss Interaktionen mit anderen AWS Diensten oder Ressourcen erforderlich sind. Wenn eine FAS-Anfrage gestellt wird:
+ Der Service, der die erste Anfrage von einem IAM-Prinzipal empfängt, überprüft die Berechtigungen des IAM-Prinzipals.
+ Der Service, der eine nachfolgende FAS-Anfrage empfängt, überprüft auch die Berechtigungen desselben IAM-Prinzipals.

FAS wird beispielsweise von Amazon S3 verwendet, um Aufrufe zur Entschlüsselung eines Objekts AWS Key Management Service zu tätigen, wenn [SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) zur Verschlüsselung verwendet wurde. Beim Herunterladen eines SSE-KMS-verschlüsselten Objekts ruft eine Rolle namens **data-reader** das Objekt gegen Amazon S3 GetObject auf und ruft es nicht direkt auf. AWS KMS Nach Erhalt der GetObject Anfrage und Autorisierung des Datenlesegeräts stellt Amazon S3 dann eine FAS-Anfrage an AWS KMS , um das Amazon S3 S3-Objekt zu entschlüsseln. Wenn KMS die FAS-Anfrage erhält, überprüft KMS die Berechtigungen der Rolle und autorisiert die Entschlüsselungsanforderung nur, wenn „data-reader“ über die richtigen Berechtigungen für den KMS-Schlüssel verfügt. Die Anfragen an Amazon S3 und AWS KMS werden mit den Berechtigungen der Rolle autorisiert und sind nur erfolgreich, wenn der Datenleser über Berechtigungen sowohl für das Amazon S3 S3-Objekt als auch für den AWS KMS-Schlüssel verfügt.

![\[Ein Flussdiagramm einer IAM-Rolle, die als Prinzipal an Amazon S3 und dann an AWS KMSübergeben wird.\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/access-fas-example.png)


**Anmerkung**  
Zusätzliche FAS-Anfragen können von Services gestellt werden, die eine FAS-Anfrage erhalten haben. In solchen Fällen muss der anfordernde Prinzipal über Berechtigungen für alle von FAS aufgerufenen Services verfügen.

## FAS-Anfragen und IAM-Richtlinienbedingungen
<a name="access_fas_policy_conditions"></a>

Wenn FAS-Anfragen gestellt werden, werden [aws:CalledVia](reference_policies_condition-keys.md#condition-keys-calledvia)-, [aws:CalledViaFirst](reference_policies_condition-keys.md#condition-keys-calledviafirst)- und [aws:CalledViaLast](reference_policies_condition-keys.md#condition-keys-calledvialast)-Bedingungsschlüssel mit dem Service-Prinzipal des Service gefüllt, der den FAS-Aufruf initiiert hat. Der Wert des [aws:ViaAWSService](reference_policies_condition-keys.md#condition-keys-viaawsservice)-Bedingungsschlüssels wird immer dann auf `true` gesetzt, wenn eine FAS-Anfrage gestellt wird. In der folgenden Abbildung sind für die CloudFormation direkte Anfrage keine `aws:CalledVia` oder keine `aws:ViaAWSService` Bedingungsschlüssel gesetzt. Wenn CloudFormation DynamoDB im Namen der Rolle nachgelagerte FAS-Anfragen stellen, werden die Werte für diese Bedingungsschlüssel aufgefüllt.

![\[Ein Flussdiagramm einer IAM-Rolle, die als Principal an DynamoDB übergeben wird CloudFormation und anschließend die Bedingungsschlüsselwerte an DynamoDB und weitergibt. AWS KMS\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/access-fas-example2.png)


Damit eine FAS-Anfrage gestellt werden kann, wenn sie andernfalls durch eine Deny-Richtlinienanweisung mit einem Bedingungsschlüssel, der Quell-IP-Adressen oder Quelle testet, verweigert würde, müssen Sie Bedingungsschlüssel verwenden VPCs, um in Ihrer Deny-Richtlinie eine Ausnahme für FAS-Anfragen festzulegen. Dies kann für alle FAS-Anfragen mithilfe des `aws:ViaAWSService`-Bedingungsschlüssels erfolgen. Damit nur bestimmte AWS Dienste FAS-Anfragen stellen können, verwenden Sie. `aws:CalledVia`

**Wichtig**  
Wenn eine FAS-Anfrage gestellt wird, nachdem eine erste Anfrage über einen VPC-Endpunkt gestellt wurde, werden die Bedingungsschlüsselwerte für `aws:SourceVpce`, `aws:SourceVpc` und `aws:VpcSourceIp` aus der ersten Anfrage nicht in FAS-Anfragen verwendet. Wenn Sie Richtlinien mit `aws:VPCSourceIP` oder `aws:SourceVPCE` schreiben, um bedingten Zugriff zu gewähren, müssen Sie auch `aws:ViaAWSService` oder `aws:CalledVia` verwenden, um FAS-Anfragen zuzulassen. Wenn eine FAS-Anfrage gestellt wird, nachdem eine erste Anfrage bei einem Endpunkt eines öffentlichen AWS Dienstes eingegangen ist, werden nachfolgende FAS-Anfragen mit demselben `aws:SourceIP` Bedingungsschlüsselwert gestellt.

## Beispiel: Amazon-S3-Zugriff von einer VPC oder mit FAS zulassen
<a name="access_fas_example"></a>

Im folgenden Beispiel für eine IAM-Richtlinie sind Amazon S3 GetObject - und Athena-Anfragen nur zulässig, wenn sie von VPC-Endpunkten stammen, an die sie angeschlossen sind*example\$1vpc*, oder wenn es sich bei der Anfrage um eine FAS-Anfrage von Athena handelt.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "OnlyAllowMyIPs",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject*",
        "athena:StartQueryExecution",
        "athena:GetQueryResults",
        "athena:GetWorkGroup",
        "athena:StopQueryExecution",
        "athena:GetQueryExecution"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:SourceVPC": [
          "vpc-111bbb22"
          ]
        }
      }
    },
    {
      "Sid": "OnlyAllowFAS",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject*"
      ],
      "Resource": "*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:CalledVia": "athena.amazonaws.com"
        }
      }
    }
  ]
}
```

------

Weitere Beispiele für die Verwendung von Bedingungsschlüsseln, um den FAS-Zugriff zu ermöglichen, finden Sie im Repository [Data Perimeter Policy Examples](https://github.com/aws-samples/data-perimeter-policy-examples).

# Beispiele für identitätsbasierte Richtlinien in IAM
<a name="access_policies_examples"></a>

Eine [Richtlinie](access_policies.md) ist ein Objekt, AWS das, wenn es einer Identität oder Ressource zugeordnet ist, deren Berechtigungen definiert. AWS wertet diese Richtlinien aus, wenn ein IAM-Prinzipal (Benutzer oder Rolle) eine Anfrage stellt. Die Berechtigungen in den Richtlinien legen fest, ob eine Anforderung zugelassen oder abgelehnt wird. Die meisten Richtlinien werden in Form AWS von JSON-Dokumenten gespeichert, die an eine IAM-Identität (Benutzer, Benutzergruppe oder Rolle) angehängt sind. Zu identitätsbasierten Richtlinien gehören verwaltete AWS -Richtlinien, kundenverwaltete Richtlinien und eingebundene Richtlinien. Informationen zum Erstellen einer IAM-Richtlinie mithilfe dieser Beispiel-JSON-Richtliniendokumente finden Sie unter [Erstellen von Richtlinien mit dem JSON-Editor](access_policies_create-console.md#access_policies_create-json-editor).

Standardmäßig werden alle Anforderungen verweigert. Daher müssen Sie Zugriffsberechtigungen für alle Services, Aktionen und Ressourcen, auf die die Identität zugreifen soll, erteilen. Wenn Sie auch den Zugriff zur Durchführung der angegebenen Aktionen in der IAM-Konsole gewähren möchten, müssen Sie zusätzliche Berechtigungen erteilen.

Nachstehende Richtlinienbibliothek hilft Ihnen bei der Definition der Berechtigungen für Ihre IAM-Identitäten. Nachdem Sie die benötigte Richtlinie gefunden haben, klicken Sie auf **View this policy (Richtlinie anzeigen)**, um den JSON-Code der Richtlinie anzuzeigen. Sie können das JSON-Richtliniendokument als Vorlage für Ihre eigenen Richtlinien verwenden.

**Anmerkung**  
Wenn Sie eine Richtlinie zur Aufnahme in dieses Referenzhandbuch vorschlagen möchten, verwenden Sie die Schaltfläche **Feedback** unten auf der Seite.

## Beispielrichtlinien: AWS
<a name="policy_library_AWS"></a>
+ Gewährt den Zugriff innerhalb eines bestimmten Datumsbereichs. ([Richtlinie anzeigen](reference_policies_examples_aws-dates.md).)
+ Ermöglicht das Aktivieren und Deaktivieren von AWS Regionen. ([Richtlinie anzeigen](reference_policies_examples_aws-enable-disable-regions.md).)
+ Ermöglicht es MFA-authentifizierten Benutzern, ihre eigenen Anmeldeinformationen auf der Seite **Sicherheits-Anmeldeinformationen** zu verwalten. ([Richtlinie anzeigen](reference_policies_examples_aws_my-sec-creds-self-manage.md).)
+ Gewährt spezifischen Zugriff bei der Verwendung von MFA in einem bestimmten Datumsbereich. ([Richtlinie anzeigen](reference_policies_examples_aws_mfa-dates.md).)
+ Ermöglicht es Benutzern, ihre eigenen Anmeldeinformationen auf der Seite **Sicherheits-Anmeldeinformationen** zu verwalten. ([Richtlinie anzeigen](reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa.md).)
+ Ermöglicht es Benutzern, ihr eigenes MFA-Gerät auf der Seite **Sicherheits-Anmeldeinformationen** zu verwalten. ([Richtlinie anzeigen](reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only.md).)
+ Ermöglicht es Benutzern, ihr eigenes Passwort auf der Seite **Sicherheits-Anmeldeinformationen** zu verwalten. ([Richtlinie anzeigen](reference_policies_examples_aws_my-sec-creds-self-manage-password-only.md).)
+ Ermöglicht es Benutzern, ihr eigenes Passwort sowie ihre eigenen Zugriffsschlüssel und öffentlichen SSH-Schlüssel auf der Seite **Sicherheits-Anmeldeinformationen** zu verwalten. ([Richtlinie anzeigen](reference_policies_examples_aws_my-sec-creds-self-manage-pass-accesskeys-ssh.md).)
+ Verweigert den Zugriff auf AWS basierend auf der angeforderten Region. ([Richtlinie anzeigen](reference_policies_examples_aws_deny-requested-region.md).)
+ Verweigert den Zugriff auf AWS basierend auf der Quell-IP-Adresse. ([Richtlinie anzeigen](reference_policies_examples_aws_deny-ip.md).)

## Beispiel für eine Richtlinie: AWS Data Exchange
<a name="policy_data_exchange"></a>
+ Verweigern Sie den Zugriff auf Amazon-S3-Ressourcen außerhalb Ihres Kontos, mit Ausnahme von AWS Data Exchange. ([Richtlinie anzeigen](reference_policies_examples_resource_account_data_exch.md).)

## Beispielrichtlinien: AWS Data Pipeline
<a name="policy_library_DataPipeline"></a>
+ Verweigert den Zugriff auf nicht vom Benutzer erstellte Pipelines ([Richtlinie anzeigen](reference_policies_examples_datapipeline_not-owned.md)).

## Beispielrichtlinien: Amazon DynamoDB
<a name="policy_library_DynamoDB"></a>
+ Ermöglicht den Zugriff auf eine bestimmte Amazon DynamoDB-Tabelle ([Richtlinie anzeigen](reference_policies_examples_dynamodb_specific-table.md).)
+ Ermöglicht den Zugriff auf bestimmte Amazon DynamoDB-Attribute ([Richtlinie anzeigen](reference_policies_examples_dynamodb_attributes.md)).
+ Ermöglicht den zeilenweisen Zugriff auf Amazon DynamoDB, basierend auf einer Amazon Cognito ID-ID ([Richtlinie anzeigen](reference_policies_examples_dynamodb_items.md).)

## Beispielrichtlinien: Amazon EC2
<a name="policy_library_ec2"></a>
+ Ermöglicht das Anhängen oder Trennen von Amazon EBS-Volumes an EC2 Amazon-Instances auf der Grundlage von Tags ([Diese Richtlinie anzeigen](reference_policies_examples_ec2_ebs-owner.md).)
+ Ermöglicht das programmgesteuerte Starten von EC2 Amazon-Instances in einem bestimmten Subnetz und in der Konsole ([Diese Richtlinie anzeigen](reference_policies_examples_ec2_instances-subnet.md).)
+ Ermöglicht die programmgesteuerte Verwaltung von EC2 Amazon-Sicherheitsgruppen, die einer bestimmten VPC zugeordnet sind, und zwar programmgesteuert und in der Konsole ([Diese Richtlinie anzeigen](reference_policies_examples_ec2_securitygroups-vpc.md)).
+ Ermöglicht das programmgesteuerte Starten oder Stoppen von EC2 Amazon-Instances, die ein Benutzer markiert hat, und zwar programmgesteuert und in der Konsole ([Diese Richtlinie anzeigen](reference_policies_examples_ec2_tag-owner.md)).
+ Ermöglicht das programmgesteuerte Starten oder Stoppen von EC2 Amazon-Instances auf der Grundlage von Ressourcen- und Prinzipal-Tags ([Diese Richtlinie anzeigen](reference_policies_examples_ec2-start-stop-tags.md)).
+ Ermöglicht das Starten oder Stoppen von EC2 Amazon-Instances, wenn die Ressourcen- und Prinzipal-Tags übereinstimmen ([Sehen Sie sich diese Richtlinie](reference_policies_examples_ec2-start-stop-match-tags.md) an.)
+ Ermöglicht vollen EC2 Amazon-Zugriff innerhalb einer bestimmten Region, programmgesteuert und in der Konsole. ([Richtlinie anzeigen](reference_policies_examples_ec2_region.md).)
+ Ermöglicht das Starten oder Stoppen einer bestimmten EC2 Amazon-Instance und das Ändern einer bestimmten Sicherheitsgruppe programmgesteuert und in der Konsole ([Diese Richtlinie anzeigen](reference_policies_examples_ec2_instance-securitygroup.md)).
+ Verweigert den Zugriff auf bestimmte EC2 Amazon-Operationen ohne MFA ([Sehen Sie sich diese Richtlinie](reference_policies_examples_ec2_require-mfa.md) an.)
+ Beschränkt das Beenden von EC2 Amazon-Instances auf einen bestimmten IP-Adressbereich ([Sehen Sie sich diese Richtlinie](reference_policies_examples_ec2_terminate-ip.md) an.)

## Beispielrichtlinien: AWS Identity and Access Management (IAM)
<a name="policy_library_IAM"></a>
+ Ermöglicht den Zugriff auf die Richtliniensimulator-API ([Richtlinie anzeigen](reference_policies_examples_iam_policy-sim.md)).
+ Ermöglicht den Zugriff auf die Richtliniensimulator-Konsole ([Richtlinie anzeigen](reference_policies_examples_iam_policy-sim-console.md)).
+ Ermöglicht die Annahme aller Rollen mit einem bestimmten Tag, programmgesteuert und in der Konsole [(Richtlinie anzeigen)](reference_policies_examples_iam-assume-tagged-role.md).
+ Ermöglicht und verweigert den Zugriff auf mehrere Services, programmgesteuert und in der Konsole [(Richtlinie anzeigen)](reference_policies_examples_iam_multiple-services-console.md).
+ Ermöglicht das Hinzufügen eines spezifischen Tags an einen IAM-Benutzer mit einem anderen spezifischen Tag, programmgesteuert und in der Konsole ([Richtlinie anzeigen](reference_policies_examples_iam-add-tag.md)).
+ Ermöglicht das Hinzufügen eines spezifischen Tags zu einem bzw. einer beliebigen IAM-Benutzer oder ‑Rolle, programmgesteuert und in der Konsole ([Richtlinie anzeigen](reference_policies_examples_iam-add-tag-user-role.md)).
+ Ermöglicht das Erstellen eines neuen Benutzers nur mit bestimmten Tags ([Richtlinie anzeigen](reference_policies_examples_iam-new-user-tag.md))
+ Ermöglicht das Generieren und Abrufen von IAM-Berichten zu den Anmeldeinformationen ([Richtlinie anzeigen](reference_policies_examples_iam-credential-report.md)).
+ Ermöglicht die Verwaltung einer Gruppenmitgliedschaft, programmgesteuert und in der Konsole [(Richtlinie anzeigen](reference_policies_examples_iam_manage-group-membership.md)).
+ Ermöglicht das Verwalten eines bestimmten Tags ([Richtlinie anzeigen](reference_policies_examples_iam-manage-tags.md).)
+ Ermöglicht die Übergabe einer IAM-Rolle an einen bestimmten Service ([Richtlinie anzeigen](reference_policies_examples_iam-passrole-service.md)).
+ Ermöglicht schreibgeschützten Zugriff auf die IAM-Konsole ohne Berichterstattung ([Richtlinie anzeigen](reference_policies_examples_iam_read-only-console-no-reporting.md)).
+ Ermöglicht schreibgeschützten Zugriff auf die IAM-Konsole ([Richtlinie anzeigen](reference_policies_examples_iam_read-only-console.md)).
+ Ermöglicht spezifischen Benutzern die Verwaltung einer Gruppe, programmgesteuert und in der Konsole [(Richtlinie anzeigen](reference_policies_examples_iam_users-manage-group.md)).
+ Ermöglicht das Festlegen der Kontopasswortanforderungen, programmgesteuert und in der Konsole ([Richtlinie anzeigen](reference_policies_examples_iam_set-account-pass-policy.md).)
+ Ermöglicht den Benutzern mit einem bestimmten Pfad die Verwendung der Richtliniensimulator-API ([Richtlinie anzeigen](reference_policies_examples_iam_policy-sim-path.md)).
+ Ermöglicht den Benutzern mit einem bestimmten Pfad die Verwendung der Richtliniensimulator-Konsole ([Richtlinie anzeigen](reference_policies_examples_iam_policy-sim-path-console.md)).
+ IAM: Ermöglicht es IAM-Benutzern, MFA-Geräte selbst zu verwalten ([Richtlinie anzeigen](reference_policies_examples_iam_mfa-selfmanage.md).)
+ Ermöglicht IAM-Benutzern, ihre eigenen Anmeldeinformationen programmgesteuert und in der Konsole festzulegen. ([Richtlinie anzeigen](reference_policies_examples_iam_credentials_console.md).)
+ Ermöglicht das Anzeigen von Informationen über den Dienst, auf den zuletzt zugegriffen wurde, für eine AWS Organizations Richtlinie in der IAM-Konsole. ([Richtlinie anzeigen](reference_policies_examples_iam_service-accessed-data-orgs.md).)
+ Beschränkt die verwalteten Richtlinien, die IAM-Benutzern, -Gruppen oder -Rollen zugeordnet werden können ([Richtlinie anzeigen](reference_policies_examples_iam_limit-managed.md)).
+ Erlaubt den Zugriff auf IAM-Richtlinien nur in Ihrem Konto ([Diese Richtlinie anzeigen](resource_examples_iam_policies_resource_account.md).)

## Beispielrichtlinien: AWS Lambda
<a name="policy_library_Lambda"></a>
+ Ermöglicht einer AWS Lambda Funktion den Zugriff auf eine Amazon DynamoDB-Tabelle ([Diese Richtlinie anzeigen](reference_policies_examples_lambda-access-dynamodb.md).)

## Beispielrichtlinien: Amazon RDS
<a name="policy_library_RDS"></a>
+ Ermöglicht den vollständigen Amazon RDS-Datenbankzugriff innerhalb einer bestimmten Region. ([Richtlinie anzeigen](reference_policies_examples_rds_region.md).)
+ Ermöglicht es, Amazon RDS-Datenbanken programmgesteuert und in der Konsole wiederherzustellen ([Richtlinie anzeigen](reference_policies_examples_rds_db-console.md))
+ Gewährt Tag-Eigentümern Vollzugriff auf die von ihnen markierten Amazon RDS-Ressourcen ([Richtlinie anzeigen](reference_policies_examples_rds_tag-owner.md))

## Beispiele für Richtlinien: Amazon S3
<a name="policy_library_S3"></a>
+ Ermöglicht es einem Amazon Cognito-Benutzer, auf Objekte in seinem eigenen Amazon S3-Bucket zuzugreifen ([Richtlinie anzeigen](reference_policies_examples_s3_cognito-bucket.md))
+ Ermöglicht einem Benutzer mit temporären Anmeldeinformationen den Zugriff auf sein eigenes Stammverzeichnis in Amazon S3, programmgesteuert und in der Konsole ([Diese Richtlinie anzeigen](reference_policies_examples_s3_federated-home-directory-console.md)).
+ Ermöglicht vollständigen S3-Zugriff. Verweigert jedoch explizit den Zugriff auf den Produktions-Bucket, wenn der Administrator sich nicht innerhalb der letzten dreißig Minuten mit MFA angemeldet hat, ([Richtlinie anzeigen)](reference_policies_examples_s3_full-access-except-production.md).
+ Ermöglicht es IAM-Benutzern, programmgesteuert und in der Konsole auf ihr eigenes Stammverzeichnis in Amazon S3 zuzugreifen ([Richtlinie anzeigen](reference_policies_examples_s3_home-directory-console.md))
+ Ermöglicht einem Benutzer die Verwaltung eines einzelnen Amazon S3 S3-Buckets und verweigert alle anderen AWS Aktionen und Ressourcen ([Diese Richtlinie anzeigen](reference_policies_examples_s3_deny-except-bucket.md).)
+ Ermöglicht den `Read`- und `Write`-Zugriff auf einen bestimmten Amazon S3-Bucket ([Richtlinie anzeigen](reference_policies_examples_s3_rw-bucket.md))
+ Ermöglicht den `Read`- und `Write`-Zugriff programmgesteuert und in der Konsole auf einen bestimmten Amazon S3-Bucket ([Richtlinie anzeigen](reference_policies_examples_s3_rw-bucket-console.md))

# AWS: Ermöglicht Zugriff basierend auf Datum und Uhrzeit
<a name="reference_policies_examples_aws-dates"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die den Zugriff auf Aktionen basierend auf Datum und Uhrzeit erlaubt. Diese Richtlinie beschränkt den Zugriff auf Aktionen, die zwischen dem 1. April 2020 und dem 30. Juni 2020 (UTC) stattfinden. Diese Richtlinie gewährt die erforderlichen Berechtigungen, um diese Aktion programmgesteuert über die AWS API oder abzuschließen. AWS CLI Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md).

Weitere Informationen zum Verwenden mehrerer Bedingungen innerhalb eines `Condition`-Blocks einer IAM-Richtlinie finden Sie unter [Mehrere Werte in einer Bedingung](reference_policies_elements_condition.md#Condition-multiple-conditions).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "service-prefix:action-name",
            "Resource": "*",
            "Condition": {
                "DateGreaterThan": {"aws:CurrentTime": "2020-04-01T00:00:00Z"},
                "DateLessThan": {"aws:CurrentTime": "2020-06-30T23:59:59Z"}
            }
        }
    ]
}
```

------

**Anmerkung**  
Sie können eine Richtlinienvariable nicht mit dem Datum-Bedingungsoperator verwenden. Weitere Informationen finden Sie unter [Condition-Element](reference_policies_variables.md#policy-vars-conditionelement)

# AWS: Ermöglicht das Aktivieren und Deaktivieren von Regionen AWS
<a name="reference_policies_examples_aws-enable-disable-regions"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die es einem Administrator erlaubt, die Region Asien-Pazifik (Hongkong) (ap-east-1) zu aktivieren und zu deaktivieren. Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff. Diese Einstellung wird auf der Seite **Account Settings (Kontoeinstellungen)** in der AWS-Managementkonsole angezeigt. Diese Seite enthält sensible Informationen auf Kontoebene, die nur von Kontoadministratoren angezeigt und verwaltet werden sollten. Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md).

**Wichtig**  
Standardmäßig aktivierte Regionen können weder aktiviert noch deaktiviert werden. Sie können nur Regionen einschließen, die standardmäßig *deaktiviert* sind. Weitere Informationen finden Sie unter [Verwalten von AWS -Regionen](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html) im *Allgemeine AWS-Referenz*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EnableDisableHongKong",
            "Effect": "Allow",
            "Action": [
                "account:EnableRegion",
                "account:DisableRegion"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {"account:TargetRegion": "ap-east-1"}
            }
        },
        {
            "Sid": "ViewConsole",
            "Effect": "Allow",
            "Action": [
                "account:ListRegions"
            ],
            "Resource": "*"
        }
    ]
}
```

------

# AWS: Ermöglicht es MFA-authentifizierten IAM-Benutzern, ihr eigenen Anmeldeinformationen auf der Seite Sicherheits-Anmeldeinformationen zu verwalten
<a name="reference_policies_examples_aws_my-sec-creds-self-manage"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die es IAM-Benutzern, die mithilfe der [Multi-Faktor-Authentifizierung (MFA)](id_credentials_mfa.md) authentifiziert werden, erlaubt, ihre eigenen Anmeldeinformationen auf der Seite **Sicherheits-Anmeldeinformationen** zu verwalten. Diese Seite der AWS-Managementkonsole zeigt Kontoinformationen wie z. B. die Konto-ID und die kanonische Benutzer-ID an. Benutzer können auch ihre eigenen Passwörter, Zugriffsschlüssel, MFA-Geräte, X.509-Zertifikate und SSH-Schlüssel und Git-Anmeldeinformationen anzeigen und bearbeiten. Diese Beispielrichtlinie enthält die erforderlichen Berechtigungen zum Anzeigen und Bearbeiten aller Informationen auf der Seite. Außerdem muss der Benutzer MFA einrichten und authentifizieren, bevor er andere Operationen in ausführt. AWS Informationen darüber, wie Benutzern die Verwaltung ihrer eigenen Anmeldeinformationen ohne MFA ermöglicht wird, finden Sie unter [AWS: Ermöglicht IAM-Benutzern, ihre eigenen Anmeldeinformationen auf der Seite „Sicherheits-Anmeldeinformationen“ zu verwalten](reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa.md).

Informationen dazu, wie Benutzer auf die Seite **Sicherheits-Anmeldeinformationen** zugreifen können, finden Sie unter [Wie IAM-Benutzer ihr eigenes Passwort ändern können (Konsole)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console).

**Anmerkung**  
Diese Beispielrichtlinie erlaubt es Benutzern nicht, ein Passwort zurückzusetzen, wenn sie sich zum ersten Mal bei der anmelden. AWS-Managementkonsole Wir empfehlen, dass Sie neuen Benutzern keine Berechtigungen erteilen, bis sie sich angemeldet haben. Weitere Informationen finden Sie unter [Wie erstelle ich sicher IAM-Benutzer?](troubleshoot.md#troubleshoot_general_securely-create-iam-users). Dies verhindert auch, dass Benutzer mit einem abgelaufenen Passwort ihr Passwort während der Anmeldung zurücksetzen können. Sie können dies erlauben, indem Sie `iam:ChangePassword` und `iam:GetAccountPasswordPolicy` der Anweisung `DenyAllExceptListedIfNoMFA` hinzufügen. Wir empfehlen dies jedoch nicht, da es ein Sicherheitsrisiko darstellen kann, Benutzern eine Änderung ihres Passworts ohne MFA zu erlauben.
Wenn Sie diese Richtlinie für den programmatischen Zugriff verwenden möchten, müssen Sie [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html) anrufen, um sich bei MFA zu authentifizieren. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](id_credentials_mfa_configure-api-require.md).

**Was macht diese Richtlinie?**
+ Die `AllowViewAccountInfo`-Anweisung ermöglicht es dem Benutzer, Informationen auf Kontoebene anzuzeigen. Diese Berechtigungen müssen in ihrer eigenen Anweisung vorliegen, da sie keine Ressourcen-ARN unterstützen oder keine angeben müssen. Geben Sie anstelle von Berechtigungen `"Resource" : "*"` ein. Diese Anweisung enthält die folgenden Aktionen, mit denen der Benutzer spezifische Informationen anzeigen kann: 
  + `GetAccountPasswordPolicy` – Zeigt die Passwortanforderungen des Kontos beim Ändern seines eigenen IAM-Benutzer-Passworts an.
  + `ListVirtualMFADevices` – Zeigt Details über ein virtuelles MFA-Gerät an, das für den Benutzer aktiviert ist.
+ Mit der `AllowManageOwnPasswords`-Anweisung kann der Benutzer sein eigenes Passwort ändern. Diese Anweisung enthält auch die `GetUser`-Aktion, die erforderlich ist, um die meisten Informationen auf der Seite **My Security Credentials (Meine Sicherheitsanmeldeinformationen)** anzuzeigen.
+ Die `AllowManageOwnAccessKeys`-Anweisung ermöglicht dem Benutzer das Erstellen, Aktualisieren und Löschen seiner eigenen Zugriffsschlüssel. Der Benutzer kann auch Informationen darüber abrufen, wann der angegebene Zugriffsschlüssel zuletzt verwendet wurde.
+ Die `AllowManageOwnSigningCertificates`-Anweisung ermöglicht dem Benutzer das Hochladen, Aktualisieren und Löschen seiner eigenen Signaturzertifikate.
+ Die `AllowManageOwnSSHPublicKeys`-Anweisung ermöglicht dem Benutzer das Hochladen, Aktualisieren und Löschen seiner eigenen öffentlichen SSH-Schlüssel für CodeCommit.
+ Die `AllowManageOwnGitCredentials`-Anweisung ermöglicht dem Benutzer das Erstellen, Aktualisieren und Löschen seiner eigenen Git-Anmeldeinformationen für CodeCommit.
+ Die `AllowManageOwnVirtualMFADevice`-Anweisung ermöglicht dem Benutzer das Erstellen seines eigenen virtuellen MFA-Geräts. Der Ressourcen-ARN in dieser Anweisung erlaubt es dem Benutzer, ein MFA-Gerät mit einem beliebigen Namen zu erstellen, aber die anderen Anweisungen in der Richtlinie erlauben es dem Benutzer nur, das Gerät mit dem aktuell angemeldeten Benutzer zu verknüpfen.
+ Die `AllowManageOwnUserMFA`-Anweisung ermöglicht es dem Benutzer, das virtuelle, U2F- oder physische MFA-Gerät für seinen eigenen Benutzer anzuzeigen oder zu verwalten. Der Ressourcen-ARN in dieser Anweisung gewährt nur Zugriff auf den eigenen IAM-Benutzer des Benutzers. Benutzer können das MFA-Gerät für andere Benutzer nicht anzeigen oder verwalten. 
+ Die `DenyAllExceptListedIfNoMFA` Anweisung verweigert den Zugriff auf alle Aktionen in allen AWS Diensten, mit Ausnahme einiger aufgelisteter Aktionen, jedoch ***nur, wenn*** der Benutzer nicht mit MFA angemeldet ist. Die Anweisung verwendet eine Kombination aus `"Deny"` und `"NotAction"`, um den Zugriff auf alle Aktionen, die nicht aufgeführt sind, explizit zu verwehren. Die aufgeführten Elemente werden durch diese Anweisung nicht verweigert oder zugelassen. Die Aktionen werden aber durch andere Anweisungen in der Richtlinie zugelassen. Weitere Informationen zur Logik dieser Anweisung finden Sie unter [NotAction with](reference_policies_elements_notaction.md) Deny. Hat sich der Benutzer mit MFA angemeldet, schlägt der `Condition`-Test fehl und diese Anweisung verwehrt keine Aktionen. In diesem Fall bestimmen andere Richtlinien oder Anweisungen für den Benutzer die Berechtigungen des Benutzers.

  Durch diese Anweisung wird sichergestellt, dass der Benutzer, wenn er nicht mit MFA angemeldet ist, nur die aufgeführten Aktionen ausführen kann. Außerdem kann er die aufgelisteten Aktionen nur ausführen, wenn eine andere Anweisung oder Richtlinie den Zugriff auf diese Aktionen gewährt. Dies ermöglicht es einem Benutzer nicht, beim Anmelden ein Passwort zu erstellen, da die `iam:ChangePassword`-Aktion nicht ohne MFA-Autorisierung erlaubt sein sollte.

  Die `...IfExists`-Version des `Bool` -Operators stellt sicher, dass bei fehlendem `aws:MultiFactorAuthPresent`-Schlüssel die Bedingung den Wert "True" zurückgibt. Dies bedeutet, dass einem Benutzer, der mit langfristigen Anmeldeinformationen auf eine API zugreift, wie z. B. einem Zugriffsschlüssel, der Zugriff auf die Nicht-IAM-API-Operationen verweigert wird.

Diese Richtlinie ermöglicht es Benutzern nicht, die Seite **Users (Benutzer)** in der IAM-Konsole anzuzeigen oder diese Seite für den Zugriff auf ihre eigenen Benutzerinformationen zu verwenden. Um dies zuzulassen, fügen Sie die Aktion `iam:ListUsers` der Anweisung `AllowViewAccountInfo` und der Anweisung `DenyAllExceptListedIfNoMFA` hinzu. Darüber hinaus ermöglicht sie Benutzern nicht, ihr Passwort auf ihrer eigenen Benutzerseite anzupassen. Um dies zu ermöglichen, fügen Sie die Aktionen `iam:GetLoginProfile` und `iam:UpdateLoginProfile` zur Anweisung `AllowManageOwnPasswords` hinzu. Um es einem Benutzer auch zu ermöglichen, sein Passwort über seine eigene Benutzerseite zu ändern, ohne sich mit MFA anzumelden, fügen Sie die Aktion `iam:UpdateLoginProfile` zur Anweisung `DenyAllExceptListedIfNoMFA` hinzu.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowViewAccountInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:ListVirtualMFADevices"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowManageOwnPasswords",
            "Effect": "Allow",
            "Action": [
                "iam:ChangePassword",
                "iam:GetUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:DeleteAccessKey",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:GetAccessKeyLastUsed"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSigningCertificates",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSigningCertificate",
                "iam:ListSigningCertificates",
                "iam:UpdateSigningCertificate",
                "iam:UploadSigningCertificate"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSSHPublicKeys",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSSHPublicKey",
                "iam:GetSSHPublicKey",
                "iam:ListSSHPublicKeys",
                "iam:UpdateSSHPublicKey",
                "iam:UploadSSHPublicKey"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnGitCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceSpecificCredential",
                "iam:DeleteServiceSpecificCredential",
                "iam:ListServiceSpecificCredentials",
                "iam:ResetServiceSpecificCredential",
                "iam:UpdateServiceSpecificCredential"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnVirtualMFADevice",
            "Effect": "Allow",
            "Action": [
                "iam:CreateVirtualMFADevice"
            ],
            "Resource": "arn:aws:iam::*:mfa/*"
        },
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:CreateVirtualMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:GetMFADevice",
                "iam:ListMFADevices",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice",
                "sts:GetSessionToken"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}
```

------

# AWS: Ermöglicht spezifischen Zugriff mit MFA innerhalb bestimmter Daten
<a name="reference_policies_examples_aws_mfa-dates"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen, die mehrere Bedingungen verwendet, die mithilfe von einem logischen `AND` bewertet werden. Es ermöglicht vollständigen Zugriff auf den Service mit dem Namen `SERVICE-NAME-1`und den Zugriff auf die Aktionen `ACTION-NAME-A` und `ACTION-NAME-B` im Service mit dem Namen `SERVICE-NAME-2`. Diese Aktionen sind nur zulässig, wenn der Benutzer mit der [Multi-Factor Authentication (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) authentifiziert wird. Der Zugriff ist auf Aktionen vom 1. Juli 2017 bis einschließlich 31. Dezember 2017 (UTC) beschränkt. Diese Richtlinie gewährt die erforderlichen Berechtigungen, um diese Aktion programmgesteuert über die AWS API oder abzuschließen. AWS CLI Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md).

Weitere Informationen zum Verwenden mehrerer Bedingungen innerhalb eines `Condition`-Blocks einer IAM-Richtlinie finden Sie unter [Mehrere Werte in einer Bedingung](reference_policies_elements_condition.md#Condition-multiple-conditions).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "service-prefix-1:*",
            "service-prefix-2:action-name-a",
            "service-prefix-2:action-name-b"
        ],
        "Resource": "*",
        "Condition": {
            "Bool": {"aws:MultiFactorAuthPresent": true},
            "DateGreaterThan": {"aws:CurrentTime": "2017-07-01T00:00:00Z"},
            "DateLessThan": {"aws:CurrentTime": "2017-12-31T23:59:59Z"}
        }
    }
}
```

------

# AWS: Ermöglicht IAM-Benutzern, ihre eigenen Anmeldeinformationen auf der Seite „Sicherheits-Anmeldeinformationen“ zu verwalten
<a name="reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die es IAM-Benutzern erlaubt, alle ihre eigenen Anmeldeinformationen auf der Seite **Sicherheitsanmeldeinformationen** zu verwalten. AWS-Managementkonsole Auf dieser Seite werden Kontoinformationen wie die Konto-ID und die kanonische Benutzer-ID angezeigt. Benutzer können auch ihre eigenen Passwörter, Zugriffsschlüssel, X.509-Zertifikate, SSH-Schlüssel und Git-Anmeldeinformationen anzeigen und bearbeiten. Diese Beispielrichtlinie enthält die erforderlichen Berechtigungen zum Anzeigen und Bearbeiten aller Informationen auf der Seite *mit Ausnahme* des MFA-Geräts des Benutzers. Informationen darüber, wie Benutzern die Verwaltung ihrer eigenen Anmeldeinformationen mit MFA ermöglicht wird, finden Sie unter [AWS: Ermöglicht es MFA-authentifizierten IAM-Benutzern, ihr eigenen Anmeldeinformationen auf der Seite Sicherheits-Anmeldeinformationen zu verwalten](reference_policies_examples_aws_my-sec-creds-self-manage.md).

Informationen dazu, wie Benutzer auf die Seite **Sicherheits-Anmeldeinformationen** zugreifen können, finden Sie unter [Wie IAM-Benutzer ihr eigenes Passwort ändern können (Konsole)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console).

**Was macht diese Richtlinie?**
+ Die `AllowViewAccountInfo`-Anweisung ermöglicht es dem Benutzer, Informationen auf Kontoebene anzuzeigen. Diese Berechtigungen müssen in ihrer eigenen Anweisung vorliegen, da sie keine Ressourcen-ARN unterstützen oder keine angeben müssen. Geben Sie anstelle von Berechtigungen `"Resource" : "*"` ein. Diese Anweisung enthält die folgenden Aktionen, mit denen der Benutzer spezifische Informationen anzeigen kann: 
  + `GetAccountPasswordPolicy` – Zeigt die Passwortanforderungen des Kontos beim Ändern seines eigenen IAM-Benutzer-Passworts an.
  + `GetAccountSummary` – Zeigt die Konto-ID und die [kanonische Benutzer-ID](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingCanonicalId) des Kontos an.
+ Mit der `AllowManageOwnPasswords`-Anweisung kann der Benutzer sein eigenes Passwort ändern. Diese Anweisung enthält auch die `GetUser`-Aktion, die erforderlich ist, um die meisten Informationen auf der Seite **My Security Credentials (Meine Sicherheitsanmeldeinformationen)** anzuzeigen.
+ Die `AllowManageOwnAccessKeys`-Anweisung ermöglicht dem Benutzer das Erstellen, Aktualisieren und Löschen seiner eigenen Zugriffsschlüssel. Der Benutzer kann auch Informationen darüber abrufen, wann der angegebene Zugriffsschlüssel zuletzt verwendet wurde.
+ Die `AllowManageOwnSigningCertificates`-Anweisung ermöglicht dem Benutzer das Hochladen, Aktualisieren und Löschen seiner eigenen Signaturzertifikate.
+ Die `AllowManageOwnSSHPublicKeys`-Anweisung ermöglicht dem Benutzer das Hochladen, Aktualisieren und Löschen seiner eigenen öffentlichen SSH-Schlüssel für CodeCommit.
+ Die `AllowManageOwnGitCredentials`-Anweisung ermöglicht dem Benutzer das Erstellen, Aktualisieren und Löschen seiner eigenen Git-Anmeldeinformationen für CodeCommit.

Diese Richtlinie erlaubt es Benutzern nicht, ihre eigenen MFA-Geräte anzuzeigen oder zu verwalten. Außerdem können sie die Seite **Users (Benutzer)** in der IAM-Konsole nicht anzuzeigen oder für den Zugriff auf ihre eigenen Benutzerinformationen verwenden. Um dies zu ermöglichen, fügen Sie die Aktion `iam:ListUsers` zur Anweisung `AllowViewAccountInfo` hinzu. Darüber hinaus ermöglicht sie Benutzern nicht, ihr Passwort auf ihrer eigenen Benutzerseite anzupassen. Um dies zu ermöglichen, fügen Sie die Aktionen `iam:CreateLoginProfile`, `iam:DeleteLoginProfile`, `iam:GetLoginProfile` und `iam:UpdateLoginProfile` zur Anweisung `AllowManageOwnPasswords` hinzu. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowViewAccountInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:GetAccountSummary"       
            ],
            "Resource": "*"
        },       
        {
            "Sid": "AllowManageOwnPasswords",
            "Effect": "Allow",
            "Action": [
                "iam:ChangePassword",
                "iam:GetUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:DeleteAccessKey",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:GetAccessKeyLastUsed"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSigningCertificates",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSigningCertificate",
                "iam:ListSigningCertificates",
                "iam:UpdateSigningCertificate",
                "iam:UploadSigningCertificate"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSSHPublicKeys",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSSHPublicKey",
                "iam:GetSSHPublicKey",
                "iam:ListSSHPublicKeys",
                "iam:UpdateSSHPublicKey",
                "iam:UploadSSHPublicKey"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnGitCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceSpecificCredential",
                "iam:DeleteServiceSpecificCredential",
                "iam:ListServiceSpecificCredentials",
                "iam:ResetServiceSpecificCredential",
                "iam:UpdateServiceSpecificCredential"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

# AWS: Ermöglicht MFA-authentifizierten IAM-Benutzern die Verwaltung ihres eigenen MFA-Geräts auf der Seite „Sicherheits-Anmeldeinformationen“
<a name="reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die es IAM-Benutzern, die über eine [Multi-Faktor-Authentifizierung (MFA)](id_credentials_mfa.md) authentifiziert wurden, ermöglicht, ihr eigenes MFA-Gerät auf der Seite **Sicherheits-Anmeldeinformationen** zu verwalten. AWS-Managementkonsole Auf dieser Seite werden Konto- und Benutzerinformationen angezeigt, aber der Benutzer kann nur sein eigenes MFA-Gerät anzeigen und bearbeiten. Informationen darüber, wie Benutzern die Verwaltung aller ihrer eigenen Anmeldeinformationen mit MFA ermöglicht wird, finden Sie unter [AWS: Ermöglicht es MFA-authentifizierten IAM-Benutzern, ihr eigenen Anmeldeinformationen auf der Seite Sicherheits-Anmeldeinformationen zu verwalten](reference_policies_examples_aws_my-sec-creds-self-manage.md).

**Anmerkung**  
Wenn ein IAM-Benutzer mit dieser Richtlinie nicht MFA-authentifiziert ist, verweigert diese Richtlinie den Zugriff auf alle AWS Aktionen außer denen, die für die Authentifizierung mit MFA erforderlich sind. Um die AWS CLI AWS AND-API verwenden zu können, müssen IAM-Benutzer zuerst ihr MFA-Token mithilfe des AWS STS [GetSessionToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html)Vorgangs abrufen und dann dieses Token verwenden, um den gewünschten Vorgang zu authentifizieren. Andere Richtlinien, wie zum Beispiel ressourcenbasierte Richtlinien oder andere identitätsbasierte Richtlinien, können Aktionen in anderen Services erlauben. Diese Richtlinie verweigert den Zugriff, wenn der IAM-Benutzer nicht per MFA authentifiziert wurde.

Informationen dazu, wie Benutzer auf die Seite **Sicherheits-Anmeldeinformationen** zugreifen können, finden Sie unter [Wie IAM-Benutzer ihr eigenes Passwort ändern können (Konsole)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console).

**Was macht diese Richtlinie?**
+ Die Anweisung `AllowViewAccountInfo` erlaubt dem Benutzer das Anzeigen von Details zu einem virtuellen MFA-Gerät, das für den Benutzer aktiviert ist. Diese Berechtigung muss als eigene Anweisung vorliegen, da sie nicht die Angabe eines Ressourcen-ARN unterstützt. Stattdessen müssen Sie `"Resource" : "*"` angeben.
+ Die `AllowManageOwnVirtualMFADevice`-Anweisung ermöglicht dem Benutzer das Erstellen seines eigenen virtuellen MFA-Geräts. Der Ressourcen-ARN in dieser Anweisung erlaubt es dem Benutzer, ein MFA-Gerät mit einem beliebigen Namen zu erstellen, aber die anderen Anweisungen in der Richtlinie erlauben es dem Benutzer nur, das Gerät mit dem aktuell angemeldeten Benutzer zu verknüpfen.
+ Die `AllowManageOwnUserMFA`-Anweisung ermöglicht es dem Benutzer, sein eigenes virtuelles, U2F- oder physisches MFA-Gerät anzuzeigen oder zu verwalten. Der Ressourcen-ARN in dieser Anweisung gewährt nur Zugriff auf den eigenen IAM-Benutzer des Benutzers. Benutzer können das MFA-Gerät für andere Benutzer nicht anzeigen oder verwalten.
+ Die `DenyAllExceptListedIfNoMFA` Anweisung verweigert den Zugriff auf alle Aktionen in allen AWS Diensten, mit Ausnahme einiger aufgelisteter Aktionen, jedoch ***nur, wenn*** der Benutzer nicht mit MFA angemeldet ist. Die Anweisung verwendet eine Kombination aus `"Deny"` und `"NotAction"`, um den Zugriff auf alle Aktionen, die nicht aufgeführt sind, explizit zu verwehren. Die aufgeführten Elemente werden durch diese Anweisung nicht verweigert oder zugelassen. Die Aktionen werden aber durch andere Anweisungen in der Richtlinie zugelassen. Weitere Informationen zur Logik dieser Anweisung finden Sie unter [NotAction with](reference_policies_elements_notaction.md) Deny. Hat sich der Benutzer mit MFA angemeldet, schlägt der `Condition`-Test fehl und diese Anweisung verwehrt keine Aktionen. In diesem Fall bestimmen andere Richtlinien oder Anweisungen für den Benutzer die Berechtigungen des Benutzers.

  Durch diese Anweisung wird sichergestellt, dass der Benutzer, wenn er nicht mit MFA angemeldet ist, nur die aufgeführten Aktionen ausführen kann. Außerdem kann er die aufgelisteten Aktionen nur ausführen, wenn eine andere Anweisung oder Richtlinie den Zugriff auf diese Aktionen gewährt.

  Die `...IfExists`-Version des `Bool` -Operators stellt sicher, dass bei fehlendem `aws:MultiFactorAuthPresent`-Schlüssel die Bedingung den Wert "True" zurückgibt. Dies bedeutet, dass einem Benutzer, der mit langfristigen Anmeldeinformationen auf eine API-Operation zugreift, wie z. B. einem Zugriffsschlüssel, der Zugriff auf die Nicht-IAM-API-Operationen verweigert wird.

Diese Richtlinie ermöglicht es Benutzern nicht, die Seite **Users (Benutzer)** in der IAM-Konsole anzuzeigen oder diese Seite für den Zugriff auf ihre eigenen Benutzerinformationen zu verwenden. Um dies zuzulassen, fügen Sie die Aktion `iam:ListUsers` der Anweisung `AllowViewAccountInfo` und der Anweisung `DenyAllExceptListedIfNoMFA` hinzu.

**Warnung**  
Erlauben Sie nicht das Löschen eines MFA-Geräts ohne MFA-Authentifizierung. Benutzer mit dieser Richtlinie könnten möglicherweise versuchen, sich selbst ein virtuelles MFA-Gerät zuzuweisen und eine Fehlermeldung erhalten, da sie zur Ausführung von `iam:DeleteVirtualMFADevice` nicht berechtigt sind. Wenn dies der Fall ist, fügen Sie diese Berechtigung **nicht** zur `DenyAllExceptListedIfNoMFA`-Anweisung hinzu. Benutzer, die nicht über MFA authentifiziert wurden, sollten niemals zum Löschen Ihres MFA-Geräts berechtigt werden. Benutzern könnte diese Fehlermeldung angezeigt werden, wenn sie damit begonnen haben, ein virtuelles MFA-Gerät zu ihrem Benutzer zuzuweisen und den Prozess abgebrochen haben. Um dieses Problem zu beheben, müssen Sie oder ein anderer Administrator das vorhandene virtuelle MFA-Gerät des Benutzers mithilfe der AWS API AWS CLI oder löschen. Weitere Informationen finden Sie unter [Ich bin nicht berechtigt, Folgendes aufzuführen: iam: DeleteVirtual MFADevice](troubleshoot.md#troubleshoot_general_access-denied-delete-mfa).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowViewAccountInfo",
            "Effect": "Allow",
            "Action": "iam:ListVirtualMFADevices",
            "Resource": "*"
        },
        {
            "Sid": "AllowManageOwnVirtualMFADevice",
            "Effect": "Allow",
            "Action": [
                "iam:CreateVirtualMFADevice"
            ],
            "Resource": "arn:aws:iam::*:mfa/*"
        },
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:GetMFADevice",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:CreateVirtualMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice",
                "sts:GetSessionToken"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {"aws:MultiFactorAuthPresent": "false"}
            }
        }
    ]
}
```

------

# AWS: Ermöglicht es IAM-Benutzern, ihr eigenes Konsolenpasswort auf der Seite Sicherheits-Anmeldeinformationen zu verwalten
<a name="reference_policies_examples_aws_my-sec-creds-self-manage-password-only"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen könnten, die es IAM-Benutzern ermöglicht, ihr eigenes AWS-Managementkonsole Passwort auf der Seite **Sicherheitsanmeldedaten** zu ändern. AWS-Managementkonsole Auf dieser Seite werden Konto- und Benutzerinformationen angezeigt, aber der Benutzer kann nur auf sein eigenes Passwort zugreifen. Informationen darüber, wie Benutzern die Verwaltung aller ihrer eigenen Anmeldeinformationen mit MFA ermöglicht wird, finden Sie unter [AWS: Ermöglicht es MFA-authentifizierten IAM-Benutzern, ihr eigenen Anmeldeinformationen auf der Seite Sicherheits-Anmeldeinformationen zu verwalten](reference_policies_examples_aws_my-sec-creds-self-manage.md). Informationen darüber, wie Benutzern die Verwaltung ihrer eigenen Anmeldeinformationen ohne MFA ermöglicht wird, finden Sie unter [AWS: Ermöglicht IAM-Benutzern, ihre eigenen Anmeldeinformationen auf der Seite „Sicherheits-Anmeldeinformationen“ zu verwalten](reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa.md).

Informationen dazu, wie Benutzer auf die Seite **Sicherheits-Anmeldeinformationen** zugreifen können, finden Sie unter [Wie IAM-Benutzer ihr eigenes Passwort ändern können (Konsole)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console).

**Was macht diese Richtlinie?**
+ Die Anweisung `ViewAccountPasswordRequirements` ermöglicht es dem Benutzer, die Passwortanforderungen des Kontos beim Ändern seines eigenen IAM-Benutzer-Passworts anzuzeigen.
+ Mit der `ChangeOwnPassword`-Anweisung kann der Benutzer sein eigenes Passwort ändern. Diese Anweisung enthält auch die `GetUser`-Aktion, die erforderlich ist, um die meisten Informationen auf der Seite **My Security Credentials (Meine Sicherheitsanmeldeinformationen)** anzuzeigen.

Diese Richtlinie ermöglicht es Benutzern nicht, die Seite **Users (Benutzer)** in der IAM-Konsole anzuzeigen oder diese Seite für den Zugriff auf ihre eigenen Benutzerinformationen zu verwenden. Um dies zu ermöglichen, fügen Sie die Aktion `iam:ListUsers` zur Anweisung `ViewAccountPasswordRequirements` hinzu. Darüber hinaus ermöglicht sie Benutzern nicht, ihr Passwort auf ihrer eigenen Benutzerseite anzupassen. Um dies zu ermöglichen, fügen Sie die Aktionen `iam:GetLoginProfile` und `iam:UpdateLoginProfile` zur Anweisung `ChangeOwnPasswords` hinzu.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewAccountPasswordRequirements",
            "Effect": "Allow",
            "Action": "iam:GetAccountPasswordPolicy",
            "Resource": "*"
        },
        {
            "Sid": "ChangeOwnPassword",
            "Effect": "Allow",
            "Action": [
                "iam:GetUser",
                "iam:ChangePassword"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

# AWS: Ermöglicht es IAM-Benutzern, ihr eigenes Passwort sowie ihre eigenen Zugriffsschlüssel und öffentlichen SSH-Schlüssel auf der Seite Sicherheits-Anmeldeinformationen zu verwalten
<a name="reference_policies_examples_aws_my-sec-creds-self-manage-pass-accesskeys-ssh"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die es IAM-Benutzern erlaubt, ihr eigenes Passwort, ihre eigenen Zugriffsschlüssel und X.509-Zertifikate auf der Seite **Sicherheits-Anmeldeinformationen** zu verwalten. Diese Seite der AWS-Managementkonsole zeigt Kontoinformationen wie z. B. die Konto-ID und die kanonische Benutzer-ID an. Benutzer können auch ihre eigenen Passwörter, Zugriffsschlüssel, MFA-Geräte, X.509-Zertifikate, SSH-Schlüssel und Git-Anmeldeinformationen anzeigen und bearbeiten. Diese Beispielrichtlinie enthält die Berechtigungen, die erforderlich sind, um nur ihr Passwort, ihre Zugriffsschlüssel und ihr X.509-Zertifikat anzuzeigen. Informationen darüber, wie Benutzern die Verwaltung aller ihrer eigenen Anmeldeinformationen mit MFA ermöglicht wird, finden Sie unter [AWS: Ermöglicht es MFA-authentifizierten IAM-Benutzern, ihr eigenen Anmeldeinformationen auf der Seite Sicherheits-Anmeldeinformationen zu verwalten](reference_policies_examples_aws_my-sec-creds-self-manage.md). Informationen darüber, wie Benutzern die Verwaltung ihrer eigenen Anmeldeinformationen ohne MFA ermöglicht wird, finden Sie unter [AWS: Ermöglicht IAM-Benutzern, ihre eigenen Anmeldeinformationen auf der Seite „Sicherheits-Anmeldeinformationen“ zu verwalten](reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa.md).

Informationen dazu, wie Benutzer auf die Seite **Sicherheits-Anmeldeinformationen** zugreifen können, finden Sie unter [Wie IAM-Benutzer ihr eigenes Passwort ändern können (Konsole)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console).

**Was macht diese Richtlinie?**
+ Die `AllowViewAccountInfo`-Anweisung ermöglicht es dem Benutzer, Informationen auf Kontoebene anzuzeigen. Diese Berechtigungen müssen in ihrer eigenen Anweisung vorliegen, da sie keine Ressourcen-ARN unterstützen oder keine angeben müssen. Geben Sie anstelle von Berechtigungen `"Resource" : "*"` ein. Diese Anweisung enthält die folgenden Aktionen, mit denen der Benutzer spezifische Informationen anzeigen kann: 
  + `GetAccountPasswordPolicy` – Zeigt die Passwortanforderungen des Kontos beim Ändern seines eigenen IAM-Benutzer-Passworts an.
  + `GetAccountSummary` – Zeigt die Konto-ID und die [kanonische Benutzer-ID](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingCanonicalId) des Kontos an.
+ Mit der `AllowManageOwnPasswords`-Anweisung kann der Benutzer sein eigenes Passwort ändern. Diese Anweisung enthält auch die `GetUser`-Aktion, die erforderlich ist, um die meisten Informationen auf der Seite **My Security Credentials (Meine Sicherheitsanmeldeinformationen)** anzuzeigen.
+ Die `AllowManageOwnAccessKeys`-Anweisung ermöglicht dem Benutzer das Erstellen, Aktualisieren und Löschen seiner eigenen Zugriffsschlüssel. Der Benutzer kann auch Informationen darüber abrufen, wann der angegebene Zugriffsschlüssel zuletzt verwendet wurde.
+ Die `AllowManageOwnSSHPublicKeys`-Anweisung ermöglicht dem Benutzer das Hochladen, Aktualisieren und Löschen seiner eigenen öffentlichen SSH-Schlüssel für CodeCommit.

Diese Richtlinie erlaubt es Benutzern nicht, ihre eigenen MFA-Geräte anzuzeigen oder zu verwalten. Außerdem können sie die Seite **Users (Benutzer)** in der IAM-Konsole nicht anzuzeigen oder für den Zugriff auf ihre eigenen Benutzerinformationen verwenden. Um dies zu ermöglichen, fügen Sie die Aktion `iam:ListUsers` zur Anweisung `AllowViewAccountInfo` hinzu. Darüber hinaus ermöglicht sie Benutzern nicht, ihr Passwort auf ihrer eigenen Benutzerseite anzupassen. Um dies zu ermöglichen, fügen Sie die Aktionen `iam:GetLoginProfile` und `iam:UpdateLoginProfile` zur Anweisung `AllowManageOwnPasswords` hinzu. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowViewAccountInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:GetAccountSummary"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowManageOwnPasswords",
            "Effect": "Allow",
            "Action": [
                "iam:ChangePassword",
                "iam:GetUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:DeleteAccessKey",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:GetAccessKeyLastUsed"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSSHPublicKeys",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSSHPublicKey",
                "iam:GetSSHPublicKey",
                "iam:ListSSHPublicKeys",
                "iam:UpdateSSHPublicKey",
                "iam:UploadSSHPublicKey"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

# AWS: Verweigert den Zugriff auf AWS basierend auf der angeforderten Region
<a name="reference_policies_examples_aws_deny-requested-region"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die den Zugriff auf alle Aktionen außerhalb der mit dem [`aws:RequestedRegion`-Bedingungsschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion) angegebenen Regionen verweigert, mit Ausnahme der Aktionen in den mit `NotAction` angegebenen Services. Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff. Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md).

Diese Richtlinie verwendet das `NotAction`-Element mit dem `Deny`-Effekt, der explizit den Zugriff auf alle Aktionen verweigert, die *nicht* in der Anweisung aufgeführt sind. Aktionen in den CloudFront, IAM, Route 53 und Support Diensten sollten nicht verweigert werden, da es sich dabei um beliebte AWS globale Dienste mit einem einzigen Endpunkt handelt, der sich physisch in der `us-east-1` Region befindet. Da alle Anforderungen an diese Services an die Region `us-east-1` gerichtet werden, würden die Anforderungen ohne das `NotAction`-Element verweigert werden. Bearbeiten Sie dieses Element, um Aktionen für andere globale AWS -Services einzuschließen, die Sie verwenden, beispielsweise `budgets`, `globalaccelerator`, `importexport`, `organizations` oder `waf`. Einige andere globale Dienste, wie Amazon Q Developer in Chat-Anwendungen und AWS Device Farm, sind globale Dienste mit Endpunkten, die sich physisch in der `us-west-2` Region befinden. Weitere Informationen zu allen Services mit einem einzigen globalen Endpunkt finden Sie unter [AWS -Regionen und Endpunkte](https://docs.aws.amazon.com/general/latest/gr/rande.html) in der *Allgemeine AWS-Referenz*. Weitere Informationen zur Verwendung des `NotAction`-Elements mit dem `Deny`-Effekt finden Sie unter [IAM-JSON-Richtlinienelemente: NotAction](reference_policies_elements_notaction.md). 

**Wichtig**  
Diese Richtlinie lässt keine Aktionen zu. Verwenden Sie diese Richtlinie in Kombination mit anderen Richtlinien, die bestimmte Aktionen zulassen. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DenyAllOutsideRequestedRegions",
            "Effect": "Deny",
            "NotAction": [
                "cloudfront:*",
                "iam:*",
                "organizations:*",
                "route53:*",
                "support:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": [
                        "eu-central-1",
                        "eu-west-1",
                        "eu-west-2",
                        "eu-west-3"
                    ]
                }
            }
        }
    ]
}
```

------

# AWS: Verweigert den Zugriff auf AWS basierend auf der Quell-IP
<a name="reference_policies_examples_aws_deny-ip"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen könnten, die den Zugriff auf alle AWS Aktionen im Konto verweigert, wenn die Anfrage von *Principals* außerhalb des angegebenen IP-Bereichs kommt. Die Richtlinie ist nützlich, wenn die IP-Adressen für Ihre Firma innerhalb der angegebenen Bereiche liegen. In diesem Beispiel wird die Anfrage abgelehnt, sofern sie nicht aus dem CIDR-Bereich 192.0.2.0/24 oder 203.0.113.0/24 stammt. Die Richtlinie lehnt Anfragen von AWS Diensten nicht ab, [Forward Access Sessions (FAS)](access_forward_access_sessions.md) da die IP-Adresse des ursprünglichen Anforderers beibehalten wird.

Seien Sie vorsichtig mit negativen Bedingungen in der gleichen Richtlinienaussage wie `"Effect": "Deny"`. Wenn Sie dies tun, werden die in der Richtlinienanweisung angegebenen Aktionen unter allen Bedingungen explizit verweigert, *mit Ausnahme* der angegebenen.

**Wichtig**  
Diese Richtlinie lässt keine Aktionen zu. Verwenden Sie diese Richtlinie in Kombination mit anderen Richtlinien, die bestimmte Aktionen zulassen. 

Wenn andere Richtlinien Aktionen zulassen, können Auftraggeber Anforderungen innerhalb des IP-Adressbereichs ausgeben. Ein AWS Dienst kann auch Anfragen mit den Anmeldeinformationen des Prinzipals stellen. Wenn ein Auftraggeber eine Anforderung außerhalb des IP-Bereichs ausgibt, wird die Anforderung abgelehnt.

Weitere Informationen über die Verwendung des Bedingungsschlüssels `aws:SourceIp`, einschließlich Informationen darüber, wann `aws:SourceIp` in Ihrer Richtlinie vielleicht nicht funktioniert, finden Sie unter [AWS Kontextschlüssel für globale Bedingungen](reference_policies_condition-keys.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "aws:SourceIp": [
                    "192.0.2.0/24",
                    "203.0.113.0/24"
                ]
            }
        }
    }
}
```

------

# AWS: Verweigern Sie den Zugriff auf Amazon S3 S3-Ressourcen außerhalb Ihres Kontos, außer AWS Data Exchange
<a name="reference_policies_examples_resource_account_data_exch"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen könnten, die den Zugriff auf alle Ressourcen verweigert AWS , die nicht zu Ihrem Konto gehören, mit Ausnahme der Ressourcen, die für den normalen Betrieb AWS Data Exchange erforderlich sind. Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md). 

Sie können eine ähnliche Richtlinie erstellen, um den Zugriff auf Ressourcen innerhalb einer Organisation oder einer Organisationseinheit einzuschränken und gleichzeitig AWS Data Exchange eigene Ressourcen mithilfe der Bedingungsschlüssel `aws:ResourceOrgPaths` und zu berücksichtigen`aws:ResourceOrgID`.

Wenn Sie den Service AWS Data Exchange in Ihrer Umgebung verwenden, erstellt er Ressourcen wie Amazon S3 S3-Buckets, die dem Servicekonto gehören, und interagiert mit diesen. AWS Data Exchange Sendet beispielsweise Anfragen an Amazon S3 S3-Buckets, die dem AWS Data Exchange Service gehören, im Namen des IAM-Prinzipals (Benutzer oder Rolle), der den aufruft. AWS Data Exchange APIs In diesem Fall wird durch die Verwendung von `aws:ResourceAccount` oder `aws:ResourceOrgID` in einer Richtlinie ohne Berücksichtigung AWS Data Exchange eigener Ressourcen der Zugriff auf die Buckets verweigert, die dem Servicekonto gehören. `aws:ResourceOrgPaths`
+ Die Anweisung, `DenyAllAwsResourcesOutsideAccountExceptS3`, benutzt das `NotAction`-Element mit dem [Deny](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html)-Effekt, der explizit den Zugriff auf jede Aktion verweigert, die nicht in der Anweisung aufgeführt ist und die auch nicht zum aufgelisteten Konto gehört. Das `NotAction`-Element gibt die Ausnahmen zu dieser Anweisung an. Diese Aktionen bilden die Ausnahme von dieser Aussage, denn wenn die Aktionen für Ressourcen ausgeführt werden, die von erstellt wurden AWS Data Exchange, werden sie von der Richtlinie verweigert.
+ Die Anweisung, `DenyAllS3ResoucesOutsideAccountExceptDataExchange`, verwendet eine Kombination aus den `ResourceAccount`- und `CalledVia`-Bedingungen, um den Zugriff auf die drei Amazon-S3-Aktionen zu verweigern, die in der vorherigen Anweisung ausgeschlossen wurden. Die Anweisung lehnt die Aktionen ab, wenn Ressourcen nicht in das aufgelistete Konto gehören und wenn der aufrufende Service nicht AWS Data Exchange ist. Die Anweisung verweigert die Aktionen nicht, wenn entweder die Ressource dem aufgelisteten Konto gehört oder der aufgelistete Service-Prinzipal, `dataexchange.amazonaws.com`, die Vorgänge durchführt.

**Wichtig**  
Diese Richtlinie lässt keine Aktionen zu. Sie verwendet den `Deny`-Effekt, der ausdrücklich den Zugriff auf alle in der Anweisung aufgeführten Ressourcen verweigert, die nicht zu dem aufgeführten Konto gehören. Verwenden Sie diese Richtlinie in Kombination mit anderen Richtlinien, die den Zugriff auf bestimmte Ressourcen gewähren.

Das folgende Beispiel zeigt, wie Sie die Richtlinie konfigurieren können, um den Zugriff auf die erforderlichen Amazon-S3-Buckets zu ermöglichen.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyAllAwsReourcesOutsideAccountExceptAmazonS3",
      "Effect": "Deny",
      "NotAction": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "111122223333"
          ]
        }
      }
    },
    {
      "Sid": "DenyAllS3ResourcesOutsideAccountExceptDataExchange",
      "Effect": "Deny",
      "Action": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "111122223333"
          ]
        },
        "ForAllValues:StringNotEquals": {
          "aws:CalledVia": [
            "dataexchange.amazonaws.com"
          ]
        }
      }
    }
  ]
}
```

------

# AWS Data Pipeline: Verweigert den Zugriff auf DataPipeline Pipelines, die ein Benutzer nicht erstellt hat
<a name="reference_policies_examples_datapipeline_not-owned"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die den Zugriff auf Pipelines verweigert, die ein Benutzer nicht erstellt hat. Wenn der Wert des `PipelineCreator`-Feldes dem IAM-Benutzernamen entspricht, dann werden die angegebenen Aktionen nicht verweigert. Diese Richtlinie gewährt die erforderlichen Berechtigungen, um diese Aktion programmgesteuert über die API oder durchzuführen. AWS AWS CLI

**Wichtig**  
Diese Richtlinie lässt keine Aktionen zu. Verwenden Sie diese Richtlinie in Kombination mit anderen Richtlinien, die bestimmte Aktionen zulassen. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ExplicitDenyIfNotTheOwner",
            "Effect": "Deny",
            "Action": [
                "datapipeline:ActivatePipeline",
                "datapipeline:AddTags",
                "datapipeline:DeactivatePipeline",
                "datapipeline:DeletePipeline",
                "datapipeline:DescribeObjects",
                "datapipeline:EvaluateExpression",
                "datapipeline:GetPipelineDefinition",
                "datapipeline:PollForTask",
                "datapipeline:PutPipelineDefinition",
                "datapipeline:QueryObjects",
                "datapipeline:RemoveTags",
                "datapipeline:ReportTaskProgress",
                "datapipeline:ReportTaskRunnerHeartbeat",
                "datapipeline:SetStatus",
                "datapipeline:SetTaskStatus",
                "datapipeline:ValidatePipelineDefinition"
            ],
            "Resource": ["*"],
            "Condition": {
                "StringNotEquals": {"datapipeline:PipelineCreator": "${aws:userid}"}
            }
        }
    ]
}
```

------

# Amazon DynamoDB: Gewährt Zugriff auf eine bestimmte Tabelle
<a name="reference_policies_examples_dynamodb_specific-table"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen könnten, die den vollen Zugriff auf die `MyTable`-DynamoDB-Tabelle erlaubt. Diese Richtlinie gewährt die erforderlichen Berechtigungen, um diese Aktion programmgesteuert über die AWS API oder abzuschließen. AWS CLI Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md).

**Wichtig**  
Diese Richtlinie lässt alle Aktionen zu, die für eine DynamoDB-Tabelle ausgeführt werden können. Eine Übersicht über diese Aktionen finden Sie unter [DynamoDB-API-Berechtigungen: Aktionen Ressourcen und Bedingungen Leitfaden](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/api-permissions-reference.html) im* Amazon DynamoDB Developer Guide*. Sie könnten dieselben Berechtigungen bereitstellen, indem Sie jede einzelne Aktion aufführen. Wenn Sie jedoch den Platzhalter (`*`) im `Action`-Element verwenden, z. B. `"dynamodb:List*"`, dann müssen Sie Ihre Richtlinie nicht aktualisieren, wenn DynamoDB eine neue List-Aktion hinzufügt. 

Diese Richtlinie lässt Aktionen nur für die DynamoDB-Tabellen zu, die mit dem angegebenen Namen vorhanden sind. Um Ihren Benutzern `Read` Zugriff auf alles in DynamoDB zu gewähren, können Sie auch die [AmazonDynamoDBReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonDynamoDBReadOnlyAccess) AWS verwaltete Richtlinie anhängen.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListAndDescribe",
            "Effect": "Allow",
            "Action": [
                "dynamodb:List*",
                "dynamodb:DescribeReservedCapacity*",
                "dynamodb:DescribeLimits",
                "dynamodb:DescribeTimeToLive"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SpecificTable",
            "Effect": "Allow",
            "Action": [
                "dynamodb:BatchGet*",
                "dynamodb:DescribeStream",
                "dynamodb:DescribeTable",
                "dynamodb:Get*",
                "dynamodb:Query",
                "dynamodb:Scan",
                "dynamodb:BatchWrite*",
                "dynamodb:CreateTable",
                "dynamodb:Delete*",
                "dynamodb:Update*",
                "dynamodb:PutItem"
            ],
            "Resource": "arn:aws:dynamodb:*:*:table/MyTable"
        }
    ]
}
```

------

# Amazon DynamoDB: Ermöglicht den Zugriff auf bestimmte Attribute
<a name="reference_policies_examples_dynamodb_attributes"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die den Zugriff auf die spezifischen DynamoDB-Attribute erlaubt. Diese Richtlinie gewährt die erforderlichen Berechtigungen, um diese Aktion programmgesteuert über die AWS API oder abzuschließen. AWS CLI Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md).

Die Anforderung `dynamodb:Select` verhindert, dass die API-Aktion jegliche Attribute, die nicht zulässig sind, zurückgibt, z. B. von einer Indexprojektion. Weitere Informationen zu DynamoDB-Bedingungsschlüsseln finden Sie unter [Specifying Conditions: Using Condition Keys](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/specifying-conditions.html#FGAC_DDB.ConditionKeys) im *Amazon DynamoDB Developer Guide*. Weitere Informationen zum Verwenden mehrerer Bedingungen oder mehrerer Bedingungsschlüssel innerhalb eines `Condition`-Blocks einer IAM-Richtlinie finden Sie unter [Mehrere Werte in einer Bedingung](reference_policies_elements_condition.md#Condition-multiple-conditions).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:GetItem",
                "dynamodb:BatchGetItem",
                "dynamodb:Query",
                "dynamodb:PutItem",
                "dynamodb:UpdateItem",
                "dynamodb:DeleteItem",
                "dynamodb:BatchWriteItem"
            ],
            "Resource": ["arn:aws:dynamodb:*:*:table/table-name"],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "dynamodb:Attributes": [
                        "column-name-1",
                        "column-name-2",
                        "column-name-3"
                    ]
                },
                "StringEqualsIfExists": {"dynamodb:Select": "SPECIFIC_ATTRIBUTES"}
            }
        }
    ]
}
```

------

# Amazon DynamoDB: Ermöglicht den Zugriff auf DynamoDB auf Elementebene basierend auf einer Amazon Cognito ID
<a name="reference_policies_examples_dynamodb_items"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die den Zugriff auf Elementebene auf die `MyTable`-DynamoDB-Tabelle anhand einer Amazon-Cognito-Identitätspool-ID ermöglicht. Diese Richtlinie gewährt die erforderlichen Berechtigungen, um diese Aktion programmgesteuert über die AWS API oder abzuschließen. AWS CLI Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md).

Um diese Richtlinie nutzen zu können, müssen Sie die DynamoDB-Tabelle so strukturieren, dass die Identitätspool-Benutzer-ID für Amazon Cognito der Partitionsschlüssel ist. Weitere Informationen finden Sie unter [Erstellen eeiner Tabelle](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.CreateTable) im *Amazon DynamoDB Developer Guide*.

Weitere Informationen zu DynamoDB-Bedingungsschlüsseln finden Sie unter [Specifying Conditions: Using Condition Keys](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/specifying-conditions.html#FGAC_DDB.ConditionKeys) im *Amazon DynamoDB Developer Guide*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:DeleteItem",
                "dynamodb:GetItem",
                "dynamodb:PutItem",
                "dynamodb:Query",
                "dynamodb:UpdateItem"
            ],
            "Resource": ["arn:aws:dynamodb:*:*:table/MyTable"],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "dynamodb:LeadingKeys": ["${cognito-identity.amazonaws.com:sub}"]
                }
            }
        }
    ]
}
```

------

# Amazon EC2: Anfügen von Amazon EBS-Volumes anhand von Tags an EC2-Instances oder Trennen dieser Volumes
<a name="reference_policies_examples_ec2_ebs-owner"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die es Besitzern von EBS-Volumes erlaubt, ihre mit dem Tag `VolumeUser` definierten EBS-Volumes an EC2-Instances anzufügen oder zu entfernen, die als Entwicklungs-Instances (`Department=Development`) gekennzeichnet sind. Diese Richtlinie gewährt die erforderlichen Berechtigungen, um diese Aktion programmgesteuert über die AWS API oder abzuschließen. AWS CLI Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md).

Weitere Informationen zum Erstellen von IAM-Richtlinien zur [Steuerung des Zugriffs auf Amazon-EC2-Ressourcen finden Sie unter Steuerung des Zugriffs auf Amazon-EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/UsingIAM.html) im *Amazon-EC2-Benutzerhandbuch*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AttachVolume",
                "ec2:DetachVolume"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/Department": "Development"}
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AttachVolume",
                "ec2:DetachVolume"
            ],
            "Resource": "arn:aws:ec2:*:*:volume/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/VolumeUser": "${aws:username}"}
            }
        }
    ]
}
```

------

# Amazon EC2: Ermöglicht es, EC2-Instances in einem bestimmten Subnetz programmgesteuert und in der Konsole zu starten
<a name="reference_policies_examples_ec2_instances-subnet"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die das Auflisten von Informationen für alle EC2-Objekte und das Launchen von EC2-Instances in einem bestimmten Subnetz erlaubt. Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff. Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:Describe*",
                "ec2:GetConsole*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:RunInstances",
            "Resource": [
                "arn:aws:ec2:*:*:subnet/subnet-subnet-id",
                "arn:aws:ec2:*:*:network-interface/*",
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ec2:*:*:volume/*",
                "arn:aws:ec2:*::image/ami-*",
                "arn:aws:ec2:*:*:key-pair/*",
                "arn:aws:ec2:*:*:security-group/*"
            ]
        }
    ]
}
```

------

# Amazon EC2: Ermöglicht es, die mit einem bestimmten Tag-Schlüsselwertpaar verknüpfte EC2-Sicherheitsgruppen programmgesteuert und in der Konsole zu verwalten
<a name="reference_policies_examples_ec2_securitygroups-vpc"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die Benutzern die Berechtigung erteilt, bestimmte Aktionen für Sicherheitsgruppen mit demselben Tag durchzuführen. Die folgende Richtlinie erteilt die Berechtigung, Sicherheitsgruppen in der Amazon-EC2-Konsole anzuzeigen, Regeln für ein- und ausgehenden Datenverkehr hinzuzufügen und zu entfernen und Regelbeschreibungen für vorhandene Sicherheitsgruppen, die über das `Department=Test`-Tag verfügen, aufzulisten und zu ändern. Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff. Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [{
      "Effect": "Allow",
      "Action": [
         "ec2:DescribeSecurityGroups",
         "ec2:DescribeSecurityGroupRules",
         "ec2:DescribeTags"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "ec2:AuthorizeSecurityGroupIngress", 
         "ec2:RevokeSecurityGroupIngress", 
         "ec2:AuthorizeSecurityGroupEgress", 
         "ec2:RevokeSecurityGroupEgress", 
         "ec2:ModifySecurityGroupRules",
         "ec2:UpdateSecurityGroupRuleDescriptionsIngress", 
         "ec2:UpdateSecurityGroupRuleDescriptionsEgress"
      ],
      "Resource": [
         "arn:aws:ec2:us-east-1:111122223333:security-group/*"
      ],
      "Condition": {
         "StringEquals": {
            "aws:ResourceTag/Department": "Test"
         }
      }
     },     
     {
      "Effect": "Allow",
      "Action": [
         "ec2:ModifySecurityGroupRules"
      ],
      "Resource": [
         "arn:aws:ec2:us-east-1:111122223333:security-group-rule/*"
      ]
     }
   ]
}
```

------

# Amazon EC2: Ermöglicht es, die von einem Benutzer markierten EC2-Instances programmgesteuert und in der Konsole zu starten oder zu stoppen
<a name="reference_policies_examples_ec2_tag-owner"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die es einem IAM-Benutzer erlaubt, EC2-Instances zu starten oder zu stoppen, jedoch nur wenn das Instance-Tag `Owner` den Wert des Benutzernamens dieses Benutzers hat. Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Owner": "${aws:username}"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DescribeInstances",
            "Resource": "*"
        }
    ]
}
```

------

# EC2: Instances basierend auf Tags starten oder stoppen
<a name="reference_policies_examples_ec2-start-stop-tags"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die das Starten oder Stoppen von Instances mit dem Tag-Schlüssel-Wert-Paar `Project = DataAnalytics` erlaubt, aber nur durch Prinzipale mit dem Tag-Schlüssel-Wert-Paar `Department = Data`. Diese Richtlinie gewährt die erforderlichen Berechtigungen, um diese Aktion programmgesteuert über die AWS API oder durchzuführen. AWS CLI Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md). 

Die Bedingung in der Richtlinie gibt "true" zurück, wenn beide Teile der Bedingung erfüllt sind. Die Instance muss das `Project=DataAnalytics`-Tag aufweisen. Darüber hinaus muss der IAM-Auftraggeber (Benutzer oder Rolle), von dem die Anforderung stammt, über das `Department=Data`-Tag verfügen. 

**Anmerkung**  
Als bewährte Methode können Sie Richtlinien mit dem `aws:PrincipalTag`-Bedingungsschlüssel an IAM-Gruppen anfügen, für den Fall, dass einige Benutzer das angegebene Tag haben und andere nicht. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "StartStopIfTags",
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "arn:aws:ec2:us-east-1:123456789012:instance/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Project": "DataAnalytics",
                    "aws:PrincipalTag/Department": "Data"
                }
            }
        }
    ]
}
```

------

# EC2: Starten oder Stoppen von Instances basierend auf übereinstimmenden Auftraggeber- und Ressourcen-Tags
<a name="reference_policies_examples_ec2-start-stop-match-tags"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die es einem Prinzipal erlaubt, eine Amazon-EC2-Instance zu starten oder zu stoppen, wenn das Ressourcen-Tag der Instance und das Tag des Prinzipals denselben Wert für den Tag-Schlüssel `CostCenter` haben. Diese Richtlinie gewährt die erforderlichen Berechtigungen, um diese Aktion programmgesteuert über die AWS API oder durchzuführen. AWS CLI Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md). 

**Anmerkung**  
Als bewährte Methode können Sie Richtlinien mit dem `aws:PrincipalTag`-Bedingungsschlüssel an IAM-Gruppen anfügen, für den Fall, dass einige Benutzer das angegebene Tag haben und andere nicht. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "ec2:startInstances",
            "ec2:stopInstances"
        ],
        "Resource": "*",
        "Condition": {"StringEquals": 
            {"aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"}}
    }
}
```

------

# Amazon EC2: Gewährt EC2-Vollzugriff innerhalb einer bestimmten Region programmatisch und in der Konsole
<a name="reference_policies_examples_ec2_region"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die vollen EC2-Zugriff innerhalb einer bestimmten Region erlaubt. Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff. Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md). Eine Liste der Regionscodes finden Sie unter [Verfügbare Regionen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-available-regions) im *Amazon EC2 Leitfaden*.

Alternativ können Sie den globalen Bedingungsschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion) verwenden, der von allem Amazon EC2-API-Aktionen unterstützt wird. Weitere Informationen finden Sie unter [Beispiel: Einschränken des Zugriffs auf eine bestimmte Region](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region) im *Amazon EC2 Leitfaden*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": "ec2:*",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ec2:Region": "us-east-2"
                }
            }
        }
    ]
}
```

------

# Amazon EC2: Ermöglicht das Starten oder Beenden einer EC2-Instance und das Ändern einer Sicherheitsgruppe (programmatisch und in der Konsole)
<a name="reference_policies_examples_ec2_instance-securitygroup"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die das Starten oder Beenden einer bestimmten EC2-Instance und das Ändern einer bestimmten Sicherheitsgruppe erlaubt. Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff. Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "ec2:DescribeInstances",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeSecurityGroupReferences",
        "ec2:DescribeStaleSecurityGroups"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:RevokeSecurityGroupIngress",
        "ec2:StartInstances",
        "ec2:StopInstances"
      ],
      "Resource": [
        "arn:aws:ec2:*:*:instance/i-instance-id",
        "arn:aws:ec2:*:*:security-group/sg-security-group-id"
      ],
      "Effect": "Allow"
    }
  ]
}
```

------

# Amazon EC2: Erfordert MFA (GetSessionToken) für bestimmte EC2-Operationen
<a name="reference_policies_examples_ec2_require-mfa"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen könnten, die vollen Zugriff auf alle AWS API-Operationen in Amazon EC2 ermöglicht. Dabei wird jedoch explizit der Zugriff auf die API-Operationen `StopInstances` und `TerminateInstances` verweigert, wenn der Benutzer nicht über die [Multi-Factor Authentication (MFA)](id_credentials_mfa.md) authentifiziert wurde. Um dies programmgesteuert durchzuführen, muss der Benutzer optionale `SerialNumber`- und `TokenCode`-Werte beim Aufruf der `GetSessionToken`-Operation einschließen. Diese Operation gibt temporäre Anmeldeinformationen zurück, die per MFA authentifiziert wurden. Weitere Informationen GetSessionToken dazu finden Sie unter. [Anfordern von Anmeldeinformationen für Benutzer in nicht vertrauenswürdigen Umgebungen](id_credentials_temp_request.md#api_getsessiontoken)

Was macht diese Richtlinie?
+ Durch die `AllowAllActionsForEC2`-Anweisung werden alle Amazon EC2-Aktionen gewährt.
+ Die `DenyStopAndTerminateWhenMFAIsNotPresent`-Anweisung verweigert die Aktionen `TerminateInstances` und `StopInstances`, wenn der MFA-Kontext fehlt. Das bedeutet, dass die Aktionen verweigert werden, wenn der MFA-Kontext fehlt (also keine MFA stattgefunden hat). Eine Verweigerung überschreibt mögliche Berechtigungen.

**Anmerkung**  
Für die Bedingungsprüfung für `MultiFactorAuthPresent` in der `Deny`-Anwendung sollte nicht `{"Bool":{"aws:MultiFactorAuthPresent":false}}` verwendet werden, da der Schlüssel nicht vorhanden ist und auch nicht ausgewertet werden kann, wenn keine MFA verwendet wird. Verwenden Sie stattdessen die Prüfung `BoolIfExists`, um zu sehen, ob der Schlüssel vorhanden ist, bevor Sie den Wert prüfen. Weitere Informationen finden Sie unter [... IfExists Bedingungsoperatoren](reference_policies_elements_condition_operators.md#Conditions_IfExists).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAllActionsForEC2",
            "Effect": "Allow",
            "Action": "ec2:*",
            "Resource": "*"
        },
        {
            "Sid": "DenyStopAndTerminateWhenMFAIsNotPresent",
            "Effect": "Deny",
            "Action": [
                "ec2:StopInstances",
                "ec2:TerminateInstances"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {"aws:MultiFactorAuthPresent": false}
            }
        }
    ]
}
```

------

# Amazon EC2: Beschränkt das Beenden von EC2-Instances auf einen IP-Adressbereich
<a name="reference_policies_examples_ec2_terminate-ip"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die EC2-Instances einschränkt, indem sie die Aktion zulässt, aber den Zugriff ausdrücklich verweigert, wenn die Anforderung von außerhalb des angegebenen IP-Bereichs kommt. Die Richtlinie ist nützlich, wenn die IP-Adressen für Ihre Firma innerhalb der angegebenen Bereiche liegen. Diese Richtlinie gewährt die erforderlichen Berechtigungen, um diese Aktion programmgesteuert über die AWS API oder abzuschließen. AWS CLI Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md).

Wenn diese Richtlinie in Kombination mit anderen Richtlinien verwendet wird, die die `ec2:TerminateInstances` Aktion zulassen (z. B. der von [Amazon EC2 FullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2FullAccess) AWS verwalteten Richtlinie), wird der Zugriff verweigert. Der Grund hierfür liegt darin, dass eine explizite Zugriffsverweigerung Vorrang vor einer Zugriffserlaubnis hat. Weitere Informationen finden Sie unter [Wie die Logik des AWS Erzwingungscodes Anfragen zur Zulassung oder Verweigerung des Zugriffs auswertet](reference_policies_evaluation-logic_policy-eval-denyallow.md).

**Wichtig**  
Der `aws:SourceIp` Bedingungsschlüssel verweigert den Zugriff auf eine AWS-Service, z. B. AWS CloudFormation, die in Ihrem Namen Anrufe tätigt. Weitere Informationen zum Verwenden des `aws:SourceIp`-Bedingungsschlüssels finden Sie unter [AWS Kontextschlüssel für globale Bedingungen](reference_policies_condition-keys.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["ec2:TerminateInstances"],
            "Resource": ["*"]
        },
        {
            "Effect": "Deny",
            "Action": ["ec2:TerminateInstances"],
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                }
            },
            "Resource": ["*"]
        }
    ]
}
```

------

# IAM: Zugriff auf die Richtliniensimulator-API
<a name="reference_policies_examples_iam_policy-sim"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die die Verwendung der Richtliniensimulator-API für Richtlinien erlaubt, die an einen Benutzer, eine Gruppe oder eine Rolle im aktuellen AWS-Konto angefügt sind. Diese Richtlinie ermöglicht auch den Zugriff auf weniger sensible Richtlinien, die als Zeichenfolgen an die API übergeben werden. Diese Richtlinie gewährt die erforderlichen Berechtigungen, um diese Aktion programmgesteuert über die AWS API oder abzuschließen. AWS CLI

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "iam:GetContextKeysForCustomPolicy",
                "iam:GetContextKeysForPrincipalPolicy",
                "iam:SimulateCustomPolicy",
                "iam:SimulatePrincipalPolicy"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

------

**Anmerkung**  
Informationen darüber, wie ein Benutzer auf die Richtliniensimulator-Konsole zugreifen kann, um Richtlinien zu simulieren, die einem Benutzer, einer Gruppe oder einer Rolle in der aktuellen Version zugewiesen sind AWS-Konto, finden Sie unter. [IAM: Zugriff auf die Richtliniensimulator-Konsole](reference_policies_examples_iam_policy-sim-console.md)

# IAM: Zugriff auf die Richtliniensimulator-Konsole
<a name="reference_policies_examples_iam_policy-sim-console"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die die Verwendung der Richtliniensimulator-Konsole für Richtlinien erlaubt, die an einen Benutzer, einer Gruppe oder einer Rolle im aktuellen AWS-Konto angefügt sind. Diese Richtlinie gewährt die erforderlichen Berechtigungen, um diese Aktion programmgesteuert über die AWS API oder abzuschließen. AWS CLI

[Sie können auf die IAM Policy Simulator-Konsole zugreifen unter:/https://policysim.aws.amazon.com](https://policysim.aws.amazon.com/)

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "iam:GetGroup",
                "iam:GetGroupPolicy",
                "iam:GetPolicy",
                "iam:GetPolicyVersion",
                "iam:GetRole",
                "iam:GetRolePolicy",
                "iam:GetUser",
                "iam:GetUserPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListAttachedRolePolicies",
                "iam:ListAttachedUserPolicies",
                "iam:ListGroups",
                "iam:ListGroupPolicies",
                "iam:ListGroupsForUser",
                "iam:ListRolePolicies",
                "iam:ListRoles",
                "iam:ListUserPolicies",
                "iam:ListUsers"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

------

# IAM: Übernehmen von Rollen, die ein bestimmtes Tag haben
<a name="reference_policies_examples_iam-assume-tagged-role"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die es einem IAM-Benutzer erlaubt, Rollen mit dem Tag-Schlüssel-Wert-Paar `Project = ExampleCorpABC` anzunehmen. Diese Richtlinie gewährt die erforderlichen Berechtigungen, um diese Aktion programmgesteuert über die AWS API oder abzuschließen. AWS CLI Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md). 

Wenn eine Rolle mit diesem Tag im selben Konto wie der Benutzer vorhanden ist, kann der Benutzer diese Rolle übernehmen. Wenn eine Rolle mit diesem Tag in einem anderen Konto als dem Konto des Benutzers vorhanden ist, sind zusätzliche Berechtigungen erforderlich. Die Vertrauensrichtlinie der kontoübergreifenden Rolle muss dem Benutzer oder allen Mitgliedern des Benutzerkontos erlauben, diese Rolle zu übernehmen. Weitere Informationen zum Verwenden von Rollen für den kontoübergreifenden Zugriff finden Sie unter [Zugriff für einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](id_roles_common-scenarios_aws-accounts.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AssumeTaggedRole",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"iam:ResourceTag/Project": "ExampleCorpABC"}
            }
        }
    ]
}
```

------

# IAM: Ermöglicht und verweigert den Zugriff auf verschiedene Services, sowohl programmgesteuert als auch über die Konsole
<a name="reference_policies_examples_iam_multiple-services-console"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die einen vollständigen Zugriff auf verschiedene Services und begrenzten selbstverwaltenden Zugriff in IAM erlaubt. Verweigert Benutzern den Zugriff auf den Amazon S3 Protokoll-Bucket `logs` oder die `i-1234567890abcdef0`-Amazon EC2-Instance. Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff. Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md).

**Warnung**  
Diese Richtlinie ermöglicht den vollständigen Zugriff auf alle Aktionen und Ressourcen in verschiedenen Services. Diese Richtlinie sollte nur auf vertrauenswürdige Administratoren angewendet werden.

Sie können diese Richtlinien als Berechtigungsgrenze einsetzen, um die maximale Anzahl von Berechtigungen festzulegen, die eine identitätsbasierte Richtlinie einem IAM-Benutzer erteilen kann. Weitere Informationen finden Sie unter [Verantwortung mit Hilfe von Berechtigungsgrenzen an andere delegieren](access_policies_boundaries.md#access_policies_boundaries-delegate). Wenn die Richtlinie als Berechtigungsgrenze für einen Benutzer verwendet wird, wird durch die Anweisungen die folgende Grenze festgelegt:
+ Die `AllowServices`-Anweisung gewährt den angegebenen AWS -Services einen Vollzugriff. Dies bedeutet, dass die Aktionen eines Benutzers in diesen Services nur laut der Berechtigungsrichtlinien begrenzt sind, die dem Benutzer zugeordnet sind.
+ Die `AllowIAMConsoleForCredentials`-Anweisung erlaubt den Zugriff für das Auflisten aller IAM-Benutzer. Dieser Zugriff ist erforderlich, um auf der Seite **Users (Benutzer)** in der AWS-Managementkonsole navigieren zu können. Sie ermöglicht zudem das Anzeigen von Passwortanforderungen für das Konto. Dies ist erforderlich, damit der Benutzer sein eigenes Passwort ändern kann.
+ Mit der `AllowManageOwnPasswordAndAccessKeys`-Anweisung können die Benutzer nur ihr eigenes Konsolen-Passwort und programmatische Zugriffsschlüssel verwalten. Dies ist wichtig, denn wenn eine andere Richtlinie einem Benutzer einen vollständigen IAM-Zugriff gewährt, kann dieser Benutzer seine eigenen Berechtigungen oder die eines anderen Benutzers ändern. Diese Anweisung verhindert, dass dies passiert.
+ Die Anweisung `DenyS3Logs` verweigert explizit den Zugriff auf den `logs`-Bucket. Diese Richtlinie sorgt dafür, dass einem Benutzer Unternehmensbeschränkungen auferlegt werden.
+ Die Anweisung `DenyEC2Production` verweigert explizit den Zugriff auf die `i-1234567890abcdef0`-Instance.

Diese Richtlinie gewährt nicht den Zugriff auf andere Services oder Aktionen. Wenn die Richtlinie als Berechtigungsgrenze für einen Benutzer verwendet wird, wird die Anfrage AWS abgelehnt, auch wenn andere dem Benutzer zugeordnete Richtlinien diese Aktionen zulassen.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowServices",
            "Effect": "Allow",
            "Action": [
                "s3:*",
                "cloudwatch:*",
                "ec2:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowIAMConsoleForCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers",
                "iam:GetAccountPasswordPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowManageOwnPasswordAndAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:*AccessKey*",
                "iam:ChangePassword",
                "iam:GetUser",
                "iam:*LoginProfile*"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "DenyS3Logs",
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::logs",
                "arn:aws:s3:::logs/*"
            ]
        },
        {
            "Sid": "DenyEC2Production",
            "Effect": "Deny",
            "Action": "ec2:*",
            "Resource": "arn:aws:ec2:*:*:instance/i-1234567890abcdef0"
        }
    ]
}
```

------

# IAM: Hinzufügen eines bestimmten Tags zu einem Benutzer mit einem bestimmten Tag
<a name="reference_policies_examples_iam-add-tag"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die das Hinzufügen des Tag-Schlüssels `Department` mit den Tag-Werten `Marketing`, `Development` oder `QualityAssurance` zu einem IAM-Benutzer erlaubt. Dieser Benutzer muss bereits das Tag-Schlüssel-Wert-Paar `JobFunction = manager` enthalten. Mit dieser Richtlinie können Sie festlegen, dass ein Manager nur zu einer von drei Abteilungen gehören kann. Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff. Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md). 

Mit der `ListTagsForAllUsers`-Anweisung kann die Anzeige von Tags für alle Benutzer in Ihrem Konto erlaubt werden. 

Die erste Bedingung in der `TagManagerWithSpecificDepartment`-Anweisung verwendet den `StringEquals`-Bedingungsoperator. Die Bedingung gibt "true" zurück, wenn beide Teile der Bedingung erfüllt sind. Der zu markierende Benutzer muss bereits über das `JobFunction=Manager`-Tag verfügen. Die Anforderung muss den `Department`-Tag-Schlüssel mit einem der aufgelisteten Tag-Werte aufweisen. 

Die zweite Bedingung verwendet den `ForAllValues:StringEquals`-Bedingungsoperator. Die Bedingung gibt "true" zurück, wenn alle Tag-Schlüssel in der Anforderung mit dem Schlüssel in der Richtlinie übereinstimmen. Das bedeutet, dass der einzige Tag-Schlüssel in der Anforderung `Department` sein muss. Weitere Informationen zur Verwendung von `ForAllValues` finden Sie unter [Operatoren für mehrwertige Kontextschlüssel festlegen](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListTagsForAllUsers",
            "Effect": "Allow",
            "Action": [
                "iam:ListUserTags",
                "iam:ListUsers"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TagManagerWithSpecificDepartment",
            "Effect": "Allow",
            "Action": "iam:TagUser",
            "Resource": "*",
            "Condition": {"StringEquals": {
                "iam:ResourceTag/JobFunction": "Manager",
                "aws:RequestTag/Department": [
                    "Marketing",
                    "Development",
                    "QualityAssurance"
                    ]
                },
                "ForAllValues:StringEquals": {"aws:TagKeys": "Department"}
            }
        }
    ]
}
```

------

# IAM: Hinzufügen eines bestimmten Tags mit bestimmten Werten
<a name="reference_policies_examples_iam-add-tag-user-role"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die nur das Hinzufügen des Tag-Schlüssels `CostCenter` und entweder des Tag-Werts `A-123` oder des Tag-Werts `B-456` zu einem beliebigen IAM-Benutzer oder einer Rolle erlaubt. Sie können diese Richtlinie verwenden, um das Markieren auf einen bestimmten Tag-Schlüssel und eine Reihe von Tag-Werten zu beschränken. Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff. Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md). 

Mit der `ConsoleDisplay`-Anweisung kann die Anzeige von Tags für alle Benutzer und Rollen in Ihrem Konto erlaubt werden. 

Die erste Bedingung in der `AddTag`-Anweisung verwendet den `StringEquals`-Bedingungsoperator. Die Bedingung gibt "true" zurück, wenn die Anforderung den `CostCenter`-Tag-Schlüssel mit einem der aufgelisteten Tag-Werte aufweist. 

Die zweite Bedingung verwendet den `ForAllValues:StringEquals`-Bedingungsoperator. Die Bedingung gibt "true" zurück, wenn alle Tag-Schlüssel in der Anforderung mit dem Schlüssel in der Richtlinie übereinstimmen. Das bedeutet, dass der einzige Tag-Schlüssel in der Anforderung `CostCenter` sein muss. Weitere Informationen zur Verwendung von `ForAllValues` finden Sie unter [Operatoren für mehrwertige Kontextschlüssel festlegen](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ConsoleDisplay",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:GetUser",
                "iam:ListRoles",
                "iam:ListRoleTags",
                "iam:ListUsers",
                "iam:ListUserTags"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AddTag",
            "Effect": "Allow",
            "Action": [
                "iam:TagUser",
                "iam:TagRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/CostCenter": [
                        "A-123",
                        "B-456"
                    ]
                },
                "ForAllValues:StringEquals": {"aws:TagKeys": "CostCenter"}
            }
        }
    ]
}
```

------

# IAM: Erstellen neuer Benutzer nur mit bestimmten Tags
<a name="reference_policies_examples_iam-new-user-tag"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die die Erstellung von IAM-Benutzern erlaubt, aber nur mit einem oder beiden Tag-Schlüsseln `Department` und `JobFunction`. Der `Department`-Tag-Schlüssel muss entweder den `Development`- oder den `QualityAssurance`-Tag-Wert aufweisen. Der `JobFunction`-Tag-Schlüssel muss den `Employee`-Tag-Wert aufweisen. Mit dieser Richtlinie können Sie festlegen, dass neue Benutzer eine bestimmte Stellenfunktion und Abteilung aufweisen müssen. Diese Richtlinie gewährt die erforderlichen Berechtigungen, um diese Aktion programmgesteuert über die AWS API oder abzuschließen. AWS CLI Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md). 

Die erste Bedingung in der Anweisung verwendet den `StringEqualsIfExists`-Bedingungsoperator. Wenn ein Tag mit dem `Department`- oder dem `JobFunction`-Schlüssel in der Anforderung vorhanden ist, muss das Tag den angegebenen Wert aufweisen. Wenn kein Schlüssel vorhanden ist, wird diese Bedingung als "true" ausgewertet. Die einzige Möglichkeit, dass die Bedingung als "false" ausgewertet wird, ist gegeben, wenn einer der angegebenen Bedingungsschlüssel in der Anforderung vorhanden ist, aber einen anderen Wert als die zulässigen hat. Weitere Informationen zur Verwendung von `IfExists` finden Sie unter [... IfExists Bedingungsoperatoren](reference_policies_elements_condition_operators.md#Conditions_IfExists).

Die zweite Bedingung verwendet den `ForAllValues:StringEquals`-Bedingungsoperator. Die Bedingung gibt "true" zurück, wenn alle in der Anforderung angegebenen Tag-Schlüssel mit mindestens einem Richtlinienwert übereinstimmen. Das bedeutet, dass alle Tags in der Anforderung in dieser Liste aufgeführt sein müssen. Die Anforderung kann jedoch nur einen der Tags in der Liste enthalten. Sie können beispielsweise einen IAM-Benutzer nur mit dem `Department=QualityAssurance`-Tag erstellen. Es ist jedoch nicht möglich, einen IAM-Benutzer mit dem `JobFunction=employee`-Tag und dem `Project=core`-Tag zu erstellen. Weitere Informationen zur Verwendung von `ForAllValues` finden Sie unter [Operatoren für mehrwertige Kontextschlüssel festlegen](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "TagUsersWithOnlyTheseTags",
            "Effect": "Allow",
            "Action": [
                "iam:CreateUser",
                "iam:TagUser"
            ],
            "Resource": "*",
            "Condition": {
                "StringEqualsIfExists": {
                    "aws:RequestTag/Department": [
                        "Development",
                        "QualityAssurance"
                    ],
                    "aws:RequestTag/JobFunction": "Employee"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "Department",
                        "JobFunction"
                    ]
                }
            }
        }
    ]
}
```

------

# IAM: Generieren und Abrufen von -Berichten zu Anmeldeinformationen
<a name="reference_policies_examples_iam-credential-report"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen könnten, die es Benutzern ermöglicht, einen Bericht zu generieren und herunterzuladen, in dem alle IAM-Benutzer in ihrem Verzeichnis aufgeführt sind. AWS-Konto Der Bericht enthält außerdem den Status der Anmeldeinformationen des Benutzers, einschließlich Passwörter, MFA-Geräte und Signaturzertifikate. Diese Richtlinie gewährt die erforderlichen Berechtigungen, um diese Aktion programmgesteuert über die API oder durchzuführen. AWS AWS CLI

Weitere Informationen zu Berichten zu Anmeldeinformationen finden Sie unter [Generieren Sie Anmeldedatenberichte für Ihre AWS-Konto](id_credentials_getting-report.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GenerateCredentialReport",
            "iam:GetCredentialReport"
        ],
        "Resource": "*"
    }
}
```

------

# IAM: Ermöglicht das Verwalten der Mitgliedschaft einer Gruppe sowohl programmgesteuert als auch über die Konsole
<a name="reference_policies_examples_iam_manage-group-membership"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die die Aktualisierung der Mitgliedschaft der Gruppe mit dem Namen `MarketingTeam` erlaubt. Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff. Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md).

Was macht diese Richtlinie?
+ Die `ViewGroups`-Anweisung erlaubt dem Benutzer das Auflisten aller Benutzer und Gruppen in der AWS-Managementkonsole. Darüber hinaus ermöglicht sie dem Benutzer das Anzeigen grundlegender Informationen zu den Benutzern im Konto. Diese Berechtigungen müssen in ihrer eigenen Anweisung vorliegen, da sie keine Ressourcen-ARN unterstützen oder keine angeben müssen. Geben Sie anstelle von Berechtigungen `"Resource" : "*"` ein.
+ Die `ViewEditThisGroup`-Anweisung ermöglicht dem Benutzer, Informationen zur Gruppe `MarketingTeam` anzuzeigen und Benutzer zu dieser Gruppe hinzuzufügen oder aus dieser zu entfernen.

Diese Richtlinie lässt nicht zu, dass der Benutzer die Berechtigungen der Benutzer oder der Gruppe `MarketingTeam` anzeigt oder bearbeitet.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewGroups",
            "Effect": "Allow",
            "Action": [
                "iam:ListGroups",
                "iam:ListUsers",
                "iam:GetUser",
                "iam:ListGroupsForUser"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ViewEditThisGroup",
            "Effect": "Allow",
            "Action": [
                "iam:AddUserToGroup",
                "iam:RemoveUserFromGroup",
                "iam:GetGroup"
            ],
            "Resource": "arn:aws:iam::*:group/MarketingTeam"
        }
    ]
}
```

------

# IAM: Verwalten eines bestimmten Tags
<a name="reference_policies_examples_iam-manage-tags"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die das Hinzufügen und Entfernen des IAM-Tags mit dem Tag-Schlüssel `Department` von IAM-Entitäten (Benutzern und Rollen) erlaubt. Diese Richtlinie schränkt den Wert des `Department`-Tags nicht ein. Diese Richtlinie gewährt die erforderlichen Berechtigungen, um diese Aktion programmgesteuert über die AWS API oder abzuschließen. AWS CLI Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md). 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:TagUser",
            "iam:TagRole",
            "iam:UntagUser",
            "iam:UntagRole"

        ],
        "Resource": "*",
        "Condition": {"ForAllValues:StringEquals": {"aws:TagKeys": "Department"}}
    }
}
```

------

# IAM: Übergeben Sie eine IAM-Rolle an einen bestimmten Dienst AWS
<a name="reference_policies_examples_iam-passrole-service"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen könnten, die es ermöglicht, jede IAM-Servicerolle an den Amazon-Service zu übergeben. CloudWatch Diese Richtlinie gewährt die erforderlichen Berechtigungen, um diese Aktion programmgesteuert über die API oder durchzuführen. AWS AWS CLI Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md). 

Eine Servicerolle ist eine IAM-Rolle, die einen AWS Dienst als Principal angibt, der die Rolle übernehmen kann. Auf diese Weise kann der Service die Rolle übernehmen und in Ihrem Namen auf Ressourcen eines anderen Services zugreifen. Damit Amazon CloudWatch die Rolle übernehmen kann, die Sie bestehen, müssen Sie in der Vertrauensrichtlinie Ihrer Rolle den `cloudwatch.amazonaws.com` Service Principal als Principal angeben. Der Dienstauftraggeber wird durch den Service definiert. Um den Dienstauftraggeber für einen Service zu ermitteln, lesen Sie die Dokumentation für diesen Service. Für einige Services finden Sie Informationen unter [AWS Dienste, die mit IAM funktionieren](reference_aws-services-that-work-with-iam.md) und suchen Sie nach den Services, für die **Yes **in der Spalte **Service-Linked Role** angegeben ist. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen. Suchen Sie nach `amazonaws.com`, um den Dienstauftraggeber anzuzeigen.

Weitere Informationen zum Übergeben einer Servicerolle an einen Service finden Sie unter [Erteilen Sie einem Benutzer die Erlaubnis, eine Rolle an einen AWS Dienst zu übergeben](id_roles_use_passrole.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"iam:PassedToService": "cloudwatch.amazonaws.com"}
            }
        }
    ]
}
```

------

# IAM: Ermöglicht einen schreibgeschützten Zugriff auf die IAM-Konsole ohne Berichterstellung
<a name="reference_policies_examples_iam_read-only-console-no-reporting"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die IAM-Benutzern die Berechtigung zum Ausführen einer IAM-Aktion gewährt, die mit der Zeichenfolge `Get` oder `List` beginnt. Wenn Benutzer die Konsole verwenden, stellt diese Anforderungen an IAM, um Gruppen, Benutzer, Rollen und Richtlinien aufzulisten und Berichte über diese Ressourcen zu generieren.

Das Sternchen dient als Platzhalter. Wenn Sie `iam:Get*` in einer Richtlinie verwenden, enthalten die resultierenden Berechtigungen alle IAM-Aktionen, die mit `Get` beginnen, beispielsweise `GetUser` und `GetRole`. Platzhalter sind nützlich, wenn neue Entitätstypen zu IAM hinzugefügt werden. In diesem Fall wird es dem Benutzer durch die Berechtigungen, die laut der Richtlinie gewährt werden, automatisch erlaubt, Details zu diesen neuen Entitäten aufzulisten und abzurufen. 

Diese Richtlinie kann nicht zum Generieren von Berichten oder Dienstdetails verwendet werden, auf die zuletzt zugegriffen wird. Eine andere Richtlinie, die dies zulässt, finden Sie unter [IAM: Gewährt einen schreibgeschützten Zugriff auf die IAM-Konsole](reference_policies_examples_iam_read-only-console.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:Get*",
            "iam:List*"
        ],
        "Resource": "*"
    }
}
```

------

# IAM: Gewährt einen schreibgeschützten Zugriff auf die IAM-Konsole
<a name="reference_policies_examples_iam_read-only-console"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die IAM-Benutzern die Berechtigung zum Ausführen einer IAM-Aktion gewährt, die mit der Zeichenfolge `Get`, `List` oder `Generate` beginnt. Wenn Benutzer die IAM-Konsole verwenden, stellt diese Anforderungen, um Gruppen, Benutzer, Rollen und Richtlinien aufzulisten und Berichte über diese Ressourcen zu generieren.

Das Sternchen dient als Platzhalter. Wenn Sie `iam:Get*` in einer Richtlinie verwenden, enthalten die resultierenden Berechtigungen alle IAM-Aktionen, die mit `Get` beginnen, beispielsweise `GetUser` und `GetRole`. Das Verwenden eines Platzhalters ist hilfreich, insbesondere, wenn neue Entitätstypen zu IAM hinzugefügt werden. In diesem Fall wird es dem Benutzer durch die Berechtigungen, die laut der Richtlinie gewährt werden, automatisch erlaubt, Details zu diesen neuen Entitäten aufzulisten und abzurufen. 

Verwenden Sie diese Richtlinie für den Konsolenzugriff, der Berechtigungen zum Generieren von Berichten oder Dienstdetails enthält. Für eine andere Richtlinie, die das Erzeugen von Aktionen nicht zulässt, siehe [IAM: Ermöglicht einen schreibgeschützten Zugriff auf die IAM-Konsole ohne Berichterstellung](reference_policies_examples_iam_read-only-console-no-reporting.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:Get*",
            "iam:List*",
            "iam:Generate*"
        ],
        "Resource": "*"
    }
}
```

------

# : Ermöglicht spezifischen IAM-Benutzern das Verwalten einer Gruppe programmgesteuert und in der Konsole
<a name="reference_policies_examples_iam_users-manage-group"></a>

Dieses Beispiel zeigt, wie Sie eine IAM-Richtlinie erstellen könnten, die es bestimmten IAM-Benutzern erlaubt, die `AllUsers`-Gruppe zu verwalten. Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff. Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md).

Was macht diese Richtlinie?
+ Die `AllowAllUsersToListAllGroups`-Anweisung erlaubt das Auflisten aller Gruppen. Dies ist für den Konsolenzugriff erforderlich. Diese Berechtigung muss als eigene Anweisung vorliegen, da sie keinen Ressourcen-ARN unterstützt. Geben Sie anstelle von Berechtigungen `"Resource" : "*"` ein.
+ Die `AllowAllUsersToViewAndManageThisGroup`-Anweisung lässt alle Gruppenaktionen zu, die für den Gruppenressourcentyp durchgeführt werden können. Sie lässt die `ListGroupsForUser`-Aktion nicht zu. Diese Aktion kann für einen Benutzerressourcentyp und nicht für einen Gruppenressourcentyp durchgeführt werden. Weitere Informationen über die Ressourcentypen, die Sie für eine IAM-Aktion angeben können, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_identityandaccessmanagement.html#identityandaccessmanagement-actions-as-permissions).
+ Die `LimitGroupManagementAccessToSpecificUsers`-Anweisung verweigert Benutzern mit den angegebenen Namen den Zugriff auf Gruppenaktionen für die Schreib- und Berechtigungsverwaltung. Wenn ein in der Richtlinie angegebener Benutzer versucht, Änderungen an der Gruppe vorzunehmen, lehnt diese Anweisung die Anforderung nicht ab. Diese Anforderung wird durch die `AllowAllUsersToViewAndManageThisGroup`-Anweisung zugelassen. Wenn andere Benutzer versuchen, diese Operationen durchzuführen, wird die Anforderung abgelehnt. Sie können die -Aktionen, die über die Zugriffsebenen **Write (Schreiben)** oder **Permissions management (Berechtigungsverwaltung)** definiert wurden, anzeigen, während Sie die Richtlinie in der IAM-Konsole erstellen. Wechseln Sie dazu von der Registerkarte **JSON** zur Registerkarte**Visual editor (Visueller Editor)** . Weitere Informationen über Zugriffsebenen finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_identityandaccessmanagement.html#identityandaccessmanagement-actions-as-permissions).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAllUsersToListAllGroups",
            "Effect": "Allow",
            "Action": "iam:ListGroups",
            "Resource": "*"
        },
        {
            "Sid": "AllowAllUsersToViewAndManageThisGroup",
            "Effect": "Allow",
            "Action": "iam:*Group*",
            "Resource": "arn:aws:iam::*:group/AllUsers"
        },
        {
            "Sid": "LimitGroupManagementAccessToSpecificUsers",
            "Effect": "Deny",
            "Action": [
                "iam:AddUserToGroup",
                "iam:CreateGroup",
                "iam:RemoveUserFromGroup",
                "iam:DeleteGroup",
                "iam:AttachGroupPolicy",
                "iam:UpdateGroup",
                "iam:DetachGroupPolicy",
                "iam:DeleteGroupPolicy",
                "iam:PutGroupPolicy"
            ],
            "Resource": "arn:aws:iam::*:group/AllUsers",
            "Condition": {
                "StringNotEquals": {
                    "aws:username": [
                        "srodriguez",
                        "mjackson",
                        "adesai"
                    ]
                }
            }
        }
    ]
}
```

------

# IAM: Ermöglicht das Festlegen der Anforderungen an das Kontopasswort programmgesteuert und in der Konsole
<a name="reference_policies_examples_iam_set-account-pass-policy"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die es einem Benutzer erlaubt, die Passwort-Anforderungen für sein Konto anzuzeigen und zu aktualisieren. Die Passwortanforderungen umfassen die Anforderungen an die Komplexität sowie die vorgeschriebenen Wechselperioden für die Passwörter der Kontomitglieder. Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff.

Informationen zum Festlegen der Anforderungen an das Kontopasswort für Ihr Konto finden Sie unter [Konto-Passwortrichtlinie für IAM-Benutzer festlegen](id_credentials_passwords_account-policy.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GetAccountPasswordPolicy",
            "iam:UpdateAccountPasswordPolicy"
        ],
        "Resource": "*"
    }
}
```

------

# IAM: Zugriff auf die Richtliniensimulator-API basierend auf dem Benutzerpfad
<a name="reference_policies_examples_iam_policy-sim-path"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die die Verwendung der Richtliniensimulator-API nur für Benutzer mit dem Pfad `Department/Development` zulässt. Diese Richtlinie gewährt die erforderlichen Berechtigungen, um diese Aktion programmgesteuert über die AWS API oder abzuschließen. AWS CLI Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "iam:GetContextKeysForPrincipalPolicy",
                "iam:SimulatePrincipalPolicy"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:user/Department/Development/*"
        }
    ]
}
```

------

**Anmerkung**  
Informationen zum Erstellen einer Richtlinie, die die Verwendung der Richtliniensimulator-Konsole für diejenigen Benutzer erlaubt, die über den Pfad `Department/Development` verfügen, finden Sie unter [IAM: Zugriff auf die Richtliniensimulator-Konsole basierend auf dem Benutzerpfad](reference_policies_examples_iam_policy-sim-path-console.md).

# IAM: Zugriff auf die Richtliniensimulator-Konsole basierend auf dem Benutzerpfad
<a name="reference_policies_examples_iam_policy-sim-path-console"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die die Verwendung der Richtliniensimulator-Konsole nur für die Benutzer mit dem Pfad `Department/Development` zulässt. Diese Richtlinie gewährt die erforderlichen Berechtigungen, um diese Aktion programmgesteuert über die AWS API oder abzuschließen. AWS CLI Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md).

[Sie können auf den IAM Policy Simulator zugreifen unter:/https://policysim.aws.amazon.com](https://policysim.aws.amazon.com/)

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "iam:GetPolicy",
                "iam:GetUserPolicy"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "iam:GetUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListGroupsForUser",
                "iam:ListUserPolicies",
                "iam:ListUsers"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:user/Department/Development/*"
        }
    ]
}
```

------

# IAM: Ermöglicht es IAM-Benutzern, MFA-Geräte selbst zu verwalten
<a name="reference_policies_examples_iam_mfa-selfmanage"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen könnten, die IAM-Benutzern erlaubt, ihr [Multi-Faktor-Authentifizierung (MFA)](id_credentials_mfa.md)-Gerät selbst zu verwalten. Diese Richtlinie gewährt die erforderlichen Berechtigungen, um diese Aktion programmgesteuert über die AWS API oder abzuschließen. AWS CLI

**Anmerkung**  
Wenn ein IAM-Benutzer mit dieser Richtlinie nicht MFA-authentifiziert ist, verweigert diese Richtlinie den Zugriff auf alle AWS Aktionen außer denen, die für die Authentifizierung mit MFA erforderlich sind. Wenn Sie diese Berechtigungen für einen Benutzer hinzufügen, bei dem er angemeldet ist, muss er sich möglicherweise ab- und wieder anmelden AWS, um die Änderungen zu sehen.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowListActions",
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers",
                "iam:ListVirtualMFADevices"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUserToCreateVirtualMFADevice",
            "Effect": "Allow",
            "Action": [
                "iam:CreateVirtualMFADevice"
            ],
            "Resource": "arn:aws:iam::*:mfa/*"
        },
        {
            "Sid": "AllowUserToManageTheirOwnMFA",
            "Effect": "Allow",
            "Action": [
                "iam:EnableMFADevice",
                "iam:GetMFADevice",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowUserToDeactivateTheirOwnMFAOnlyWhenUsingMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice"
            ],
            "Resource": [
                "arn:aws:iam::*:user/${aws:username}"
            ],
            "Condition": {
                "Bool": {
                    "aws:MultiFactorAuthPresent": "true"
                }
            }
        },
        {
            "Sid": "BlockMostAccessUnlessSignedInWithMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:CreateVirtualMFADevice",
                "iam:EnableMFADevice",
                "iam:ListMFADevices",
                "iam:ListUsers",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}
```

------

# IAM: Ermöglicht es IAM-Benutzern, ihre eigenen Anmeldeinformationen programmgesteuert und in der Konsole zu aktualisieren
<a name="reference_policies_examples_iam_credentials_console"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die es IAM-Benutzern ermöglicht, ihre eigenen Zugriffsschlüssel, Signierzertifikate, servicespezifischen Anmeldeinformationen und Passwörter zu aktualisieren. Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers",
                "iam:GetAccountPasswordPolicy"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:*AccessKey*",
                "iam:ChangePassword",
                "iam:GetUser",
                "iam:*ServiceSpecificCredential*",
                "iam:*SigningCertificate*"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        }
    ]
}
```

------

Weitere Informationen dazu, wie ein Benutzer sein eigenes Passwort in der Konsole ändern kann, finden Sie unter [Wie ein IAM-Benutzer sein eigenes Passwort ändert](id_credentials_passwords_user-change-own.md).

# IAM: Informationen über den Dienst, auf den zuletzt zugegriffen wurde, für eine AWS Organizations Richtlinie anzeigen
<a name="reference_policies_examples_iam_service-accessed-data-orgs"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die die Anzeige von Informationen über den letzten Zugriff auf einen Service für eine bestimmte AWS Organizations -Richtlinie erlaubt. Diese Richtlinie ermöglicht das Abrufen von Daten für die Service-Kontrollrichtlinie (Service Control Policy, SCP) mit der `p-policy123`-ID. Die Person, die den Bericht generiert und anzeigt, muss mit den Anmeldeinformationen für das AWS Organizations Verwaltungskonto authentifiziert werden. Diese Richtlinie ermöglicht es dem Anforderer, die Daten für jede AWS Organizations Entität in seiner Organisation abzurufen. Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff. Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md).

Weitere Informationen zu Informationen zum letzten Servicezugriff, darunter zu den erforderlichen Berechtigungen und den unterstützten Regionen, finden Sie unter [Verfeinern Sie die Berechtigungen für AWS die Verwendung der zuletzt abgerufenen Informationen](access_policies_last-accessed.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowOrgsReadOnlyAndIamGetReport",
            "Effect": "Allow",
            "Action": [
                "iam:GetOrganizationsAccessReport",
                "organizations:Describe*",
                "organizations:List*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowGenerateReportOnlyForThePolicy",
            "Effect": "Allow",
            "Action": "iam:GenerateOrganizationsAccessReport",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"iam:OrganizationsPolicyId": "p-policy123"}
            }
        }
    ]
}
```

------

# IAM: Beschränkt die verwalteten Richtlinien, die -Benutzern, -Gruppen oder -Rollen zugeordnet werden können
<a name="reference_policies_examples_iam_limit-managed"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen könnten, die vom Kunden verwaltete und AWS verwaltete Richtlinien einschränkt, die auf einen IAM-Benutzer, eine Gruppe oder eine IAM-Rolle angewendet werden können. Diese Richtlinie gewährt die erforderlichen Berechtigungen, um diese Aktion programmgesteuert über die API oder durchzuführen. AWS AWS CLI Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:AttachUserPolicy",
            "iam:DetachUserPolicy"
        ],
        "Resource": "*",
        "Condition": {
            "ArnEquals": {
                "iam:PolicyARN": [
                    "arn:aws:iam::*:policy/policy-name-1",
                    "arn:aws:iam::*:policy/policy-name-2"
                ]
            }
        }
    }
}
```

------

# AWS: Verweigern Sie den Zugriff auf Ressourcen außerhalb Ihres Kontos mit Ausnahme von AWS verwalteten IAM-Richtlinien
<a name="resource_examples_iam_policies_resource_account"></a>

Die Verwendung von `aws:ResourceAccount` in Ihren identitätsbasierten Richtlinien kann sich auf die Fähigkeit des Benutzers oder der Rolle auswirken, einige Services zu nutzen, die eine Interaktion mit Ressourcen in Konten erfordern, die einem Service gehören.

Sie können eine Richtlinie mit einer Ausnahme erstellen, um AWS verwaltete IAM-Richtlinien zuzulassen. Ein vom Service verwaltetes Konto außerhalb Ihrer AWS Organizations eigenen verwalteten IAM-Richtlinien. Es gibt vier IAM-Aktionen, die verwaltete Richtlinien auflisten und abrufen AWS. Verwenden Sie diese Aktionen im [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html)-Element der Anweisung. `AllowAccessToS3ResourcesInSpecificAccountsAndSpecificService1` in der Richtlinie.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAccessToResourcesInSpecificAccountsAndSpecificService1",
      "Effect": "Deny",
      "NotAction": [
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListEntitiesForPolicy",
        "iam:ListPolicies"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "111122223333"
          ]
        }
      }
    }
  ]
}
```

------

# AWS Lambda: Ermöglicht einer Lambda-Funktion den Zugriff auf eine Amazon DynamoDB -Tabelle
<a name="reference_policies_examples_lambda-access-dynamodb"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die den Lese- und Schreibzugriff auf eine bestimmte Amazon-DynamoDB-Tabelle erlaubt. Die Richtlinie ermöglicht auch das Schreiben von Protokolldateien in CloudWatch Logs. Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md).

Zur Nutzung dieser Richtlinie fügen Sie sie an eine Lambda [Servicerolle](id_roles_create_for-service.md) an. Eine Servicerolle ist eine Rolle, die Sie in Ihrem Konto erstellen, um einem Service das Ausführen von Aktionen in Ihrem Namen zu ermöglichen. Diese Servicerolle muss AWS Lambda als Principal in der Vertrauensrichtlinie enthalten sein. Einzelheiten zur Verwendung dieser Richtlinie finden Sie unter [So erstellen Sie eine AWS IAM-Richtlinie, um AWS Lambda Zugriff auf eine Amazon DynamoDB-Tabelle zu gewähren im AWS Sicherheitsblog](https://aws.amazon.com/blogs/security/how-to-create-an-aws-iam-policy-to-grant-aws-lambda-access-to-an-amazon-dynamodb-table/).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ReadWriteTable",
            "Effect": "Allow",
            "Action": [
                "dynamodb:BatchGetItem",
                "dynamodb:GetItem",
                "dynamodb:Query",
                "dynamodb:Scan",
                "dynamodb:BatchWriteItem",
                "dynamodb:PutItem",
                "dynamodb:UpdateItem"
            ],
            "Resource": "arn:aws:dynamodb:*:*:table/SampleTable"
        },
        {
            "Sid": "GetStreamRecords",
            "Effect": "Allow",
            "Action": "dynamodb:GetRecords",
            "Resource": "arn:aws:dynamodb:*:*:table/SampleTable/stream/* "
        },
        {
            "Sid": "WriteLogStreamsAndGroups",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateLogGroup",
            "Effect": "Allow",
            "Action": "logs:CreateLogGroup",
            "Resource": "*"
        }
    ]
}
```

------

# Amazon RDS: Gewährt Vollzugriff auf die RDS-Datenbank innerhalb einer bestimmten Region
<a name="reference_policies_examples_rds_region"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die den vollständigen RDS-Datenbankzugriff innerhalb einer bestimmten Region ermöglicht. Diese Richtlinie gewährt die erforderlichen Berechtigungen, um diese Aktion programmgesteuert über die AWS API oder abzuschließen. AWS CLI Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rds:*",
            "Resource": ["arn:aws:rds:us-east-1:*:*"]
        },
        {
            "Effect": "Allow",
            "Action": ["rds:Describe*"],
            "Resource": ["*"]
        }
    ]
}
```

------

# Amazon RDS: Ermöglicht es, RDS-Datenbanken programmgesteuert und in der Konsole wiederherzustellen
<a name="reference_policies_examples_rds_db-console"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die die Wiederherstellung von RDS-Datenbanken erlaubt. Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:Describe*",
                "rds:CreateDBParameterGroup",
                "rds:CreateDBSnapshot",
                "rds:DeleteDBSnapshot",
                "rds:Describe*",
                "rds:DownloadDBLogFilePortion",
                "rds:List*",
                "rds:ModifyDBInstance",
                "rds:ModifyDBParameterGroup",
                "rds:ModifyOptionGroup",
                "rds:RebootDBInstance",
                "rds:RestoreDBInstanceFromDBSnapshot",
                "rds:RestoreDBInstanceToPointInTime"
            ],
            "Resource": "*"
        }
    ]
}
```

------

# Amazon RDS: Gewährt Tag-Eigentümern Vollzugriff auf die RDS-Ressourcen, die sie markiert haben
<a name="reference_policies_examples_rds_tag-owner"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die Tag-Besitzern vollen Zugriff auf RDS-Ressourcen gewährt, die sie markiert haben. Diese Richtlinie gewährt die erforderlichen Berechtigungen, um diese Aktion programmgesteuert über die AWS API oder abzuschließen. AWS CLI

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "rds:Describe*",
                "rds:List*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "rds:DeleteDBInstance",
                "rds:RebootDBInstance",
                "rds:ModifyDBInstance"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:db-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:ModifyOptionGroup",
                "rds:DeleteOptionGroup"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:og-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:ModifyDBParameterGroup",
                "rds:ResetDBParameterGroup"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:pg-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:AuthorizeDBSecurityGroupIngress",
                "rds:RevokeDBSecurityGroupIngress",
                "rds:DeleteDBSecurityGroup"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:secgrp-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:DeleteDBSnapshot",
                "rds:RestoreDBInstanceFromDBSnapshot"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:snapshot-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:ModifyDBSubnetGroup",
                "rds:DeleteDBSubnetGroup"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:subgrp-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:ModifyEventSubscription",
                "rds:AddSourceIdentifierToSubscription",
                "rds:RemoveSourceIdentifierFromSubscription",
                "rds:DeleteEventSubscription"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:es-tag/Owner": "${aws:username}"}
            }
        }
    ]
}
```

------

# Amazon S3: Ermöglicht Amazon Cognito-Benutzern den Zugriff auf Objekte in ihrem Bucket
<a name="reference_policies_examples_s3_cognito-bucket"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die Amazon-Cognito-Benutzern den Zugriff auf Objekte in einem bestimmten Amazon-S3-Bucket ermöglicht. Diese Richtlinie gewährt den Zugriff nur auf Objekte mit einem Namen, der `cognito`, den Namen der Anwendung und die ID des Verbundprinzipals enthält, dargestellt durch die Variable \$1\$1cognito-identity.amazonaws.com:sub\$1. Diese Richtlinie gewährt die erforderlichen Berechtigungen, um diese Aktion programmgesteuert über die AWS API oder abzuschließen. AWS CLI Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md).

**Anmerkung**  
Der im Objektschlüssel verwendete "sub"-Wert ist nicht der Sub-Wert des Benutzers im Benutzerpool, sondern die Identitäts-ID, die dem Benutzer im Identitätspool zugeordnet ist.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "ListYourObjects",
      "Effect": "Allow",
      "Action": "s3:ListBucket",
      "Resource": [
        "arn:aws:s3:::bucket-name"
      ],
      "Condition": {
        "StringLike": {
          "s3:prefix": [
            "cognito/application-name/${cognito-identity.amazonaws.com:sub}/*"
          ]
        }
      }
    },
    {
      "Sid": "ReadWriteDeleteYourObjects",
      "Effect": "Allow",
      "Action": [
        "s3:DeleteObject",
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucket-name/cognito/application-name/${cognito-identity.amazonaws.com:sub}/*"
      ]
    }
  ]
}
```

------

Amazon Cognito bietet Authentifizierung, Autorisierung und Benutzerverwaltung für Ihre Web- und Mobilanwendungen. Ihre Benutzer können sich direkt mit einem Benutzernamen und einem Passwort oder über einen Drittanbieter wie Facebook, Amazon oder Google anmelden. 

Die zwei Hauptkomponenten von Amazon Cognito sind Benutzerpools und Identitäten-Pools. Benutzerpools sind Benutzerverzeichnisse, die Registrierungs- und Anmeldungsoptionen für Ihre mobilen Anwendungs-Nutzer bereitstellen. Mithilfe von Identitätspools können Sie Ihren Benutzern Zugriff auf andere AWS Dienste gewähren. Sie können Identitäten-Pools und Benutzerpools getrennt oder zusammen verwenden. 

Weitere Informationen zu Amazon Cognito erhalten Sie im [Benutzerhandbuch von Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-identity.html).

# Amazon S3: Gewährt Verbundbenutzern programmgesteuert und in der Konsole Zugriff auf ihr Amazon-S3-Stammverzeichnis
<a name="reference_policies_examples_s3_federated-home-directory-console"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die es Verbundprinzipalen ermöglicht, auf ihr eigenes Startverzeichnis-Bucket-Objekt in S3 zuzugreifen. Das Stammverzeichnis ist ein Bucket mit einem `home`-Ordner sowie Ordnern für einzelne Verbundprinzipale. Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff. Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md).

Die Variable `${aws:userid}` in dieser Richtlinie wird in `role-id:specified-name` aufgelöst. Der Teil `role-id` der Verbundprinzipal-ID ist ein eindeutiger Bezeichner für die Rolle des Verbundprinzipals während der Erstellung. Weitere Informationen finden Sie unter [Eindeutige Bezeichner](reference_identifiers.md#identifiers-unique-ids). Dies `specified-name` ist der [RoleSessionName Parameter](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html#API_AssumeRoleWithWebIdentity_RequestParameters), der an die `AssumeRoleWithWebIdentity` Anforderung übergeben wurde, als der Verbundprinzipal seine Rolle übernommen hat.

Sie können die Rollen-ID mit dem AWS CLI Befehl `aws iam get-role --role-name specified-name` anzeigen. Stellen Sie sich z. B. vor, Sie geben als Anzeigenamen `John` an und die CLI gibt die Rolle-ID `AROAXXT2NJT7D3SIQN7Z6` zurück. In diesem Fall ist `AROAXXT2NJT7D3SIQN7Z6:John` die ID des Verbundprinzipals. Diese Richtlinie erlaubt dann dem Verbundprinzipal John den Zugriff auf den Amazon-S3-Bucket mit dem Präfix `AROAXXT2NJT7D3SIQN7Z6:John`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "S3ConsoleAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:ListAccessPoints",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringLike": {
                    "s3:prefix": [
                        "",
                        "home/",
                        "home/${aws:userid}/*"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:userid}",
                "arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:userid}/*"
            ]
        }
    ]
}
```

------

# Amazon S3: S3-Bucket-Zugriff, der Zugriff auf den Produktions-Bucket ohne vorherige MFA wird aber verweigert
<a name="reference_policies_examples_s3_full-access-except-production"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die einem Amazon-S3-Administrator den Zugriff auf jeden Bucket erlaubt, einschließlich dem Aktualisieren, Hinzufügen und Löschen von Objekten. Dabei wird jedoch explizit der Zugriff auf den `amzn-s3-demo-bucket-production`-Bucket verweigert, wenn sich der Benutzer nicht innerhalb der letzten 30 Minuten per [Multifaktor-Authentifizierung (MFA)](id_credentials_mfa.md) angemeldet hat. Diese Richtlinie gewährt die erforderlichen Berechtigungen, um diese Aktion in der Konsole oder programmgesteuert mithilfe der API AWS CLI oder AWS auszuführen. Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md).

Diese Richtlinie ermöglicht niemals den programmgesteuerten Zugriff auf den `amzn-s3-demo-bucket`-Bucket mit langfristig geltenden Benutzerzugriffsschlüsseln. Dies wird mit dem `aws:MultiFactorAuthAge`-Bedingungsschlüssel mit dem `NumericGreaterThanIfExists`-Bedingungsoperator erreicht. Diese Richtlinienbedingung gibt `true` zurück, wenn MFA nicht vorhanden ist oder wenn das Alter des MFA größer als 30 Minuten ist. In diesen Situationen wird der Zugriff verweigert. Um programmgesteuert auf den `amzn-s3-demo-bucket-production` Bucket zuzugreifen, muss der S3-Administrator temporäre Anmeldeinformationen verwenden, die in den letzten 30 Minuten mithilfe der [GetSessionToken](id_credentials_temp_request.md#api_getsessiontoken)API-Operation generiert wurden.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListAllS3Buckets",
            "Effect": "Allow",
            "Action": ["s3:ListAllMyBuckets"],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "AllowBucketLevelActions",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "AllowBucketObjectActions",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:DeleteObject"
            ],
            "Resource": "arn:aws:s3:::*/*"
        },
        {
            "Sid": "RequireMFAForProductionBucket",
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-production/*",
                "arn:aws:s3:::amzn-s3-demo-bucket-production"
            ],
            "Condition": {
                "NumericGreaterThanIfExists": {"aws:MultiFactorAuthAge": "1800"}
            }
        }
    ]
}
```

------

# Amazon S3:: Gewährt IAM-Benutzern programmgesteuert und in der Konsole Zugriff auf ihr S3-Stammverzeichnis.
<a name="reference_policies_examples_s3_home-directory-console"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die es IAM-Benutzern erlaubt, auf ihr eigenes Startverzeichnis-Bucket-Objekt in S3 zuzugreifen. Das Stammverzeichnis ist ein Bucket mit dem Verzeichnis `home` sowie Verzeichnissen für einzelne Benutzer. Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff. Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md).

Diese Richtlinie funktioniert nicht bei der Verwendung von IAM-Rollen, da die `aws:username`-Variable bei der Verwendung von IAM-Rollen nicht verfügbar ist. Weitere Informationen zu Hauptschlüsselwerten finden Sie unter [Auftraggeber-Schlüsselwerte](reference_policies_variables.md#principaltable).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "S3ConsoleAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:ListAccessPoints",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringLike": {
                    "s3:prefix": [
                        "",
                        "home/",
                        "home/${aws:username}/*"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:username}",
                "arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:username}/*"
            ]
        }
    ]
}
```

------

# Amazon S3: Beschränken der Verwaltung auf einen bestimmten S3-Bucket
<a name="reference_policies_examples_s3_deny-except-bucket"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die die Verwaltung eines Amazon-S3-Buckets auf diesen spezifischen Bucket beschränkt. Diese Richtlinie gewährt die Berechtigung, alle Amazon-S3-Aktionen durchzuführen, verweigert aber den Zugriff auf jeden AWS-Service außer Amazon S3. Sehen Sie sich das folgende Beispiel an. Gemäß dieser Richtlinie können Sie nur auf Amazon-S3-Aktionen zugreifen, die Sie für einen S3-Bucket oder eine S3-Objektressource durchführen können. Diese Richtlinie gewährt die erforderlichen Berechtigungen, um diese Aktion programmgesteuert über die AWS API oder abzuschließen. AWS CLI Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md).

Wenn diese Richtlinie in Kombination mit anderen Richtlinien (wie den von [AmazonS3 FullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonS3FullAccess) oder von [Amazon EC2 FullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2FullAccess) AWS verwalteten Richtlinien) verwendet wird, die Aktionen zulassen, die durch diese Richtlinie verweigert werden, wird der Zugriff verweigert. Der Grund hierfür liegt darin, dass eine explizite Zugriffsverweigerung Vorrang vor einer Zugriffserlaubnis hat. Weitere Informationen finden Sie unter [Wie die Logik des AWS Erzwingungscodes Anfragen zur Zulassung oder Verweigerung des Zugriffs auswertet](reference_policies_evaluation-logic_policy-eval-denyallow.md).

**Warnung**  
Bei [`NotAction`](reference_policies_elements_notaction.md) und [`NotResource`](reference_policies_elements_notresource.md) handelt es sich um erweiterte Richtlinienelemente, die mit Vorsicht verwendet werden sollten. Diese Richtlinie verweigert den Zugriff auf alle AWS -Services mit Ausnahme von Amazon S3. Wenn Sie diese Richtlinie einem Benutzer anfügen, werden alle anderen Richtlinien, die Berechtigungen für andere Services erteilen, ignoriert und der Zugriff wird verweigert.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::bucket-name",
                "arn:aws:s3:::bucket-name/*"
            ]
        },
        {
            "Effect": "Deny",
            "NotAction": "s3:*",
            "NotResource": [
                "arn:aws:s3:::bucket-name",
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}
```

------

# Lese- und Schreibzugriff auf Objekte in einem Amazon-S3-Bucket gewähren
<a name="reference_policies_examples_s3_rw-bucket"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die `Read` und `Write` Zugriff auf Objekte in einem bestimmten Amazon-S3-Bucket gewährt. Diese Richtlinie gewährt die erforderlichen Berechtigungen, um diese Aktion programmgesteuert über die API oder durchzuführen. AWS AWS CLI Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md).

Die `s3:*Object`-Aktion verwendet einen Platzhalter als Teil des Namens der Aktion. Die Anweisung `AllObjectActions` erlaubt die Aktionen `GetObject`, `DeleteObject`, `PutObject` und alle anderen Amazon S3-Aktionen, die mit dem Wort "Object" enden.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": ["s3:ListBucket"],
            "Resource": ["arn:aws:s3:::bucket-name"]
        },
        {
            "Sid": "AllObjectActions",
            "Effect": "Allow",
            "Action": "s3:*Object",
            "Resource": ["arn:aws:s3:::bucket-name/*"]
        }
    ]
}
```

------

**Anmerkung**  
Informationen zum Erlauben von `Read`- und `Write`-Zugriff auf ein Objekt in einem Amazon S3-Bucket und das Einschließen zusätzlicher Berechtigungen für den Konsolenzugriff finden Sie unter [Amazon S3: Gewährt Lese- und Schreibzugriff auf Objekte in einem S3-Bucket programmgesteuert und in der Konsole](reference_policies_examples_s3_rw-bucket-console.md).

# Amazon S3: Gewährt Lese- und Schreibzugriff auf Objekte in einem S3-Bucket programmgesteuert und in der Konsole
<a name="reference_policies_examples_s3_rw-bucket-console"></a>

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die `Read` und `Write` den Zugriff auf Objekte in einem bestimmten S3-Bucket erlaubt. Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff. Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md).

Die `s3:*Object`-Aktion verwendet einen Platzhalter als Teil des Namens der Aktion. Die Anweisung `AllObjectActions` erlaubt die Aktionen `GetObject`, `DeleteObject`, `PutObject` und alle anderen Amazon S3-Aktionen, die mit dem Wort "Object" enden.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "S3ConsoleAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:ListAccessPoints",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket"]
        },
        {
            "Sid": "AllObjectActions",
            "Effect": "Allow",
            "Action": "s3:*Object",
            "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/*"]
        }
    ]
}
```

------

# Verwalten von IAM-Richtlinien
<a name="access_policies_manage"></a>

IAM gibt Ihnen die Werkzeuge an die Hand, um alle Arten von IAM-Richtlinien (verwaltete Richtlinien und Inline-Richtlinien) zu erstellen und zu verwalten. Um einer IAM-Identität (IAM-Benutzer, -Gruppe oder -Rolle) Berechtigungen hinzuzufügen, erstellen Sie eine Richtlinie, validieren die Richtlinie und fügen die Richtlinie dann der Identität zu. Sie können mehrere Richtlinien an eine Identität anfügen, wobei jede Richtlinie mehrere Berechtigungen enthalten kann.

**Topics**
+ [

## Weitere Ressourcen
](#access_policies_manage-additional-resources)
+ [

# Benutzerdefinierte IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien definieren
](access_policies_create.md)
+ [

# IAM-Richtlinien-Validierung
](access_policies_policy-validator.md)
+ [

# IAM-Richtlinien mit dem IAM-Richtliniensimulator testen
](access_policies_testing-policies.md)
+ [

# Hinzufügen und Entfernen von IAM-Identitätsberechtigungen
](access_policies_manage-attach-detach.md)
+ [

# Versioning von IAM-Richtlinien
](access_policies_managed-versioning.md)
+ [

# IAM-Richtlinien bearbeiten
](access_policies_manage-edit.md)
+ [

# IAM-Richtlinien löschen
](access_policies_manage-delete.md)
+ [

# Verfeinern Sie die Berechtigungen für AWS die Verwendung der zuletzt abgerufenen Informationen
](access_policies_last-accessed.md)

## Weitere Ressourcen
<a name="access_policies_manage-additional-resources"></a>

Die folgenden Ressourcen können Ihnen helfen, mehr über AWS Richtlinien zu erfahren.
+ Weitere Informationen zu den unterschiedlichen IAM-Richtlinienarten finden Sie unter [Richtlinien und Berechtigungen in AWS Identity and Access Management](access_policies.md). 
+ Allgemeine Informationen über die Verwendung von Richtlinien innerhalb von IAM finden Sie unter [Zugriffsmanagement für AWS Ressourcen](access.md).
+ Informationen zur Verwendung von IAM Access Analyzer zum Generieren einer IAM-Richtlinie, die auf der Zugriffsaktivität für eine Entität basiert, finden Sie unter [Richtliniengenerierung für IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html).
+ Weitere Informationen zum Auswerten von Berechtigungen, wenn mehrere Richtlinien für eine bestimmte IAM-Identität gelten, finden Sie unter [Auswertungslogik für Richtlinien](reference_policies_evaluation-logic.md).
+ Die Anzahl und Größe der IAM-Ressourcen in einem AWS Konto sind begrenzt. Weitere Informationen finden Sie unter [IAM und Kontingente AWS STS](reference_iam-quotas.md).

# Benutzerdefinierte IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien definieren
<a name="access_policies_create"></a>

[Richtlinien](access_policies.md) definieren Berechtigungen für Identitäten oder Ressourcen in AWS. Mithilfe der API, oder AWS können Sie in IAM vom * AWS-Managementkonsole Kunden verwaltete Richtlinien* erstellen. AWS CLI Vom Kunden verwaltete Richtlinien sind eigenständige Richtlinien, die Sie in Ihrem eigenen AWS-Konto verwalten. Anschließend können Sie die Richtlinien den Identitäten (Benutzern, Gruppen und Rollen) in Ihrem hinzufügen. AWS-Konto

Eine *identitätsbasierte Richtlinie* ist eine Richtlinie, die einer Identität in IAM angefügt ist. Identitätsbasierte Richtlinien können verwaltete Richtlinien, vom Kunden AWS verwaltete Richtlinien und Inline-Richtlinien umfassen. AWS verwaltete Richtlinien werden von erstellt und verwaltet AWS, und Sie können sie verwenden, aber nicht verwalten. Eine Inline-Richtlinie ist eine Richtlinie, die Sie erstellen und direkt in eine IAM-Benutzergruppe, einen IAM-Benutzer oder eine IAM-Rolle einbetten. Inline-Richtlinien können nicht für andere Identitäten wiederverwendet oder außerhalb der Identität verwaltet werden, in der sie vorhanden sind. Weitere Informationen finden Sie unter [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](access_policies_manage-attach-detach.md).

Im Allgemeinen ist es besser, vom Kunden verwaltete Richtlinien anstelle von Inline-Richtlinien oder AWS verwalteten Richtlinien zu verwenden. AWS Verwaltete Richtlinien bieten in der Regel umfassende administrative oder schreibgeschützte Berechtigungen. [Gewähren Sie für die höchste Sicherheit die geringsten Berechtigungen](best-practices.md#grant-least-privilege), d. h. nur die Berechtigungen, die für die Ausführung bestimmter Aufgaben erforderlich sind.

Wenn Sie IAM-Richtlinien erstellen oder bearbeiten, AWS kann es automatisch eine Richtlinienvalidierung durchführen, sodass Sie eine effektive Richtlinie mit den geringsten Rechten erstellen können. In der AWS-Managementkonsole identifiziert IAM JSON-Syntaxfehler, während IAM Access Analyzer zusätzliche Richtlinienprüfungen mit Empfehlungen bietet, mit denen Sie Ihre Richtlinien weiter verfeinern können. Weitere Informationen zur Richtlinienvalidierung finden Sie unter [IAM-Richtlinien-Validierung](access_policies_policy-validator.md). Weitere Informationen zu den Richtlinienvalidierungen von IAM Access Analyzer Richtlinien und Empfehlungen erhalten Sie unter [Richtlinienvalidierung von IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html).

Sie können die AWS API, oder verwenden AWS-Managementkonsole AWS CLI, um vom Kunden verwaltete Richtlinien in IAM zu erstellen. Weitere Informationen zur Verwendung von CloudFormation Vorlagen zum Hinzufügen oder Aktualisieren von Richtlinien finden Sie in der [Referenz zum AWS Identity and Access Management Ressourcentyp](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) im *CloudFormation Benutzerhandbuch*.

**Topics**
+ [

# IAM-Richtlinien erstellen (Konsole)
](access_policies_create-console.md)
+ [

# Erstellen von IAM-Richtlinien (AWS CLI)
](access_policies_create-cli.md)
+ [

# IAM-Richtlinien (AWS API) erstellen
](access_policies_create-api.md)

# IAM-Richtlinien erstellen (Konsole)
<a name="access_policies_create-console"></a>

Eine [Richtlinie](access_policies.md) ist eine Entität, die, angefügt an eine Identität oder Ressource, deren Berechtigungen definiert. Sie können die verwenden AWS-Managementkonsole , um vom *Kunden verwaltete Richtlinien* in IAM zu erstellen. Vom Kunden verwaltete Richtlinien sind eigenständige Richtlinien, die Sie in Ihrem eigenen AWS-Konto verwalten. Anschließend können Sie die Richtlinien an Identitäten (Benutzer, Gruppen und Rollen) in Ihrem anhängen. AWS-Konto

Die Anzahl und Größe der IAM-Ressourcen in einem AWS Konto sind begrenzt. Weitere Informationen finden Sie unter [IAM und Kontingente AWS STS](reference_iam-quotas.md).

**Topics**
+ [

## Erstellen von IAM-Richtlinien
](#access_policies_create-start)
+ [

## Erstellen von Richtlinien mit dem JSON-Editor
](#access_policies_create-json-editor)
+ [

## Erstellen von Richtlinien mit dem visuellen Editor
](#access_policies_create-visual-editor)
+ [

## Importieren vorhandener verwalteter Richtlinien
](#access_policies_create-copy)

## Erstellen von IAM-Richtlinien
<a name="access_policies_create-start"></a>

Sie können eine vom Kunden verwaltete Richtlinie AWS-Managementkonsole mithilfe einer der folgenden Methoden erstellen:
+ **[JSON](#access_policies_create-json-editor)** – Fügen Sie eine veröffentlichte [identitätsbasierte Beispielrichtlinie](access_policies_examples.md) ein und passen Sie sie an.
+ **[Visueller Editor](#access_policies_create-visual-editor)** – Sie können eine neue Richtlinie von Grund auf im visuellen Editor erstellen. Wenn Sie den visuellen Editor verwenden, müssen Sie nicht mit der JSON-Syntax vertraut sein.
+ **[Importieren](#access_policies_create-copy)** – Importieren Sie eine verwaltete Richtlinie aus Ihrem Konto und passen Sie sie an. Sie können eine AWS verwaltete Richtlinie oder eine vom Kunden verwaltete Richtlinie importieren, die Sie zuvor erstellt haben.

Die Anzahl und Größe der IAM-Ressourcen in einem AWS Konto sind begrenzt. Weitere Informationen finden Sie unter [IAM und Kontingente AWS STS](reference_iam-quotas.md).

## Erstellen von Richtlinien mit dem JSON-Editor
<a name="access_policies_create-json-editor"></a>

Sie können Richtlinien in JSON eingeben oder einfügen, indem Sie die Option **JSON** auswählen. Diese Methode ist nützlich für das Kopieren einer [Beispielrichtlinie](access_policies_examples.md) zur Verwendung in Ihrem Konto. Alternativ können Sie Ihr eigenes JSON-Richtliniendokument im JSON-Editor eingeben. Sie können auch die Option **JSON** verwenden, um zwischen dem Visual-Editor und JSON zu wechseln und so die Ansichten zu vergleichen.

 Wenn Sie eine Richtlinie im JSON-Editor erstellen oder bearbeiten, führt IAM eine Richtlinienvalidierung durch, um Ihnen beim Erstellen einer effektiven Richtlinie zu helfen. IAM identifiziert JSON-Syntaxfehler, während IAM Access Analyzer zusätzliche Richtlinienüberprüfungen mit umsetzbaren Empfehlungen zur weiteren Verfeinerung der Richtlinie bereitstellt. 

Das Dokument einer JSON-[Richtlinie](access_policies.md) besteht aus mindestens einer Anweisung. Jede Anweisung sollte alle Aktionen mit den gleichen Auswirkungen (`Allow` oder `Deny`) enthalten und dieselben Ressourcen und Bedingungen unterstützen. Wenn eine Aktion es erforderlich macht, dass Sie alle Ressourcen angeben (`"*"`) und eine andere Aktion den Amazon-Ressourcennamen (ARN) einer bestimmten Ressource unterstützt, sind für diese Aktionen zwei separate JSON-Anweisungen erforderlich. Weitere Informationen zu ARN-Formaten finden Sie unter [Amazon-Ressourcenname (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) im *Allgemeine AWS-Referenz Handbuch*. Weitere allgemeine Informationen zu IAM-Richtlinien finden Sie unter [Richtlinien und Berechtigungen in AWS Identity and Access Management](access_policies.md). Informationen zur IAM-Richtliniensprache finden Sie unter [IAM-JSON-Richtlinienreferenz](reference_policies.md).

**So verwenden Sie den JSON-Richtlinieneditor zum Erstellen einer Richtlinie**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Wählen Sie im Navigationsbereich auf der linken Seite **Policies (Richtlinien)**. 

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie im Bereich **Policy editor** (Richtlinien-Editor) die Option **JSON** aus.

1. Geben oder fügen Sie ein JSON-Richtliniendokument ein. Weitere Informationen zur IAM-Richtliniensprache finden Sie unter [IAM-JSON-Richtlinienreferenz](reference_policies.md).

1.  Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der [Richtlinien-Validierung](access_policies_policy-validator.md) erzeugt wurden, und wählen Sie dann **Weiter**. 
**Anmerkung**  
Sie können jederzeit zwischen den Editoroptionen **Visual** und **JSON** wechseln. Wenn Sie jedoch Änderungen vornehmen oder im **Visual**-Editor **Next** (Weiter) wählen, strukturiert IAM Ihre Richtlinie möglicherweise um, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter [Umstrukturierung einer Richtlinie](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. (Optional) Wenn Sie eine Richtlinie in der erstellen oder bearbeiten AWS-Managementkonsole, können Sie eine JSON- oder YAML-Richtlinienvorlage generieren, die Sie in CloudFormation Vorlagen verwenden können.

   Wählen Sie dazu im **Richtlinien-Editor** **Aktionen** und anschließend ** CloudFormationVorlage generieren** aus. Weitere Informationen dazu CloudFormation finden Sie in der [Referenz zum AWS Identity and Access Management Ressourcentyp](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) im AWS CloudFormation Benutzerhandbuch.

1. Wenn Sie mit dem Hinzufügen von Berechtigungen zur Richtlinie fertig sind, wählen Sie **Next** (Weiter) aus.

1. Geben Sie auf der Seite **Review and create** (Überprüfen und erstellen) unter **Name** einen Namen und unter **Description** (Beschreibung) (optional) eine Beschreibung für die Richtlinie ein, die Sie erstellen. Überprüfen Sie **Permissions defined in this policy** (In dieser Richtlinie definierte Berechtigungen), um die Berechtigungen einzusehen, die von Ihrer Richtlinie gewährt werden.

1. (Optional) Fügen Sie der Richtlinie Metadaten hinzu, indem Sie Tags als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter [Tags für AWS Identity and Access Management Ressourcen](id_tags.md).

1. Wählen Sie **Create policy** (Richtlinie erstellen) aus, um Ihre neue Richtlinie zu speichern.

Nachdem Sie eine Richtlinie erstellt haben, können Sie sie an Ihre Benutzer, Gruppen oder Rollen anfügen. Weitere Informationen finden Sie unter [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](access_policies_manage-attach-detach.md).

## Erstellen von Richtlinien mit dem visuellen Editor
<a name="access_policies_create-visual-editor"></a>

Der visuelle Editor in der IAM-Konsole führt Sie durch das Erstellen einer Richtlinie, wobei das Schreiben von JSON-Syntax nicht erforderlich ist. Ein Beispiel für die Verwendung des visuellen Editors zum Erstellen einer Richtlinie finden Sie unter [Steuern des Zugriffs auf Identitäten](access_controlling.md#access_controlling-identities).

**So verwenden Sie den visuellen Editor zum Erstellen einer Richtlinie**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Wählen Sie im Navigationsbereich auf der linken Seite **Policies (Richtlinien)**. 

1. Wählen Sie **Richtlinie erstellen** aus.

1. Suchen Sie im Bereich **Richtlinien-Editor** nach dem Abschnitt **Dienst auswählen** und wählen Sie dann einen AWS Dienst aus. Sie können das Suchfeld oben verwenden, um die Ergebnisse in der Liste der Services einzuschränken. Sie können nur einen Service innerhalb eines Berechtigungsblocks des visuellen Editors auswählen. Um mehr als einem Service Zugriff zu gewähren, fügen Sie mehrere Berechtigungsblöcke hinzu, indem Sie **Add more permissions** (Weitere Berechtigungen hinzufügen) auswählen.

1. Wählen Sie unter **Actions allowed** (Zulässige Aktionen) die Aktionen aus, die der Richtlinie hinzugefügt werden sollen. Es gibt folgende Möglichkeiten, Aktionen auszuwählen:
   + Aktivieren Sie das Kontrollkästchen für alle Aktionen.
   + Wählen Sie **Add actions (Aktionen hinzufügen)**, um den Namen einer bestimmten Aktion einzugeben. Sie können Platzhalter (`*`) verwenden, um mehrere Aktionen anzugeben.
   + Wählen Sie eine der **Access level ((Zugriffsebene)**-Gruppen aus, um alle Aktionen für die Zugriffsebene auszuwählen (z. B. **Read (Lesen)**, **Write (Schreiben)** oder **List (Auflisten)**.
   + Erweitern Sie die einzelnen Gruppen **Access level (Zugriffsebene)**, um einzelne Aktionen auszuwählen.

   Standardmäßig lässt die Richtlinie, die Sie erstellen, die Aktionen zu, die Sie auswählen. Um die ausgewählten Aktionen stattdessen zu verweigern, wählen Sie **Switch to deny permissions (Zu Berechtigungen verweigern wechseln)**. Da [IAM standardmäßig verweigert](reference_policies_evaluation-logic.md), empfehlen wir, dass Sie im Sinne bewährter Sicherheitsmethoden nur für jene Aktionen und Ressourcen Berechtigungen zulassen, für die ein Benutzer Zugriff benötigt. Sie sollten nur dann eine JSON-Anweisung erstellen, um Berechtigungen zu verweigern, wenn Sie eine von einer anderen Anweisung oder Richtlinie erteilte Berechtigung separat überschreiben möchten. Wir empfehlen, die Anzahl der Verweigerungsberechtigungen auf ein Minimum zu beschränken, da diese die Fehlerbehebung bei Berechtigungen erschweren.

1. Wenn bei **Resources (Ressourcen)** der Service und die Aktionen, die Sie in den vorherigen Schritten ausgewählt haben, nicht die Auswahl [bestimmter Ressourcen](access_controlling.md#access_controlling-resources) unterstützen, sind alle Ressourcen zulässig, und Sie können diesen Abschnitt nicht bearbeiten. 

   Wenn Sie eine oder mehrere Aktionen auswählen, die [Berechtigungen auf Ressourcenebene](access_controlling.md#access_controlling-resources) unterstützen, dann listet der visuelle Editor diese Ressourcen auf. Sie können dann **Resources (Ressourcen)** erweitern, um die Ressourcen für Ihre Richtlinie anzugeben. 

   Sie können Ressourcen auf folgende Weise angeben:
   + Wählen Sie **Hinzufügen ARNs**, um Ressourcen anhand ihrer Amazon-Ressourcennamen (ARN) anzugeben. Sie können den visuellen ARN-Editor oder die Liste ARNs manuell verwenden. Weitere Informationen zur ARN-Syntax finden Sie unter [Amazon-Ressourcenname (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) im *Allgemeine AWS-Referenz -Handbuch*. Hinweise zur Verwendung eines `Resource` Elements ARNs in einer Richtlinie finden Sie unter[IAM-JSON-Richtlinienelemente: Resource](reference_policies_elements_resource.md).
   + Wählen Sie **Any in this account** (Alle in diesem Konto) neben einer Ressource aus, um Berechtigungen für alle Ressourcen dieses Typs zu gewähren.
   + Wählen Sie **All** (Alle) aus, um alle Ressourcen für den Service auszuwählen. 

1. (Optional) Wählen Sie **Request conditions - *optional*** (Anfragebedingungen - (optional)) aus, um der Richtlinie, die Sie erstellen, Bedingungen hinzuzufügen. Bedingungen schränken die Auswirkungen einer JSON-Richtlinienanweisung ein. Sie können beispielsweise festlegen, dass einem Benutzer erlaubt wird, die Aktionen für die Ressourcen nur durchzuführen, wenn die Anforderung dieses Benutzers in einem bestimmten Zeitraum stattfindet. Sie können auch allgemein genutzte Bedingungen verwenden, um festzulegen, ob ein Benutzer mithilfe eines Multi-Factor Authentication (MFA)-Geräts authentifiziert werden muss. Oder Sie können festlegen, dass die Anforderung aus einem bestimmten IP-Adressbereich stammen muss. Eine Liste aller Kontextschlüssel, die Sie in einer Richtlinienbedingung verwenden können, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) in der *Service Authorization Reference*.

   Sie haben folgende Möglichkeiten, Bedingungen auszuwählen:
   + Verwenden Sie Kontrollkästchen, um allgemein verwendete Bedingungen auszuwählen.
   + Wählen Sie **Add another condition** (Weitere Bedingung hinzufügen) aus, um andere Bedingungen anzugeben. Wählen Sie den **Condition Key (Bedingungsschlüssel)**, den **Qualifier (Qualifizierer)** und den **Operator** der Bedingung aus und geben Sie dann einen **Value (Wert)** ein. Um mehr als einen Wert hinzuzufügen, wählen Sie **Add** (Hinzufügen) aus. Betrachten Sie die Werte, als wären sie mit einem logischen "ODER"-Operator miteinander verbunden. Wählen Sie danach **Add condition** (Bedingung hinzufügen) aus.

   Um mehr als eine Bedingung hinzuzufügen, wählen Sie **Add another condition** (Weitere Bedingung hinzufügen) aus. Wiederholen Sie diesen Vorgang nach Bedarf. Jede Bedingung gilt nur für diesen einen Berechtigungsblock des visuellen Editors. Alle Bedingungen müssen wahr sein, damit der Berechtigungsblock ausgeführt werden kann. Anders ausgedrückt: Betrachten Sie die Bedingungen als durch einen logischen "UND"-Operator miteinander verbunden.

   Weitere Informationen zum Element **Condition (Bedingung)** finden Sie unter [IAM-JSON-Richtlinienelemente: Condition](reference_policies_elements_condition.md) im [IAM-JSON-Richtlinienreferenz](reference_policies.md).

1. Um mehr Berechtigungsblöcke hinzuzufügen, wählen Sie **Add more permissions** (Weitere Berechtigungen hinzufügen) aus. Wiederholen Sie die Schritte 2 bis 5 für jeden Block.
**Anmerkung**  
Sie können jederzeit zwischen den Editoroptionen **Visual** und **JSON** wechseln. Wenn Sie jedoch Änderungen vornehmen oder im **Visual**-Editor **Next** (Weiter) wählen, strukturiert IAM Ihre Richtlinie möglicherweise um, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter [Umstrukturierung einer Richtlinie](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. (Optional) Wenn Sie eine Richtlinie in der erstellen oder bearbeiten AWS-Managementkonsole, können Sie eine JSON- oder YAML-Richtlinienvorlage generieren, die Sie in CloudFormation Vorlagen verwenden können.

   Wählen Sie dazu im **Richtlinien-Editor** **Aktionen** und anschließend ** CloudFormationVorlage generieren** aus. Weitere Informationen dazu CloudFormation finden Sie in der [Referenz zum AWS Identity and Access Management Ressourcentyp](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) im AWS CloudFormation Benutzerhandbuch.

1. Wenn Sie mit dem Hinzufügen von Berechtigungen zur Richtlinie fertig sind, wählen Sie **Next** (Weiter) aus.

1. Geben Sie auf der Seite **Review and create** (Überprüfen und erstellen) unter **Name** einen Namen und unter **Description** (Beschreibung) (optional) eine Beschreibung für die Richtlinie ein, die Sie erstellen. Überprüfen Sie **Permissions defined in this policy** (In dieser Richtlinie definierte Berechtigungen), um sicherzustellen, dass Sie die beabsichtigten Berechtigungen erteilt haben. 

1. (Optional) Fügen Sie der Richtlinie Metadaten hinzu, indem Sie Tags als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter [Tags für AWS Identity and Access Management Ressourcen](id_tags.md).

1. Wählen Sie **Create policy** (Richtlinie erstellen) aus, um Ihre neue Richtlinie zu speichern.

Nachdem Sie eine Richtlinie erstellt haben, können Sie sie an Ihre Benutzer, Gruppen oder Rollen anfügen. Weitere Informationen finden Sie unter [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](access_policies_manage-attach-detach.md).

## Importieren vorhandener verwalteter Richtlinien
<a name="access_policies_create-copy"></a>

Eine einfache Möglichkeit zum Erstellen einer neuen Richtlinie besteht darin, eine vorhandene verwaltete Richtlinie innerhalb Ihres Kontos zu importieren, die mindestens einige der Berechtigungen aufweist, die Sie benötigen. Sie können dann die Richtlinie an Ihre neuen Anforderungen anpassen.

Sie können keine eingebundene Richtlinie importieren. Informationen über den Unterschied zwischen verwalteten und eingebundenen Richtlinien finden Sie unter [Verwaltete Richtlinien und eingebundene Richtlinien](access_policies_managed-vs-inline.md).

**So importieren Sie eine vorhandene verwaltete Richtlinie im visuellen Editor**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Wählen Sie im Navigationsbereich auf der linken Seite **Policies (Richtlinien)**. 

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie im **Policy editor** (Richtlinien-Editor) **Visual** aus und dann rechts auf der Seite die Option **Actions** (Aktionen) und anschließend **Import policy** (Richtline importieren) aus.

1. Wählen Sie im Fenster **Import policy** (Richtlinie importieren) die verwalteten Richtlinien aus, die am ehesten mit der Richtlinie übereinstimmen, die Sie in Ihre neue Richtlinie einschließen möchten. Sie können das Suchfeld oben verwenden, um die Ergebnisse in der Liste der Richtlinien einzuschränken.

1. Wählen Sie **Import policy** (Richtlinie importieren) aus.

   Die importierten Richtlinien werden in neuen Berechtigungsblöcken unten in der Richtlinie hinzugefügt.

1. Verwenden Sie den **Visual editor (Visueller Editor)** oder wählen Sie **JSON** aus, um Ihre Richtlinie anzupassen. Klicken Sie anschließend auf **Weiter**.
**Anmerkung**  
Sie können jederzeit zwischen den Editoroptionen **Visual** und **JSON** wechseln. Wenn Sie jedoch Änderungen vornehmen oder im **Visual**-Editor **Next** (Weiter) wählen, strukturiert IAM Ihre Richtlinie möglicherweise um, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter [Umstrukturierung einer Richtlinie](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Geben Sie auf der Seite **Review and create** (Überprüfen und erstellen) unter **Name** einen Namen und unter **Description** (Beschreibung) (optional) eine Beschreibung für die Richtlinie ein, die Sie erstellen. Sie können diese Einstellungen später nicht bearbeiten. Überprüfen Sie **Permissions defined in this policy** (In dieser Richtlinie definierte Berechtigungen) und wählen Sie dann **Create policy** (Richtline erstellen) aus, um Ihre Eingaben zu speichern.

**So importieren Sie eine vorhandene verwaltete Richtlinie in den **JSON**-Editor**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Wählen Sie im Navigationsbereich auf der linken Seite **Policies (Richtlinien)**. 

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie im Abschnitt **Policy editor** (Richtlinien-Editor) die Option **JSON** aus und dann rechts auf der Seite die Option **Actions** (Aktionen) und anschließend **Import policy** (Richtline importieren) aus.

1. Wählen Sie im Fenster **Import policy** (Richtlinie importieren) die verwalteten Richtlinien aus, die am ehesten mit der Richtlinie übereinstimmen, die Sie in Ihre neue Richtlinie einschließen möchten. Sie können das Suchfeld oben verwenden, um die Ergebnisse in der Liste der Richtlinien einzuschränken.

1. Wählen Sie **Import policy** (Richtlinie importieren) aus.

   Anweisungen aus den importierten Richtlinien werden unten in Ihrer JSON-Richtlinie hinzugefügt.

1. Passen Sie Ihre Richtlinie in JSON an. Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der [Richtlinien-Validierung](access_policies_policy-validator.md) erzeugt wurden, und wählen Sie dann **Weiter**. Passen Sie Ihre Richtlinie in JSON an oder wählen Sie den **Visual editor (Visueller Editor)**. Klicken Sie anschließend auf **Weiter**.
**Anmerkung**  
Sie können jederzeit zwischen den Editoroptionen **Visual** und **JSON** wechseln. Wenn Sie jedoch Änderungen vornehmen oder im **Visual**-Editor **Next** (Weiter) wählen, strukturiert IAM Ihre Richtlinie möglicherweise um, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter [Umstrukturierung einer Richtlinie](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Geben Sie auf der Seite **Review and create** (Überprüfen und erstellen) unter **Name** einen Namen und unter **Description** (Beschreibung) (optional) eine Beschreibung für die Richtlinie ein, die Sie erstellen. Sie können diese später nicht mehr bearbeiten. Überprüfen Sie die Richtlinie **Permissions defined in this policy** (In dieser Richtlinie definierte Berechtigungen) und wählen Sie dann **Create policy** (Richtline erstellen) aus, um Ihre Eingaben zu speichern.

Nachdem Sie eine Richtlinie erstellt haben, können Sie sie an Ihre Benutzer, Gruppen oder Rollen anfügen. Weitere Informationen finden Sie unter [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](access_policies_manage-attach-detach.md).

# Erstellen von IAM-Richtlinien (AWS CLI)
<a name="access_policies_create-cli"></a>

Eine [Richtlinie](access_policies.md) ist eine Entität, die, angefügt an eine Identität oder Ressource, deren Berechtigungen definiert. Sie können die verwenden AWS CLI , um vom *Kunden verwaltete Richtlinien* in IAM zu erstellen. Vom Kunden verwaltete Richtlinien sind eigenständige Richtlinien, die Sie in Ihrem eigenen AWS-Konto verwalten. Als [bewährte Methode](best-practices.md) empfehlen wir, IAM Access Analyzer zu verwenden, um Ihre IAM-Richtlinien zu validieren und sichere und funktionale Berechtigungen zu gewährleisten. Indem Sie [Ihre Richtlinien validieren](access_policies_policy-validator.md), können Sie Fehler oder Empfehlungen beheben, bevor Sie die Richtlinien an Identitäten (Benutzer, Gruppen und Rollen) in Ihrem AWS-Konto anfügen.

Die Anzahl und Größe der IAM-Ressourcen in einem AWS Konto sind begrenzt. Weitere Informationen finden Sie unter [IAM und Kontingente AWS STS](reference_iam-quotas.md).

## Erstellen von IAM-Richtlinien (AWS CLI)
<a name="create-policies-cli-api"></a>

Sie können eine vom Kunden verwaltete IAM-Richtlinie oder eine Inline-Richtlinie mithilfe der AWS Command Line Interface (AWS CLI) erstellen. 

**So erstellen Sie eine kundenverwaltete Richtlinie (AWS CLI)**  
Verwenden Sie den folgenden Befehl:
+ [create-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/create-policy.html)

**So erstellen Sie eine Inline-Richtlinie für eine IAM-Identität (Gruppe, Benutzer oder Rolle) (AWS CLI)**  
Verwenden Sie einen der folgenden Befehle:
+ [put-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-group-policy.html)
+ [put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html)
+ [put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)

**Anmerkung**  
Sie können IAM nicht verwenden, um eine Inline-Richtlinie für eine *[dienstverknüpfte Rolle](id_roles.md#iam-term-service-linked-role)* einzubetten.

**So bearbeiten Sie eine kundenverwaltete Richtlinie (AWS CLI)**  
Verwenden Sie den folgenden IAM Access Analyzer-Befehl:
+ [validieren-policy](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/validate-policy.html)

# IAM-Richtlinien (AWS API) erstellen
<a name="access_policies_create-api"></a>

Eine [Richtlinie](access_policies.md) ist eine Entität, die, angefügt an eine Identität oder Ressource, deren Berechtigungen definiert. Sie können die AWS API verwenden, um vom *Kunden verwaltete Richtlinien* in IAM zu erstellen. Vom Kunden verwaltete Richtlinien sind eigenständige Richtlinien, die Sie in Ihrem eigenen AWS-Konto verwalten. Als [bewährte Methode](best-practices.md) empfehlen wir, IAM Access Analyzer zu verwenden, um Ihre IAM-Richtlinien zu validieren und sichere und funktionale Berechtigungen zu gewährleisten. Indem Sie [Ihre Richtlinien validieren](access_policies_policy-validator.md), können Sie Fehler oder Empfehlungen beheben, bevor Sie die Richtlinien an Identitäten (Benutzer, Gruppen und Rollen) in Ihrem AWS-Konto anfügen.

Die Anzahl und Größe der IAM-Ressourcen in einem AWS Konto sind begrenzt. Weitere Informationen finden Sie unter [IAM und Kontingente AWS STS](reference_iam-quotas.md).

## IAM-Richtlinien (API)AWS erstellen
<a name="create-policies-api"></a>

Mit der AWS -API können Sie eine vom IAM-Kunden verwaltete -Richtlinie oder eine Inline-Richtlinie erstellen.

**Um eine vom Kunden verwaltete Richtlinie (AWS API) zu erstellen**  
Rufen Sie die folgende Operation auf:
+ [CreatePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicy.html)

**Um eine Inline-Richtlinie für eine IAM-Identität (Gruppe, Benutzer oder Rolle) (AWS API) zu erstellen**  
Rufen Sie eine der folgenden Operationen auf:
+ [PutGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutGroupPolicy.html)
+ [PutRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePolicy.html)
+ [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)

**Anmerkung**  
Sie können IAM nicht verwenden, um eine Inline-Richtlinie für eine *[dienstverknüpfte Rolle](id_roles.md#iam-term-service-linked-role)* einzubetten.

**Um eine vom Kunden verwaltete Richtlinie (AWS API) zu validieren**  
Rufen Sie den folgenden IAM Access Analyzer-Vorgang auf:
+ [ValidatePolicy](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ValidatePolicy.html)

# IAM-Richtlinien-Validierung
<a name="access_policies_policy-validator"></a>

Eine [Richtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies_overview.html) ist ein JSON-Dokument, das mithilfe der [IAM-Richtlinienformulierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies-grammar.html) erstellt wird. Wenn Sie eine Richtlinie an eine IAM-Entität, z. B. einen Benutzer, eine Gruppe oder eine Rolle, anfügen, gewährt diese Entität Berechtigungen.

Wenn Sie IAM-Zugriffskontrollrichtlinien mithilfe von erstellen oder bearbeiten AWS-Managementkonsole, AWS werden diese automatisch überprüft, um sicherzustellen, dass sie der IAM-Richtliniengrammatik entsprechen. Wenn AWS die Richtlinienvalidierung feststellt, dass eine Richtlinie nicht mit der Formulierung übereinstimmt, werden Sie aufgefordert, die Richtlinie zu korrigieren.

IAM Access Analyzer bietet zusätzliche Richtlinienüberprüfungen mit Empfehlungen, die Ihnen helfen, die Richtlinie weiter zu verfeinern. Weitere Informationen zu den Richtlinienvalidierungen von IAM Access Analyzer Richtlinien und Empfehlungen erhalten Sie unter [Richtlinienvalidierung von IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html). Eine Liste der Warnungen, Fehler und Vorschläge, die von IAM Access Analyzer zurückgegeben werden, finden Sie unter [IAM-Access-Analyzer-Richtlinienprüfungsreferenz](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html).

**Gültigkeitsumfang**  
AWS überprüft die Syntax und Grammatik der JSON-Richtlinie. Außerdem wird überprüft, ob Sie richtig formatiert ARNs sind und ob die Aktionsnamen und Bedingungsschlüssel korrekt sind.

**Zugriffsrichtlinie**  
Richtlinien werden automatisch validiert, wenn Sie eine JSON-Richtlinie erstellen oder eine vorhandene Richtlinie in der AWS-Managementkonsole bearbeiten. Wenn die Richtlinie nicht gültig ist, erhalten Sie eine Benachrichtigung und müssen das Problem beheben, bevor Sie fortfahren können. Die Ergebnisse der IAM Access Analyzer-Richtlinienvalidierung werden automatisch in der Datei „ AWS-Managementkonsole Wenn Sie über die erforderlichen Berechtigungen verfügen“ zurückgegeben. `access-analyzer:ValidatePolicy` Sie können Richtlinien auch mithilfe der AWS API oder AWS CLIüberprüfen.

**Bestehende Richtlinien**  
Möglicherweise verfügen Sie über vorhandene Richtlinien, die nicht gültig sind, da sie erstellt oder zuletzt gespeichert wurden, bevor die letzten Updates des Richtlinienmoduls aktualisiert wurden. Als [bewährte Methode](best-practices.md) empfehlen wir, IAM Access Analyzer zu verwenden, um Ihre IAM-Richtlinien zu validieren und sichere und funktionale Berechtigungen zu gewährleisten. Wir empfehlen Ihnen, Ihre vorhandenen Richtlinien zu öffnen und die generierten Richtlinien-Validierungsergebnisse zu überprüfen. Sie können vorhandene Richtlinien nicht bearbeiten und speichern, ohne die Syntaxfehler der Richtlinien zu beheben.

# IAM-Richtlinien mit dem IAM-Richtliniensimulator testen
<a name="access_policies_testing-policies"></a>

Weitere Informationen dazu, wie und warum IAM-Richtlinien verwendet werden, finden Sie unter [Richtlinien und Berechtigungen in AWS Identity and Access Management](access_policies.md).

**[Sie können auf die IAM Policy Simulator-Konsole zugreifen unter:/https://policysim.aws.amazon.com](https://policysim.aws.amazon.com/)**

**Wichtig**  
Die Ergebnisse des Richtliniensimulators können von Ihrer AWS Live-Umgebung abweichen. Wir empfehlen Ihnen, Ihre Richtlinien nach dem Testen mit dem Richtliniensimulator mit Ihrer AWS Live-Umgebung zu vergleichen, um sicherzustellen, dass Sie die gewünschten Ergebnisse erzielt haben. Weitere Informationen finden Sie unter [Funktionsweise des IAM-Richtliniensimulators](#policies_policy-simulator-how-it-works).

 

Mit dem IAM-Richtliniensimulator können Sie identitätsbasierte Richtlinien sowie IAM-Berechtigungsgrenzen testen und diesbezüglichen Probleme beheben. Im Folgenden finden Sie einige gängige Aktionen, die Sie mit dem Richtliniensimulator ausführen können:
+ Testen Sie identitätsbasierte Richtlinien, die IAM-Benutzern, IAM-Gruppen oder Rollen in Ihrem AWS-Konto zugeordnet sind. Wenn mehrere Richtlinie mit dem Benutzer, der Gruppe oder der Rolle verknüpft sind, können Sie alle Richtlinien testen oder einzelne Richtlinien für den Test auswählen. Sie können testen, welche Aktionen die ausgewählten Richtlinien für bestimmte Ressourcen zulassen oder verweigern.
+ Testen und beheben Sie die Auswirkungen von [Berechtigungsgrenzen](access_policies_boundaries.md) auf IAM-Entitäten. Hinweis: Sie können jeweils nur eine Berechtigungsgrenze simulieren.
+ Testen Sie die Auswirkungen der ressourcenbasierten Richtlinien zu IAM-Benutzern, die mit AWS -Ressourcen verbunden sind, wie Amazon-S3-Buckets, Amazon-SQS-Warteschlangen, Amazon-SNS-Themen oder Amazon-Glacier-Datenspeicher. Um eine ressourcenbasierte Richtlinie im Richtliniensimulator für IAM-Benutzer zu verwenden, müssen Sie die Ressource in die Simulation aufnehmen. Sie müssen auch das Kontrollkästchen aktivieren, um die Richtlinie dieser Ressource in die Simulation einzubeziehen.
**Anmerkung**  
Die Simulation ressourcenbasierter Richtlinien wird für IAM-Rollen nicht unterstützt.
+ Wenn Sie AWS-Konto Mitglied einer Organisation in sind, können Sie testen [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/), wie sich die Richtlinien zur Dienststeuerung (SCPs) auf Ihre identitätsbasierten Richtlinien auswirken.
**Anmerkung**  
Der Richtliniensimulator bewertet nicht, ob SCPs dafür irgendwelche Bedingungen erfüllt sind.
+ Testen Sie neue identitätsbasierten Richtlinien, die noch nicht mit einem Benutzer, einer Gruppe oder einer Rolle verknüpft sind, indem Sie sie in den Richtliniensimulator eingeben oder dorthin kopieren. Diese werden nur in der Simulation verwendet, aber nicht gespeichert. Sie können eine ressourcenbasierte Richtlinie nicht in den Richtliniensimulator eingeben oder dorthin kopieren.
+ Testen Sie identitätsbasierte Richtlinien mit ausgewählten Services, Aktionen und Ressourcen. Sie können beispielsweise Ihre Richtlinie dahingehend testen, um sicherzustellen, dass sie einer Entität ermöglicht, die Aktionen `ListAllMyBuckets`, `CreateBucket` und `DeleteBucket` im Amazon S3-Service für einen bestimmten Bucket auszuführen.
+ Simulieren Sie realitätsnahe Szenarien durch Bereitstellen von Kontextschlüsseln, z. B. eine IP-Adresse oder ein Datum, die in den `Condition`-Elementen der zu testenden Richtlinien enthalten sind.
**Anmerkung**  
Der Richtliniensimulator simuliert keine als Eingabe bereitgestellten Tags, wenn die identitätsbasierte Richtlinie in der Simulation kein `Condition`-Element enthält, das explizit nach Tags sucht.
+ Bestimmen Sie, welche spezifische Anweisung in einer identitätsbasierten Richtlinie zur Folge hat, dass Zugriff auf eine bestimmte Ressource oder Aktion gewährt oder verweigert wird. 

**Topics**
+ [

## Funktionsweise des IAM-Richtliniensimulators
](#policies_policy-simulator-how-it-works)
+ [

## Erforderliche Berechtigungen für die Verwendung des IAM-Richtliniensimulators
](#permissions-required_policy-simulator)
+ [

## Verwenden des IAM-Richtliniensimulators (Konsole)
](#policies_policy-simulator-using)
+ [

## Verwenden des IAM-Richtliniensimulators (AWS CLI und der API) AWS
](#policies-simulator-using-api)

## Funktionsweise des IAM-Richtliniensimulators
<a name="policies_policy-simulator-how-it-works"></a>

Der Richtliniensimulator bewertet die Aussagen der identitätsbasierten Richtlinie und die Eingaben, die Sie während der Simulation angeben. Die Ergebnisse des Richtliniensimulators können von Ihrer AWS -Live-Umgebung abweichen. Wir empfehlen Ihnen, Ihre Richtlinien nach dem Testen mit dem Richtliniensimulator mit Ihrer AWS Live-Umgebung zu vergleichen, um sicherzustellen, dass Sie die gewünschten Ergebnisse erzielt haben.

Der Richtliniensimulator unterscheidet sich in folgenden Punkten von der AWS Live-Umgebung: 
+ Der Richtliniensimulator stellt keine tatsächliche AWS Serviceanfrage, sodass Sie Anfragen, die zu unerwünschten Änderungen an Ihrer AWS Live-Umgebung führen könnten, sicher testen können. Der Richtliniensimulator berücksichtigt die Schlüsselwerte des realen Kontextes in der Produktion nicht.
+ Da der Richtliniensimulator nicht die Ausführung der ausgewählten Aktionen simuliert, kann er keine Antwort auf die simulierte Anforderung melden. Als einziges Ergebnis wird zurückgegeben, ob die angeforderte Aktion gewährt oder verweigert wird.
+ Wenn Sie eine Richtlinie im Richtliniensimulator bearbeiten, wirken sich diese Änderungen nur auf den Richtliniensimulator aus. Die entsprechende Richtlinie in Ihrem AWS-Konto bleibt unverändert.
+ Sie können die Richtlinien zur Dienstkontrolle (SCPs) nicht unter irgendwelchen Bedingungen testen.
+ Der Richtliniensimulator unterstützt keine Simulation für Ressourcenkontrollrichtlinien (RCPs).
+ Der Richtliniensimulator unterstützt keine Simulation für IAM-Rollen und Benutzer für kontoübergreifenden Zugriff.

**Anmerkung**  
Der IAM-Richtliniensimulator ermittelt nicht, welche Services [globale Bedingungsschlüssel](reference_policies_condition-keys.md) für die Autorisierung unterstützen. Der Richtliniensimulator erkennt beispielsweise nicht, dass ein Service [`aws:TagKeys`](reference_policies_condition-keys.md#condition-keys-tagkeys) nicht unterstützt.

## Erforderliche Berechtigungen für die Verwendung des IAM-Richtliniensimulators
<a name="permissions-required_policy-simulator"></a>

Sie können die Konsole oder die API des Richtliniensimulators zum Testen von Richtlinien verwenden. Standardmäßig können Konsolenbenutzer Richtlinien testen, die noch nicht mit einem Benutzer, einer Gruppe oder einer Rolle verknüpft sind, indem sie diese in den Richtliniensimulator eingeben oder dorthin kopieren. Diese Richtlinien werden nur in der Simulation verwendet und legen keine vertrauliche Informationen offen. API-Benutzer müssen die Berechtigungen zum Testen von nicht verknüpften Richtlinien besitzen. Sie können Konsolen- oder API-Benutzern erlauben, Richtlinien zu testen, die IAM-Benutzern, IAM-Gruppen oder Rollen in Ihrem AWS-Konto angefügt sind. Hierzu müssen Sie die Berechtigung zum Abrufen dieser Richtlinien bereitstellen. Um ressourcenbasierte Richtlinien zu testen, müssen die Benutzer die Berechtigung zum Abrufen der Ressourcenrichtlinie besitzen.

Beispiele für Konsolen- und API-Richtlinien, mit denen ein Benutzer Richtlinien simulieren kann, finden Sie unter [Beispielrichtlinien: AWS Identity and Access Management (IAM)](access_policies_examples.md#policy_library_IAM).

### Erforderliche Berechtigungen für die Verwendung der Richtliniensimulator-Konsole
<a name="permissions-required_policy-simulator-console"></a>

Sie können Benutzern die Berechtigung zum Testen von Richtlinien erteilen, die Ihren IAM-Benutzern, IAM-Gruppen oder Rollen in Ihrem AWS-Konto angefügt sind. Hierzu müssen Sie Ihren Benutzern Berechtigungen zum Abrufen dieser Richtlinien geben. Um ressourcenbasierte Richtlinien zu testen, müssen die Benutzer die Berechtigung zum Abrufen der Ressourcenrichtlinie besitzen.

Unter [IAM: Zugriff auf die Richtliniensimulator-Konsole](reference_policies_examples_iam_policy-sim-console.md) finden Sie eine Beispielrichtlinie, die die Verwendung der Richtliniensimulator-Konsole für die Richtlinien ermöglicht, die mit einem Benutzer, einer Gruppe oder einer Rolle verknüpft sind. 

Eine Beispielrichtlinie, die die Verwendung der Richtliniensimulator-Konsole nur für die Benutzer mit einem bestimmten Pfad ermöglicht, finden Sie unter [IAM: Zugriff auf die Richtliniensimulator-Konsole basierend auf dem Benutzerpfad](reference_policies_examples_iam_policy-sim-path-console.md).

Um eine Richtlinie zu erstellen, die die Verwendung der Richtliniensimulator-Konsole nur für einen Entitätstyp ermöglicht, führen Sie die folgenden Verfahren.

**So ermöglichen Sie Konsolenbenutzern die Simulation von Richtlinien für Benutzer**  
Binden Sie die folgenden Aktionen in Ihrer Richtlinie ein:
+ `iam:GetGroupPolicy`
+ `iam:GetPolicy`
+ `iam:GetPolicyVersion`
+ `iam:GetUser`
+ `iam:GetUserPolicy`
+ `iam:ListAttachedUserPolicies`
+ `iam:ListGroupsForUser`
+ `iam:ListGroupPolicies`
+ `iam:ListUserPolicies`
+ `iam:ListUsers`

**So ermöglichen Sie Konsolenbenutzern die Simulation von Richtlinien für IAM-Gruppen**  
Binden Sie die folgenden Aktionen in Ihrer Richtlinie ein:
+ `iam:GetGroup`
+ `iam:GetGroupPolicy`
+ `iam:GetPolicy`
+ `iam:GetPolicyVersion`
+ `iam:ListAttachedGroupPolicies`
+ `iam:ListGroupPolicies`
+ `iam:ListGroups`

**So ermöglichen Sie Konsolenbenutzern die Simulation von Richtlinien für Rollen**  
Binden Sie die folgenden Aktionen in Ihrer Richtlinie ein:
+ `iam:GetPolicy`
+ `iam:GetPolicyVersion`
+ `iam:GetRole`
+ `iam:GetRolePolicy`
+ `iam:ListAttachedRolePolicies`
+ `iam:ListRolePolicies`
+ `iam:ListRoles`

Um ressourcenbasierte Richtlinien zu testen, müssen die Benutzer die Berechtigung zum Abrufen der Ressourcenrichtlinie besitzen.

**So ermöglichen Sie Konsolenbenutzern das Testen von ressourcenbasierten Richtlinien in einem Amazon S3-Bucket**  
Binden Sie die folgenden Aktionen in Ihrer Richtlinie ein:
+ `s3:GetBucketPolicy`

Die folgende Richtlinie verwendet diese Aktion beispielsweise, damit Konsolenbenutzer eine ressourcenbasierte Richtlinie in einem bestimmten Amazon S3-Bucket simulieren können.

------
#### [ JSON ]

****  

```
{
        "Version":"2012-10-17",		 	 	 
        "Statement": [
          {
            "Effect": "Allow",
            "Action": "s3:GetBucketPolicy",
            "Resource":"arn:aws:s3:::bucket-name/*"
          }
        ]
      }
```

------

### Erforderliche Berechtigungen für die Verwendung der Richtliniensimulator-API
<a name="permissions-required_policy-simulator-api"></a>

Die API des Richtliniensimulators [GetContextKeyForCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeyForCustomPolicy.html)funktioniert und [SimulateCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html)ermöglicht es Ihnen, Richtlinien zu testen, die noch keinem Benutzer, keiner Benutzergruppe oder Rolle zugeordnet sind. Um solche Richtlinien zu testen, übergeben Sie die Richtlinien als Zeichenfolgen an die API. Diese Richtlinien werden nur in der Simulation verwendet und legen keine vertrauliche Informationen offen. Sie können die API auch verwenden, um Richtlinien zu testen, die IAM-Benutzern, IAM-Gruppen oder Rollen in Ihrem AWS-Konto angefügt sind. Dazu müssen Sie Benutzern Berechtigungen zum Aufrufen von [GetContextKeyForPrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeyForPrincipalPolicy.html)und gewähren [SimulatePrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html).

Ein Beispiel für eine Richtlinie, die derzeit die Verwendung der Richtliniensimulator-API für angefügte und nicht verknüpfte Richtlinien ermöglicht AWS-Konto, finden Sie unter[IAM: Zugriff auf die Richtliniensimulator-API](reference_policies_examples_iam_policy-sim.md). 

Um eine Richtlinie zu erstellen, die die Verwendung der Richtliniensimulator-API nur für einen Richtlinientyp ermöglicht, führen Sie die folgenden Verfahren.

**So ermöglichen Sie API-Benutzern die Simulation von Richtlinien, die direkt als Zeichenfolgen an die API weitergeleitet werden**  
Binden Sie die folgenden Aktionen in Ihrer Richtlinie ein:
+ `iam:GetContextKeysForCustomPolicy`
+ `iam:SimulateCustomPolicy`

**So ermöglichen Sie API-Benutzern die Simulation von Richtlinien, die IAM-Benutzern, IAM-Gruppen, Rollen oder Ressourcen zugeordnet sind**  
Binden Sie die folgenden Aktionen in Ihrer Richtlinie ein:
+ `iam:GetContextKeysForPrincipalPolicy`
+ `iam:SimulatePrincipalPolicy`

Wenn Sie beispielsweise dem Benutzer Bob die Berechtigung zum Simulieren einer Richtlinie erteilen, die der Benutzerin Alice zugewiesen sind, gewähren Sie Bob Zugriff auf die folgende Ressource: `arn:aws:iam::777788889999:user/alice`. 

Eine Beispielrichtlinie, die die Verwendung der Richtliniensimulator-API nur für die Benutzer mit einem bestimmten Pfad ermöglicht, finden Sie unter [IAM: Zugriff auf die Richtliniensimulator-API basierend auf dem Benutzerpfad](reference_policies_examples_iam_policy-sim-path.md).

## Verwenden des IAM-Richtliniensimulators (Konsole)
<a name="policies_policy-simulator-using"></a>

Standardmäßig können Benutzer Richtlinien testen, die noch nicht mit einem Benutzer, einer Gruppe oder einer Rolle verknüpft sind, indem sie diese in die Konsole des Richtliniensimulators eingeben oder dorthin kopieren. Diese Richtlinien werden nur in der Simulation verwendet und legen keine vertrauliche Informationen offen. 

**So testen Sie eine Richtlinie, die keinem Benutzer bzw. keiner Gruppe oder Rolle (Konsole) angefügt ist**

1. [Öffnen Sie die IAM-Richtliniensimulator-Konsole unter:https://policysim.aws.amazon.com/.](https://policysim.aws.amazon.com/)

1. Wählen Sie im Menü **Mode: (Modus:)** oben auf der Seite die Option **New Policy (Neue Richtlinie)**.

1. Wählen Sie unter **Policy Sandbox (Richtlinien-Sandbox)** die Option **Create New Policy (Neue Richtlinie erstellen)**.

1. Geben Sie eine Richtlinie in den Richtliniensimulator ein bzw. kopieren Sie sie dorthin und verwenden Sie den Richtliniensimulator wie in den folgenden Schritten beschrieben.

Sobald Sie über die Berechtigung zur Verwendung der IAM-Richtliniensimulator-Konsole verfügen, können Sie mithilfe des Richtliniensimulators einen IAM-Benutzer, eine Gruppe, Rolle oder Ressourcenrichtlinie testen.

**So testen Sie eine Richtlinie, die einem Benutzer bzw. einer Gruppe oder Rolle (Konsole) angefügt ist**

1. [Öffnen Sie die IAM-Richtliniensimulator-Konsole unter https://policysim.aws.amazon.com/.](https://policysim.aws.amazon.com/) 
**Anmerkung**  
Zum Anmelden beim Richtliniensimulator als IAM-Benutzer verwenden Sie Ihre eindeutige Anmelde-URL, um sich bei der AWS-Managementkonsole anzumelden. Rufen Sie dann die Website [https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/) auf. Weitere Informationen zum Anmelden als IAM-Benutzer finden Sie unter [So melden sich IAM-Benutzer an AWS](id_users_sign-in.md).

   Der Richtliniensimulator wird im Modus **Existing Policies (Existierende Richtlinien)** geöffnet und zeigt unter **Users, Groups, and Roles (Benutzer, Gruppen und Rollen)** die IAM-Benutzer in Ihrem Konto an.

1. <a name="polsimstep-selectid"></a>Wählen Sie die Option aus, die für Ihre Aufgabe geeignet ist:  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/access_policies_testing-policies.html)
**Tipp**  
Um eine mit einer Gruppe verknüpfte Richtlinie zu testen, können Sie den IAM-Richtliniensimulator direkt von der [IAM-Konsole](https://console.aws.amazon.com/iam/) aus starten: Wählen Sie im Navigationsbereich die Option **Groups**. Wählen Sie den Namen der Gruppe aus, für die Sie eine Richtlinie testen möchten, und klicken Sie dann auf die Registerkarte **Permissions (Berechtigungen)**. Klicken Sie auf **Simulieren**.  
So testen Sie eine vom Kunden verwaltete Richtlinie, die mit einem Benutzer verknüpft ist: Wählen Sie im Navigationsbereich die Option **Users (Benutzer)**. Klicken Sie auf den Namen des Benutzers, für den Sie eine Richtlinie testen möchten. Klicken Sie dann auf die Registerkarte **Permissions (Berechtigungen)** und erweitern Sie die zu testende Richtlinie. Wählen Sie ganz rechts die Option **Simulate policy (Richtlinie simulieren)**. Der **IAM-Richtliniensimulator** wird in einem neuen Fenster geöffnet, in dem die ausgewählte Richtlinie im Bereich **Policies** angezeigt wird.

1. (Optional) Wenn Ihr Konto Mitglied einer Organisation in ist [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/), aktivieren Sie das Kontrollkästchen **AWS Organizations SCPs**neben „ SCPs In Ihre simulierte Bewertung einbeziehen“. SCPssind JSON-Richtlinien, die die maximalen Berechtigungen für eine Organisation oder Organisationseinheit (OU) festlegen. Die SCP beschränkt Berechtigungen für Entitäten in Mitgliedskonten. Wenn eine Service-Kontrollrichtlinie einen Service oder eine Aktion blockiert, kann keine Entität in diesem Konto auf diesen Service zugreifen oder diese Aktion ausführen. Dies gilt auch, wenn ein Administrator diesem Service oder dieser Aktion über eine IAM- oder Ressourcenrichtlinie explizit Berechtigungen erteilt. 

   Wenn Ihr Konto kein Mitglied einer Organisation ist, wird das Kontrollkästchen nicht angezeigt.

1. (Optional) Sie können eine Richtlinie testen, die als [Berechtigungsgrenze](access_policies_boundaries.md) für eine IAM-Entität (Benutzer oder Rolle) festgelegt ist, jedoch nicht für IAM-Gruppen. Wenn derzeit eine Berechtigungsgrenzen-Richtlinie für die Entity festgelegt ist, wird sie im Bereich **Policies (Richtlinien)** angezeigt. Sie können nur eine Berechtigungsgrenze für eine Entity festlegen. Um eine andere Berechtigungsgrenze zu testen, können Sie eine benutzerdefinierte Berechtigungsgrenze erstellen. Wählen Sie dazu die Option **Create New Policy (Neue Richtlinie erstellen)**. Ein neuer Bereich **Policies (Richtlinien)** wird geöffnet. Wählen Sie im Menü **Custom IAM Permissions Boundary Policy (Richtlinie zu benutzerdefinierten IAM-Berechtigungsgrenzen)**. Geben Sie einen Namen für die neue Richtlinie und anschließend im Feld unten eine Richtlinie ein oder kopieren Sie sie in das Feld. Wählen Sie **Apply (Anwenden)** aus, um die Richtlinie zu speichern. Wählen Sie als Nächstes **Back (Zurück)** aus, um zum ursprünglichen Bereich **Policies (Richtlinien)** zurückzukehren. Aktivieren Sie anschließend das Kontrollkästchen neben der Berechtigungsgrenze, die Sie für die Simulation verwenden möchten. 

1. <a name="polsimstep-polsubset"></a>(Optional) Sie können nur eine Teilmenge von Richtlinien testen, die einem Benutzer, einer Gruppe oder einer Rolle angefügt sind. Deaktivieren Sie dazu im Bereich **Richtlinien** das Kontrollkästchen neben jeder Richtlinie, die Sie ausschließen möchten.

1. <a name="polsimstep-service"></a>Klicken Sie unter **Policy Simulator (Richtliniensimulator)** auf **Select service (Service wählen)** und wählen Sie den zu testenden Service. Klicken Sie dann auf **Select actions (Aktionen wählen)** und wählen Sie eine oder mehrere zu testende Aktionen. Obwohl in den Menüs die verfügbaren Auswahlmöglichkeiten für nur jeweils einen Service aufgeführt werden, werden unter **Action Settings and Results (Aktionseinstellungen und Ergebnisse)** sämtliche von Ihnen ausgewählte Services und Aktionen angezeigt. 

1. (Optional) Wenn eine der in [Step 2](#polsimstep-selectid) und [Step 5](#polsimstep-polsubset) ausgewählten Richtlinien Bedingungen mit den [AWS*globalen Bedingungsschlüsseln*](reference_policies_condition-keys.md) enthält, dann geben Sie Werte für diese Schlüssel an. Erweitern Sie hierzu den Abschnitt **Global Settings (Globale Einstellungen)** und geben Sie die entsprechenden Werte für die dort angezeigten Schlüsselnamen ein.
**Warnung**  
Wenn Sie den Wert für einen Bedingungsschlüssel nicht angeben, wird dieser Schlüssel während der Simulation ignoriert. In einigen Fällen führt dies zu einem Fehler und die Ausführung der Simulation schlägt fehl. In anderen Fällen wird die Simulation ausgeführt, doch die Ergebnisse sind möglicherweise nicht zuverlässig. In diesen Fällen entspricht die Simulation nicht den realen Bedingungen, zu denen ein Wert für den Bedingungsschlüssel oder die Variable gehört.

1. (Optional) Jede ausgewählte Aktion wird in der Liste **Action Settings and Results (Aktionseinstellungen und Ergebnisse)** mit dem Status **Not simulated (Nicht simuliert)** in der Spalte **Permission (Berechtigung)** angezeigt, bis Sie die Simulation tatsächlich ausführen. Bevor Sie die Simulation ausführen, können Sie die jeweilige Aktion mit einer Ressource konfigurieren. Um einzelne Aktionen für ein bestimmtes Szenario zu konfigurieren, klicken Sie auf den Pfeil, um die Zeile der Aktion zu erweitern. Wenn die Aktion Berechtigungen auf Ressourcenebene unterstützt, können Sie den [Amazon-Ressourcenname (ARN)](reference_identifiers.md#identifiers-arns) der betreffenden Ressource eingeben, deren Zugriff Sie testen möchten. Standardmäßig ist jede Ressource mit einem Platzhalter (\$1) festgelegt. Sie können auch einen Wert für jeden [Bedingungskontextschlüssel](reference_policies_actions-resources-contextkeys.html) angeben. Wie bereits erwähnt, werden Schlüssel mit leeren Werten ignoriert. Dies kann dazu führen, dass die Simulation fehlschlägt oder die Ergebnisse unzuverlässig sind.

   1. Klicken Sie auf den Pfeil neben dem Namen der Aktion, um jede Zeile zu erweitern, und konfigurieren Sie zusätzliche Informationen, die zur genauen Simulation der Aktion in Ihrem Szenario erforderlich sind. Wenn die Aktion Berechtigungen auf Ressourcenebene erfordert, können Sie den [Amazon-Ressourcenname (ARN)](reference_identifiers.md#identifiers-arns) der bestimmten Ressource eingeben, für die Sie den Zugriff simulieren möchten. Standardmäßig ist jede Ressource mit einem Platzhalter (\$1) festgelegt.

   1. Wenn die Aktion Berechtigungen auf Ressourcenebene unterstützt, diese jedoch nicht benötigt, können Sie auf **Add Resource (Ressource hinzufügen)** klicken, um den Ressourcentyp auszuwählen, den Sie zur Simulation hinzufügen möchten. 

   1. Wenn eine der ausgewählten Richtlinien ein `Condition`-Element enthält, das auf einen Kontextschlüssel für den Service dieser Aktion verweist, wird dieser Schlüsselname unter der Aktion angezeigt. Sie können den Wert festlegen, der bei der Simulation dieser Aktion für die angegebene Ressource verwendet werden soll.
<a name="resource-scenarios"></a>
**Aktionen, die verschiedene Gruppen von Ressourcentypen erfordern**  
Unter verschiedenen Umständen erfordern einige Aktionen unterschiedliche Ressourcentypen. Jede Gruppe von Ressourcentypen ist mit einem Szenario verknüpft. Wenn eines dieser Szenarien auf Ihre Simulation zutrifft, wählen Sie es. Der Richtliniensimulator benötigt die für das jeweilige Szenario geeigneten Ressourcentypen. In der folgenden Liste werden alle unterstützten Szenariomöglichkeiten sowie die Ressourcen angezeigt, die Sie zum Ausführen der Simulation definieren müssen.

   Alle der folgenden Amazon EC2-Szenarien setzen voraus, dass Sie die Ressourcen `instance`, `image` und `security-group` festlegen. Wenn Ihr Szenario ein EBS-Volume enthält, müssen Sie dieses `volume` als Ressource festlegen. Wenn das Amazon EC2-Szenario eine Virtual Private Cloud (VPC) umfasst, müssen Sie die Ressource `network-interface` angeben. Wenn es ein IP-Subnetz umfasst, müssen Sie die Ressource `subnet` angeben. Weitere Informationen zu Amazon EC2-Szenarien finden Sie unter [Unterstützte Plattformen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-supported-platforms.html) im *Amazon EC2 Leitfaden*.
   + **EC2-VPC- InstanceStore**

     instance, image, security-group, network-interface
   + **EC2-VPC- -Subnetz InstanceStore**

     instance, image, security-group, network-interface, subnet
   + **EC2-VPC-EBS**

     instance, image, security-group, network-interface, volume
   + **EC2-VPC-EBS-Subnet**

     instance, image, security-group, network-interface, subnet, volume

1. <a name="polsimstep-respol"></a>(Optional) Wenn Sie eine ressourcenbasierte Richtlinie in Ihre Simulation einbinden möchten, müssen Sie zunächst die Aktionen auswählen, die Sie für diese Ressource in [Step 6](#polsimstep-service) simulieren möchten. Erweitern Sie die Zeilen für die ausgewählten Aktionen und geben Sie den ARN der Ressource mit einer zu simulierenden Richtlinie ein. Wählen Sie anschließend die Option **Include Resource Policy (Ressourcenrichtlinie einschließen)** neben dem Textfeld **ARN**. Der IAM-Richtliniensimulator unterstützt derzeit ressourcenbasierte Richtlinien nur von den folgenden Diensten: Amazon S3 (nur ressourcenbasierte Richtlinien; ACLs werden derzeit nicht unterstützt), Amazon SQS, Amazon SNS und entsperrte Amazon Glacier-Tresore (gesperrte Tresore werden derzeit nicht unterstützt).

1. Wählen Sie rechts oben die Option **Run Simulation (Simulationen ausführen)**.

   Die Spalte **Permission (Berechtigung)** in der jeweiligen Zeile der Liste **Action Settings and Results (Aktionseinstellungen und Ergebnisse)** zeigt das Simulationsergebnis dieser Aktion für die angegebene Ressource an.

1. **Um zu sehen, welche Anweisung in einer Richtlinie eine Aktion ausdrücklich zugelassen oder verweigert hat, wählen Sie den ***N*entsprechenden Link (en)** in der Spalte „Berechtigungen“ aus, um die Zeile zu erweitern.** Klicken Sie dann auf den Link **Show statement (Anweisung anzeigen)**. Im Bereich **Policies (Richtlinien)** wird die relevante Richtlinie mit der Anweisung, die das Simulationsergebnis beeinflusst hat, hervorgehoben angezeigt.
**Anmerkung**  
Wenn eine Aktion *implizit* verweigert wird d. h. wenn die Aktion nur verweigert wird, weil sie nicht explizit zugelassen ist, werden die Optionen **List (Anweisung auflisten)** und **Show statement (Anweisung anzeigen)** nicht angezeigt.

### Fehlerbehebung bei Meldungen in der Konsole des IAM-Richtliniensimulators
<a name="iam-policy-simulator-messages"></a>

In der folgenden Tabelle werden die Informations- und Warnmeldungen aufgeführt, die bei der Verwendung des IAM-Richtliniensimulators auftreten können. Die Tabelle enthält außerdem Schritte, die Sie zur Fehlerbehebung ausführen können. 


****  

| Fehlermeldung | Schritte zur Fehlerbehebung | 
| --- | --- | 
| Diese Richtlinie wurde bearbeitet. Änderungen werden nicht in Ihrem Konto gespeichert.  |   **Es ist keine Aktion erforderlich.**  Diese Meldung dient nur zu Informationszwecken. Wenn Sie eine vorhandene Richtlinie im IAM-Richtliniensimulator bearbeiten, wirkt sich die Änderung nicht auf Ihr AWS-Konto aus. Die Richtliniensimulator ermöglicht es Ihnen, ausschließlich für Testzwecke Änderungen an Richtlinien vorzunehmen.  | 
| Die Ressourcenrichtlinie kann nicht abgerufen werden. Grund: detailed error message | Der Richtliniensimulator kann nicht auf eine angeforderte ressourcenbasierte Richtlinie zugreifen. Vergewissern Sie sich, dass der angegebene Ressourcen-ARN korrekt ist und dass der Benutzer, der die Simulation ausführt, die Berechtigung zum Lesen der Ressourcenrichtlinie besitzt. | 
| Eine oder mehrere Richtlinien benötigen Werte in den Simulationseinstellungen. Ohne diese Werte schlägt die Simulation möglicherweise fehl.  |  Diese Meldung wird angezeigt, wenn die getestete Richtlinie Bedingungsschlüssel oder Variablen enthält, Sie jedoch keine Werte für diese Schlüssel oder Variablen unter **Simulation Settings (Simulationseinstellungen)** angegeben haben. Um diese Meldung zu schließen, wählen Sie **Simulation Settings (Simulationseinstellungen)** aus und geben einen Wert für den jeweiligen Bedingungsschlüssel oder die jeweilige Variable ein.  | 
| Sie haben Richtlinien geändert. Diese Ergebnisse sind nicht mehr gültig.  |  Diese Meldung wird angezeigt, wenn Sie die ausgewählte Richtlinie geändert haben, während die Ergebnisse im Bereich **Results (Ergebnisse)** angezeigt wurden. Die im Bereich **Results (Ergebnisse)** angezeigten Ergebnisse wird nicht dynamisch aktualisiert. Um diese Meldung zu schließen, wählen Sie erneut **Run Simulation (Simulation ausführen)** aus, um die neuen Simulationsergebnisse basierend auf den im Bereich **Policies (Richtlinien)** vorgenommenen Änderungen anzuzeigen.  | 
| Die Ressource, die Sie für diese Simulation eingegeben haben, entspricht nicht diesem Service.  |  Diese Meldung wird angezeigt, wenn Sie einen Amazon-Ressourcenname (ARN) im Bereich **Simulation Settings (Simulationseinstellungen)** eingegeben haben, der nicht dem Service entspricht, den Sie für die aktuelle Simulation ausgewählt haben. Diese Meldung wird z. B. angezeigt, wenn Sie einen ARN für eine Amazon DynamoDB-Ressource angeben, jedoch Amazon Redshift als zu simulierenden Service auswählen. Führen Sie einen der folgenden Schritte aus, um diese Meldung zu schließen:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/access_policies_testing-policies.html)  | 
| Diese Aktion gehört zu einem Service, der zusätzlich zu ressourcenbasierten Richtlinien, wie Amazon S3 ACLs - oder Amazon Glacier Vault Lock-Richtlinien, spezielle Zugriffskontrollmechanismen unterstützt. Der Richtliniensimulator bietet keine Unterstützung für diese Mechanismen, sodass sich die Ergebnisse von Ihrer Produktionsumgebung unterscheiden können.  |   **Es ist keine Aktion erforderlich.**  Diese Meldung dient nur zu Informationszwecken. In der aktuellen Version bewertet der Richtliniensimulator Richtlinien, die Benutzern und IAM-Gruppen zugeordnet sind, und kann ressourcenbasierte Richtlinien für Amazon S3, Amazon SQS, Amazon SNS und Amazon Glacier bewerten. Der Richtliniensimulator unterstützt nicht alle Zugriffskontrollmechanismen, die von anderen AWS -Services unterstützt werden.  | 
| DynamoDB FGAC wird derzeit nicht unterstützt.  |   **Es ist keine Aktion erforderlich.**  Diese Informationsmeldung bezieht sich auf eine *differenzierte Zugriffskontrolle*. Eine fein abgestimmte Zugriffskontrolle bietet die Möglichkeit, IAM-Richtlinienbedingungen zu verwenden, um zu bestimmen, wer auf einzelne Datenelemente und Attribute in DynamoDB-Tabellen und -Indizes zugreifen kann. Sie bezieht sich auch auf die Aktionen, die für diese Tabellen und Indizes ausgeführt werden können. Die aktuelle Version des IAM-Richtliniensimulators bietet keine Unterstützung für diesen Typ von Richtlinienbedingungen. Weitere Informationen zur fein abgestuften DynamoDB-Zugriffskontrolle finden Sie unter [Fein abgestufte Zugriffskontrolle für DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/FGAC_DDB.html).  | 
| Sie verfügen über Richtlinien, die nicht mit der Richtliniensyntax übereinstimmen. Sie können die Richtlinienvalidierung zum Überprüfen und Akzeptieren der empfohlenen Updates für Ihre Richtlinien verwenden.  |  Diese Meldung wird oben über der Richtlinienliste angezeigt, wenn Sie über Richtlinien verfügen, die nicht die IAM-Richtliniengrammatik erfüllen. Um diese Richtlinien zu simulieren, lesen Sie die Optionen für die Richtlinienvalidierung unter [IAM-Richtlinien-Validierung](access_policies_policy-validator.md), um diese Richtlinien zu identifizieren und zu beheben.  | 
|  Diese Richtlinie muss aktualisiert werden, um die neuesten Regeln der Richtliniensyntax zu erfüllen.  |  Diese Meldung wird angezeigt, wenn Ihre Richtlinien nicht der IAM-Richtliniengrammatik entsprechen. Um diese Richtlinien zu simulieren, lesen Sie die Optionen für die Richtlinienvalidierung unter [IAM-Richtlinien-Validierung](access_policies_policy-validator.md), um diese Richtlinien zu identifizieren und zu beheben.  | 

## Verwenden des IAM-Richtliniensimulators (AWS CLI und der API) AWS
<a name="policies-simulator-using-api"></a>

Die Befehle des Richtliniensimulators erfordern den Aufruf von API-Operationen für die folgenden zwei Aktionen:

1. Bewerten der Richtlinien und Zurückgeben der Liste der Kontextschlüssel, auf die sie verweisen. Sie müssen wissen, auf welche Kontextschlüssel verwiesen wird, sodass Sie im nächsten Schritt Werte für diese angeben können.

1. Simulieren von Richtlinien, wobei eine Liste der Aktionen, Ressourcen und Kontextschlüssel bereitgestellt wird, die während der Simulation verwendet werden.

Aus Sicherheitsgründen werden die API-Operationen in zwei Gruppen unterteilt:
+ API-Operationen, die nur Richtlinien simulieren, die direkt als Zeichenfolgen an die API weitergeleitet werden. Dieses Set beinhaltet [GetContextKeysForCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html)und [SimulateCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html).
+ API-Operationen, die die Richtlinien simulieren, die dem angegebenen IAM-Benutzer (oder der -Gruppe, -Rolle oder -Ressource) zugeordnet sind. Da diese API-Operationen auch Details zu Berechtigungen offenlegen können, die anderen IAM-Entitys zugewiesen sind, sollten Sie erwägen, den Zugriff auf diese API-Operationen einzuschränken. Dieses Set beinhaltet [GetContextKeysForPrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html)und [SimulatePrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html). Weitere Informationen zum Einschränken des Zugriffs auf API-Operationen finden Sie unter [Beispielrichtlinien: AWS Identity and Access Management (IAM)](access_policies_examples.md#policy_library_IAM).

In beiden Fällen simulieren die API-Operationen die Auswirkungen einzelner oder mehrerer Richtlinien auf eine Liste der Aktionen und Ressourcen. Die jeweilige Aktion bildet mit der jeweiligen Ressource ein Paar. Die Simulation bestimmt, ob die Richtlinien diese Aktion für diese Ressource zulassen oder verweigern. Sie können auch Werte für Kontextschlüssel angeben, auf die Ihre Richtlinien verweisen. Sie können die Liste der Kontextschlüssel abrufen, auf die die Richtlinien verweisen, indem Sie zuerst [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html) oder [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html) aufrufen. Wenn Sie keinen Wert für einen Kontextschlüssel angeben, wird die Simulation weiterhin ausgeführt. Die Ergebnisse sind jedoch möglicherweise nicht zuverlässig, da der Richtliniensimulator diesen Kontextschlüssel nicht in der Bewertung berücksichtigen kann.

**Um die Liste der Kontextschlüssel (AWS CLI, AWS API) abzurufen**  
Verwenden Sie die folgenden Informationen, um eine Liste von Richtlinien zu bewerten und eine Liste der Kontextschlüssel zurückzugeben, die in den Richtlinien verwendet werden.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/get-context-keys-for-custom-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-context-keys-for-custom-policy.html) und [https://docs.aws.amazon.com/cli/latest/reference/iam/get-context-keys-for-principal-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-context-keys-for-principal-policy.html)
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html)und [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html)

**Um IAM-Richtlinien zu simulieren (AWS CLI, AWS API)**  
Verwenden Sie die folgenden Informationen zum Simulieren von IAM-Richtlinien, um die effektiven Berechtigungen eines Benutzers zu bestimmen.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/simulate-custom-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/simulate-custom-policy.html) und [https://docs.aws.amazon.com/cli/latest/reference/iam/simulate-principal-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/simulate-principal-policy.html)
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html)und [https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html)

# Hinzufügen und Entfernen von IAM-Identitätsberechtigungen
<a name="access_policies_manage-attach-detach"></a>

Berechtigungen für eine Identität (Benutzer, Gruppe oder Rolle) werden mithilfe von Richtlinien definiert. Sie können Berechtigungen hinzufügen und entfernen, indem Sie IAM-Richtlinien für eine Identität mithilfe der AWS-Managementkonsole, der AWS Command Line Interface (AWS CLI) oder der API anhängen und trennen. AWS Sie können auch Richtlinien verwenden, um [Berechtigungsgrenzen](access_policies_boundaries.md) nur für Entitäten (Benutzer oder Rollen) festzulegen, die dieselben Methoden verwenden. Berechtigungsgrenzen sind eine erweiterte AWS Funktion, die die maximalen Berechtigungen steuert, die eine Entität haben kann.

**Topics**
+ [

## Terminologie
](#attach-detach-etc-terminology)
+ [

## Anzeigen der Identitätsaktivitäten
](#attach-detach_prerequisites)
+ [

## Hinzufügen von IAM-Identitätsberechtigungen (Konsole)
](#add-policies-console)
+ [

## Entfernen von IAM-Identitätsberechtigungen (Konsole)
](#remove-policies-console)
+ [

## Hinzufügen von IAM-Richtlinien (AWS CLI)
](#add-policy-cli)
+ [

## Entfernen von IAM-Richtlinien (AWS CLI)
](#remove-policy-cli)
+ [

## Hinzufügen von IAM-Richtlinien (API)AWS
](#add-policy-api)
+ [

## IAM-Richtlinien (AWS API) werden entfernt
](#remove-policy-api)

## Terminologie
<a name="attach-detach-etc-terminology"></a>

Bei der Zuordnung von Berechtigungsrichtlinien zu Identitäten (IAM-Benutzer, IAM-Gruppen und IAM-Rollen) variieren die Terminologie und Verfahren je nachdem, ob Sie mit einer verwalteten oder einer Inline-Richtlinie arbeiten:
+ **Attach (Anfügen)** – Wird mit verwalteten Richtlinien verwendet. Sie fügen eine verwaltete Richtlinie an eine Identität (Benutzer, Gruppe oder Rolle) an. Durch Anfügen einer Richtlinie werden die Berechtigungen in der Richtlinie auf die Identität angewendet.
+ **Detach (Trennen)** – Wird mit verwalteten Richtlinien verwendet. Sie trennen eine verwaltete Richtlinie von einer IAM-Identität (Benutzer, Gruppe oder Rolle). Durch Trennen einer Richtlinie werden ihre Berechtigungen von der Identität entfernt.
+ **Embed (Einbetten)** – Wird mit Inline-Richtlinien verwendet. Sie betten eine Inline-Richtlinie in eine Identität (Benutzer, Gruppe oder Rolle) ein. Durch Einbetten einer Richtlinie werden die Berechtigungen in der Richtlinie auf die Identität angewendet. Da eine Inline-Richtlinie in der Identität gespeichert wird, wird sie eingebettet und nicht angefügt, wobei die Ergebnisse ähnlich sind.
**Anmerkung**  
Sie können eine eingebundene Richtlinie für eine *[serviceverknüpfte Rolle](id_roles.md#iam-term-service-linked-role)* nur in den Service einbetten, der von der Rolle abhängt. Informationen dazu, ob diese Funktion von Ihrem Service unterstützt wird, finden Sie in der entsprechenden [AWS -Dokumentation](https://docs.aws.amazon.com/).
+ **Delete (Löschen)** – Wird mit Inline-Richtlinien verwendet. Sie löschen eine Inline-Richtlinie für eine IAM-Identität (Benutzer, Gruppe oder Rolle). Durch das Löschen einer Richtlinie werden ihre Berechtigungen von der Identität entfernt.
**Anmerkung**  
Sie können eine Inline-Richtlinie für eine *[serviceverknüpfte Rolle](id_roles.md#iam-term-service-linked-role)* nur aus dem Service löschen, der von der Rolle abhängt. Informationen dazu, ob diese Funktion von Ihrem Service unterstützt wird, finden Sie in der entsprechenden [AWS -Dokumentation](https://docs.aws.amazon.com/).

Sie können die Konsole oder die AWS API verwenden AWS CLI, um jede dieser Aktionen auszuführen.

### Weitere Informationen
<a name="terminology-more-info-roles-policies"></a>
+ Weitere Informationen zum Unterschied zwischen verwalteten und eingebundenen Richtlinien finden Sie unter [Verwaltete Richtlinien und eingebundene Richtlinien](access_policies_managed-vs-inline.md). 
+ Weitere Informationen über Berechtigungsgrenzen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](access_policies_boundaries.md).
+ Weitere allgemeine Informationen zu IAM-Richtlinien finden Sie unter [Richtlinien und Berechtigungen in AWS Identity and Access Management](access_policies.md).
+ Weitere Informationen zu IAM-Benutzerrichtlinien finden Sie unter [IAM-Richtlinien-Validierung](access_policies_policy-validator.md).
+ Die Anzahl und Größe der IAM-Ressourcen in einem AWS Konto sind begrenzt. Weitere Informationen finden Sie unter [IAM und Kontingente AWS STS](reference_iam-quotas.md).

## Anzeigen der Identitätsaktivitäten
<a name="attach-detach_prerequisites"></a>

Bevor Sie die Berechtigungen für eine Identität (Benutzer, Gruppe oder Rolle) ändern, sollten Sie deren kürzliche Aktivität auf Serviceebene überprüfen. Das ist wichtig, da Sie keinem Auftraggeber (Person oder Anwendung) einen noch verwendeten Zugriff entziehen möchten. Weitere Informationen zum Anzeigen der Informationen zum letzten Zugriff finden Sie unter [Verfeinern Sie die Berechtigungen für AWS die Verwendung der zuletzt abgerufenen Informationen](access_policies_last-accessed.md).

## Hinzufügen von IAM-Identitätsberechtigungen (Konsole)
<a name="add-policies-console"></a>

Sie können das verwenden AWS-Managementkonsole , um einer Identität (Benutzer, Benutzergruppe oder Rolle) Berechtigungen hinzuzufügen. Fügen Sie dazu verwaltete Richtlinien für die gewünschten Berechtigungen an oder geben Sie eine Richtlinie an, die als [Berechtigungsgrenze](access_policies_boundaries.md) dient. Sie können auch eine eingebundene Richtlinie einbetten.<a name="access_policies_manage-attach-detach-console"></a>

**So verwenden Sie eine verwaltete Richtlinie als Berechtigungsrichtlinie für eine Identität (Konsole)**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Wählen Sie im Navigationsbereich **Richtlinien**. 

1. Aktivieren Sie in der Liste der Richtlinien die Optionsschaltfläche neben dem Namen der anzufügenden Richtlinie aus. Sie können über das Suchfeld die Liste der Gruppen filtern.

1. Wählen Sie **Actions (Aktionen)** und dann **Attach policy(Richtlinie anfügen)**.

1. Wählen Sie mindestens eine Identität aus, an die Sie die Richtlinie anfügen möchten. Über das Menü Filter und das Suchfeld können Sie die Liste der Auftraggeber-Entitäten filtern. Nachdem Sie die Identitäten ausgewählt haben, wählen Sie **Attach policy (Richtlinie anfügen)**.<a name="set-managed-policy-boundary-console"></a>

**Verwenden einer verwalteten Richtlinie zum Festlegen einer Berechtigungsgrenze (Konsole)**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Wählen Sie im Navigationsbereich **Policies**. 

1. Wählen Sie in der Liste der Richtlinien den Namen der Richtlinie, die Sie festlegen möchten. Sie können über das Suchfeld die Liste der Gruppen filtern.

1. Wählen Sie auf der Seite der Richtliniendetails die Registerkarte **Entities attached** (Angefügte Entitäten) aus und öffnen Sie dann gegebenenfalls den Abschnitt **Attached as a permissions boundaries** (Als eine Berechtigungsgrenze angefügt) und wählen Sie **Set this policy as a permissions boundary** (Diese Richtlinie als eine Berechtigungsgrenze festlegen).

1. Wählen Sie einen oder mehrere Benutzer oder Rollen aus, für die die Richtlinie für eine Berechtigungsgrenze verwendet werden soll. Über das Menü Filter und das Suchfeld können Sie die Liste der Auftraggeber-Entitäten filtern. Nachdem Sie die Prinzipale ausgewählt haben, wählen Sie **Set permissions boundary** (Berechtigungsgrenze festlegen) aus.<a name="embed-inline-policy-console"></a>

**So betten Sie eine eingebundene Richtlinie für einen Benutzer oder eine Rolle ein (Konsole)**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)** oder **Roles (Rollen)**.

1. Wählen Sie in der Liste den Namen des Benutzers oder der Rolle aus, in den bzw. die Sie die Richtlinie einbetten möchten.

1. Wählen Sie die Registerkarte **Berechtigungen**. 

1. Wählen Sie **Add permissions** (Berechtigungen hinzufügen) und dann **Create inline policy** (Inline-Richtlinie erstellen) aus.

    
**Anmerkung**  
Sie können eingebundene Richtlinien nicht in eine *[serviceverknüpfte Rolle](id_roles.md#iam-term-service-linked-role)* in IAM einbetten. Da der verknüpfte Service definiert, ob Sie die Berechtigungen der Rolle ändern können, sind Sie möglicherweise in der Lage, zusätzliche Richtlinien von der Service-Konsole, einer API oder der AWS CLI aus hinzuzufügen. Um die serviceverknüpfte Rolle anzuzeigen, lesen Sie unter [AWS Dienste, die mit IAM funktionieren](reference_aws-services-that-work-with-iam.md) nach und wählen Sie **Yes (Ja)** in der Spalte **Service-Linked Role (Serviceverknüpfte Rolle)** für den Service.

1. Wählen Sie eine der folgenden Methoden, um die erforderlichen Schritte zum Erstellen der Richtlinie anzuzeigen:
   + [Importieren vorhandener verwalteter Richtlinien](access_policies_create-console.md#access_policies_create-copy) – Sie können eine verwaltete Richtlinie innerhalb Ihres Kontos importieren und die Richtlinie dann bearbeiten, um sie an Ihre spezifischen Anforderungen anzupassen. Eine verwaltete Richtlinie kann eine AWS verwaltete Richtlinie oder eine vom Kunden verwaltete Richtlinie sein, die Sie zuvor erstellt haben.
   + [Erstellen von Richtlinien mit dem visuellen Editor](access_policies_create-console.md#access_policies_create-visual-editor) – Sie können eine neue Richtlinie von Grund auf im visuellen Editor erstellen. Wenn Sie den visuellen Editor verwenden, müssen Sie nicht mit der JSON-Syntax vertraut sein.
   + [Erstellen von Richtlinien mit dem JSON-Editor](access_policies_create-console.md#access_policies_create-json-editor) – In der Editoroption **JSON** können Sie eine Richtlinie mithilfe der JSON-Syntax erstellen. Sie können ein neues JSON-Richtliniendokument eingeben oder eine [Beispielrichtlinie](access_policies_examples.md) einfügen.

1. Nachdem Sie eine eingebundene Richtlinie erstellt haben, wird sie automatisch in Ihren Benutzer oder Ihre Rolle eingebettet.

**So betten Sie eine eingebundene Richtlinie für eine Gruppe ein (Konsole)**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Klicken Sie im Navigationsbereich auf **Benutzergruppen**.

1. Wählen Sie in der Liste den Namen der Benutzergruppe, in die eine Richtlinie eingebettet werden soll.

1. Wählen Sie die Registerkarte **Berechtigungen**, wählen Sie **Berechtigungen hinzufügen** und wählen Sie dann **Inline-Richtlinie erstellen**.

1. Führen Sie eine der folgenden Aktionen aus:
   + Wählen Sie die Option **Visual** aus, um die Richtlinie zu erstellen. Weitere Informationen finden Sie unter [Erstellen von Richtlinien mit dem visuellen Editor](access_policies_create-console.md#access_policies_create-visual-editor).
   + Wählen Sie die Option **JSON** aus, um die Richtlinie zu erstellen.JSON. Weitere Informationen finden Sie unter [Erstellen von Richtlinien mit dem JSON-Editor](access_policies_create-console.md#access_policies_create-json-editor).

1. Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf **Create policy** (Richtlinie erstellen).<a name="replace-managed-policy-boundary-console"></a>

**So ändern Sie die Berechtigungsgrenze für eine oder mehrere Entitäten (Konsole)**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Wählen Sie im Navigationsbereich **Policies**. 

1. Wählen Sie in der Liste der Richtlinien den Namen der Richtlinie, die Sie festlegen möchten. Sie können über das Suchfeld die Liste der Gruppen filtern.

1. Wählen Sie auf der Seite der Richtliniendetails die Registerkarte **Entities attached** (Angefügte Entitäten) aus und öffnen Sie dann gegebenenfalls den Abschnitt **Attached as a permissions boundary** (Als eine Berechtigungsgrenze angefügt). Aktivieren Sie das Kontrollkästchen neben den Benutzern oder Rollen, deren Grenzen Sie ändern möchten, und wählen Sie dann **Ändern** aus.

1. Wählen Sie eine neue Richtlinie aus, die für eine Berechtigungsgrenze verwendet werden soll. Sie können über das Suchfeld die Liste der Gruppen filtern. Nachdem Sie die Prinzipale ausgewählt haben, wählen Sie **Set permissions boundary** (Berechtigungsgrenze festlegen) aus.

## Entfernen von IAM-Identitätsberechtigungen (Konsole)
<a name="remove-policies-console"></a>

Sie können den verwenden AWS-Managementkonsole , um Berechtigungen aus einer Identität (Benutzer, Benutzergruppe oder Rolle) zu entfernen. Trennen Sie hierzu verwaltete Richtlinien, die Berechtigungen steuern, oder entfernen Sie eine Richtlinie an, die als [Berechtigungsgrenze](access_policies_boundaries.md) dient. Sie können auch eine eingebundene Richtlinie löschen.<a name="detach-managed-policy-console"></a>

**Entfernen einer verwalteten Richtlinie, die als Berechtigungsrichtlinie verwendet wurde (Konsole)**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Wählen Sie im Navigationsbereich **Richtlinien**. 

1. Aktivieren Sie in der Liste der Richtlinien die Optionsschaltfläche neben dem Namen der zu entfernenden Richtlinie aus. Sie können über das Suchfeld die Liste der Gruppen filtern.

1. Wählen Sie **Aktionen** und anschließend **Löschen**.

1. Wählen Sie die Identitäten aus, von denen Sie die Richtlinie trennen möchten. Sie können über das Suchfeld die Liste der Gruppen filtern. Wählen Sie, nachdem Sie die Identitäten ausgewählt haben, die Option **Detach policy (Richtlinie trennen)**.<a name="remove-managed-policy-boundary-console"></a>

**Entfernen einer Berechtigungsgrenze (Konsole)**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Wählen Sie im Navigationsbereich **Policies**. 

1. Wählen Sie in der Liste der Richtlinien den Namen der Richtlinie, die Sie festlegen möchten. Sie können über das Suchfeld die Liste der Gruppen filtern.

1. Wählen Sie auf der Seite der Richtlinienübersicht die Registerkarte **Entities attached** (Angefügte Entitäten) aus und öffnen Sie dann gegebenenfalls den Abschnitt **Attached as a permissions boundary** (Als eine Berechtigungsgrenze angefügt) und wählen Sie die Entitäten aus, aus denen sie die Berechtigungsgrenze entfernen möchten. Wählen Sie dann **Remove boundary** (Grenze entfernen) aus.

1. Bestätigen Sie, dass Sie die Berechtigungsgrenze entfernen möchten, und wählen Sie **Remove boundary** (Grenze entfernen) aus.<a name="delete-inline-policy-console"></a>

**So löschen Sie eine Inline-Richtlinie (Konsole)**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Klicken Sie im Navigationsbereich auf **Groups (Gruppen)**, **Users (Benutzer)** oder **Roles (Rollen)**.

1. Wählen Sie in der Liste den Namen der Gruppe, des Benutzers oder der Rolle aus, deren bzw. dessen Richtlinie Sie entfernen möchten.

1. Wählen Sie die Registerkarte **Berechtigungen**.

1. Aktivieren Sie das Kontrollkästchen neben der Richtlinie und wählen Sie **Entfernen** aus.

1. Wählen Sie im Bestätigungsfeld **Remove** (Entfernen) aus.

## Hinzufügen von IAM-Richtlinien (AWS CLI)
<a name="add-policy-cli"></a>

Sie können den verwenden AWS CLI , um einer Identität (Benutzer, Benutzergruppe oder Rolle) Berechtigungen hinzuzufügen. Fügen Sie dazu verwaltete Richtlinien für die gewünschten Berechtigungen an oder geben Sie eine Richtlinie an, die als [Berechtigungsgrenze](access_policies_boundaries.md) dient. Sie können auch eine eingebundene Richtlinie einbetten.

**So verwenden Sie eine verwaltete Richtlinie als Berechtigungsrichtlinie für eine Entität (AWS CLI)**

1. (Optional) Um Informationen über eine verwaltete Richtlinie anzuzeigen, führen Sie die folgenden Befehle aus: 
   + Auflisten verwalteter Richtlinien: [aws iam list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Abrufen detaillierter Informationen zu einer verwalteten Richtlinie: [get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html)

1. Um eine verwaltete Richtlinie an eine Identität (Benutzer, Benutzergruppe oder Rolle) anzuhängen, verwenden Sie einen der folgenden Befehle: 
   + [war ich attach-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-user-policy.html)
   + [war ich attach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)
   + [war ich attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)

**Verwenden einer verwalteten Richtlinie zum Festlegen einer Berechtigungsgrenze (AWS CLI)**

1. (Optional) Um Informationen über eine verwaltete Richtlinie anzuzeigen, führen Sie die folgenden Befehle aus: 
   + Auflisten verwalteter Richtlinien: [aws iam list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Abrufen detaillierter Informationen zu einer verwalteten Richtlinie: [aws iam get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html)

1. Um eine verwaltete Richtlinie zum Festlegen der Berechtigungsgrenze für eine Entität (Benutzer oder Rolle) zu verwenden, benutzen Sie einen der folgenden Befehle: 
   + [war ich put-user-permissions-boundary](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-permissions-boundary.html)
   + [war ich put-role-permissions-boundary](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-permissions-boundary.html)

**So betten Sie eine Inline-Richtlinie ein (AWS CLI)**  
Verwenden Sie zum Einbetten einer Inline-Richtlinie in eine Identität (Benutzer, Gruppe oder Rolle, die keine *[serviceverknüpfte Rolle](id_roles.md#iam-term-service-linked-role)* ist), einen der folgenden Befehle: 
+ [war ich put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)
+ [war ich put-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-group-policy.html)
+ [war ich put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html)

## Entfernen von IAM-Richtlinien (AWS CLI)
<a name="remove-policy-cli"></a>

Sie können die verwenden AWS CLI , um verwaltete Richtlinien, die Berechtigungen kontrollieren, zu trennen oder eine Richtlinie zu entfernen, die als Grenze für [Berechtigungen](access_policies_boundaries.md) dient. Sie können auch eine eingebundene Richtlinie löschen.

**Entfernen einer verwalteten Richtlinie, die als Berechtigungsrichtlinie verwendet wurde (AWS CLI)**

1. (Optional) Um Informationen über eine Richtlinie anzuzeigen, führen Sie die folgenden Befehle aus:
   + Auflisten verwalteter Richtlinien: [aws iam list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Abrufen detaillierter Informationen zu einer verwalteten Richtlinie: [aws iam get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html) 

1. (Optional) Führen Sie zum Ermitteln von Informationen über die Beziehungen zwischen Richtlinien und Identitäten die folgenden Befehle aus:
   + So listen Sie die Identitäten (IAM-Benutzer, IAM-Gruppen und IAM-Rollen) auf, denen eine verwaltete Richtlinie zugeordnet ist: 
     + [was ich bin list-entities-for-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/list-entities-for-policy.html)
   + Verwenden Sie zum Auflisten der an eine Identität (Benutzer, Gruppe oder Rolle) angefügten verwalteten Richtlinien einen der folgenden Befehle aus:
     + [war ich list-attached-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-user-policies.html)
     + [war ich list-attached-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-group-policies.html)
     + [war ich list-attached-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-role-policies.html)

1. Verwenden Sie zum Trennen einer verwalteten Richtlinie von einer Identität (Benutzer, Gruppe oder Rolle) einen der folgenden Befehle:
   + [war ich detach-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html)
   + [war ich detach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-group-policy.html)
   + [war ich detach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-role-policy.html)

**Entfernen einer Berechtigungsgrenze (AWS CLI)**

1. (Optional) Um anzuzeigen, welche verwaltete Richtlinie zur Zeit verwendet wird, um die Berechtigungsgrenze für einen Benutzer oder eine Rolle festzulegen, führen Sie die folgenden Befehle aus:
   + [aws iam get-user](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html)
   +  [aws iam get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) 

1. (Optional) Um die Benutzer oder Rollen anzuzeigen, für die eine verwaltete Richtlinie für eine Berechtigungsgrenze verwendet wird, führen Sie den folgenden Befehl aus:
   + [war ich list-entities-for-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/list-entities-for-policy.html)

1. (Optional) Um Informationen über eine verwaltete Richtlinie anzuzeigen, führen Sie die folgenden Befehle aus:
   + Auflisten verwalteter Richtlinien: [aws iam list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Abrufen detaillierter Informationen zu einer verwalteten Richtlinie: [aws iam get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html) 

1. Um eine Berechtigungsgrenze von einem Benutzer oder einer Rolle zu entfernen, verwenden Sie einen der folgenden Befehle:
   + [war ich delete-user-permissions-boundary](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html)
   + [war ich delete-role-permissions-boundary](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-permissions-boundary.html)

**So löschen Sie eine Inline-Richtlinie (AWS CLI)**

1. (Optional) Verwenden Sie zum Auflisten aller Inline-Richtlinien, die an eine Identität (Benutzer, Gruppe, Rolle) angefügt wurden, einen der folgenden Befehle:
   + [war ich list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)
   + [war ich list-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-group-policies.html)
   + [war ich list-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-role-policies.html)

1. (Optional) Verwenden Sie zum Abrufen eines in eine Identität (Benutzer, Gruppe oder Rolle) eingebetteten Inline-Richtliniendokuments einen der folgenden Befehle:
   + [war ich get-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user-policy.html)
   + [war ich get-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group-policy.html)
   + [war ich get-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role-policy.html)

1. Verwenden Sie zum Löschen einer Inline-Richtlinie aus einer Identität (Benutzer, Gruppe oder Rolle, die keine *[serviceverknüpfte Rolle](id_roles.md#iam-term-service-linked-role)* ist), einen der folgenden Befehle:
   + [war ich delete-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user-policy.html)
   + [war ich delete-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-group-policy.html)
   + [war ich delete-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)

## Hinzufügen von IAM-Richtlinien (API)AWS
<a name="add-policy-api"></a>

Sie können die AWS API verwenden, um verwaltete Richtlinien anzuhängen, die Berechtigungen steuern, oder eine Richtlinie angeben, die als [Berechtigungsgrenze](access_policies_boundaries.md) dient. Sie können auch eine eingebundene Richtlinie einbetten.

**Um eine verwaltete Richtlinie als Berechtigungsrichtlinie für eine Entität zu verwenden (AWS API)**

1. (Optional) Rufen Sie zum Anzeigen von Informationen über eine Richtlinie die folgenden Operationen auf: 
   + Um verwaltete Richtlinien aufzulisten: [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html) 
   + So rufen Sie detaillierte Informationen zu einer verwalteten Richtlinie ab: [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. Um eine verwaltete Richtlinie einer Identität (Benutzer, Benutzergruppe oder Rolle) zuzuordnen, rufen Sie einen der folgenden Vorgänge auf:
   + [AttachUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachUserPolicy.html)
   + [AttachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachGroupPolicy.html)
   + [AttachRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachRolePolicy.html)

**So verwenden Sie eine verwaltete Richtlinie, um eine Berechtigungsgrenze (AWS API) festzulegen**

1. (Optional) Rufen Sie zum Anzeigen von Informationen über eine verwaltete Richtlinie die folgenden Operationen auf: 
   + So listen Sie verwaltete Richtlinien auf: [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
   + So rufen Sie detaillierte Informationen zu einer verwalteten Richtlinie ab: [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. Um eine verwaltete Richtlinie zum Festlegen der Berechtigungsgrenze für eine Entität (Benutzer oder Rolle) zu verwenden, verwenden Sie eine der folgenden Operationen: 
   + [PutUserPermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPermissionsBoundary.html)
   + [PutRolePermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePermissionsBoundary.html)

**Um eine Inline-Richtlinie (AWS API) einzubetten**  
Rufen Sie zum Einbetten einer Inline-Richtlinie in eine Identität (Benutzer, Gruppe oder Rolle, die keine *[serviceverknüpfte Rolle](id_roles.md#iam-term-service-linked-role)* ist), eine der folgenden Operationen auf:
+ [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)
+ [PutGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutGroupPolicy.html)
+ [PutRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePolicy.html)

## IAM-Richtlinien (AWS API) werden entfernt
<a name="remove-policy-api"></a>

Sie können die AWS API verwenden, um verwaltete Richtlinien zur Steuerung von Berechtigungen zu trennen oder eine Richtlinie zu entfernen, die als [Berechtigungsgrenze](access_policies_boundaries.md) dient. Sie können auch eine eingebundene Richtlinie löschen.

**Um eine verwaltete Richtlinie zu trennen, die als Berechtigungsrichtlinie (AWS API) verwendet wird**

1. (Optional) Rufen Sie zum Anzeigen von Informationen über eine Richtlinie die folgenden Operationen auf:
   + So listen Sie verwaltete Richtlinien auf: [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
   + So rufen Sie detaillierte Informationen zu einer verwalteten Richtlinie ab: [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. (Optional) Rufen Sie zum Ermitteln von Informationen über die Beziehungen zwischen Richtlinien und Identitäten die folgenden Operationen auf:
   + So listen Sie die Identitäten (IAM-Benutzer, IAM-Gruppen und IAM-Rollen) auf, denen eine verwaltete Richtlinie zugeordnet ist:
     + [ListEntitiesForPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListEntitiesForPolicy.html)
   + Rufen Sie zum Auflisten der an eine Identität (Benutzer, Gruppe oder Rolle) angefügten verwalteten Richtlinien eine der folgenden Operationen auf:
     + [ListAttachedUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html)
     + [ListAttachedGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedGroupPolicies.html)
     + [ListAttachedRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedRolePolicies.html)

1. Rufen Sie zum Trennen einer verwalteten Richtlinie von einer Identität (Benutzer, Gruppe oder Rolle) eine der folgenden Operationen auf:
   + [DetachUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html)
   + [DetachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachGroupPolicy.html)
   + [DetachRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachRolePolicy.html)

**So entfernen Sie eine Berechtigungsgrenze (AWS API)**

1. (Optional) Um anzuzeigen, welche verwaltete Richtlinie zur Zeit verwendet wird, um die Berechtigungsgrenze für einen Benutzer oder eine Rolle festzulegen, verwenden Sie die folgenden Operationen:
   + [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)
   + [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)

1. (Optional) Um die Benutzer oder Rollen anzuzeigen, für die eine verwaltete Richtlinie für eine Berechtigungsgrenze verwendet wird, verwenden Sie die folgenden Operationen:
   + [ListEntitiesForPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListEntitiesForPolicy.html)

1. (Optional) Rufen Sie zum Anzeigen von Informationen über eine verwaltete Richtlinie die folgenden Operationen auf:
   + Um verwaltete Richtlinien aufzulisten: [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
   + So rufen Sie detaillierte Informationen zu einer verwalteten Richtlinie ab: [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. Um eine Berechtigungsgrenze von einem Benutzer oder einer Rolle zu entfernen, verwenden Sie die folgenden Operationen:
   + [DeleteUserPermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPermissionsBoundary.html)
   + [DeleteRolePermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteRolePermissionsBoundary.html)

**Um eine Inline-Richtlinie (AWS API) zu löschen**

1. (Optional) Rufen Sie zum Auflisten aller Inline-Richtlinien, die an eine Identität (Benutzer, Gruppe, Rolle) angefügt sind, eine der folgenden Operationen auf:
   + [ListUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html)
   + [ListGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupPolicies.html)
   + [ListRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListRolePolicies.html)

1. (Optional) Rufen Sie zum Abrufen eines in eine Identität (Benutzer, Gruppe oder Rolle) eingebetteten Inline-Richtliniendokuments eine der folgenden Operationen auf:
   + [GetUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUserPolicy.html)
   + [GetGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroupPolicy.html)
   + [GetRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRolePolicy.html)

1. Rufen Sie zum Löschen einer Inline-Richtlinie aus einer Identität (Benutzer, Gruppe oder Rolle, die keine *[serviceverknüpfte Rolle](id_roles.md#iam-term-service-linked-role)* ist), eine der folgenden Operationen auf:
   + [DeleteUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html)
   + [DeleteGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteGroupPolicy.html)
   + [DeleteRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteRolePolicy.html)

# Versioning von IAM-Richtlinien
<a name="access_policies_managed-versioning"></a>

Wenn Sie Änderungen an einer vom Kunden verwalteten IAM-Richtlinie vornehmen und wenn AWS Sie Änderungen an einer AWS verwalteten Richtlinie vornehmen, überschreibt die geänderte Richtlinie nicht die bestehende Richtlinie. IAM erstellt stattdessen eine neue *Version* der verwalteten Richtlinie. IAM speichert bis zu fünf Versionen Ihrer vom Kunden verwalteten Richtlinien. IAM unterstützt Versioning nicht für eingebundene Richtlinien. 

Versioning für eine kundenverwaltete Richtlinie wird in der folgenden Abbildung dargestellt. In diesem Beispiel werden die Versionen 1-4 gespeichert. Sie können bis zu fünf verwaltete Richtlinienversionen in IAM speichern lassen. Wenn Sie eine Richtlinie bearbeiten, die eine sechste gespeicherte Version erstellen würde, können Sie wählen, welche ältere Version nicht mehr gespeichert werden soll. Sie können jederzeit auf eine der anderen vier gespeicherten Versionen zurückgreifen.

![\[Bei Änderungen an einer verwalteten Richtlinie wird eine neue Version der Richtlinie erstellt\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/policies-managed-policies-versions-overview.diagram.png)


Eine Richtlinienversion ist nicht mit dem Richtlinienelement `Version` identisch. Das Richtlinienelement `Version` wird innerhalb einer Richtlinie verwendet und gibt die Version der Richtliniensprache an. Weitere Informationen zum Richtlinienelement `Version` finden Sie unter [IAM-JSON-Richtlinienelemente: Version](reference_policies_elements_version.md).

Mithilfe von Versionen können Sie Änderungen an verwalteten Richtlinien nachvollziehen. Es kann beispielsweise vorkommen, dass Sie eine Änderung an einer verwalteten Richtlinie vornehmen und diese Änderung dann unerwünschte Auswirkungen hat. In diesem Fall können Sie zu einer vorherigen Version der verwalteten Richtlinie zurückkehren, indem Sie die vorherige Version zur *Standardversion* machen. 

In den folgenden Themen wird erläutert, wie Sie die Versionsverwaltung für verwaltete Richtlinien verwenden können.

**Topics**
+ [

## Versionsbeschränkungen
](#version-limits)
+ [

## Änderungen mithilfe von Versionen zurücksetzen
](#versions-roll-back)
+ [

## Berechtigungen für das Festlegen der Standardversion einer Richtlinie
](#policy-version-permissions)
+ [

## Festlegen der Standardversion von vom Kunden verwalteten Richtlinien
](#default-version)

## Versionsbeschränkungen
<a name="version-limits"></a>

Eine verwaltete -Richtlinie kann bis zu fünf Versionen aufweisen. Wenn Sie Änderungen an einer verwalteten Richtlinie für mehr als fünf Versionen von der oder der AWS Command Line Interface AWS API vornehmen müssen, müssen Sie zunächst eine oder mehrere bestehende Versionen löschen. Wenn Sie die verwenden AWS-Managementkonsole, müssen Sie keine Version löschen, bevor Sie Ihre Richtlinie bearbeiten. Beim Speichern der sechsten Version wird dann ein Dialogfeld angezeigt, in dem Sie aufgefordert werden, mindestens eine nicht standardmäßige Version der Richtlinie zu löschen. Sie können das JSON-Richtliniendokument der einzelnen Versionen anzeigen, um eine geeignete Version auszuwählen. Weitere Informationen zu diesem Dialogfeld finden Sie unter [IAM-Richtlinien bearbeiten](access_policies_manage-edit.md).

Sie können abgesehen von der Standardversion beliebige Versionen einer verwalteten Richtlinie löschen. Die Versionsnummern der übrigen Versionen bleiben vom Löschen einer Version unberührt. Daher kann es vorkommen, dass Versionsnummern nicht immer aufeinanderfolgen. Wenn Sie beispielsweise Version 2 und 4 einer verwalteten Richtlinie löschen und zwei neue Versionen erstellen, erhalten Sie im Anschluss die Versionen 1, 3, 5, 6 und 7. 

## Änderungen mithilfe von Versionen zurücksetzen
<a name="versions-roll-back"></a>

Sie können die Standardversion einer kundenverwalteten Richtlinie festlegen, um Ihre Änderungen rückgängig machen zu können. Betrachten wir folgendes Beispielszenario:

Sie erstellen eine kundenverwaltete Richtlinie, mit der Benutzer einen bestimmten Amazon S3-Bucket auf der AWS-Managementkonsole verwalten können. Nach dem Erstellen hat die kundenverwaltete Richtlinie nur eine Version, Version 1, die automatisch zur Standardversion wird. Die Richtlinie funktioniert wie vorgesehen. 

Später aktualisieren Sie die Richtlinie, um Benutzern die Berechtigung zur Verwaltung eines zweiten Amazon S3-Buckets zu gewähren. IAM erstellt eine neue Version der Richtlinie, Version 2, die die vorgenommenen Änderungen enthält. Sie legen Version v2 als Standard fest, und kurze Zeit später melden Ihre Benutzer, dass sie nicht berechtigt sind, die Amazon S3-Konsole zu verwenden. In diesem Fall kehren Sie zu Version 1 der Richtlinie zurück, da Sie wissen, dass diese wie vorgesehen funktioniert. Dazu legen Sie einfach Version 1 als Standardversion fest. Ihre Benutzer können nun den ursprünglichen Bucket wieder mit der Amazon S3-Konsole verwalten. 

Später, nachdem Sie den Fehler in Version v2 der Richtlinie festgestellt haben, aktualisieren Sie die Richtlinie erneut, um die Berechtigung zur Verwaltung des zweiten Amazon S3-Buckets hinzuzufügen. IAM-erstellt eine weitere neue Version der Richtlinie, Version 3. Sie legen Version 3 als Standardversion fest. Diese Version funktioniert nun wie vorgesehen. Jetzt können Sie Version 2 der Richtlinie löschen.

## Berechtigungen für das Festlegen der Standardversion einer Richtlinie
<a name="policy-version-permissions"></a>

Welche Berechtigungen zum Festlegen der Standardversion einer Richtlinie erforderlich sind, ist von den AWS -API-Operationen für die betreffende Aufgabe abhängig. Sie können mit den API-Operationen `CreatePolicyVersion` oder `SetDefaultPolicyVersion` die Standardversion einer Richtlinie festlegen. Um jemandem die Berechtigung zu erteilen, die Standardversion einer vorhandenen Richtlinie festzulegen, können Sie Zugriff auf die Aktion `iam:CreatePolicyVersion` oder auf die Aktion `iam:SetDefaultPolicyVersion` gewähren. Die Aktion `iam:CreatePolicyVersion` ermöglicht ihm dann, eine neue Version der Richtlinie zu erstellen und diese Version als Standard festzulegen. Die Aktion `iam:SetDefaultPolicyVersion` ermöglicht ihm, eine vorhandene Version der Richtlinie als Standard festzulegen.

**Wichtig**  
Um zu verhindern, dass ein Benutzer Änderungen an der Standardversion einer Richtlinie vornimmt, müssen Sie sowohl `iam:CreatePolicyVersion` als auch `iam:SetDefaultPolicyVersion` ablehnen.

Mit der folgenden Richtlinie können Sie einem Benutzer den Zugriff auf eine vorhandene, kundenverwaltete Richtlinie verweigern, sodass er sie nicht ändern kann:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "iam:CreatePolicyVersion",
                "iam:SetDefaultPolicyVersion"
            ],
            "Resource": "arn:aws:iam::*:policy/POLICY-NAME"
        }
    ]
}
```

------

## Festlegen der Standardversion von vom Kunden verwalteten Richtlinien
<a name="default-version"></a>

Eine Version einer verwalteten Richtlinie ist immer die *Standardversion*. Die Standardversion der Richtlinie ist die operative Version, d. h. die Version, die für alle Prinzipal-Einheiten (IAM-Benutzer, IAM-Gruppen und IAM-Rollen) gültig ist, an die die verwaltete Richtlinie angefügt ist. 

Wenn Sie eine kundenverwaltete Richtlinie erstellen, besteht diese zunächst aus nur einer Version, Version 1. Wenn eine verwaltete Richtlinie nur eine Version hat, ist diese automatisch die Standardversion. Bei kundenverwalteten Richtlinien mit mehreren Versionen können Sie festlegen, welche Version als Standardversion verwendet wird. Für AWS verwaltete Richtlinien wird die Standardversion von festgelegt AWS. Das folgende Diagramm verdeutlicht dieses Konzept. 

![\[Verwaltete Richtlinie mit einer Version, der Standardversion\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/policies-managed-policies-versions-default-one.diagram.png)




![\[Kundenverwaltete Richtlinie mit drei Versionen, davon Version 2 als Standardversion\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/policies-managed-policies-versions-default-multiple.diagram.png)


Sie können die Standardversion einer kundenverwalteten Richtlinie so festlegen, dass diese Version auf jede IAM-Identität (Benutzer, Gruppe oder Rolle) angewendet wird, an die die Richtlinie angefügt ist. Sie können die Standardversion nicht für eine AWS verwaltete Richtlinie oder eine Inline-Richtlinie festlegen.

**So legen Sie die Standardversion einer kundenverwalteten Richtlinie fest (Konsole)**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Wählen Sie im Navigationsbereich **Policies**.

1. Wählen Sie in der Richtlinienliste den Namen der Richtlinie aus, für die Sie die Standardversion festlegen möchten. Sie können über das Suchfeld die Liste der Gruppen filtern.

1. Wählen Sie die Registerkarte **Policy versions (Richtlinienversionen)**. Aktivieren Sie das Kontrollkästchen neben der Version, die Sie als Standardversion festlegen möchten, und wählen Sie dann **Als Standard festlegen** aus.

Informationen zum Einrichten der Standardversion einer vom Kunden verwalteten Richtlinie über die AWS Command Line Interface oder die AWS API finden Sie unter[Bearbeiten von IAM-Richtlinien (AWS CLI)](access_policies_manage-edit-cli.md). 

# IAM-Richtlinien bearbeiten
<a name="access_policies_manage-edit"></a>

Eine [Richtlinie](access_policies.md) ist eine Entität, die, angefügt an eine Identität oder Ressource, deren Berechtigungen definiert. Richtlinien werden AWS als JSON-Dokumente gespeichert und in IAM als *identitätsbasierte Richtlinien* an die Prinzipale angehängt. Sie können eine identitätsbasierte Richtlinie an einen Auftraggeber (oder eine Identität) anfügen – z. B. eine IAM-Gruppe, einen Benutzer oder eine Rolle. [Zu den identitätsbasierten Richtlinien gehören AWS verwaltete Richtlinien, vom Kunden verwaltete Richtlinien und Inline-Richtlinien.](access_policies_managed-vs-inline.md) Sie können vom Kunden verwaltete Richtlinien und Inline-Richtlinien in IAM bearbeiten. AWS verwaltete Richtlinien können nicht bearbeitet werden. Die Anzahl und Größe der IAM-Ressourcen in einem AWS Konto sind begrenzt. Weitere Informationen finden Sie unter [IAM und Kontingente AWS STS](reference_iam-quotas.md).

Im Allgemeinen ist es besser, vom Kunden verwaltete Richtlinien anstelle von Inline-Richtlinien oder AWS verwalteten Richtlinien zu verwenden. AWS Verwaltete Richtlinien bieten in der Regel umfassende administrative oder schreibgeschützte Berechtigungen. Inline-Richtlinien können nicht für andere Identitäten wiederverwendet oder außerhalb der Identität verwaltet werden, in der sie vorhanden sind. [Gewähren Sie für die höchste Sicherheit die geringsten Berechtigungen](best-practices.md#grant-least-privilege), d. h. nur die Berechtigungen, die für die Ausführung bestimmter Aufgaben erforderlich sind.

Wenn Sie IAM-Richtlinien erstellen oder bearbeiten, AWS kann es automatisch eine Richtlinienvalidierung durchführen, sodass Sie eine effektive Richtlinie mit den geringsten Rechten erstellen können. In der AWS-Managementkonsole identifiziert IAM JSON-Syntaxfehler, während IAM Access Analyzer zusätzliche Richtlinienprüfungen mit Empfehlungen bietet, mit denen Sie Ihre Richtlinien weiter verfeinern können. Weitere Informationen zur Richtlinienvalidierung finden Sie unter [IAM-Richtlinien-Validierung](access_policies_policy-validator.md). Weitere Informationen zu den Richtlinienvalidierungen von IAM Access Analyzer Richtlinien und Empfehlungen erhalten Sie unter [Richtlinienvalidierung von IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html).

Sie können die AWS API, oder verwenden AWS-Managementkonsole AWS CLI, um vom Kunden verwaltete Richtlinien und Inline-Richtlinien in IAM zu bearbeiten. Weitere Informationen zur Verwendung von CloudFormation Vorlagen zum Hinzufügen oder Aktualisieren von Richtlinien finden Sie in der [Referenz zum AWS Identity and Access Management Ressourcentyp](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) im *CloudFormation Benutzerhandbuch*.

**Topics**
+ [

# IAM-Richtlinien bearbeiten (Konsole)
](access_policies_manage-edit-console.md)
+ [

# Bearbeiten von IAM-Richtlinien (AWS CLI)
](access_policies_manage-edit-cli.md)
+ [

# IAM-Richtlinien bearbeiten (AWS API)
](access_policies_manage-edit-api.md)

# IAM-Richtlinien bearbeiten (Konsole)
<a name="access_policies_manage-edit-console"></a>

Eine [Richtlinie](access_policies.md) ist eine Entität, die, angefügt an eine Identität oder Ressource, deren Berechtigungen definiert. Sie können den verwenden AWS-Managementkonsole , um vom *Kunden verwaltete Richtlinien und *Inline-Richtlinien** in IAM zu bearbeiten. AWS verwaltete Richtlinien können nicht bearbeitet werden. Die Anzahl und Größe der IAM-Ressourcen in einem AWS Konto sind begrenzt. Weitere Informationen finden Sie unter [IAM und Kontingente AWS STS](reference_iam-quotas.md).

Weitere Informationen über die Richtlinienstruktur und -syntax finden Sie unter [Richtlinien und Berechtigungen in AWS Identity and Access Management](access_policies.md) und [Referenz zum IAM-JSON-Richtlinienelement](reference_policies_elements.md).

## Voraussetzungen
<a name="edit-customer-managed-policy-console-prerequisites"></a>

Bevor Sie die Berechtigungen für eine Richtlinie ändern, sollten Sie deren kürzliche Aktivität auf Serviceebene überprüfen. Das ist wichtig, da Sie keinem Auftraggeber (Person oder Anwendung) einen noch verwendeten Zugriff entziehen möchten. Weitere Informationen zum Anzeigen der Informationen zum letzten Zugriff finden Sie unter [Verfeinern Sie die Berechtigungen für AWS die Verwendung der zuletzt abgerufenen Informationen](access_policies_last-accessed.md).

## Bearbeiten von kundenverwalteten Richtlinien (Konsole)
<a name="edit-customer-managed-policy-console"></a>

Sie können vom Kunden verwaltete Richtlinien bearbeiten, um die in der Richtlinie definierten Berechtigungen über die AWS-Managementkonsole zu ändern. Eine kundenverwaltete Richtlinie kann bis zu fünf Versionen aufweisen. Dies ist wichtig, denn wenn Sie an einer verwalteten Richtlinie Änderungen vornehmen, sodass mehr als fünf Versionen entstehen, werden Sie von der AWS-Managementkonsole aufgefordert zu entscheiden, welche Version gelöscht werden soll. Sie können auch die Standardversion ändern oder eine Version einer Richtlinie löschen, bevor Sie sie bearbeiten, um eine solche Aufforderung zu vermeiden. Weitere Informationen zu Versionen finden Sie unter [Versioning von IAM-Richtlinien](access_policies_managed-versioning.md).

------
#### [ Console ]

**So bearbeiten Sie eine vom Kunden verwaltete Richtlinie**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Wählen Sie im Navigationsbereich **Richtlinien**.

1. Wählen Sie in der Richtlinienliste den Namen der zu bearbeitenden Richtlinie. Sie können über das Suchfeld die Liste der Gruppen filtern.

1. Wählen Sie die Registerkarte **Berechtigungen** und anschließend **Richtlinie bearbeiten** aus. 

1. Führen Sie eine der folgenden Aktionen aus:
   + Wählen Sie die Option **Visual** aus, um Ihre Richtlinie zu ändern, ohne mit der JSON-Syntax vertraut sein zu müssen. Sie können Änderungen am Service, an Aktionen, Ressourcen oder optionalen Bedingungen für jeden Berechtigungsblock in Ihrer Richtlinie vornehmen. Sie können auch eine Richtlinie importieren, um unten in der Richtlinie zusätzliche Berechtigungen hinzuzufügen. Wenn Sie alle gewünschten Änderungen vorgenommen haben, wählen Sie **Weiter** aus, um fortzufahren.
   + Wählen Sie die Option **JSON** aus, um Ihre Richtlinie zu ändern, indem Sie Text in das JSON-Textfeld eingeben oder einfügen. Sie können auch eine Richtlinie importieren, um unten in der Richtlinie zusätzliche Berechtigungen hinzuzufügen. Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der [Richtlinien-Validierung](access_policies_policy-validator.md) erzeugt wurden, und wählen Sie dann **Weiter**. 
**Anmerkung**  
Sie können jederzeit zwischen den Editoroptionen **Visual** und **JSON** wechseln. Wenn Sie jedoch Änderungen vornehmen oder im **Visual**-Editor **Next** (Weiter) wählen, strukturiert IAM Ihre Richtlinie möglicherweise um, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter [Umstrukturierung einer Richtlinie](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Überprüfen Sie auf der Seite **Review and save** (Überprüfen und Speichern) den Bereich **Permissions defined in this policy** (In dieser Richtlinie definierte Berechtigungen) und wählen Sie dann **Save changes** (Änderungen speichern) aus, um Ihre Arbeit zu speichern.

1. Wenn die verwaltete Richtlinie bereits das Maximum von fünf Versionen aufweist, wird ein Dialogfeld angezeigt, wenn Sie **Save changes** (Änderungen speichern) auswählen. Damit Ihre neue Version gespeichert wird, wird die älteste Version der Richtlinie, die nicht die Standardversion ist, entfernt und durch diese neue Version ersetzt. Optional können Sie die neue Version als Standardversion der Richtlinie einrichten.

   Wählen Sie **Änderungen speichern** aus, um Ihre neue Richtlinienversion zu speichern.

------

## Festlegen einer Standardversion einer vom Kunden verwalteten Richtlinie (Konsole)
<a name="edit-customer-managed-policy-console-set-default-policy-version"></a>

Sie können eine Standardversion einer vom Kunden verwalteten Richtlinie unter festlegen. AWS-Managementkonsole Mit dieser Richtlinie können Sie eine einheitliche Basiskonfiguration für Berechtigungen in Ihrem gesamten Unternehmen festlegen. Alle neuen Anhänge der Richtlinie verwenden diesen standardisierten Satz von Berechtigungen.

------
#### [  Console  ]

**So legen Sie die Standardversion einer kundenverwalteten Richtlinie fest (Konsole)**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Wählen Sie im Navigationsbereich **Policies**.

1. Wählen Sie in der Richtlinienliste den Namen der Richtlinie aus, für die Sie die Standardversion festlegen möchten. Sie können über das Suchfeld die Liste der Gruppen filtern.

1. Wählen Sie die Registerkarte **Policy versions (Richtlinienversionen)**. Aktivieren Sie das Kontrollkästchen neben der Version, die Sie als Standardversion festlegen möchten, und wählen Sie dann **Set as default (Als Standard festlegen)**.

------

## Löschung einer Version einer vom Kunden verwalteten Richtlinie (Konsole)
<a name="edit-customer-managed-policy-console-delete-policy-version"></a>

Möglicherweise müssen Sie eine Version einer vom Kunden verwalteten Richtlinie löschen, um veraltete oder falsche Berechtigungen zu entfernen, die nicht mehr benötigt werden oder potenzielle Sicherheitsrisiken darstellen. Indem Sie nur die erforderlichen Versionen beibehalten, können Sie sicherstellen, dass Sie das Limit von fünf verwalteten Richtlinienversionen einhalten und somit Spielraum für zukünftige Aktualisierungen und Verbesserungen schaffen. Sie können eine Version einer vom Kunden verwalteten Richtlinie mit der AWS-Managementkonsole löschen.

------
#### [ Console ]

**So löschen Sie eine Version einer vom Kunden verwalteten Richtlinie**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Wählen Sie im Navigationsbereich **Policies**.

1. Wählen Sie den Namen der vom Kunden verwalteten Richtlinie mit der zu löschenden Version. Sie können über das Suchfeld die Liste der Gruppen filtern.

1. Wählen Sie die Registerkarte **Policy versions (Richtlinienversionen)**. Aktivieren Sie das Kontrollkästchen neben der Version, die Sie löschen möchten. Wählen Sie dann **Delete**.

1. Bestätigen Sie, dass Sie die Version löschen möchten, und klicken Sie dann auf **Delete (Löschen)**.

------

## Bearbeiten von eingebundenen Richtlinien (Konsole)
<a name="edit-inline-policy-console"></a>

Möglicherweise müssen Sie eine vom Kunden verwaltete Richtlinie bearbeiten, um die gewährten Berechtigungen zu aktualisieren oder zu verfeinern, damit sie weiterhin den sich weiterentwickelnden Sicherheitsanforderungen und Zugriffskontrollanforderungen Ihres Unternehmens entsprechen. Durch die Bearbeitung können Sie das JSON-Dokument der Richtlinie anpassen, indem Sie bestimmte Aktionen, Ressourcen oder Bedingungen hinzufügen, ändern oder entfernen, um das Prinzip der geringsten Berechtigung aufrechtzuerhalten und sich an Änderungen in Ihrer Umgebung oder Ihren Prozessen anzupassen. Sie können eine Inline-Richtlinie in der AWS-Managementkonsole bearbeiten.

------
#### [ Console ]

**So bearbeiten Sie eine Inline-Richtlinie für einen Benutzer, eine Benutzergruppe oder eine Rolle**

1. Klicken Sie im Navigationsbereich auf **Groups (Gruppen)**, **Users (Benutzer)** oder **Roles (Rollen)**.

1. Wählen Sie den Namen der Gruppe, des Benutzers oder der Rolle aus, deren bzw. dessen Richtlinie Sie ändern möchten. Wählen Sie dann die Registerkarte **Permissions (Berechtigung)** und erweitern Sie die Richtlinie.

1. Klicken Sie zum Bearbeiten einer eingebundenen Richtlinie auf **Edit Policy (Richtlinie bearbeiten)**. 

1. Führen Sie eine der folgenden Aktionen aus:
   + Wählen Sie die Option **Visual** aus, um Ihre Richtlinie zu ändern, ohne mit der JSON-Syntax vertraut sein zu müssen. Sie können Änderungen am Service, an Aktionen, Ressourcen oder optionalen Bedingungen für jeden Berechtigungsblock in Ihrer Richtlinie vornehmen. Sie können auch eine Richtlinie importieren, um unten in der Richtlinie zusätzliche Berechtigungen hinzuzufügen. Wenn Sie alle gewünschten Änderungen vorgenommen haben, wählen Sie **Weiter** aus, um fortzufahren.
   + Wählen Sie die Option **JSON** aus, um Ihre Richtlinie zu ändern, indem Sie Text in das JSON-Textfeld eingeben oder einfügen. Sie können auch eine Richtlinie importieren, um unten in der Richtlinie zusätzliche Berechtigungen hinzuzufügen. Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der [Richtlinien-Validierung](access_policies_policy-validator.md) erzeugt wurden, und wählen Sie dann **Weiter**. Um die Änderungen zu speichern, ohne dass dies Auswirkungen auf die derzeit angefügten Entitäten hat, deaktivieren Sie das Kontrollkästchen **Save as default version (Als Standardversion speichern)**.
**Anmerkung**  
Sie können jederzeit zwischen den Editoroptionen **Visual** und **JSON** wechseln. Wenn Sie jedoch Änderungen vornehmen oder im **Visual**-Editor **Next** (Weiter) wählen, strukturiert IAM Ihre Richtlinie möglicherweise um, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter [Umstrukturierung einer Richtlinie](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Überprüfen Sie auf der Seite **Review** (Prüfen) die Richtlinienübersicht und wählen Sie dann **Save changes** (Änderungen speichern) aus, um Ihre Eingaben zu speichern.

------

# Bearbeiten von IAM-Richtlinien (AWS CLI)
<a name="access_policies_manage-edit-cli"></a>

Eine [Richtlinie](access_policies.md) ist eine Entität, die, angefügt an eine Identität oder Ressource, deren Berechtigungen definiert. Sie können das AWS Command Line Interface (AWS CLI) verwenden, um vom *Kunden verwaltete Richtlinien* und *Inline-Richtlinien* in IAM zu bearbeiten. AWS verwaltete Richtlinien können nicht bearbeitet werden. Die Anzahl und Größe der IAM-Ressourcen in einem AWS Konto sind begrenzt. Weitere Informationen finden Sie unter [IAM und Kontingente AWS STS](reference_iam-quotas.md).

Weitere Informationen über die Richtlinienstruktur und -syntax finden Sie unter [Richtlinien und Berechtigungen in AWS Identity and Access Management](access_policies.md) und [Referenz zum IAM-JSON-Richtlinienelement](reference_policies_elements.md).

## Voraussetzungen
<a name="edit-customer-managed-policy-cli-prerequisites"></a>

Bevor Sie die Berechtigungen für eine Richtlinie ändern, sollten Sie deren kürzliche Aktivität auf Serviceebene überprüfen. Das ist wichtig, da Sie keinem Auftraggeber (Person oder Anwendung) einen noch verwendeten Zugriff entziehen möchten. Weitere Informationen zum Anzeigen der Informationen zum letzten Zugriff finden Sie unter [Verfeinern Sie die Berechtigungen für AWS die Verwendung der zuletzt abgerufenen Informationen](access_policies_last-accessed.md).

## Bearbeiten von vom Kunden verwalteten Richtlinien (AWS CLI)
<a name="edit-customer-managed-policy-cli"></a>

Sie können eine vom Kunden verwaltete Richtlinie im AWS CLI bearbeiten.

**Anmerkung**  
Eine verwaltete -Richtlinie kann bis zu fünf Versionen aufweisen. Wenn Sie an einer kundenverwalteten Richtlinie Änderungen vornehmen müssen, sodass mehr als fünf Versionen entstehen, müssen Sie zunächst mindestens eine vorhandene Version löschen.

**So bearbeiten Sie eine kundenverwaltete Richtlinie (AWS CLI)**

1. (Optional) Um Informationen über eine Richtlinie anzuzeigen, führen Sie die folgenden Befehle aus:
   + Auflisten verwalteter Richtlinien: [list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Abrufen detaillierter Informationen zu einer verwalteten Richtlinie: [get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html)

1. (Optional) Führen Sie zum Ermitteln von Informationen über die Beziehungen zwischen Richtlinien und Identitäten die folgenden Befehle aus:
   + So listen Sie die Identitäten (IAM-Benutzer, IAM-Gruppen und IAM-Rollen) auf, denen eine verwaltete Richtlinie zugeordnet ist: 
     + [list-entities-for-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/list-entities-for-policy.html)
   + So listen Sie die verwalteten Richtlinien auf, die an eine Identität (Benutzer, Gruppe oder Rolle) angefügt sind:
     + [list-attached-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-user-policies.html)
     + [list-attached-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-group-policies.html)
     + [list-attached-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-role-policies.html)

1. Rufen Sie zum Bearbeiten einer vom Kunden verwalteten Richtlinie den folgenden Befehl auf:
   + [create-policy-version](https://docs.aws.amazon.com/cli/latest/reference/iam/create-policy-version.html)

1. Führen Sie zum Überprüfen einer kundenverwalteten Richtlinie den folgenden IAM Access Analyzer-Befehl auf:
   + [validieren-policy](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/validate-policy.html)

## Festlegen der Standardversion einer vom Kunden verwalteten Richtlinie (AWS CLI)
<a name="edit-customer-managed-policy-cli-set-default-policy-version"></a>

Sie können eine Standardversion einer vom Kunden verwalteten Richtlinie unter festlegen AWS CLI.

**So legen Sie die Standardversion einer vom Kunden verwalteten Richtlinie fest (AWS CLI)**

1. (Optional) Rufen Sie zum Auflisten verwalteter Richtlinien den folgenden Befehl auf:
   + [list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)

1. Rufen Sie zum Festlegen der Standardversion einer kundenverwalteten Richtlinie den folgenden Befehl auf:
   + [set-default-policy-version](https://docs.aws.amazon.com/cli/latest/reference/iam/set-default-policy-version.html)

## Löschen einer Version einer vom Kunden verwalteten Richtlinie (AWS CLI)
<a name="edit-customer-managed-policy-cli-delete-policy-version"></a>

Sie können eine Version einer vom Kunden verwalteten Richtlinie mit der AWS CLI löschen.

**So löschen Sie eine Version einer kundenverwalteten Richtlinie (AWS CLI)**

1. (Optional) Rufen Sie zum Auflisten verwalteter Richtlinien den folgenden Befehl auf:
   + [list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)

1. Führen Sie zum Löschen einer kundenverwalteten Richtlinie den folgenden Befehl auf:
   + [delete-policy-version](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-policy-version.html)

## Bearbeiten von Inline-Richtlinien (AWS CLI)
<a name="edit-inline-policy-cli"></a>

Sie können eine Inline-Richtlinie in der AWS CLI bearbeiten.

**So bearbeiten Sie eine Inline-Richtlinie (AWS CLI)**

1. (Optional) Um Informationen über eine Richtlinie anzuzeigen, führen Sie die folgenden Befehle aus:
   + So listen Sie Inline-Richtlinien auf, die einer Identität (einem Benutzer, einer Benutzergruppe oder einer Rolle) zugeordnet sind: 
     + [list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)
     + [list-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-role-policies.html)
     + [list-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-group-policies.html)
   + So rufen Sie ausführliche Informationen zu einer Inline-Richtlinie ab: 
     + [get-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user-policy.html)
     + [get-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role-policy.html)
     + [get-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group-policy.html)

1. Um eine Inline-Richtlinie zu bearbeiten, führen Sie den folgenden Befehl aus:
   + [put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)
   + [put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html)
   + [put-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-group-policy.html)

1. (Optional) Um eine Inline-Richtlinie zu validieren, führen Sie den folgenden Befehl in IAM Access Analyzer aus:
   + [validieren-policy](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/validate-policy.html)

# IAM-Richtlinien bearbeiten (AWS API)
<a name="access_policies_manage-edit-api"></a>

Eine [Richtlinie](access_policies.md) ist eine Entität, die, angefügt an eine Identität oder Ressource, deren Berechtigungen definiert. Sie können die AWS API verwenden, um vom *Kunden verwaltete Richtlinien* und *Inline-Richtlinien* in IAM zu bearbeiten. AWS verwaltete Richtlinien können nicht bearbeitet werden. Die Anzahl und Größe der IAM-Ressourcen in einem AWS Konto sind begrenzt. Weitere Informationen finden Sie unter [IAM und Kontingente AWS STS](reference_iam-quotas.md).

Weitere Informationen über die Richtlinienstruktur und -syntax finden Sie unter [Richtlinien und Berechtigungen in AWS Identity and Access Management](access_policies.md) und [Referenz zum IAM-JSON-Richtlinienelement](reference_policies_elements.md).

## Voraussetzungen
<a name="edit-customer-managed-policy-api-prerequisites"></a>

Bevor Sie die Berechtigungen für eine Richtlinie ändern, sollten Sie deren kürzliche Aktivität auf Serviceebene überprüfen. Das ist wichtig, da Sie keinem Auftraggeber (Person oder Anwendung) einen noch verwendeten Zugriff entziehen möchten. Weitere Informationen zum Anzeigen der Informationen zum letzten Zugriff finden Sie unter [Verfeinern Sie die Berechtigungen für AWS die Verwendung der zuletzt abgerufenen Informationen](access_policies_last-accessed.md).

## Vom Kunden verwaltete Richtlinien (AWS API) bearbeiten
<a name="edit-customer-managed-policy-api"></a>

Sie können eine vom Kunden verwaltete Richtlinie mithilfe der AWS API bearbeiten.

**Anmerkung**  
Eine verwaltete -Richtlinie kann bis zu fünf Versionen aufweisen. Wenn Sie an einer kundenverwalteten Richtlinie Änderungen vornehmen müssen, sodass mehr als fünf Versionen entstehen, müssen Sie zunächst mindestens eine vorhandene Version löschen.

**Um eine vom Kunden verwaltete Richtlinie (AWS API) zu bearbeiten**

1. (Optional) Rufen Sie zum Anzeigen von Informationen über eine Richtlinie die folgenden Operationen auf:
   + Um verwaltete Richtlinien aufzulisten: [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
   + So rufen Sie detaillierte Informationen zu einer verwalteten Richtlinie ab: [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. (Optional) Rufen Sie zum Ermitteln von Informationen über die Beziehungen zwischen Richtlinien und Identitäten die folgenden Operationen auf:
   + So listen Sie die Identitäten (IAM-Benutzer, IAM-Gruppen und IAM-Rollen) auf, denen eine verwaltete Richtlinie zugeordnet ist: 
     + [ListEntitiesForPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListEntitiesForPolicy.html)
   + So listen Sie die verwalteten Richtlinien auf, die an eine Identität (Benutzer, Gruppe oder Rolle) angefügt sind:
     + [ListAttachedUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html)
     + [ListAttachedGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedGroupPolicies.html)
     + [ListAttachedRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedRolePolicies.html)

1. Rufen Sie zum Bearbeiten einer vom Kunden verwalteten Richtlinie die folgende Operation auf:
   + [CreatePolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicyVersion.html)

1. Rufen Sie zum Überprüfen einer kundenverwalteten Richtlinie die folgende IAM Access Analyzer-Operation auf:
   + [ValidatePolicy](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ValidatePolicy.html)

## Einstellung der Standardversion einer vom Kunden verwalteten Richtlinie (AWS API)
<a name="edit-customer-managed-policy-api-set-default-policy-version"></a>

Sie können eine Standardversion einer vom Kunden verwalteten Richtlinie über die AWS API festlegen.

**Um die Standardversion einer vom Kunden verwalteten Richtlinie (AWS API) festzulegen**

1. (Optional) Rufen Sie zum Auflisten verwalteter Richtlinien die folgende Operation auf:
   + [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)

1. Rufen Sie zum Festlegen der Standardversion einer kundenverwalteten Richtlinie die folgende Operation auf:
   + [SetDefaultPolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SetDefaultPolicyVersion.html)

## Löschen einer Version einer vom Kunden verwalteten Richtlinie (AWS API)
<a name="edit-customer-managed-policy-api-delete-policy-version"></a>

Sie können eine Version einer vom Kunden verwalteten Richtlinie aus der AWS API löschen.

**Um eine Version einer vom Kunden verwalteten Richtlinie (AWS API) zu löschen**

1. (Optional) Rufen Sie zum Auflisten verwalteter Richtlinien die folgende Operation auf:
   + [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)

1. Rufen Sie zum Löschen einer kundenverwalteten Richtlinie die folgende Operation auf:
   + [DeletePolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeletePolicyVersion.html)

## Bearbeiten von Inline-Richtlinien (AWS API)
<a name="edit-inline-policy-api"></a>

Sie können eine Inline-Richtlinie über die AWS API bearbeiten.

**Um eine Inline-Richtlinie (AWS API) zu bearbeiten**

1. (Optional) Um Informationen zu einer Inline-Richtlinie anzuzeigen, führen Sie die folgenden Operationen aus:
   + So listen Sie Inline-Richtlinien auf, die einer Identität (einem Benutzer, einer Benutzergruppe oder einer Rolle) zugeordnet sind: 
     + [ListUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html)
     + [ListRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListRolePolicies.html)
     + [ListGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupPolicies.html)
   + So rufen Sie ausführliche Informationen zu einer Inline-Richtlinie ab: 
     + [GetUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUserPolicy.html)
     + [GetRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRolePolicy.html)
     + [GetGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroupPolicy.html)

1. Um eine Inline-Richtlinie zu bearbeiten, führen Sie die folgenden Operationen aus:
   + [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)
   + [PutRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePolicy.html)
   + [PutGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutGroupPolicy.html)

1. (Optional) Um eine Inline-Richtlinie zu validieren, führen Sie die folgende Operation in IAM Access Analyzer aus:
   + [ValidatePolicy](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ValidatePolicy.html)

# IAM-Richtlinien löschen
<a name="access_policies_manage-delete"></a>

Sie können IAM-Richtlinien mithilfe der AWS-Managementkonsole, der AWS Command Line Interface (AWS CLI) oder der AWS API löschen.

**Anmerkung**  
Das Löschen von IAM-Richtlinien ist dauerhaft. Nachdem die Richtlinie gelöscht wurde, kann sie nicht wiederhergestellt werden.

Weitere Informationen zur Struktur und Syntax der IAM-Richtlinie finden Sie unter [Richtlinien und Berechtigungen in AWS Identity and Access Management](access_policies.md) und [Referenz zum IAM-JSON-Richtlinienelement](reference_policies_elements.md).

Weitere Informationen zum Unterschied zwischen verwalteten und eingebundenen Richtlinien finden Sie unter [Verwaltete Richtlinien und eingebundene Richtlinien](access_policies_managed-vs-inline.md). 

Die Anzahl und Größe der IAM-Ressourcen in einem AWS Konto sind begrenzt. Weitere Informationen finden Sie unter [IAM und Kontingente AWS STS](reference_iam-quotas.md).

**Topics**
+ [

# IAM-Richtlinien löschen (Konsole)
](access_policies_manage-delete-console.md)
+ [

# IAM-Richtlinien löschen (AWS CLI)
](access_policies_manage-delete-cli.md)
+ [

# IAM-Richtlinien löschen (AWS API)
](access_policies_manage-delete-api.md)

# IAM-Richtlinien löschen (Konsole)
<a name="access_policies_manage-delete-console"></a>

Sie können die verwenden AWS-Managementkonsole , um vom *Kunden verwaltete Richtlinien* und *Inline-Richtlinien* in IAM zu löschen. Die Anzahl und Größe der IAM-Ressourcen in einem AWS Konto sind begrenzt. Weitere Informationen finden Sie unter [IAM und Kontingente AWS STS](reference_iam-quotas.md).

**Anmerkung**  
Das Löschen von IAM-Richtlinien ist dauerhaft. Nachdem die Richtlinie gelöscht wurde, kann sie nicht wiederhergestellt werden.

Weitere Informationen zur Struktur und Syntax der IAM-Richtlinie finden Sie unter [Richtlinien und Berechtigungen in AWS Identity and Access Management](access_policies.md) und [Referenz zum IAM-JSON-Richtlinienelement](reference_policies_elements.md).

Weitere Informationen zum Unterschied zwischen verwalteten und eingebundenen Richtlinien finden Sie unter [Verwaltete Richtlinien und eingebundene Richtlinien](access_policies_managed-vs-inline.md). 

## Voraussetzungen
<a name="delete-policy-prerequisites-console"></a>

Bevor Sie eine Richtlinie löschen, sollten Sie deren kürzliche Aktivität auf Serviceebene überprüfen. Das ist wichtig, da Sie keinem Auftraggeber (Person oder Anwendung) einen noch verwendeten Zugriff entziehen möchten. Weitere Informationen zum Anzeigen der Informationen zum letzten Zugriff finden Sie unter [Verfeinern Sie die Berechtigungen für AWS die Verwendung der zuletzt abgerufenen Informationen](access_policies_last-accessed.md).

## Erstellen von IAM-Richtlinien (Konsole)
<a name="delete-customer-managed-policy-console"></a>

Möglicherweise müssen Sie eine vom Kunden verwaltete Richtlinie löschen, wenn sie veraltet ist oder nicht mehr den Sicherheitsanforderungen und Zugriffskontrollanforderungen Ihres Unternehmens entspricht. Durch das Löschen unnötiger Richtlinien reduzieren Sie potenzielle Sicherheitsrisiken, die mit veralteten oder ungenutzten Richtlinien verbunden sind. Sie können eine vom Kunden verwaltete Richtlinie löschen, um sie aus Ihrem AWS-Konto zu entfernen. AWS Verwaltete Richtlinien können nicht gelöscht werden.

------
#### [ Console ]

**So löschen Sie eine vom Kunden verwaltete Richtlinie**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Wählen Sie im Navigationsbereich **Richtlinien**.

1. Aktivieren Sie die Optionsschaltfläche neben der vom Kunden verwalteten Richtlinie, die Sie löschen möchten. Sie können über das Suchfeld die Liste der Richtlinien filtern.

1. Wählen Sie **Aktionen** und anschließend **Löschen**.

1. Folgen Sie den Anweisungen, um zu bestätigen, dass Sie die Richtlinie löschen möchten, und wählen Sie **Delete** (Löschen) aus.

------

## Löschen von Inline-Richtlinien (Konsole)
<a name="delete-inline-policy-console"></a>

Möglicherweise müssen Sie eine Inline-Richtlinie löschen, wenn die spezifischen Berechtigungen, die sie gewährt, für den IAM-Benutzer, die Gruppe oder die Rolle, an die sie direkt gebunden ist, nicht mehr erforderlich sind. Das Löschen unnötiger Inline-Richtlinien trägt dazu bei, das Risiko unbeabsichtigter Zugriffe zu verringern, insbesondere da Inline-Richtlinien nicht wie verwaltete Richtlinien für mehrere Identitäten wiederverwendet oder gemeinsam genutzt werden können. Sie können eine Inline-Richtlinie löschen, um sie aus Ihrer AWS-Konto zu entfernen. Die von AWS verwalteten Richtlinien können nicht gelöscht werden.

------
#### [ Console ]

**So löschen Sie eine Inline-Richtlinie für einen IAM-Benutzer, eine Gruppe oder eine Rolle**

1. Klicken Sie im Navigationsbereich auf **Groups (Gruppen)**, **Users (Benutzer)** oder **Roles (Rollen)**.

1. Wählen Sie den Namen der Gruppe, der Rolle oder des Benutzers aus, deren bzw. dessen Richtlinie Sie löschen möchten. Klicken Sie dann auf die Registerkarte **Permissions (Berechtigungen)**.

1. Aktivieren Sie die Kontrollkästchen neben den Richtlinien, die Sie entfernen möchten, und wählen Sie **Entfernen** aus. Bestätigen Sie anschließend im Dialogfeld das Entfernen und Löschen der Richtlinie.
   + Um eine Inline-Richtlinie unter **Users** (Benutzer) oder **Roles** (Rollen) zu löschen, wählen Sie **Remove** (Entfernen) aus, um den Löschvorgang zu bestätigen.
   + Wenn Sie eine einzelne Inline-Richtlinie in **Benutzergruppen** löschen, geben Sie den Namen der Richtlinie ein und wählen Sie **Löschen**. Wenn Sie mehrere Inline-Richtlinien in **Benutzergruppen** löschen, geben Sie die Anzahl der zu löschenden Richtlinien gefolgt von **inline policies** ein und wählen **Löschen**. Wenn Sie beispielsweise drei Inline-Richtlinien löschen wollen, geben Sie **3 inline policies** ein.

------

# IAM-Richtlinien löschen (AWS CLI)
<a name="access_policies_manage-delete-cli"></a>

Sie können das AWS Command Line Interface (AWS CLI) verwenden, um vom *Kunden verwaltete Richtlinien* und *Inline-Richtlinien* in IAM zu löschen. Die Anzahl und Größe der IAM-Ressourcen in einem AWS Konto sind begrenzt. Weitere Informationen finden Sie unter [IAM und Kontingente AWS STS](reference_iam-quotas.md).

**Anmerkung**  
Das Löschen von IAM-Richtlinien ist dauerhaft. Nachdem die Richtlinie gelöscht wurde, kann sie nicht wiederhergestellt werden.

Weitere Informationen zur Struktur und Syntax der IAM-Richtlinie finden Sie unter [Richtlinien und Berechtigungen in AWS Identity and Access Management](access_policies.md) und [Referenz zum IAM-JSON-Richtlinienelement](reference_policies_elements.md).

Weitere Informationen zum Unterschied zwischen verwalteten und eingebundenen Richtlinien finden Sie unter [Verwaltete Richtlinien und eingebundene Richtlinien](access_policies_managed-vs-inline.md). 

## Voraussetzungen
<a name="delete-policy-prerequisites-cli"></a>

Bevor Sie eine Richtlinie löschen, sollten Sie deren kürzliche Aktivität auf Serviceebene überprüfen. Das ist wichtig, da Sie keinem Auftraggeber (Person oder Anwendung) einen noch verwendeten Zugriff entziehen möchten. Weitere Informationen zum Anzeigen der Informationen zum letzten Zugriff finden Sie unter [Verfeinern Sie die Berechtigungen für AWS die Verwendung der zuletzt abgerufenen Informationen](access_policies_last-accessed.md).

## Löschen von vom Kunden verwalteten Richtlinien (AWS CLI)
<a name="delete-customer-managed-policy-cli"></a>

Sie können eine kundenverwaltete Richtlinie mit der AWS Command Line Interface löschen.

**So löschen Sie eine vom Kunden verwaltete Richtlinie (AWS CLI)**

1. (Optional) Um Informationen über eine Richtlinie anzuzeigen, führen Sie die folgenden Befehle aus:
   + Auflisten verwalteter Richtlinien: [list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Abrufen detaillierter Informationen zu einer verwalteten Richtlinie: [get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html)

1. (Optional) Führen Sie zum Ermitteln von Informationen über die Beziehungen zwischen Richtlinien und Identitäten die folgenden Befehle aus:
   + Führen Sie den folgenden Befehl aus, um die Identitäten (IAM-Benutzer, IAM-Gruppen und IAM-Rollen) aufzulisten, denen eine verwaltete Richtlinie zugeordnet ist: 
     + [list-entities-for-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/list-entities-for-policy.html)
   + Führen Sie zum Auflisten der an eine Identität (Benutzer, Gruppe oder Rolle) angefügten verwalteten Richtlinien einen der folgenden Befehle aus:
     + [list-attached-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-user-policies.html)
     + [list-attached-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-group-policies.html)
     + [list-attached-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-role-policies.html)

1. Führen Sie zum Löschen einer kundenverwalteten Richtlinie den folgenden Befehl auf:
   + [delete-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-policy.html)

## Löschen von Inline-Richtlinien (AWS CLI)
<a name="delete-inline-policy-cli"></a>

Sie können eine Inline-Richtlinie in der AWS CLI löschen.

**So löschen Sie eine Inline-Richtlinie (AWS CLI)**

1. (Optional) Verwenden Sie zum Auflisten aller Inline-Richtlinien, die an eine Identität (Benutzer, Gruppe, Rolle) angefügt wurden, einen der folgenden Befehle:
   + [war ich list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)
   + [war ich list-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-group-policies.html)
   + [war ich list-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-role-policies.html)

1. (Optional) Verwenden Sie zum Abrufen eines in eine Identität (Benutzer, Gruppe oder Rolle) eingebetteten Inline-Richtliniendokuments einen der folgenden Befehle:
   + [war ich get-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user-policy.html)
   + [war ich get-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group-policy.html)
   + [war ich get-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role-policy.html)

1. Verwenden Sie zum Löschen einer Inline-Richtlinie aus einer Identität (Benutzer, Gruppe oder Rolle, die keine *[serviceverknüpfte Rolle](id_roles.md#iam-term-service-linked-role)* ist), einen der folgenden Befehle:
   + [war ich delete-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user-policy.html)
   + [war ich delete-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-group-policy.html)
   + [war ich delete-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)

# IAM-Richtlinien löschen (AWS API)
<a name="access_policies_manage-delete-api"></a>

Sie können die AWS API verwenden, um vom *Kunden verwaltete Richtlinien* und *Inline-Richtlinien* in IAM zu löschen. Die Anzahl und Größe der IAM-Ressourcen in einem AWS Konto sind begrenzt. Weitere Informationen finden Sie unter [IAM und Kontingente AWS STS](reference_iam-quotas.md).

**Anmerkung**  
Das Löschen von IAM-Richtlinien ist dauerhaft. Nachdem die Richtlinie gelöscht wurde, kann sie nicht wiederhergestellt werden.

Weitere Informationen zur Struktur und Syntax der IAM-Richtlinie finden Sie unter [Richtlinien und Berechtigungen in AWS Identity and Access Management](access_policies.md) und [Referenz zum IAM-JSON-Richtlinienelement](reference_policies_elements.md).

Weitere Informationen zum Unterschied zwischen verwalteten und eingebundenen Richtlinien finden Sie unter [Verwaltete Richtlinien und eingebundene Richtlinien](access_policies_managed-vs-inline.md). 

## Voraussetzungen
<a name="delete-policy-prerequisites-api"></a>

Bevor Sie eine Richtlinie löschen, sollten Sie deren kürzliche Aktivität auf Serviceebene überprüfen. Das ist wichtig, da Sie keinem Auftraggeber (Person oder Anwendung) einen noch verwendeten Zugriff entziehen möchten. Weitere Informationen zum Anzeigen der Informationen zum letzten Zugriff finden Sie unter [Verfeinern Sie die Berechtigungen für AWS die Verwendung der zuletzt abgerufenen Informationen](access_policies_last-accessed.md).

## Löschen von vom Kunden verwalteten Richtlinien (AWS API)
<a name="delete-customer-managed-policy-api"></a>

Sie können eine vom Kunden verwaltete Richtlinie mithilfe der AWS API löschen.

**Um eine vom Kunden verwaltete Richtlinie (AWS API) zu löschen**

1. (Optional) Rufen Sie zum Anzeigen von Informationen über eine Richtlinie die folgenden Operationen auf:
   + Um verwaltete Richtlinien aufzulisten: [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
   + So rufen Sie detaillierte Informationen zu einer verwalteten Richtlinie ab: [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. (Optional) Rufen Sie zum Ermitteln von Informationen über die Beziehungen zwischen Richtlinien und Identitäten die folgenden Operationen auf:
   + Rufen Sie den folgenden Vorgang auf, um die Identitäten (IAM-Benutzer, IAM-Gruppen und IAM-Rollen) aufzulisten, denen eine verwaltete Richtlinie zugeordnet ist: 
     + [ListEntitiesForPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListEntitiesForPolicy.html)
   + Rufen Sie zum Auflisten der an eine Identität (Benutzer, Gruppe oder Rolle) angefügten verwalteten Richtlinien eine der folgenden Operationen auf:
     + [ListAttachedUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html)
     + [ListAttachedGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedGroupPolicies.html)
     + [ListAttachedRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedRolePolicies.html)

1. Rufen Sie zum Löschen einer kundenverwalteten Richtlinie die folgende Operation auf:
   + [DeletePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeletePolicy.html)

## Löschen von Inline-Richtlinien (AWS API)
<a name="delete-inline-policy-api"></a>

Sie können eine Inline-Richtlinie mithilfe der AWS API löschen.

**Um eine Inline-Richtlinie (AWS API) zu löschen**

1. (Optional) Rufen Sie zum Auflisten aller Inline-Richtlinien, die an eine Identität (Benutzer, Gruppe, Rolle) angefügt sind, eine der folgenden Operationen auf:
   + [ListUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html)
   + [ListGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupPolicies.html)
   + [ListRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListRolePolicies.html)

1. (Optional) Rufen Sie zum Abrufen eines in eine Identität (Benutzer, Gruppe oder Rolle) eingebetteten Inline-Richtliniendokuments eine der folgenden Operationen auf:
   + [GetUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUserPolicy.html)
   + [GetGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroupPolicy.html)
   + [GetRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRolePolicy.html)

1. Rufen Sie zum Löschen einer Inline-Richtlinie aus einer Identität (Benutzer, Gruppe oder Rolle, die keine *[serviceverknüpfte Rolle](id_roles.md#iam-term-service-linked-role)* ist), eine der folgenden Operationen auf:
   + [DeleteUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html)
   + [DeleteGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteGroupPolicy.html)
   + [DeleteRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteRolePolicy.html)

# Verfeinern Sie die Berechtigungen für AWS die Verwendung der zuletzt abgerufenen Informationen
<a name="access_policies_last-accessed"></a>

Als Administrator können Sie Berechtigungen für IAM-Ressourcen (Rollen, Benutzer, Benutzergruppen oder Richtlinien) gewähren, die über ihre Anforderungen hinausgehen. IAM bietet Informationen zum jeweils letzten Zugriff auf diese Informationen, anhand derer Sie nicht verwendete Berechtigungen identifizieren und diese dann entfernen können. Sie können die Informationen zum letzten Zugriff verwenden, um Ihre Richtlinien zu verfeinern und den Zugriff nur auf Services und Aktionen zu gewähren, die Ihre IAM-Identitäten und -Richtlinien verwenden. Auf diese Weise können Sie besser die bewährten Methoden der [geringsten Rechte](best-practices.md#grant-least-privilege) befolgen. Sie können Informationen zum letzten Zugriff für Identitäten oder Richtlinien anzeigen, die in IAM oder AWS Organizations vorhanden sind.

Sie können die zuletzt abgerufenen Informationen mit Analysatoren für ungenutzten Zugriff kontinuierlich überwachen. Weitere Informationen finden Sie unter [Ergebnisse für externen und ungenutzten Zugriff](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings.html).

**Topics**
+ [

## Informationstypen zum letzten Zugriff für IAM
](#access_policies_last-accessed-data-types)
+ [

## Informationen, auf die zuletzt zugegriffen wurde für AWS Organizations
](#access_policies_last-accessed-orgs)
+ [

## Wissenswertes über die Informationen zum letzten Zugriff
](#access_policies_last-accessed-know)
+ [

## Erforderliche Berechtigungen
](#access_policies_last-accessed-permissions)
+ [

## Beheben Sie Fehler bei Aktivitäten für IAM und Entitäten AWS Organizations
](#access_policies_last-accessed-troubleshooting)
+ [

## Wo werden die AWS zuletzt aufgerufenen Informationen aufgezeichnet
](#last-accessed_tracking-period)
+ [

# Anzeigen der zuletzt aufgerufenen Informationen für IAM
](access_policies_last-accessed-view-data.md)
+ [

# Informationen anzeigen, auf die zuletzt zugegriffen wurde für AWS Organizations
](access_policies_last-accessed-view-data-orgs.md)
+ [

# Beispielszenarien für die Verwendung von Informationen zum letzten Zugriff
](access_policies_last-accessed-example-scenarios.md)
+ [

# IAM-Aktion, zuletzt aufgerufene Informationsservices und Aktionen
](access_policies_last-accessed-action-last-accessed.md)

## Informationstypen zum letzten Zugriff für IAM
<a name="access_policies_last-accessed-data-types"></a>

Sie können zwei Arten von Informationen über die letzten Zugriffe auf IAM-Identitäten anzeigen: Informationen über genehmigte AWS -Services und Informationen über genehmigte Aktionen. Zu den Informationen gehören Datum und Uhrzeit des Versuchs, auf eine AWS API zuzugreifen. Bei Aktionen werden die zuletzt aufgerufenen Informationen über Service-Verwaltungsaktionen gemeldet. Managementaktionen umfassen Erstellungs-, Lösch- und Änderungsaktionen. Weitere Informationen zum Anzeigen der Informationen zum letzten Zugriff für IAM finden Sie unter [Anzeigen der zuletzt aufgerufenen Informationen für IAM](access_policies_last-accessed-view-data.md).

Beispielszenarien zur Verwendung der Informationen zum letzten Zugriff für Entscheidungen zu den Berechtigungen für Ihre IAM-Identitäten finden Sie unter [Beispielszenarien für die Verwendung von Informationen zum letzten Zugriff](access_policies_last-accessed-example-scenarios.md).

Weitere Informationen dazu, wie die Informationen für Managementaktionen bereitgestellt werden, finden Sie unter [Wissenswertes über die Informationen zum letzten Zugriff](#access_policies_last-accessed-know).

## Informationen, auf die zuletzt zugegriffen wurde für AWS Organizations
<a name="access_policies_last-accessed-orgs"></a>

Wenn Sie sich mit den Anmeldeinformationen für das Verwaltungskonto anmelden, können Sie Informationen zum letzten Zugriff auf den Dienst für eine AWS Organizations Entität oder Richtlinie in Ihrer Organisation anzeigen. AWS Organizations Zu den Entitäten gehören der Organisationsstamm, die Organisationseinheiten (OUs) oder die Konten. Zu den Informationen für, auf die zuletzt zugegriffen wurde, AWS Organizations gehören Informationen über Dienste, die gemäß einer Service Control Policy (SCP) zulässig sind. Die Informationen geben an, welche Prinzipale (Root-Benutzer, IAM-Benutzer oder Rolle) in einer Organisation oder einem Konto zuletzt versucht haben, auf den Service zuzugreifen und wann. Weitere Informationen zum Bericht und zum Anzeigen der zuletzt aufgerufenen Informationen finden Sie AWS Organizations unter[Informationen anzeigen, auf die zuletzt zugegriffen wurde für AWS Organizations](access_policies_last-accessed-view-data-orgs.md).

Beispielszenarien für die Verwendung von Informationen, auf die zuletzt zugegriffen wurde, um Entscheidungen über die Berechtigungen zu treffen, die Sie Ihren AWS Organizations Entitäten gewähren, finden Sie unter[Beispielszenarien für die Verwendung von Informationen zum letzten Zugriff](access_policies_last-accessed-example-scenarios.md).

## Wissenswertes über die Informationen zum letzten Zugriff
<a name="access_policies_last-accessed-know"></a>

Bevor Sie Informationen aus einem Bericht, auf die zuletzt zugegriffen wurde, verwenden, um die Berechtigungen für eine IAM-Identität oder AWS Organizations -Entität zu ändern, sollten Sie sich die folgenden Informationen ansehen.
+ **Nachverfolgungszeitraum** – Die kürzlich erfolgten Aktivitäten werden innerhalb von vier Stunden in der IAM-Konsole angezeigt. Der Nachverfolgungszeitraum für Service-Informationen beträgt mindestens 400 Tage, je nachdem, wann der Service mit der Nachverfolgung von Aktionsinformationen begonnen hat. Der Nachverfolgungszeitraum für Amazon S3 Aktionsinformationen begann am 12. April 2020. Der Nachverfolgungszeitraum für Amazon EC2, IAM- und Lambda-Aktionen begann am 7. April 2021. Der Nachverfolgungszeitraum für alle anderen Services begann am 23. Mai 2023. Eine Liste der Services, für die Informationen über die zuletzt aufgerufene Aktion verfügbar sind, finden Sie unter [IAM-Aktion, zuletzt aufgerufene Informationsservices und Aktionen](access_policies_last-accessed-action-last-accessed.md). Weitere Informationen darüber, in welchen Regionen die Aktion zuletzt aufgerufen wurde, finden Sie unter [Wo werden die AWS zuletzt aufgerufenen Informationen aufgezeichnet](#last-accessed_tracking-period).
+ **Gemeldete Versuche** — Die Daten, auf die der Dienst zuletzt zugegriffen hat, umfassen alle Versuche, auf eine AWS API zuzugreifen, nicht nur die erfolgreichen Versuche. Dazu gehören alle Versuche, die, die AWS-Managementkonsole AWS API über eines der Befehlszeilentools oder eines der SDKs Befehlszeilentools verwendet wurden. Ein unerwarteter Eintrag als letztes Service-Zugriffsdatum bedeutet nicht, dass Ihr Konto beschädigt oder infiziert worden ist, da der Zugriff möglicherweise verweigert wurde. Informationen zu allen API-Aufrufen und dazu, ob der Zugriff erfolgreich war oder verweigert wurde, finden Sie in Ihren CloudTrail Protokollen als maßgebliche Quelle.
+ **PassRole**— Die `iam:PassRole` Aktion wird nicht nachverfolgt und ist nicht in den Informationen zum letzten Zugriff auf die IAM-Aktion enthalten.
+ **Informationen zur Aktion, auf die zuletzt zugegriffen wurde** – Informationen zur Aktion, auf die zuletzt zugegriffen wurde, sind für Service-Management-Aktionen verfügbar, auf die IAM-Identitäten zugreifen. Hier finden Sie die [Liste der Services und deren Aktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed-action-last-accessed.html#access_policies_last-accessed-action-last-accessed-supported-actions), für die zuletzt auf Berichtsinformationen zugegriffen wurde.
**Anmerkung**  
Informationen zur Aktion, auf die zuletzt zugegriffen wurde, sind für Datenebenenereignisse nicht verfügbar.
+ **Verwaltungsereignisse** — IAM stellt Aktionsinformationen für Servicemanagement-Ereignisse bereit, die von protokolliert werden. CloudTrail Manchmal werden CloudTrail-Managementereignisse auch als Operationen oder Ereignisse auf Steuerungsebene bezeichnet. Verwaltungsereignisse bieten Einblick in Verwaltungsvorgänge, die auf Ressourcen in Ihrem AWS-Konto System ausgeführt werden. Weitere Informationen zu Verwaltungsereignissen finden Sie unter [Protokollieren von Verwaltungsereignissen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html) im *AWS CloudTrail Benutzerhandbuch*. CloudTrail
+ **Berichtsbesitzer** – Nur der Auftraggeber, der einen Bericht generiert, kann die Berichtsdetails anzeigen. Das bedeutet, dass Sie beim Anzeigen der Informationen in der möglicherweise warten müssen AWS-Managementkonsole, bis sie generiert und geladen sind. Wenn Sie die AWS API AWS CLI oder verwenden, um Berichtsdetails abzurufen, müssen Ihre Anmeldeinformationen mit den Anmeldeinformationen des Prinzipals übereinstimmen, der den Bericht generiert hat. Wenn Sie temporäre Anmeldeinformationen für eine Rolle oder einen AWS STS Verbundbenutzerprinzipal verwenden, müssen Sie den Bericht in derselben Sitzung generieren und abrufen. Weitere Hinweise zu Sitzungs-Auftraggeber für angenommene Rollen finden Sie unter [AWS JSON-Richtlinienelemente: Principal](reference_policies_elements_principal.md).
+ **IAM-Ressourcen** – Die zuletzt aufgerufenen Informationen für IAM gehören IAM-Ressourcen (Rollen, Benutzer, IAM-Gruppen und Richtlinien) in Ihrem Konto. Zu den Informationen, auf die zuletzt zugegriffen wurde, AWS Organizations gehören Principals (IAM-Benutzer, IAM-Rollen oder die Root-Benutzer des AWS-Kontos) in der angegebenen Entität. AWS Organizations Die zuletzt zugegriffenen Informationen beinhalten keine nicht authentifizierten Versuche.
+ **IAM-Richtlinientypen** – Die zuletzt aufgerufenen Informationen für IAM umfassen Services, die durch die Richtlinien einer IAM-Identität zugelassen sind. Diese Richtlinien sind einer Rolle oder einem Benutzer direkt oder über eine Gruppe angefügt. Zugriff, der über andere Richtlinientypen gewährt wird, ist in diesem Bericht nicht enthalten. Zu den ausgeschlossenen Richtlinientypen gehören ressourcenbasierte Richtlinien, Zugriffskontrolllisten AWS Organizations SCPs, IAM-Berechtigungsgrenzen und Sitzungsrichtlinien. Berechtigungen, die von serviceverknüpften Rollen bereitgestellt werden, werden von dem Service definiert, mit dem sie verknüpft sind, und können in IAM nicht geändert werden. Weitere Informationen zu serviceverknüpften Rollen finden Sie unter [Erstellen einer serviceverknüpften Rolle](id_roles_create-service-linked-role.md). Informationen dazu, wie die verschiedenen Richtlinientypen ausgewertet werden, um den Zugriff zuzulassen oder zu verweigern, finden Sie unter [Auswertungslogik für Richtlinien](reference_policies_evaluation-logic.md).
+ **AWS Organizations Richtlinientypen** — Die Informationen für AWS Organizations umfassen nur Dienste, die gemäß den von einer AWS Organizations Entität geerbten Dienststeuerungsrichtlinien () zulässig sind. SCPs SCPs sind Richtlinien, die einem Root, einer Organisationseinheit oder einem Konto zugeordnet sind. Zugriff, der über andere Richtlinientypen gewährt wird, ist in diesem Bericht nicht enthalten. Ausgeschlossen sind die Richtlinientypen identitätsbasierte Richtlinien, ressourcenbasierte Richtlinien Zugriffskontrolllisten, IAM-Berechtigungsgrenzen und Sitzungsrichtlinien. Informationen dazu, wie die verschiedenen Richtlinientypen ausgewertet werden, um Zugriff zu erlauben oder zu verweigern, finden Sie unter [Auswertungslogik für Richtlinien](reference_policies_evaluation-logic.md).
+ **Angabe einer Richtlinien-ID** — Wenn Sie die AWS API AWS CLI oder verwenden, um einen Bericht über die zuletzt abgerufenen Informationen zu erstellen AWS Organizations, können Sie optional eine Richtlinien-ID angeben. Der resultierende Bericht enthält Daten für die Services, die nur aufgrund dieser Richtlinie zulässig sind. Zu den Informationen gehören die jüngste Kontoaktivität in der angegebenen AWS Organizations Entität oder deren untergeordnete Entität. Weitere Informationen finden Sie unter [aws iam generate-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-organizations-access-report.html) oder [GenerateOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateOrganizationsAccessReport.html).
+ **AWS Organizations Verwaltungskonto** — Sie müssen sich mit dem Verwaltungskonto Ihrer Organisation anmelden, um die Informationen zu sehen, auf die der Dienst zuletzt zugegriffen hat. Sie können wählen, ob Sie Informationen für das Verwaltungskonto mithilfe der IAM-Konsole AWS CLI, der oder der AWS API anzeigen möchten. Der resultierende Bericht listet alle AWS Dienste auf, da das Verwaltungskonto nicht eingeschränkt ist durch SCPs. Wenn Sie in der CLI oder API eine Richtlinien-ID angeben, wird die Richtlinie ignoriert. Für jeden Service beinhaltet der Bericht nur Daten für das Hauptkonto. Berichte für andere AWS Organizations Entitäten geben jedoch keine Informationen zu Aktivitäten im Verwaltungskonto zurück.
+ **AWS Organizations Einstellungen** — Ein Administrator muss [sie SCPs im Stammverzeichnis Ihrer Organisation aktivieren](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html#enable_policies_on_root), bevor Sie Daten für generieren können AWS Organizations.

## Erforderliche Berechtigungen
<a name="access_policies_last-accessed-permissions"></a>

Um die zuletzt aufgerufenen Informationen in der anzeigen zu können AWS-Managementkonsole, benötigen Sie eine Richtlinie, die die erforderlichen Berechtigungen gewährt.

### Berechtigungen für IAM-Informationen
<a name="access_policies_last-accessed-permissions-iam"></a>

Sie müssen Sie über eine Richtlinie verfügen, die die folgenden Aktionen beinhaltet, um mithilfe der -Konsole die Informationen zum letzten Zugriff für einen IAM-Benutzer, eine Rolle oder Richtlinie anzeigen zu lassen:
+ `iam:GenerateServiceLastAccessedDetails`
+ `iam:Get*`
+ `iam:List*`

Diese Berechtigungen erlauben einem Benutzer, folgende Informationen anzuzeigen:
+ Welche Benutzer, Gruppen oder Rollen einer [verwalteten Richtlinie](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html#managed_policy) angefügt sind
+ Auf welche Services ein Benutzer oder eine Rolle zugreifen kann
+ Das Datum des letzten Zugriffs auf den Service
+ Das letzte Mal, als sie versucht haben, eine bestimmte Amazon EC2-, IAM-, Lambda- oder Amazon S3-Aktion zu verwenden

Um die AWS API AWS CLI oder zum Anzeigen der zuletzt aufgerufenen Informationen für IAM verwenden zu können, benötigen Sie Berechtigungen, die dem Vorgang entsprechen, den Sie verwenden möchten:
+ `iam:GenerateServiceLastAccessedDetails`
+ `iam:GetServiceLastAccessedDetails`
+ `iam:GetServiceLastAccessedDetailsWithEntities`
+ `iam:ListPoliciesGrantingServiceAccess`

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die die Anzeige von IAM-Informationen zum letzten Zugriff erlaubt. Darüber hinaus erlaubt es den Nur-Lese-Zugriff auf das gesamte IAM. Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GenerateServiceLastAccessedDetails",
            "iam:Get*",
            "iam:List*"
        ],
        "Resource": "*"
    }
}
```

------

### Berechtigungen für Informationen AWS Organizations
<a name="access_policies_last-accessed-permissions-orgs"></a>

Sie müssen Sie über eine Richtlinie verfügen, die die folgenden Aktionen enthält, um mithilfe der IAM-Konsole einen Bericht über den Stamm, die OU oder die Kontoentitäten in AWS Organizations anzuzeigen:
+ `iam:GenerateOrganizationsAccessReport`
+ `iam:GetOrganizationsAccessReport`
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganization`
+ `organizations:DescribeOrganizationalUnit`
+ `organizations:DescribePolicy`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:ListPoliciesForTarget`
+ `organizations:ListRoots`
+ `organizations:ListTargetsForPolicy`

Um die AWS API AWS CLI oder verwenden zu können, um Informationen über den Dienst, auf den zuletzt zugegriffen wurde AWS Organizations, anzuzeigen, benötigen Sie eine Richtlinie, die die folgenden Aktionen umfasst:
+ `iam:GenerateOrganizationsAccessReport`
+ `iam:GetOrganizationsAccessReport`
+ `organizations:DescribePolicy`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:ListPoliciesForTarget`
+ `organizations:ListRoots`
+ `organizations:ListTargetsForPolicy`

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen könnten, die das Anzeigen der Informationen über den Dienst ermöglicht, für den zuletzt zugegriffen wurde. AWS Organizations Darüber hinaus ermöglicht sie den schreibgeschützten Zugriff auf alle. AWS Organizations Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GenerateOrganizationsAccessReport",
            "iam:GetOrganizationsAccessReport",
            "organizations:Describe*",
            "organizations:List*"
        ],
        "Resource": "*"
    }
}
```

------

Sie können auch den OrganizationsPolicyId Bedingungsschlüssel [iam:](reference_policies_iam-condition-keys.md#ck_OrganizationsPolicyId) verwenden, um die Generierung eines Berichts nur für eine bestimmte Richtlinie zu ermöglichen. AWS Organizations Eine Beispielrichtlinie finden Sie unter [IAM: Informationen über den Dienst, auf den zuletzt zugegriffen wurde, für eine AWS Organizations Richtlinie anzeigen](reference_policies_examples_iam_service-accessed-data-orgs.md).

## Beheben Sie Fehler bei Aktivitäten für IAM und Entitäten AWS Organizations
<a name="access_policies_last-accessed-troubleshooting"></a>

In einigen Fällen ist Ihre AWS-Managementkonsole letzte Informationstabelle, auf die Sie zugegriffen haben, möglicherweise leer. Oder vielleicht gibt Ihre Anfrage AWS CLI oder Ihre AWS API-Anfrage einen leeren Satz von Informationen oder ein Nullfeld zurück. Überprüfen Sie in solch einem Fall die folgenden Punkte:
+ Bei Informationen zum letzten Zugriff auf Aktionen kann es sein, dass eine Aktion, die Sie in der Liste erwarten, dort nicht angezeigt wird. Dies kann entweder passieren, weil die IAM-Identität keine Berechtigungen für die Aktion besitzt, oder weil die Aktion für die zuletzt aufgerufenen Informationen noch AWS nicht verfolgt wird.
+ Stellen Sie bei IAM-Benutzern sicher, dass der Benutzer über mindestens eine eingebundene oder verwaltete Richtlinie verfügt (entweder direkt oder über eine Gruppenmitgliedschaft).
+ Stellen Sie bei IAM-Gruppen sicher, dass die Gruppe über mindestens eine eingebundene oder verwaltete Richtlinie verfügt.
+ Für eine IAM-Gruppe gibt der Bericht Informationen zum letzten Servicezugriff nur für Mitglieder zurück, die mithilfe der Gruppenrichtlinien auf einen Service zugegriffen haben. Wenn Sie wissen möchten, ob ein Mitglied andere Richtlinien verwendet hat, überprüfen Sie die Informationen zum letzten Zugriff für diesen Benutzer.
+ Stellen Sie bei IAM-Rollen sicher, dass die Rolle über mindestens eine eingebundene oder verwaltete Richtlinie verfügt.
+ Überprüfen Sie für IAM Entitys (Benutzer oder Rollen) andere Richtlinientypen, die sich auf die Berechtigungen dieser Entität auswirken könnten. Dazu gehören ressourcenbasierte Richtlinien, Zugriffskontrolllisten, AWS Organizations Richtlinien, IAM-Berechtigungsgrenzen oder Sitzungsrichtlinien. Für weitere Informationen siehe [Richtlinientypen](access_policies.md#access_policy-types) oder [Richtlinienauswertung für Anfragen innerhalb eines einzelnen Kontos](reference_policies_evaluation-logic_policy-eval-basics.md).
+ Stellen Sie bei IAM-Richtlinien sicher, dass die angegebene verwaltete Richtlinie an mindestens einen Benutzer, eine Gruppe mit Mitgliedern oder eine Rolle angefügt ist.
+ Stellen Sie für eine AWS Organizations Entität (Root, OU oder Konto) sicher, dass Sie mit den Anmeldeinformationen für das AWS Organizations Verwaltungskonto signiert sind.
+ Stellen Sie sicher, [SCPs dass diese im Stammverzeichnis Ihrer Organisation aktiviert sind](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html#enable_policies_on_root).
+ Die Information über den letzten Zugriff auf eine Aktion ist nur für die unter [IAM-Aktion, zuletzt aufgerufene Informationsservices und Aktionen](access_policies_last-accessed-action-last-accessed.md) aufgeführten Aktionen verfügbar.

Wenn Sie Änderungen vornehmen, warten Sie mindestens vier Stunden bis die Aktivitäten in Ihrer IAM-Konsole angezeigt werden. Wenn Sie die AWS API AWS CLI oder verwenden, müssen Sie einen neuen Bericht erstellen, um die aktualisierten Informationen anzuzeigen.

## Wo werden die AWS zuletzt aufgerufenen Informationen aufgezeichnet
<a name="last-accessed_tracking-period"></a>

AWS sammelt Informationen, auf die zuletzt zugegriffen wurde, für die AWS Standardregionen. Wenn weitere Regionen AWS hinzugefügt werden, werden diese Regionen der folgenden Tabelle hinzugefügt, einschließlich des Datums, AWS an dem mit der Erfassung von Informationen in jeder Region begonnen wurde.
+ **Serviceinformationen** – Der Nachverfolgungszeitraum für Services beträgt mindestens 400 Tage oder weniger, wenn Ihre Region innerhalb der letzten 400 Tage mit der Verfolgung dieses Features begonnen hat.
+ **Aktionsinformationen** – Der Nachverfolgungszeitraum für Amazon S3-Managementaktionen begann am 12. April 2020. Der Nachverfolgungszeitraum für die Verwaltungsmaßnahmen von Amazon EC2, IAM und Lambda begann am 7. April 2021. Der Nachverfolgungszeitraum für Verwaltungsmaßnahmen für alle anderen Services begann am 23. Mai 2023. Wenn das Nachverfolgungsdatum einer Region nach dem 23. Mai 2023 liegt, beginnt die Aktion mit den zuletzt aufgerufenen Informationen aus dieser Region zu dem späteren Datum.


| Name der Region | Region | Startdatum für Verfolgung | 
| --- | --- | --- | 
| USA Ost (Ohio) | us-east-2 | 27. Oktober 2017 | 
| USA Ost (Nord-Virginia) | us-east-1 | 1. Oktober 2015 | 
| USA West (Nordkalifornien) | us-west-1 | 1. Oktober 2015 | 
| USA West (Oregon) | us-west-2 | 1. Oktober 2015 | 
| Afrika (Kapstadt) | af-south-1 | 22. April 2020 | 
| Asien-Pazifik (Hongkong) | ap-east-1 | 24. April 2019 | 
| Asien-Pazifik (Hyderabad) | ap-south-2 | 22. November 2022 | 
| Asien-Pazifik (Jakarta) | ap-southeast-3 | 13. Dezember 2021 | 
| Asien-Pazifik (Melbourne) | ap-southeast-4 | 23. Januar 2023 | 
| Asien-Pazifik (Mumbai) | ap-south-1 | 27. Juni 2016 | 
| Asia Pacific (Osaka) | ap-northeast-3 | 11. Februar 2018 | 
| Asien-Pazifik (Seoul) | ap-northeast-2 | 6. Januar 2016 | 
| Asien-Pazifik (Singapur) | ap-southeast-1 | 1. Oktober 2015 | 
| Asien-Pazifik (Sydney) | ap-southeast-2 | 1. Oktober 2015 | 
| Asien-Pazifik (Tokio) | ap-northeast-1 | 1. Oktober 2015 | 
| Kanada (Zentral) | ca-central-1 | 28. Oktober 2017 | 
| Europa (Frankfurt) | eu-central-1 | 1. Oktober 2015 | 
| Europa (Irland) | eu-west-1 | 1. Oktober 2015 | 
| Europa (London) | eu-west-2 | 28. Oktober 2017 | 
| Europa (Milan) | eu-south-1 | 28. April 2020 | 
| Europa (Paris) | eu-west-3 | 18. Dezember 2017 | 
| Europa (Spain) | eu-south-2 | 15. November 2022 | 
| Europa (Stockholm) | eu-north-1 | 12. Dezember 2018 | 
| Europa (Zürich) | eu-central-2 | 08. November 2022 | 
| Israel (Tel Aviv) | il-central-1 | 1. August 2023 | 
| Naher Osten (Bahrain) | me-south-1 | 29. Juli 2019 | 
| Naher Osten (VAE) | me-central-1 | 30. August 2022 | 
| Südamerika (São Paulo) | sa-east-1 | 11. Dezember 2015 | 
| AWS GovCloud (US-Ost) | us-gov-east-1 | 1. Juli 2023 | 
| AWS GovCloud (US-West) | us-gov-west-1 | 1. Juli 2023 | 

Wenn eine Region in der vorherigen Tabelle nicht aufgeführt ist, stehen Informationen zum letzten Servicezugriff für diese Region noch nicht zur Verfügung.

Eine AWS Region ist eine Sammlung von AWS Ressourcen in einem geografischen Gebiet. Regionen werden in Partitionen gruppiert. Die Standardregionen sind die Regionen, die zur `aws`-Partition gehören. Weitere Informationen zu den verschiedenen Partitionen finden Sie unter [Amazon Resource Names (ARNs) -Format](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arns-syntax) in der Allgemeine AWS-Referenz. Weitere Informationen zu Regionen finden Sie unter [Über AWS Regionen](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#region-what-is) auch in der Allgemeine AWS-Referenz. 

# Anzeigen der zuletzt aufgerufenen Informationen für IAM
<a name="access_policies_last-accessed-view-data"></a>

Sie können die zuletzt aufgerufenen Informationen für IAM mithilfe der AWS API AWS-Managementkonsole AWS CLI, oder anzeigen. Hier finden Sie die [Liste der Services und deren Aktionen](access_policies_last-accessed-action-last-accessed.md), für die Informationen zum letzten Zugriff angezeigt werden. Weitere Informationen zu den Informationen zum letzten Zugriff finden Sie unter [Verfeinern Sie die Berechtigungen für AWS die Verwendung der zuletzt abgerufenen Informationen](access_policies_last-accessed.md). 

Sie können Informationen für die folgenden Ressourcentypen in IAM anzeigen. In jedem Fall enthalten die Informationen die zulässigen Services für den jeweiligen Berichtszeitraum:
+ **Benutzer** – Zeigt den letzten Zugriffsversuch des Benutzers auf jeden zulässigen Service an.
+ **Benutzergruppe** – Zeigt Informationen zum letzten Zugriffsversuch auf den Service durch ein Mitglied der Gruppe an. Dieser Bericht enthält auch die Gesamtzahl der Mitglieder, die versucht haben, auf den Service zuzugreifen.
+ **Rolle** – Zeigt den Zeitpunkt des letzten Zugriffsversuchs auf jeden zulässigen Service durch einen Benutzer mithilfe dieser Rolle an.
+ **Richtlinie** – Zeigt Informationen zum letzten Zugriffsversuch auf jeden zulässigen Service durch einen Benutzer oder eine Rolle an. Dieser Bericht enthält auch die Gesamtzahl der Entitäten, die versucht haben, auf den Service zuzugreifen.

**Anmerkung**  
Bevor Sie die Zugriffsinformationen für eine Ressource in IAM anzeigen, stellen Sie sicher, dass Sie den Berichtszeitraum, die gemeldeten Entitäten und die ausgewerteten Richtlinientypen für Ihre Informationen verstehen. Weitere Details finden Sie unter [Wissenswertes über die Informationen zum letzten Zugriff](access_policies_last-accessed.md#access_policies_last-accessed-know).

## Anzeigen von Informationen für IAM (Konsole)
<a name="access_policies_last-accessed-viewing"></a>

Sie können die Informationen zum letzten Zugriff auf IAM auf der Registerkarte **Zuletzt aufgerufen** in der IAM-Konsole anzeigen.

**So zeigen Sie Informationen für IAM an (Konsole)**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Wählen Sie im Navigationsbereich entweder **Groups (Gruppen)**, **Users (Benutzer)**, **Roles (Rollen)** oder **Policies (Richtlinien)**.

1. Wählen Sie einen beliebigen Benutzer, eine Benutzergruppe, eine Rolle oder einen Richtliniennamen aus, um die Seite **Übersicht** zu öffnen und die Registerkarte **Zuletzt aufgerufen** auszuwählen. Zeigen Sie die folgenden Informationen basierend auf der gewählten Ressource an:
   + **Group (Gruppe)** – Zeigt die Liste der Services an, auf die Gruppenmitglieder (Benutzer) zugreifen können. Sie können auch anzeigen, wann ein Mitglied zuletzt auf den Service zugegriffen hat, welche Gruppenrichtlinien es verwendet hat, und welches Gruppenmitglied die Anforderung gestellt hat. Wählen Sie den Namen der Richtlinie aus, um zu erfahren, ob es sich um eine verwaltete Richtlinie oder eine eingebundene Gruppenrichtlinie handelt. Wählen Sie den Namen des Gruppenmitglieds aus, um alle Mitglieder der Gruppe und deren letztes Service-Zugriffsdatum anzuzeigen.
   + **User (Benutzer**) – Zeigt die Liste der Services an, auf die der Benutzer zugreifen kann. Sie können auch anzeigen, wann der Benutzer zuletzt auf den Service zugegriffen hat und welche Richtlinien dem Benutzer aktuell zugeordnet sind. Wählen Sie den Namen der Richtlinie aus, um zu erfahren, ob es sich um eine verwaltete Richtlinie, eine Inline-Benutzerrichtlinie oder eine Inline-Richtlinie für die Gruppe handelt.
   + **Rolle** – Zeigen Sie die Liste der Services, auf die die Rolle zugreifen kann, das letzte Service-Zugriffsdatum der Rolle und die verwendeten Richtlinien an. Wählen Sie den Namen der Richtlinie aus, um zu erfahren, ob es sich um eine verwaltete Richtlinie oder eine eingebundene Rollenrichtlinie handelt.
   + **Policy (Richtlinie)** – Zeigt die Liste der Services mit zulässigen Aktionen in der Richtlinie an. Sie können auch anzeigen, wann die Richtlinie zuletzt für den Zugriff auf den Service verwendet wurde, und welche Entität (Benutzer oder Rolle) die Richtlinie verwendet hat. Das Datum des **letzten Zugriffs** umfasst auch den Zeitpunkt, zu dem der Zugriff auf diese Richtlinie über eine andere Richtlinie gewährt wurde. Wählen Sie den Namen der Entität aus, um zu erfahren, welchen Entitäten diese Richtlinie angefügt ist und wann diese zuletzt auf den Service zugegriffen haben.

1. Wählen Sie in der Spalte **Service** der Tabelle den Namen [eines der Services, der Informationen über die zuletzt aufgerufene Aktion enthält,](access_policies_last-accessed-action-last-accessed.md) um eine Liste der Verwaltungsaktionen anzuzeigen, auf die IAM-Entitäten versucht haben zuzugreifen. Sie können die AWS-Region und einen Zeitstempel anzeigen, der anzeigt, wann jemand zuletzt versucht hat, die Aktion auszuführen.

1. Die Spalte **Letzter Zugriff** wird für Services und Verwaltungsaktionen der Services angezeigt, [die Informationen zur Aktion enthalten, auf die zuletzt zugegriffen wurde](access_policies_last-accessed-action-last-accessed.md). Überprüfen Sie die folgenden möglichen Ergebnisse, die in dieser Spalte zurückgegeben werden. Diese Ergebnisse hängen davon ab, ob ein Dienst oder eine Aktion zugelassen ist, ob auf sie zugegriffen wurde und ob die Informationen, auf die zuletzt zugegriffen wurde AWS , nachverfolgt werden.   
**vor <number of> Tagen**  
Die Anzahl der Tage, seitdem der Service oder die Aktion im Nachverfolgungszeitraum verwendet wurde. Der Nachverfolgungszeitraum für Services erstreckt sich über die letzten 400 Tage. Der Nachverfolgungszeitraum für Amazon S3 Aktionen begann am 12. April 2020. Der Nachverfolgungszeitraum für die Verwaltungsmaßnahmen von Amazon EC2, IAM und Lambda begann am 7. April 2021. Der Erfassungszeitraum für alle anderen Services begann am 23. Mai 2023. Weitere Informationen zu den jeweiligen AWS-Region Startdaten der Nachverfolgung finden Sie unter[Wo werden die AWS zuletzt aufgerufenen Informationen aufgezeichnet](access_policies_last-accessed.md#last-accessed_tracking-period).  
**Kein Zugriff im Nachverfolgungszeitraum**  
Der nachverfolgte Service oder die Aktion wurde im Nachverfolgungszeitraum nicht von einer Entität verwendet.

   Es ist möglich, dass Sie Berechtigungen für eine Aktion haben, die nicht in der Liste angezeigt wird. Dies kann vorkommen, wenn die Nachverfolgungsinformationen für die Aktion derzeit nicht in AWS enthalten sind. Sie sollten keine Berechtigungsentscheidungen nur auf der Grundlage des Fehlens von Nachverfolgungsinformationen treffen. Stattdessen empfehlen wir, diese Informationen zu verwenden, um Ihre allgemeine Strategie für die Gewährung der geringsten Privilegien zu unterstützen. Überprüfen Sie Ihre Richtlinien, um zu bestätigen, dass die Zugriffsebene angemessen ist.

## Anzeigen von Informationen für IAM (AWS CLI)
<a name="access_policies_last-accessed-viewing-cli"></a>

Sie können den verwenden AWS CLI , um Informationen darüber abzurufen, wann eine IAM-Ressource zum letzten Mal verwendet wurde, um auf AWS Services und Amazon S3-, Amazon EC2-, IAM- und Lambda-Aktionen zuzugreifen. Bei einer IAM-Ressource kann es sich um einen Benutzer, eine Gruppe, eine Rolle oder eine Richtlinie handeln.

**So zeigen Sie Informationen für IAM (AWS CLI)**

1. Erstellen Sie einen Bericht. Die Anforderung muss den ARN der IAM-Ressource (Benutzer, Gruppe, Rolle oder Richtlinie) enthalten, für die Sie den Bericht erstellen möchten. Sie können die Granularität angeben, die Sie im Bericht generieren möchten, um Zugriffsdetails nur für Services oder für Services und Aktionen anzuzeigen. Die Anforderung gibt eine `job-id` zurück, die Sie in den Operationen `get-service-last-accessed-details` und `get-service-last-accessed-details-with-entities` nutzen können, um den `job-status` bis zum Abschluss des Auftrags zu überwachen.
   + [aws-IAM-Einzelheiten generate-service-last-accessed](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-service-last-accessed-details.html)

1. Rufen Sie Details zum Bericht mithilfe des Parameters `job-id` aus dem vorherigen Schritt ab.
   + [aws iam -details get-service-last-accessed](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details.html)

   Mit dieser Operation werden abhängig von der Art der Ressource und der Granularität, die Sie in der Operation `generate-service-last-accessed-details` angefordert haben, die folgenden Informationen zurückgegeben:
   + **Benutzer** – Gibt eine Liste der Services zurück, auf die der angegebene Benutzer zugreifen kann. Für jeden Service gibt die Operation das Datum und die Uhrzeit des letzten Zugriffsversuchs des Benutzers sowie den ARN des Benutzers zurück.
   + **Benutzergruppe** – Gibt eine Liste der Services zurück, auf die Mitglieder der angegebenen Benutzergruppe mithilfe der an die Benutzergruppe angefügten Richtlinien zugreifen können. Für jeden Service gibt die Operation das Datum und die Uhrzeit des letzten Zugriffsversuchs durch ein Mitglied der Gruppe (Benutzer) zurück. Außerdem werden der ARN dieses Benutzers sowie die Gesamtzahl der Gruppenmitglieder, die versucht haben, auf den Service zuzugreifen, zurückgegeben. Verwenden Sie den [GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html)Vorgang, um eine Liste aller Mitglieder abzurufen.
   + **Rolle** – Gibt eine Liste der Services zurück, auf die die angegebene Rolle zugreifen kann. Für jeden Service gibt die Operation das Datum und die Uhrzeit des letzten Zugriffsversuchs der Rolle sowie den ARN der Rolle zurück.
   + **Richtlinie** – Gibt eine Liste der Services zurück, auf die die angegebene Richtlinie Zugriff gewährt. Die Operation gibt für jeden Service Datum und Uhrzeit des letzten Zugriffsversuch auf den Service durch eine Entität (Benutzer oder Rolle) mithilfe der Richtlinie zurück. Außerdem werden der ARN der Entität sowie die Gesamtzahl der Entitäten, die versucht haben, auf den Service zuzugreifen, zurückgegeben.

1. Weitere Informationen zu den Entitäten, die mithilfe von Gruppen- oder Richtlinienberechtigungen versucht haben, auf einen bestimmten Service zuzugreifen. Diese Operation gibt eine Liste der Entitäten einschließlich ARN, ID, Name, Pfad, Typ (Benutzer oder Rolle) und letztem Service-Zugriffsdatum jeder Entität zurück. Sie können diese Operation auch für Benutzer und Rollen verwenden. Es werden jedoch nur Informationen zu dieser Entität zurückgegeben.
   + [war mein Ziel - get-service-last-accessed details-with-entities](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details-with-entities.html)

1. Weitere Informationen zu den identitätsbasierten Richtlinien, die eine Identität (Benutzer, Gruppe oder Rolle) verwendet hat, um auf einen bestimmten Service zuzugreifen. Wenn Sie eine Identität und einen Service angeben, gibt diese Operation eine Liste der Berechtigungsrichtlinien zurück, die die Identität nutzen kann, um auf den angegebenen Service zuzugreifen. Diese Operation gibt den aktuellen Status der Richtlinien zurück und ist unabhängig von dem erzeugten Bericht. Es werden auch keine anderen Richtlinientypen wie ressourcenbasierte Richtlinien, Zugriffskontrolllisten, AWS Organizations -Richtlinien,IAM-Berechtigungsgrenzen oder Sitzungsrichtlinien zurückgegeben. Für weitere Informationen siehe [Richtlinientypen](access_policies.md#access_policy-types) oder [Richtlinienauswertung für Anfragen innerhalb eines einzelnen Kontos](reference_policies_evaluation-logic_policy-eval-basics.md).
   + [aws list-policies-granting-service iam -access](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies-granting-service-access.html)

## Informationen für IAM (API) anzeigen AWS
<a name="access_policies_last-accessed-viewing-api"></a>

Sie können die AWS API verwenden, um Informationen darüber abzurufen, wann eine IAM-Ressource zum letzten Mal verwendet wurde, um auf AWS Services und Amazon S3-, Amazon EC2-, IAM- und Lambda-Aktionen zuzugreifen. Bei einer IAM-Ressource kann es sich um einen Benutzer, eine Gruppe, eine Rolle oder eine Richtlinie handeln. Sie können die Granularität angeben, die Sie im Bericht generieren möchten, um Details nur für Services oder für Services und Aktionen anzuzeigen. 

**Um Informationen für IAM (API) anzuzeigen AWS**

1. Erstellen Sie einen Bericht. Die Anforderung muss den ARN der IAM-Ressource (Benutzer, Gruppe, Rolle oder Richtlinie) enthalten, für die Sie den Bericht erstellen möchten. Es wird eine `JobId` zurückgegeben, die Sie in den Operationen `GetServiceLastAccessedDetails` und `GetServiceLastAccessedDetailsWithEntities` nutzen können, um den `JobStatus` bis zum Abschluss des Auftrags zu überwachen.
   + [GenerateServiceLastAccessedDetails](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateServiceLastAccessedDetails.html)

1. Rufen Sie Details zum Bericht mithilfe des Parameters `JobId` aus dem vorherigen Schritt ab.
   + [GetServiceLastAccessedDetails](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetails.html)

   Mit dieser Operation werden abhängig von der Art der Ressource und der Granularität, die Sie in der Operation `GenerateServiceLastAccessedDetails` angefordert haben, die folgenden Informationen zurückgegeben:
   + **Benutzer** – Gibt eine Liste der Services zurück, auf die der angegebene Benutzer zugreifen kann. Für jeden Service gibt die Operation das Datum und die Uhrzeit des letzten Zugriffsversuchs des Benutzers sowie den ARN des Benutzers zurück.
   + **Benutzergruppe** – Gibt eine Liste der Services zurück, auf die Mitglieder der angegebenen Benutzergruppe mithilfe der an die Benutzergruppe angefügten Richtlinien zugreifen können. Für jeden Service gibt die Operation das Datum und die Uhrzeit des letzten Zugriffsversuchs durch ein Mitglied der Gruppe (Benutzer) zurück. Außerdem werden der ARN dieses Benutzers sowie die Gesamtzahl der Gruppenmitglieder, die versucht haben, auf den Service zuzugreifen, zurückgegeben. Verwenden Sie den [GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html)Vorgang, um eine Liste aller Mitglieder abzurufen.
   + **Rolle** – Gibt eine Liste der Services zurück, auf die die angegebene Rolle zugreifen kann. Für jeden Service gibt die Operation das Datum und die Uhrzeit des letzten Zugriffsversuchs der Rolle sowie den ARN der Rolle zurück.
   + **Richtlinie** – Gibt eine Liste der Services zurück, auf die die angegebene Richtlinie Zugriff gewährt. Die Operation gibt für jeden Service Datum und Uhrzeit des letzten Zugriffsversuch auf den Service durch eine Entität (Benutzer oder Rolle) mithilfe der Richtlinie zurück. Außerdem werden der ARN der Entität sowie die Gesamtzahl der Entitäten, die versucht haben, auf den Service zuzugreifen, zurückgegeben.

1. Weitere Informationen zu den Entitäten, die mithilfe von Gruppen- oder Richtlinienberechtigungen versucht haben, auf einen bestimmten Service zuzugreifen. Diese Operation gibt eine Liste der Entitäten einschließlich ARN, ID, Name, Pfad, Typ (Benutzer oder Rolle) und letztem Service-Zugriffsdatum jeder Entität zurück. Sie können diese Operation auch für Benutzer und Rollen verwenden. Es werden jedoch nur Informationen zu dieser Entität zurückgegeben.
   + [GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html)

1. Weitere Informationen zu den identitätsbasierten Richtlinien, die eine Identität (Benutzer, Gruppe oder Rolle) verwendet hat, um auf einen bestimmten Service zuzugreifen. Wenn Sie eine Identität und einen Service angeben, gibt diese Operation eine Liste der Berechtigungsrichtlinien zurück, die die Identität nutzen kann, um auf den angegebenen Service zuzugreifen. Diese Operation gibt den aktuellen Status der Richtlinien zurück und ist unabhängig von dem erzeugten Bericht. Es werden auch keine anderen Richtlinientypen wie ressourcenbasierte Richtlinien, Zugriffskontrolllisten, AWS Organizations -Richtlinien,IAM-Berechtigungsgrenzen oder Sitzungsrichtlinien zurückgegeben. Für weitere Informationen siehe [Richtlinientypen](access_policies.md#access_policy-types) oder [Richtlinienauswertung für Anfragen innerhalb eines einzelnen Kontos](reference_policies_evaluation-logic_policy-eval-basics.md).
   + [ListPoliciesGrantingServiceAccess](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPoliciesGrantingServiceAccess.html)

# Informationen anzeigen, auf die zuletzt zugegriffen wurde für AWS Organizations
<a name="access_policies_last-accessed-view-data-orgs"></a>

Sie können Informationen über den Dienst, auf den zuletzt zugegriffen wurde, AWS CLI für die AWS Organizations Verwendung der IAM-Konsole oder der AWS API anzeigen. Für wichtige Informationen über die Daten, die erforderlichen Berechtigungen, Fehlerbehebungen und unterstützte Regionen finden Sie unter [Verfeinern Sie die Berechtigungen für AWS die Verwendung der zuletzt abgerufenen Informationen](access_policies_last-accessed.md).

Wenn Sie sich mit den Anmeldeinformationen für das AWS Organizations Verwaltungskonto bei der IAM-Konsole anmelden, können Sie Informationen für jede Entität in Ihrer Organisation einsehen. AWS Organizations Zu den Entitäten gehören der Organisationsstamm, die Organisationseinheiten (OUs) und die Konten. Sie können die IAM-Konsole auch verwenden, um Informationen zu allen Servicesteuerungsrichtlinien (SCPs) in Ihrer Organisation anzuzeigen. IAM zeigt eine Liste der Dienste an, die von allen, die für SCPs die Entität gelten, zugelassen werden. Für jeden Dienst können Sie die neuesten Kontoaktivitätsinformationen der ausgewählten AWS Organizations Entität oder der untergeordneten Entität einsehen.

Wenn Sie die AWS API AWS CLI oder mit den Anmeldeinformationen für das Verwaltungskonto verwenden, können Sie einen Bericht für alle Entitäten oder Richtlinien in Ihrer Organisation erstellen. Ein programmatischer Bericht für eine Entität enthält eine Liste von Diensten, die von allen Diensten zugelassen werden SCPs , die für die Entität gelten. Für jeden Service enthält der Bericht die aktuellen Aktivitäten für Konten in der angegebenen AWS Organizations -Entity oder der Unterstruktur der Entität.

Wenn Sie einen programmatischen Bericht für eine Richtlinie generieren, müssen Sie eine AWS Organizations Entität angeben. Dieser Bericht enthält eine Liste der Services, die im Rahmen der angegebenen SCP zugelassen sind. Für die einzelnen Services sind die neuesten Kontoaktivitäten der Entity oder der untergeordneten Elemente der Entity enthalten, denen aufgrund der Richtlinie eine Berechtigung erteilt wird. Weitere Informationen finden Sie unter [aws iam oder generate-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-organizations-access-report.html). [GenerateOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateOrganizationsAccessReport.html)

Bevor Sie sich den Bericht anzeigen lassen, stellen Sie sicher, dass Sie die Anforderungen an das Hauptkonto und die Daten, den Berichtszeitraum, die Entitäten, über die berichtet wird, als auch die ausgewerteten Richtlinientypen verstehen. Weitere Details finden Sie unter [Wissenswertes über die Informationen zum letzten Zugriff](access_policies_last-accessed.md#access_policies_last-accessed-know).

## Verstehen Sie den AWS Organizations Entitätspfad
<a name="access_policies_last-accessed-viewing-orgs-entity-path"></a>

Wenn Sie die AWS API AWS CLI oder verwenden, um einen AWS Organizations Zugriffsbericht zu generieren, müssen Sie einen Entitätspfad angeben. Ein Pfad ist eine Textdarstellung der Struktur einer AWS Organizations -Entität.

Sie können einen Entitätspfad mithilfe der bekannten Struktur Ihrer Organisation erstellen. Gehen Sie beispielsweise davon aus, dass Sie über die folgende Organisationsstruktur verfügen AWS Organizations.

![\[Organisationspfadstruktur\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/ou-path-diagram.png)


Der Pfad für die Organisationseinheit **Dev Managers** wird anhand des Pfads IDs der Organisation, des Stammverzeichnisses und des gesamten OUs Pfads bis hin zur Organisationseinheit und einschließlich der Organisationseinheit erstellt. 

```
o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/
```

Der Pfad für das Konto in der **Produktionsorganisationseinheit** wird anhand der Daten der Organisation, IDs des Stammverzeichnisses, der Organisationseinheit und der Kontonummer erstellt. 

```
o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-abc0-awsaaaaa/111111111111/
```

**Anmerkung**  
 IDs Die Organisation ist weltweit einzigartig, aber OU IDs und Root IDs sind nur innerhalb einer Organisation einzigartig. Dies bedeutet, dass keine zwei Organisationen dieselbe Organisations-ID verwenden. Eine andere Organisation verfügt jedoch möglicherweise über eine Organisationseinheit oder ein Stammverzeichnis mit derselben ID wie Ihre. Es wird empfohlen, immer die Organisations-ID anzugeben, wenn Sie eine Organisationseinheit oder ein Stammverzeichnis angeben.

## Informationen für AWS Organizations (Konsole) anzeigen
<a name="access_policies_last-accessed-viewing-orgs"></a>

Sie können die IAM-Konsole verwenden, um Informationen zum letzten Servicezugriff für den Stamm, die Organisationseinheit, das Konto oder die Richtlinie anzeigen zu lassen.

**So zeigen Sie Informationen für das Stammverzeichnis (Konsole) an:**

1. Melden Sie sich AWS-Managementkonsole mit den Anmeldeinformationen für das AWS Organizations Verwaltungskonto an und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Wählen Sie im Navigationsbereich unter dem Abschnitt **Access reports (Zugriffsberichte)** die Option **Organization activity (Organisationsaktivität)**.

1. Wählen Sie auf der Seite **Organization activity (Organisationsaktivität)** die Option **Root (Stamm)**.

1. Überprüfen Sie auf der Registerkarte **Details and activity (Details und Aktivitäten)** den Bereich **Service access report (Service-Zugriffsbericht)**. Die Informationen enthalten eine Liste der Services, die aufgrund der Richtlinien, die dem Stamm direkt angefügt wurden, zulässig sind. Die Informationen zeigen Ihnen, von welchem Konto aus und wann zuletzt auf den Service zugegriffen wurde. Um weitere Informationen darüber zu erhalten, welcher Auftraggeber auf den Service zugegriffen hat, melden Sie sich als Administrator bei diesem Konto an, und [zeigen Sie die Informationen zum letzten IAM-Servicezugriff an](access_policies_last-accessed-view-data.md).

1. Wählen Sie die SCPs Registerkarte **Angehängt**, um die Liste der Service Control-Richtlinien (SCPs) anzuzeigen, die an das Stammverzeichnis angehängt sind. IAM zeigt Ihnen die Anzahl der Zielentitäten an, denen die einzelnen Richtlinien zugeordnet sind. Sie können diese Informationen verwenden, um zu entscheiden, welche SCP Sie überprüfen möchten.

1. Wählen Sie den Namen einer SCP auf, um sich alle Services anzeigen zu lassen, die von der Richtlinie zugelassen sind. Lassen Sie sich für jeden Service anzeigen, von welchem Konto und wann auf den Service zuletzt zugegriffen wurde.

1. Wählen Sie **Bearbeiten in AWS Organizations**, um weitere Details anzuzeigen und den SCP in der AWS Organizations Konsole zu bearbeiten. Weitere Informationen finden Sie unter [-Over-the-Air-Updates](https://docs.aws.amazon.com/organizations/latest/userguide/create-policy.html#update_policy) im *AWS Organizations -Leitfaden*.

**So zeigen Sie Informationen zu einer Organisationseinheit oder einem Konto an (Konsole):**

1. Melden Sie sich AWS-Managementkonsole mit den Anmeldeinformationen für das AWS Organizations Verwaltungskonto an und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Wählen Sie im Navigationsbereich unter dem Abschnitt **Access reports (Zugriffsberichte)** die Option **Organization activity (Organisationsaktivität)**.

1. Erweitern Sie auf der Seite **Organization activity (Organizationsaktivität)** die Struktur Ihrer Organisation. Wählen Sie anschließend den Namen der Organisationseinheit oder jedes beliebigen Kontos aus, welches Sie anzeigen möchten, mit Ausnahme des Hauptkontos.

1. Überprüfen Sie auf der Registerkarte **Details and activity (Details und Aktivitäten)** den Bereich **Service access report (Service-Zugriffsbericht)**. Die Informationen enthalten eine Liste der Dienste, die von der mit der Organisationseinheit oder dem Konto SCPs verbundenen Organisationseinheit oder dem Konto *und* all ihren übergeordneten Benutzern zugelassen werden. Die Informationen zeigen Ihnen, von welchem Konto aus und wann zuletzt auf den Service zugegriffen wurde. Um weitere Informationen darüber zu erhalten, welcher Auftraggeber auf den Service zugegriffen hat, melden Sie sich als Administrator bei diesem Konto an, und [zeigen Sie die Informationen zum letzten IAM-Servicezugriff an](access_policies_last-accessed-view-data.md).

1. Wählen Sie die SCPs Registerkarte **Angehängt**, um die Liste der Dienststeuerungsrichtlinien (SCPs) anzuzeigen, die direkt mit der Organisationseinheit oder dem Konto verknüpft sind. IAM zeigt Ihnen die Anzahl der Zielentitäten an, denen die einzelnen Richtlinien zugeordnet sind. Sie können diese Informationen verwenden, um zu entscheiden, welche SCP Sie überprüfen möchten.

1. Wählen Sie den Namen einer SCP auf, um sich alle Services anzeigen zu lassen, die von der Richtlinie zugelassen sind. Lassen Sie sich für jeden Service anzeigen, von welchem Konto und wann auf den Service zuletzt zugegriffen wurde.

1. Wählen Sie **Bearbeiten in AWS Organizations**, um weitere Details anzuzeigen und den SCP in der AWS Organizations Konsole zu bearbeiten. Weitere Informationen finden Sie unter [-Over-the-Air-Updates](https://docs.aws.amazon.com/organizations/latest/userguide/create-policy.html#update_policy) im *AWS Organizations -Leitfaden*.

**So zeigen Sie Informationen zum Hauptkonto an (Konsole):**

1. Melden Sie sich AWS-Managementkonsole mit den Anmeldeinformationen für das AWS Organizations Verwaltungskonto an und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Wählen Sie im Navigationsbereich unter dem Abschnitt **Access reports (Zugriffsberichte)** die Option **Organization activity (Organisationsaktivität)**.

1. Erweitern Sie auf der Seite **Organization activity (Organisationsaktivität)** die Struktur Ihrer Organisation und wählen Sie den Namen Ihres Hauptkontos.

1. Überprüfen Sie auf der Registerkarte **Details and activity (Details und Aktivitäten)** den Bereich **Service access report (Service-Zugriffsbericht)**. Die Informationen enthalten eine Liste aller AWS -Services. Das Verwaltungskonto ist nicht beschränkt auf. SCPs Die Informationen geben darüber Auskunft, ob und wann das Konto zuletzt auf den Service zugegriffen hat. Um weitere Informationen darüber zu erhalten, welcher Auftraggeber auf den Service zugegriffen hat, melden Sie sich als Administrator bei diesem Konto an, und [zeigen Sie die Informationen zum letzten IAM-Servicezugriff an](access_policies_last-accessed-view-data.md).

1. Wählen Sie die SCPs Registerkarte **Angehängt**, um zu bestätigen, dass keine angehängten Konten vorhanden sind SCPs , da es sich bei dem Konto um das Verwaltungskonto handelt.

**So zeigen Sie Informationen zu einer Richtlinie an (Konsole):**

1. Melden Sie sich AWS-Managementkonsole mit den Anmeldeinformationen für das AWS Organizations Verwaltungskonto an und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Wählen Sie im Navigationsbereich unter dem Abschnitt **Access-Berichte** die Option **Service Control Policies (SCPs)** aus.

1. Sehen Sie sich auf der Seite **Dienststeuerungsrichtlinien (SCPs)** eine Liste der Richtlinien in Ihrer Organisation an. Sie können die Anzahl der Ziel-Entitäten anzeigen lassen, an die die einzelnen Richtlinien angefügt sind.

1. Wählen Sie den Namen einer SCP auf, um sich alle Services anzeigen zu lassen, die von der Richtlinie zugelassen sind. Lassen Sie sich für jeden Service anzeigen, von welchem Konto und wann auf den Service zuletzt zugegriffen wurde.

1. Wählen Sie **Bearbeiten in AWS Organizations**, um weitere Details anzuzeigen und den SCP in der AWS Organizations Konsole zu bearbeiten. Weitere Informationen finden Sie unter [-Over-the-Air-Updates](https://docs.aws.amazon.com/organizations/latest/userguide/create-policy.html#update_policy) im *AWS Organizations -Leitfaden*.

## Informationen für AWS Organizations ()AWS CLI anzeigen
<a name="access_policies_last-accessed-viewing-orgs-cli"></a>

Sie können den verwenden AWS CLI , um Informationen zum letzten Zugriff auf den Dienst für Ihr AWS Organizations Stammverzeichnis, Ihre Organisationseinheit, Ihr Konto oder Ihre Richtlinie abzurufen.

**Um Informationen über den AWS Organizations Dienst anzuzeigen, auf den zuletzt zugegriffen wurde (AWS CLI)**

1. Verwenden Sie die Anmeldeinformationen Ihres AWS Organizations Verwaltungskontos mit den erforderlichen IAM und den erforderlichen AWS Organizations Berechtigungen und vergewissern Sie sich, dass diese für Ihr Root-Konto aktiviert SCPs sind. Weitere Informationen finden Sie unter [Wissenswertes über die Informationen zum letzten Zugriff](access_policies_last-accessed.md#access_policies_last-accessed-know). 

1. Erstellen Sie einen Bericht. Die Anfrage muss den Pfad der AWS Organizations Entität (Stamm, OU oder Konto) enthalten, für die Sie einen Bericht wünschen. Sie können optional einen `organization-policy-id`-Parameter einschließen, um sich einen Bericht für eine bestimmte Richtlinie anzeigen zu lassen. Der Befehl gibt eine `job-id` zurück, die Sie im Anschluss daran mit dem `get-organizations-access-report`-Befehl verwenden können, um den `job-status` zu überwachen, bis der Auftrag abgeschlossen ist.
   + [war ich generate-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-organizations-access-report.html)

1. Rufen Sie Details zum Bericht mithilfe des Parameters `job-id` aus dem vorherigen Schritt ab.
   + [war ich get-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/get-organizations-access-report.html)

   Dieser Befehl gibt eine Liste der Dienste zurück, auf die Entity-Mitglieder zugreifen können. Für jeden Service gibt der Befehl das Datum und die Uhrzeit des letzten Versuchs eines Kontomitglieds sowie den Entity-Pfad des Kontos zurück. Außerdem wird die Gesamtanzahl der Dienste angezeigt, auf die zugegriffen werden kann, als auch die Anzahl der Services, auf die nicht zugegriffen wurde. Wenn Sie den optionalen `organizations-policy-id`-Parameter angegeben haben, handelt es sich bei den Diensten, die für den Zugriff verfügbar sind, um die Dienste, die von der angegebenen Richtlinie zugelassen sind.

## Informationen für AWS Organizations (AWS API) anzeigen
<a name="access_policies_last-accessed-viewing-orgs-api"></a>

Sie können die AWS API verwenden, um Informationen über den Dienst abzurufen, auf den zuletzt zugegriffen wurde, für Ihr AWS Organizations Root-Konto, Ihr Konto oder Ihre Richtlinie.

**Um die Informationen über den AWS Organizations Dienst, auf den zuletzt zugegriffen wurde (AWS API), anzuzeigen**

1. Verwenden Sie die Anmeldeinformationen Ihres AWS Organizations Verwaltungskontos mit den erforderlichen IAM und den erforderlichen AWS Organizations Berechtigungen und vergewissern Sie sich, dass diese für Ihr Root-Konto aktiviert SCPs sind. Weitere Informationen finden Sie unter [Wissenswertes über die Informationen zum letzten Zugriff](access_policies_last-accessed.md#access_policies_last-accessed-know). 

1. Erstellen Sie einen Bericht. Die Anfrage muss den Pfad der AWS Organizations Entität (Stamm, OU oder Konto) enthalten, für die Sie einen Bericht wünschen. Sie können optional einen `OrganizationsPolicyId`-Parameter einschließen, um sich einen Bericht für eine bestimmte Richtlinie anzeigen zu lassen. Durch die Operation wird eine `JobId` zurückgegeben, die Sie in der Operation `GetOrganizationsAccessReport` verwenden können, um den `JobStatus` zu überwachen, bis der Auftrag abgeschlossen ist.
   + [GenerateOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateOrganizationsAccessReport.html)

1. Rufen Sie Details zum Bericht mithilfe des Parameters `JobId` aus dem vorherigen Schritt ab.
   + [GetOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetOrganizationsAccessReport.html)

   Diese Operation gibt eine Liste der Dienste zurück, auf die von den Entity-Mitgliedern zugegriffen werden kann. Für jeden Service gibt die Operation das Datum und die Uhrzeit des letzten Versuchs eines Kontomitglieds sowie den Entity-Pfad des Kontos zurück. Außerdem wird die Gesamtanzahl der Dienste angezeigt, auf die zugegriffen werden kann, als auch die Anzahl der Services, auf die nicht zugegriffen wurde. Wenn Sie den optionalen `OrganizationsPolicyId`-Parameter angegeben haben, handelt es sich bei den Diensten, die für den Zugriff verfügbar sind, um die Dienste, die von der angegebenen Richtlinie zugelassen sind.

# Beispielszenarien für die Verwendung von Informationen zum letzten Zugriff
<a name="access_policies_last-accessed-example-scenarios"></a>

Sie können die Informationen, auf die zuletzt zugegriffen wurde, verwenden, um Entscheidungen über die Berechtigungen zu treffen, die Sie Ihren IAM-Entitäten oder AWS Organizations -Entitäten gewähren. Weitere Informationen finden Sie unter [Verfeinern Sie die Berechtigungen für AWS die Verwendung der zuletzt abgerufenen Informationen](access_policies_last-accessed.md). 

**Anmerkung**  
Bevor Sie die Zugriffsinformationen für eine Entität oder Richtlinie in IAM einsehen, sollten Sie sicherstellen AWS Organizations, dass Sie den Berichtszeitraum, die gemeldeten Entitäten und die bewerteten Richtlinientypen für Ihre Daten kennen. Weitere Details finden Sie unter [Wissenswertes über die Informationen zum letzten Zugriff](access_policies_last-accessed.md#access_policies_last-accessed-know).

Sie als Administrator sind dafür zuständig, die richtige Ausgewogenheit zwischen Zugriffsfähigkeit und geringsten Berechtigungen zu finden, wie sie für Ihre Organisation geeignet ist. 

## Verwenden von Informationen zum Reduzieren von Berechtigungen für eine IAM-Gruppe
<a name="last-accessed-sample-reduce-permissions-group"></a>

Sie können die Daten des letzten Servicezugriffs verwenden, um IAM-Gruppenberechtigungen so zu reduzieren, dass nur die Services enthalten sind, die Ihre Benutzer wirklich benötigen. Diese Methode ist ein wichtiger Schritt beim [Erteilen von geringsten Rechten](best-practices.md#grant-least-privilege) auf Service-Ebene.

Paulo Santos ist beispielsweise der Administrator, der für die Definition von AWS Benutzerberechtigungen für Example Corp. zuständig ist. Dieses Unternehmen hat gerade damit begonnen, die Software zu nutzen AWS, und das Softwareentwicklungsteam hat noch nicht definiert, welche AWS Dienste es nutzen wird. Paulo möchte dem Team Berechtigung für den Zugriff nur auf die Services geben, die benötigt werden, aber da dies noch nicht definiert ist, gibt er dem Team vorübergehend PowerUser-Berechtigungen. Anschließend verwendet er die Informationen zum letzten Zugriff, um die Berechtigungen der Gruppe zu reduzieren.

Paulo erstellt mithilfe des folgenden JSON-Texts eine verwaltete Richtlinie mit dem Namen `ExampleDevelopment`. Er weist sie dann einer Gruppe mit dem Namen `Development` zu und fügt der Gruppe alle Entwickler hinzu.

**Anmerkung**  
Paulos Hauptbenutzer benötigen möglicherweise `iam:CreateServiceLinkedRole`-Berechtigungen, um einige Dienste und Funktionen nutzen zu können. Er weiß, dass das Hinzufügen dieser Berechtigung es den Benutzern ermöglicht, eine serviceverknüpfte Rolle zu erstellen. Er akzeptiert dieses Risiko für seine Hauptbenutzer.

------
#### [ JSON ]

****  

```
{

    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "FullAccessToAllServicesExceptPeopleManagement",
            "Effect": "Allow",
            "NotAction": [
                "iam:*",
                "organizations:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "RequiredIamAndOrgsActions",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole",
                "iam:ListRoles",
                "organizations:DescribeOrganization"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Paulo entscheidet sich, 90 Tage warten, bevor er mithilfe der AWS-Managementkonsole die [Informationen zum letzten Zugriffs](access_policies_last-accessed-view-data.md#access_policies_last-accessed-viewing) für die `Development`-Gruppe anzeigt. Er zeigt die Liste der Services an, auf die Mitglieder der Gruppe zugegriffen haben. Er erfährt, dass die Benutzer in der letzten Woche auf fünf Dienste zugegriffen haben: AWS CloudTrail Amazon CloudWatch Logs, Amazon EC2 und Amazon S3. AWS KMS Sie haben bei der ersten Evaluierung auf einige andere Dienste zugegriffen AWS, aber seitdem nicht mehr.

Paulo beschließt, die Richtlinienberechtigungen so zu reduzieren, dass sie nur diese fünf Dienste und das erforderliche IAM und die erforderlichen AWS Organizations Aktionen umfassen. Er bearbeitet die `ExampleDevelopment`-Richtlinie mithilfe des folgenden JSON-Texts.

**Anmerkung**  
Paulos Hauptbenutzer benötigen möglicherweise `iam:CreateServiceLinkedRole`-Berechtigungen, um einige Dienste und Funktionen nutzen zu können. Er weiß, dass das Hinzufügen dieser Berechtigung es den Benutzern ermöglicht, eine serviceverknüpfte Rolle zu erstellen. Er akzeptiert dieses Risiko für seine Hauptbenutzer.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "FullAccessToListedServices",
            "Effect": "Allow",
            "Action": [
                "s3:*",
                "kms:*",
                "cloudtrail:*",
                "logs:*",
                "ec2:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "RequiredIamAndOrgsActions",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole",
                "iam:ListRoles",
                "organizations:DescribeOrganization"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Um Berechtigungen weiter zu reduzieren, kann Paulo die Ereignisse des Kontos unter **Event history (Ereignisverlauf)** von AWS CloudTrail anzeigen. Dort kann er detaillierte Ereignisinformationen anzeigen, die er verwenden kann, um Berechtigungen der Richtlinie so zu reduzieren, dass nur die Aktionen und Ressourcen enthalten sind, die die Entwickler benötigen. Weitere Informationen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [ CloudTrail Ereignisse in der CloudTrail Konsole anzeigen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html).

## Verwenden von Informationen zum Reduzieren von Berechtigungen für einen IAM-Benutzer
<a name="access_policies_last-accessed-reduce-permissions-users"></a>

Sie können die Informationen des letzten Servicezugriffs verwenden, um die Berechtigungen für einen einzelnen IAM-Benutzer zu reduzieren.

Martha Rivera ist beispielsweise als IT-Administratorin dafür verantwortlich, dass die Mitarbeiter in ihrem Unternehmen nicht über zu viele Berechtigungen verfügen. AWS Im Rahmen einer regelmäßigen Sicherheitsprüfung überprüft sie die Berechtigungen aller IAM-Benutzer. Einer dieser Benutzer ist ein Anwendungsentwickler namens Nikhil Jayashankar, der vorher die Funktion eines Sicherheitsingenieurs innehatte. Aufgrund der Änderung der Stellenanforderungen ist Nikhil Mitglied sowohl der `app-dev`-Gruppe als auch der `security-team`-Gruppe. Die `app-dev`-Gruppe für seinen neuen Auftrag gewährt Berechtigungen für mehrere Dienste, darunter Amazon EC2, Amazon EBS, Auto Scaling, Amazon S3, Route 53 und Elastic Transcoder. Die `security-team` Gruppe für seinen alten Job erteilt IAM und Berechtigungen. CloudTrail

Als Administrator meldet sich Martha bei der IAM-Konsole an, wählt **Benutzer aus, wählt den Namen `nikhilj` und wählt anschließend die Registerkarte **Zuletzt aufgerufen** aus.**

Martha überprüft die Spalte **Zuletzt aufgerufen** und stellt fest, dass Nikhil in letzter Zeit nicht auf IAM, Route 53 CloudTrail, Amazon Elastic Transcoder und eine Reihe anderer Dienste zugegriffen hat. AWS Nikhil hat Zugriff auf Amazon S3. Martha wählt **S3** aus der Liste der Services und erfährt, dass Nikhil in den letzten zwei Wochen einige Amazon S3 `List`-Aktionen durchgeführt hat. In ihrem Unternehmen bestätigt Martha, dass Nikhil keine geschäftliche Notwendigkeit hat, auf IAM zuzugreifen, und zwar auch deshalb, weil er kein Mitglied des CloudTrail internen Sicherheitsteams mehr ist. 

Martha ist jetzt bereit, zu dem Service und den Aktionen, auf die zuletzt zugegriffen wurde, zu handeln. Im Gegensatz zu der Gruppe im vorherigen Beispiel können auf einen IAM-Benutzer wie `nikhilj` mehrere Richtlinien zutreffen und er kann Mitglied mehrerer Gruppen sein. Martha muss vorsichtig vorgehen, damit sie nicht versehentlich den Zugriff für `nikhilj` oder andere Gruppenmitglieder unterbricht. Sie muss nicht nur herausfinden, welchen Zugriff Nikhil haben sollte, sie muss auch bestimmen, *wie* er diese Berechtigungen erhält. 

Martha wählt die Registerkarte **Permissions (Berechtigungen)** aus, wo sie anzeigt, welche Richtlinien `nikhilj` direkt zugewiesen sind und welche aus einer Gruppe angefügt sind. Sie erweitert die einzelnen Richtlinien und zeigt die Richtlinienübersicht an, um zu erfahren, welche Richtlinie Zugriff auf die Services gewährt, die Nikhil nicht verwendet:
+ IAM — Die `IAMFullAccess` AWS verwaltete Richtlinie ist direkt an die Gruppe angehängt `nikhilj` und an diese angehängt. `security-team`
+ CloudTrail — Die `AWS CloudTrailReadOnlyAccess` AWS verwaltete Richtlinie ist der `security-team` Gruppe zugeordnet.
+ Route 53 – Die vom Kunden verwaltete `App-Dev-Route53`-Richtlinie ist der `app-dev`-Gruppe angefügt.
+ Elastic Transcoder – Die vom Kunden verwaltete `App-Dev-ElasticTranscoder`-Richtlinie ist der `app-dev`-Gruppe angefügt.

Martha beschließt, die `IAMFullAccess` AWS verwaltete Richtlinie zu entfernen, die direkt angehängt ist. `nikhilj` Außerdem entfernt sie Nikhils Mitgliedschaft bei der `security-team`-Gruppe. Durch diese beiden Aktionen wird der unnötige Zugriff auf IAM und entfernt. CloudTrail 

Nikhils Berechtigungen für den Zugriff auf Route 53 und Elastic Transcoder werden von der `app-dev`-Gruppe gewährt. Obwohl Nikhil diese Services nicht verwendet, kann es sein, dass andere Mitglieder der Gruppe das tun. Martha überprüft die Informationen über den letzten Zugriff auf die `app-dev`-Gruppe und erfährt, dass mehrere Mitglieder kürzlich auf Route 53 und Amazon S3 zugegriffen haben. Aber keine Gruppenmitglieder haben im letzten Jahr auf Elastic Transcoder zugegriffen. Sie entfernt die kundenverwaltete Richtlinie `App-Dev-ElasticTranscoder` aus der Gruppe.

Martha überprüft dann die Informationen zum letzten Servicezugriff für die kundenverwaltete Richtlinie `App-Dev-ElasticTranscoder`. Sie stellt fest, dass die Richtlinie nicht an andere IAM-Identitäten angefügt ist. Sie stellt innerhalb ihres Unternehmens Nachforschungen an, um sicherzustellen, dass die Richtlinie auch in der Zukunft benötigt wird, und löscht sie dann.

## Verwenden von Informationen vor dem Löschen von IAM-Ressourcen
<a name="last-accessed-sample-delete-resources"></a>

Sie können die Informationen zum letzten Servicezugriff verwenden, bevor Sie eine IAM-Ressource löschen, um sicherzustellen, dass eine gewisse Zeit vergangen ist, seitdem jemand die Ressource zum letzten Mal verwendet hat. Dies gilt für Benutzer, Gruppen, Rollen und Richtlinien. Weitere Informationen zu diesen Aktionen finden Sie in den folgenden Themen:
+ **IAM-Benutzer** – [Einen IAM-Benutzer entfernen oder deaktivieren](id_users_remove.md)
+ **Gruppen** – [Eine IAM-Gruppe löschen](id_groups_manage_delete.md)
+ **Rollen** – [Rollen oder Instance-Profile löschen](id_roles_manage_delete.md)
+ **Richtlinien** – [IAM-Richtlinien löschen (dadurch wird die Richtlinie auch von Identitäten getrennt)](access_policies_manage-delete.md)

## Verwenden von Informationen vor dem Bearbeiten von IAM-Richtlinien
<a name="last-accessed-sample-edit-policies"></a>

Sie können die Informationen zum letzten Zugriff für eine IAM-Identität (Benutzer, Gruppe oder Rolle) oder für eine IAM-Richtlinie verwenden, bevor Sie eine Richtlinie bearbeiten, die sich auf diese Ressource auswirkt. Dies ist wichtig, da Sie nicht den Zugriff für jemanden entfernen möchten, der sie verwendet.

Arnav Desai ist beispielsweise Entwickler und AWS Administrator für Example Corp. Als sein Team mit der Nutzung begann, gewährten sie allen Entwicklern Power-User-Zugriff AWS, sodass sie vollen Zugriff auf alle Dienste außer IAM und hatten. AWS Organizations Als ersten Schritt beim [Erteilen von geringsten Rechten](best-practices.md#grant-least-privilege) möchte Arnav die AWS CLI zum Überprüfen der verwalteten Richtlinien in seinem Konto verwenden. 

Dazu listet Arnav zuerst die kundenverwalteten Berechtigungsrichtlinien in seinem Konto auf, die einer Identität zugewiesen sind, indem er den folgenden Befehl ausführt:

```
aws iam list-policies --scope Local --only-attached --policy-usage-filter PermissionsPolicy
```

Aus der Antwort erfasst er den ARN für die einzelnen Richtlinien. Arnav generiert dann mit dem folgenden Befehl einen Bericht über die Informationen zum letzten Zugriff für jede Richtlinie.

```
aws iam generate-service-last-accessed-details --arn arn:aws:iam::123456789012:policy/ExamplePolicy1
```

Aus dieser Antwort erfasst er die ID des generierten Berichts aus dem `JobId`-Feld. Arnav fragt dann den folgenden Befehl ab, bis das `JobStatus`-Feld den Wert `COMPLETED` oder `FAILED` zurückgibt. Wenn der Auftrag fehlschlägt, erfasst er den Fehler.

```
aws iam get-service-last-accessed-details --job-id 98a765b4-3cde-2101-2345-example678f9
```

Wenn der Auftrag den Status `COMPLETED` aufweist, analysiert Arnav den Inhalt des `ServicesLastAccessed`-Arrays im JSON-Format.

```
 "ServicesLastAccessed": [
        {
            "TotalAuthenticatedEntities": 1,
            "LastAuthenticated": 2018-11-01T21:24:33.222Z,
            "ServiceNamespace": "dynamodb",
            "LastAuthenticatedEntity": "arn:aws:iam::123456789012:user/IAMExampleUser",
            "ServiceName": "Amazon DynamoDB"
        },

        {
            "TotalAuthenticatedEntities": 0,
            "ServiceNamespace": "ec2",
            "ServiceName": "Amazon EC2"
        },

        {
            "TotalAuthenticatedEntities": 3,
            "LastAuthenticated": 2018-08-25T15:29:51.156Z,
            "ServiceNamespace": "s3",
            "LastAuthenticatedEntity": "arn:aws:iam::123456789012:role/IAMExampleRole",
            "ServiceName": "Amazon S3"
        }
    ]
```

Anhand dieser Informationen stellt Arnav fest, dass die `ExamplePolicy1`-Richtlinie den Zugriff auf drei Services erlaubt, Amazon DynamoDB, Amazon S3 und Amazon EC2. Der `IAMExampleUser`-Benutzer namens `IAMExampleRole` hat am 1. November als letztes versucht, auf DynamoDB zuzugreifen, und jemand hat am 25. August die IAM-Rolle verwendet, um auf Amazon S3 zuzugreifen. Darüber hinaus gibt es zwei weitere Entitys, die im letzten Jahr versucht haben, auf Amazon S3 zuzugreifen. Allerdings hat im letzten Jahr niemand versucht, auf Amazon EC2 zugreifen.

Dies bedeutet, dass Arnav die Amazon EC2-Aktionen aus der Richtlinie entfernen kann. Arnav möchte das aktuelle JSON-Dokument für die Richtlinie überprüfen. Zuerst muss er die Versionsnummer der Richtlinie mit dem folgenden Befehl bestimmen.

```
aws iam list-policy-versions --policy-arn arn:aws:iam::123456789012:policy/ExamplePolicy1
```

Aus der Antwort erfasst Arnav die aktuelle Standardversionsnummer aus dem `Versions`-Array. Er verwendet dann diese Versionsnummer (`v2`), um das JSON-Richtliniendokument mit dem folgenden Befehl anzufordern.

```
aws iam get-policy-version --policy-arn arn:aws:iam::123456789012:policy/ExamplePolicy1 --version-id v2
```

Arnav speichert das JSON-Richtliniendokument, das im `Document`-Feld des `PolicyVersion`-Arrays zurückgegeben wurde. Innerhalb des Richtliniendokuments sucht Arnav nach Aktionen mit dem `ec2`-Namespace. Wenn keine Aktionen von anderen Namespaces in der Richtlinie verbleiben, trennt Arnav die Richtlinie von den betroffenen Identitäten (Benutzern, Gruppen und Rollen). Im Anschluss daran löscht Arnav die Richtlinie. In diesem Fall umfasst die Richtlinie die Services Amazon DynamoDB und Amazon S3. Arnav entfernt daher die Amazon EC2-Aktionen aus dem Dokument und speichert die Änderungen. Er verwendet dann den folgenden Befehl, um die Richtlinie mit der neuen Version des Dokuments zu aktualisieren und diese Version als Standardrichtlinienversion festzulegen.

```
aws iam create-policy-version --policy-arn arn:aws:iam::123456789012:policy/ExamplePolicy1 --policy-document file://UpdatedPolicy.json --set-as-default
```

Die `ExamplePolicy1`-Richtlinie ist jetzt aktualisiert und entfernt den Zugriff auf den unnötigen Amazon EC2-Service.

## Andere IAM-Szenarien
<a name="last-accessed-scenarios-other"></a>

Informationen darüber, wann eine IAM-Ressource (Benutzer, Gruppe, Rolle oder Richtlinie) zuletzt versucht hat, auf einen Service zuzugreifen, können Ihnen bei der Durchführung der folgenden Aufgaben helfen:
+ **Richtlinien** – [Bearbeiten einer bestehenden kundenverwalteten oder eingebundenen Richtlinie zum Entfernen von Berechtigungen](access_policies_manage-edit.md)
+ **Richtlinien** – [Konvertieren einer eingebundenen Richtlinie in eine verwaltete Richtlinie und anschließendes Löschen der Richtlinie](access_policies-convert-inline-to-managed.md)
+ **Richtlinien** – [Hinzufügen einer ausdrücklichen Ablehnung zu einer bestehenden Richtlinie](reference_policies_evaluation-logic_AccessPolicyLanguage_Interplay.md)
+ **Richtlinien** – [Trennen einer verwalteten Richtlinie von einer Identität (Gruppe, Rolle oder Benutzer)](access_policies_manage-attach-detach.md#detach-managed-policy-console)
+ **Entitys** – [Festlegen einer Berechtigungsgrenze zum Steuern der maximalen Berechtigungen, die eine Entity (Benutzer oder Rolle) haben kann](access_policies_manage-attach-detach.md)
+ **Gruppen** – [Entfernen von Benutzern aus einer Gruppe](id_groups_manage_add-remove-users.md)

## Verwenden von Informationen zum Optimieren von Berechtigungen für eine Organisationseinheit
<a name="access_policies_last-accessed-reduce-permissions-orgs"></a>

Sie können die Informationen zum letzten Zugriff verwenden, um die Berechtigungen für eine Organisationseinheit (OU) in AWS Organizations einzugrenzen.

John Stiles ist beispielsweise Administrator. AWS Organizations Er ist dafür verantwortlich, dass die Mitarbeiter des Unternehmens AWS-Konten nicht über zu viele Berechtigungen verfügen. Im Rahmen einer periodischen Sicherheitsprüfung überprüft er die Berechtigungen seiner Organisation. Seine `Development`-Organisationseinheit enthält Konten, die häufig dazu verwendet werden, um neue AWS -Services zu testen. John überprüft den Bericht regelmäßig auf Services, auf die innerhalb der letzten 180 Tage nicht zugegriffen wurde. Anschließend entfernt er die Zugriffsberechtigungen auf diese Services für die Mitglieder der Organisationseinheit. 

John meldet sich bei der IAM-Konsole mit seinen Anmeldeinformationen für das Hauptkonto an. In der IAM-Konsole sucht er nach den AWS Organizations Daten für die `Development` Organisationseinheit. Er überprüft die Tabelle mit dem **Bericht über den Dienstzugriff** und sieht zwei AWS Dienste, auf die seit mehr als dem von ihm bevorzugten Zeitraum von 180 Tagen nicht zugegriffen wurde. Er erinnert sich, dass er den Entwicklungsteams Berechtigungen für den Zugriff auf Amazon Lex und hinzugefügt hat AWS Database Migration Service. John setzt sich mit den Entwicklungsteams in Verbindung und vergewissert sich, dass keine geschäftliche Notwendigkeit mehr besteht, um diese Services zu testen.

John ist jetzt bereit, auf der Grundlage der Informationen zum letzten Zugriff zu handeln. Er wählt **Edit in AWS Organizations(In bearbeiten)** aus und wird darauf hingewiesen, dass die SCP mehreren Elemente zugeordnet ist. Er wählt **Continue (Fortfahren)**. Darin AWS Organizationsüberprüft er die Ziele, um zu erfahren, welchen AWS Organizations Entitäten der SCP zugeordnet ist. Alle Entitys befinden sich innerhalb der `Development`-Organisationseinheit.

John beschließt, den Zugriff auf Amazon Lex und AWS Database Migration Service Aktionen im `NewServiceTest` SCP zu verweigern. Durch diese Aktion wird der unnötige Zugriff auf die Services entfernt.

# IAM-Aktion, zuletzt aufgerufene Informationsservices und Aktionen
<a name="access_policies_last-accessed-action-last-accessed"></a>

In der folgenden Tabelle sind die AWS Dienste aufgeführt, für die [Informationen zum letzten Zugriff der IAM-Aktion](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed.html) angezeigt werden. Eine Liste der Aktionen in den einzelnen Diensten finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) in der Service Authorization Reference.

AWS stellt Informationen zur Aktion, auf die zuletzt zugegriffen wurde, im JSON-Format bereit, um die Automatisierung von Workflows zur Richtlinienverwaltung zu optimieren. Mit den Service-Referenzinformationen können Sie in maschinenlesbaren Dateien auf Informationen zur Aktion zugreifen, auf AWS-Services die zuletzt zugegriffen wurde. Weitere Informationen finden Sie unter [Simplified AWS-Service information for programmatic access](https://docs.aws.amazon.com/service-authorization/latest/reference/service-reference.html) in der Service-Authorization-Referenz.


|  **Service**  |  **Servicepräfix**  | 
| --- | --- | 
|  [AWS Identity and Access Management und Access Analyzer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamaccessanalyzer.html)  | access-analyzer | 
|  [AWS -Kontenverwaltung](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsaccountmanagement.html)  | Konto | 
|  [AWS Certificate Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscertificatemanager.html)  | acm | 
|  [Amazon Managed Workflows für Apache Airflow](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedworkflowsforapacheairflow.html)  | airflow | 
|  [AWS Amplify](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsamplify.html)  | amplify | 
|  [AWS Amplify UI-Builder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsamplifyuibuilder.html)  | amplifyuibuilder | 
|  [Amazon AppIntegrations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonappintegrations.html)  | app‑integrations | 
|  [AWS AppConfig](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsappconfig.html)  | appconfig | 
|  [Amazon AppFlow](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonappflow.html)  | appflow | 
|  [AWS Cost Profiler für Anwendungen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapplicationcostprofilerservice.html)  | application-cost-profiler | 
|  [Einblicke in CloudWatch Amazon-Anwendungen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchapplicationinsights.html)  | applicationinsights | 
|  [AWS App Mesh](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsappmesh.html)  | appmesh | 
|  [ WorkSpaces Amazon-Anwendungen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonappstream2.0.html)  | appstream | 
|  [AWS AppSync](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsappsync.html)  | appsync | 
|  [Amazon Managed Service for Prometheus](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedserviceforprometheus.html)  | aps | 
|  [Amazon Athena](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonathena.html)  | Athene | 
|  [AWS Audit Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsauditmanager.html)  | auditmanager | 
|  [AWS Auto Scaling](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsautoscaling.html)  | automatische Skalierung | 
|  [AWS Marketplace](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmarketplace.html)  | aws-marketplace | 
|  [AWS Backup](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html)  | backup | 
|  [AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html)  | Batch | 
|  [Amazon Braket](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbraket.html)  | braket | 
|  [AWS Budgets](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbudgetservice.html)  | Budgets | 
|  [AWS Cloud9](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloud9.html)  | cloud9 | 
|  [AWS CloudFormation](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudformation.html)  | cloudformation | 
|  [Amazon CloudFront](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudfront.html)  | cloudfront | 
|  [AWS CloudHSM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudhsm.html)  | cloudhsm | 
|  [Amazon CloudSearch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudsearch.html)  | clousearch | 
|  [AWS CloudTrail](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudtrail.html)  | cloudtrail | 
|  [Amazon CloudWatch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatch.html)  | cloudwatch | 
|  [AWS CodeArtifact](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodeartifact.html)  | codeartifact | 
|  [AWS CodeDeploy](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodedeploy.html)  | codedeploy | 
|  [Amazon CodeGuru Profiler](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncodeguruprofiler.html)  | codeguru-profiler | 
|  [ CodeGuru Amazon-Rezensent](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncodegurureviewer.html)  | codeguru-reviewer | 
|  [AWS CodePipeline](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodepipeline.html)  | codepipeline | 
|  [AWS CodeStar](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodestar.html)  | codestar | 
|  [AWS CodeStar Benachrichtigungen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodestarnotifications.html)  | codestar-notifications | 
|  [Amazon Cognito-Identität](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncognitoidentity.html)  | cognito-identity | 
|  [Amazon-Cognito-Benutzerpools](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncognitouserpools.html)  | cognito-idp | 
|  [Amazon Cognito Sync](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncognitosync.html)  | cognito-sync | 
|  [Amazon Comprehend Medical](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehendmedical.html)  | comprehendmedical | 
|  [AWS Compute Optimizer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscomputeoptimizer.html)  | compute-optimizer | 
|  [AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html)  | config | 
|  [Amazon Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html)  | connect | 
|  [AWS Cost and Usage Report](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscostandusagereport.html)  | cur | 
|  [AWS Glue DataBrew](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsgluedatabrew.html)  | databrew | 
|  [AWS Data Exchange](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdataexchange.html)  | dataexchange | 
|  [AWS Data Pipeline](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatapipeline.html)  | datapipeline | 
|  [DynamoDB Accelerator](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondynamodbacceleratordax.html)  | dax | 
|  [AWS Device Farm](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdevicefarm.html)  | devicefarm | 
|  [ DevOpsAmazon-Guru](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondevopsguru.html)  | devops-guru | 
|  [AWS Direct Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdirectconnect.html)  | directconnect | 
|  [Amazon Data Lifecycle Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondatalifecyclemanager.html)  | dlm | 
|  [AWS Database Migration Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatabasemigrationservice.html)  | dms | 
|  [Elastische Amazon DocumentDB-Cluster](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondocumentdbelasticclusters.html)  | docdb-elastic | 
|  [Amazon-DynamoDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondynamodb.html)  | dynamodb | 
|  [Amazon Elastic Block Store](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticblockstore.html)  | ebs | 
|  [Amazon Elastic Compute Cloud](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html)  | ec2 | 
|  [Amazon Elastic Container Registry](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerregistry.html)  | ecr | 
|  [Amazon Elastic Container Registry Public](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerregistrypublic.html)  | ecr-public | 
|  [Amazon Elastic Container Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerservice.html)  | ecs | 
|  [Amazon Elastic Kubernetes Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelastickubernetesservice.html)  | eks | 
|  [Amazon ElastiCache](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticache.html)  | elasticache | 
|  [AWS Elastic Beanstalk](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselasticbeanstalk.html)  | elasticbeanstalk | 
|  [Amazon Elastic File System](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticfilesystem.html)  | elasticfilesystem | 
|  [Elastic Load Balancing](https://docs.aws.amazon.com/service-authorization/latest/reference/list_elasticloadbalancing.html)  | elasticloadbalancing | 
|  [Amazon Elastic Transcoder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelastictranscoder.html)  | elastictranscoder | 
|  [Amazon EMR auf EKS (EMR Container)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonemroneksemrcontainers.html)  | emr-containers | 
|  [Amazon EMR Serverless](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonemrserverless.html)  | emr-serverless | 
|  [ OpenSearch Amazon-Dienst](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchservice.html)  | es | 
|  [Amazon EventBridge](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridge.html)  | Veranstaltungen | 
|  [Amazon CloudWatch offenbar](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchevidently.html)  | evidently | 
|  [Amazon FinSpace](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfinspace.html)  | finspace | 
|  [Amazon Data Firehose](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisfirehose.html)  | firehose | 
|  [AWS Fault Injection Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfaultinjectionsimulator.html)  | fis | 
|  [AWS Firewall Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html)  | fms | 
|  [Amazon Fraud Detector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfrauddetector)  | frauddetector | 
|  [Amazon FSx](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx)  | fsx | 
|  [ GameLift Amazon-Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazongamelift)  | gamelift | 
|  [Amazon Location Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlocation.html)  | geo | 
|  [Amazon Glacier](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3glacier.html)  | glacier | 
|  [Amazon Managed Grafana](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedgrafana.html)  | grafana | 
|  [AWS IoT Greengrass](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotgreengrass.html)  | greengrass | 
|  [AWS Ground Station](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsgroundstation.html)  | groundstation | 
|  [Amazon GuardDuty](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html)  | guardduty | 
|  [AWS HealthLake](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonhealthlake.html)  | healthlake | 
|  [Amazon Honeycode](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonhoneycode.html)  | honeycode | 
|  [AWS Identity and Access Management](https://docs.aws.amazon.com/service-authorization/latest/reference/list_identityandaccessmanagement.html)  | iam | 
|  [AWS Identitätsspeicher](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentitystore.html)  | identitystore | 
|  [EC2 Image Builder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html)  | imagebuilder | 
|  [Amazon Inspector Classic](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector.html)  | inspector | 
|  [Amazon Inspector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html)  | inspector2 | 
|  [AWS IoT](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiot.html)  | iot | 
|  [AWS IoT Analytics](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotanalytics.html)  | iotanalytics | 
|  [AWS IoT Core Device Advisor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotcoredeviceadvisor.html)  | iotdeviceadvisor | 
|  [AWS IoT Events](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotevents.html)  | iotevents | 
|  [AWS IoT Fleet Hub](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotfleethubfordevicemanagement.html)  | iotfleethub | 
|  [AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html)  | iotsitewise | 
|  [AWS IoT TwinMaker](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiottwinmaker.html)  | iottwinmaker | 
|  [AWS IoT Wireless](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotwireless.html)  | iotwireless | 
|  [Amazon Interactive Video Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninteractivevideoservice.html)  | ivs | 
|  [Amazon Interactive Video Service Chat](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninteractivevideoservicechat.html)  | ivschat | 
|  [Amazon Managed Streaming für Apache Kafka](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedstreamingforapachekafka.html)  | kafka | 
|  [Amazon Managed Streaming for Kafka Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedstreamingforkafkaconnect.html)  | kafkaconnect | 
|  [Amazon Kendra](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkendra.html)  | kendra | 
|  [Amazon Kinesis](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesis.html)  | kinesis | 
|  [Amazon Kinesis Analytics V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisanalyticsv2.html)  | kinesisanalytics | 
|  [AWS Key Management Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html)  | kms | 
|  [AWS Lambda](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awslambda.html)  | Lambda | 
|  [Amazon Lex](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlexv2.html)  | lex | 
|  [AWS License Manager Linux-Abonnement-Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awslicensemanagerlinuxsubscriptionsmanager.html)  | license-manager-linux-subscriptions | 
|  [Amazon Lightsail](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlightsail.html)  | lightsail | 
|  [ CloudWatch Amazon-Protokolle](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchlogs.html)  | Protokolle | 
|  [Amazon Lookout für Equipment](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlookoutforequipment.html)  | lookoutequipment | 
|  [Amazon Lookout for Metrics](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlookoutformetrics.html)  | lookoutmetrics | 
|  [Amazon Lookout for Vision](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlookoutforvision.html)  | lookoutvision | 
|  [AWS Mainframe Modernization](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmainframemodernizationservice.html)  | m2 | 
|  [Amazon Managed Blockchain](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedblockchain.html)  | managedblockchain | 
|  [AWS Elemental MediaConnect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediaconnect.html)  | mediaconnect | 
|  [AWS Elemental MediaConvert](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediaconvert.html)  | mediaconvert | 
|  [AWS Elemental MediaLive](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmedialive.html)  | medialive | 
|  [AWS Elemental MediaStore](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediastore.html)  | mediastore | 
|  [AWS Elemental MediaTailor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediatailor.html)  | mediatailor | 
|  [Amazon MemoryDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmemorydb.html)  | Memory-DB | 
|  [AWS Application Migration Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapplicationmigrationservice.html)  | mgn | 
|  [AWS Migration Hub](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmigrationhub.html)  | mgh | 
|  [AWS Migration-Hub-Strategieempfehlungen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmigrationhubstrategyrecommendations.html)  | migrationhub-strategy | 
|  [Amazon Pinpoint](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpinpoint.html)  | mobiletargeting | 
|  [Amazon MQ](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmq.html)  | mq | 
|  [AWS Network Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsnetworkmanager.html)  | networkmanager | 
|  [Amazon Nimble Studio](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonnimblestudio.html)  | nimble | 
|  [AWS HealthOmics](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthomics.html)  | omics | 
|  [AWS OpsWorks](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsopsworks.html)  | opsworks | 
|  [AWS OpsWorks CM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsopsworksconfigurationmanagement)  | opsworks-cm | 
|  [AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html)  | outposts | 
|  [AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html)  | Organisationen | 
|  [AWS Panorama](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awspanorama.html)  | panorama | 
|  [AWS Performance Insights](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsperformanceinsights.html)  | pi | 
|  [ EventBridgeAmazon-Pfeifen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridgepipes.html)  | pipes | 
|  [Amazon Polly](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpolly.html)  | polly | 
|  [Amazon Connect Customer Profiles](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnectcustomerprofiles.html)  | Profil | 
|  [Amazon QLDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonqldb.html)  | qldb | 
|  [AWS Resource Access Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceaccessmanager.html)  | ram | 
|  [AWS Papierkorb](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsrecyclebin.html)  | rbin | 
|  [Amazon Relational Database Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrds.html)  | rds | 
|  [Amazon Redshift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonredshift.html)  | redshift | 
|  [Amazon Redshift-Daten-API](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonredshiftdataapi.html)  | redshift-data | 
|  [AWS Migration Hub Refactor Spaces](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmigrationhubrefactorspaces.html)  | refactor-spaces | 
|  [Amazon Rekognition](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrekognition.html)  | Rekognition | 
|  [AWS Resilience Hub](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresiliencehub.html)  | resiliencehub | 
|  [AWS Resource Explorer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html)  | resource-explorer-2 | 
|  [AWS -Ressourcengruppen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourcegroups.html)  | resource-groups | 
|  [AWS RoboMaker](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsrobomaker.html)  | robomaker | 
|  [AWS Identity and Access Management Rollen überall](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentityandaccessmanagementrolesanywhere.html)  | rolesanywhere | 
|  [Amazon Route 53](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53.html)  | route53 | 
|  [Amazon Route 53 Recovery-Kontrollen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html)  | Route 53- recovery-control-config | 
|  [Amazon Route 53 Recovery-Bereitschaft](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoveryreadiness.html)  | route53-recovery-readiness | 
|  [Amazon Route 53 Resolver](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53resolver.html)  | route53resolver | 
|  [AWS CloudWatchRUM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudwatchrum.html)  | rum | 
|  [Amazon Simple Storage Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html)  | S3 | 
|  [Amazon S3 on Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3onoutposts.html)  | s3-outposts | 
|  [Geospatiale Funktionen von Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemakergeospatialcapabilities.html)  | sagemaker-geospatial | 
|  [Savings Plans](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssavingsplans.html)  | savingsplans | 
|  [ EventBridgeAmazon-Schemas](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridgeschemas.html)  | schemas | 
|  [Amazon SimpleDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsimpledb.html)  | sdb | 
|  [AWS Secrets Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecretsmanager.html)  | secretsmanager | 
|  [AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html)  | securityhub | 
|  [Amazon Security Lake](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsecuritylake.html)  | securitylake | 
|  [AWS Serverless Application Repository](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsserverlessapplicationrepository.html)  | serverlessrepo | 
|  [AWS Service Catalog](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsservicecatalog.html)  | servicecatalog | 
|  [AWS Cloud Map](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudmap.html)  | servicediscovery | 
|  [Service Quotas](https://docs.aws.amazon.com/service-authorization/latest/reference/list_servicequotas.html)  | servicequotas | 
|  [Amazon Simple Email Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonses.html)  | ses | 
|  [AWS Shield](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html)  | shield | 
|  [AWS Signer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssigner.html)  | signer | 
|  [AWS SimSpace Weaver](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssimspaceweaver.html)  | simspaceweaver | 
|  [AWS Server Migration Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsservermigrationservice.html)  | sms | 
|  [Amazon Pinpoint-SMS- und Sprachnachrichten-Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpinpointsmsandvoiceservice.html)  | sms-voice | 
|  [AWS Snowball Edge](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssnowball.html)  | snowball | 
|  [Amazon Simple Queue Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsqs.html)  | sqs | 
|  [AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html)  | ssm | 
|  [AWS Systems Manager Incident Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanagerincidentmanager.html)  | ssm-incidents | 
|  [AWS Systems Manager für SAP](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanagerforsap.html)  | ssm-sap | 
|  [AWS Step Functions](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsstepfunctions.html)  | Status | 
|  [AWS -Security-Token-Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecuritytokenservice.html)  | sts | 
|  [Amazon Simple Workflow Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsimpleworkflowservice.html)  | swf | 
|  [Amazon CloudWatch Synthetics](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchsynthetics.html)  | synthetics | 
|  [AWS Resource Groups Tagging API](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonresourcegrouptaggingapi.html)  | Tag (Markierung) | 
|  [Amazon Textract](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontextract.html)  | textract/ | 
|  [Amazon Timestream](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontimestream.html)  | timestream | 
|  [AWS Telco Network Builder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstelconetworkbuilder.html)  | tnb | 
|  [Amazon Transcribe](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontranscribe.html)  | transcribe | 
|  [AWS Transfer Family](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html)  | Übertragung | 
|  [Amazon Translate](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontranslate.html)  | translate | 
|  [Amazon Connect Voice ID](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnectvoiceid.html)  | voiceid | 
|  [Amazon VPC Lattice](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonvpclattice.html)  | vpc-lattice | 
|  [AWS WAFV2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html)  | wafv2 | 
|  [AWS Well-Architected Tool](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html)  | wellarchitected | 
|  [Amazon Connect Wisdom](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnectwisdom.html)  | wisdom | 
|  [Amazon WorkLink](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonworklink.html)  | worklink | 
|  [Amazon WorkSpaces](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonworkspaces.html)  | Workspaces | 
|  [AWS X-Ray](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsx-ray.html)  | xray | 

## Aktionen für die zuletzt aufgerufene Aktion
<a name="access_policies_last-accessed-action-last-accessed-supported-actions"></a>

In der folgenden Tabelle sind die Aktionen aufgeführt, für die Informationen zur Aktion, auf die zuletzt zugegriffen wurde, verfügbar sind.

**Wichtig**  
Die Aktion `iam:UpdateAccountName` wird am 22. April 2026 eingestellt. Nach dem 22. April 2026 wird der Zugriff auf die Aktualisierung von Kontonamen nur noch über die Berechtigung `[account:PutAccountName](https://docs.aws.amazon.com/accounts/latest/reference/API_PutAccountName.html)` gesteuert. Es wird dringend empfohlen, alle [Dienststeuerungsrichtlinien (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) zu aktualisieren, die Aktualisierungen von Kontonamen steuern, um diese `account:PutAccountName` Berechtigung nutzen zu können.


|  **Servicepräfix**  |  **Aktionen**  | 
| --- | --- | 
| access-analyzer |  Access-Analyzer: ApplyArchiveRule Zugriffs-Analysator: CancelPolicyGeneration Zugriffs-Analysator: CheckAccessNotGranted Zugriffs-Analysator: CheckNoNewAccess Zugriffs-Analysator: CheckNoPublicAccess Zugriffs-Analysator: CreateAccessPreview Zugriffs-Analysator: CreateAnalyzer Zugriffs-Analysator: CreateArchiveRule Zugriffs-Analysator: DeleteAnalyzer Zugriffs-Analysator: DeleteArchiveRule Zugriffs-Analysator: GenerateFindingRecommendation Zugriffs-Analysator: GetAccessPreview Zugriffs-Analysator: GetAnalyzedResource Zugriffs-Analysator: GetAnalyzer Zugriffs-Analysator: GetArchiveRule Zugriffs-Analysator: GetFinding Zugriffs-Analysator: GetFindingRecommendation Zugriffs-Analysator: GetFindingsStatistics Zugriffs-Analysator: GetGeneratedPolicy Zugriffs-Analysator: ListAccessPreviewFindings Zugriffs-Analysator: ListAccessPreviews Zugriffs-Analysator: ListAnalyzedResources Zugriffs-Analysator: ListAnalyzers Zugriffs-Analysator: ListArchiveRules Zugriffs-Analysator: ListFindings Zugriffs-Analysator: ListPolicyGenerations Zugriffs-Analysator: StartPolicyGeneration Zugriffs-Analysator: StartResourceScan Zugriffs-Analysator: UpdateAnalyzer Zugriffs-Analysator: UpdateArchiveRule Zugriffs-Analysator: UpdateFindings Zugriffs-Analysator: ValidatePolicy  | 
| Konto |  Konto: AcceptPrimaryEmailUpdate konto: DeleteAlternateContact konto: DisableRegion konto: EnableRegion konto: GetAccountInformation konto: GetAlternateContact konto: GetContactInformation konto: GetGovCloudAccountInformation konto: GetPrimaryEmail konto: GetRegionOptStatus konto: ListRegions konto: PutAccountName konto: PutAlternateContact konto: PutContactInformation konto: StartPrimaryEmailUpdate  | 
| acm |  acm: DeleteCertificate acm: DescribeCertificate acm: ExportCertificate acm: GetAccountConfiguration acm: GetCertificate acm: ImportCertificate acm: ListCertificates acm: PutAccountConfiguration acm: RenewCertificate acm: RequestCertificate acm: ResendValidationEmail acm: UpdateCertificateOptions  | 
| airflow |  Luftstrom: CreateCliToken Luftstrom: CreateEnvironment Luftstrom: CreateWebLoginToken Luftstrom: DeleteEnvironment Luftstrom: GetEnvironment Luftstrom: ListEnvironments Luftstrom: PublishMetrics Luftstrom: UpdateEnvironment  | 
| amplify |  verstärken: CreateApp verstärken: CreateBackendEnvironment verstärken: CreateBranch verstärken: CreateDeployment verstärken: CreateDomainAssociation verstärken: CreateWebHook verstärken: DeleteApp verstärken: DeleteBackendEnvironment verstärken: DeleteBranch verstärken: DeleteDomainAssociation verstärken: DeleteJob verstärken: DeleteWebHook verstärken: GenerateAccessLogs verstärken: GetApp verstärken: GetArtifactUrl verstärken: GetBackendEnvironment verstärken: GetBranch verstärken: GetDomainAssociation verstärken: GetJob verstärken: GetWebHook verstärken: ListApps verstärken: ListArtifacts verstärken: ListBackendEnvironments verstärken: ListBranches verstärken: ListDomainAssociations verstärken: ListJobs verstärken: ListWebHooks verstärken: StartDeployment verstärken: StartJob verstärken: StopJob verstärken: UpdateApp verstärken: UpdateBranch verstärken: UpdateDomainAssociation verstärken: UpdateWebHook  | 
| amplifyuibuilder |  uibuilder verstärken: CreateComponent amplifiuibuilder: CreateForm amplifiuibuilder: CreateTheme amplifiuibuilder: DeleteComponent amplifiuibuilder: DeleteForm amplifiuibuilder: DeleteTheme amplifiuibuilder: ExportComponents amplifiuibuilder: ExportThemes amplifiuibuilder: GetCodegenJob amplifiuibuilder: ListCodegenJobs amplifiuibuilder: ListComponents amplifiuibuilder: ListForms amplifiuibuilder: ListThemes amplifiuibuilder: ResetMetadataFlag amplifiuibuilder: StartCodegenJob amplifiuibuilder: UpdateComponent amplifiuibuilder: UpdateForm amplifiuibuilder: UpdateTheme  | 
| app‑integrations |  App-Integrationen: CreateApplication App-Integrationen: CreateDataIntegration App-Integrationen: CreateDataIntegrationAssociation App-Integrationen: CreateEventIntegration App-Integrationen: DeleteApplication App-Integrationen: DeleteDataIntegration App-Integrationen: DeleteEventIntegration App-Integrationen: GetApplication App-Integrationen: GetDataIntegration App-Integrationen: GetEventIntegration App-Integrationen: ListApplicationAssociations App-Integrationen: ListApplications App-Integrationen: ListDataIntegrationAssociations App-Integrationen: ListDataIntegrations App-Integrationen: ListEventIntegrationAssociations App-Integrationen: ListEventIntegrations App-Integrationen: UpdateApplication App-Integrationen: UpdateDataIntegration App-Integrationen: UpdateDataIntegrationAssociation App-Integrationen: UpdateEventIntegration  | 
| appconfig |  Anwendungskonfiguration: CreateApplication Anwendungskonfiguration: CreateConfigurationProfile Anwendungskonfiguration: CreateDeploymentStrategy Anwendungskonfiguration: CreateEnvironment Anwendungskonfiguration: CreateExtension Anwendungskonfiguration: CreateExtensionAssociation Anwendungskonfiguration: CreateHostedConfigurationVersion Anwendungskonfiguration: DeleteApplication Anwendungskonfiguration: DeleteConfigurationProfile Anwendungskonfiguration: DeleteDeploymentStrategy Anwendungskonfiguration: DeleteEnvironment Anwendungskonfiguration: DeleteExtension Anwendungskonfiguration: DeleteExtensionAssociation Anwendungskonfiguration: DeleteHostedConfigurationVersion Anwendungskonfiguration: GetAccountSettings Anwendungskonfiguration: GetApplication Anwendungskonfiguration: GetConfiguration Anwendungskonfiguration: GetConfigurationProfile Anwendungskonfiguration: GetDeployment Anwendungskonfiguration: GetDeploymentStrategy Anwendungskonfiguration: GetEnvironment Anwendungskonfiguration: GetExtension Anwendungskonfiguration: GetExtensionAssociation Anwendungskonfiguration: GetHostedConfigurationVersion Anwendungskonfiguration: ListApplications Anwendungskonfiguration: ListConfigurationProfiles Anwendungskonfiguration: ListDeploymentStrategies Anwendungskonfiguration: ListDeployments Anwendungskonfiguration: ListEnvironments Anwendungskonfiguration: ListExtensionAssociations Anwendungskonfiguration: ListExtensions Anwendungskonfiguration: ListHostedConfigurationVersions Anwendungskonfiguration: StartDeployment Anwendungskonfiguration: StopDeployment Anwendungskonfiguration: UpdateAccountSettings Anwendungskonfiguration: UpdateApplication Anwendungskonfiguration: UpdateConfigurationProfile Anwendungskonfiguration: UpdateDeploymentStrategy Anwendungskonfiguration: UpdateEnvironment Anwendungskonfiguration: UpdateExtension Anwendungskonfiguration: UpdateExtensionAssociation Anwendungskonfiguration: ValidateConfiguration  | 
| appflow |  Anwendungsfluss: CancelFlowExecutions Appflow: CreateConnectorProfile Appflow: CreateFlow Appflow: DeleteConnectorProfile Appflow: DeleteFlow Appflow: DescribeConnector Appflow: DescribeConnectorEntity Appflow: DescribeConnectorProfiles Appflow: DescribeConnectors Appflow: DescribeFlow Appflow: DescribeFlowExecutionRecords Appflow: ListConnectorEntities Appflow: ListConnectors Appflow: ListFlows Appflow: RegisterConnector Appflow: ResetConnectorMetadataCache Appflow: StartFlow Appflow: StopFlow Appflow: UnRegisterConnector Appflow: UpdateConnectorProfile Appflow: UpdateConnectorRegistration Appflow: UpdateFlow  | 
| applicationinsights |  Einblicke in die Anwendung: AddWorkload Einblicke in die Anwendung: CreateApplication Einblicke in die Anwendung: CreateComponent Einblicke in die Anwendung: CreateLogPattern Einblicke in die Anwendung: DeleteApplication Einblicke in die Anwendung: DeleteComponent Einblicke in die Anwendung: DeleteLogPattern Einblicke in die Anwendung: DescribeApplication Einblicke in die Anwendung: DescribeComponent Einblicke in die Anwendung: DescribeComponentConfiguration Einblicke in die Anwendung: DescribeComponentConfigurationRecommendation Einblicke in die Anwendung: DescribeLogPattern Einblicke in die Anwendung: DescribeObservation Einblicke in die Anwendung: DescribeProblem Einblicke in die Anwendung: DescribeProblemObservations Einblicke in die Anwendung: DescribeWorkload Einblicke in die Anwendung: ListApplications Einblicke in die Anwendung: ListComponents Einblicke in die Anwendung: ListConfigurationHistory Einblicke in die Anwendung: ListLogPatternSets Einblicke in die Anwendung: ListLogPatterns Einblicke in die Anwendung: ListProblems Einblicke in die Anwendung: ListWorkloads Einblicke in die Anwendung: RemoveWorkload Einblicke in die Anwendung: UpdateApplication Einblicke in die Anwendung: UpdateComponent Einblicke in die Anwendung: UpdateComponentConfiguration Einblicke in die Anwendung: UpdateLogPattern Einblicke in die Anwendung: UpdateWorkload  | 
| appmesh |  Appmesh: CreateGatewayRoute Appmesh: CreateMesh Appmesh: CreateRoute Appmesh: CreateVirtualGateway Appmesh: CreateVirtualNode Appmesh: CreateVirtualRouter Appmesh: CreateVirtualService Appmesh: DeleteGatewayRoute Appmesh: DeleteMesh Appmesh: DeleteRoute Appmesh: DeleteVirtualGateway Appmesh: DeleteVirtualNode Appmesh: DeleteVirtualRouter Appmesh: DeleteVirtualService Appmesh: DescribeGatewayRoute Appmesh: DescribeMesh Appmesh: DescribeRoute Appmesh: DescribeVirtualGateway Appmesh: DescribeVirtualNode Appmesh: DescribeVirtualRouter Appmesh: DescribeVirtualService Appmesh: ListGatewayRoutes Appmesh: ListMeshes Appmesh: ListRoutes Appmesh: ListVirtualGateways Appmesh: ListVirtualNodes Appmesh: ListVirtualRouters Appmesh: ListVirtualServices Appmesh: StreamAggregatedResources Appmesh: UpdateGatewayRoute Appmesh: UpdateMesh Appmesh: UpdateRoute Appmesh: UpdateVirtualGateway Appmesh: UpdateVirtualNode Appmesh: UpdateVirtualRouter Appmesh: UpdateVirtualService  | 
| appstream |  Appstream: AssociateAppBlockBuilderAppBlock Appstream: AssociateApplicationFleet Appstream: AssociateApplicationToEntitlement Appstream: AssociateFleet Appstream: AssociateSoftwareToImageBuilder Appstream: BatchAssociateUserStack Appstream: BatchDisassociateUserStack Appstream: CopyImage Appstream: CreateAppBlock Appstream: CreateAppBlockBuilder Appstream: URL CreateAppBlockBuilderStreaming Appstream: CreateApplication Appstream: CreateDirectoryConfig Appstream: CreateEntitlement Appstream: CreateFleet Appstream: CreateImageBuilder Appstream: URL CreateImageBuilderStreaming Appstream: CreateStack Appstream: URL CreateStreaming Appstream: CreateThemeForStack Appstream: CreateUpdatedImage Appstream: CreateUsageReportSubscription Appstream: CreateUser Appstream: DeleteAppBlock Appstream: DeleteAppBlockBuilder Appstream: DeleteApplication Appstream: DeleteDirectoryConfig Appstream: DeleteEntitlement Appstream: DeleteFleet Appstream: DeleteImage Appstream: DeleteImageBuilder Appstream: DeleteImagePermissions Appstream: DeleteStack Appstream: DeleteThemeForStack Appstream: DeleteUsageReportSubscription Appstream: DeleteUser Appstream: DescribeAppBlockBuilderAppBlockAssociations Appstream: DescribeAppBlockBuilders Appstream: DescribeAppBlocks Appstream: DescribeAppLicenseUsage Appstream: DescribeApplicationFleetAssociations Appstream: DescribeApplications Appstream: DescribeDirectoryConfigs Appstream: DescribeEntitlements Appstream: DescribeFleets Appstream: DescribeImageBuilders Appstream: DescribeImagePermissions Appstream: DescribeImages Appstream: DescribeSessions Appstream: DescribeStacks Appstream: DescribeThemeForStack Appstream: DescribeUsageReportSubscriptions Appstream: DescribeUserStackAssociations Appstream: DescribeUsers Appstream: DisableUser Appstream: DisassociateAppBlockBuilderAppBlock Appstream: DisassociateApplicationFleet Appstream: DisassociateApplicationFromEntitlement Appstream: DisassociateFleet Appstream: DisassociateSoftwareFromImageBuilder Appstream: EnableUser Appstream: ExpireSession Appstream: GetExportImageTask Appstream: ListAssociatedFleets Appstream: ListAssociatedStacks Appstream: ListEntitledApplications Appstream: ListExportImageTasks Appstream: StartAppBlockBuilder Appstream: StartFleet Appstream: StartImageBuilder Appstream: StartSoftwareDeploymentToImageBuilder Appstream: StopAppBlockBuilder Appstream: StopFleet Appstream: StopImageBuilder Appstream: UpdateAppBlockBuilder Appstream: UpdateApplication Appstream: UpdateDirectoryConfig Appstream: UpdateEntitlement Appstream: UpdateFleet Appstream: UpdateImagePermissions Appstream: UpdateStack Appstream: UpdateThemeForStack  | 
| appsync |  App-Synchronisierung: AssociateApi AppSync: AssociateMergedGraphqlApi AppSync: AssociateSourceGraphqlApi appsync: ACL AssociateWeb AppSync: CreateApi AppSync: CreateApiCache AppSync: CreateApiKey AppSync: CreateChannelNamespace AppSync: CreateDataSource AppSync: CreateDomainName AppSync: CreateFunction AppSync: CreateGraphqlApi AppSync: CreateResolver AppSync: CreateType AppSync: DeleteApi AppSync: DeleteApiCache AppSync: DeleteApiKey AppSync: DeleteChannelNamespace AppSync: DeleteDataSource AppSync: DeleteDomainName AppSync: DeleteFunction AppSync: DeleteGraphqlApi AppSync: DeleteResolver AppSync: DeleteType AppSync: DisassociateApi AppSync: DisassociateMergedGraphqlApi AppSync: DisassociateSourceGraphqlApi appsync: ACL DisassociateWeb AppSync: EvaluateCode AppSync: EvaluateMappingTemplate AppSync: FlushApiCache AppSync: GetApi AppSync: GetApiAssociation AppSync: GetApiCache AppSync: GetChannelNamespace AppSync: GetDataSource AppSync: GetDataSourceIntrospection AppSync: GetDomainName AppSync: GetFunction AppSync: GetGraphqlApi AppSync: GetGraphqlApiEnvironmentVariables AppSync: GetIntrospectionSchema AppSync: GetResolver AppSync: GetSchemaCreationStatus AppSync: GetSourceApiAssociation AppSync: GetType appsync: Ressource GetWeb ACLFor Appsync: ListApiKeys AppSync: ListApis AppSync: ListChannelNamespaces AppSync: ListDataSources AppSync: ListDomainNames AppSync: ListFunctions AppSync: ListGraphqlApis AppSync: ListResolvers AppSync: ListResolversByFunction appsync: ACL ListResourcesForWeb AppSync: ListSourceApiAssociations AppSync: ListTypes AppSync: ListTypesByAssociation AppSync: PutGraphqlApiEnvironmentVariables AppSync: StartDataSourceIntrospection AppSync: StartSchemaCreation AppSync: StartSchemaMerge AppSync: UpdateApi AppSync: UpdateApiCache AppSync: UpdateApiKey AppSync: UpdateChannelNamespace AppSync: UpdateDataSource AppSync: UpdateDomainName AppSync: UpdateFunction AppSync: UpdateGraphqlApi AppSync: UpdateResolver AppSync: UpdateSourceApiAssociation AppSync: UpdateType  | 
| aps |  Apps: CreateAlertManagerDefinition Apps: CreateAnomalyDetector Apps: CreateLoggingConfiguration Apps: CreateQueryLoggingConfiguration Apps: CreateRuleGroupsNamespace Apps: CreateWorkspace Apps: DeleteAlertManagerDefinition Apps: DeleteAnomalyDetector Apps: DeleteLoggingConfiguration Apps: DeleteQueryLoggingConfiguration Apps: DeleteResourcePolicy Apps: DeleteRuleGroupsNamespace Apps: DeleteScraper Apps: DeleteScraperLoggingConfiguration Apps: DeleteWorkspace Apps: DescribeAlertManagerDefinition Apps: DescribeAnomalyDetector Apps: DescribeLoggingConfiguration Apps: DescribeQueryLoggingConfiguration Apps: DescribeResourcePolicy Apps: DescribeRuleGroupsNamespace Apps: DescribeScraper Apps: DescribeScraperLoggingConfiguration Apps: DescribeWorkspace Apps: DescribeWorkspaceConfiguration Apps: GetDefaultScraperConfiguration Apps: ListAnomalyDetectors Apps: ListRuleGroupsNamespaces Apps: ListScrapers Apps: ListWorkspaces Apps: PutAlertManagerDefinition Apps: PutAnomalyDetector Apps: PutResourcePolicy Apps: PutRuleGroupsNamespace Apps: UpdateLoggingConfiguration Apps: UpdateQueryLoggingConfiguration Apps: UpdateScraper Apps: UpdateScraperLoggingConfiguration Apps: UpdateWorkspaceAlias Apps: UpdateWorkspaceConfiguration  | 
| Athene |  Athene: BatchGetNamedQuery Athene: BatchGetPreparedStatement Athene: BatchGetQueryExecution Athene: CancelCapacityReservation Athene: CreateCapacityReservation Athene: CreateDataCatalog Athene: CreateNamedQuery Athene: CreateNotebook Athene: CreatePreparedStatement Athene: CreatePresignedNotebookUrl Athene: CreateWorkGroup Athene: DeleteCapacityReservation Athene: DeleteDataCatalog Athene: DeleteNamedQuery Athene: DeleteNotebook Athene: DeletePreparedStatement Athene: DeleteWorkGroup Athene: ExportNotebook Athene: GetCalculationExecution Athene: GetCalculationExecutionCode Athene: GetCalculationExecutionStatus Athene: GetCapacityAssignmentConfiguration Athene: GetCapacityReservation Athene: GetDataCatalog Athene: GetDatabase Athene: GetNamedQuery Athene: GetNotebookMetadata Athene: GetPreparedStatement Athene: GetQueryExecution Athene: GetQueryResults Athene: GetQueryResultsStream Athene: GetQueryRuntimeStatistics Athene: GetResourceDashboard Athene: GetSession Athene: GetSessionEndpoint Athene: GetSessionStatus Athene: GetTableMetadata Athene: GetWorkGroup Athene: ImportNotebook Athene: ListApplication DPUSizes Athene: ListCalculationExecutions Athene: ListCapacityReservations Athene: ListDataCatalogs Athene: ListDatabases Athene: ListEngineVersions Athene: ListExecutors Athene: ListNamedQueries Athene: ListNotebookMetadata Athene: ListNotebookSessions Athene: ListPreparedStatements Athene: ListQueryExecutions Athene: ListSessions Athene: ListTableMetadata Athene: ListWorkGroups Athene: PutCapacityAssignmentConfiguration Athene: StartCalculationExecution Athene: StartQueryExecution Athene: StartSession Athene: StopCalculationExecution Athene: StopQueryExecution Athene: TerminateSession Athene: UpdateCapacityReservation Athene: UpdateDataCatalog Athene: UpdateNamedQuery Athene: UpdateNotebook Athene: UpdateNotebookMetadata Athene: UpdatePreparedStatement Athene: UpdateWorkGroup  | 
| auditmanager |  Prüfungsleiter: AssociateAssessmentReportEvidenceFolder Prüfungsleiter: BatchAssociateAssessmentReportEvidence Prüfungsleiter: BatchCreateDelegationByAssessment Prüfungsleiter: BatchDeleteDelegationByAssessment Prüfungsleiter: BatchDisassociateAssessmentReportEvidence Prüfungsleiter: BatchImportEvidenceToAssessmentControl Prüfungsleiter: CreateAssessment Prüfungsleiter: CreateAssessmentFramework Prüfungsleiter: CreateAssessmentReport Prüfungsleiter: CreateControl Prüfungsleiter: DeleteAssessment Prüfungsleiter: DeleteAssessmentFramework Prüfungsleiter: DeleteAssessmentFrameworkShare Prüfungsleiter: DeleteAssessmentReport Prüfungsleiter: DeleteControl Prüfungsleiter: DeregisterAccount Prüfungsleiter: DeregisterOrganizationAdminAccount Prüfungsleiter: DisassociateAssessmentReportEvidenceFolder Prüfungsleiter: GetAccountStatus Prüfungsleiter: GetAssessment Prüfungsleiter: GetAssessmentFramework Prüfungsleiter: GetAssessmentReportUrl Prüfungsleiter: GetChangeLogs Prüfungsleiter: GetControl Prüfungsleiter: GetDelegations Prüfungsleiter: GetEvidence Prüfungsleiter: GetEvidenceByEvidenceFolder Prüfungsleiter: GetEvidenceFileUploadUrl Prüfungsleiter: GetEvidenceFolder Prüfungsleiter: GetEvidenceFoldersByAssessment Prüfungsleiter: GetEvidenceFoldersByAssessmentControl Prüfungsleiter: GetInsights Prüfungsleiter: GetInsightsByAssessment Prüfungsleiter: GetOrganizationAdminAccount Prüfungsleiter: GetServicesInScope Prüfungsleiter: GetSettings Prüfungsleiter: ListAssessmentControlInsightsByControlDomain Prüfungsleiter: ListAssessmentFrameworkShareRequests Prüfungsleiter: ListAssessmentFrameworks Prüfungsleiter: ListAssessmentReports Prüfungsleiter: ListAssessments Prüfungsleiter: ListControlDomainInsights Prüfungsleiter: ListControlDomainInsightsByAssessment Prüfungsleiter: ListControlInsightsByControlDomain Prüfungsleiter: ListControls Prüfungsleiter: ListKeywordsForDataSource Prüfungsleiter: ListNotifications Prüfungsleiter: RegisterAccount Prüfungsleiter: RegisterOrganizationAdminAccount Prüfungsleiter: StartAssessmentFrameworkShare Prüfungsleiter: UpdateAssessment Prüfungsleiter: UpdateAssessmentControl Prüfungsleiter: UpdateAssessmentControlSetStatus Prüfungsleiter: UpdateAssessmentFramework Prüfungsleiter: UpdateAssessmentFrameworkShare Prüfungsleiter: UpdateAssessmentStatus Prüfungsleiter: UpdateControl Prüfungsleiter: UpdateSettings Prüfungsleiter: ValidateAssessmentReportIntegrity  | 
| automatische Skalierung |  automatische Skalierung: AttachInstances automatische Skalierung: AttachLoadBalancerTargetGroups automatische Skalierung: AttachLoadBalancers automatische Skalierung: AttachTrafficSources automatische Skalierung: BatchDeleteScheduledAction automatische Skalierung: BatchPutScheduledUpdateGroupAction automatische Skalierung: CancelInstanceRefresh automatische Skalierung: CompleteLifecycleAction automatische Skalierung: CreateAutoScalingGroup automatische Skalierung: CreateLaunchConfiguration automatische Skalierung: DeleteAutoScalingGroup automatische Skalierung: DeleteLaunchConfiguration automatische Skalierung: DeleteLifecycleHook automatische Skalierung: DeleteNotificationConfiguration automatische Skalierung: DeletePolicy automatische Skalierung: DeleteScheduledAction automatische Skalierung: DeleteWarmPool automatische Skalierung: DescribeAccountLimits automatische Skalierung: DescribeAdjustmentTypes automatische Skalierung: DescribeAutoScalingGroups automatische Skalierung: DescribeAutoScalingInstances automatische Skalierung: DescribeAutoScalingNotificationTypes automatische Skalierung: DescribeInstanceRefreshes automatische Skalierung: DescribeLaunchConfigurations automatische Skalierung: DescribeLifecycleHookTypes automatische Skalierung: DescribeLifecycleHooks automatische Skalierung: DescribeLoadBalancerTargetGroups automatische Skalierung: DescribeLoadBalancers automatische Skalierung: DescribeMetricCollectionTypes automatische Skalierung: DescribeNotificationConfigurations automatische Skalierung: DescribePolicies automatische Skalierung: DescribeScalingActivities automatische Skalierung: DescribeScalingProcessTypes automatische Skalierung: DescribeScheduledActions automatische Skalierung: DescribeTerminationPolicyTypes automatische Skalierung: DescribeTrafficSources automatische Skalierung: DescribeWarmPool automatische Skalierung: DetachInstances automatische Skalierung: DetachLoadBalancerTargetGroups automatische Skalierung: DetachLoadBalancers automatische Skalierung: DetachTrafficSources automatische Skalierung: DisableMetricsCollection automatische Skalierung: EnableMetricsCollection automatische Skalierung: EnterStandby automatische Skalierung: ExecutePolicy automatische Skalierung: ExitStandby automatische Skalierung: GetPredictiveScalingForecast automatische Skalierung: PutLifecycleHook automatische Skalierung: PutNotificationConfiguration automatische Skalierung: PutScalingPolicy automatische Skalierung: PutScheduledUpdateGroupAction automatische Skalierung: PutWarmPool automatische Skalierung: RecordLifecycleActionHeartbeat automatische Skalierung: ResumeProcesses automatische Skalierung: RollbackInstanceRefresh automatische Skalierung: SetDesiredCapacity automatische Skalierung: SetInstanceHealth automatische Skalierung: SetInstanceProtection automatische Skalierung: StartInstanceRefresh automatische Skalierung: SuspendProcesses automatische Skalierung: TerminateInstanceInAutoScalingGroup automatische Skalierung: UpdateAutoScalingGroup  | 
| aws-marketplace |  AWS-Marktplatz: GetEntitlements  | 
| backup |  Sicherungskopie: CancelLegalHold Sicherungskopie: CreateBackupPlan Sicherungskopie: CreateBackupSelection Sicherungskopie: CreateBackupVault Sicherungskopie: CreateFramework Sicherungskopie: CreateLegalHold Sicherungskopie: CreateLogicallyAirGappedBackupVault Sicherungskopie: CreateReportPlan Sicherungskopie: CreateRestoreAccessBackupVault Sicherungskopie: CreateRestoreTestingPlan Sicherungskopie: CreateRestoreTestingSelection Sicherungskopie: CreateTieringConfiguration Sicherungskopie: DeleteBackupPlan Sicherungskopie: DeleteBackupSelection Sicherungskopie: DeleteBackupVault Sicherungskopie: DeleteBackupVaultAccessPolicy Sicherungskopie: DeleteBackupVaultLockConfiguration Sicherungskopie: DeleteBackupVaultNotifications Sicherungskopie: DeleteFramework Sicherungskopie: DeleteRecoveryPoint Sicherungskopie: DeleteReportPlan Sicherungskopie: DeleteRestoreTestingPlan Sicherungskopie: DeleteRestoreTestingSelection Sicherungskopie: DeleteTieringConfiguration Sicherungskopie: DescribeBackupJob Sicherungskopie: DescribeBackupVault Sicherungskopie: DescribeCopyJob Sicherungskopie: DescribeFramework Sicherungskopie: DescribeGlobalSettings Sicherungskopie: DescribeProtectedResource Sicherungskopie: DescribeRecoveryPoint Sicherungskopie: DescribeRegionSettings Sicherungskopie: DescribeReportJob Sicherungskopie: DescribeReportPlan Sicherungskopie: DescribeRestoreJob Sicherungskopie: DescribeScanJob Sicherungskopie: DisassociateRecoveryPoint Sicherungskopie: DisassociateRecoveryPointFromParent Sicherungskopie: ExportBackupPlanTemplate Sicherungskopie: GetBackupPlan Sicherung: GetBackupPlanFrom JSON Sicherungskopie: GetBackupPlanFromTemplate Sicherungskopie: GetBackupSelection Sicherungskopie: GetBackupVaultAccessPolicy Sicherungskopie: GetBackupVaultNotifications Sicherungskopie: GetLegalHold Sicherungskopie: GetRecoveryPointRestoreMetadata Sicherungskopie: GetRestoreJobMetadata Sicherungskopie: GetRestoreTestingInferredMetadata Sicherungskopie: GetRestoreTestingPlan Sicherungskopie: GetRestoreTestingSelection Sicherungskopie: GetSupportedResourceTypes Sicherungskopie: GetTieringConfiguration Sicherungskopie: ListBackupJobSummaries Sicherungskopie: ListBackupJobs Sicherungskopie: ListBackupPlanTemplates Sicherungskopie: ListBackupPlanVersions Sicherungskopie: ListBackupPlans Sicherungskopie: ListBackupSelections Sicherungskopie: ListBackupVaults Sicherungskopie: ListCopyJobSummaries Sicherungskopie: ListCopyJobs Sicherungskopie: ListFrameworks Sicherungskopie: ListIndexedRecoveryPoints Sicherungskopie: ListLegalHolds Sicherungskopie: ListProtectedResources Sicherungskopie: ListRecoveryPointsByBackupVault Sicherungskopie: ListRecoveryPointsByLegalHold Sicherungskopie: ListRecoveryPointsByResource Sicherungskopie: ListReportJobs Sicherungskopie: ListReportPlans Sicherungskopie: ListRestoreAccessBackupVaults Sicherungskopie: ListRestoreJobSummaries Sicherungskopie: ListRestoreJobs Sicherungskopie: ListRestoreJobsByProtectedResource Sicherungskopie: ListRestoreTestingPlans Sicherungskopie: ListRestoreTestingSelections Sicherungskopie: ListScanJobSummaries Sicherungskopie: ListScanJobs Sicherungskopie: ListTieringConfigurations Sicherungskopie: PutBackupVaultAccessPolicy Sicherungskopie: PutBackupVaultLockConfiguration Sicherungskopie: PutBackupVaultNotifications Sicherungskopie: PutRestoreValidationResult Sicherungskopie: StartBackupJob Sicherungskopie: StartCopyJob Sicherungskopie: StartReportJob Sicherungskopie: StartRestoreJob Sicherungskopie: StopBackupJob Sicherungskopie: UpdateBackupPlan Sicherungskopie: UpdateFramework Sicherungskopie: UpdateGlobalSettings Sicherungskopie: UpdateRecoveryPointLifecycle Sicherungskopie: UpdateRegionSettings Sicherungskopie: UpdateReportPlan Sicherungskopie: UpdateRestoreTestingPlan Sicherungskopie: UpdateRestoreTestingSelection Sicherungskopie: UpdateTieringConfiguration  | 
| Batch |  Stapel: CancelJob Charge: CreateComputeEnvironment Charge: CreateConsumableResource Charge: CreateJobQueue Charge: CreateSchedulingPolicy Charge: CreateServiceEnvironment Charge: DeleteComputeEnvironment Charge: DeleteConsumableResource Charge: DeleteJobQueue Charge: DeleteSchedulingPolicy Charge: DeleteServiceEnvironment Charge: DeregisterJobDefinition Charge: DescribeComputeEnvironments Charge: DescribeConsumableResource Charge: DescribeJobDefinitions Charge: DescribeJobQueues Charge: DescribeJobs Charge: DescribeSchedulingPolicies Charge: DescribeServiceEnvironments Charge: DescribeServiceJob Charge: GetJobQueueSnapshot Charge: ListConsumableResources Charge: ListJobs Charge: ListJobsByConsumableResource Charge: ListSchedulingPolicies Charge: ListServiceJobs Charge: RegisterJobDefinition Charge: SubmitJob Charge: SubmitServiceJob Charge: TerminateJob Charge: TerminateServiceJob Charge: UpdateComputeEnvironment Charge: UpdateConsumableResource Charge: UpdateJobQueue Charge: UpdateSchedulingPolicy Charge: UpdateServiceEnvironment  | 
| braket |  Klammer: CancelJob Klammer: CancelQuantumTask Klammer: CreateJob Klammer: CreateQuantumTask Klammer: CreateSpendingLimit Klammer: GetDevice Klammer: GetJob Klammer: GetQuantumTask Klammer: SearchDevices Klammer: SearchJobs Klammer: SearchQuantumTasks Klammer: SearchSpendingLimits  | 
| Budgets |  Budgets: CreateBudgetAction Budgets: DeleteBudgetAction Budgets: DescribeBudgetAction Budgets: DescribeBudgetActionHistories Budgets: DescribeBudgetActionsForAccount Budgets: DescribeBudgetActionsForBudget Budgets: ExecuteBudgetAction Budgets: ModifyBudget Budgets: UpdateBudgetAction Budgets: ViewBudget  | 
| cloud9 |  Wolke 9: CreateEnvironment EC2 Wolke 9: CreateEnvironmentMembership Wolke 9: DeleteEnvironment Wolke 9: DeleteEnvironmentMembership Wolke 9: DescribeEnvironmentMemberships Wolke 9: DescribeEnvironmentStatus Wolke 9: DescribeEnvironments Wolke 9: ListEnvironments Wolke 9: UpdateEnvironment Wolke 9: UpdateEnvironmentMembership  | 
| cloudformation |  Wolkenbildung: BatchDescribeTypeConfigurations Wolkenbildung: CancelUpdateStack Wolkenbildung: ContinueUpdateRollback Wolkenbildung: CreateChangeSet Wolkenbildung: CreateGeneratedTemplate Wolkenbildung: CreateStack Wolkenbildung: CreateStackInstances Wolkenbildung: CreateStackSet Wolkenbildung: DeactivateType Wolkenbildung: DeleteChangeSet Wolkenbildung: DeleteGeneratedTemplate Wolkenbildung: DeleteStack Wolkenbildung: DeleteStackInstances Wolkenbildung: DeleteStackSet Wolkenbildung: DeregisterType Wolkenbildung: DescribeAccountLimits Wolkenbildung: DescribeChangeSet Wolkenbildung: DescribeChangeSetHooks Wolkenbildung: DescribeEvents Wolkenbildung: DescribeGeneratedTemplate Wolkenbildung: DescribeOrganizationsAccess Wolkenbildung: DescribePublisher Wolkenbildung: DescribeResourceScan Wolkenbildung: DescribeStackDriftDetectionStatus Wolkenbildung: DescribeStackEvents Wolkenbildung: DescribeStackInstance Wolkenbildung: DescribeStackResource Wolkenbildung: DescribeStackResourceDrifts Wolkenbildung: DescribeStackResources Wolkenbildung: DescribeStackSet Wolkenbildung: DescribeStackSetOperation Wolkenbildung: DescribeStacks Wolkenbildung: DescribeType Wolkenbildung: DescribeTypeRegistration Wolkenbildung: DetectStackDrift Wolkenbildung: DetectStackResourceDrift Wolkenbildung: DetectStackSetDrift Wolkenbildung: EstimateTemplateCost Wolkenbildung: ExecuteChangeSet Wolkenbildung: GetGeneratedTemplate Wolkenbildung: GetHookResult Wolkenbildung: GetStackPolicy Wolkenbildung: GetTemplate Wolkenbildung: GetTemplateSummary Wolkenbildung: ImportStacksToStackSet Wolkenbildung: ListChangeSets Wolkenbildung: ListExports Wolkenbildung: ListGeneratedTemplates Wolkenbildung: ListHookResults Wolkenbildung: ListImports Wolkenbildung: ListResourceScanRelatedResources Wolkenbildung: ListResourceScanResources Wolkenbildung: ListResourceScans Wolkenbildung: ListStackInstanceResourceDrifts Wolkenbildung: ListStackInstances Wolkenbildung: ListStackRefactors Wolkenbildung: ListStackResources Wolkenbildung: ListStackSetAutoDeploymentTargets Wolkenbildung: ListStackSetOperationResults Wolkenbildung: ListStackSetOperations Wolkenbildung: ListStackSets Wolkenbildung: ListTypeRegistrations Wolkenbildung: ListTypeVersions Wolkenbildung: ListTypes Wolkenbildung: PublishType Wolkenbildung: RecordHandlerProgress Wolkenbildung: RegisterPublisher Wolkenbildung: RegisterType Wolkenbildung: RollbackStack Wolkenbildung: SetStackPolicy Wolkenbildung: SetTypeConfiguration Wolkenbildung: SetTypeDefaultVersion Wolkenbildung: SignalResource Wolkenbildung: StartResourceScan Wolkenbildung: StopStackSetOperation Wolkenbildung: TestType Wolkenbildung: UpdateGeneratedTemplate Wolkenbildung: UpdateStack Wolkenbildung: UpdateStackInstances Wolkenbildung: UpdateStackSet Wolkenbildung: UpdateTerminationProtection Wolkenbildung: ValidateTemplate  | 
| cloudfront |  Wolkenfront: AssociateAlias Cloudfront: ACL AssociateDistributionTenantWeb Cloudfront: ACL AssociateDistributionWeb Wolkenfront: CreateCachePolicy Wolkenfront: CreateCloudFrontOriginAccessIdentity Wolkenfront: CreateConnectionFunction Wolkenfront: CreateContinuousDeploymentPolicy Wolkenfront: CreateDistributionTenant Wolkenfront: CreateFieldLevelEncryptionConfig Wolkenfront: CreateFieldLevelEncryptionProfile Wolkenfront: CreateFunction Wolkenfront: CreateInvalidation Wolkenfront: CreateKeyGroup Wolkenfront: CreateKeyValueStore Wolkenfront: CreateMonitoringSubscription Wolkenfront: CreateOriginAccessControl Wolkenfront: CreateOriginRequestPolicy Wolkenfront: CreatePublicKey Wolkenfront: CreateRealtimeLogConfig Wolkenfront: CreateResponseHeadersPolicy Wolkenfront: CreateTrustStore Wolkenfront: DeleteAnycastIpList Wolkenfront: DeleteCachePolicy Wolkenfront: DeleteCloudFrontOriginAccessIdentity Wolkenfront: DeleteConnectionFunction Wolkenfront: DeleteConnectionGroup Wolkenfront: DeleteContinuousDeploymentPolicy Wolkenfront: DeleteDistribution Wolkenfront: DeleteDistributionTenant Wolkenfront: DeleteFieldLevelEncryptionConfig Wolkenfront: DeleteFieldLevelEncryptionProfile Wolkenfront: DeleteFunction Wolkenfront: DeleteKeyGroup Wolkenfront: DeleteKeyValueStore Wolkenfront: DeleteMonitoringSubscription Wolkenfront: DeleteOriginAccessControl Wolkenfront: DeleteOriginRequestPolicy Wolkenfront: DeletePublicKey Wolkenfront: DeleteRealtimeLogConfig Wolkenfront: DeleteResponseHeadersPolicy Wolkenfront: DeleteStreamingDistribution Wolkenfront: DeleteTrustStore Wolkenfront: DeleteVpcOrigin Wolkenfront: DescribeFunction Wolkenfront: DescribeKeyValueStore Cloudfront: ACL DisassociateDistributionTenantWeb Cloudfront: ACL DisassociateDistributionWeb Wolkenfront: GetAnycastIpList Wolkenfront: GetCachePolicy Wolkenfront: GetCachePolicyConfig Wolkenfront: GetCloudFrontOriginAccessIdentity Wolkenfront: GetCloudFrontOriginAccessIdentityConfig Wolkenfront: GetContinuousDeploymentPolicy Wolkenfront: GetContinuousDeploymentPolicyConfig Wolkenfront: GetDistributionConfig Wolkenfront: GetFieldLevelEncryption Wolkenfront: GetFieldLevelEncryptionConfig Wolkenfront: GetFieldLevelEncryptionProfile Wolkenfront: GetFieldLevelEncryptionProfileConfig Wolkenfront: GetFunction Wolkenfront: GetInvalidation Wolkenfront: GetInvalidationForDistributionTenant Wolkenfront: GetKeyGroup Wolkenfront: GetKeyGroupConfig Wolkenfront: GetMonitoringSubscription Wolkenfront: GetOriginAccessControl Wolkenfront: GetOriginAccessControlConfig Wolkenfront: GetOriginRequestPolicy Wolkenfront: GetOriginRequestPolicyConfig Wolkenfront: GetPublicKey Wolkenfront: GetPublicKeyConfig Wolkenfront: GetRealtimeLogConfig Wolkenfront: GetResponseHeadersPolicy Wolkenfront: GetResponseHeadersPolicyConfig Wolkenfront: GetStreamingDistribution Wolkenfront: GetStreamingDistributionConfig Wolkenfront: GetVpcOrigin Wolkenfront: ListAnycastIpLists Wolkenfront: ListCachePolicies Wolkenfront: ListCloudFrontOriginAccessIdentities Wolkenfront: ListConflictingAliases Wolkenfront: ListConnectionFunctions Wolkenfront: ListConnectionGroups Wolkenfront: ListContinuousDeploymentPolicies Wolkenfront: ListDistributionTenants Wolkenfront: ListDistributionTenantsByCustomization Wolkenfront: ListDistributions Wolkenfront: ListDistributionsByAnycastIpListId Wolkenfront: ListDistributionsByCachePolicyId Wolkenfront: ListDistributionsByConnectionMode Wolkenfront: ListDistributionsByKeyGroup Wolkenfront: ListDistributionsByOriginRequestPolicyId Wolkenfront: ListDistributionsByRealtimeLogConfig Wolkenfront: ListDistributionsByResponseHeadersPolicyId Wolkenfront: ListDistributionsByVpcOriginId Wolkenfront: ListDistributionsByWeb ACLId Wolkenfront: ListFieldLevelEncryptionConfigs Wolkenfront: ListFieldLevelEncryptionProfiles Wolkenfront: ListFunctions Wolkenfront: ListInvalidations Wolkenfront: ListInvalidationsForDistributionTenant Wolkenfront: ListKeyGroups Wolkenfront: ListKeyValueStores Wolkenfront: ListOriginAccessControls Wolkenfront: ListOriginRequestPolicies Wolkenfront: ListPublicKeys Wolkenfront: ListRealtimeLogConfigs Wolkenfront: ListResponseHeadersPolicies Wolkenfront: ListStreamingDistributions Wolkenfront: ListTrustStores Wolkenfront: PublishConnectionFunction Wolkenfront: PublishFunction Wolkenfront: TestConnectionFunction Wolkenfront: TestFunction Wolkenfront: UpdateAnycastIpList Wolkenfront: UpdateCachePolicy Wolkenfront: UpdateCloudFrontOriginAccessIdentity Wolkenfront: UpdateConnectionFunction Wolkenfront: UpdateConnectionGroup Wolkenfront: UpdateContinuousDeploymentPolicy Wolkenfront: UpdateDistribution Wolkenfront: UpdateDistributionTenant Wolkenfront: UpdateFieldLevelEncryptionConfig Wolkenfront: UpdateFieldLevelEncryptionProfile Wolkenfront: UpdateFunction Wolkenfront: UpdateKeyGroup Wolkenfront: UpdateKeyValueStore Wolkenfront: UpdateOriginAccessControl Wolkenfront: UpdateOriginRequestPolicy Wolkenfront: UpdatePublicKey Wolkenfront: UpdateRealtimeLogConfig Wolkenfront: UpdateResponseHeadersPolicy Wolkenfront: UpdateTrustStore  | 
| cloudhsm |  Wolkensturm: CreateHsm cloudhsm: DeleteBackup cloudhsm: DeleteHsm cloudhsm: DeleteResourcePolicy cloudhsm: DescribeBackups cloudhsm: DescribeClusters cloudhsm: GetResourcePolicy cloudhsm: InitializeCluster cloudhsm: ModifyBackupAttributes cloudhsm: ModifyCluster cloudhsm: PutResourcePolicy cloudhsm: RestoreBackup  | 
| clousearch |  Cloud-Suche: BuildSuggesters Cloud-Suche: CreateDomain Cloud-Suche: DefineAnalysisScheme Cloud-Suche: DefineExpression Cloud-Suche: DefineIndexField Cloud-Suche: DefineSuggester Cloud-Suche: DeleteAnalysisScheme Cloud-Suche: DeleteDomain Cloud-Suche: DeleteExpression Cloud-Suche: DeleteIndexField Cloud-Suche: DeleteSuggester Cloud-Suche: DescribeAnalysisSchemes Cloud-Suche: DescribeAvailabilityOptions Cloud-Suche: DescribeDomainEndpointOptions Cloud-Suche: DescribeDomains Cloud-Suche: DescribeExpressions Cloud-Suche: DescribeIndexFields Cloud-Suche: DescribeScalingParameters Cloud-Suche: DescribeServiceAccessPolicies Cloud-Suche: DescribeSuggesters Cloud-Suche: IndexDocuments Cloud-Suche: ListDomainNames Cloud-Suche: UpdateAvailabilityOptions Cloud-Suche: UpdateDomainEndpointOptions Cloud-Suche: UpdateScalingParameters Cloud-Suche: UpdateServiceAccessPolicies  | 
| cloudtrail |  Wolkenspur: CancelQuery Wolkenspur: CreateChannel Wolkenspur: CreateDashboard Wolkenspur: CreateEventDataStore Wolkenspur: CreateTrail Wolkenspur: DeleteChannel Wolkenspur: DeleteDashboard Wolkenspur: DeleteEventDataStore Wolkenspur: DeleteResourcePolicy Wolkenspur: DeleteTrail Wolkenspur: DeregisterOrganizationDelegatedAdmin Wolkenspur: DescribeQuery Wolkenspur: DescribeTrails Wolkenspur: DisableFederation Wolkenspur: GenerateQuery Wolkenspur: GetChannel Wolkenspur: GetDashboard Wolkenspur: GetEventConfiguration Wolkenspur: GetEventDataStore Wolkenspur: GetEventDataStoreData Wolkenspur: GetEventSelectors Wolkenspur: GetImport Wolkenspur: GetInsightSelectors Wolkenspur: GetResourcePolicy Wolkenspur: GetTrail Wolkenspur: GetTrailStatus Wolkenspur: ListChannels Wolkenspur: ListDashboards Wolkenspur: ListEventDataStores Wolkenspur: ListImportFailures Wolkenspur: ListImports Wolkenspur: ListInsightsData Wolkenspur: ListPublicKeys Wolkenspur: ListQueries Wolkenspur: ListTrails Wolkenspur: LookupEvents Wolkenspur: PutEventConfiguration Wolkenspur: PutEventSelectors Wolkenspur: PutInsightSelectors Wolkenspur: PutResourcePolicy Wolkenspur: RegisterOrganizationDelegatedAdmin Wolkenspur: RestoreEventDataStore Wolkenspur: SearchSampleQueries Wolkenspur: StartEventDataStoreIngestion Wolkenspur: StartImport Wolkenspur: StartLogging Wolkenspur: StartQuery Wolkenspur: StopEventDataStoreIngestion Wolkenspur: StopImport Wolkenspur: StopLogging Wolkenspur: UpdateChannel Wolkenspur: UpdateDashboard Wolkenspur: UpdateEventDataStore Wolkenspur: UpdateTrail  | 
| cloudwatch |  Wolkenbeobachtung: DeleteAlarms Cloudwatch: DeleteAnomalyDetector Cloudwatch: DeleteDashboards Cloudwatch: DeleteInsightRules Cloudwatch: DeleteMetricStream Cloudwatch: DescribeAlarmHistory Cloudwatch: DescribeAlarms Cloudwatch: DescribeAlarmsForMetric Cloudwatch: DescribeAnomalyDetectors Cloudwatch: DescribeInsightRules Cloudwatch: DisableAlarmActions Cloudwatch: DisableInsightRules Cloudwatch: EnableAlarmActions Cloudwatch: EnableInsightRules Cloudwatch: GetDashboard Cloudwatch: GetInsightRuleReport Cloudwatch: GetMetricStatistics Cloudwatch: GetMetricStream Cloudwatch: ListDashboards Cloudwatch: ListManagedInsightRules Cloudwatch: ListMetricStreams Cloudwatch: PutAnomalyDetector Cloudwatch: PutCompositeAlarm Cloudwatch: PutDashboard Cloudwatch: PutInsightRule Cloudwatch: PutManagedInsightRules Cloudwatch: PutMetricAlarm Cloudwatch: PutMetricStream Cloudwatch: SetAlarmState Cloudwatch: StartMetricStreams Cloudwatch: StopMetricStreams  | 
| codeartifact |  Code-Artefakt: AssociateExternalConnection Codeartefakt: CopyPackageVersions Codeartefakt: CreateDomain Codeartefakt: CreateRepository Codeartefakt: DeleteDomain Codeartefakt: DeleteDomainPermissionsPolicy Codeartefakt: DeletePackage Codeartefakt: DeletePackageVersions Codeartefakt: DeleteRepository Codeartefakt: DeleteRepositoryPermissionsPolicy Codeartefakt: DescribeDomain Codeartefakt: DescribePackage Codeartefakt: DescribePackageVersion Codeartefakt: DescribeRepository Codeartefakt: DisassociateExternalConnection Codeartefakt: DisposePackageVersions Codeartefakt: GetAssociatedPackageGroup Codeartefakt: GetAuthorizationToken Codeartefakt: GetDomainPermissionsPolicy Codeartefakt: GetPackageVersionAsset Codeartefakt: GetPackageVersionReadme Codeartefakt: GetRepositoryEndpoint Codeartefakt: GetRepositoryPermissionsPolicy Codeartefakt: ListDomains Codeartefakt: ListPackageGroups Codeartefakt: ListPackageVersionAssets Codeartefakt: ListPackageVersionDependencies Codeartefakt: ListPackageVersions Codeartefakt: ListPackages Codeartefakt: ListRepositories Codeartefakt: ListRepositoriesInDomain Codeartefakt: PublishPackageVersion Codeartefakt: PutDomainPermissionsPolicy Codeartefakt: PutPackageMetadata Codeartefakt: PutPackageOriginConfiguration Codeartefakt: PutRepositoryPermissionsPolicy Codeartefakt: ReadFromRepository Codeartefakt: UpdatePackageVersionsStatus Codeartefakt: UpdateRepository  | 
| codedeploy |  Code bereitstellen: BatchGetApplicationRevisions CodeDeploy: BatchGetApplications CodeDeploy: BatchGetDeploymentGroups CodeDeploy: BatchGetDeploymentInstances CodeDeploy: BatchGetDeploymentTargets CodeDeploy: BatchGetDeployments CodeDeploy: BatchGetOnPremisesInstances CodeDeploy: ContinueDeployment CodeDeploy: CreateApplication CodeDeploy: CreateDeployment CodeDeploy: CreateDeploymentConfig CodeDeploy: CreateDeploymentGroup CodeDeploy: DeleteApplication CodeDeploy: DeleteDeploymentConfig CodeDeploy: DeleteDeploymentGroup CodeDeploy: DeleteGitHubAccountToken CodeDeploy: DeleteResourcesByExternalId CodeDeploy: DeregisterOnPremisesInstance CodeDeploy: GetApplication CodeDeploy: GetApplicationRevision CodeDeploy: GetDeployment CodeDeploy: GetDeploymentConfig CodeDeploy: GetDeploymentGroup CodeDeploy: GetDeploymentInstance CodeDeploy: GetDeploymentTarget CodeDeploy: GetOnPremisesInstance CodeDeploy: ListApplicationRevisions CodeDeploy: ListApplications CodeDeploy: ListDeploymentConfigs CodeDeploy: ListDeploymentGroups CodeDeploy: ListDeploymentInstances CodeDeploy: ListDeploymentTargets CodeDeploy: ListDeployments CodeDeploy: ListGitHubAccountTokenNames CodeDeploy: ListOnPremisesInstances CodeDeploy: PutLifecycleEventHookExecutionStatus CodeDeploy: RegisterApplicationRevision CodeDeploy: RegisterOnPremisesInstance CodeDeploy: SkipWaitTimeForInstanceTermination CodeDeploy: StopDeployment CodeDeploy: UpdateApplication CodeDeploy: UpdateDeploymentGroup  | 
| codeguru-profiler |  Codeguru-Profiler: AddNotificationChannels Codeguru-Profiler: BatchGetFrameMetricData Codeguru-Profiler: CreateProfilingGroup Codeguru-Profiler: DeleteProfilingGroup Codeguru-Profiler: DescribeProfilingGroup Codeguru-Profiler: GetFindingsReportAccountSummary Codeguru-Profiler: GetNotificationConfiguration Codeguru-Profiler: GetPolicy Codeguru-Profiler: GetProfile Codeguru-Profiler: GetRecommendations Codeguru-Profiler: ListFindingsReports Codeguru-Profiler: ListProfileTimes Codeguru-Profiler: ListProfilingGroups Codeguru-Profiler: PutPermission Codeguru-Profiler: RemoveNotificationChannel Codeguru-Profiler: RemovePermission Codeguru-Profiler: SubmitFeedback Codeguru-Profiler: UpdateProfilingGroup  | 
| codeguru-reviewer |  Codeguru-Rezensent: AssociateRepository Codeguru-Rezensent: CreateCodeReview Codeguru-Rezensent: DescribeCodeReview Codeguru-Rezensent: DescribeRecommendationFeedback Codeguru-Rezensent: DescribeRepositoryAssociation Codeguru-Rezensent: DisassociateRepository Codeguru-Rezensent: ListCodeReviews Codeguru-Rezensent: ListRecommendationFeedback Codeguru-Rezensent: ListRecommendations Codeguru-Rezensent: ListRepositoryAssociations Codeguru-Rezensent: PutRecommendationFeedback  | 
| codepipeline |  Code-Pipeline: AcknowledgeJob Codepipeline: AcknowledgeThirdPartyJob Codepipeline: CreateCustomActionType Codepipeline: CreatePipeline Codepipeline: DeleteCustomActionType Codepipeline: DeletePipeline Codepipeline: DeleteWebhook Codepipeline: DeregisterWebhookWithThirdParty Codepipeline: GetActionType Codepipeline: GetJobDetails Codepipeline: GetPipeline Codepipeline: GetPipelineExecution Codepipeline: GetPipelineState Codepipeline: GetThirdPartyJobDetails Codepipeline: ListActionExecutions Codepipeline: ListActionTypes Codepipeline: ListPipelineExecutions Codepipeline: ListPipelines Codepipeline: ListRuleExecutions Codepipeline: ListRuleTypes Codepipeline: ListWebhooks Codepipeline: OverrideStageCondition Codepipeline: PollForJobs Codepipeline: PollForThirdPartyJobs Codepipeline: PutActionRevision Codepipeline: PutApprovalResult Codepipeline: PutJobFailureResult Codepipeline: PutJobSuccessResult Codepipeline: PutThirdPartyJobFailureResult Codepipeline: PutThirdPartyJobSuccessResult Codepipeline: PutWebhook Codepipeline: RegisterWebhookWithThirdParty Codepipeline: RollbackStage Codepipeline: StartPipelineExecution Codepipeline: StopPipelineExecution Codepipeline: UpdateActionType Codepipeline: UpdatePipeline  | 
| codestar |  Codestar: AssociateTeamMember Codestar: CreateProject Codestar: CreateUserProfile Codestar: DeleteProject Codestar: DeleteUserProfile Codestar: DescribeProject Codestar: DescribeUserProfile Codestar: DisassociateTeamMember Codestar: ListProjects Codestar: ListResources Codestar: ListTeamMembers Codestar: ListUserProfiles Codestar: UpdateProject Codestar: UpdateTeamMember Codestar: UpdateUserProfile  | 
| codestar-notifications |  Codestar-Benachrichtigungen: CreateNotificationRule Codestar-Benachrichtigungen: DeleteNotificationRule Codestar-Benachrichtigungen: DeleteTarget Codestar-Benachrichtigungen: DescribeNotificationRule Codestar-Benachrichtigungen: ListEventTypes Codestar-Benachrichtigungen: ListNotificationRules Codestar-Benachrichtigungen: ListTargets codestar-notifications:Subscribe codestar-notifications:Unsubscribe Codestar-Benachrichtigungen: UpdateNotificationRule  | 
| cognito-identity |  kognitive Identität: CreateIdentityPool kognitive Identität: DeleteIdentities kognitive Identität: DeleteIdentityPool kognitive Identität: DescribeIdentity kognitive Identität: DescribeIdentityPool kognitive Identität: GetIdentityPoolRoles kognitive Identität: ListIdentities kognitive Identität: ListIdentityPools kognitive Identität: LookupDeveloperIdentity kognitive Identität: MergeDeveloperIdentities kognitive Identität: SetIdentityPoolRoles kognitive Identität: UnlinkDeveloperIdentity kognitive Identität: UpdateIdentityPool  | 
| cognito-idp |  Kognito-IDP: AddCustomAttributes Kognito-IDP: AdminAddUserToGroup Kognito-IDP: AdminConfirmSignUp Kognito-IDP: AdminCreateUser Kognito-IDP: AdminDeleteUser Kognito-IDP: AdminDeleteUserAttributes Kognito-IDP: AdminDisableProviderForUser Kognito-IDP: AdminDisableUser Kognito-IDP: AdminEnableUser Kognito-IDP: AdminForgetDevice Kognito-IDP: AdminGetDevice Kognito-IDP: AdminGetUser Kognito-IDP: AdminInitiateAuth Kognito-IDP: AdminLinkProviderForUser Kognito-IDP: AdminListDevices Kognito-IDP: AdminListGroupsForUser Kognito-IDP: AdminListUserAuthEvents Kognito-IDP: AdminRemoveUserFromGroup Kognito-IDP: AdminResetUserPassword Kognito-IDP: AdminRespondToAuthChallenge Kognito-IDP: AdminSetUser MFAPreference Kognito-IDP: AdminSetUserPassword Kognito-IDP: AdminSetUserSettings Kognito-IDP: AdminUpdateAuthEventFeedback Kognito-IDP: AdminUpdateDeviceStatus Kognito-IDP: AdminUpdateUserAttributes Kognito-IDP: AdminUserGlobalSignOut Kognito-IDP: AssociateSoftwareToken Kognito-IDP: ChangePassword Kognito-IDP: ConfirmDevice Kognito-IDP: ConfirmForgotPassword Kognito-IDP: ConfirmSignUp Kognito-IDP: CreateGroup Kognito-IDP: CreateIdentityProvider Kognito-IDP: CreateManagedLoginBranding Kognito-IDP: CreateResourceServer Kognito-IDP: CreateTerms Kognito-IDP: CreateUserImportJob Kognito-IDP: CreateUserPool Kognito-IDP: CreateUserPoolClient Kognito-IDP: CreateUserPoolDomain Kognito-IDP: DeleteGroup Kognito-IDP: DeleteIdentityProvider Kognito-IDP: DeleteManagedLoginBranding Kognito-IDP: DeleteResourceServer Kognito-IDP: DeleteTerms Kognito-IDP: DeleteUser Kognito-IDP: DeleteUserAttributes Kognito-IDP: DeleteUserPool Kognito-IDP: DeleteUserPoolClient Kognito-IDP: DeleteUserPoolDomain Kognito-IDP: DescribeIdentityProvider Kognito-IDP: DescribeManagedLoginBranding Kognito-IDP: DescribeManagedLoginBrandingByClient Kognito-IDP: DescribeResourceServer Kognito-IDP: DescribeRiskConfiguration Kognito-IDP: DescribeTerms Kognito-IDP: DescribeUserImportJob Kognito-IDP: DescribeUserPool Kognito-IDP: DescribeUserPoolClient Kognito-IDP: DescribeUserPoolDomain Kognito-IDP: ForgetDevice Kognito-IDP: ForgotPassword cognito-idp: abrufen CSVHeader Cognito-IDP: GetDevice Kognito-IDP: GetGroup Kognito-IDP: GetIdentityProviderByIdentifier Kognito-IDP: GetLogDeliveryConfiguration Kognito-IDP: GetSigningCertificate cognito-idp: abrufen UICustomization Cognito-IDP: GetUser Kognito-IDP: GetUserAttributeVerificationCode Kognito-IDP: GetUserPoolMfaConfig Kognito-IDP: GlobalSignOut Kognito-IDP: InitiateAuth Kognito-IDP: ListDevices Kognito-IDP: ListGroups Kognito-IDP: ListIdentityProviders Kognito-IDP: ListResourceServers Kognito-IDP: ListTerms Kognito-IDP: ListUserImportJobs Kognito-IDP: ListUserPoolClients Kognito-IDP: ListUserPools Kognito-IDP: ListUsers Kognito-IDP: ListUsersInGroup Kognito-IDP: ResendConfirmationCode Kognito-IDP: RespondToAuthChallenge Kognito-IDP: RevokeToken Kognito-IDP: SetLogDeliveryConfiguration Kognito-IDP: SetRiskConfiguration Cognito-IDP: eingestellt UICustomization Kognito-IDP: SetUser MFAPreference Kognito-IDP: SetUserPoolMfaConfig Kognito-IDP: SetUserSettings Kognito-IDP: SignUp Kognito-IDP: StartUserImportJob Kognito-IDP: StopUserImportJob Kognito-IDP: UpdateAuthEventFeedback Kognito-IDP: UpdateDeviceStatus Kognito-IDP: UpdateGroup Kognito-IDP: UpdateIdentityProvider Kognito-IDP: UpdateResourceServer Kognito-IDP: UpdateTerms Kognito-IDP: UpdateUserAttributes Kognito-IDP: UpdateUserPool Kognito-IDP: UpdateUserPoolClient Kognito-IDP: UpdateUserPoolDomain Kognito-IDP: VerifySoftwareToken Kognito-IDP: VerifyUserAttribute  | 
| cognito-sync |  Kognito-Synchronisierung: BulkPublish Kognito-Synchronisierung: DeleteDataset Kognito-Synchronisierung: DescribeDataset Kognito-Synchronisierung: DescribeIdentityPoolUsage Kognito-Synchronisierung: DescribeIdentityUsage Kognito-Synchronisierung: GetBulkPublishDetails Kognito-Synchronisierung: GetCognitoEvents Kognito-Synchronisierung: GetIdentityPoolConfiguration Kognito-Synchronisierung: ListDatasets Kognito-Synchronisierung: ListIdentityPoolUsage Kognito-Synchronisierung: ListRecords Kognito-Synchronisierung: RegisterDevice Kognito-Synchronisierung: SetCognitoEvents Kognito-Synchronisierung: SetIdentityPoolConfiguration Kognito-Synchronisierung: SubscribeToDataset Kognito-Synchronisierung: UnsubscribeFromDataset Kognito-Synchronisierung: UpdateRecords  | 
| comprehendmedical |  medizinisch verstehen: V2Job DescribeEntitiesDetection Comprehend Medical ICD10CMInference: Job beschreiben Comprehend MedicalPHIDetection: Job beschreiben medizinisch verstehen: DescribeRxNormInferenceJob Comprehend MedicalSNOMEDCTInference: Job beschreiben medizinisch verstehen: V2 DetectEntities comprehendmedical:DetectPHI ComprehendMedicalICD10: Infer CM medizinisch verstehen: InferRxNorm comprehendmedical:InferSNOMEDCT medizinisch verstehen: V2-Jobs ListEntitiesDetection ComprehendMedical ICD10CMInference: Stellen auflisten ComprehendMedicalPHIDetection: Jobs auflisten medizinisch verstehen: ListRxNormInferenceJobs ComprehendMedicalSNOMEDCTInference: Stellen auflisten medizinisch verstehen: V2-Job StartEntitiesDetection Comprehend Medical ICD10CMInference: Job starten Comprehend MedicalPHIDetection: Job starten medizinisch verstehen: StartRxNormInferenceJob Comprehend MedicalSNOMEDCTInference: Job starten medizinisch verstehen: V2Job StopEntitiesDetection Comprehend Medical ICD10CMInference: Job beenden Comprehend MedicalPHIDetection: Job beenden medizinisch verstehen: StopRxNormInferenceJob Comprehend MedicalSNOMEDCTInference: Job beenden  | 
| compute-optimizer |  Computeroptimierer: DeleteRecommendationPreferences Computeroptimierer: DescribeRecommendationExportJobs Computeroptimierer: ExportAutoScalingGroupRecommendations EBSVolumecompute-optimizer:Exportempfehlungen Compute-Optimizer:Exportieren EC2 InstanceRecommendations ECSServiceCompute-Optimizer:Exportempfehlungen Compute-Optimizer: ExportIdleRecommendations Computeroptimierer: ExportLambdaFunctionRecommendations Computeroptimierer: ExportLicenseRecommendations RDSDatabasecompute-optimizer:Exportempfehlungen Compute-Optimizer:GET EC2 RecommendationProjectedMetrics Compute-Optimizer:GET ECSService RecommendationProjectedMetrics Computeroptimierer: GetEffectiveRecommendationPreferences Computeroptimierer: GetEnrollmentStatus Computeroptimierer: GetEnrollmentStatusesForOrganization Compute-Optimizer: abrufen RDSDatabase RecommendationProjectedMetrics Computeroptimierer: GetRecommendationPreferences Computeroptimierer: GetRecommendationSummaries Computeroptimierer: PutRecommendationPreferences Computeroptimierer: UpdateEnrollmentStatus  | 
| config |  Konfiguration: BatchGetResourceConfig Konfiguration: DeleteAggregationAuthorization Konfiguration: DeleteConfigRule Konfiguration: DeleteConfigurationAggregator Konfiguration: DeleteConfigurationRecorder Konfiguration: DeleteConformancePack Konfiguration: DeleteDeliveryChannel Konfiguration: DeleteEvaluationResults Konfiguration: DeleteOrganizationConfigRule Konfiguration: DeleteOrganizationConformancePack Konfiguration: DeletePendingAggregationRequest Konfiguration: DeleteRemediationConfiguration Konfiguration: DeleteRemediationExceptions Konfiguration: DeleteResourceConfig Konfiguration: DeleteRetentionConfiguration Konfiguration: DeleteStoredQuery Konfiguration: DeliverConfigSnapshot Konfiguration: DescribeAggregateComplianceByConfigRules Konfiguration: DescribeAggregateComplianceByConformancePacks Konfiguration: DescribeAggregationAuthorizations Konfiguration: DescribeComplianceByConfigRule Konfiguration: DescribeComplianceByResource Konfiguration: DescribeConfigRuleEvaluationStatus Konfiguration: DescribeConfigRules Konfiguration: DescribeConfigurationAggregatorSourcesStatus Konfiguration: DescribeConfigurationAggregators Konfiguration: DescribeConfigurationRecorderStatus Konfiguration: DescribeConfigurationRecorders Konfiguration: DescribeConformancePackCompliance Konfiguration: DescribeConformancePackStatus Konfiguration: DescribeConformancePacks Konfiguration: DescribeDeliveryChannelStatus Konfiguration: DescribeDeliveryChannels Konfiguration: DescribeOrganizationConfigRuleStatuses Konfiguration: DescribeOrganizationConfigRules Konfiguration: DescribeOrganizationConformancePackStatuses Konfiguration: DescribeOrganizationConformancePacks Konfiguration: DescribePendingAggregationRequests Konfiguration: DescribeRemediationConfigurations Konfiguration: DescribeRemediationExceptions Konfiguration: DescribeRemediationExecutionStatus Konfiguration: DescribeRetentionConfigurations Konfiguration: GetComplianceDetailsByConfigRule Konfiguration: GetComplianceDetailsByResource Konfiguration: GetComplianceSummaryByConfigRule Konfiguration: GetComplianceSummaryByResourceType Konfiguration: GetConformancePackComplianceDetails Konfiguration: GetConformancePackComplianceSummary Konfiguration: GetCustomRulePolicy Konfiguration: GetDiscoveredResourceCounts Konfiguration: GetOrganizationConfigRuleDetailedStatus Konfiguration: GetOrganizationConformancePackDetailedStatus Konfiguration: GetOrganizationCustomRulePolicy Konfiguration: GetResourceConfigHistory Konfiguration: GetResourceEvaluationSummary Konfiguration: GetStoredQuery Konfiguration: ListConfigurationRecorders Konfiguration: ListConformancePackComplianceScores Konfiguration: ListDiscoveredResources Konfiguration: ListResourceEvaluations Konfiguration: ListStoredQueries Konfiguration: PutConfigRule Konfiguration: PutConfigurationAggregator Konfiguration: PutConfigurationRecorder Konfiguration: PutConformancePack Konfiguration: PutDeliveryChannel Konfiguration: PutEvaluations Konfiguration: PutExternalEvaluation Konfiguration: PutOrganizationConfigRule Konfiguration: PutOrganizationConformancePack Konfiguration: PutRemediationConfigurations Konfiguration: PutRemediationExceptions Konfiguration: PutResourceConfig Konfiguration: PutRetentionConfiguration Konfiguration: PutStoredQuery Konfiguration: SelectResourceConfig Konfiguration: StartConfigRulesEvaluation Konfiguration: StartConfigurationRecorder Konfiguration: StartRemediationExecution Konfiguration: StartResourceEvaluation Konfiguration: StopConfigurationRecorder  | 
| connect |  verbinden: ActivateEvaluationForm verbinden: AssociateAnalyticsDataSet verbinden: AssociateApprovedOrigin verbinden: AssociateBot verbinden: AssociateContactWithUser verbinden: AssociateDefaultVocabulary verbinden: AssociateEmailAddressAlias verbinden: AssociateFlow verbinden: AssociateInstanceStorageConfig verbinden: AssociateLambdaFunction verbinden: AssociateLexBot verbinden: AssociatePhoneNumberContactFlow verbinden: AssociateQueueQuickConnects verbinden: AssociateRoutingProfileQueues verbinden: AssociateSecurityKey verbinden: AssociateUserProficiencies verbinden: BatchAssociateAnalyticsDataSet verbinden: BatchCreateDataTableValue verbinden: BatchDeleteDataTableValue verbinden: BatchDescribeDataTableValue verbinden: BatchDisassociateAnalyticsDataSet verbinden: BatchGetFlowAssociation verbinden: BatchPutContact verbinden: BatchUpdateDataTableValue verbinden: ClaimPhoneNumber verbinden: CreateAgentStatus verbinden: CreateContact verbinden: CreateContactFlow verbinden: CreateContactFlowModule verbinden: CreateContactFlowModuleAlias verbinden: CreateContactFlowModuleVersion verbinden: CreateContactFlowVersion verbinden: CreateDataTable verbinden: CreateDataTableAttribute verbinden: CreateEmailAddress verbinden: CreateEvaluationForm verbinden: CreateHoursOfOperation verbinden: CreateInstance verbinden: CreateIntegrationAssociation verbinden: CreateParticipant verbinden: CreatePersistentContactAssociation verbinden: CreatePredefinedAttribute verbinden: CreatePrompt verbinden: CreatePushNotificationRegistration verbinden: CreateQueue verbinden: CreateQuickConnect verbinden: CreateRoutingProfile verbinden: CreateRule verbinden: CreateSecurityProfile verbinden: CreateTaskTemplate verbinden: CreateTrafficDistributionGroup verbinden: CreateUseCase verbinden: CreateUser verbinden: CreateUserHierarchyGroup verbinden: CreateView verbinden: CreateViewVersion verbinden: CreateVocabulary verbinden: CreateWorkspace verbinden: DeactivateEvaluationForm verbinden: DeleteContactEvaluation verbinden: DeleteContactFlow verbinden: DeleteContactFlowModule verbinden: DeleteContactFlowModuleAlias verbinden: DeleteContactFlowModuleVersion verbinden: DeleteContactFlowVersion verbinden: DeleteDataTable verbinden: DeleteDataTableAttribute verbinden: DeleteEmailAddress verbinden: DeleteEvaluationForm verbinden: DeleteHoursOfOperation verbinden: DeleteHoursOfOperationOverride verbinden: DeleteInstance verbinden: DeleteIntegrationAssociation verbinden: DeletePredefinedAttribute verbinden: DeletePrompt verbinden: DeletePushNotificationRegistration verbinden: DeleteQueue verbinden: DeleteQuickConnect verbinden: DeleteRoutingProfile verbinden: DeleteRule verbinden: DeleteSecurityProfile verbinden: DeleteTaskTemplate verbinden: DeleteTrafficDistributionGroup verbinden: DeleteUseCase verbinden: DeleteUser verbinden: DeleteUserHierarchyGroup verbinden: DeleteView verbinden: DeleteVocabulary verbinden: DeleteWorkspace verbinden: DeleteWorkspaceMedia verbinden: DescribeAuthenticationProfile verbinden: DescribeContactFlowModuleAlias verbinden: DescribeDataTableAttribute verbinden: DescribeHoursOfOperationOverride verbinden: DescribeInstanceAttribute verbinden: DescribeInstanceStorageConfig verbinden: DescribePhoneNumber verbinden: DescribeRule verbinden: DescribeTrafficDistributionGroup verbinden: DescribeUserHierarchyStructure verbinden: DescribeVocabulary verbinden: DisassociateAnalyticsDataSet verbinden: DisassociateApprovedOrigin verbinden: DisassociateBot verbinden: DisassociateEmailAddressAlias verbinden: DisassociateFlow verbinden: DisassociateInstanceStorageConfig verbinden: DisassociateLambdaFunction verbinden: DisassociateLexBot verbinden: DisassociatePhoneNumberContactFlow verbinden: DisassociateQueueQuickConnects verbinden: DisassociateRoutingProfileQueues verbinden: DisassociateSecurityKey verbinden: DisassociateUserProficiencies verbinden: DismissUserContact verbinden: EvaluateDataTableValues verbinden: GetContactAttributes verbinden: GetContactMetrics verbinden: GetCurrentMetricData verbinden: GetCurrentUserData verbinden: GetEffectiveHoursOfOperations verbinden: GetFederationToken verbinden: GetFlowAssociation verbinden: GetMetricData verbinden: GetMetricData V2 verbinden: GetPromptFile verbinden: GetTaskTemplate verbinden: GetTrafficDistribution verbinden: ImportPhoneNumber verbinden: ImportWorkspaceMedia verbinden: ListAnalyticsDataAssociations verbinden: ListAnalyticsDataLakeDataSets verbinden: ListApprovedOrigins verbinden: ListAssociatedContacts verbinden: ListAuthenticationProfiles verbinden: ListBots verbinden: ListContactEvaluations verbinden: ListContactFlowModuleAliases verbinden: ListContactFlowModuleVersions verbinden: ListContactFlowModules verbinden: ListContactFlowVersions verbinden: ListContactFlows verbinden: ListContactReferences verbinden: ListDataTableAttributes verbinden: ListDataTablePrimaryValues verbinden: ListDataTableValues verbinden: ListDataTables verbinden: ListDefaultVocabularies verbinden: ListEvaluationFormVersions verbinden: ListEvaluationForms verbinden: ListFlowAssociations verbinden: ListHoursOfOperations verbinden: ListInstanceAttributes verbinden: ListInstanceStorageConfigs verbinden: ListIntegrationAssociations verbinden: ListLambdaFunctions verbinden: ListLexBots verbinden: ListPhoneNumbers verbinden: ListPhoneNumbers V2 verbinden: ListPredefinedAttributes verbinden: ListPrompts verbinden: ListQueueQuickConnects verbinden: ListQueues verbinden: ListQuickConnects verbinden: ListRealtimeContactAnalysisSegments V2 verbinden: ListRoutingProfileManualAssignmentQueues verbinden: ListRoutingProfileQueues verbinden: ListRoutingProfiles verbinden: ListRules verbinden: ListSecurityKeys verbinden: ListSecurityProfileApplications verbinden: ListSecurityProfileFlowModules verbinden: ListSecurityProfilePermissions verbinden: ListSecurityProfiles verbinden: ListTaskTemplates verbinden: ListTrafficDistributionGroups verbinden: ListUseCases verbinden: ListUserHierarchyGroups verbinden: ListUsers verbinden: ListViewVersions verbinden: ListViews verbinden: ListWorkspaceMedia verbinden: ListWorkspacePages verbinden: ListWorkspaces verbinden: MonitorContact verbinden: PauseContact verbinden: PutUserStatus verbinden: ReleasePhoneNumber verbinden: ReplicateInstance verbinden: ResumeContact verbinden: ResumeContactRecording verbinden: SearchAgentStatuses verbinden: SearchAvailablePhoneNumbers verbinden: SearchContactEvaluations verbinden: SearchContactFlowModules verbinden: SearchContactFlows verbinden: SearchContacts verbinden: SearchDataTables verbinden: SearchEmailAddresses verbinden: SearchEvaluationForms verbinden: SearchHoursOfOperations verbinden: SearchPredefinedAttributes verbinden: SearchPrompts verbinden: SearchQueues verbinden: SearchQuickConnects verbinden: SearchRoutingProfiles verbinden: SearchSecurityProfiles verbinden: SearchUserHierarchyGroups verbinden: SearchViews verbinden: SearchVocabularies verbinden: SearchWorkspaceAssociations verbinden: SearchWorkspaces verbinden: SendChatIntegrationEvent verbinden: SendOutboundEmail verbinden: StartChatContact verbinden: StartContactEvaluation verbinden: StartContactMediaProcessing verbinden: StartContactRecording verbinden: StartContactStreaming verbinden: StartEmailContact verbinden: StartOutboundChatContact verbinden: StartOutboundEmailContact verbinden: StartOutboundVoiceContact verbinden: StartScreenSharing verbinden: StartTaskContact verbinden: StartWeb RTCContact verbinden: StopContact verbinden: StopContactMediaProcessing verbinden: StopContactRecording verbinden: StopContactStreaming verbinden: SubmitContactEvaluation verbinden: SuspendContactRecording verbinden: TransferContact verbinden: UpdateAgentStatus verbinden: UpdateAuthenticationProfile verbinden: UpdateContact verbinden: UpdateContactAttributes verbinden: UpdateContactEvaluation verbinden: UpdateContactFlowContent verbinden: UpdateContactFlowMetadata verbinden: UpdateContactFlowModuleAlias verbinden: UpdateContactFlowModuleContent verbinden: UpdateContactFlowModuleMetadata verbinden: UpdateContactFlowName verbinden: UpdateContactRoutingData verbinden: UpdateContactSchedule verbinden: UpdateDataTableAttribute verbinden: UpdateDataTableMetadata verbinden: UpdateDataTablePrimaryValues verbinden: UpdateEmailAddressMetadata verbinden: UpdateEvaluationForm verbinden: UpdateHoursOfOperation verbinden: UpdateHoursOfOperationOverride verbinden: UpdateInstanceAttribute verbinden: UpdateInstanceStorageConfig verbinden: UpdateParticipantAuthentication verbinden: UpdateParticipantRoleConfig verbinden: UpdatePhoneNumber verbinden: UpdatePhoneNumberMetadata verbinden: UpdatePredefinedAttribute verbinden: UpdatePrompt verbinden: UpdateQueueHoursOfOperation verbinden: UpdateQueueMaxContacts verbinden: UpdateQueueName verbinden: UpdateQueueOutboundCallerConfig verbinden: UpdateQueueOutboundEmailConfig verbinden: UpdateQueueStatus verbinden: UpdateQuickConnectConfig verbinden: UpdateQuickConnectName verbinden: UpdateRoutingProfileAgentAvailabilityTimer verbinden: UpdateRoutingProfileConcurrency verbinden: UpdateRoutingProfileDefaultOutboundQueue verbinden: UpdateRoutingProfileName verbinden: UpdateRoutingProfileQueues verbinden: UpdateRule verbinden: UpdateSecurityProfile verbinden: UpdateTaskTemplate verbinden: UpdateTrafficDistribution verbinden: UpdateUserHierarchy verbinden: UpdateUserHierarchyGroupName verbinden: UpdateUserHierarchyStructure verbinden: UpdateUserIdentityInfo verbinden: UpdateUserPhoneConfig verbinden: UpdateUserProficiencies verbinden: UpdateUserRoutingProfile verbinden: UpdateUserSecurityProfiles verbinden: UpdateViewContent verbinden: UpdateViewMetadata verbinden: UpdateWorkspaceMetadata verbinden: UpdateWorkspaceTheme verbinden: UpdateWorkspaceVisibility  | 
| cur |  schneiden: DeleteReportDefinition Cur: DescribeReportDefinitions Cur: ModifyReportDefinition Cur: PutReportDefinition  | 
| databrew |  Datenbraue: BatchDeleteRecipeVersion Datenbraue: CreateDataset Datenbraue: CreateProfileJob Datenbraue: CreateProject Datenbraue: CreateRecipe Datenbraue: CreateRecipeJob Datenbraue: CreateRuleset Datenbraue: CreateSchedule Datenbraue: DeleteDataset Datenbraue: DeleteJob Datenbraue: DeleteProject Datenbraue: DeleteRecipeVersion Datenbraue: DeleteRuleset Datenbraue: DeleteSchedule Datenbraue: DescribeDataset Datenbraue: DescribeJob Datenbraue: DescribeJobRun Datenbraue: DescribeProject Datenbraue: DescribeRecipe Datenbraue: DescribeRuleset Datenbraue: DescribeSchedule Datenbraue: ListDatasets Datenbraue: ListJobRuns Datenbraue: ListJobs Datenbraue: ListProjects Datenbraue: ListRecipeVersions Datenbraue: ListRecipes Datenbraue: ListRulesets Datenbraue: ListSchedules Datenbraue: PublishRecipe Datenbraue: SendProjectSessionAction Datenbraue: StartJobRun Datenbraue: StartProjectSession Datenbraue: StopJobRun Datenbraue: UpdateDataset Datenbraue: UpdateProfileJob Datenbraue: UpdateProject Datenbraue: UpdateRecipe Datenbraue: UpdateRecipeJob Datenbraue: UpdateRuleset Datenbraue: UpdateSchedule  | 
| dataexchange |  Datenaustausch: AcceptDataGrant Datenaustausch: CancelJob Datenaustausch: CreateDataGrant Datenaustausch: CreateDataSet Datenaustausch: CreateEventAction Datenaustausch: CreateJob Datenaustausch: CreateRevision Datenaustausch: DeleteAsset Datenaustausch: DeleteDataGrant Datenaustausch: DeleteEventAction Datenaustausch: DeleteRevision Datenaustausch: GetDataGrant Datenaustausch: GetEventAction Datenaustausch: GetJob Datenaustausch: GetReceivedDataGrant Datenaustausch: ListDataGrants Datenaustausch: ListDataSetRevisions Datenaustausch: ListDataSets Datenaustausch: ListEventActions Datenaustausch: ListJobs Datenaustausch: ListReceivedDataGrants Datenaustausch: ListRevisionAssets Datenaustausch: RevokeRevision Datenaustausch: SendDataSetNotification Datenaustausch: StartJob Datenaustausch: UpdateAsset Datenaustausch: UpdateDataSet Datenaustausch: UpdateEventAction Datenaustausch: UpdateRevision  | 
| datapipeline |  Datenleitung: ActivatePipeline Datenleitung: CreatePipeline Datenleitung: DeactivatePipeline Datenleitung: DeletePipeline Datenleitung: DescribeObjects Datenleitung: DescribePipelines Datenleitung: EvaluateExpression Datenleitung: GetPipelineDefinition Datenleitung: ListPipelines Datenleitung: PollForTask Datenleitung: PutPipelineDefinition Datenleitung: QueryObjects Datenleitung: ReportTaskProgress Datenleitung: ReportTaskRunnerHeartbeat Datenleitung: SetStatus Datenleitung: SetTaskStatus Datenleitung: ValidatePipelineDefinition  | 
| dax |  Dax: CreateCluster Dax: DecreaseReplicationFactor Dax: DeleteCluster Dax: DeleteParameterGroup Dax: DeleteSubnetGroup Dax: DescribeClusters Dax: DescribeDefaultParameters Dax: DescribeEvents Dax: DescribeParameterGroups Dax: DescribeParameters Dax: DescribeSubnetGroups Dax: IncreaseReplicationFactor Dax: RebootNode Dax: UpdateCluster Dax: UpdateParameterGroup Dax: UpdateSubnetGroup  | 
| devicefarm |  Gerätefarm: CreateDevicePool Gerätefarm: CreateInstanceProfile Gerätefarm: CreateNetworkProfile Gerätefarm: CreateProject Gerätefarm: CreateRemoteAccessSession Gerätefarm: CreateTestGridProject Gerätefarm: CreateTestGridUrl Gerätefarm: CreateUpload deviceFarm: erstellen VPCEConfiguration Gerätefarm: DeleteDevicePool Gerätefarm: DeleteInstanceProfile Gerätefarm: DeleteNetworkProfile Gerätefarm: DeleteProject Gerätefarm: DeleteRemoteAccessSession Gerätefarm: DeleteRun Gerätefarm: DeleteTestGridProject Gerätefarm: DeleteUpload deviceFarm: löschen VPCEConfiguration Gerätefarm: GetAccountSettings Gerätefarm: GetDevice Gerätefarm: GetDeviceInstance Gerätefarm: GetDevicePool Gerätefarm: GetDevicePoolCompatibility Gerätefarm: GetInstanceProfile Gerätefarm: GetJob Gerätefarm: GetNetworkProfile Gerätefarm: GetOfferingStatus Gerätefarm: GetProject Gerätefarm: GetRemoteAccessSession Gerätefarm: GetRun Gerätefarm: GetSuite Gerätefarm: GetTest Gerätefarm: GetTestGridProject Gerätefarm: GetTestGridSession Gerätefarm: GetUpload deviceFarm: GET VPCEConfiguration Gerätefarm: ListArtifacts Gerätefarm: ListDeviceInstances Gerätefarm: ListDevicePools Gerätefarm: ListDevices Gerätefarm: ListInstanceProfiles Gerätefarm: ListJobs Gerätefarm: ListNetworkProfiles Gerätefarm: ListOfferingPromotions Gerätefarm: ListOfferingTransactions Gerätefarm: ListOfferings Gerätefarm: ListProjects Gerätefarm: ListRemoteAccessSessions Gerätefarm: ListRuns Gerätefarm: ListSamples Gerätefarm: ListSuites Gerätefarm: ListTestGridProjects Gerätefarm: ListTestGridSessionActions Gerätefarm: ListTestGridSessionArtifacts Gerätefarm: ListTestGridSessions Gerätefarm: ListTests Gerätefarm: ListUniqueProblems Gerätefarm: ListUploads deviceFarm: Liste VPCEConfigurations Gerätefarm: PurchaseOffering Gerätefarm: RenewOffering Gerätefarm: ScheduleRun Gerätefarm: StopJob Gerätefarm: StopRemoteAccessSession Gerätefarm: StopRun Gerätefarm: UpdateDeviceInstance Gerätefarm: UpdateDevicePool Gerätefarm: UpdateInstanceProfile Gerätefarm: UpdateNetworkProfile Gerätefarm: UpdateProject Gerätefarm: UpdateTestGridProject Gerätefarm: UpdateUpload deviceFarm: aktualisieren VPCEConfiguration  | 
| devops-guru |  Devops-Guru: AddNotificationChannel Devops-Guru: DeleteInsight Devops-Guru: DescribeAccountHealth Devops-Guru: DescribeAccountOverview Devops-Guru: DescribeAnomaly Devops-Guru: DescribeEventSourcesConfig Devops-Guru: DescribeFeedback Devops-Guru: DescribeInsight Devops-Guru: DescribeOrganizationHealth Devops-Guru: DescribeOrganizationOverview Devops-Guru: DescribeOrganizationResourceCollectionHealth Devops-Guru: DescribeResourceCollectionHealth Devops-Guru: DescribeServiceIntegration Devops-Guru: GetCostEstimation Devops-Guru: GetResourceCollection Devops-Guru: ListAnomaliesForInsight Devops-Guru: ListAnomalousLogGroups Devops-Guru: ListEvents Devops-Guru: ListInsights Devops-Guru: ListMonitoredResources Devops-Guru: ListNotificationChannels Devops-Guru: ListOrganizationInsights Devops-Guru: ListRecommendations Devops-Guru: PutFeedback Devops-Guru: RemoveNotificationChannel Devops-Guru: SearchInsights Devops-Guru: SearchOrganizationInsights Devops-Guru: StartCostEstimation Devops-Guru: UpdateEventSourcesConfig Devops-Guru: UpdateResourceCollection Devops-Guru: UpdateServiceIntegration  | 
| directconnect |  direkte Verbindung: AcceptDirectConnectGatewayAssociationProposal Direktverbindung: AllocateConnectionOnInterconnect Direktverbindung: AllocateHostedConnection Direktverbindung: AllocatePrivateVirtualInterface Direktverbindung: AllocatePublicVirtualInterface Direktverbindung: AllocateTransitVirtualInterface Direktverbindung: AssociateConnectionWithLag Direktverbindung: AssociateHostedConnection Direktverbindung: AssociateMacSecKey Direktverbindung: AssociateVirtualInterface Direktverbindung: ConfirmConnection Direktverbindung: ConfirmCustomerAgreement Direktverbindung: ConfirmPrivateVirtualInterface Direktverbindung: ConfirmPublicVirtualInterface Direktverbindung: ConfirmTransitVirtualInterface DirectConnect: erstellen BGPPeer Direktverbindung: CreateConnection Direktverbindung: CreateDirectConnectGateway Direktverbindung: CreateDirectConnectGatewayAssociation Direktverbindung: CreateDirectConnectGatewayAssociationProposal Direktverbindung: CreateInterconnect Direktverbindung: CreateLag Direktverbindung: CreatePrivateVirtualInterface Direktverbindung: CreatePublicVirtualInterface Direktverbindung: CreateTransitVirtualInterface DirectConnect: löschen BGPPeer Direktverbindung: DeleteConnection Direktverbindung: DeleteDirectConnectGateway Direktverbindung: DeleteDirectConnectGatewayAssociation Direktverbindung: DeleteDirectConnectGatewayAssociationProposal Direktverbindung: DeleteInterconnect Direktverbindung: DeleteLag Direktverbindung: DeleteVirtualInterface Direktverbindung: DescribeConnectionLoa Direktverbindung: DescribeConnections Direktverbindung: DescribeConnectionsOnInterconnect Direktverbindung: DescribeCustomerMetadata Direktverbindung: DescribeDirectConnectGatewayAssociationProposals Direktverbindung: DescribeDirectConnectGatewayAssociations Direktverbindung: DescribeDirectConnectGatewayAttachments Direktverbindung: DescribeDirectConnectGateways Direktverbindung: DescribeHostedConnections Direktverbindung: DescribeInterconnectLoa Direktverbindung: DescribeInterconnects Direktverbindung: DescribeLags Direktverbindung: DescribeLoa Direktverbindung: DescribeLocations Direktverbindung: DescribeRouterConfiguration Direktverbindung: DescribeVirtualGateways Direktverbindung: DescribeVirtualInterfaces Direktverbindung: DisassociateConnectionFromLag Direktverbindung: DisassociateMacSecKey Direktverbindung: ListVirtualInterfaceTestHistory Direktverbindung: StartBgpFailoverTest Direktverbindung: StopBgpFailoverTest Direktverbindung: UpdateConnection direkte Verbindung: UpdateDirectConnectGateway direkte Verbindung: UpdateDirectConnectGatewayAssociation direkte Verbindung: UpdateLag direkte Verbindung: UpdateVirtualInterfaceAttributes  | 
| dlm |  dlm: CreateLifecyclePolicy dlm: DeleteLifecyclePolicy dlm: GetLifecyclePolicies dlm: GetLifecyclePolicy dlm: UpdateLifecyclePolicy  | 
| dms |  dms: ApplyPendingMaintenanceAction dms: AssociateExtensionPack dms: BatchStartRecommendations dms: CancelMetadataModelCreation dms: CancelReplicationTaskAssessmentRun dms: CreateDataProvider dms: CreateEndpoint dms: CreateEventSubscription dms: CreateInstanceProfile dms: CreateMigrationProject dms: CreateReplicationConfig dms: CreateReplicationInstance dms: CreateReplicationSubnetGroup dms: CreateReplicationTask dms: DeleteCertificate dms: DeleteConnection dms: DeleteDataMigration dms: DeleteDataProvider dms: DeleteEndpoint dms: DeleteEventSubscription dms: DeleteFleetAdvisorCollector dms: DeleteFleetAdvisorDatabases dms: DeleteInstanceProfile dms: DeleteMigrationProject dms: DeleteReplicationConfig dms: DeleteReplicationInstance dms: DeleteReplicationSubnetGroup dms: DeleteReplicationTask dms: DeleteReplicationTaskAssessmentRun dms: DescribeAccountAttributes dms: DescribeApplicableIndividualAssessments dms: DescribeCertificates dms: DescribeConnections dms: DescribeDataMigrations dms: DescribeEndpointSettings dms: DescribeEndpointTypes dms: DescribeEndpoints dms: DescribeEngineVersions dms: DescribeEventCategories dms: DescribeEventSubscriptions dms: DescribeEvents dms: DescribeFleetAdvisorCollectors dms: DescribeFleetAdvisorDatabases dms: DescribeFleetAdvisorLsaAnalysis dms: DescribeFleetAdvisorSchemaObjectSummary dms: DescribeFleetAdvisorSchemas dms: DescribeMetadataModel dms: DescribeMetadataModelChildren dms: DescribeMetadataModelCreations dms: DescribeMetadataModelImports dms: DescribeOrderableReplicationInstances dms: DescribePendingMaintenanceActions dms: DescribeRecommendationLimitations dms: DescribeRecommendations dms: DescribeRefreshSchemasStatus dms: DescribeReplicationConfigs dms: DescribeReplicationInstanceTaskLogs dms: DescribeReplicationInstances dms: DescribeReplicationSubnetGroups dms: DescribeReplicationTableStatistics dms: DescribeReplicationTaskAssessmentResults dms: DescribeReplicationTaskAssessmentRuns dms: DescribeReplicationTaskIndividualAssessments dms: DescribeReplicationTasks dms: DescribeReplications dms: DescribeSchemas dms: DescribeTableStatistics dms: ExportMetadataModelAssessment dms: ImportCertificate dms: ListDataProviders dms: ListExtensionPacks dms: ListInstanceProfiles dms: ListMetadataModelAssessments dms: ListMetadataModelConversions dms: ListMetadataModelExports dms: ListMigrationProjects dms: ModifyDataMigration dms: ModifyEndpoint dms: ModifyEventSubscription dms: ModifyReplicationConfig dms: ModifyReplicationInstance dms: ModifyReplicationSubnetGroup dms: ModifyReplicationTask dms: MoveReplicationTask dms: RebootReplicationInstance dms: RefreshSchemas dms: ReloadReplicationTables dms: ReloadTables dms: RunFleetAdvisorLsaAnalysis dms: StartMetadataModelAssessment dms: StartMetadataModelConversion dms: StartMetadataModelCreation dms: StartMetadataModelExportAsScripts dms: StartMetadataModelExportToTarget dms: StartRecommendations dms: StartReplication dms: StartReplicationTask dms: StartReplicationTaskAssessment dms: StopDataMigration dms: StopReplicationTask dms: TestConnection dms: UpdateConversionConfiguration dms: UpdateDataProvider dms: UpdateInstanceProfile dms: UpdateMigrationProject dms: UpdateSubscriptionsToEventBridge  | 
| docdb-elastic |  docdb-elastisch: ApplyPendingMaintenanceAction docdb-elastisch: CopyClusterSnapshot docdb-elastisch: DeleteCluster docdb-elastisch: DeleteClusterSnapshot docdb-elastisch: GetCluster docdb-elastisch: GetClusterSnapshot docdb-elastisch: GetPendingMaintenanceAction docdb-elastisch: ListClusterSnapshots docdb-elastisch: ListClusters docdb-elastisch: ListPendingMaintenanceActions docdb-elastisch: RestoreClusterFromSnapshot docdb-elastisch: StartCluster docdb-elastisch: StopCluster docdb-elastisch: UpdateCluster  | 
| dynamodb |  Dynamodb: AssociateTableReplica Dynamodb: CreateBackup Dynamodb: CreateGlobalTable Dynamodb: CreateTable Dynamodb: DeleteBackup Dynamodb: DeleteTable Dynamodb: DescribeBackup Dynamodb: DescribeContinuousBackups Dynamodb: DescribeContributorInsights Dynamodb: DescribeEndpoints Dynamodb: DescribeExport Dynamodb: DescribeGlobalTable Dynamodb: DescribeGlobalTableSettings Dynamodb: DescribeImport Dynamodb: DescribeKinesisStreamingDestination Dynamodb: DescribeLimits Dynamodb: DescribeStream Dynamodb: DescribeTable Dynamodb: DescribeTableReplicaAutoScaling Dynamodb: DescribeTimeToLive Dynamodb: DisableKinesisStreamingDestination Dynamodb: EnableKinesisStreamingDestination Dynamodb: ExportTableToPointInTime Dynamodb: GetResourcePolicy Dynamodb: ImportTable Dynamodb: ListBackups Dynamodb: ListContributorInsights Dynamodb: ListExports Dynamodb: ListGlobalTables Dynamodb: ListImports Dynamodb: ListStreams Dynamodb: ListTables Dynamodb: ReadDataForReplication Dynamodb: ReplicateSettings Dynamodb: RestoreTableFromBackup Dynamodb: RestoreTableToPointInTime Dynamodb: UpdateContinuousBackups Dynamodb: UpdateContributorInsights Dynamodb: UpdateGlobalTable Dynamodb: UpdateGlobalTableSettings Dynamodb: UpdateKinesisStreamingDestination Dynamodb: UpdateTable Dynamodb: UpdateTableReplicaAutoScaling Dynamodb: UpdateTimeToLive Dynamodb: WriteDataForReplication  | 
| ebs |  ebs: CompleteSnapshot ebs: StartSnapshot  | 
| ec2 |  ec2: AcceptAddressTransfer ec2: AcceptCapacityReservationBillingOwnership ec2: AcceptReservedInstancesExchangeQuote ec2: AcceptTransitGatewayMulticastDomainAssociations ec2: AcceptTransitGatewayPeeringAttachment ec2: AcceptTransitGatewayVpcAttachment ec2: AcceptVpcEndpointConnections ec2: AcceptVpcPeeringConnection ec2: AdvertiseByoipCidr ec2: AllocateAddress ec2: AllocateHosts ec2: AllocateIpamPoolCidr ec2: ApplySecurityGroupsToClientVpnTargetNetwork ec2:6 Adressen AssignIpv ec2: AssignPrivateIpAddresses ec2: AssignPrivateNatGatewayAddress ec2: AssociateAddress ec2: AssociateCapacityReservationBillingOwner ec2: AssociateClientVpnTargetNetwork ec2: AssociateDhcpOptions ec2: AssociateEnclaveCertificateIamRole ec2: AssociateIamInstanceProfile ec2: AssociateInstanceEventWindow ec2: AssociateIpamByoasn ec2: AssociateIpamResourceDiscovery ec2: AssociateNatGatewayAddress ec2: AssociateRouteServer ec2: AssociateRouteTable ec2: AssociateSecurityGroupVpc ec2: AssociateSubnetCidrBlock ec2: AssociateTransitGatewayMulticastDomain ec2: AssociateTransitGatewayPolicyTable ec2: AssociateTransitGatewayRouteTable ec2: AssociateTrunkInterface ec2: AssociateVpcCidrBlock ec2: AttachClassicLinkVpc ec2: AttachInternetGateway ec2: AttachNetworkInterface ec2: AttachVerifiedAccessTrustProvider ec2: AttachVolume ec2: AttachVpnGateway ec2: AuthorizeClientVpnIngress ec2: AuthorizeSecurityGroupEgress ec2: AuthorizeSecurityGroupIngress ec2: BundleInstance ec2: CancelBundleTask ec2: CancelCapacityReservation ec2: CancelCapacityReservationFleets ec2: CancelConversionTask ec2: CancelDeclarativePoliciesReport ec2: CancelExportTask ec2: CancelImageLaunchPermission ec2: CancelImportTask ec2: CancelReservedInstancesListing ec2: CancelSpotFleetRequests ec2: CancelSpotInstanceRequests ec2: ConfirmProductInstance ec2: CopyFpgaImage ec2: CopyImage ec2: CopySnapshot ec2: CopyVolumes ec2: CreateCapacityManagerDataExport ec2: CreateCapacityReservation ec2: CreateCapacityReservationBySplitting ec2: CreateCapacityReservationFleet ec2: CreateCarrierGateway ec2: CreateClientVpnEndpoint ec2: CreateClientVpnRoute ec2: CreateCoipCidr ec2: CreateCoipPool ec2: CreateCustomerGateway ec2: CreateDefaultSubnet ec2: CreateDefaultVpc ec2: CreateDelegateMacVolumeOwnershipTask ec2: CreateDhcpOptions ec2: CreateEgressOnlyInternetGateway ec2: CreateFleet ec2: CreateFlowLogs ec2: CreateFpgaImage ec2: CreateImage ec2: CreateImageUsageReport ec2: CreateInstanceConnectEndpoint ec2: CreateInstanceEventWindow ec2: CreateInstanceExportTask ec2: CreateInternetGateway ec2: CreateInterruptibleCapacityReservationAllocation ec2: CreateIpam ec2: CreateIpamExternalResourceVerificationToken ec2: CreateIpamPolicy ec2: CreateIpamPool ec2: CreateIpamPrefixListResolver ec2: CreateIpamPrefixListResolverTarget ec2: CreateIpamResourceDiscovery ec2: CreateIpamScope ec2: CreateKeyPair ec2: CreateLaunchTemplateVersion ec2: CreateLocalGatewayRoute ec2: CreateLocalGatewayRouteTable ec2: CreateLocalGatewayRouteTableVirtualInterfaceGroupAssociation ec2: CreateLocalGatewayRouteTableVpcAssociation ec2: CreateLocalGatewayVirtualInterface ec2: CreateLocalGatewayVirtualInterfaceGroup ec2: CreateMacSystemIntegrityProtectionModificationTask ec2: CreateManagedPrefixList ec2: CreateNatGateway ec2: CreateNetworkAcl ec2: CreateNetworkAclEntry ec2: CreateNetworkInsightsAccessScope ec2: CreateNetworkInsightsPath ec2: CreateNetworkInterface ec2: CreateNetworkInterfacePermission ec2: CreatePlacementGroup ec2:4 Becken CreatePublicIpv ec2: CreateReplaceRootVolumeTask ec2: CreateReservedInstancesListing ec2: CreateRestoreImageTask ec2: CreateRoute ec2: CreateRouteServer ec2: CreateRouteServerEndpoint ec2: CreateRouteServerPeer ec2: CreateRouteTable ec2: CreateSecurityGroup ec2: CreateSnapshots ec2: CreateSpotDatafeedSubscription ec2: CreateStoreImageTask ec2: CreateSubnet ec2: CreateSubnetCidrReservation ec2: CreateTrafficMirrorFilter ec2: CreateTrafficMirrorFilterRule ec2: CreateTrafficMirrorSession ec2: CreateTrafficMirrorTarget ec2: CreateTransitGateway ec2: CreateTransitGatewayConnect ec2: CreateTransitGatewayConnectPeer ec2: CreateTransitGatewayMeteringPolicy ec2: CreateTransitGatewayMeteringPolicyEntry ec2: CreateTransitGatewayMulticastDomain ec2: CreateTransitGatewayPeeringAttachment ec2: CreateTransitGatewayPolicyTable ec2: CreateTransitGatewayPrefixListReference ec2: CreateTransitGatewayRoute ec2: CreateTransitGatewayRouteTable ec2: CreateTransitGatewayRouteTableAnnouncement ec2: CreateTransitGatewayVpcAttachment ec2: CreateVerifiedAccessEndpoint ec2: CreateVerifiedAccessGroup ec2: CreateVerifiedAccessInstance ec2: CreateVerifiedAccessTrustProvider ec2: CreateVolume ec2: CreateVpc ec2: CreateVpcBlockPublicAccessExclusion ec2: CreateVpcEncryptionControl ec2: CreateVpcEndpoint ec2: CreateVpcEndpointConnectionNotification ec2: CreateVpcEndpointServiceConfiguration ec2: CreateVpcPeeringConnection ec2: CreateVpnConcentrator ec2: CreateVpnConnection ec2: CreateVpnConnectionRoute ec2: CreateVpnGateway ec2: DeleteCapacityManagerDataExport ec2: DeleteCarrierGateway ec2: DeleteClientVpnEndpoint ec2: DeleteClientVpnRoute ec2: DeleteCoipCidr ec2: DeleteCoipPool ec2: DeleteCustomerGateway ec2: DeleteDhcpOptions ec2: DeleteEgressOnlyInternetGateway ec2: DeleteFleets ec2: DeleteFlowLogs ec2: DeleteFpgaImage ec2: DeleteImageUsageReport ec2: DeleteInstanceConnectEndpoint ec2: DeleteInstanceEventWindow ec2: DeleteInternetGateway ec2: DeleteIpam ec2: DeleteIpamExternalResourceVerificationToken ec2: DeleteIpamPolicy ec2: DeleteIpamPool ec2: DeleteIpamPrefixListResolver ec2: DeleteIpamPrefixListResolverTarget ec2: DeleteIpamResourceDiscovery ec2: DeleteIpamScope ec2: DeleteKeyPair ec2: DeleteLaunchTemplate ec2: DeleteLaunchTemplateVersions ec2: DeleteLocalGatewayRoute ec2: DeleteLocalGatewayRouteTable ec2: DeleteLocalGatewayRouteTableVirtualInterfaceGroupAssociation ec2: DeleteLocalGatewayRouteTableVpcAssociation ec2: DeleteLocalGatewayVirtualInterface ec2: DeleteLocalGatewayVirtualInterfaceGroup ec2: DeleteManagedPrefixList ec2: DeleteNatGateway ec2: DeleteNetworkAcl ec2: DeleteNetworkAclEntry ec2: DeleteNetworkInsightsAccessScope ec2: DeleteNetworkInsightsAccessScopeAnalysis ec2: DeleteNetworkInsightsAnalysis ec2: DeleteNetworkInsightsPath ec2: DeleteNetworkInterface ec2: DeleteNetworkInterfacePermission ec2: DeletePlacementGroup ec2:4 Becken DeletePublicIpv ec2: DeleteQueuedReservedInstances ec2: DeleteRoute ec2: DeleteRouteServer ec2: DeleteRouteServerEndpoint ec2: DeleteRouteServerPeer ec2: DeleteRouteTable ec2: DeleteSecurityGroup ec2: DeleteSpotDatafeedSubscription ec2: DeleteSubnet ec2: DeleteSubnetCidrReservation ec2: DeleteTrafficMirrorFilter ec2: DeleteTrafficMirrorFilterRule ec2: DeleteTrafficMirrorSession ec2: DeleteTrafficMirrorTarget ec2: DeleteTransitGateway ec2: DeleteTransitGatewayConnect ec2: DeleteTransitGatewayConnectPeer ec2: DeleteTransitGatewayMeteringPolicy ec2: DeleteTransitGatewayMeteringPolicyEntry ec2: DeleteTransitGatewayMulticastDomain ec2: DeleteTransitGatewayPeeringAttachment ec2: DeleteTransitGatewayPolicyTable ec2: DeleteTransitGatewayPrefixListReference ec2: DeleteTransitGatewayRoute ec2: DeleteTransitGatewayRouteTable ec2: DeleteTransitGatewayRouteTableAnnouncement ec2: DeleteTransitGatewayVpcAttachment ec2: DeleteVerifiedAccessEndpoint ec2: DeleteVerifiedAccessGroup ec2: DeleteVerifiedAccessInstance ec2: DeleteVerifiedAccessTrustProvider ec2: DeleteVolume ec2: DeleteVpc ec2: DeleteVpcBlockPublicAccessExclusion ec2: DeleteVpcEncryptionControl ec2: DeleteVpcEndpointConnectionNotifications ec2: DeleteVpcEndpointServiceConfigurations ec2: DeleteVpcEndpoints ec2: DeleteVpcPeeringConnection ec2: DeleteVpnConcentrator ec2: DeleteVpnConnection ec2: DeleteVpnConnectionRoute ec2: DeleteVpnGateway ec2: DeprovisionByoipCidr ec2: DeprovisionIpamByoasn ec2: DeprovisionIpamPoolCidr ec2:4 DeprovisionPublicIpv PoolCidr ec2: DeregisterImage ec2: DeregisterInstanceEventNotificationAttributes ec2: DeregisterTransitGatewayMulticastGroupMembers ec2: DeregisterTransitGatewayMulticastGroupSources ec2: DescribeAccountAttributes ec2: DescribeAddressTransfers ec2: DescribeAddresses ec2: DescribeAddressesAttribute ec2: DescribeAggregateIdFormat ec2: DescribeAvailabilityZones ec2: DescribeAwsNetworkPerformanceMetricSubscriptions ec2: DescribeBundleTasks ec2: DescribeByoipCidrs ec2: DescribeCapacityBlockExtensionHistory ec2: DescribeCapacityBlockExtensionOfferings ec2: DescribeCapacityBlockStatus ec2: DescribeCapacityBlocks ec2: DescribeCapacityManagerDataExports ec2: DescribeCapacityReservationBillingRequests ec2: DescribeCapacityReservationFleets ec2: DescribeCapacityReservationTopology ec2: DescribeCapacityReservations ec2: DescribeCarrierGateways ec2: DescribeClassicLinkInstances ec2: DescribeClientVpnAuthorizationRules ec2: DescribeClientVpnConnections ec2: DescribeClientVpnEndpoints ec2: DescribeClientVpnRoutes ec2: DescribeClientVpnTargetNetworks ec2: DescribeCoipPools ec2: DescribeConversionTasks ec2: DescribeCustomerGateways ec2: DescribeDeclarativePoliciesReports ec2: DescribeDhcpOptions ec2: DescribeEgressOnlyInternetGateways ec2: DescribeElasticGpus ec2: DescribeExportImageTasks ec2: DescribeExportTasks ec2: DescribeFastLaunchImages ec2: DescribeFastSnapshotRestores ec2: DescribeFleetHistory ec2: DescribeFleetInstances ec2: DescribeFleets ec2: DescribeFlowLogs ec2: DescribeFpgaImageAttribute ec2: DescribeFpgaImages ec2: DescribeHostReservationOfferings ec2: DescribeHostReservations ec2: DescribeHosts ec2: DescribeIamInstanceProfileAssociations ec2: DescribeIdFormat ec2: DescribeIdentityIdFormat ec2: DescribeImageAttribute ec2: DescribeImageReferences ec2: DescribeImageUsageReportEntries ec2: DescribeImageUsageReports ec2: DescribeImportImageTasks ec2: DescribeImportSnapshotTasks ec2: DescribeInstanceConnectEndpoints ec2: DescribeInstanceCreditSpecifications ec2: DescribeInstanceEventNotificationAttributes ec2: DescribeInstanceEventWindows ec2: DescribeInstanceImageMetadata ec2: DescribeInstanceSqlHaHistoryStates ec2: DescribeInstanceSqlHaStates ec2: DescribeInstanceTopology ec2: DescribeInstanceTypes ec2: DescribeInternetGateways ec2: DescribeIpamByoasn ec2: DescribeIpamExternalResourceVerificationTokens ec2: DescribeIpamPolicies ec2: DescribeIpamPools ec2: DescribeIpamPrefixListResolverTargets ec2: DescribeIpamPrefixListResolvers ec2: DescribeIpamResourceDiscoveries ec2: DescribeIpamResourceDiscoveryAssociations ec2: DescribeIpamScopes ec2: DescribeIpams ec2:6 Schwimmbecken DescribeIpv ec2: DescribeKeyPairs ec2: DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations ec2: DescribeLocalGatewayRouteTableVpcAssociations ec2: DescribeLocalGatewayRouteTables ec2: DescribeLocalGatewayVirtualInterfaceGroups ec2: DescribeLocalGatewayVirtualInterfaces ec2: DescribeLocalGateways ec2: DescribeLockedSnapshots ec2: DescribeMacHosts ec2: DescribeMacModificationTasks ec2: DescribeManagedPrefixLists ec2: DescribeMovingAddresses ec2: DescribeNatGateways ec2: DescribeNetworkAcls ec2: DescribeNetworkInsightsAccessScopeAnalyses ec2: DescribeNetworkInsightsAccessScopes ec2: DescribeNetworkInsightsAnalyses ec2: DescribeNetworkInsightsPaths ec2: DescribeNetworkInterfaceAttribute ec2: DescribeNetworkInterfacePermissions ec2: DescribeNetworkInterfaces ec2: DescribeOutpostLags ec2: DescribePlacementGroups ec2: DescribePrefixLists ec2: DescribePrincipalIdFormat ec2:4 Schwimmbecken DescribePublicIpv ec2: DescribeRegions ec2: DescribeReplaceRootVolumeTasks ec2: DescribeReservedInstances ec2: DescribeReservedInstancesListings ec2: DescribeReservedInstancesModifications ec2: DescribeReservedInstancesOfferings ec2: DescribeRouteServerEndpoints ec2: DescribeRouteServerPeers ec2: DescribeRouteServers ec2: DescribeRouteTables ec2: DescribeScheduledInstanceAvailability ec2: DescribeScheduledInstances ec2: DescribeSecurityGroupReferences ec2: DescribeSecurityGroupRules ec2: DescribeSecurityGroupVpcAssociations ec2: DescribeSecurityGroups ec2: DescribeServiceLinkVirtualInterfaces ec2: DescribeSnapshotAttribute ec2: DescribeSnapshotTierStatus ec2: DescribeSpotDatafeedSubscription ec2: DescribeSpotFleetInstances ec2: DescribeSpotFleetRequestHistory ec2: DescribeSpotFleetRequests ec2: DescribeSpotInstanceRequests ec2: DescribeSpotPriceHistory ec2: DescribeStaleSecurityGroups ec2: DescribeStoreImageTasks ec2: DescribeTrafficMirrorFilterRules ec2: DescribeTrafficMirrorFilters ec2: DescribeTrafficMirrorSessions ec2: DescribeTrafficMirrorTargets ec2: DescribeTransitGatewayAttachments ec2: DescribeTransitGatewayConnectPeers ec2: DescribeTransitGatewayConnects ec2: DescribeTransitGatewayMeteringPolicies ec2: DescribeTransitGatewayMulticastDomains ec2: DescribeTransitGatewayPeeringAttachments ec2: DescribeTransitGatewayPolicyTables ec2: DescribeTransitGatewayRouteTableAnnouncements ec2: DescribeTransitGatewayRouteTables ec2: DescribeTransitGatewayVpcAttachments ec2: DescribeTransitGateways ec2: DescribeTrunkInterfaceAssociations ec2: DescribeVerifiedAccessEndpoints ec2: DescribeVerifiedAccessGroups ec2: DescribeVerifiedAccessInstanceLoggingConfigurations ec2: DescribeVerifiedAccessInstances ec2: DescribeVerifiedAccessTrustProviders ec2: DescribeVolumeAttribute ec2: DescribeVolumeStatus ec2: DescribeVolumes ec2: DescribeVolumesModifications ec2: DescribeVpcAttribute ec2: DescribeVpcBlockPublicAccessExclusions ec2: DescribeVpcBlockPublicAccessOptions ec2: DescribeVpcClassicLink ec2: DescribeVpcClassicLinkDnsSupport ec2: DescribeVpcEncryptionControls ec2: DescribeVpcEndpointAssociations ec2: DescribeVpcEndpointConnectionNotifications ec2: DescribeVpcEndpointConnections ec2: DescribeVpcEndpointServiceConfigurations ec2: DescribeVpcEndpointServicePermissions ec2: DescribeVpcEndpointServices ec2: DescribeVpcEndpoints ec2: DescribeVpcPeeringConnections ec2: DescribeVpcs ec2: DescribeVpnConcentrators ec2: DescribeVpnConnections ec2: DescribeVpnGateways ec2: DetachClassicLinkVpc ec2: DetachInternetGateway ec2: DetachNetworkInterface ec2: DetachVerifiedAccessTrustProvider ec2: DetachVolume ec2: DetachVpnGateway ec2: DisableAddressTransfer ec2: DisableAllowedImagesSettings ec2: DisableAwsNetworkPerformanceMetricSubscription ec2: DisableCapacityManager ec2: DisableEbsEncryptionByDefault ec2: DisableFastLaunch ec2: DisableFastSnapshotRestores ec2: DisableImage ec2: DisableImageBlockPublicAccess ec2: DisableImageDeprecation ec2: DisableImageDeregistrationProtection ec2: DisableInstanceSqlHaStandbyDetections ec2: DisableIpamOrganizationAdminAccount ec2: DisableIpamPolicy ec2: DisableRouteServerPropagation ec2: DisableSerialConsoleAccess ec2: DisableSnapshotBlockPublicAccess ec2: DisableTransitGatewayRouteTablePropagation ec2: DisableVgwRoutePropagation ec2: DisableVpcClassicLink ec2: DisableVpcClassicLinkDnsSupport ec2: DisassociateAddress ec2: DisassociateCapacityReservationBillingOwner ec2: DisassociateClientVpnTargetNetwork ec2: DisassociateEnclaveCertificateIamRole ec2: DisassociateIamInstanceProfile ec2: DisassociateInstanceEventWindow ec2: DisassociateIpamByoasn ec2: DisassociateIpamResourceDiscovery ec2: DisassociateNatGatewayAddress ec2: DisassociateRouteServer ec2: DisassociateRouteTable ec2: DisassociateSecurityGroupVpc ec2: DisassociateSubnetCidrBlock ec2: DisassociateTransitGatewayMulticastDomain ec2: DisassociateTransitGatewayPolicyTable ec2: DisassociateTransitGatewayRouteTable ec2: DisassociateTrunkInterface ec2: DisassociateVpcCidrBlock ec2: EnableAddressTransfer ec2: EnableAllowedImagesSettings ec2: EnableAwsNetworkPerformanceMetricSubscription ec2: EnableCapacityManager ec2: EnableEbsEncryptionByDefault ec2: EnableFastLaunch ec2: EnableFastSnapshotRestores ec2: EnableImage ec2: EnableImageBlockPublicAccess ec2: EnableImageDeprecation ec2: EnableImageDeregistrationProtection ec2: EnableInstanceSqlHaStandbyDetections ec2: EnableIpamOrganizationAdminAccount ec2: EnableIpamPolicy ec2: EnableReachabilityAnalyzerOrganizationSharing ec2: EnableRouteServerPropagation ec2: EnableSerialConsoleAccess ec2: EnableSnapshotBlockPublicAccess ec2: EnableTransitGatewayRouteTablePropagation ec2: EnableVgwRoutePropagation ec2: IO EnableVolume ec2: EnableVpcClassicLink ec2: EnableVpcClassicLinkDnsSupport ec2: ExportClientVpnClientCertificateRevocationList ec2: ExportClientVpnClientConfiguration ec2: ExportImage ec2: ExportTransitGatewayRoutes ec2: ExportVerifiedAccessInstanceClientConfiguration ec2: GetActiveVpnTunnelStatus ec2: GetAllowedImagesSettings ec2: GetAssociatedEnclaveCertificateIamRoles ec2:6 GetAssociatedIpv PoolCidrs ec2: GetAwsNetworkPerformanceData ec2: GetCapacityManagerAttributes ec2: GetCapacityManagerMetricData ec2: GetCapacityManagerMetricDimensions ec2: GetCapacityReservationUsage ec2: GetCoipPoolUsage ec2: GetConsoleOutput ec2: GetConsoleScreenshot ec2: GetDeclarativePoliciesReportSummary ec2: GetDefaultCreditSpecification ec2: GetEbsDefaultKmsKeyId ec2: GetEbsEncryptionByDefault ec2: GetEnabledIpamPolicy ec2: GetFlowLogsIntegrationTemplate ec2: GetGroupsForCapacityReservation ec2: GetHostReservationPurchasePreview ec2: GetImageAncestry ec2: GetImageBlockPublicAccessState ec2: GetInstanceMetadataDefaults ec2: GetInstanceTpmEkPub ec2: GetInstanceTypesFromInstanceRequirements ec2: GetInstanceUefiData ec2: GetIpamAddressHistory ec2: GetIpamDiscoveredAccounts ec2: GetIpamDiscoveredPublicAddresses ec2: GetIpamDiscoveredResourceCidrs ec2: GetIpamPolicyAllocationRules ec2: GetIpamPolicyOrganizationTargets ec2: GetIpamPoolAllocations ec2: GetIpamPoolCidrs ec2: GetIpamPrefixListResolverRules ec2: GetIpamPrefixListResolverVersionEntries ec2: GetIpamPrefixListResolverVersions ec2: GetIpamResourceCidrs ec2: GetLaunchTemplateData ec2: GetManagedPrefixListAssociations ec2: GetManagedPrefixListEntries ec2: GetNetworkInsightsAccessScopeAnalysisFindings ec2: GetNetworkInsightsAccessScopeContent ec2: GetPasswordData ec2: GetReservedInstancesExchangeQuote ec2: GetRouteServerAssociations ec2: GetRouteServerPropagations ec2: GetRouteServerRoutingDatabase ec2: GetSecurityGroupsForVpc ec2: GetSerialConsoleAccessStatus ec2: GetSnapshotBlockPublicAccessState ec2: GetSpotPlacementScores ec2: GetSubnetCidrReservations ec2: GetTransitGatewayAttachmentPropagations ec2: GetTransitGatewayMeteringPolicyEntries ec2: GetTransitGatewayMulticastDomainAssociations ec2: GetTransitGatewayPolicyTableAssociations ec2: GetTransitGatewayPolicyTableEntries ec2: GetTransitGatewayPrefixListReferences ec2: GetTransitGatewayRouteTableAssociations ec2: GetTransitGatewayRouteTablePropagations ec2: GetVerifiedAccessEndpointPolicy ec2: GetVerifiedAccessEndpointTargets ec2: GetVerifiedAccessGroupPolicy ec2: GetVpcResourcesBlockingEncryptionEnforcement ec2: GetVpnConnectionDeviceSampleConfiguration ec2: GetVpnConnectionDeviceTypes ec2: GetVpnTunnelReplacementStatus ec2: ImportClientVpnClientCertificateRevocationList ec2: ImportImage ec2: ImportInstance ec2: ImportKeyPair ec2: ImportSnapshot ec2: ImportVolume ec2: InjectVolume IOLatency ec2: ListImagesInRecycleBin ec2: ListSnapshotsInRecycleBin ec2: ListVolumesInRecycleBin ec2: LockSnapshot ec2: ModifyAddressAttribute ec2: ModifyAvailabilityZoneGroup ec2: ModifyCapacityReservation ec2: ModifyCapacityReservationFleet ec2: ModifyClientVpnEndpoint ec2: ModifyDefaultCreditSpecification ec2: ModifyEbsDefaultKmsKeyId ec2: ModifyFleet ec2: ModifyFpgaImageAttribute ec2: ModifyHosts ec2: ModifyIdFormat ec2: ModifyIdentityIdFormat ec2: ModifyImageAttribute ec2: ModifyInstanceAttribute ec2: ModifyInstanceCapacityReservationAttributes ec2: ModifyInstanceConnectEndpoint ec2: ModifyInstanceCpuOptions ec2: ModifyInstanceCreditSpecification ec2: ModifyInstanceEventStartTime ec2: ModifyInstanceEventWindow ec2: ModifyInstanceMaintenanceOptions ec2: ModifyInstanceMetadataDefaults ec2: ModifyInstanceMetadataOptions ec2: ModifyInstanceNetworkPerformanceOptions ec2: ModifyInstancePlacement ec2: ModifyIpam ec2: ModifyIpamPolicyAllocationRules ec2: ModifyIpamPool ec2: ModifyIpamPrefixListResolver ec2: ModifyIpamPrefixListResolverTarget ec2: ModifyIpamResourceCidr ec2: ModifyIpamResourceDiscovery ec2: ModifyIpamScope ec2: ModifyLaunchTemplate ec2: ModifyLocalGatewayRoute ec2: ModifyManagedPrefixList ec2: ModifyNetworkInterfaceAttribute ec2: ModifyPrivateDnsNameOptions ec2: ModifyPublicIpDnsNameOptions ec2: ModifyReservedInstances ec2: ModifyRouteServer ec2: ModifySecurityGroupRules ec2: ModifySnapshotAttribute ec2: ModifySnapshotTier ec2: ModifySpotFleetRequest ec2: ModifySubnetAttribute ec2: ModifyTrafficMirrorFilterNetworkServices ec2: ModifyTrafficMirrorFilterRule ec2: ModifyTrafficMirrorSession ec2: ModifyTransitGateway ec2: ModifyTransitGatewayMeteringPolicy ec2: ModifyTransitGatewayPrefixListReference ec2: ModifyTransitGatewayVpcAttachment ec2: ModifyVerifiedAccessEndpoint ec2: ModifyVerifiedAccessEndpointPolicy ec2: ModifyVerifiedAccessGroup ec2: ModifyVerifiedAccessGroupPolicy ec2: ModifyVerifiedAccessInstance ec2: ModifyVerifiedAccessInstanceLoggingConfiguration ec2: ModifyVerifiedAccessTrustProvider ec2: ModifyVolume ec2: ModifyVolumeAttribute ec2: ModifyVpcAttribute ec2: ModifyVpcBlockPublicAccessExclusion ec2: ModifyVpcBlockPublicAccessOptions ec2: ModifyVpcEncryptionControl ec2: ModifyVpcEndpoint ec2: ModifyVpcEndpointConnectionNotification ec2: ModifyVpcEndpointServiceConfiguration ec2: ModifyVpcEndpointServicePayerResponsibility ec2: ModifyVpcEndpointServicePermissions ec2: ModifyVpcPeeringConnectionOptions ec2: ModifyVpcTenancy ec2: ModifyVpnConnection ec2: ModifyVpnConnectionOptions ec2: ModifyVpnTunnelCertificate ec2: ModifyVpnTunnelOptions ec2: MonitorInstances ec2: MoveAddressToVpc ec2: MoveByoipCidrToIpam ec2: MoveCapacityReservationInstances ec2: ProvisionByoipCidr ec2: ProvisionIpamByoasn ec2: ProvisionIpamPoolCidr ec2:4 ProvisionPublicIpv PoolCidr ec2: PurchaseCapacityBlockExtension ec2: PurchaseHostReservation ec2: PurchaseReservedInstancesOffering ec2: PurchaseScheduledInstances ec2: RebootInstances ec2: RegisterImage ec2: RegisterInstanceEventNotificationAttributes ec2: RegisterTransitGatewayMulticastGroupMembers ec2: RegisterTransitGatewayMulticastGroupSources ec2: RejectCapacityReservationBillingOwnership ec2: RejectTransitGatewayMulticastDomainAssociations ec2: RejectTransitGatewayPeeringAttachment ec2: RejectTransitGatewayVpcAttachment ec2: RejectVpcEndpointConnections ec2: RejectVpcPeeringConnection ec2: ReleaseAddress ec2: ReleaseHosts ec2: ReleaseIpamPoolAllocation ec2: ReplaceIamInstanceProfileAssociation ec2: ReplaceImageCriteriaInAllowedImagesSettings ec2: ReplaceNetworkAclAssociation ec2: ReplaceNetworkAclEntry ec2: ReplaceRoute ec2: ReplaceRouteTableAssociation ec2: ReplaceTransitGatewayRoute ec2: ReplaceVpnTunnel ec2: ReportInstanceStatus ec2: RequestSpotFleet ec2: RequestSpotInstances ec2: ResetAddressAttribute ec2: ResetEbsDefaultKmsKeyId ec2: ResetFpgaImageAttribute ec2: ResetImageAttribute ec2: ResetInstanceAttribute ec2: ResetNetworkInterfaceAttribute ec2: ResetSnapshotAttribute ec2: RestoreAddressToClassic ec2: RestoreImageFromRecycleBin ec2: RestoreManagedPrefixListVersion ec2: RestoreSnapshotFromRecycleBin ec2: RestoreSnapshotTier ec2: RestoreVolumeFromRecycleBin ec2: RevokeClientVpnIngress ec2: RevokeSecurityGroupEgress ec2: RevokeSecurityGroupIngress ec2: RunInstances ec2: RunScheduledInstances ec2: SearchLocalGatewayRoutes ec2: SearchTransitGatewayMulticastGroups ec2: SearchTransitGatewayRoutes ec2: SendDiagnosticInterrupt ec2: StartDeclarativePoliciesReport ec2: StartInstances ec2: StartNetworkInsightsAccessScopeAnalysis ec2: StartNetworkInsightsAnalysis ec2: StartVpcEndpointServicePrivateDnsVerification ec2: TerminateClientVpnConnections ec2:6 Adressen UnassignIpv ec2: UnassignPrivateIpAddresses ec2: UnassignPrivateNatGatewayAddress ec2: UnlockSnapshot ec2: UnmonitorInstances ec2: UpdateCapacityManagerOrganizationsAccess ec2: UpdateInterruptibleCapacityReservationAllocation ec2: UpdateSecurityGroupRuleDescriptionsEgress ec2: UpdateSecurityGroupRuleDescriptionsIngress ec2: WithdrawByoipCidr  | 
| ecr |  ecr: BatchCheckLayerAvailability ecr: BatchDeleteImage ecr: BatchGetImage ecr: BatchGetRepositoryScanningConfiguration ecr: CompleteLayerUpload ecr: CreatePullThroughCacheRule ecr: CreateRepositoryCreationTemplate ecr: DeleteLifecyclePolicy ecr: DeletePullThroughCacheRule ecr: DeleteRegistryPolicy ecr: DeleteRepository ecr: DeleteRepositoryCreationTemplate ecr: DeleteRepositoryPolicy ecr: DeleteSigningConfiguration ecr: DescribeImageReplicationStatus ecr: DescribeImageScanFindings ecr: DescribeImages ecr: DescribePullThroughCacheRules ecr: DescribeRegistry ecr: DescribeRepositories ecr: DescribeRepositoryCreationTemplates ecr: GetAccountSetting ecr: GetAuthorizationToken ecr: GetDownloadUrlForLayer ecr: GetLifecyclePolicy ecr: GetLifecyclePolicyPreview ecr: GetRegistryPolicy ecr: GetRegistryScanningConfiguration ecr: GetRepositoryPolicy ecr: GetSigningConfiguration ecr: InitiateLayerUpload ecr: ListImages ecr: ListPullTimeUpdateExclusions ecr: PutAccountSetting ecr: PutImage ecr: PutImageScanningConfiguration ecr: PutRegistryPolicy ecr: PutRegistryScanningConfiguration ecr: PutReplicationConfiguration ecr: StartImageScan ecr: StartLifecyclePolicyPreview ecr: UpdatePullThroughCacheRule ecr: UpdateRepositoryCreationTemplate ecr: UploadLayerPart ecr: ValidatePullThroughCacheRule  | 
| ecr-public |  ecr-öffentlich: BatchCheckLayerAvailability ecr-public: BatchDeleteImage ecr-public: CompleteLayerUpload ecr-public: CreateRepository ecr-public: DeleteRepository ecr-public: DeleteRepositoryPolicy ecr-public: DescribeImages ecr-public: DescribeRegistries ecr-public: DescribeRepositories ecr-public: GetAuthorizationToken ecr-public: GetRegistryCatalogData ecr-public: GetRepositoryCatalogData ecr-public: GetRepositoryPolicy ecr-public: InitiateLayerUpload ecr-public: PutImage ecr-public: PutRegistryCatalogData ecr-public: PutRepositoryCatalogData ecr-public: SetRepositoryPolicy ecr-public: UploadLayerPart  | 
| ecs |  ecs: CreateCapacityProvider ecs: CreateCluster ecs: CreateService ecs: CreateTaskSet ecs: DeleteAccountSetting ecs: DeleteAttributes ecs: DeleteCapacityProvider ecs: DeleteCluster ecs: DeleteExpressGatewayService ecs: DeleteService ecs: DeleteTaskDefinitions ecs: DeleteTaskSet ecs: DeregisterContainerInstance ecs: DeregisterTaskDefinition ecs: DescribeCapacityProviders ecs: DescribeClusters ecs: DescribeContainerInstances ecs: DescribeExpressGatewayService ecs: DescribeServiceDeployments ecs: DescribeServiceRevisions ecs: DescribeServices ecs: DescribeTaskDefinition ecs: DescribeTaskSets ecs: DescribeTasks ecs: DiscoverPollEndpoint ecs: ExecuteCommand ecs: GetTaskProtection ecs: ListAccountSettings ecs: ListAttributes ecs: ListClusters ecs: ListContainerInstances ecs: ListServiceDeployments ecs: ListServices ecs: ListServicesByNamespace ecs: ListTaskDefinitionFamilies ecs: ListTaskDefinitions ecs: ListTasks ecs: PutAccountSetting ecs: PutAccountSettingDefault ecs: PutAttributes ecs: PutClusterCapacityProviders ecs: RegisterContainerInstance ecs: RunTask ecs: StartTask ecs: StopServiceDeployment ecs: StopTask ecs: SubmitAttachmentStateChanges ecs: SubmitContainerStateChange ecs: SubmitTaskStateChange ecs: UpdateCapacityProvider ecs: UpdateCluster ecs: UpdateClusterSettings ecs: UpdateContainerAgent ecs: UpdateContainerInstancesState ecs: UpdateExpressGatewayService ecs: UpdateService ecs: UpdateServicePrimaryTaskSet ecs: UpdateTaskProtection ecs: UpdateTaskSet  | 
| eks |  eks: AssociateAccessPolicy eks: AssociateEncryptionConfig eks: AssociateIdentityProviderConfig eks: CreateAccessEntry eks: CreateAddon eks: CreateCluster eks: CreateEksAnywhereSubscription eks: CreateFargateProfile eks: CreateNodegroup eks: DeleteAccessEntry eks: DeleteAddon eks: DeleteCapability eks: DeleteCluster eks: DeleteEksAnywhereSubscription eks: DeleteFargateProfile eks: DeleteNodegroup eks: DeletePodIdentityAssociation eks: DeregisterCluster eks: DescribeAccessEntry eks: DescribeAddon eks: DescribeAddonConfiguration eks: DescribeAddonVersions eks: DescribeCapability eks: DescribeCluster eks: DescribeClusterVersions eks: DescribeEksAnywhereSubscription eks: DescribeFargateProfile eks: DescribeIdentityProviderConfig eks: DescribeInsight eks: DescribeInsightsRefresh eks: DescribeNodegroup eks: DescribePodIdentityAssociation eks: DescribeUpdate eks: DisassociateAccessPolicy eks: DisassociateIdentityProviderConfig eks: ListAccessEntries eks: ListAccessPolicies eks: ListAddons eks: ListAssociatedAccessPolicies eks: ListCapabilities eks: ListClusters eks: ListEksAnywhereSubscriptions eks: ListFargateProfiles eks: ListIdentityProviderConfigs eks: ListInsights eks: ListNodegroups eks: ListPodIdentityAssociations eks: ListUpdates eks: RegisterCluster eks: StartInsightsRefresh eks: UpdateAccessEntry eks: UpdateAddon eks: UpdateCapability eks: UpdateClusterConfig eks: UpdateClusterVersion eks: UpdateEksAnywhereSubscription eks: UpdateNodegroupConfig eks: UpdateNodegroupVersion eks: UpdatePodIdentityAssociation  | 
| elasticache |  elastischer Schmerz: AuthorizeCacheSecurityGroupIngress elastischer Schmerz: BatchApplyUpdateAction elastischer Schmerz: BatchStopUpdateAction elastischer Schmerz: CompleteMigration elastischer Schmerz: CopyServerlessCacheSnapshot elastischer Schmerz: CopySnapshot elastischer Schmerz: CreateCacheCluster elastischer Schmerz: CreateCacheParameterGroup elastischer Schmerz: CreateCacheSecurityGroup elastischer Schmerz: CreateCacheSubnetGroup elastischer Schmerz: CreateGlobalReplicationGroup elastischer Schmerz: CreateReplicationGroup elastischer Schmerz: CreateServerlessCache elastischer Schmerz: CreateServerlessCacheSnapshot elastischer Schmerz: CreateSnapshot elastischer Schmerz: CreateUser elastischer Schmerz: CreateUserGroup elastischer Schmerz: DecreaseNodeGroupsInGlobalReplicationGroup elastischer Schmerz: DecreaseReplicaCount elastischer Schmerz: DeleteCacheCluster elastischer Schmerz: DeleteCacheParameterGroup elastischer Schmerz: DeleteCacheSecurityGroup elastischer Schmerz: DeleteCacheSubnetGroup elastischer Schmerz: DeleteGlobalReplicationGroup elastischer Schmerz: DeleteReplicationGroup elastischer Schmerz: DeleteServerlessCache elastischer Schmerz: DeleteServerlessCacheSnapshot elastischer Schmerz: DeleteSnapshot elastischer Schmerz: DeleteUser elastischer Schmerz: DeleteUserGroup elastischer Schmerz: DescribeCacheClusters elastischer Schmerz: DescribeCacheEngineVersions elastischer Schmerz: DescribeCacheParameterGroups elastischer Schmerz: DescribeCacheParameters elastischer Schmerz: DescribeCacheSecurityGroups elastischer Schmerz: DescribeCacheSubnetGroups elastischer Schmerz: DescribeEngineDefaultParameters elastischer Schmerz: DescribeEvents elastischer Schmerz: DescribeGlobalReplicationGroups elastischer Schmerz: DescribeReplicationGroups elastischer Schmerz: DescribeReservedCacheNodes elastischer Schmerz: DescribeReservedCacheNodesOfferings elastischer Schmerz: DescribeServerlessCacheSnapshots elastischer Schmerz: DescribeServerlessCaches elastischer Schmerz: DescribeServiceUpdates elastischer Schmerz: DescribeSnapshots elastischer Schmerz: DescribeUpdateActions elastischer Schmerz: DescribeUserGroups elastischer Schmerz: DescribeUsers elastischer Schmerz: DisassociateGlobalReplicationGroup elastischer Schmerz: ExportServerlessCacheSnapshot elastischer Schmerz: FailoverGlobalReplicationGroup elastischer Schmerz: IncreaseNodeGroupsInGlobalReplicationGroup elastischer Schmerz: IncreaseReplicaCount elastischer Schmerz: ListAllowedNodeTypeModifications elastischer Schmerz: ModifyCacheCluster elastischer Schmerz: ModifyCacheParameterGroup elastischer Schmerz: ModifyCacheSubnetGroup elastischer Schmerz: ModifyGlobalReplicationGroup elastischer Schmerz: ModifyReplicationGroup elastischer Schmerz: ModifyReplicationGroupShardConfiguration elastischer Schmerz: ModifyServerlessCache elastischer Schmerz: ModifyUser elastischer Schmerz: ModifyUserGroup elastischer Schmerz: PurchaseReservedCacheNodesOffering elastischer Schmerz: RebalanceSlotsInGlobalReplicationGroup elastischer Schmerz: RebootCacheCluster elastischer Schmerz: ResetCacheParameterGroup elastischer Schmerz: RevokeCacheSecurityGroupIngress elastischer Schmerz: StartMigration elastischer Schmerz: TestFailover elastischer Schmerz: TestMigration  | 
| elasticbeanstalk |  elastische Bohnenstange: AbortEnvironmentUpdate elastische Bohnenstange: ApplyEnvironmentManagedAction elastische Bohnenstange: AssociateEnvironmentOperationsRole Elastic Beanstalk: überprüfen DNSAvailability elastische Bohnenstange: ComposeEnvironments elastische Bohnenstange: CreateApplication elastische Bohnenstange: CreateApplicationVersion elastische Bohnenstange: CreateConfigurationTemplate elastische Bohnenstange: CreateEnvironment elastische Bohnenstange: CreatePlatformVersion elastische Bohnenstange: CreateStorageLocation elastische Bohnenstange: DeleteApplication elastische Bohnenstange: DeleteApplicationVersion elastische Bohnenstange: DeleteConfigurationTemplate elastische Bohnenstange: DeleteEnvironmentConfiguration elastische Bohnenstange: DeletePlatformVersion elastische Bohnenstange: DescribeAccountAttributes elastische Bohnenstange: DescribeApplicationVersions elastische Bohnenstange: DescribeApplications elastische Bohnenstange: DescribeConfigurationOptions elastische Bohnenstange: DescribeConfigurationSettings elastische Bohnenstange: DescribeEnvironmentHealth elastische Bohnenstange: DescribeEnvironmentManagedActionHistory elastische Bohnenstange: DescribeEnvironmentManagedActions elastische Bohnenstange: DescribeEnvironmentResources elastische Bohnenstange: DescribeEnvironments elastische Bohnenstange: DescribeEvents elastische Bohnenstange: DescribeInstancesHealth elastische Bohnenstange: DescribePlatformVersion elastische Bohnenstange: DisassociateEnvironmentOperationsRole elastische Bohnenstange: ListAvailableSolutionStacks elastische Bohnenstange: ListPlatformBranches elastische Bohnenstange: ListPlatformVersions elastische Bohnenstange: RebuildEnvironment elastische Bohnenstange: RequestEnvironmentInfo elastische Bohnenstange: RestartAppServer elastische Bohnenstange: RetrieveEnvironmentInfo elastische Bohnenstange: SwapEnvironment CNAMEs elastische Bohnenstange: TerminateEnvironment elastische Bohnenstange: UpdateApplication elastische Bohnenstange: UpdateApplicationResourceLifecycle elastische Bohnenstange: UpdateApplicationVersion elastische Bohnenstange: UpdateConfigurationTemplate elastische Bohnenstange: UpdateEnvironment elastische Bohnenstange: ValidateConfigurationSettings  | 
| elasticfilesystem |  elastisches Dateisystem: CreateAccessPoint elastisches Dateisystem: CreateFileSystem elastisches Dateisystem: CreateMountTarget elastisches Dateisystem: CreateReplicationConfiguration elastisches Dateisystem: DeleteAccessPoint elastisches Dateisystem: DeleteFileSystem elastisches Dateisystem: DeleteFileSystemPolicy elastisches Dateisystem: DeleteMountTarget elastisches Dateisystem: DeleteReplicationConfiguration elastisches Dateisystem: DescribeAccessPoints elastisches Dateisystem: DescribeAccountPreferences elastisches Dateisystem: DescribeBackupPolicy elastisches Dateisystem: DescribeFileSystemPolicy elastisches Dateisystem: DescribeFileSystems elastisches Dateisystem: DescribeLifecycleConfiguration elastisches Dateisystem: DescribeMountTargetSecurityGroups elastisches Dateisystem: DescribeMountTargets elastisches Dateisystem: DescribeReplicationConfigurations elastisches Dateisystem: ModifyMountTargetSecurityGroups elastisches Dateisystem: PutAccountPreferences elastisches Dateisystem: PutBackupPolicy elastisches Dateisystem: PutFileSystemPolicy elastisches Dateisystem: PutLifecycleConfiguration elastisches Dateisystem: UpdateFileSystem elastisches Dateisystem: UpdateFileSystemProtection  | 
| elasticloadbalancing |  elastischer Lastenausgleich: AddListenerCertificates elastischer Lastenausgleich: AddTrustStoreRevocations elastischer Lastenausgleich: ApplySecurityGroupsToLoadBalancer elastischer Lastenausgleich: AttachLoadBalancerToSubnets elastischer Lastenausgleich: ConfigureHealthCheck elastischer Lastenausgleich: CreateAppCookieStickinessPolicy Elastic Load Balancing: erstellen LBCookie StickinessPolicy elastischer Lastenausgleich: CreateListener elastischer Lastenausgleich: CreateLoadBalancer elastischer Lastenausgleich: CreateLoadBalancerListeners elastischer Lastenausgleich: CreateLoadBalancerPolicy elastischer Lastenausgleich: CreateRule elastischer Lastenausgleich: CreateTargetGroup elastischer Lastenausgleich: CreateTrustStore elastischer Lastenausgleich: CreateWeb ACLAssociation elastischer Lastenausgleich: DeleteListener elastischer Lastenausgleich: DeleteLoadBalancer elastischer Lastenausgleich: DeleteLoadBalancerListeners elastischer Lastenausgleich: DeleteLoadBalancerPolicy elastischer Lastenausgleich: DeleteRule elastischer Lastenausgleich: DeleteSharedTrustStoreAssociation elastischer Lastenausgleich: DeleteTargetGroup elastischer Lastenausgleich: DeleteTrustStore elastischer Lastenausgleich: DeleteWeb ACLAssociation elastischer Lastenausgleich: DeregisterInstancesFromLoadBalancer elastischer Lastenausgleich: DeregisterTargets elastischer Lastenausgleich: DescribeAccountLimits elastischer Lastenausgleich: DescribeCapacityReservation elastischer Lastenausgleich: DescribeInstanceHealth elastischer Lastenausgleich: DescribeListenerAttributes elastischer Lastenausgleich: DescribeListenerCertificates elastischer Lastenausgleich: DescribeListeners elastischer Lastenausgleich: DescribeLoadBalancerAttributes elastischer Lastenausgleich: DescribeLoadBalancerPolicies elastischer Lastenausgleich: DescribeLoadBalancerPolicyTypes elastischer Lastenausgleich: DescribeLoadBalancers elastischer Lastenausgleich: DescribeRules Elastic Load Balancing: Beschreiben SSLPolicies elastischer Lastenausgleich: DescribeTargetGroupAttributes elastischer Lastenausgleich: DescribeTargetGroups elastischer Lastenausgleich: DescribeTargetHealth elastischer Lastenausgleich: DescribeTrustStoreAssociations elastischer Lastenausgleich: DescribeTrustStoreRevocations elastischer Lastenausgleich: DescribeTrustStores elastischer Lastenausgleich: DescribeWeb ACLAssociation elastischer Lastenausgleich: DetachLoadBalancerFromSubnets elastischer Lastenausgleich: DisableAvailabilityZonesForLoadBalancer elastischer Lastenausgleich: EnableAvailabilityZonesForLoadBalancer elastischer Lastenausgleich: ACL GetLoadBalancerWeb elastischer Lastenausgleich: GetResourcePolicy elastischer Lastenausgleich: GetTrustStoreCaCertificatesBundle elastischer Lastenausgleich: GetTrustStoreRevocationContent elastischer Lastenausgleich: ModifyCapacityReservation elastischer Lastenausgleich: ModifyIpPools elastischer Lastenausgleich: ModifyListener elastischer Lastenausgleich: ModifyLoadBalancerAttributes elastischer Lastenausgleich: ModifyRule elastischer Lastenausgleich: ModifyTargetGroup elastischer Lastenausgleich: ModifyTargetGroupAttributes elastischer Lastenausgleich: ModifyTrustStore elastischer Lastenausgleich: RegisterInstancesWithLoadBalancer elastischer Lastenausgleich: RegisterTargets elastischer Lastenausgleich: RemoveListenerCertificates elastischer Lastenausgleich: RemoveTrustStoreRevocations elastischer Lastenausgleich: SetIpAddressType elastischer Lastenausgleich: SetLoadBalancerListener SSLCertificate elastischer Lastenausgleich: SetLoadBalancerPoliciesForBackendServer elastischer Lastenausgleich: SetLoadBalancerPoliciesOfListener elastischer Lastenausgleich: SetRulePriorities elastischer Lastenausgleich: SetSecurityGroups elastischer Lastenausgleich: SetSubnets  | 
| elastictranscoder |  elastischer Transcoder: CancelJob elastischer Transcoder: CreateJob elastischer Transcoder: CreatePipeline elastischer Transcoder: CreatePreset elastischer Transcoder: DeletePipeline elastischer Transcoder: DeletePreset elastischer Transcoder: ListJobsByPipeline elastischer Transcoder: ListJobsByStatus elastischer Transcoder: ListPipelines elastischer Transcoder: ListPresets elastischer Transcoder: ReadJob elastischer Transcoder: ReadPipeline elastischer Transcoder: ReadPreset elastischer Transcoder: TestRole elastischer Transcoder: UpdatePipeline elastischer Transcoder: UpdatePipelineNotifications elastischer Transcoder: UpdatePipelineStatus  | 
| emr-containers |  EMR-Behälter: CancelJobRun emr-Behälter: CreateJobTemplate emr-Behälter: CreateManagedEndpoint emr-Behälter: CreateSecurityConfiguration emr-Behälter: CreateVirtualCluster emr-Behälter: DeleteJobTemplate emr-Behälter: DeleteManagedEndpoint emr-Behälter: DeleteVirtualCluster emr-Behälter: DescribeJobRun emr-Behälter: DescribeJobTemplate emr-Behälter: DescribeManagedEndpoint emr-Behälter: DescribeSecurityConfiguration emr-Behälter: DescribeVirtualCluster emr-Behälter: GetManagedEndpointSessionCredentials emr-Behälter: ListJobRuns emr-Behälter: ListJobTemplates emr-Behälter: ListManagedEndpoints emr-Behälter: ListSecurityConfigurations emr-Behälter: ListVirtualClusters emr-Behälter: StartJobRun  | 
| emr-serverless |  emr-serverlos: CancelJobRun emr-serverlos: CreateApplication emr-serverlos: DeleteApplication emr-serverlos: GetApplication emr-serverlos: GetDashboardForJobRun emr-serverlos: GetJobRun emr-serverlos: ListApplications emr-serverlos: ListJobRunAttempts emr-serverlos: ListJobRuns emr-serverlos: StartApplication emr-serverlos: StartJobRun emr-serverlos: StopApplication emr-serverlos: UpdateApplication  | 
| es |  ja: AcceptInboundConnection ja: AcceptInboundCrossClusterSearchConnection ja: AssociatePackage ja: AuthorizeVpcEndpointAccess ja: CancelElasticsearchServiceSoftwareUpdate ja: CancelServiceSoftwareUpdate ja: CreateDomain ja: CreateElasticsearchDomain ja: CreateIndex ja: CreateOutboundConnection ja: CreateOutboundCrossClusterSearchConnection ja: CreatePackage ja: CreateVpcEndpoint ja: DeleteDomain ja: DeleteElasticsearchDomain ja: DeleteElasticsearchServiceRole ja: DeleteInboundConnection ja: DeleteInboundCrossClusterSearchConnection ja: DeleteIndex ja: DeleteOutboundConnection ja: DeleteOutboundCrossClusterSearchConnection ja: DeletePackage ja: DeleteVpcEndpoint ja: DescribeDomain ja: DescribeDomainAutoTunes ja: DescribeDomainChangeProgress ja: DescribeDomainConfig ja: DescribeDomainHealth ja: DescribeDomainNodes ja: DescribeDomains ja: DescribeDryRunProgress ja: DescribeElasticsearchDomain ja: DescribeElasticsearchDomainConfig ja: DescribeElasticsearchDomains ja: DescribeElasticsearchInstanceTypeLimits ja: DescribeInboundConnections ja: DescribeInboundCrossClusterSearchConnections ja: DescribeInstanceTypeLimits ja: DescribeOutboundConnections ja: DescribeOutboundCrossClusterSearchConnections ja: DescribePackages ja: DescribeReservedElasticsearchInstanceOfferings ja: DescribeReservedElasticsearchInstances ja: DescribeReservedInstanceOfferings ja: DescribeReservedInstances ja: DescribeVpcEndpoints ja: DissociatePackage ja: DissociatePackages ja: GetCompatibleElasticsearchVersions ja: GetCompatibleVersions ja: GetDataSource ja: GetDomainMaintenanceStatus ja: GetPackageVersionHistory ja: GetUpgradeHistory ja: GetUpgradeStatus ja: ListDataSources ja: ListDomainNames ja: ListDomainsForPackage ja: ListElasticsearchInstanceTypes ja: ListElasticsearchVersions ja: ListInstanceTypeDetails ja: ListPackagesForDomain ja: ListScheduledActions ja: ListVersions ja: ListVpcEndpointAccess ja: ListVpcEndpoints ja: ListVpcEndpointsForDomain ja: PurchaseReservedElasticsearchInstanceOffering ja: PurchaseReservedInstanceOffering ja: RejectInboundConnection ja: RejectInboundCrossClusterSearchConnection ja: RevokeVpcEndpointAccess ja: StartDomainMaintenance ja: StartElasticsearchServiceSoftwareUpdate ja: StartServiceSoftwareUpdate ja: UpdateDataSource ja: UpdateDomainConfig ja: UpdateElasticsearchDomainConfig ja: UpdateIndex ja: UpdatePackage ja: UpdatePackageScope ja: UpdateScheduledAction ja: UpdateVpcEndpoint ja: UpgradeDomain ja: UpgradeElasticsearchDomain  | 
| Veranstaltungen |  Ereignisse: ActivateEventSource Ereignisse: CancelReplay Ereignisse: CreateApiDestination Ereignisse: CreateArchive Ereignisse: CreateConnection Ereignisse: CreateEndpoint Ereignisse: CreateEventBus Ereignisse: CreatePartnerEventSource Ereignisse: DeactivateEventSource Ereignisse: DeauthorizeConnection Ereignisse: DeleteApiDestination Ereignisse: DeleteArchive Ereignisse: DeleteConnection Ereignisse: DeleteEndpoint Ereignisse: DeleteEventBus Ereignisse: DeletePartnerEventSource Ereignisse: DeleteRule Ereignisse: DescribeApiDestination Ereignisse: DescribeArchive Ereignisse: DescribeConnection Ereignisse: DescribeEndpoint Ereignisse: DescribeEventBus Ereignisse: DescribeEventSource Ereignisse: DescribePartnerEventSource Ereignisse: DescribeReplay Ereignisse: DescribeRule Ereignisse: DisableRule Ereignisse: EnableRule Ereignisse: ListApiDestinations Ereignisse: ListArchives Ereignisse: ListConnections Ereignisse: ListEndpoints Ereignisse: ListEventBuses Ereignisse: ListEventSources Ereignisse: ListPartnerEventSourceAccounts Ereignisse: ListPartnerEventSources Ereignisse: ListReplays Ereignisse: ListRuleNamesByTarget Ereignisse: ListRules Ereignisse: ListTargetsByRule Ereignisse: PutPermission Ereignisse: PutRule Ereignisse: PutTargets Ereignisse: RemovePermission Ereignisse: RemoveTargets Ereignisse: StartReplay Ereignisse: TestEventPattern Ereignisse: UpdateApiDestination Ereignisse: UpdateArchive Ereignisse: UpdateConnection Ereignisse: UpdateEndpoint Ereignisse: UpdateEventBus  | 
| evidently |  offensichtlich: CreateExperiment offensichtlich: CreateFeature offensichtlich: CreateLaunch offensichtlich: CreateProject offensichtlich: CreateSegment offensichtlich: DeleteExperiment offensichtlich: DeleteFeature offensichtlich: DeleteLaunch offensichtlich: DeleteProject offensichtlich: DeleteSegment offensichtlich: GetExperiment offensichtlich: GetExperimentResults offensichtlich: GetFeature offensichtlich: GetLaunch offensichtlich: GetProject offensichtlich: GetSegment offensichtlich: ListExperiments offensichtlich: ListFeatures offensichtlich: ListLaunches offensichtlich: ListProjects offensichtlich: ListSegmentReferences offensichtlich: ListSegments offensichtlich: StartExperiment offensichtlich: StartLaunch offensichtlich: StopExperiment offensichtlich: StopLaunch offensichtlich: TestSegmentPattern offensichtlich: UpdateExperiment offensichtlich: UpdateFeature offensichtlich: UpdateLaunch offensichtlich: UpdateProject offensichtlich: UpdateProjectDataDelivery  | 
| finspace |  Finspace: CreateEnvironment Finspace: CreateKxChangeset Finspace: CreateKxCluster Finspace: CreateKxDatabase Finspace: CreateKxDataview Finspace: CreateKxEnvironment Finspace: CreateKxScalingGroup Finspace: CreateKxUser Finspace: CreateKxVolume Finspace: CreateUser Finspace: DeleteEnvironment Finspace: DeleteKxCluster Finspace: DeleteKxClusterNode Finspace: DeleteKxDatabase Finspace: DeleteKxDataview Finspace: DeleteKxEnvironment Finspace: DeleteKxScalingGroup Finspace: DeleteKxUser Finspace: DeleteKxVolume Finspace: GetEnvironment Finspace: GetKxChangeset Finspace: GetKxCluster Finspace: GetKxConnectionString Finspace: GetKxDatabase Finspace: GetKxDataview Finspace: GetKxEnvironment Finspace: GetKxScalingGroup Finspace: GetKxUser Finspace: GetKxVolume Finspace: GetLoadSampleDataSetGroupIntoEnvironmentStatus Finspace: GetUser Finspace: ListEnvironments Finspace: ListKxChangesets Finspace: ListKxClusterNodes Finspace: ListKxClusters Finspace: ListKxDatabases Finspace: ListKxDataviews Finspace: ListKxEnvironments Finspace: ListKxScalingGroups Finspace: ListKxUsers Finspace: ListKxVolumes Finspace: ListUsers Finspace: LoadSampleDataSetGroupIntoEnvironment Finspace: ResetUserPassword Finspace: UpdateEnvironment Finspace: UpdateKxClusterCodeConfiguration Finspace: UpdateKxClusterDatabases Finspace: UpdateKxDatabase Finspace: UpdateKxDataview Finspace: UpdateKxEnvironment Finspace: UpdateKxEnvironmentNetwork Finspace: UpdateKxUser Finspace: UpdateKxVolume Finspace: UpdateUser  | 
| firehose |  Feuerwehrschlauch: CreateDeliveryStream Feuerwehrschlauch: DeleteDeliveryStream Feuerwehrschlauch: DescribeDeliveryStream Feuerwehrschlauch: ListDeliveryStreams Feuerwehrschlauch: StartDeliveryStreamEncryption Feuerwehrschlauch: StopDeliveryStreamEncryption Feuerwehrschlauch: UpdateDestination  | 
| fis |  passt: CreateExperimentTemplate passt: CreateTargetAccountConfiguration passt: DeleteExperimentTemplate passt: DeleteTargetAccountConfiguration passt: GetAction passt: GetExperiment passt: GetExperimentTargetAccountConfiguration passt: GetExperimentTemplate passt: GetSafetyLever passt: GetTargetAccountConfiguration passt: GetTargetResourceType passt: ListActions passt: ListExperimentResolvedTargets passt: ListExperimentTargetAccountConfigurations passt: ListExperimentTemplates passt: ListExperiments passt: ListTargetAccountConfigurations passt: ListTargetResourceTypes passt: StartExperiment passt: StopExperiment passt: UpdateExperimentTemplate passt: UpdateSafetyLeverState passt: UpdateTargetAccountConfiguration  | 
| fms |  fms: AssociateAdminAccount fms: AssociateThirdPartyFirewall fms: BatchAssociateResource fms: BatchDisassociateResource fms: DeleteAppsList fms: DeleteNotificationChannel fms: DeletePolicy fms: DeleteProtocolsList fms: DeleteResourceSet fms: DisassociateAdminAccount fms: DisassociateThirdPartyFirewall fms: GetAdminAccount fms: GetAdminScope fms: GetAppsList fms: GetComplianceDetail fms: GetNotificationChannel fms: GetPolicy fms: GetProtectionStatus fms: GetProtocolsList fms: GetResourceSet fms: GetThirdPartyFirewallAssociationStatus fms: GetViolationDetails fms: ListAdminAccountsForOrganization fms: ListAdminsManagingAccount fms: ListAppsLists fms: ListComplianceStatus fms: ListDiscoveredResources fms: ListMemberAccounts fms: ListPolicies fms: ListProtocolsLists fms: ListResourceSetResources fms: ListResourceSets fms: ListThirdPartyFirewallFirewallPolicies fms: PutAdminAccount fms: PutAppsList fms: PutNotificationChannel fms: PutPolicy fms: PutProtocolsList fms: PutResourceSet  | 
| frauddetector |  Betrugsdetektor: BatchCreateVariable Betrugsdetektor: BatchGetVariable Betrugsdetektor: CancelBatchImportJob Betrugsdetektor: CancelBatchPredictionJob Betrugsdetektor: CreateBatchImportJob Betrugsdetektor: CreateBatchPredictionJob Betrugsdetektor: CreateDetectorVersion Betrugsdetektor: CreateList Betrugsdetektor: CreateModel Betrugsdetektor: CreateModelVersion Betrugsdetektor: CreateRule Betrugsdetektor: CreateVariable Betrugsdetektor: DeleteBatchImportJob Betrugsdetektor: DeleteBatchPredictionJob Betrugsdetektor: DeleteDetector Betrugsdetektor: DeleteDetectorVersion Betrugsdetektor: DeleteEntityType Betrugsdetektor: DeleteEvent Betrugsdetektor: DeleteEventType Betrugsdetektor: DeleteEventsByEventType Betrugsdetektor: DeleteExternalModel Betrugsdetektor: DeleteLabel Betrugsdetektor: DeleteList Betrugsdetektor: DeleteModel Betrugsdetektor: DeleteModelVersion Betrugsdetektor: DeleteOutcome Betrugsdetektor: DeleteRule Betrugsdetektor: DeleteVariable Betrugsdetektor: DescribeDetector Betrugsdetektor: DescribeModelVersions Betrugsdetektor: GetBatchImportJobs Betrugsdetektor: GetBatchPredictionJobs Betrugsdetektor: GetDeleteEventsByEventTypeStatus Betrugsdetektor: GetDetectorVersion Betrugsdetektor: GetDetectors Betrugsdetektor: GetEntityTypes Betrugsdetektor: GetEvent Betrugsdetektor: GetEventPrediction Betrugsdetektor: GetEventPredictionMetadata Betrugsdetektor: GetEventTypes Betrugsdetektor: GetExternalModels Betrugsdetektor: Holen Sie sich den Schlüssel KMSEncryption Betrugsdetektor: GetLabels Betrugsdetektor: GetListElements Betrugsdetektor: GetListsMetadata Betrugsdetektor: GetModelVersion Betrugsdetektor: GetModels Betrugsdetektor: GetOutcomes Betrugsdetektor: GetRules Betrugsdetektor: GetVariables Betrugsdetektor: ListEventPredictions Betrugsdetektor: PutDetector Betrugsdetektor: PutEntityType Betrugsdetektor: PutEventType Betrugsdetektor: PutExternalModel Betrugsdetektor: Taste eingeben KMSEncryption Betrugsdetektor: PutLabel Betrugsdetektor: PutOutcome Betrugsdetektor: SendEvent Betrugsdetektor: UpdateDetectorVersion Betrugsdetektor: UpdateDetectorVersionMetadata Betrugsdetektor: UpdateDetectorVersionStatus Betrugsdetektor: UpdateEventLabel Betrugsdetektor: UpdateList Betrugsdetektor: UpdateModel Betrugsdetektor: UpdateModelVersion Betrugsdetektor: UpdateModelVersionStatus Betrugsdetektor: UpdateRuleMetadata Betrugsdetektor: UpdateRuleVersion Betrugsdetektor: UpdateVariable  | 
| fsx |  fax: AssociateFileSystemAliases fsx: CancelDataRepositoryTask fsx: CopyBackup fsx: CreateDataRepositoryTask fsx: CreateFileCache fsx: CreateFileSystem fsx: CreateFileSystemFromBackup fsx: CreateSnapshot fsx: CreateStorageVirtualMachine fsx: CreateVolume fsx: CreateVolumeFromBackup fsx: DeleteBackup fsx: DeleteFileCache fsx: DeleteFileSystem fsx: DeleteSnapshot fsx: DeleteStorageVirtualMachine fsx: DeleteVolume fsx: DescribeBackups fsx: DescribeDataRepositoryAssociations fsx: DescribeDataRepositoryTasks fsx: DescribeFileCaches fsx: DescribeFileSystemAliases fsx: DescribeFileSystems fsx: beschreibt 3 AccessPointAttachments fsx: DescribeSharedVpcConfiguration fsx: DescribeSnapshots fsx: DescribeStorageVirtualMachines fsx: DescribeVolumes fsx: S3 DetachAndDelete AccessPoint fsx: DisassociateFileSystemAliases fsx: V3Locks ReleaseFileSystemNfs fsx: RestoreVolumeFromSnapshot fsx: StartMisconfiguredStateRecovery fsx: UpdateDataRepositoryAssociation fsx: UpdateFileCache fsx: UpdateFileSystem fsx: UpdateSharedVpcConfiguration fsx: UpdateSnapshot fsx: UpdateStorageVirtualMachine fsx: UpdateVolume  | 
| gamelift |  Gamelift: AcceptMatch Gamelift: ClaimGameServer Gamelift: CreateAlias Gamelift: CreateBuild Gamelift: CreateContainerGroupDefinition Gamelift: CreateFleet Gamelift: CreateFleetLocations Gamelift: CreateGameServerGroup Gamelift: CreateGameSession Gamelift: CreateGameSessionQueue Gamelift: CreateLocation Gamelift: CreateMatchmakingConfiguration Gamelift: CreateMatchmakingRuleSet Gamelift: CreatePlayerSession Gamelift: CreatePlayerSessions Gamelift: CreateScript Gamelift: CreateVpcPeeringAuthorization Gamelift: CreateVpcPeeringConnection Gamelift: DeleteAlias Gamelift: DeleteBuild Gamelift: DeleteContainerGroupDefinition Gamelift: DeleteFleet Gamelift: DeleteFleetLocations Gamelift: DeleteGameServerGroup Gamelift: DeleteGameSessionQueue Gamelift: DeleteLocation Gamelift: DeleteMatchmakingConfiguration Gamelift: DeleteMatchmakingRuleSet Gamelift: DeleteScalingPolicy Gamelift: DeleteScript Gamelift: DeleteVpcPeeringAuthorization Gamelift: DeleteVpcPeeringConnection Gamelift: DeregisterCompute Gamelift: DeregisterGameServer Gamelift: DescribeAlias Gamelift: DescribeBuild Gamelift: DescribeCompute Gamelift: DescribeContainerFleet Gamelift: DescribeContainerGroupDefinition Gamelift: Beschreibe EC2 InstanceLimits Gamelift: DescribeFleetAttributes Gamelift: DescribeFleetCapacity Gamelift: DescribeFleetEvents Gamelift: DescribeFleetLocationAttributes Gamelift: DescribeFleetLocationCapacity Gamelift: DescribeFleetLocationUtilization Gamelift: DescribeFleetPortSettings Gamelift: DescribeFleetUtilization Gamelift: DescribeGameServer Gamelift: DescribeGameServerGroup Gamelift: DescribeGameServerInstances Gamelift: DescribeGameSessionDetails Gamelift: DescribeGameSessionPlacement Gamelift: DescribeGameSessionQueues Gamelift: DescribeGameSessions Gamelift: DescribeInstances Gamelift: DescribeMatchmaking Gamelift: DescribeMatchmakingConfigurations Gamelift: DescribeMatchmakingRuleSets Gamelift: DescribePlayerSessions Gamelift: DescribeRuntimeConfiguration Gamelift: DescribeScalingPolicies Gamelift: DescribeScript Gamelift: DescribeVpcPeeringAuthorizations Gamelift: DescribeVpcPeeringConnections Gamelift: GetComputeAccess Gamelift: GetComputeAuthToken Gamelift: GetGameSessionLogUrl Gamelift: GetInstanceAccess Gamelift: ListAliases Gamelift: ListBuilds Gamelift: ListCompute Gamelift: ListContainerFleets Gamelift: ListContainerGroupDefinitionVersions Gamelift: ListContainerGroupDefinitions Gamelift: ListFleetDeployments Gamelift: ListFleets Gamelift: ListGameServerGroups Gamelift: ListGameServers Gamelift: ListLocations Gamelift: ListScripts Gamelift: PutScalingPolicy Gamelift: RegisterCompute Gamelift: RegisterGameServer Gamelift: RequestUploadCredentials Gamelift: ResolveAlias Gamelift: ResumeGameServerGroup Gamelift: SearchGameSessions Gamelift: StartFleetActions Gamelift: StartGameSessionPlacement Gamelift: StartMatchBackfill Gamelift: StartMatchmaking Gamelift: StopFleetActions Gamelift: StopGameSessionPlacement Gamelift: StopMatchmaking Gamelift: SuspendGameServerGroup Gamelift: TerminateGameSession Gamelift: UpdateAlias Gamelift: UpdateBuild Gamelift: UpdateContainerGroupDefinition Gamelift: UpdateFleetAttributes Gamelift: UpdateFleetCapacity Gamelift: UpdateFleetPortSettings Gamelift: UpdateGameServer Gamelift: UpdateGameServerGroup Gamelift: UpdateGameSession Gamelift: UpdateGameSessionQueue Gamelift: UpdateMatchmakingConfiguration Gamelift: UpdateRuntimeConfiguration Gamelift: UpdateScript Gamelift: ValidateMatchmakingRuleSet  | 
| geo |  Geo: AssociateTrackerConsumer Geo: BatchDeleteDevicePositionHistory Geo: BatchDeleteGeofence Geo: BatchEvaluateGeofences Geo: BatchGetDevicePosition Geo: BatchPutGeofence Geo: BatchUpdateDevicePosition Geo: CalculateRoute Geo: CalculateRouteMatrix Geo: CreateGeofenceCollection Geo: CreateMap Geo: CreatePlaceIndex Geo: CreateRouteCalculator Geo: CreateTracker Geo: DeleteGeofenceCollection Geo: DeleteKey Geo: DeleteMap Geo: DeletePlaceIndex Geo: DeleteRouteCalculator Geo: DeleteTracker Geo: DescribeGeofenceCollection Geo: DescribeKey Geo: DescribeMap Geo: DescribePlaceIndex Geo: DescribeRouteCalculator Geo: DescribeTracker Geo: DisassociateTrackerConsumer Geo: ForecastGeofenceEvents Geo: GetDevicePosition Geo: GetDevicePositionHistory Geo: GetGeofence Geo: GetMapGlyphs Geo: GetMapSprites Geo: GetMapStyleDescriptor Geo: GetMapTile Geo: GetPlace Geo: ListDevicePositions Geo: ListGeofenceCollections Geo: ListGeofences Geo: ListKeys Geo: ListMaps Geo: ListPlaceIndexes Geo: ListRouteCalculators Geo: ListTrackerConsumers Geo: ListTrackers Geo: PutGeofence Geo: SearchPlaceIndexForPosition Geo: SearchPlaceIndexForSuggestions Geo: SearchPlaceIndexForText Geo: UpdateGeofenceCollection Geo: UpdateKey Geo: UpdateMap Geo: UpdatePlaceIndex Geo: UpdateRouteCalculator Geo: UpdateTracker Geo: VerifyDevicePosition  | 
| glacier |  Gletscher: AbortMultipartUpload Gletscher: AbortVaultLock Gletscher: CompleteMultipartUpload Gletscher: CompleteVaultLock Gletscher: CreateVault Gletscher: DeleteArchive Gletscher: DeleteVault Gletscher: DeleteVaultAccessPolicy Gletscher: DeleteVaultNotifications Gletscher: DescribeJob Gletscher: DescribeVault Gletscher: GetDataRetrievalPolicy Gletscher: GetJobOutput Gletscher: GetVaultAccessPolicy Gletscher: GetVaultLock Gletscher: GetVaultNotifications Gletscher: InitiateJob Gletscher: InitiateMultipartUpload Gletscher: InitiateVaultLock Gletscher: ListJobs Gletscher: ListMultipartUploads Gletscher: ListParts Gletscher: ListProvisionedCapacity Gletscher: ListVaults Gletscher: PurchaseProvisionedCapacity Gletscher: SetDataRetrievalPolicy Gletscher: SetVaultAccessPolicy Gletscher: SetVaultNotifications Gletscher: UploadArchive Gletscher: UploadMultipartPart  | 
| grafana |  Grafana: AssociateLicense Grafana: CreateWorkspace Grafana: CreateWorkspaceApiKey Grafana: CreateWorkspaceServiceAccount Grafana: CreateWorkspaceServiceAccountToken Grafana: DeleteWorkspace Grafana: DeleteWorkspaceApiKey Grafana: DeleteWorkspaceServiceAccount Grafana: DeleteWorkspaceServiceAccountToken Grafana: DescribeWorkspace Grafana: DescribeWorkspaceAuthentication Grafana: DescribeWorkspaceConfiguration Grafana: DisassociateLicense Grafana: ListPermissions Grafana: ListVersions Grafana: ListWorkspaceServiceAccountTokens Grafana: ListWorkspaceServiceAccounts Grafana: ListWorkspaces Grafana: UpdatePermissions Grafana: UpdateWorkspace Grafana: UpdateWorkspaceAuthentication Grafana: UpdateWorkspaceConfiguration  | 
| greengrass |  grünes Gras: AssociateRoleToGroup grünes Gras: AssociateServiceRoleToAccount grünes Gras: BatchAssociateClientDeviceWithCoreDevice grünes Gras: BatchDisassociateClientDeviceFromCoreDevice grünes Gras: CancelDeployment grünes Gras: CreateComponentVersion grünes Gras: CreateConnectorDefinition grünes Gras: CreateConnectorDefinitionVersion grünes Gras: CreateCoreDefinition grünes Gras: CreateCoreDefinitionVersion grünes Gras: CreateDeployment grünes Gras: CreateDeviceDefinition grünes Gras: CreateDeviceDefinitionVersion grünes Gras: CreateFunctionDefinition grünes Gras: CreateFunctionDefinitionVersion grünes Gras: CreateGroup grünes Gras: CreateGroupCertificateAuthority grünes Gras: CreateGroupVersion grünes Gras: CreateLoggerDefinition grünes Gras: CreateLoggerDefinitionVersion grünes Gras: CreateResourceDefinition grünes Gras: CreateResourceDefinitionVersion grünes Gras: CreateSoftwareUpdateJob grünes Gras: CreateSubscriptionDefinition grünes Gras: CreateSubscriptionDefinitionVersion grünes Gras: DeleteComponent grünes Gras: DeleteConnectorDefinition grünes Gras: DeleteCoreDefinition grünes Gras: DeleteCoreDevice grünes Gras: DeleteDeployment grünes Gras: DeleteDeviceDefinition grünes Gras: DeleteFunctionDefinition grünes Gras: DeleteGroup grünes Gras: DeleteLoggerDefinition grünes Gras: DeleteResourceDefinition grünes Gras: DeleteSubscriptionDefinition grünes Gras: DescribeComponent grünes Gras: DisassociateRoleFromGroup grünes Gras: DisassociateServiceRoleFromAccount grünes Gras: GetAssociatedRole grünes Gras: GetBulkDeploymentStatus grünes Gras: GetComponent grünes Gras: GetComponentVersionArtifact grünes Gras: GetConnectivityInfo grünes Gras: GetConnectorDefinition grünes Gras: GetConnectorDefinitionVersion grünes Gras: GetCoreDefinition grünes Gras: GetCoreDefinitionVersion grünes Gras: GetCoreDevice grünes Gras: GetDeployment grünes Gras: GetDeploymentStatus grünes Gras: GetDeviceDefinition grünes Gras: GetDeviceDefinitionVersion grünes Gras: GetFunctionDefinition grünes Gras: GetFunctionDefinitionVersion grünes Gras: GetGroup grünes Gras: GetGroupCertificateAuthority grünes Gras: GetGroupCertificateConfiguration grünes Gras: GetGroupVersion grünes Gras: GetLoggerDefinition grünes Gras: GetLoggerDefinitionVersion grünes Gras: GetResourceDefinition grünes Gras: GetResourceDefinitionVersion grünes Gras: GetServiceRoleForAccount grünes Gras: GetSubscriptionDefinition grünes Gras: GetSubscriptionDefinitionVersion grünes Gras: GetThingRuntimeConfiguration grünes Gras: ListBulkDeploymentDetailedReports grünes Gras: ListBulkDeployments grünes Gras: ListClientDevicesAssociatedWithCoreDevice grünes Gras: ListComponentVersions grünes Gras: ListComponents grünes Gras: ListConnectorDefinitionVersions grünes Gras: ListConnectorDefinitions grünes Gras: ListCoreDefinitionVersions grünes Gras: ListCoreDefinitions grünes Gras: ListCoreDevices grünes Gras: ListDeployments grünes Gras: ListDeviceDefinitionVersions grünes Gras: ListDeviceDefinitions grünes Gras: ListEffectiveDeployments grünes Gras: ListFunctionDefinitionVersions grünes Gras: ListFunctionDefinitions grünes Gras: ListGroupCertificateAuthorities grünes Gras: ListGroupVersions grünes Gras: ListGroups grünes Gras: ListInstalledComponents grünes Gras: ListLoggerDefinitionVersions grünes Gras: ListLoggerDefinitions grünes Gras: ListResourceDefinitionVersions grünes Gras: ListResourceDefinitions grünes Gras: ListSubscriptionDefinitionVersions grünes Gras: ListSubscriptionDefinitions grünes Gras: ResetDeployments grünes Gras: StartBulkDeployment grünes Gras: StopBulkDeployment grünes Gras: UpdateConnectivityInfo grünes Gras: UpdateConnectorDefinition grünes Gras: UpdateCoreDefinition grünes Gras: UpdateDeviceDefinition grünes Gras: UpdateFunctionDefinition grünes Gras: UpdateGroup grünes Gras: UpdateGroupCertificateConfiguration grünes Gras: UpdateLoggerDefinition grünes Gras: UpdateResourceDefinition grünes Gras: UpdateSubscriptionDefinition grünes Gras: UpdateThingRuntimeConfiguration  | 
| groundstation |  Bodenstation: CancelContact Bodenstation: CreateConfig Bodenstation: CreateDataflowEndpointGroup Bodenstation: V2 CreateDataflowEndpointGroup Bodenstation: CreateEphemeris Bodenstation: CreateMissionProfile Bodenstation: DeleteConfig Bodenstation: DeleteDataflowEndpointGroup Bodenstation: DeleteEphemeris Bodenstation: DeleteMissionProfile Bodenstation: DescribeContact Bodenstation: DescribeEphemeris Bodenstation: GetConfig Bodenstation: GetDataflowEndpointGroup Bodenstation: GetMinuteUsage Bodenstation: GetMissionProfile Bodenstation: GetSatellite Bodenstation: ListConfigs Bodenstation: ListContacts Bodenstation: ListDataflowEndpointGroups Bodenstation: ListEphemerides Bodenstation: ListGroundStations Bodenstation: ListMissionProfiles Bodenstation: ListSatellites Bodenstation: RegisterAgent Bodenstation: ReserveContact Bodenstation: UpdateAgentStatus Bodenstation: UpdateConfig Bodenstation: UpdateEphemeris Bodenstation: UpdateMissionProfile  | 
| guardduty |  Wachdienst: AcceptAdministratorInvitation Wachdienst: AcceptInvitation Wachdienst: ArchiveFindings Wachdienst: CreateDetector Wachdienst: CreateFilter GuardDuty: erstellen IPSet Wachdienst: CreateMalwareProtectionPlan Wachdienst: CreateMembers Wachdienst: CreatePublishingDestination Wachdienst: CreateSampleFindings Wachdienst: CreateThreatEntitySet Wachdienst: CreateThreatIntelSet Wachdienst: CreateTrustedEntitySet Wachdienst: DeclineInvitations Wachdienst: DeleteDetector Wachdienst: DeleteFilter GuardDuty: löschen IPSet Wachdienst: DeleteInvitations Wachdienst: DeleteMalwareProtectionPlan Wachdienst: DeleteMembers Wachdienst: DeletePublishingDestination Wachdienst: DeleteThreatEntitySet Wachdienst: DeleteThreatIntelSet Wachdienst: DeleteTrustedEntitySet Wachdienst: DescribeMalwareScans Wachdienst: DescribeOrganizationConfiguration Wachdienst: DescribePublishingDestination Wachdienst: DisableOrganizationAdminAccount Wachdienst: DisassociateFromAdministratorAccount Wachdienst: DisassociateFromMasterAccount Wachdienst: DisassociateMembers Wachdienst: EnableOrganizationAdminAccount Wachdienst: GetAdministratorAccount Wachdienst: GetCoverageStatistics Wachdienst: GetDetector Wachdienst: GetFilter Wachdienst: GetFindings Wachdienst: GetFindingsStatistics GuardDuty: Holen IPSet Wachdienst: GetInvitationsCount Wachdienst: GetMalwareProtectionPlan Wachdienst: GetMalwareScan Wachdienst: GetMalwareScanSettings Wachdienst: GetMasterAccount Wachdienst: GetMemberDetectors Wachdienst: GetMembers Wachdienst: GetOrganizationStatistics Wachdienst: GetRemainingFreeTrialDays Wachdienst: GetThreatEntitySet Wachdienst: GetThreatIntelSet Wachdienst: GetTrustedEntitySet Wachdienst: GetUsageStatistics Wachdienst: InviteMembers Wachdienst: ListCoverage Wachdienst: ListDetectors Wachdienst: ListFilters Wachdienst: ListFindings GuardDuty: Liste IPSets Wachdienst: ListInvitations Wachdienst: ListMalwareProtectionPlans Wachdienst: ListMalwareScans Wachdienst: ListMembers Wachdienst: ListOrganizationAdminAccounts Wachdienst: ListPublishingDestinations Wachdienst: ListThreatEntitySets Wachdienst: ListThreatIntelSets Wachdienst: ListTrustedEntitySets Wachdienst: StartMalwareScan Wachdienst: StartMonitoringMembers Wachdienst: StopMonitoringMembers Wachdienst: UnarchiveFindings Wachdienst: UpdateDetector Wachdienst: UpdateFilter Wachdienst: UpdateFindingsFeedback GuardDuty: Aktualisierung IPSet Wachdienst: UpdateMalwareProtectionPlan Wachdienst: UpdateMalwareScanSettings Wachdienst: UpdateMemberDetectors Wachdienst: UpdateOrganizationConfiguration Wachdienst: UpdatePublishingDestination Wachdienst: UpdateThreatEntitySet Wachdienst: UpdateThreatIntelSet Wachdienst: UpdateTrustedEntitySet  | 
| healthlake |  Health Lake: stornieren FHIRExport JobWithDelete HealthLake: erstellen FHIRDatastore Healthlake: CreateResource Healthlake: löschen FHIRDatastore Healthlake: DeleteResource Healthlake: Beschreibe FHIRDatastore HealthlakeFHIRExport: Job beschreiben Healthlake: Beschreibe FHIRExport JobWithGet HealthlakeFHIRImport: Job beschreiben Healthlake: GetCapabilities Healthlake: Liste FHIRDatastores Healthlake: Jobs auflisten FHIRExport Healthlake: FHIRImport Jobs auflisten Healthlake: ReadResource Healthlake: SearchEverything Healthlake: SearchWithGet Healthlake: SearchWithPost HealthlakeFHIRExport: Job starten Healthlake: Start FHIRExport JobWithPost HealthlakeFHIRImport: Job starten Healthlake: UpdateResource  | 
| honeycode |  Honeycode: BatchCreateTableRows Honigcode: BatchDeleteTableRows Honigcode: BatchUpdateTableRows Honigcode: BatchUpsertTableRows Honigcode: DescribeTableDataImportJob Honigcode: GetScreenData Honigcode: InvokeScreenAutomation Honigcode: ListTableColumns Honigcode: ListTableRows Honigcode: ListTables Honigcode: QueryTableRows Honigcode: StartTableDataImportJob  | 
| iam |  iam: Anbieter öffnen AddClient IDTo IDConnect ich bin: AddRoleToInstanceProfile ich bin: AddUserToGroup ich bin: AttachGroupPolicy ich bin: AttachRolePolicy ich bin: AttachUserPolicy ich bin: ChangePassword ich bin: CreateAccessKey ich bin: CreateAccountAlias ich bin: CreateGroup ich bin: CreateInstanceProfile ich bin: CreateLoginProfile iam: Anbieter CreateOpen IDConnect ich bin: CreatePolicy ich bin: CreatePolicyVersion ich bin: CreateRole Ich bin: erstellen SAMLProvider ich bin: CreateServiceLinkedRole ich bin: CreateServiceSpecificCredential ich bin: CreateUser ich bin: CreateVirtual MFADevice iam: deaktivieren MFADevice ich bin: DeleteAccessKey ich bin: DeleteAccountAlias ich bin: DeleteAccountPasswordPolicy ich bin: DeleteCloudFrontPublicKey ich bin: DeleteGroup ich bin: DeleteGroupPolicy ich bin: DeleteInstanceProfile ich bin: DeleteLoginProfile iam: Anbieter DeleteOpen IDConnect ich bin: DeletePolicy ich bin: DeletePolicyVersion ich bin: DeleteRole ich bin: DeleteRolePermissionsBoundary ich bin: DeleteRolePolicy ich bin: löschen SAMLProvider iam: Schlüssel löschen SSHPublic ich bin: DeleteServerCertificate ich bin: DeleteServiceLinkedRole ich bin: DeleteServiceSpecificCredential ich bin: DeleteSigningCertificate ich bin: DeleteUser ich bin: DeleteUserPermissionsBoundary ich bin: DeleteUserPolicy ich bin: DeleteVirtual MFADevice ich bin: DetachGroupPolicy ich bin: DetachRolePolicy ich bin: DetachUserPolicy ich bin: DisableOrganizationsRootCredentialsManagement ich bin: DisableOrganizationsRootSessions ich bin: DisableOutboundWebIdentityFederation iam: aktivieren MFADevice ich bin: EnableOrganizationsRootCredentialsManagement ich bin: EnableOrganizationsRootSessions ich bin: EnableOutboundWebIdentityFederation ich bin: GenerateCredentialReport ich bin: GenerateOrganizationsAccessReport ich bin: GenerateServiceLastAccessedDetails ich bin: GetAccessKeyLastUsed ich bin: GetAccountAuthorizationDetails ich bin: GetAccountEmailAddress ich bin: GetAccountName ich bin: GetAccountPasswordPolicy ich bin: GetAccountSummary ich bin: GetCloudFrontPublicKey ich bin: GetContextKeysForCustomPolicy ich bin: GetContextKeysForPrincipalPolicy ich bin: GetCredentialReport ich bin: GetGroup ich bin: GetGroupPolicy ich bin: GetInstanceProfile ich bin: GetLoginProfile Ich bin: GET MFADevice iam: Anbieter GetOpen IDConnect ich bin: GetOrganizationsAccessReport ich bin: GetOutboundWebIdentityFederationInfo ich bin: GetPolicy ich bin: GetPolicyVersion ich bin: GetRole ich bin: GetRolePolicy Ich bin: GET SAMLProvider Ich bin: Get Key SSHPublic ich bin: GetServerCertificate ich bin: GetServiceLastAccessedDetails ich bin: GetServiceLastAccessedDetailsWithEntities ich bin: GetServiceLinkedRoleDeletionStatus ich bin: GetUser ich bin: GetUserPolicy ich bin: ListAccessKeys ich bin: ListAccountAliases ich bin: ListAttachedGroupPolicies ich bin: ListAttachedRolePolicies ich bin: ListAttachedUserPolicies ich bin: ListCloudFrontPublicKeys ich bin: ListDelegationRequests ich bin: ListEntitiesForPolicy ich bin: ListGroupPolicies ich bin: ListGroups ich bin: ListGroupsForUser ich bin: ListInstanceProfiles ich bin: ListInstanceProfilesForRole Ich bin: Liste MFADevices iam: Anbieter ListOpen IDConnect iam: ListOrganizationsFeatures ich bin: ListPolicies ich bin: ListPoliciesGrantingServiceAccess ich bin: ListPolicyVersions ich bin: ListRolePolicies ich bin: ListRoles Ich bin: Liste SAMLProviders iam:Schlüssel auflisten SSHPublic Ich bin: Liste STSRegional EndpointsStatus ich bin: ListServerCertificates ich bin: ListServiceSpecificCredentials ich bin: ListSigningCertificates ich bin: ListUserPolicies ich bin: ListUsers ich bin: ListVirtual MFADevices ich bin: PutGroupPolicy ich bin: PutRolePermissionsBoundary ich bin: PutRolePolicy ich bin: PutUserPermissionsBoundary ich bin: PutUserPolicy iam: Anbieter öffnen RemoveClient IDFrom IDConnect ich bin: RemoveRoleFromInstanceProfile ich bin: RemoveUserFromGroup ich bin: ResetServiceSpecificCredential Ich bin: Resync MFADevice ich bin: SetDefaultPolicyVersion Ich bin: Set STSRegional EndpointStatus ich bin: SetSecurityTokenServicePreferences ich bin: SimulateCustomPolicy ich bin: SimulatePrincipalPolicy ich bin: UpdateAccessKey ich bin: UpdateAccountEmailAddress ich bin: UpdateAccountName ich bin: UpdateAccountPasswordPolicy ich bin: UpdateAssumeRolePolicy ich bin: UpdateCloudFrontPublicKey ich bin: UpdateGroup ich bin: UpdateLoginProfile ich bin: UpdateOpen IDConnect ProviderThumbprint ich bin: UpdateRole ich bin: UpdateRoleDescription Ich bin: Update SAMLProvider iam:Schlüssel aktualisieren SSHPublic ich bin: UpdateServerCertificate ich bin: UpdateServiceSpecificCredential ich bin: UpdateSigningCertificate ich bin: UpdateUser ich bin: UploadCloudFrontPublicKey SSHPubliciam: Schlüssel hochladen ich bin: UploadServerCertificate ich bin: UploadSigningCertificate  | 
| identitystore |  Identitätsspeicher: CreateGroup Identitätsspeicher: CreateGroupMembership Identitätsspeicher: CreateUser Identitätsspeicher: DeleteGroup Identitätsspeicher: DeleteGroupMembership Identitätsspeicher: DeleteUser Identitätsspeicher: DescribeGroup Identitätsspeicher: DescribeGroupMembership Identitätsspeicher: DescribeUser Identitätsspeicher: GetGroupId Identitätsspeicher: GetGroupMembershipId Identitätsspeicher: GetUserId Identitätsspeicher: IsMemberInGroups Identitätsspeicher: ListGroupMemberships Identitätsspeicher: ListGroupMembershipsForMember Identitätsspeicher: ListGroups Identitätsspeicher: ListUsers Identitätsspeicher: UpdateGroup Identitätsspeicher: UpdateUser  | 
| imagebuilder |  Image-Builder: CancelImageCreation Image-Builder: CancelLifecycleExecution Image-Builder: CreateComponent Image-Builder: CreateContainerRecipe Image-Builder: CreateDistributionConfiguration Image-Builder: CreateImage Image-Builder: CreateImagePipeline Image-Builder: CreateImageRecipe Image-Builder: CreateInfrastructureConfiguration Image-Builder: CreateLifecyclePolicy Image-Builder: CreateWorkflow Image-Builder: DeleteComponent Image-Builder: DeleteContainerRecipe Image-Builder: DeleteDistributionConfiguration Image-Builder: DeleteImage Image-Builder: DeleteImagePipeline Image-Builder: DeleteImageRecipe Image-Builder: DeleteInfrastructureConfiguration Image-Builder: DeleteLifecyclePolicy Image-Builder: DeleteWorkflow Image-Builder: DistributeImage Image-Builder: GetComponentPolicy Image-Builder: GetContainerRecipePolicy Image-Builder: GetImagePolicy Image-Builder: GetImageRecipePolicy Image-Builder: GetLifecycleExecution Image-Builder: GetLifecyclePolicy Image-Builder: GetMarketplaceResource Image-Builder: GetWorkflowExecution Image-Builder: GetWorkflowStepExecution Image-Builder: ImportComponent Image-Builder: ImportDiskImage Image-Builder: ImportVmImage Image-Builder: ListComponentBuildVersions Image-Builder: ListComponents Image-Builder: ListContainerRecipes Image-Builder: ListDistributionConfigurations Image-Builder: ListImageBuildVersions Image-Builder: ListImagePackages Image-Builder: ListImagePipelineImages Image-Builder: ListImagePipelines Image-Builder: ListImageRecipes Image-Builder: ListImageScanFindingAggregations Image-Builder: ListImageScanFindings Image-Builder: ListImages Image-Builder: ListInfrastructureConfigurations Image-Builder: ListLifecycleExecutionResources Image-Builder: ListLifecycleExecutions Image-Builder: ListLifecyclePolicies Image-Builder: ListWaitingWorkflowSteps Image-Builder: ListWorkflowExecutions Image-Builder: ListWorkflowStepExecutions Image-Builder: ListWorkflows Image-Builder: PutComponentPolicy Image-Builder: PutContainerRecipePolicy Image-Builder: PutImagePolicy Image-Builder: PutImageRecipePolicy Image-Builder: RetryImage Image-Builder: SendWorkflowStepAction Image-Builder: StartImagePipelineExecution Image-Builder: StartResourceStateUpdate Image-Builder: UpdateDistributionConfiguration Image-Builder: UpdateImagePipeline Image-Builder: UpdateInfrastructureConfiguration  | 
| inspector |  Inspektor: AddAttributesToFindings Inspektor: CreateAssessmentTarget Inspektor: CreateAssessmentTemplate Inspektor: CreateExclusionsPreview Inspektor: CreateResourceGroup Inspektor: DeleteAssessmentRun Inspektor: DeleteAssessmentTarget Inspektor: DeleteAssessmentTemplate Inspektor: DescribeAssessmentRuns Inspektor: DescribeAssessmentTargets Inspektor: DescribeAssessmentTemplates Inspektor: DescribeCrossAccountAccessRole Inspektor: DescribeExclusions Inspektor: DescribeFindings Inspektor: DescribeResourceGroups Inspektor: DescribeRulesPackages Inspektor: GetAssessmentReport Inspektor: GetExclusionsPreview Inspektor: GetTelemetryMetadata Inspektor: ListAssessmentRunAgents Inspektor: ListAssessmentRuns Inspektor: ListAssessmentTargets Inspektor: ListAssessmentTemplates Inspektor: ListEventSubscriptions Inspektor: ListExclusions Inspektor: ListFindings Inspektor: ListRulesPackages Inspektor: PreviewAgents Inspektor: RegisterCrossAccountAccessRole Inspektor: RemoveAttributesFromFindings Inspektor: StartAssessmentRun Inspektor: StopAssessmentRun Inspektor: SubscribeToEvent Inspektor: UnsubscribeFromEvent Inspektor: UpdateAssessmentTarget  | 
| inspector2 |  Inspektor 2: AssociateMember Inspektor 2: BatchGetAccountStatus Inspektor 2: BatchGetCodeSnippet Inspektor 2: BatchGetFindingDetails Inspektor 2: BatchGetFreeTrialInfo Inspektor2:2 BatchGetMemberEc DeepInspectionStatus Inspektor 2:2 BatchUpdateMemberEc DeepInspectionStatus Inspektor 2: CancelFindingsReport Inspektor 2: CancelSbomExport Inspektor 2: CreateCisScanConfiguration Inspektor 2: CreateCodeSecurityIntegration Inspektor 2: CreateFilter Inspektor 2: CreateFindingsReport Inspektor 2: CreateSbomExport Inspektor 2: DeleteCisScanConfiguration Inspektor 2: DeleteCodeSecurityIntegration Inspektor 2: DeleteFilter Inspektor 2: DescribeOrganizationConfiguration inspector2:Disable Inspektor 2: DisableDelegatedAdminAccount Inspektor 2: DisassociateMember inspector2:Enable Inspektor 2: EnableDelegatedAdminAccount Inspektor 2: GetCisScanReport Inspektor 2: GetCisScanResultDetails Inspektor 2: GetClustersForImage Inspektor 2: GetCodeSecurityIntegration Inspektor 2: GetCodeSecurityScan Inspektor 2: GetConfiguration Inspektor 2: GetDelegatedAdminAccount Inspektor2:2 GetEc DeepInspectionConfiguration Inspektor 2: GetEncryptionKey Inspektor 2: GetFindingsReportStatus Inspektor 2: GetMember Inspektor 2: GetSbomExport Inspektor 2: ListAccountPermissions Inspektor 2: ListCisScanConfigurations Inspektor 2: ListCisScanResultsAggregatedByChecks Inspektor 2: ListCisScanResultsAggregatedByTargetResource Inspektor 2: ListCisScans Inspektor 2: ListCodeSecurityIntegrations Inspektor 2: ListCodeSecurityScanConfigurations Inspektor 2: ListCoverage Inspektor 2: ListCoverageStatistics Inspektor 2: ListDelegatedAdminAccounts Inspektor 2: ListFilters Inspektor 2: ListFindingAggregations Inspektor 2: ListFindings Inspektor 2: ListMembers Inspektor 2: ListUsageTotals Inspektor 2: ResetEncryptionKey Inspektor 2: SearchVulnerabilities Inspektor 2: SendCisSessionHealth Inspektor 2: SendCisSessionTelemetry Inspektor 2: StartCisSession Inspektor 2: StartCodeSecurityScan Inspektor 2: StopCisSession Inspektor 2: UpdateCisScanConfiguration Inspektor 2: UpdateCodeSecurityIntegration Inspektor 2: UpdateConfiguration Inspektor2:2 UpdateEc DeepInspectionConfiguration Inspektor 2: UpdateEncryptionKey Inspektor 2: UpdateFilter Inspektor2:2 UpdateOrgEc DeepInspectionConfiguration Inspektor 2: UpdateOrganizationConfiguration  | 
| iot |  IoT: AcceptCertificateTransfer IoT: AddThingToBillingGroup IoT: AddThingToThingGroup IoT: AssociateSbomWithPackageVersion IoT: AssociateTargetsWithJob IoT: AttachPolicy IoT: AttachPrincipalPolicy IoT: AttachSecurityProfile IoT: AttachThingPrincipal IoT: CancelAuditMitigationActionsTask IoT: CancelAuditTask IoT: CancelCertificateTransfer IoT: CancelDetectMitigationActionsTask IoT: CancelJob IoT: CancelJobExecution IoT: ClearDefaultAuthorizer IoT: ConfirmTopicRuleDestination IoT: CreateAuditSuppression IoT: CreateAuthorizer IoT: CreateBillingGroup IoT: CreateCertificateFromCsr IoT: CreateCertificateProvider IoT: CreateCommand IoT: CreateCustomMetric IoT: CreateDimension IoT: CreateDomainConfiguration IoT: CreateDynamicThingGroup IoT: CreateFleetMetric IoT: CreateJob IoT: CreateJobTemplate IoT: CreateKeysAndCertificate IoT: CreateMitigationAction IoT: erstellen OTAUpdate IoT: CreatePackage IoT: CreatePackageVersion IoT: CreatePolicy IoT: CreatePolicyVersion IoT: CreateProvisioningClaim IoT: CreateProvisioningTemplate IoT: CreateProvisioningTemplateVersion IoT: CreateRoleAlias IoT: CreateScheduledAudit IoT: CreateSecurityProfile IoT: CreateStream IoT: CreateThing IoT: CreateThingGroup IoT: CreateThingType IoT: CreateTopicRule IoT: CreateTopicRuleDestination IoT: DeleteAccountAuditConfiguration IoT: DeleteAuditSuppression IoT: DeleteAuthorizer IoT: DeleteBillingGroup IoT: löschen CACertificate IoT: DeleteCertificate IoT: DeleteCertificateProvider IoT: DeleteCommand IoT: DeleteCustomMetric IoT: DeleteDimension IoT: DeleteDomainConfiguration IoT: DeleteDynamicThingGroup IoT: DeleteFleetMetric IoT: DeleteJob IoT: DeleteJobExecution IoT: DeleteJobTemplate IoT: DeleteMitigationAction IoT: löschen OTAUpdate IoT: DeletePackage IoT: DeletePackageVersion IoT: DeletePolicy IoT: DeletePolicyVersion IoT: DeleteProvisioningTemplate IoT: DeleteProvisioningTemplateVersion IoT: DeleteRegistrationCode IoT: DeleteRoleAlias IoT: DeleteScheduledAudit IoT: DeleteSecurityProfile IoT: DeleteStream IoT: DeleteThing IoT: DeleteThingGroup IoT: DeleteThingType IoT: DeleteTopicRule IoT: DeleteTopicRuleDestination IoT: V2 löschen LoggingLevel IoT: DeprecateThingType IoT: DescribeAccountAuditConfiguration IoT: DescribeAuditFinding IoT: DescribeAuditMitigationActionsTask IoT: DescribeAuditSuppression IoT: DescribeAuditTask IoT: DescribeAuthorizer IoT: DescribeBillingGroup IoT: Beschreiben CACertificate IoT: DescribeCertificate IoT: DescribeCertificateProvider IoT: DescribeCustomMetric IoT: DescribeDefaultAuthorizer IoT: DescribeDetectMitigationActionsTask IoT: DescribeDimension IoT: DescribeDomainConfiguration IoT: DescribeEncryptionConfiguration IoT: DescribeEndpoint IoT: DescribeEventConfigurations IoT: DescribeFleetMetric IoT: DescribeIndex IoT: DescribeJob IoT: DescribeJobExecution IoT: DescribeJobTemplate IoT: DescribeManagedJobTemplate IoT: DescribeMitigationAction IoT: DescribeProvisioningTemplate IoT: DescribeProvisioningTemplateVersion IoT: DescribeRoleAlias IoT: DescribeScheduledAudit IoT: DescribeSecurityProfile IoT: DescribeStream IoT: DescribeThing IoT: DescribeThingGroup IoT: DescribeThingRegistrationTask IoT: DescribeThingType IoT: DetachPolicy IoT: DetachPrincipalPolicy IoT: DetachSecurityProfile IoT: DetachThingPrincipal IoT: DisableTopicRule IoT: DisassociateSbomFromPackageVersion IoT: EnableTopicRule IoT: GetBehaviorModelTrainingSummaries IoT: GetBucketsAggregation IoT: GetCardinality IoT: GetCommand IoT: GetEffectivePolicies IoT: GetJobDocument IoT: GetLoggingOptions IoT: Holen OTAUpdate IoT: GetPackage IoT: GetPackageConfiguration IoT: GetPackageVersion IoT: GetPercentiles IoT: GetPolicy IoT: GetPolicyVersion IoT: GetRegistrationCode IoT: GetStatistics IoT: GetThingConnectivityData IoT: GetTopicRule IoT: GetTopicRuleDestination IoT: GET V2 LoggingOptions IoT: ListActiveViolations IoT: ListAttachedPolicies IoT: ListAuditFindings IoT: ListAuditMitigationActionsExecutions IoT: ListAuditMitigationActionsTasks IoT: ListAuditSuppressions IoT: ListAuditTasks IoT: ListAuthorizers IoT: ListBillingGroups IoT: Liste CACertificates IoT: ListCertificateProviders IoT: ListCertificates IoT: ListCertificatesBy Kanada IoT: ListCommands IoT: ListCustomMetrics IoT: ListDetectMitigationActionsExecutions IoT: ListDetectMitigationActionsTasks IoT: ListDimensions IoT: ListDomainConfigurations IoT: ListFleetMetrics IoT: ListIndices IoT: ListJobExecutionsForJob IoT: ListJobExecutionsForThing IoT: ListJobTemplates IoT: ListJobs IoT: ListManagedJobTemplates IoT: ListMetricValues IoT: ListMitigationActions IoT: Liste OTAUpdates IoT: ListOutgoingCertificates IoT: ListPackageVersions IoT: ListPackages IoT: ListPolicies IoT: ListPolicyPrincipals IoT: ListPolicyVersions IoT: ListPrincipalPolicies IoT: ListPrincipalThings IoT: ListPrincipalThings V2 IoT: ListProvisioningTemplateVersions IoT: ListProvisioningTemplates IoT: ListRelatedResourcesForAuditFinding IoT: ListRoleAliases IoT: ListSbomValidationResults IoT: ListScheduledAudits IoT: ListSecurityProfiles IoT: ListSecurityProfilesForTarget IoT: ListStreams IoT: ListTargetsForPolicy IoT: ListTargetsForSecurityProfile IoT: ListThingGroups IoT: ListThingGroupsForThing IoT: ListThingPrincipals IoT: ListThingPrincipals V2 IoT: ListThingRegistrationTaskReports IoT: ListThingRegistrationTasks IoT: ListThingTypes IoT: ListThings IoT: ListThingsInBillingGroup IoT: ListThingsInThingGroup IoT: ListTopicRuleDestinations IoT: ListTopicRules IoT: Liste V2 LoggingLevels IoT: ListViolationEvents IoT: PutVerificationStateOnViolation IoT: registrieren CACertificate IoT: RegisterCertificate IoT: RegisterCertificateWithout Kanada IoT: RegisterThing IoT: RejectCertificateTransfer IoT: RemoveThingFromBillingGroup IoT: RemoveThingFromThingGroup IoT: ReplaceTopicRule IoT: SearchIndex IoT: SetDefaultAuthorizer IoT: SetDefaultPolicyVersion IoT: SetLoggingOptions IoT: SETv2 LoggingLevel IoT: SETV2 LoggingOptions IoT: StartAuditMitigationActionsTask IoT: StartDetectMitigationActionsTask IoT: StartOnDemandAuditTask IoT: StartThingRegistrationTask IoT: StopThingRegistrationTask IoT: TestAuthorization IoT: TestInvokeAuthorizer IoT: TransferCertificate IoT: UpdateAccountAuditConfiguration IoT: UpdateAuditSuppression IoT: UpdateAuthorizer IoT: UpdateBillingGroup IoT: aktualisieren CACertificate IoT: UpdateCertificate IoT: UpdateCertificateProvider IoT: UpdateCommand IoT: UpdateCustomMetric IoT: UpdateDimension IoT: UpdateDomainConfiguration IoT: UpdateDynamicThingGroup IoT: UpdateEncryptionConfiguration IoT: UpdateEventConfigurations IoT: UpdateFleetMetric IoT: UpdateIndexingConfiguration IoT: UpdateJob IoT: UpdateMitigationAction IoT: UpdatePackage IoT: UpdatePackageConfiguration IoT: UpdatePackageVersion IoT: UpdateProvisioningTemplate IoT: UpdateRoleAlias IoT: UpdateScheduledAudit IoT: UpdateSecurityProfile IoT: UpdateStream IoT: UpdateThing IoT: UpdateThingGroup IoT: UpdateThingGroupsForThing IoT: UpdateThingType IoT: UpdateTopicRuleDestination IoT: ValidateSecurityProfileBehaviors  | 
| iotanalytics |  IoT-Analytik: CancelPipelineReprocessing IoT-Analytik: CreateChannel IoT-Analytik: CreateDataset IoT-Analytik: CreateDatasetContent IoT-Analytik: CreateDatastore IoT-Analytik: CreatePipeline IoT-Analytik: DeleteChannel IoT-Analytik: DeleteDataset IoT-Analytik: DeleteDatasetContent IoT-Analytik: DeleteDatastore IoT-Analytik: DeletePipeline IoT-Analytik: DescribeChannel IoT-Analytik: DescribeDataset IoT-Analytik: DescribeDatastore IoT-Analytik: DescribeLoggingOptions IoT-Analytik: DescribePipeline IoT-Analytik: GetDatasetContent IoT-Analytik: ListChannels IoT-Analytik: ListDatasetContents IoT-Analytik: ListDatasets IoT-Analytik: ListDatastores IoT-Analytik: ListPipelines IoT-Analytik: PutLoggingOptions IoT-Analytik: RunPipelineActivity IoT-Analytik: SampleChannelData IoT-Analytik: StartPipelineReprocessing IoT-Analytik: UpdateChannel IoT-Analytik: UpdateDataset IoT-Analytik: UpdateDatastore IoT-Analytik: UpdatePipeline  | 
| iotdeviceadvisor |  Berater für IoT-Geräte: CreateSuiteDefinition iotdeviceadvisor: DeleteSuiteDefinition iotdeviceadvisor: GetEndpoint iotdeviceadvisor: GetSuiteDefinition iotdeviceadvisor: GetSuiteRun iotdeviceadvisor: GetSuiteRunReport iotdeviceadvisor: ListSuiteDefinitions iotdeviceadvisor: ListSuiteRuns iotdeviceadvisor: StartSuiteRun iotdeviceadvisor: StopSuiteRun iotdeviceadvisor: UpdateSuiteDefinition  | 
| iotevents |  IoT-Ereignisse: BatchAcknowledgeAlarm ioereignisse: BatchDeleteDetector ioereignisse: BatchDisableAlarm ioereignisse: BatchEnableAlarm ioereignisse: BatchResetAlarm ioereignisse: BatchSnoozeAlarm ioereignisse: BatchUpdateDetector ioereignisse: CreateAlarmModel ioereignisse: CreateDetectorModel ioereignisse: CreateInput ioereignisse: DeleteAlarmModel ioereignisse: DeleteDetectorModel ioereignisse: DeleteInput ioereignisse: DescribeAlarm ioereignisse: DescribeAlarmModel ioereignisse: DescribeDetector ioereignisse: DescribeDetectorModel ioereignisse: DescribeDetectorModelAnalysis ioereignisse: DescribeInput ioereignisse: DescribeLoggingOptions ioereignisse: GetDetectorModelAnalysisResults ioereignisse: ListAlarmModelVersions ioereignisse: ListAlarmModels ioereignisse: ListAlarms ioereignisse: ListDetectorModelVersions ioereignisse: ListDetectorModels ioereignisse: ListDetectors ioereignisse: ListInputRoutings ioereignisse: ListInputs ioereignisse: PutLoggingOptions ioereignisse: StartDetectorModelAnalysis ioereignisse: UpdateAlarmModel ioereignisse: UpdateDetectorModel ioereignisse: UpdateInput  | 
| iotfleethub |  iotfleethub: CreateApplication iotfleethub: DeleteApplication iotfleethub: DescribeApplication iotfleethub: ListApplications iotfleethub: UpdateApplication  | 
| iotsitewise |  iot-siteseitig: AssociateAssets iotsitweise: AssociateTimeSeriesToAssetProperty iotsitweise: BatchAssociateProjectAssets iotsitweise: BatchDisassociateProjectAssets iotsitweise: CreateAccessPolicy iotsitweise: CreateAsset iotsitweise: CreateAssetModel iotsitweise: CreateAssetModelCompositeModel iotsitweise: CreateBulkImportJob iotsitweise: CreateComputationModel iotsitweise: CreateDashboard iotsitweise: CreateDataset iotsitweise: CreateGateway iotsitweise: CreatePortal iotsitweise: CreateProject iotsitweise: DeleteAccessPolicy iotsitweise: DeleteAsset iotsitweise: DeleteAssetModel iotsitweise: DeleteAssetModelCompositeModel iotsitweise: DeleteComputationModel iotsitweise: DeleteDashboard iotsitweise: DeleteDataset iotsitweise: DeleteGateway iotsitweise: DeletePortal iotsitweise: DeleteProject iotsitweise: DeleteTimeSeries iotsitweise: DescribeAccessPolicy iotsitweise: DescribeAsset iotsitweise: DescribeAssetCompositeModel iotsitweise: DescribeAssetModel iotsitweise: DescribeAssetModelCompositeModel iotsitweise: DescribeAssetModelInterfaceRelationship iotsitweise: DescribeAssetProperty iotsitweise: DescribeBulkImportJob iotsitweise: DescribeComputationModel iotsitweise: DescribeComputationModelExecutionSummary iotsitweise: DescribeDashboard iotsitweise: DescribeDataset iotsitweise: DescribeDefaultEncryptionConfiguration iotsitweise: DescribeExecution iotsitweise: DescribeGateway iotsitweise: DescribeGatewayCapabilityConfiguration iotsitweise: DescribeLoggingOptions iotsitweise: DescribePortal iotsitweise: DescribeProject iotsitweise: DescribeStorageConfiguration iotsitweise: DescribeTimeSeries iotsitweise: DisassociateAssets iotsitweise: DisassociateTimeSeriesFromAssetProperty iotsitweise: ExecuteAction iotsitweise: ExecuteQuery iotsitweise: ListAccessPolicies iotsitweise: ListActions iotsitweise: ListAssetModelCompositeModels iotsitweise: ListAssetModelProperties iotsitweise: ListAssetModels iotsitweise: ListAssetProperties iotsitweise: ListAssetRelationships iotsitweise: ListAssets iotsitweise: ListAssociatedAssets iotsitweise: ListBulkImportJobs iotsitweise: ListCompositionRelationships iotsitweise: ListComputationModelDataBindingUsages iotsitweise: ListComputationModelResolveToResources iotsitweise: ListComputationModels iotsitweise: ListDashboards iotsitweise: ListDatasets iotsitweise: ListExecutions iotsitweise: ListGateways iotsitweise: ListInterfaceRelationships iotsitweise: ListPortals iotsitweise: ListProjectAssets iotsitweise: ListProjects iotsitweise: ListTimeSeries iotsitweise: PutDefaultEncryptionConfiguration iotsitweise: PutLoggingOptions iotsitweise: PutStorageConfiguration iotsitweise: UpdateAccessPolicy iotsitweise: UpdateAsset iotsitweise: UpdateAssetModel iotsitweise: UpdateAssetModelCompositeModel iotsitweise: UpdateAssetProperty iotsitweise: UpdateComputationModel iotsitweise: UpdateDashboard iotsitweise: UpdateDataset iotsitweise: UpdateGateway iotsitweise: UpdateGatewayCapabilityConfiguration iotsitweise: UpdatePortal iotsitweise: UpdateProject  | 
| iottwinmaker |  iottwinmaker: CancelMetadataTransferJob iottwinmaker: CreateComponentType iottwinmaker: CreateEntity iottwinmaker: CreateMetadataTransferJob iottwinmaker: CreateScene iottwinmaker: CreateSyncJob iottwinmaker: CreateWorkspace iottwinmaker: DeleteComponentType iottwinmaker: DeleteEntity iottwinmaker: DeleteScene iottwinmaker: DeleteSyncJob iottwinmaker: DeleteWorkspace iottwinmaker: ExecuteQuery iottwinmaker: GetMetadataTransferJob iottwinmaker: GetPricingPlan iottwinmaker: GetScene iottwinmaker: GetSyncJob iottwinmaker: ListComponentTypes iottwinmaker: ListComponents iottwinmaker: ListEntities iottwinmaker: ListMetadataTransferJobs iottwinmaker: ListProperties iottwinmaker: ListScenes iottwinmaker: ListSyncJobs iottwinmaker: ListSyncResources iottwinmaker: ListWorkspaces iottwinmaker: UpdateComponentType iottwinmaker: UpdateEntity iottwinmaker: UpdatePricingPlan iottwinmaker: UpdateScene iottwinmaker: UpdateWorkspace  | 
| iotwireless |  iot drahtlos: AssociateAwsAccountWithPartnerAccount IoT drahtlos: AssociateMulticastGroupWithFuotaTask IoT drahtlos: AssociateWirelessDeviceWithFuotaTask IoT drahtlos: AssociateWirelessDeviceWithMulticastGroup IoT drahtlos: AssociateWirelessDeviceWithThing IoT drahtlos: AssociateWirelessGatewayWithCertificate IoT drahtlos: AssociateWirelessGatewayWithThing IoT drahtlos: CancelMulticastGroupSession IoT drahtlos: CreateDestination IoT drahtlos: CreateDeviceProfile IoT drahtlos: CreateFuotaTask IoT drahtlos: CreateMulticastGroup IoT drahtlos: CreateNetworkAnalyzerConfiguration IoT drahtlos: CreateServiceProfile IoT drahtlos: CreateWirelessDevice IoT drahtlos: CreateWirelessGateway IoT drahtlos: CreateWirelessGatewayTask IoT drahtlos: CreateWirelessGatewayTaskDefinition IoT drahtlos: DeleteDestination IoT drahtlos: DeleteDeviceProfile IoT drahtlos: DeleteFuotaTask IoT drahtlos: DeleteMulticastGroup IoT drahtlos: DeleteNetworkAnalyzerConfiguration IoT drahtlos: DeleteQueuedMessages IoT drahtlos: DeleteServiceProfile IoT drahtlos: DeleteWirelessDevice IoT drahtlos: DeleteWirelessDeviceImportTask iot drahtlos: DeleteWirelessGateway iot drahtlos: DeleteWirelessGatewayTask iot drahtlos: DeleteWirelessGatewayTaskDefinition iot drahtlos: DeregisterWirelessDevice iot drahtlos: DisassociateAwsAccountFromPartnerAccount iot drahtlos: DisassociateMulticastGroupFromFuotaTask iot drahtlos: DisassociateWirelessDeviceFromFuotaTask iot drahtlos: DisassociateWirelessDeviceFromMulticastGroup iot drahtlos: DisassociateWirelessDeviceFromThing iot drahtlos: DisassociateWirelessGatewayFromCertificate iot drahtlos: DisassociateWirelessGatewayFromThing iot drahtlos: GetDestination iot drahtlos: GetDeviceProfile iot drahtlos: GetEventConfigurationByResourceTypes iot drahtlos: GetFuotaTask iot drahtlos: GetLogLevelsByResourceTypes iot drahtlos: GetMetricConfiguration iot drahtlos: GetMetrics iot drahtlos: GetMulticastGroup iot drahtlos: GetMulticastGroupSession iot drahtlos: GetNetworkAnalyzerConfiguration iot drahtlos: GetPartnerAccount iot drahtlos: GetPosition iot drahtlos: GetPositionConfiguration iot drahtlos: GetPositionEstimate iot drahtlos: GetResourceEventConfiguration iot drahtlos: GetResourceLogLevel iot drahtlos: GetResourcePosition iot drahtlos: GetServiceEndpoint iot drahtlos: GetServiceProfile iot drahtlos: GetWirelessDevice iot drahtlos: GetWirelessDeviceImportTask iot drahtlos: GetWirelessDeviceStatistics iot drahtlos: GetWirelessGateway iot drahtlos: GetWirelessGatewayCertificate iot drahtlos: GetWirelessGatewayFirmwareInformation iot drahtlos: GetWirelessGatewayStatistics iot drahtlos: GetWirelessGatewayTask iot drahtlos: GetWirelessGatewayTaskDefinition iot drahtlos: ListDestinations iot drahtlos: ListDeviceProfiles iot drahtlos: ListDevicesForWirelessDeviceImportTask iot drahtlos: ListEventConfigurations iot drahtlos: ListFuotaTasks iot drahtlos: ListMulticastGroups iot drahtlos: ListMulticastGroupsByFuotaTask iot drahtlos: ListNetworkAnalyzerConfigurations iot drahtlos: ListPartnerAccounts iot drahtlos: ListPositionConfigurations iot drahtlos: ListQueuedMessages iot drahtlos: ListServiceProfiles iot drahtlos: ListWirelessDeviceImportTasks iot drahtlos: ListWirelessDevices iot drahtlos: ListWirelessGatewayTaskDefinitions iot drahtlos: ListWirelessGateways iot drahtlos: PutPositionConfiguration iot drahtlos: PutResourceLogLevel iot drahtlos: ResetAllResourceLogLevels iot drahtlos: ResetResourceLogLevel iot drahtlos: SendDataToMulticastGroup iot drahtlos: SendDataToWirelessDevice iot drahtlos: StartBulkAssociateWirelessDeviceWithMulticastGroup iot drahtlos: StartBulkDisassociateWirelessDeviceFromMulticastGroup iot drahtlos: StartFuotaTask iot drahtlos: StartMulticastGroupSession iot drahtlos: StartNetworkAnalyzerStream iot drahtlos: StartSingleWirelessDeviceImportTask iot drahtlos: StartWirelessDeviceImportTask iot drahtlos: TestWirelessDevice iot drahtlos: UpdateDestination iot drahtlos: UpdateEventConfigurationByResourceTypes iot drahtlos: UpdateFuotaTask iot drahtlos: UpdateLogLevelsByResourceTypes iot drahtlos: UpdateMetricConfiguration iot drahtlos: UpdateMulticastGroup iot drahtlos: UpdateNetworkAnalyzerConfiguration iot drahtlos: UpdatePartnerAccount iot drahtlos: UpdatePosition iot drahtlos: UpdateResourceEventConfiguration iot drahtlos: UpdateResourcePosition iot drahtlos: UpdateWirelessDevice iot drahtlos: UpdateWirelessDeviceImportTask iot drahtlos: UpdateWirelessGateway  | 
| ivs |  ivs: BatchGetChannel ivs: BatchGetStreamKey ivs: BatchStartViewerSessionRevocation ivs: CreateChannel ivs: CreateEncoderConfiguration ivs: CreateIngestConfiguration ivs: CreateParticipantToken ivs: CreatePlaybackRestrictionPolicy ivs: CreateRecordingConfiguration ivs: CreateStorageConfiguration ivs: CreateStreamKey ivs: DeleteChannel ivs: DeleteEncoderConfiguration ivs: DeleteIngestConfiguration ivs: DeletePlaybackKeyPair ivs: DeletePlaybackRestrictionPolicy ivs: DeletePublicKey ivs: DeleteRecordingConfiguration ivs: DeleteStorageConfiguration ivs: DeleteStreamKey ivs: DisconnectParticipant ivs: GetChannel ivs: GetComposition ivs: GetEncoderConfiguration ivs: GetIngestConfiguration ivs: GetParticipant ivs: GetPlaybackKeyPair ivs: GetPlaybackRestrictionPolicy ivs: GetPublicKey ivs: GetRecordingConfiguration ivs: GetStorageConfiguration ivs: GetStream ivs: GetStreamKey ivs: GetStreamSession ivs: ImportPlaybackKeyPair ivs: ImportPublicKey ivs: ListChannels ivs: ListCompositions ivs: ListEncoderConfigurations ivs: ListIngestConfigurations ivs: ListParticipantEvents ivs: ListParticipantReplicas ivs: ListParticipants ivs: ListPlaybackKeyPairs ivs: ListPlaybackRestrictionPolicies ivs: ListPublicKeys ivs: ListRecordingConfigurations ivs: ListStorageConfigurations ivs: ListStreamKeys ivs: ListStreamSessions ivs: ListStreams ivs: PutMetadata ivs: StartComposition ivs: StartViewerSessionRevocation ivs: StopComposition ivs: StopStream ivs: UpdateChannel ivs: UpdateIngestConfiguration ivs: UpdatePlaybackRestrictionPolicy  | 
| ivschat |  ivschat: CreateChatToken ivschat: CreateLoggingConfiguration ivschat: CreateRoom ivschat: DeleteLoggingConfiguration ivschat: DeleteMessage ivschat: DeleteRoom ivschat: DisconnectUser ivschat: GetLoggingConfiguration ivschat: GetRoom ivschat: ListLoggingConfigurations ivschat: ListRooms ivschat: SendEvent ivschat: UpdateLoggingConfiguration ivschat: UpdateRoom  | 
| kafka |  Kafka: BatchAssociateScramSecret Kafka: BatchDisassociateScramSecret Kafka: CreateCluster Kafka: V2 CreateCluster Kafka: CreateConfiguration Kafka: CreateReplicator Kafka: CreateVpcConnection Kafka: DeleteCluster Kafka: DeleteClusterPolicy Kafka: DeleteConfiguration Kafka: DeleteReplicator Kafka: DeleteVpcConnection Kafka: DescribeCluster Kafka: DescribeClusterOperation Kafka: V2 DescribeClusterOperation Kafka: V2 DescribeCluster Kafka: DescribeConfiguration Kafka: DescribeConfigurationRevision Kafka: DescribeVpcConnection Kafka: GetBootstrapBrokers Kafka: GetClusterPolicy Kafka: GetCompatibleKafkaVersions Kafka: ListClientVpcConnections Kafka: ListClusterOperations Kafka: V2 ListClusterOperations Kafka: ListClusters Kafka: V2 ListClusters Kafka: ListConfigurationRevisions Kafka: ListConfigurations Kafka: ListKafkaVersions Kafka: ListNodes Kafka: ListReplicators Kafka: ListScramSecrets Kafka: ListVpcConnections Kafka: PutClusterPolicy Kafka: RebootBroker Kafka: RejectClientVpcConnection Kafka: UpdateBrokerCount Kafka: UpdateBrokerStorage Kafka: UpdateBrokerType Kafka: UpdateClusterConfiguration Kafka: UpdateClusterKafkaVersion Kafka: UpdateConfiguration Kafka: UpdateConnectivity Kafka: UpdateMonitoring Kafka: UpdateRebalancing Kafka: UpdateReplicationInfo Kafka: UpdateSecurity Kafka: UpdateStorage  | 
| kafkaconnect |  kafka verbinden: CreateConnector kafkaconnect: CreateCustomPlugin kafkaconnect: CreateWorkerConfiguration kafkaconnect: DeleteConnector kafkaconnect: DeleteCustomPlugin kafkaconnect: DeleteWorkerConfiguration kafkaconnect: DescribeConnector kafkaconnect: DescribeCustomPlugin kafkaconnect: DescribeWorkerConfiguration kafkaconnect: ListConnectorOperations kafkaconnect: ListConnectors kafkaconnect: ListCustomPlugins kafkaconnect: ListWorkerConfigurations kafkaconnect: UpdateConnector  | 
| kendra |  Kendra: AssociateEntitiesToExperience Kendra: AssociatePersonasToEntities Kendra: BatchDeleteDocument Kendra: BatchDeleteFeaturedResultsSet Kendra: BatchGetDocumentStatus Kendra: BatchPutDocument Kendra: ClearQuerySuggestions Kendra: CreateAccessControlConfiguration Kendra: CreateDataSource Kendra: CreateExperience Kendra: CreateFaq Kendra: CreateFeaturedResultsSet Kendra: CreateIndex Kendra: CreateQuerySuggestionsBlockList Kendra: CreateThesaurus Kendra: DeleteDataSource Kendra: DeleteExperience Kendra: DeleteFaq Kendra: DeleteIndex Kendra: DeletePrincipalMapping Kendra: DeleteQuerySuggestionsBlockList Kendra: DeleteThesaurus Kendra: DescribeAccessControlConfiguration Kendra: DescribeDataSource Kendra: DescribeExperience Kendra: DescribeFaq Kendra: DescribeFeaturedResultsSet Kendra: DescribeIndex Kendra: DescribePrincipalMapping Kendra: DescribeQuerySuggestionsBlockList Kendra: DescribeQuerySuggestionsConfig Kendra: DescribeThesaurus Kendra: DisassociateEntitiesFromExperience Kendra: DisassociatePersonasFromEntities Kendra: GetQuerySuggestions Kendra: GetSnapshots Kendra: ListAccessControlConfigurations Kendra: ListDataSourceSyncJobs Kendra: ListDataSources Kendra: ListEntityPersonas Kendra: ListExperienceEntities Kendra: ListExperiences Kendra: ListFaqs Kendra: ListFeaturedResultsSets Kendra: ListGroupsOlderThanOrderingId Kendra: ListIndices Kendra: ListQuerySuggestionsBlockLists Kendra: ListThesauri Kendra: PutPrincipalMapping kendra:Query kendra:Retrieve Kendra: StartDataSourceSyncJob Kendra: StopDataSourceSyncJob Kendra: SubmitFeedback Kendra: UpdateDataSource Kendra: UpdateExperience Kendra: UpdateFeaturedResultsSet Kendra: UpdateIndex Kendra: UpdateQuerySuggestionsBlockList Kendra: UpdateQuerySuggestionsConfig Kendra: UpdateThesaurus  | 
| kinesis |  Kinese: CreateStream Kinese: DecreaseStreamRetentionPeriod Kinese: DeleteStream Kinese: DeregisterStreamConsumer Kinese: DescribeAccountSettings Kinese: DescribeLimits Kinese: DescribeStream Kinese: DescribeStreamConsumer Kinese: DescribeStreamSummary Kinese: DisableEnhancedMonitoring Kinese: EnableEnhancedMonitoring Kinese: IncreaseStreamRetentionPeriod Kinese: ListShards Kinese: ListStreamConsumers Kinese: ListStreams Kinese: MergeShards Kinese: RegisterStreamConsumer Kinese: SplitShard Kinese: StartStreamEncryption Kinese: StopStreamEncryption Kinese: UpdateAccountSettings Kinese: UpdateShardCount Kinese: UpdateStreamMode  | 
| kinesisanalytics |  Kinesis-Analytik: AddApplicationCloudWatchLoggingOption Kinesis-Analytik: AddApplicationInput Kinesis-Analytik: AddApplicationInputProcessingConfiguration Kinesis-Analytik: AddApplicationOutput Kinesis-Analytik: AddApplicationReferenceDataSource Kinesis-Analytik: AddApplicationVpcConfiguration Kinesis-Analytik: CreateApplication Kinesis-Analytik: CreateApplicationPresignedUrl Kinesis-Analytik: CreateApplicationSnapshot Kinesis-Analytik: DeleteApplication Kinesis-Analytik: DeleteApplicationCloudWatchLoggingOption Kinesis-Analytik: DeleteApplicationInputProcessingConfiguration Kinesis-Analytik: DeleteApplicationOutput Kinesis-Analytik: DeleteApplicationReferenceDataSource Kinesis-Analytik: DeleteApplicationSnapshot Kinesis-Analytik: DeleteApplicationVpcConfiguration Kinesis-Analytik: DescribeApplication Kinesis-Analytik: DescribeApplicationOperation Kinesis-Analytik: DescribeApplicationSnapshot Kinesis-Analytik: DescribeApplicationVersion Kinesis-Analytik: DiscoverInputSchema Kinesis-Analytik: ListApplicationOperations Kinesis-Analytik: ListApplicationSnapshots Kinesis-Analytik: ListApplicationVersions Kinesis-Analytik: ListApplications Kinesis-Analytik: RollbackApplication Kinesis-Analytik: StartApplication Kinesis-Analytik: StopApplication Kinesis-Analytik: UpdateApplication Kinesis-Analytik: UpdateApplicationMaintenanceConfiguration  | 
| kms |  km: CancelKeyDeletion km: ConnectCustomKeyStore km: CreateAlias km: CreateCustomKeyStore km: CreateGrant km: CreateKey kms:Decrypt km: DeleteAlias km: DeleteCustomKeyStore km: DeleteImportedKeyMaterial km: DeriveSharedSecret km: DescribeCustomKeyStores km: DescribeKey km: DisableKey km: DisableKeyRotation km: DisconnectCustomKeyStore km: EnableKey km: EnableKeyRotation kms:Encrypt km: GenerateDataKey km: GenerateDataKeyPair km: GenerateDataKeyPairWithoutPlaintext km: GenerateDataKeyWithoutPlaintext km: GenerateMac km: GenerateRandom km: GetKeyPolicy km: GetKeyRotationStatus km: GetParametersForImport km: GetPublicKey km: ImportKeyMaterial km: ListAliases km: ListGrants km: ListKeyPolicies km: ListKeyRotations km: ListKeys km: ListRetirableGrants km: ReplicateKey km: RetireGrant km: RevokeGrant km: RotateKeyOnDemand km: ScheduleKeyDeletion kms:Sign km: UpdateAlias km: UpdateCustomKeyStore km: UpdateKeyDescription km: UpdatePrimaryRegion kms:Verify km: VerifyMac  | 
| Lambda |  Lambda: AddLayerVersionPermission Lambda: AddPermission Lambda: CreateAlias Lambda: CreateCodeSigningConfig Lambda: CreateEventSourceMapping Lambda: CreateFunction Lambda: CreateFunctionUrlConfig Lambda: DeleteAlias Lambda: DeleteCapacityProvider Lambda: DeleteCodeSigningConfig Lambda: DeleteEventSourceMapping Lambda: DeleteFunction Lambda: DeleteFunctionCodeSigningConfig Lambda: DeleteFunctionConcurrency Lambda: DeleteFunctionEventInvokeConfig Lambda: DeleteFunctionUrlConfig Lambda: DeleteLayerVersion Lambda: DeleteProvisionedConcurrencyConfig Lambda: GetAccountSettings Lambda: GetAlias Lambda: GetCapacityProvider Lambda: GetCodeSigningConfig Lambda: GetEventSourceMapping Lambda: GetFunction Lambda: GetFunctionCodeSigningConfig Lambda: GetFunctionConcurrency Lambda: GetFunctionConfiguration Lambda: GetFunctionEventInvokeConfig Lambda: GetFunctionRecursionConfig Lambda: GetFunctionScalingConfig Lambda: GetFunctionUrlConfig Lambda: GetLayerVersion Lambda: GetLayerVersionPolicy Lambda: GetPolicy Lambda: GetProvisionedConcurrencyConfig Lambda: GetRuntimeManagementConfig Lambda: ListAliases Lambda: ListCapacityProviders Lambda: ListCodeSigningConfigs Lambda: ListDurableExecutionsByFunction Lambda: ListEventSourceMappings Lambda: ListFunctionEventInvokeConfigs Lambda: ListFunctionUrlConfigs Lambda: ListFunctions Lambda: ListFunctionsByCodeSigningConfig Lambda: ListLayerVersions Lambda: ListLayers Lambda: ListProvisionedConcurrencyConfigs Lambda: ListVersionsByFunction Lambda: PublishLayerVersion Lambda: PublishVersion Lambda: PutFunctionCodeSigningConfig Lambda: PutFunctionConcurrency Lambda: PutFunctionEventInvokeConfig Lambda: PutFunctionRecursionConfig Lambda: PutFunctionScalingConfig Lambda: PutProvisionedConcurrencyConfig Lambda: PutRuntimeManagementConfig Lambda: RemoveLayerVersionPermission Lambda: RemovePermission Lambda: UpdateAlias Lambda: UpdateCapacityProvider Lambda: UpdateCodeSigningConfig Lambda: UpdateEventSourceMapping Lambda: UpdateFunctionCode Lambda: UpdateFunctionConfiguration Lambda: UpdateFunctionEventInvokeConfig Lambda: UpdateFunctionUrlConfig  | 
| lex |  Lex: BatchCreateCustomVocabularyItem Lex: BatchDeleteCustomVocabularyItem Lex: BatchUpdateCustomVocabularyItem Lex: BuildBotLocale Lex: CreateBotAlias Lex: CreateBotReplica Lex: CreateBotVersion Lex: CreateExport Lex: CreateIntentVersion Lex: CreateResourcePolicy Lex: CreateSlotTypeVersion Lex: CreateTestSetDiscrepancyReport Lex: CreateUploadUrl Lex: DeleteBot Lex: DeleteBotChannelAssociation Lex: DeleteBotReplica Lex: DeleteExport Lex: DeleteImport Lex: DeleteIntentVersion Lex: DeleteResourcePolicy Lex: DeleteSlotTypeVersion Lex: DeleteTestSet Lex: DeleteUtterances Lex: DescribeBotAlias Lex: DescribeBotRecommendation Lex: DescribeBotReplica Lex: DescribeBotResourceGeneration Lex: DescribeBotVersion Lex: DescribeCustomVocabularyMetadata Lex: DescribeExport Lex: DescribeImport Lex: DescribeResourcePolicy Lex: DescribeTestExecution Lex: DescribeTestSet Lex: DescribeTestSetDiscrepancyReport Lex: DescribeTestSetGeneration Lex: GenerateBotElement Lex: GetBot Lex: GetBotAlias Lex: GetBotAliases Lex: GetBotChannelAssociation Lex: GetBotChannelAssociations Lex: GetBotVersions Lex: GetBots Lex: GetBuiltinIntent Lex: GetBuiltinIntents Lex: GetBuiltinSlotTypes Lex: GetExport Lex: GetImport Lex: GetIntent Lex: GetIntentVersions Lex: GetIntents Alex: GetMigration Alex: GetMigrations Alex: GetSlotType Alex: GetSlotTypeVersions Alex: GetSlotTypes Alex: GetTestExecutionArtifactsUrl Alex: GetUtterancesView Alex: ListBotAliasReplicas Alex: ListBotAliases Alex: ListBotRecommendations Alex: ListBotReplicas Alex: ListBotResourceGenerations Alex: ListBotVersionReplicas Alex: ListBotVersions Alex: ListBots Alex: ListBuiltInIntents Alex: ListBuiltInSlotTypes Alex: ListCustomVocabularyItems Alex: ListExports Alex: ListImports Alex: ListIntentMetrics Alex: ListIntentPaths Alex: ListRecommendedIntents Alex: ListSessionAnalyticsData Alex: ListSessionMetrics Alex: ListTestExecutionResultItems Alex: ListTestExecutions Alex: ListTestSets Alex: PutBot Alex: PutBotAlias Alex: PutIntent Alex: PutSlotType Alex: SearchAssociatedTranscripts Alex: StartBotRecommendation Alex: StartImport Alex: StartMigration Alex: StartTestExecution Alex: StartTestSetGeneration Alex: StopBotRecommendation Alex: UpdateBotAlias Alex: UpdateBotRecommendation Alex: UpdateExport Alex: UpdateResourcePolicy  | 
| license-manager-linux-subscriptions |  license-manager-linux-subscriptions:DeregisterSubscriptionProvider license-manager-linux-subscriptions:GetRegisteredSubscriptionProvider license-manager-linux-subscriptions:GetServiceSettings license-manager-linux-subscriptions:ListLinuxSubscriptionInstances license-manager-linux-subscriptions:ListLinuxSubscriptions license-manager-linux-subscriptions:ListRegisteredSubscriptionProviders license-manager-linux-subscriptions:RegisterSubscriptionProvider license-manager-linux-subscriptions:UpdateServiceSettings  | 
| lightsail |  Lichtsegel: AllocateStaticIp Lichtsegel: AttachCertificateToDistribution Lichtsegel: AttachDisk Lichtsegel: AttachInstancesToLoadBalancer Lichtsegel: AttachLoadBalancerTlsCertificate Lichtsegel: AttachStaticIp Lichtsegel: CloseInstancePublicPorts Lichtsegel: CopySnapshot Lichtsegel: CreateBucket Lichtsegel: CreateBucketAccessKey Lichtsegel: CreateCertificate Lichtsegel: CreateCloudFormationStack Lichtsegel: CreateContactMethod Lichtsegel: CreateContainerService Lichtsegel: CreateContainerServiceDeployment Lichtsegel: CreateContainerServiceRegistryLogin Lichtsegel: CreateDisk Lichtsegel: CreateDiskFromSnapshot Lichtsegel: CreateDiskSnapshot Lichtsegel: CreateDistribution Lichtsegel: CreateDomain Lichtsegel: erstellen GUISession AccessDetails Lichtsegel: CreateInstanceSnapshot Lichtsegel: CreateInstances Lichtsegel: CreateInstancesFromSnapshot Lichtsegel: CreateKeyPair Lichtsegel: CreateLoadBalancer Lichtsegel: CreateLoadBalancerTlsCertificate Lichtsegel: CreateRelationalDatabase Lichtsegel: CreateRelationalDatabaseFromSnapshot Lichtsegel: CreateRelationalDatabaseSnapshot Lichtsegel: DeleteAlarm Lichtsegel: DeleteAutoSnapshot Lichtsegel: DeleteBucket Lichtsegel: DeleteBucketAccessKey Lichtsegel: DeleteCertificate Lichtsegel: DeleteContactMethod Lichtsegel: DeleteContainerImage Lichtsegel: DeleteContainerService Lichtsegel: DeleteDisk Lichtsegel: DeleteDiskSnapshot Lichtsegel: DeleteDistribution Lichtsegel: DeleteDomain Lichtsegel: DeleteDomainEntry Lichtsegel: DeleteInstance Lichtsegel: DeleteInstanceSnapshot Lichtsegel: DeleteKeyPair Lichtsegel: DeleteKnownHostKeys Lichtsegel: DeleteLoadBalancer Lichtsegel: DeleteLoadBalancerTlsCertificate Lichtsegel: DeleteRelationalDatabase Lichtsegel: DeleteRelationalDatabaseSnapshot Lichtsegel: DetachCertificateFromDistribution Lichtsegel: DetachDisk Lichtsegel: DetachInstancesFromLoadBalancer Lichtsegel: DetachStaticIp Lichtsegel: DisableAddOn Lichtsegel: DownloadDefaultKeyPair Lichtsegel: EnableAddOn Lichtsegel: ExportSnapshot Lichtsegel: GetActiveNames Lichtsegel: GetAlarms Lichtsegel: GetAutoSnapshots Lichtsegel: GetBlueprints Lichtsegel: GetBucketAccessKeys Lichtsegel: GetBucketBundles Lichtsegel: GetBucketMetricData Lichtsegel: GetBuckets Lichtsegel: GetBundles Lichtsegel: GetCertificates Lichtsegel: GetCloudFormationStackRecords Lichtsegel: GetContactMethods Lichtsegel: GetContainer APIMetadata Lichtsegel: GetContainerImages Lichtsegel: GetContainerLog Lichtsegel: GetContainerServiceDeployments Lichtsegel: GetContainerServiceMetricData Lichtsegel: GetContainerServicePowers Lichtsegel: GetContainerServices Lichtsegel: GetCostEstimate Lichtsegel: GetDisk Lichtsegel: GetDiskSnapshot Lichtsegel: GetDiskSnapshots Lichtsegel: GetDisks Lichtsegel: GetDistributionBundles Lichtsegel: GetDistributionLatestCacheReset Lichtsegel: GetDistributionMetricData Lichtsegel: GetDistributions Lichtsegel: GetDomain Lichtsegel: GetExportSnapshotRecords Lichtsegel: GetInstance Lichtsegel: GetInstanceMetricData Lichtsegel: GetInstancePortStates Lichtsegel: GetInstanceSnapshot Lichtsegel: GetInstanceSnapshots Lichtsegel: GetInstanceState Lichtsegel: GetInstances Lichtsegel: GetKeyPair Lichtsegel: GetKeyPairs Lichtsegel: GetLoadBalancer Lichtsegel: GetLoadBalancerMetricData Lichtsegel: GetLoadBalancerTlsCertificates Lichtsegel: GetLoadBalancerTlsPolicies Lichtsegel: GetLoadBalancers Lichtsegel: GetOperation Lichtsegel: GetOperations Lichtsegel: GetOperationsForResource Lichtsegel: GetRegions Lichtsegel: GetRelationalDatabase Lichtsegel: GetRelationalDatabaseBlueprints Lichtsegel: GetRelationalDatabaseBundles Lichtsegel: GetRelationalDatabaseEvents Lichtsegel: GetRelationalDatabaseLogEvents Lichtsegel: GetRelationalDatabaseLogStreams Lichtsegel: GetRelationalDatabaseMasterUserPassword Lichtsegel: GetRelationalDatabaseMetricData Lichtsegel: GetRelationalDatabaseParameters Lichtsegel: GetRelationalDatabaseSnapshot Lichtsegel: GetRelationalDatabaseSnapshots Lichtsegel: GetRelationalDatabases Lichtsegel: GetSetupHistory Lichtsegel: GetStaticIp Lichtsegel: GetStaticIps Lichtsegel: ImportKeyPair Lichtsegel: IsVpcPeered Lichtsegel: OpenInstancePublicPorts Lichtsegel: PeerVpc Lichtsegel: PutAlarm Lichtsegel: PutInstancePublicPorts Lichtsegel: RebootInstance Lichtsegel: RebootRelationalDatabase Lichtsegel: RegisterContainerImage Lichtsegel: ReleaseStaticIp Lichtsegel: ResetDistributionCache Lichtsegel: SendContactMethodVerification Lichtsegel: SetIpAddressType Lichtsegel: SetResourceAccessForBucket Lichtsegel: SetupInstanceHttps Lichtsegel: Start GUISession Lichtsegel: StartInstance Lichtsegel: StartRelationalDatabase Lichtsegel: Stopp GUISession Lichtsegel: StopInstance Lichtsegel: StopRelationalDatabase Lichtsegel: TestAlarm Lichtsegel: UnpeerVpc Lichtsegel: UpdateBucket Lichtsegel: UpdateBucketBundle Lichtsegel: UpdateContainerService Lichtsegel: UpdateDistribution Lichtsegel: UpdateDistributionBundle Lichtsegel: UpdateDomainEntry Lichtsegel: UpdateInstanceMetadataOptions Lichtsegel: UpdateLoadBalancerAttribute Lichtsegel: UpdateRelationalDatabase Lichtsegel: UpdateRelationalDatabaseParameters  | 
| Protokolle |  Protokolle: AssociateKmsKey Protokolle: AssociateSourceTo S3 TableIntegration Protokolle: CancelExportTask Protokolle: CancelImportTask Protokolle: CreateDelivery Protokolle: CreateExportTask Protokolle: CreateLogAnomalyDetector Protokolle: CreateLogGroup Protokolle: CreateLogStream Protokolle: DeleteDataProtectionPolicy Protokolle: DeleteDelivery Protokolle: DeleteDeliveryDestination Protokolle: DeleteDeliveryDestinationPolicy Protokolle: DeleteDeliverySource Protokolle: DeleteDestination Protokolle: DeleteIndexPolicy Protokolle: DeleteIntegration Protokolle: DeleteLogAnomalyDetector Protokolle: DeleteLogGroup Protokolle: DeleteLogStream Protokolle: DeleteMetricFilter Protokolle: DeleteQueryDefinition Protokolle: DeleteResourcePolicy Protokolle: DeleteRetentionPolicy Protokolle: DeleteScheduledQuery Protokolle: DeleteSubscriptionFilter Protokolle: DeleteTransformer Protokolle: DescribeAccountPolicies Protokolle: DescribeConfigurationTemplates Protokolle: DescribeDeliveries Protokolle: DescribeDeliveryDestinations Protokolle: DescribeDeliverySources Protokolle: DescribeDestinations Protokolle: DescribeExportTasks Protokolle: DescribeFieldIndexes Protokolle: DescribeImportTaskBatches Protokolle: DescribeImportTasks Protokolle: DescribeIndexPolicies Protokolle: DescribeLogGroups Protokolle: DescribeLogStreams Protokolle: DescribeMetricFilters Protokolle: DescribeQueries Protokolle: DescribeQueryDefinitions Protokolle: DescribeResourcePolicies Protokolle: DescribeSubscriptionFilters Protokolle: DisassociateKmsKey Protokolle: DisassociateSourceFrom S3 TableIntegration Protokolle: GetDataProtectionPolicy Protokolle: GetDelivery Protokolle: GetDeliveryDestination Protokolle: GetDeliveryDestinationPolicy Protokolle: GetDeliverySource Protokolle: GetIntegration Protokolle: GetLogAnomalyDetector Protokolle: GetLogFields Protokolle: GetLogGroupFields Protokolle: GetLogRecord Protokolle: GetQueryResults Protokolle: GetScheduledQuery Protokolle: GetScheduledQueryHistory Protokolle: GetTransformer Protokolle: IntegrateWith S3Table Protokolle: ListAnomalies Protokolle: ListIntegrations Protokolle: ListLogAnomalyDetectors Protokolle: ListLogGroupsForQuery Protokolle: ListScheduledQueries Protokolle: ListSourcesFor S3 TableIntegration Protokolle: ProcessWithPipeline Protokolle: PutDataProtectionPolicy Protokolle: PutDeliveryDestination Protokolle: PutDeliveryDestinationPolicy Protokolle: PutDeliverySource Protokolle: PutDestination Protokolle: PutDestinationPolicy Protokolle: PutIndexPolicy Protokolle: PutIntegration Protokolle: PutLogGroupDeletionProtection Protokolle: PutMetricFilter Protokolle: PutQueryDefinition Protokolle: PutResourcePolicy Protokolle: PutRetentionPolicy Protokolle: PutSubscriptionFilter Protokolle: PutTransformer Protokolle: StartLiveTail Protokolle: StartQuery Protokolle: StopQuery Protokolle: TestMetricFilter Protokolle: TestTransformer Protokolle: UpdateAnomaly Protokolle: UpdateDeliveryConfiguration Protokolle: UpdateLogAnomalyDetector  | 
| lookoutequipment |  Ausrüstung ausfindig machen: CreateDataset Ausrüstung zur Aussichtsplattform: CreateInferenceScheduler Ausrüstung zur Aussichtsplattform: CreateLabel Ausrüstung zur Aussichtsplattform: CreateLabelGroup Ausrüstung zur Aussichtsplattform: CreateModel Ausrüstung zur Aussichtsplattform: DeleteDataset Ausrüstung zur Aussichtsplattform: DeleteInferenceScheduler Ausrüstung zur Aussichtsplattform: DeleteLabel Ausrüstung zur Aussichtsplattform: DeleteLabelGroup Ausrüstung zur Aussichtsplattform: DeleteModel Ausrüstung zur Aussichtsplattform: DeleteResourcePolicy Ausrüstung zur Aussichtsplattform: DeleteRetrainingScheduler Ausrüstung zur Aussichtsplattform: DescribeDataIngestionJob Ausrüstung zur Aussichtsplattform: DescribeDataset Ausrüstung zur Aussichtsplattform: DescribeInferenceScheduler Ausrüstung zur Aussichtsplattform: DescribeLabelGroup Ausrüstung zur Aussichtsplattform: DescribeModel Ausrüstung zur Aussichtsplattform: DescribeModelVersion Ausrüstung zur Aussichtsplattform: DescribeResourcePolicy Ausrüstung zur Aussichtsplattform: DescribeRetrainingScheduler lookoutequipment:Describelabel Ausrüstung zur Aussichtsplattform: ImportDataset Ausrüstung zur Aussichtsplattform: ImportModelVersion Ausrüstung zur Aussichtsplattform: ListDataIngestionJobs Ausrüstung zur Aussichtsplattform: ListDatasets Ausrüstung zur Aussichtsplattform: ListInferenceEvents Ausrüstung zur Aussichtsplattform: ListInferenceExecutions Ausrüstung zur Aussichtsplattform: ListInferenceSchedulers Ausrüstung zur Aussichtsplattform: ListLabelGroups Ausrüstung zur Aussichtsplattform: ListLabels Ausrüstung zur Aussichtsplattform: ListModelVersions Ausrüstung zur Aussichtsplattform: ListModels Ausrüstung zur Aussichtsplattform: ListRetrainingSchedulers Ausrüstung zur Aussichtsplattform: ListSensorStatistics Ausrüstung zur Aussichtsplattform: PutResourcePolicy Ausrüstung zur Aussichtsplattform: StartDataIngestionJob Ausrüstung zur Aussichtsplattform: StartInferenceScheduler Ausrüstung zur Aussichtsplattform: StartRetrainingScheduler Ausrüstung zur Aussichtsplattform: StopInferenceScheduler Ausrüstung zur Aussichtsplattform: StopRetrainingScheduler Ausrüstung zur Aussichtsplattform: UpdateActiveModelVersion Ausrüstung zur Aussichtsplattform: UpdateInferenceScheduler Ausrüstung zur Aussichtsplattform: UpdateLabelGroup Ausrüstung zur Aussichtsplattform: UpdateModel Ausrüstung zur Aussichtsplattform: UpdateRetrainingScheduler  | 
| lookoutmetrics |  Lookout-Metriken: ActivateAnomalyDetector Lookout-Metriken: BackTestAnomalyDetector Lookout-Metriken: CreateAlert Lookout-Metriken: CreateAnomalyDetector Lookout-Metriken: CreateMetricSet Lookout-Metriken: DeactivateAnomalyDetector Lookout-Metriken: DeleteAlert Lookout-Metriken: DeleteAnomalyDetector Lookout-Metriken: DescribeAlert Lookout-Metriken: DescribeAnomalyDetectionExecutions Lookout-Metriken: DescribeAnomalyDetector Lookout-Metriken: DescribeMetricSet Lookout-Metriken: DetectMetricSetConfig Lookout-Metriken: GetAnomalyGroup Lookout-Metriken: GetDataQualityMetrics Lookout-Metriken: GetFeedback Lookout-Metriken: GetSampleData Lookout-Metriken: ListAlerts Lookout-Metriken: ListAnomalyDetectors Lookout-Metriken: ListAnomalyGroupRelatedMetrics Lookout-Metriken: ListAnomalyGroupSummaries Lookout-Metriken: ListAnomalyGroupTimeSeries Lookout-Metriken: ListMetricSets Lookout-Metriken: PutFeedback Lookout-Metriken: UpdateAlert Lookout-Metriken: UpdateAnomalyDetector Lookout-Metriken: UpdateMetricSet  | 
| lookoutvision |  Lookoutvision: CreateDataset Lookoutvision: CreateModel Lookoutvision: CreateProject Lookoutvision: DeleteDataset Lookoutvision: DeleteModel Lookoutvision: DeleteProject Lookoutvision: DescribeDataset Lookoutvision: DescribeModel Lookoutvision: DescribeModelPackagingJob Lookoutvision: DescribeProject Lookoutvision: DetectAnomalies Lookoutvision: ListDatasetEntries Lookoutvision: ListModelPackagingJobs Lookoutvision: ListModels Lookoutvision: ListProjects Lookoutvision: StartModel Lookoutvision: StartModelPackagingJob Lookoutvision: StopModel Lookoutvision: UpdateDatasetEntries  | 
| m2 |  m2: CancelBatchJobExecution m2: CreateApplication m2: CreateDataSetExportTask m2: CreateDataSetImportTask m2: CreateDeployment m2: CreateEnvironment m2: DeleteApplication m2: DeleteApplicationFromEnvironment m2: DeleteEnvironment m2: GetApplication m2: GetApplicationVersion m2: GetBatchJobExecution m2: GetDataSetDetails m2: GetDataSetExportTask m2: GetDataSetImportTask m2: GetDeployment m2: GetEnvironment m2: GetSignedBluinsightsUrl m2: ListApplicationVersions m2: ListApplications m2: ListBatchJobDefinitions m2: ListBatchJobExecutions m2: ListBatchJobRestartPoints m2: ListDataSetExportHistory m2: ListDataSetImportHistory m2: ListDataSets m2: ListDeployments m2: ListEngineVersions m2: ListEnvironments m2: StartApplication m2: StartBatchJob m2: StopApplication m2: UpdateApplication m2: UpdateEnvironment  | 
| managedblockchain |  verwaltete Blockchain: CreateAccessor verwaltete Blockchain: CreateMember verwaltete Blockchain: CreateNetwork verwaltete Blockchain: CreateNode verwaltete Blockchain: CreateProposal verwaltete Blockchain: DeleteAccessor verwaltete Blockchain: DeleteMember verwaltete Blockchain: DeleteNode verwaltete Blockchain: GetAccessor verwaltete Blockchain: GetMember verwaltete Blockchain: GetNetwork verwaltete Blockchain: GetNode verwaltete Blockchain: GetProposal verwaltete Blockchain: InvokeRpcPolygonMainnet verwaltete Blockchain: InvokeRpcPolygonMumbaiTestnet verwaltete Blockchain: ListAccessors verwaltete Blockchain: ListInvitations verwaltete Blockchain: ListMembers verwaltete Blockchain: ListNetworks verwaltete Blockchain: ListNodes verwaltete Blockchain: ListProposalVotes verwaltete Blockchain: ListProposals verwaltete Blockchain: RejectInvitation verwaltete Blockchain: UpdateMember verwaltete Blockchain: UpdateNode verwaltete Blockchain: VoteOnProposal  | 
| mediaconnect |  Medienverbindung: AddBridgeOutputs mediakonteken: AddBridgeSources mediakonteken: AddFlowMediaStreams mediakonteken: AddFlowOutputs mediakonteken: AddFlowSources mediakonteken: AddFlowVpcInterfaces mediakonteken: CreateBridge mediakonteken: CreateFlow mediakonteken: CreateGateway mediakonteken: DeleteBridge mediakonteken: DeleteFlow mediakonteken: DeleteGateway mediakonteken: DeleteRouterInput mediakonteken: DeleteRouterNetworkInterface mediakonteken: DeleteRouterOutput mediakonteken: DeregisterGatewayInstance mediakonteken: DescribeBridge mediakonteken: DescribeFlow mediakonteken: DescribeFlowSourceMetadata mediakonteken: DescribeFlowSourceThumbnail mediakonteken: DescribeGateway mediakonteken: DescribeGatewayInstance mediakonteken: DescribeOffering mediakonteken: DescribeReservation mediakonteken: GetRouterInput mediakonteken: GetRouterInputSourceMetadata mediakonteken: GetRouterInputThumbnail mediakonteken: GetRouterNetworkInterface mediakonteken: GetRouterOutput mediakonteken: GrantFlowEntitlements mediakonteken: ListBridges mediakonteken: ListEntitlements mediakonteken: ListFlows mediakonteken: ListGatewayInstances mediakonteken: ListGateways mediakonteken: ListOfferings mediakonteken: ListReservations mediakonteken: ListRouterInputs mediakonteken: ListRouterNetworkInterfaces mediakonteken: ListRouterOutputs mediakonteken: PurchaseOffering mediakonteken: RemoveBridgeOutput mediakonteken: RemoveBridgeSource mediakonteken: RemoveFlowMediaStream mediakonteken: RemoveFlowOutput mediakonteken: RemoveFlowSource mediakonteken: RemoveFlowVpcInterface mediakonteken: RestartRouterInput mediakonteken: RestartRouterOutput mediakonteken: RevokeFlowEntitlement mediakonteken: StartFlow mediakonteken: StartRouterInput mediakonteken: StartRouterOutput mediakonteken: StopFlow mediakonteken: StopRouterInput mediakonteken: StopRouterOutput mediakonteken: TakeRouterInput mediakonteken: UpdateBridge mediakonteken: UpdateBridgeOutput mediakonteken: UpdateBridgeSource mediakonteken: UpdateBridgeState mediakonteken: UpdateFlow mediakonteken: UpdateFlowEntitlement mediakonteken: UpdateFlowMediaStream mediakonteken: UpdateGatewayInstance  | 
| mediaconvert |  mediaconvert: AssociateCertificate mediaconvert: CancelJob mediaconvert: CreateJob mediaconvert: CreateJobTemplate mediaconvert: CreatePreset mediaconvert: CreateQueue mediaconvert: CreateResourceShare mediaconvert: DeleteJobTemplate mediaconvert: DeletePolicy mediaconvert: DeletePreset mediaconvert: DeleteQueue mediaconvert: DescribeEndpoints mediaconvert: DisassociateCertificate mediaconvert: GetJob mediaconvert: GetJobTemplate mediaconvert: GetPolicy mediaconvert: GetPreset mediaconvert: GetQueue mediaconvert: ListJobTemplates mediaconvert: ListJobs mediaconvert: ListPresets mediaconvert: ListQueues mediaconvert: ListVersions mediaconvert:Probe mediaconvert: PutPolicy mediaconvert: SearchJobs mediaconvert: UpdateJobTemplate mediaconvert: UpdatePreset mediaconvert: UpdateQueue  | 
| medialive |  medialiv: AcceptInputDeviceTransfer medial live: BatchDelete medial live: BatchStart medial live: BatchStop medial live: BatchUpdateSchedule medial live: CancelInputDeviceTransfer medial live: ClaimDevice medial live: CreateChannel medial live: CreateChannelPlacementGroup medial live: CreateCloudWatchAlarmTemplate medial live: CreateCloudWatchAlarmTemplateGroup medial live: CreateCluster medial live: CreateEventBridgeRuleTemplate medial live: CreateEventBridgeRuleTemplateGroup medial live: CreateInput medial live: CreateInputSecurityGroup medial live: CreateMultiplex medial live: CreateMultiplexProgram medial live: CreateNetwork medial live: CreateNode medial live: CreateNodeRegistrationScript medial live: CreatePartnerInput medial live: CreateSdiSource medial live: CreateSignalMap medial live: DeleteChannel medial live: DeleteChannelPlacementGroup medial live: DeleteCloudWatchAlarmTemplate medial live: DeleteCloudWatchAlarmTemplateGroup medial live: DeleteCluster medial live: DeleteEventBridgeRuleTemplate medial live: DeleteEventBridgeRuleTemplateGroup medial live: DeleteInput medial live: DeleteInputSecurityGroup medial live: DeleteMultiplex medial live: DeleteMultiplexProgram medial live: DeleteNetwork medial live: DeleteNode medial live: DeleteReservation medial live: DeleteSchedule medial live: DeleteSdiSource medial live: DeleteSignalMap medial live: DescribeAccountConfiguration medial live: DescribeChannel medial live: DescribeChannelPlacementGroup medial live: DescribeCluster medial live: DescribeInput medial live: DescribeInputDevice medial live: DescribeInputDeviceThumbnail medial live: DescribeInputSecurityGroup medial live: DescribeMultiplex medial live: DescribeMultiplexProgram medial live: DescribeNetwork medial live: DescribeNode medial live: DescribeOffering medial live: DescribeReservation medial live: DescribeSchedule medial live: DescribeSdiSource medial live: DescribeThumbnails medial live: GetCloudWatchAlarmTemplate medial live: GetCloudWatchAlarmTemplateGroup medial live: GetEventBridgeRuleTemplate medial live: GetEventBridgeRuleTemplateGroup medial live: GetSignalMap medial live: ListAlerts medial live: ListChannelPlacementGroups medial live: ListChannels medial live: ListCloudWatchAlarmTemplateGroups medial live: ListCloudWatchAlarmTemplates medial live: ListClusterAlerts medial live: ListClusters medial live: ListEventBridgeRuleTemplateGroups medial live: ListEventBridgeRuleTemplates medial live: ListInputDeviceTransfers medial live: ListInputDevices medial live: ListInputSecurityGroups medial live: ListInputs medial live: ListMultiplexAlerts medial live: ListMultiplexPrograms medial live: ListMultiplexes medial live: ListNetworks medial live: ListNodes medial live: ListOfferings medial live: ListReservations medial live: ListSdiSources medial live: ListSignalMaps medial live: ListVersions medial live: PurchaseOffering medial live: RebootInputDevice medial live: RejectInputDeviceTransfer medial live: RestartChannelPipelines medial live: StartChannel medial live: StartDeleteMonitorDeployment medial live: StartInputDevice medial live: StartInputDeviceMaintenanceWindow medial live: StartMonitorDeployment medial live: StartMultiplex medial live: StartUpdateSignalMap medial live: StopChannel medial live: StopInputDevice medial live: StopMultiplex medial live: TransferInputDevice medial live: UpdateAccountConfiguration medial live: UpdateChannel medial live: UpdateChannelClass medial live: UpdateChannelPlacementGroup medial live: UpdateCloudWatchAlarmTemplate medial live: UpdateCloudWatchAlarmTemplateGroup medial live: UpdateCluster medial live: UpdateEventBridgeRuleTemplate medial live: UpdateEventBridgeRuleTemplateGroup medial live: UpdateInput medial live: UpdateInputDevice medial live: UpdateInputSecurityGroup medial live: UpdateMultiplex medial live: UpdateMultiplexProgram medial live: UpdateNetwork medial live: UpdateNode medial live: UpdateNodeState medial live: UpdateReservation medial live: UpdateSdiSource  | 
| mediastore |  Medienspeicher: CreateContainer Medienspeicher: DeleteContainer Medienspeicher: DeleteContainerPolicy Medienspeicher: DeleteCorsPolicy Medienspeicher: DeleteLifecyclePolicy Medienspeicher: DeleteMetricPolicy Medienspeicher: DescribeContainer Medienspeicher: GetContainerPolicy Medienspeicher: GetCorsPolicy Medienspeicher: GetLifecyclePolicy Medienspeicher: GetMetricPolicy Medienspeicher: ListContainers Medienspeicher: PutContainerPolicy Medienspeicher: PutCorsPolicy Medienspeicher: PutLifecyclePolicy Medienspeicher: PutMetricPolicy Medienspeicher: StartAccessLogging Medienspeicher: StopAccessLogging  | 
| mediatailor |  mediatailor: ConfigureLogsForPlaybackConfiguration Mediatailor: CreateChannel Mediatailor: CreateLiveSource Mediatailor: CreatePrefetchSchedule Mediatailor: CreateProgram Mediatailor: CreateSourceLocation Mediatailor: CreateVodSource Mediatailor: DeleteChannel Mediatailor: DeleteChannelPolicy Mediatailor: DeleteLiveSource Mediatailor: DeletePlaybackConfiguration Mediatailor: DeletePrefetchSchedule Mediatailor: DeleteProgram Mediatailor: DeleteSourceLocation Mediatailor: DeleteVodSource Mediatailor: DescribeChannel Mediatailor: DescribeLiveSource Mediatailor: DescribeProgram Mediatailor: DescribeSourceLocation Mediatailor: DescribeVodSource Mediatailor: GetChannelPolicy Mediatailor: GetChannelSchedule Mediatailor: GetPlaybackConfiguration Mediatailor: GetPrefetchSchedule Mediatailor: ListAlerts Mediatailor: ListChannels Mediatailor: ListLiveSources Mediatailor: ListPlaybackConfigurations Mediatailor: ListPrefetchSchedules Mediatailor: ListSourceLocations Mediatailor: ListVodSources Mediatailor: PutChannelPolicy Mediatailor: PutPlaybackConfiguration Mediatailor: StartChannel Mediatailor: StopChannel Mediatailor: UpdateChannel Mediatailor: UpdateLiveSource Mediatailor: UpdateProgram Mediatailor: UpdateSourceLocation Mediatailor: UpdateVodSource  | 
| Memory-DB |  Speicher-DB: BatchUpdateCluster Speicher-DB: CopySnapshot Speicher-DB: CreateAcl Speicher-DB: CreateCluster Speicher-DB: CreateMultiRegionCluster Speicher-DB: CreateParameterGroup Speicher-DB: CreateSnapshot Speicher-DB: CreateSubnetGroup Speicher-DB: CreateUser Speicher-DB: DeleteAcl Speicher-DB: DeleteCluster Speicher-DB: DeleteMultiRegionCluster Speicher-DB: DeleteParameterGroup Speicher-DB: DeleteSnapshot Speicher-DB: DeleteSubnetGroup Speicher-DB: DeleteUser Speicher-DB: DescribeAcls Speicher-DB: DescribeClusters Speicher-DB: DescribeEngineVersions Speicher-DB: DescribeEvents Speicher-DB: DescribeMultiRegionClusters Speicher-DB: DescribeMultiRegionParameterGroups Speicher-DB: DescribeMultiRegionParameters Speicher-DB: DescribeParameterGroups Speicher-DB: DescribeParameters Speicher-DB: DescribeReservedNodes Speicher-DB: DescribeReservedNodesOfferings Speicher-DB: DescribeServiceUpdates Speicher-DB: DescribeSnapshots Speicher-DB: DescribeSubnetGroups Speicher-DB: DescribeUsers Speicher-DB: FailoverShard Speicher-DB: ListAllowedMultiRegionClusterUpdates Speicher-DB: ListAllowedNodeTypeUpdates Speicher-DB: PurchaseReservedNodesOffering Speicher-DB: ResetParameterGroup Speicher-DB: UpdateAcl Speicher-DB: UpdateCluster Speicher-DB: UpdateMultiRegionCluster Speicher-DB: UpdateParameterGroup Speicher-DB: UpdateSubnetGroup Speicher-DB: UpdateUser  | 
| mgh |  mgh: AssociateCreatedArtifact mgh: AssociateDiscoveredResource mgh: AssociateSourceResource mgh: CreateHomeRegionControl mgh: CreateProgressUpdateStream mgh: DeleteHomeRegionControl mgh: DeleteProgressUpdateStream mgh: DescribeApplicationState mgh: DescribeHomeRegionControls mgh: DescribeMigrationTask mgh: DisassociateCreatedArtifact mgh: DisassociateDiscoveredResource mgh: DisassociateSourceResource mgh: GetHomeRegion mgh: ImportMigrationTask mgh: ListApplicationStates mgh: ListCreatedArtifacts mgh: ListDiscoveredResources mgh: ListMigrationTaskUpdates mgh: ListMigrationTasks mgh: ListProgressUpdateStreams mgh: ListSourceResources mgh: NotifyApplicationState mgh: NotifyMigrationTaskState mgh: PutResourceAttributes  | 
| mgn |  mg: ArchiveApplication mg: ArchiveWave mg: AssociateApplications mg: AssociateSourceServers mg: ChangeServerLifeCycleState mg: CreateApplication mg: CreateConnector mg: CreateLaunchConfigurationTemplate mg: CreateReplicationConfigurationTemplate mg: CreateWave mg: DeleteApplication mg: DeleteConnector mg: DeleteJob mg: DeleteLaunchConfigurationTemplate mg: DeleteReplicationConfigurationTemplate mg: DeleteSourceServer mg: DeleteVcenterClient mg: DeleteWave mg: DescribeJobLogItems mg: DescribeJobs mg: DescribeLaunchConfigurationTemplates mg: DescribeReplicationConfigurationTemplates mg: DescribeVcenterClients mg: DisassociateApplications mg: DisassociateSourceServers mg: DisconnectFromService mg: FinalizeCutover mg: GetReplicationConfiguration mg: InitializeService mg: ListConnectors mg: ListExportErrors mg: ListExports mg: ListImportErrors mg: ListImports mg: ListManagedAccounts mg: ListSourceServerActions mg: ListTemplateActions mg: MarkAsArchived mg: PauseReplication mg: PutSourceServerAction mg: PutTemplateAction mg: RemoveSourceServerAction mg: RemoveTemplateAction mg: ResumeReplication mg: RetryDataReplication mg: StartCutover mg: StartExport mg: StartImport mg: StartReplication mg: StartTest mg: StopReplication mg: TerminateTargetInstances mg: UnarchiveApplication mg: UnarchiveWave mg: UpdateApplication mg: UpdateConnector mg: UpdateLaunchConfigurationTemplate mg: UpdateReplicationConfiguration mg: UpdateReplicationConfigurationTemplate mg: UpdateSourceServer mg: UpdateSourceServerReplicationType mg: UpdateWave  | 
| migrationhub-strategy |  Strategie für das Migrationshub: GetAntiPattern MigrationHub-Strategie: GetApplicationComponentDetails MigrationHub-Strategie: GetApplicationComponentStrategies MigrationHub-Strategie: GetAssessment MigrationHub-Strategie: GetImportFileTask MigrationHub-Strategie: GetLatestAssessmentId MigrationHub-Strategie: GetMessage MigrationHub-Strategie: GetPortfolioPreferences MigrationHub-Strategie: GetPortfolioSummary MigrationHub-Strategie: GetRecommendationReportDetails MigrationHub-Strategie: GetServerDetails MigrationHub-Strategie: GetServerStrategies MigrationHub-Strategie: ListAnalyzableServers MigrationHub-Strategie: ListAntiPatterns MigrationHub-Strategie: ListApplicationComponents MigrationHub-Strategie: ListCollectors MigrationHub-Strategie: ListImportFileTask MigrationHub-Strategie: ListJarArtifacts MigrationHub-Strategie: ListServers MigrationHub-Strategie: PutLogData MigrationHub-Strategie: PutMetricData MigrationHub-Strategie: PutPortfolioPreferences MigrationHub-Strategie: RegisterCollector MigrationHub-Strategie: SendMessage MigrationHub-Strategie: StartAssessment MigrationHub-Strategie: StartImportFileTask MigrationHub-Strategie: StartRecommendationReportGeneration MigrationHub-Strategie: StopAssessment MigrationHub-Strategie: UpdateApplicationComponentConfig MigrationHub-Strategie: UpdateCollectorConfiguration MigrationHub-Strategie: UpdateServerConfig  | 
| mobiletargeting |  Zielgruppenansprache auf Mobilgeräten: CreateApp Zielgruppenansprache auf Mobilgeräten: CreateCampaign Zielgruppenansprache auf Mobilgeräten: CreateEmailTemplate Zielgruppenansprache auf Mobilgeräten: CreateExportJob Zielgruppenansprache auf Mobilgeräten: CreateImportJob Zielgruppenansprache auf Mobilgeräten: CreateInAppTemplate Zielgruppenansprache auf Mobilgeräten: CreateJourney Zielgruppenansprache auf Mobilgeräten: CreatePushTemplate Zielgruppenansprache auf Mobilgeräten: CreateRecommenderConfiguration Zielgruppenansprache auf Mobilgeräten: CreateSegment Zielgruppenansprache auf Mobilgeräten: CreateSmsTemplate Zielgruppenansprache auf Mobilgeräten: CreateVoiceTemplate Zielgruppenansprache auf Mobilgeräten: DeleteAdmChannel Zielgruppenansprache auf Mobilgeräten: DeleteApnsChannel Zielgruppenansprache auf Mobilgeräten: DeleteApnsSandboxChannel Zielgruppenansprache auf Mobilgeräten: DeleteApnsVoipChannel Zielgruppenansprache auf Mobilgeräten: DeleteApnsVoipSandboxChannel Zielgruppenansprache auf Mobilgeräten: DeleteApp Zielgruppenansprache auf Mobilgeräten: DeleteBaiduChannel Zielgruppenansprache auf Mobilgeräten: DeleteCampaign Zielgruppenansprache auf Mobilgeräten: DeleteEmailChannel Zielgruppenansprache auf Mobilgeräten: DeleteEmailTemplate Zielgruppenansprache auf Mobilgeräten: DeleteEndpoint Zielgruppenansprache auf Mobilgeräten: DeleteEventStream Zielgruppenansprache auf Mobilgeräten: DeleteGcmChannel Zielgruppenansprache auf Mobilgeräten: DeleteInAppTemplate Zielgruppenansprache auf Mobilgeräten: DeleteJourney Zielgruppenansprache auf Mobilgeräten: DeletePushTemplate Zielgruppenansprache auf Mobilgeräten: DeleteRecommenderConfiguration Zielgruppenansprache auf Mobilgeräten: DeleteSegment Zielgruppenansprache auf Mobilgeräten: DeleteSmsChannel Zielgruppenansprache auf Mobilgeräten: DeleteSmsTemplate Zielgruppenansprache auf Mobilgeräten: DeleteUserEndpoints Zielgruppenansprache auf Mobilgeräten: DeleteVoiceChannel Zielgruppenansprache auf Mobilgeräten: DeleteVoiceTemplate Zielgruppenansprache auf Mobilgeräten: GetAdmChannel Zielgruppenansprache auf Mobilgeräten: GetApnsChannel Zielgruppenansprache auf Mobilgeräten: GetApnsSandboxChannel Zielgruppenansprache auf Mobilgeräten: GetApnsVoipChannel Zielgruppenansprache auf Mobilgeräten: GetApnsVoipSandboxChannel Zielgruppenansprache auf Mobilgeräten: GetApp Zielgruppenansprache auf Mobilgeräten: GetApplicationDateRangeKpi Zielgruppenansprache auf Mobilgeräten: GetApplicationSettings Zielgruppenansprache auf Mobilgeräten: GetApps Zielgruppenansprache auf Mobilgeräten: GetBaiduChannel Zielgruppenansprache auf Mobilgeräten: GetCampaign Zielgruppenansprache auf Mobilgeräten: GetCampaignActivities Zielgruppenansprache auf Mobilgeräten: GetCampaignDateRangeKpi Zielgruppenansprache auf Mobilgeräten: GetCampaignVersion Zielgruppenansprache auf Mobilgeräten: GetCampaignVersions Zielgruppenansprache auf Mobilgeräten: GetCampaigns Zielgruppenansprache auf Mobilgeräten: GetChannels Zielgruppenansprache auf Mobilgeräten: GetEmailChannel Zielgruppenansprache auf Mobilgeräten: GetEmailTemplate Zielgruppenansprache auf Mobilgeräten: GetEndpoint Zielgruppenansprache auf Mobilgeräten: GetEventStream Zielgruppenansprache auf Mobilgeräten: GetExportJob Zielgruppenansprache auf Mobilgeräten: GetExportJobs Zielgruppenansprache auf Mobilgeräten: GetGcmChannel Zielgruppenanvisierung auf Mobilgeräten: GetImportJob Zielgruppenanvisierung auf Mobilgeräten: GetImportJobs Zielgruppenanvisierung auf Mobilgeräten: GetInAppMessages Zielgruppenanvisierung auf Mobilgeräten: GetInAppTemplate Zielgruppenanvisierung auf Mobilgeräten: GetJourney Zielgruppenanvisierung auf Mobilgeräten: GetJourneyDateRangeKpi Zielgruppenanvisierung auf Mobilgeräten: GetJourneyExecutionActivityMetrics Zielgruppenanvisierung auf Mobilgeräten: GetJourneyExecutionMetrics Zielgruppenanvisierung auf Mobilgeräten: GetJourneyRunExecutionActivityMetrics Zielgruppenanvisierung auf Mobilgeräten: GetJourneyRunExecutionMetrics Zielgruppenanvisierung auf Mobilgeräten: GetJourneyRuns Zielgruppenanvisierung auf Mobilgeräten: GetPushTemplate Zielgruppenanvisierung auf Mobilgeräten: GetRecommenderConfiguration Zielgruppenanvisierung auf Mobilgeräten: GetRecommenderConfigurations Zielgruppenanvisierung auf Mobilgeräten: GetSegment Zielgruppenanvisierung auf Mobilgeräten: GetSegmentExportJobs Zielgruppenanvisierung auf Mobilgeräten: GetSegmentImportJobs Zielgruppenanvisierung auf Mobilgeräten: GetSegmentVersion Zielgruppenanvisierung auf Mobilgeräten: GetSegmentVersions Zielgruppenanvisierung auf Mobilgeräten: GetSegments Zielgruppenanvisierung auf Mobilgeräten: GetSmsChannel Zielgruppenanvisierung auf Mobilgeräten: GetSmsTemplate Zielgruppenanvisierung auf Mobilgeräten: GetUserEndpoints Zielgruppenanvisierung auf Mobilgeräten: GetVoiceChannel Zielgruppenanvisierung auf Mobilgeräten: GetVoiceTemplate Zielgruppenanvisierung auf Mobilgeräten: ListJourneys Zielgruppenanvisierung auf Mobilgeräten: ListTemplateVersions Zielgruppenanvisierung auf Mobilgeräten: ListTemplates Zielgruppenanvisierung auf Mobilgeräten: PhoneNumberValidate Zielgruppenanvisierung auf Mobilgeräten: PutEventStream Zielgruppenanvisierung auf Mobilgeräten: RemoveAttributes Zielgruppenanvisierung auf Mobilgeräten: UpdateAdmChannel Zielgruppenanvisierung auf Mobilgeräten: UpdateApnsChannel Zielgruppenanvisierung auf Mobilgeräten: UpdateApnsSandboxChannel Zielgruppenanvisierung auf Mobilgeräten: UpdateApnsVoipChannel Zielgruppenanvisierung auf Mobilgeräten: UpdateApnsVoipSandboxChannel Zielgruppenanvisierung auf Mobilgeräten: UpdateApplicationSettings Zielgruppenanvisierung auf Mobilgeräten: UpdateBaiduChannel Zielgruppenanvisierung auf Mobilgeräten: UpdateCampaign Zielgruppenanvisierung auf Mobilgeräten: UpdateEmailChannel Zielgruppenanvisierung auf Mobilgeräten: UpdateEmailTemplate Zielgruppenanvisierung auf Mobilgeräten: UpdateEndpoint Zielgruppenanvisierung auf Mobilgeräten: UpdateEndpointsBatch Zielgruppenanvisierung auf Mobilgeräten: UpdateGcmChannel Zielgruppenanvisierung auf Mobilgeräten: UpdateInAppTemplate Zielgruppenanvisierung auf Mobilgeräten: UpdateJourney Zielgruppenanvisierung auf Mobilgeräten: UpdateJourneyState Zielgruppenanvisierung auf Mobilgeräten: UpdatePushTemplate Zielgruppenanvisierung auf Mobilgeräten: UpdateRecommenderConfiguration Zielgruppenanvisierung auf Mobilgeräten: UpdateSegment Zielgruppenanvisierung auf Mobilgeräten: UpdateSmsChannel Zielgruppenanvisierung auf Mobilgeräten: UpdateSmsTemplate Zielgruppenanvisierung auf Mobilgeräten: UpdateTemplateActiveVersion Zielgruppenanvisierung auf Mobilgeräten: UpdateVoiceChannel Zielgruppenanvisierung auf Mobilgeräten: UpdateVoiceTemplate Mobiles Targeting: Überprüfen OTPMessage  | 
| mq |  mq: CreateBroker mq: CreateConfiguration mq: CreateUser mq: DeleteBroker mq: DeleteConfiguration mq: DeleteUser mq: DescribeBroker mq: DescribeBrokerEngineTypes mq: DescribeBrokerInstanceOptions mq: DescribeConfiguration mq: DescribeConfigurationRevision mq: DescribeUser mq: ListBrokers mq: ListConfigurationRevisions mq: ListConfigurations mq: ListUsers mq:Promote mq: RebootBroker mq: UpdateBroker mq: UpdateConfiguration mq: UpdateUser  | 
| networkmanager |  Netzwerkmanager: AcceptAttachment Netzwerkmanager: AssociateConnectPeer Netzwerkmanager: AssociateCustomerGateway Netzwerkmanager: AssociateLink Netzwerkmanager: AssociateTransitGatewayConnectPeer Netzwerkmanager: CreateConnectAttachment Netzwerkmanager: CreateConnectPeer Netzwerkmanager: CreateConnection Netzwerkmanager: CreateCoreNetwork Netzwerkmanager: CreateDevice Netzwerkmanager: CreateDirectConnectGatewayAttachment Netzwerkmanager: CreateGlobalNetwork Netzwerkmanager: CreateLink Netzwerkmanager: CreateSite Netzwerkmanager: CreateSiteToSiteVpnAttachment Netzwerkmanager: CreateTransitGatewayPeering Netzwerkmanager: CreateTransitGatewayRouteTableAttachment Netzwerkmanager: CreateVpcAttachment Netzwerkmanager: DeleteAttachment Netzwerkmanager: DeleteConnectPeer Netzwerkmanager: DeleteConnection Netzwerkmanager: DeleteCoreNetwork Netzwerkmanager: DeleteCoreNetworkPolicyVersion Netzwerkmanager: DeleteDevice Netzwerkmanager: DeleteGlobalNetwork Netzwerkmanager: DeleteLink Netzwerkmanager: DeletePeering Netzwerkmanager: DeleteResourcePolicy Netzwerkmanager: DeleteSite Netzwerkmanager: DeregisterTransitGateway Netzwerkmanager: DescribeGlobalNetworks Netzwerkmanager: DisassociateConnectPeer Netzwerkmanager: DisassociateCustomerGateway Netzwerkmanager: DisassociateLink Netzwerkmanager: DisassociateTransitGatewayConnectPeer Netzwerkmanager: ExecuteCoreNetworkChangeSet Netzwerkmanager: GetConnectAttachment Netzwerkmanager: GetConnectPeer Netzwerkmanager: GetConnectPeerAssociations Netzwerkmanager: GetConnections Netzwerkmanager: GetCoreNetwork Netzwerkmanager: GetCoreNetworkChangeEvents Netzwerkmanager: GetCoreNetworkChangeSet Netzwerkmanager: GetCoreNetworkPolicy Netzwerkmanager: GetCustomerGatewayAssociations Netzwerkmanager: GetDevices Netzwerkmanager: GetLinkAssociations Netzwerkmanager: GetLinks Netzwerkmanager: GetNetworkResourceCounts Netzwerkmanager: GetNetworkResourceRelationships Netzwerkmanager: GetNetworkResources Netzwerkmanager: GetNetworkRoutes Netzwerkmanager: GetNetworkTelemetry Netzwerkmanager: GetResourcePolicy Netzwerkmanager: GetRouteAnalysis Netzwerkmanager: GetSiteToSiteVpnAttachment Netzwerkmanager: GetSites Netzwerkmanager: GetTransitGatewayConnectPeerAssociations Netzwerkmanager: GetTransitGatewayPeering Netzwerkmanager: GetTransitGatewayRegistrations Netzwerkmanager: GetTransitGatewayRouteTableAttachment Netzwerkmanager: GetVpcAttachment Netzwerkmanager: ListAttachmentRoutingPolicyAssociations Netzwerkmanager: ListAttachments Netzwerkmanager: ListConnectPeers Netzwerkmanager: ListCoreNetworkPolicyVersions Netzwerkmanager: ListCoreNetworkPrefixListAssociations Netzwerkmanager: ListCoreNetworkRoutingInformation Netzwerkmanager: ListCoreNetworks Netzwerkmanager: ListOrganizationServiceAccessStatus Netzwerkmanager: ListPeerings Netzwerkmanager: PutAttachmentRoutingPolicyLabel Netzwerkmanager: PutCoreNetworkPolicy Netzwerkmanager: PutResourcePolicy Netzwerkmanager: RegisterTransitGateway Netzwerkmanager: RejectAttachment Netzwerkmanager: RemoveAttachmentRoutingPolicyLabel Netzwerkmanager: RestoreCoreNetworkPolicyVersion Netzwerkmanager: StartOrganizationServiceAccessUpdate Netzwerkmanager: StartRouteAnalysis Netzwerkmanager: UpdateConnection Netzwerkmanager: UpdateCoreNetwork Netzwerkmanager: UpdateDevice Netzwerkmanager: UpdateDirectConnectGatewayAttachment Netzwerkmanager: UpdateGlobalNetwork Netzwerkmanager: UpdateLink Netzwerkmanager: UpdateNetworkResourceMetadata Netzwerkmanager: UpdateSite Netzwerkmanager: UpdateVpcAttachment  | 
| nimble |  flink: AcceptEulas flink: CreateLaunchProfile flink: CreateStreamingImage flink: CreateStreamingSession flink: CreateStreamingSessionStream flink: CreateStudio flink: CreateStudioComponent flink: DeleteLaunchProfile flink: DeleteLaunchProfileMember flink: DeleteStreamingImage flink: DeleteStreamingSession flink: DeleteStudio flink: DeleteStudioComponent flink: DeleteStudioMember flink: GetEula flink: GetLaunchProfileDetails flink: GetStreamingImage flink: GetStreamingSession flink: GetStreamingSessionBackup flink: GetStreamingSessionStream flink: GetStudio flink: GetStudioComponent flink: GetStudioMember flink: ListEulas flink: ListLaunchProfileMembers flink: ListLaunchProfiles flink: ListStreamingImages flink: ListStreamingSessionBackups flink: ListStreamingSessions flink: ListStudioComponents flink: ListStudioMembers flink: ListStudios flink: PutLaunchProfileMembers flink: PutStudioMembers flink: StartStreamingSession nimble: Reparieren StartStudio SSOConfiguration flink: StopStreamingSession flink: UpdateLaunchProfile flink: UpdateLaunchProfileMember flink: UpdateStreamingImage flink: UpdateStudio flink: UpdateStudioComponent  | 
| omics |  Comics: AbortMultipartReadSetUpload Comics: AcceptShare Comics: BatchDeleteReadSet Comics: CancelAnnotationImportJob Comics: CancelRun Comics: CancelVariantImportJob Comics: CompleteMultipartReadSetUpload Comics: CreateAnnotationStore Comics: CreateAnnotationStoreVersion Comics: CreateMultipartReadSetUpload Comics: CreateReferenceStore Comics: CreateRunGroup Comics: CreateSequenceStore Comics: CreateShare Comics: CreateVariantStore Comics: CreateWorkflow Comics: CreateWorkflowVersion Comics: DeleteAnnotationStore Comics: DeleteAnnotationStoreVersions Comics: DeleteReference Comics: DeleteReferenceStore Comics: DeleteRun Comics: DeleteRunGroup Comics: DeleteSequenceStore Comics: DeleteShare Comics: DeleteVariantStore Comics: DeleteWorkflow Comics: DeleteWorkflowVersion Comics: GetAnnotationImportJob Comics: GetAnnotationStore Comics: GetAnnotationStoreVersion Comics: GetReadSet Comics: GetReadSetActivationJob Comics: GetReadSetExportJob Comics: GetReadSetImportJob Comics: GetReadSetMetadata Comics: GetReference Comics: GetReferenceImportJob Comics: GetReferenceMetadata Comics: GetReferenceStore Comics: GetRun Comics: GetRunGroup Comics: GetRunTask Comics: GetSequenceStore Comics: GetShare Comics: GetVariantImportJob Comics: GetVariantStore Comics: GetWorkflow Comics: GetWorkflowVersion Comics: ListAnnotationImportJobs Comics: ListAnnotationStoreVersions Comics: ListAnnotationStores Comics: ListMultipartReadSetUploads Comics: ListReadSetActivationJobs Comics: ListReadSetExportJobs Comics: ListReadSetImportJobs Comics: ListReadSetUploadParts Comics: ListReadSets Comics: ListReferenceImportJobs Comics: ListReferenceStores Comics: ListReferences Comics: ListRunGroups Comics: ListRunTasks Comics: ListRuns Comics: ListSequenceStores Comics: ListShares Comics: ListVariantImportJobs Comics: ListVariantStores Comics: ListWorkflowVersions Comics: ListWorkflows Comics: StartAnnotationImportJob Comics: StartReadSetActivationJob Comics: StartReadSetExportJob Comics: StartReadSetImportJob Comics: StartReferenceImportJob Comics: StartRun Comics: StartVariantImportJob Comics: UpdateAnnotationStore Comics: UpdateAnnotationStoreVersion Comics: UpdateRunGroup Comics: UpdateVariantStore Comics: UpdateWorkflow Comics: UpdateWorkflowVersion Comics: UploadReadSetPart  | 
| opsworks |  Opsworks: AssignInstance Opsworks: AssignVolume Opsworks: AssociateElasticIp Opsworks: AttachElasticLoadBalancer Opsworks: CloneStack Opsworks: CreateApp Opsworks: CreateDeployment Opsworks: CreateInstance Opsworks: CreateLayer Opsworks: CreateStack Opsworks: CreateUserProfile Opsworks: DeleteApp Opsworks: DeleteInstance Opsworks: DeleteLayer Opsworks: DeleteStack Opsworks: DeleteUserProfile Opsworks: DeregisterEcsCluster Opsworks: DeregisterElasticIp Opsworks: DeregisterInstance Opsworks: DeregisterRdsDbInstance Opsworks: DeregisterVolume Opsworks: DescribeAgentVersions Opsworks: DescribeApps Opsworks: DescribeCommands Opsworks: DescribeDeployments Opsworks: DescribeEcsClusters Opsworks: DescribeElasticIps Opsworks: DescribeElasticLoadBalancers Opsworks: DescribeInstances Opsworks: DescribeLayers Opsworks: DescribeLoadBasedAutoScaling Opsworks: DescribeMyUserProfile Opsworks: DescribeOperatingSystems Opsworks: DescribePermissions Opsworks: DescribeRaidArrays Opsworks: DescribeRdsDbInstances Opsworks: DescribeServiceErrors Opsworks: DescribeStackProvisioningParameters Opsworks: DescribeStackSummary Opsworks: DescribeStacks Opsworks: DescribeTimeBasedAutoScaling Opsworks: DescribeUserProfiles Opsworks: DescribeVolumes Opsworks: DetachElasticLoadBalancer Opsworks: DisassociateElasticIp Opsworks: GetHostnameSuggestion Opsworks: GrantAccess Opsworks: RebootInstance Opsworks: RegisterEcsCluster Opsworks: RegisterElasticIp Opsworks: RegisterInstance Opsworks: RegisterRdsDbInstance Opsworks: RegisterVolume Opsworks: SetLoadBasedAutoScaling Opsworks: SetPermission Opsworks: SetTimeBasedAutoScaling Opsworks: StartInstance Opsworks: StartStack Opsworks: StopInstance Opsworks: StopStack Opsworks: UnassignInstance Opsworks: UnassignVolume Opsworks: UpdateApp Opsworks: UpdateElasticIp Opsworks: UpdateInstance Opsworks: UpdateLayer Opsworks: UpdateMyUserProfile Opsworks: UpdateRdsDbInstance Opsworks: UpdateStack Opsworks: UpdateUserProfile Opsworks: UpdateVolume  | 
| opsworks-cm |  opsworks-cm: AssociateNode opsworks-cm: CreateBackup opsworks-cm: CreateServer opsworks-cm: DeleteBackup opsworks-cm: DeleteServer opsworks-cm: DescribeAccountAttributes opsworks-cm: DescribeBackups opsworks-cm: DescribeEvents opsworks-cm: DescribeNodeAssociationStatus opsworks-cm: DescribeServers opsworks-cm: DisassociateNode opsworks-cm: ExportServerEngineAttribute opsworks-cm: RestoreServer opsworks-cm: StartMaintenance opsworks-cm: UpdateServer opsworks-cm: UpdateServerEngineAttributes  | 
| Organisationen |  Organisationen: AcceptHandshake Organisationen: AttachPolicy Organisationen: CancelHandshake Organisationen: CloseAccount Organisationen: CreateAccount Organisationen: CreateGovCloudAccount Organisationen: CreateOrganization Organisationen: CreateOrganizationalUnit Organisationen: CreatePolicy Organisationen: DeclineHandshake Organisationen: DeleteOrganization Organisationen: DeleteOrganizationalUnit Organisationen: DeletePolicy Organisationen: DeleteResourcePolicy Organisationen: DeregisterDelegatedAdministrator Organisationen: DescribeAccount Organisationen: DescribeCreateAccountStatus Organisationen: DescribeEffectivePolicy Organisationen: DescribeHandshake Organisationen: DescribeOrganization Organisationen: DescribeOrganizationalUnit Organisationen: DescribePolicy Organisationen: DescribeResourcePolicy Organisationen: DescribeResponsibilityTransfer Organisationen: DetachPolicy OrganisationenAWSService: Zugriff deaktivieren Organisationen: DisablePolicyType OrganisationenAWSService: Zugriff aktivieren Organisationen: EnableAllFeatures Organisationen: EnablePolicyType Organisationen: InviteAccountToOrganization Organisationen: LeaveOrganization Organisationen: Liste AWSService AccessForOrganization Organisationen: ListAccounts Organisationen: ListAccountsForParent Organisationen: ListAccountsWithInvalidEffectivePolicy Organisationen: ListChildren Organisationen: ListCreateAccountStatus Organisationen: ListDelegatedAdministrators Organisationen: ListDelegatedServicesForAccount Organisationen: ListHandshakesForAccount Organisationen: ListHandshakesForOrganization Organisationen: ListInboundResponsibilityTransfers Organisationen: ListOrganizationalUnitsForParent Organisationen: ListOutboundResponsibilityTransfers Organisationen: ListParents Organisationen: ListPolicies Organisationen: ListPoliciesForTarget Organisationen: ListRoots Organisationen: ListTargetsForPolicy Organisationen: MoveAccount Organisationen: PutResourcePolicy Organisationen: RegisterDelegatedAdministrator Organisationen: RemoveAccountFromOrganization Organisationen: TerminateResponsibilityTransfer Organisationen: UpdateOrganizationalUnit Organisationen: UpdatePolicy Organisationen: UpdateResponsibilityTransfer  | 
| outposts |  Außenposten: CancelCapacityTask Außenposten: CancelOrder Außenposten: CreateOrder Außenposten: CreateOutpost Außenposten: CreatePrivateConnectivityConfig Außenposten: CreateSite Außenposten: DeleteOutpost Außenposten: DeleteSite Außenposten: GetCapacityTask Außenposten: GetCatalogItem Außenposten: GetConnection Außenposten: GetOrder Außenposten: GetOutpost Außenposten: GetOutpostBillingInformation Außenposten: GetOutpostInstanceTypes Außenposten: GetOutpostSupportedInstanceTypes Außenposten: GetPrivateConnectivityConfig Außenposten: GetSite Außenposten: GetSiteAddress Außenposten: ListAssetInstances Außenposten: ListAssets Außenposten: ListBlockingInstancesForCapacityTask Außenposten: ListCapacityTasks Außenposten: ListCatalogItems Außenposten: ListOrders Außenposten: ListOutposts Außenposten: ListSites Außenposten: StartCapacityTask Außenposten: StartConnection Außenposten: UpdateOutpost Außenposten: UpdateSite Außenposten: UpdateSiteAddress Außenposten: UpdateSiteRackPhysicalProperties  | 
| panorama |  Panorama: CreateApplicationInstance Panorama: CreateJobForDevices Panorama: CreateNodeFromTemplateJob Panorama: CreatePackage Panorama: CreatePackageImportJob Panorama: DeleteDevice Panorama: DeletePackage Panorama: DeregisterPackageVersion Panorama: DescribeApplicationInstance Panorama: DescribeApplicationInstanceDetails Panorama: DescribeDevice Panorama: DescribeDeviceJob Panorama: DescribeNode Panorama: DescribeNodeFromTemplateJob Panorama: DescribePackage Panorama: DescribePackageImportJob Panorama: DescribePackageVersion Panorama: ListApplicationInstanceDependencies Panorama: ListApplicationInstanceNodeInstances Panorama: ListApplicationInstances Panorama: ListDevices Panorama: ListDevicesJobs Panorama: ListNodeFromTemplateJobs Panorama: ListNodes Panorama: ListPackageImportJobs Panorama: ListPackages Panorama: ProvisionDevice Panorama: RegisterPackageVersion Panorama: RemoveApplicationInstance Panorama: SignalApplicationInstanceNodeInstances Panorama: UpdateDeviceMetadata  | 
| pi |  pi: CreatePerformanceAnalysisReport Pi: DeletePerformanceAnalysisReport Pi: DescribeDimensionKeys Pi: GetDimensionKeyDetails Pi: GetPerformanceAnalysisReport Pi: GetResourceMetadata Pi: GetResourceMetrics Pi: ListAvailableResourceDimensions Pi: ListAvailableResourceMetrics Pi: ListPerformanceAnalysisReports  | 
| pipes |  Rohre: CreatePipe Rohre: DeletePipe Rohre: DescribePipe Rohre: ListPipes Rohre: StartPipe Rohre: StopPipe Rohre: UpdatePipe  | 
| polly |  Polly: DeleteLexicon Polly: DescribeVoices Polly: GetLexicon Polly: GetSpeechSynthesisTask Polly: ListLexicons Polly: ListSpeechSynthesisTasks Polly: PutLexicon Polly: StartSpeechSynthesisTask Polly: SynthesizeSpeech  | 
| Profil |  profil: AddProfileKey profil: BatchGetCalculatedAttributeForProfile profil: BatchGetProfile profil: CreateCalculatedAttributeDefinition profil: CreateDomain profil: CreateEventStream profil: CreateProfile profil: CreateRecommender profil: CreateSegmentDefinition profil: CreateSegmentEstimate profil: CreateSegmentSnapshot profil: CreateUploadJob profil: DeleteCalculatedAttributeDefinition profil: DeleteDomain profil: DeleteDomainObjectType profil: DeleteEventStream profil: DeleteIntegration profil: DeleteProfile profil: DeleteProfileKey profil: DeleteProfileObject profil: DeleteProfileObjectType profil: DeleteRecommender profil: DeleteSegmentDefinition profil: DeleteWorkflow profil: DetectProfileObjectType profil: GetAutoMergingPreview profil: GetCalculatedAttributeDefinition profil: GetCalculatedAttributeForProfile profil: GetDomain profil: GetDomainObjectType profil: GetEventStream profil: GetIdentityResolutionJob profil: GetIntegration profil: GetMatches profil: GetObjectTypeAttributeStatistics profil: GetProfileObjectType profil: GetProfileObjectTypeTemplate profil: GetProfileRecommendations profil: GetRecommender profil: GetSegmentDefinition profil: GetSegmentEstimate profil: GetSegmentMembership profil: GetSegmentSnapshot profil: GetSimilarProfiles profil: GetUploadJob profil: GetUploadJobPath profil: GetWorkflow profil: GetWorkflowSteps profil: ListAccountIntegrations profil: ListCalculatedAttributeDefinitions profil: ListCalculatedAttributesForProfile profil: ListDomainLayouts profil: ListDomainObjectTypes profil: ListDomains profil: ListEventStreams profil: ListIdentityResolutionJobs profil: ListIntegrations profil: ListObjectTypeAttributeValues profil: ListObjectTypeAttributes profil: ListProfileAttributeValues profil: ListProfileObjectTypeTemplates profil: ListProfileObjectTypes profil: ListProfileObjects profil: ListRecommenderRecipes profil: ListRecommenders profil: ListRuleBasedMatches profil: ListSegmentDefinitions profil: ListUploadJobs profil: ListWorkflows profil: MergeProfiles profil: PutDomainObjectType profil: PutIntegration profil: PutProfileObject profil: PutProfileObjectType profil: SearchProfiles profil: StartRecommender profil: StartUploadJob profil: StopRecommender profil: StopUploadJob profil: UpdateCalculatedAttributeDefinition profil: UpdateDomain profil: UpdateProfile profil: UpdateRecommender  | 
| qldb |  qldb: CancelJournalKinesisStream qldb: CreateLedger qldb: DeleteLedger qldb: DescribeJournalKinesisStream qldb: S3 exportieren DescribeJournal qldb: DescribeLedger qldb: S3 ExportJournalTo qldb: GetBlock qldb: GetDigest qldb: GetRevision qldb: ListJournalKinesisStreamsForLedger qldb: S3-Exporte ListJournal qldb: ListJournal S3 ExportsForLedger qldb: ListLedgers qldb: StreamJournalToKinesis qldb: UpdateLedger qldb: UpdateLedgerPermissionsMode  | 
| ram |  ram: AcceptResourceShareInvitation RAM: AssociateResourceShare RAM: AssociateResourceSharePermission RAM: CreatePermission RAM: CreatePermissionVersion RAM: CreateResourceShare RAM: DeletePermission RAM: DeletePermissionVersion RAM: DeleteResourceShare RAM: DisassociateResourceShare RAM: DisassociateResourceSharePermission RAM: EnableSharingWithAwsOrganization RAM: GetPermission RAM: GetResourcePolicies RAM: GetResourceShareAssociations RAM: GetResourceShareInvitations RAM: GetResourceShares RAM: ListPendingInvitationResources RAM: ListPermissionAssociations RAM: ListPermissionVersions RAM: ListPermissions RAM: ListPrincipals RAM: ListReplacePermissionAssociationsWork RAM: ListResourceSharePermissions RAM: ListResourceTypes RAM: ListResources RAM: PromotePermissionCreatedFromPolicy RAM: PromoteResourceShareCreatedFromPolicy RAM: RejectResourceShareInvitation RAM: ReplacePermissionAssociations RAM: SetDefaultPermissionVersion RAM: UpdateResourceShare  | 
| rbin |  Rotkehlchen: CreateRule Robin: DeleteRule Robin: GetRule Robin: ListRules Robin: LockRule Robin: UnlockRule Robin: UpdateRule  | 
| rds |  rds: AddRoleTo DBCluster rds: AddRoleTo DBInstance rds: AddSourceIdentifierToSubscription rds: ApplyPendingMaintenanceAction rds: autorisieren DBSecurity GroupIngress RDS: Backtrack DBCluster rds: CancelExportTask rds: kopieren DBCluster ParameterGroup RDS:Snapshot kopieren DBCluster RDS:Gruppe DBParameter kopieren RDS:Kopieren DBSnapshot rds: CopyOptionGroup rds: CreateCustom DBEngine Ausführung rds: erstellen DBCluster ParameterGroup RDS:Gruppe erstellen DBParameter RDS:erstellen DBProxy RDS:Endpunkt erstellen DBProxy RDS: Gruppe DBSecurity erstellen RDS: DBSubnet Gruppe erstellen rds: CreateEventSubscription rds: CreateGlobalCluster rds: CreateOptionGroup rds: DeleteBlueGreenDeployment rds: löschen DBCluster AutomatedBackup RDS:löschen DBCluster ParameterGroup RDS:Snapshot löschen DBCluster RDS:löschen DBInstance AutomatedBackup RDS:Gruppe löschen DBParameter RDS:löschen DBProxy RDS:Endpunkt löschen DBProxy RDS:Gruppe DBSecurity löschen RDS:löschen DBSnapshot RDS:Gruppe löschen DBSubnet rds: DeleteEventSubscription rds: DeleteGlobalCluster rds: DeleteOptionGroup rdsDBProxy: Ziele deregistrieren rds: DescribeAccountAttributes rds: DescribeBlueGreenDeployments rds: DescribeCertificates rds: Beschreiben DBCluster AutomatedBackups RDS:Beschreibe Backtracks DBCluster RDS: Endpunkte DBCluster beschreiben RDS: Beschreiben DBCluster ParameterGroups RDS:Parameter beschreiben DBCluster RDS:Beschreiben DBCluster SnapshotAttributes RDS:Schnappschüsse beschreiben DBCluster RDS: Beschreiben DBClusters RDS:Versionen beschreiben DBEngine RDS:Beschreiben DBInstance AutomatedBackups RDS: Beschreiben DBInstances RDS:Dateien beschreiben DBLog RDS:Beschreiben DBMajor EngineVersions RDS:Gruppen beschreiben DBParameter RDS:Beschreiben DBParameters RDS: Beschreiben DBProxies RDS:Endpunkte beschreiben DBProxy RDS: Beschreiben DBProxy TargetGroups RDS:Ziele beschreiben DBProxy RDS: Beschreiben DBRecommendations RDS:Gruppen beschreiben DBSecurity RDS:Attribute DBSnapshot beschreiben RDS:Beschreiben DBSnapshot TenantDatabases RDS: Beschreiben DBSnapshots RDS:Gruppen beschreiben DBSubnet rds: DescribeEngineDefaultClusterParameters rds: DescribeEngineDefaultParameters rds: DescribeEventCategories rds: DescribeEventSubscriptions rds: DescribeEvents rds: DescribeExportTasks rds: DescribeGlobalClusters rds: DescribeIntegrations rds: DescribeOptionGroupOptions rds: DescribeOptionGroups rds: DescribeOrderable DBInstance Optionen rds: DescribePendingMaintenanceActions rds: DescribeReserved DBInstances rds: DescribeReserved DBInstances Angebote rds: DescribeSourceRegions rds: DescribeTenantDatabases rds: DescribeValid DBInstance Änderungen rds: DownloadComplete DBLog Datei RDS: Herunterladen DBLog FilePortion RDS: Failover DBCluster rds: FailoverGlobalCluster rds: ModifyActivityStream rds: ModifyCertificates rds: ModifyCurrent DBCluster Kapazität rdsDBCluster: Endpunkt ändern RDS:ändern DBCluster ParameterGroup RDS:ändern DBCluster SnapshotAttribute RDS:Gruppe ändern DBParameter RDS:ändern DBProxy RDS:Endpunkt ändern DBProxy RDS:ändern DBProxy TargetGroup RDS:ändern DBRecommendation RDS:ändern DBSnapshot RDS:Attribut ändern DBSnapshot RDS:Gruppe DBSubnet ändern rds: ModifyEventSubscription rds: ModifyGlobalCluster rds: ModifyOptionGroup rds: ModifyTenantDatabase rds: PurchaseReserved DBInstances Angebot RDS: Neustart DBCluster RDS:Ziele registrieren DBProxy rds: RemoveFromGlobalCluster rds: RemoveRoleFrom DBCluster rds: RemoveRoleFrom DBInstance rds: RemoveSourceIdentifierFromSubscription RDS: Zurücksetzen DBCluster ParameterGroup RDS:Gruppe zurücksetzen DBParameter RDS: Aus S3 DBCluster wiederherstellen RDS: Wiederherstellen DBCluster FromSnapshot RDS: Wiederherstellen DBCluster ToPointInTime RDS:Wiederherstellen DBInstance von DBSnapshot RDS: DBInstance Aus S3 wiederherstellen RDS: Wiederherstellen DBInstance ToPointInTime RDS: Widerrufen DBSecurity GroupIngress rds: StartActivityStream RDS: starten DBCluster RDS: Start DBInstance RDS: Start DBInstance AutomatedBackupsReplication rds: StartExportTask rds: StopActivityStream RDS: Stopp DBCluster RDS: Stopp DBInstance RDS: Stopp DBInstance AutomatedBackupsReplication rds: SwitchoverBlueGreenDeployment rds: SwitchoverGlobalCluster rds: SwitchoverReadReplica  | 
| redshift |  Rotverschiebung: AcceptReservedNodeExchange Rotverschiebung: AddPartner Rotverschiebung: AssociateDataShareConsumer Rotverschiebung: AuthorizeClusterSecurityGroupIngress Rotverschiebung: AuthorizeDataShare Rotverschiebung: AuthorizeEndpointAccess Rotverschiebung: AuthorizeSnapshotAccess Rotverschiebung: BatchDeleteClusterSnapshots Rotverschiebung: BatchModifyClusterSnapshots Rotverschiebung: CancelQuery Rotverschiebung: CancelResize Rotverschiebung: CopyClusterSnapshot Rotverschiebung: CreateAuthenticationProfile Rotverschiebung: CreateCluster Rotverschiebung: CreateClusterParameterGroup Rotverschiebung: CreateClusterSecurityGroup Rotverschiebung: CreateClusterSnapshot Rotverschiebung: CreateClusterSubnetGroup Rotverschiebung: CreateCustomDomainAssociation Rotverschiebung: CreateEndpointAccess Rotverschiebung: CreateEventSubscription Rotverschiebung: CreateHsmClientCertificate Rotverschiebung: CreateHsmConfiguration Rotverschiebung: CreateIntegration Rotverschiebung: CreateRedshiftIdcApplication Rotverschiebung: CreateScheduledAction Rotverschiebung: CreateSnapshotCopyGrant Rotverschiebung: CreateSnapshotSchedule Rotverschiebung: CreateUsageLimit Rotverschiebung: DeauthorizeDataShare Rotverschiebung: DeleteAuthenticationProfile Rotverschiebung: DeleteCluster Rotverschiebung: DeleteClusterParameterGroup Rotverschiebung: DeleteClusterSecurityGroup Rotverschiebung: DeleteClusterSnapshot Rotverschiebung: DeleteClusterSubnetGroup Rotverschiebung: DeleteCustomDomainAssociation Rotverschiebung: DeleteEndpointAccess Rotverschiebung: DeleteEventSubscription Rotverschiebung: DeleteHsmClientCertificate Rotverschiebung: DeleteHsmConfiguration Rotverschiebung: DeletePartner Rotverschiebung: DeleteRedshiftIdcApplication Rotverschiebung: DeleteResourcePolicy Rotverschiebung: DeleteScheduledAction Rotverschiebung: DeleteSnapshotCopyGrant Rotverschiebung: DeleteSnapshotSchedule Rotverschiebung: DeleteUsageLimit Rotverschiebung: DeregisterNamespace Rotverschiebung: DescribeAccountAttributes Rotverschiebung: DescribeAuthenticationProfiles Rotverschiebung: DescribeClusterDbRevisions Rotverschiebung: DescribeClusterParameterGroups Rotverschiebung: DescribeClusterParameters Rotverschiebung: DescribeClusterSecurityGroups Rotverschiebung: DescribeClusterSnapshots Rotverschiebung: DescribeClusterSubnetGroups Rotverschiebung: DescribeClusterTracks Rotverschiebung: DescribeClusterVersions Rotverschiebung: DescribeClusters Rotverschiebung: DescribeCustomDomainAssociations Rotverschiebung: DescribeDataShares Rotverschiebung: DescribeDataSharesForConsumer Rotverschiebung: DescribeDataSharesForProducer Rotverschiebung: DescribeDefaultClusterParameters Rotverschiebung: DescribeEndpointAccess Rotverschiebung: DescribeEndpointAuthorization Rotverschiebung: DescribeEventCategories Rotverschiebung: DescribeEventSubscriptions Rotverschiebung: DescribeEvents Rotverschiebung: DescribeHsmClientCertificates Rotverschiebung: DescribeHsmConfigurations Rotverschiebung: DescribeInboundIntegrations Rotverschiebung: DescribeIntegrations Rotverschiebung: DescribeLoggingStatus Rotverschiebung: DescribeNodeConfigurationOptions Rotverschiebung: DescribeOrderableClusterOptions Rotverschiebung: DescribePartners Rotverschiebung: DescribeRedshiftIdcApplications Rotverschiebung: DescribeReservedNodeExchangeStatus Rotverschiebung: DescribeReservedNodeOfferings Rotverschiebung: DescribeReservedNodes Rotverschiebung: DescribeResize Rotverschiebung: DescribeScheduledActions Rotverschiebung: DescribeSnapshotCopyGrants Rotverschiebung: DescribeSnapshotSchedules Rotverschiebung: DescribeStorage Rotverschiebung: DescribeTableRestoreStatus Rotverschiebung: DescribeUsageLimits Rotverschiebung: DisableLogging Rotverschiebung: DisableSnapshotCopy Rotverschiebung: DisassociateDataShareConsumer Rotverschiebung: EnableLogging Rotverschiebung: EnableSnapshotCopy Rotverschiebung: FailoverPrimaryCompute Rotverschiebung: GetClusterCredentials Rotverschiebung: IAM GetClusterCredentialsWith Rotverschiebung: GetIdentityCenterAuthToken Rotverschiebung: GetReservedNodeExchangeConfigurationOptions Rotverschiebung: GetReservedNodeExchangeOfferings Rotverschiebung: GetResourcePolicy Rotverschiebung: ListRecommendations Rotverschiebung: ModifyAquaConfiguration Rotverschiebung: ModifyAuthenticationProfile Rotverschiebung: ModifyCluster Rotverschiebung: ModifyClusterDbRevision Rotverschiebung: ModifyClusterIamRoles Rotverschiebung: ModifyClusterMaintenance Rotverschiebung: ModifyClusterParameterGroup Rotverschiebung: ModifyClusterSnapshot Rotverschiebung: ModifyClusterSnapshotSchedule Rotverschiebung: ModifyClusterSubnetGroup Rotverschiebung: ModifyCustomDomainAssociation Rotverschiebung: ModifyEndpointAccess Rotverschiebung: ModifyEventSubscription Rotverschiebung: ModifyRedshiftIdcApplication Rotverschiebung: ModifyScheduledAction Rotverschiebung: ModifySnapshotCopyRetentionPeriod Rotverschiebung: ModifySnapshotSchedule Rotverschiebung: ModifyUsageLimit Rotverschiebung: PauseCluster Rotverschiebung: PurchaseReservedNodeOffering Rotverschiebung: PutResourcePolicy Rotverschiebung: RebootCluster Rotverschiebung: RegisterNamespace Rotverschiebung: RejectDataShare Rotverschiebung: ResetClusterParameterGroup Rotverschiebung: ResizeCluster Rotverschiebung: RestoreFromClusterSnapshot Rotverschiebung: RestoreTableFromClusterSnapshot Rotverschiebung: ResumeCluster Rotverschiebung: RevokeClusterSecurityGroupIngress Rotverschiebung: RevokeEndpointAccess Rotverschiebung: RevokeSnapshotAccess Rotverschiebung: RotateEncryptionKey Rotverschiebung: UpdatePartnerStatus  | 
| redshift-data |  Rotverschiebungsdaten: BatchExecuteStatement Redshift-Daten: CancelStatement Redshift-Daten: DescribeStatement Redshift-Daten: DescribeTable Redshift-Daten: ExecuteStatement Redshift-Daten: GetStatementResult Redshift-Daten: ListDatabases Redshift-Daten: ListSchemas Redshift-Daten: ListStatements Redshift-Daten: ListTables  | 
| refactor-spaces |  Refaktor-Räume: CreateApplication Refaktor-Räume: CreateEnvironment Refaktor-Räume: CreateRoute Refaktor-Räume: CreateService Refaktor-Räume: DeleteApplication Refaktor-Räume: DeleteEnvironment Refaktor-Räume: DeleteResourcePolicy Refaktor-Räume: DeleteRoute Refaktor-Räume: DeleteService Refaktor-Räume: GetApplication Refaktor-Räume: GetEnvironment Refaktor-Räume: GetResourcePolicy Refaktor-Räume: GetRoute Refaktor-Räume: GetService Refaktor-Räume: ListApplications Refaktor-Räume: ListEnvironmentVpcs Refaktor-Räume: ListEnvironments Refaktor-Räume: ListRoutes Refaktor-Räume: ListServices Refaktor-Räume: PutResourcePolicy Refaktor-Räume: UpdateRoute  | 
| Rekognition |  Anerkennung: AssociateFaces Wiedererkennung: CompareFaces Wiedererkennung: CopyProjectVersion Wiedererkennung: CreateCollection Wiedererkennung: CreateDataset Wiedererkennung: CreateFaceLivenessSession Wiedererkennung: CreateProject Wiedererkennung: CreateProjectVersion Wiedererkennung: CreateStreamProcessor Wiedererkennung: CreateUser Wiedererkennung: DeleteCollection Wiedererkennung: DeleteDataset Wiedererkennung: DeleteFaces Wiedererkennung: DeleteProject Wiedererkennung: DeleteProjectPolicy Wiedererkennung: DeleteProjectVersion Wiedererkennung: DeleteStreamProcessor Wiedererkennung: DeleteUser Wiedererkennung: DescribeCollection Wiedererkennung: DescribeDataset Wiedererkennung: DescribeProjectVersions Wiedererkennung: DescribeProjects Wiedererkennung: DescribeStreamProcessor Wiedererkennung: DetectCustomLabels Wiedererkennung: DetectFaces Wiedererkennung: DetectLabels Wiedererkennung: DetectModerationLabels Wiedererkennung: DetectProtectiveEquipment Wiedererkennung: DetectText Wiedererkennung: DisassociateFaces Wiedererkennung: DistributeDatasetEntries Wiedererkennung: GetCelebrityInfo Wiedererkennung: GetCelebrityRecognition Wiedererkennung: GetContentModeration Wiedererkennung: GetFaceDetection Wiedererkennung: GetFaceLivenessSessionResults Wiedererkennung: GetFaceSearch Wiedererkennung: GetLabelDetection Wiedererkennung: GetMediaAnalysisJob Wiedererkennung: GetPersonTracking Wiedererkennung: GetSegmentDetection Wiedererkennung: GetTextDetection Wiedererkennung: IndexFaces Wiedererkennung: ListCollections Wiedererkennung: ListDatasetEntries Wiedererkennung: ListDatasetLabels Wiedererkennung: ListFaces Wiedererkennung: ListMediaAnalysisJobs Wiedererkennung: ListProjectPolicies Wiedererkennung: ListStreamProcessors Wiedererkennung: ListUsers Wiedererkennung: PutProjectPolicy Wiedererkennung: RecognizeCelebrities Wiedererkennung: SearchFaces Wiedererkennung: SearchFacesByImage Wiedererkennung: SearchUsers Wiedererkennung: SearchUsersByImage Wiedererkennung: StartCelebrityRecognition Wiedererkennung: StartContentModeration Wiedererkennung: StartFaceDetection Wiedererkennung: StartFaceLivenessSession Wiedererkennung: StartFaceSearch Wiedererkennung: StartLabelDetection Wiedererkennung: StartMediaAnalysisJob Wiedererkennung: StartPersonTracking Wiedererkennung: StartProjectVersion Wiedererkennung: StartSegmentDetection Wiedererkennung: StartStreamProcessor Wiedererkennung: StartTextDetection Wiedererkennung: StopProjectVersion Wiedererkennung: StopStreamProcessor Wiedererkennung: UpdateDatasetEntries Wiedererkennung: UpdateStreamProcessor  | 
| resiliencehub |  Zentrum für Resilienz: AcceptResourceGroupingRecommendations Resiliencehub: AddDraftAppVersionResourceMappings Resiliencehub: BatchUpdateRecommendationStatus Resiliencehub: CreateApp Resiliencehub: CreateAppVersionAppComponent Resiliencehub: CreateAppVersionResource Resiliencehub: CreateRecommendationTemplate Resiliencehub: CreateResiliencyPolicy Resiliencehub: DeleteApp Resiliencehub: DeleteAppAssessment Resiliencehub: DeleteAppInputSource Resiliencehub: DeleteAppVersionAppComponent Resiliencehub: DeleteAppVersionResource Resiliencehub: DeleteRecommendationTemplate Resiliencehub: DeleteResiliencyPolicy Resiliencehub: DescribeApp Resiliencehub: DescribeAppAssessment Resiliencehub: DescribeAppVersion Resiliencehub: DescribeAppVersionAppComponent Resiliencehub: DescribeAppVersionResource Resiliencehub: DescribeAppVersionResourcesResolutionStatus Resiliencehub: DescribeAppVersionTemplate Resiliencehub: DescribeDraftAppVersionResourcesImportStatus Resiliencehub: DescribeMetricsExport Resiliencehub: DescribeResiliencyPolicy Resiliencehub: DescribeResourceGroupingRecommendationTask Resiliencehub: ImportResourcesToDraftAppVersion Resiliencehub: ListAlarmRecommendations Resiliencehub: ListAppAssessmentComplianceDrifts Resiliencehub: ListAppAssessmentResourceDrifts Resiliencehub: ListAppAssessments Resiliencehub: ListAppComponentCompliances Resiliencehub: ListAppComponentRecommendations Resiliencehub: ListAppInputSources Resiliencehub: ListAppVersionAppComponents Resiliencehub: ListAppVersionResourceMappings Resiliencehub: ListAppVersionResources Resiliencehub: ListAppVersions Resiliencehub: ListApps Resiliencehub: ListMetrics Resiliencehub: ListRecommendationTemplates Resiliencehub: ListResiliencyPolicies Resilienzzentrum: ListResourceGroupingRecommendations Resilienzzentrum: ListSopRecommendations Resilienzzentrum: ListSuggestedResiliencyPolicies Resilienzzentrum: ListTestRecommendations Resilienzzentrum: ListUnsupportedAppVersionResources Resilienzzentrum: PublishAppVersion Resilienzzentrum: PutDraftAppVersionTemplate Resilienzzentrum: RejectResourceGroupingRecommendations Resilienzzentrum: RemoveDraftAppVersionResourceMappings Resilienzzentrum: ResolveAppVersionResources Resilienzzentrum: StartAppAssessment Resilienzzentrum: StartResourceGroupingRecommendationTask Resilienzzentrum: UpdateApp Resilienzzentrum: UpdateAppVersion Resilienzzentrum: UpdateAppVersionAppComponent Resilienzzentrum: UpdateAppVersionResource Resilienzzentrum: UpdateResiliencyPolicy  | 
| resource-explorer-2 |  Ressourcen-Explorer-2: AssociateDefaultView Ressourcen-Explorer-2: BatchGetView Ressourcen-Explorer-2: CreateIndex Ressourcen-Explorer-2: CreateResourceExplorerSetup Ressourcen-Explorer-2: CreateView Ressourcen-Explorer-2: DeleteIndex Ressourcen-Explorer-2: DeleteResourceExplorerSetup Ressourcen-Explorer-2: DeleteView Ressourcen-Explorer-2: DisassociateDefaultView Ressourcen-Explorer-2: GetAccountLevelServiceConfiguration Ressourcen-Explorer-2: GetDefaultView Ressourcen-Explorer-2: GetIndex Ressourcen-Explorer-2: GetManagedView Ressourcen-Explorer-2: GetResourceExplorerSetup Ressourcen-Explorer-2: GetServiceIndex Ressourcen-Explorer-2: GetServiceView Ressourcen-Explorer-2: ListIndexes Ressourcen-Explorer-2: ListIndexesForMembers Ressourcen-Explorer-2: ListManagedViews Ressourcen-Explorer-2: ListServiceIndexes Ressourcen-Explorer-2: ListServiceViews Ressourcen-Explorer-2: ListStreamingAccessForServices Ressourcen-Explorer-2: ListSupportedResourceTypes Ressourcen-Explorer-2: ListViews resource-explorer-2:Search Ressourcen-Explorer-2: UpdateIndexType Ressourcen-Explorer-2: UpdateView  | 
| resource-groups |  Ressourcengruppen: CancelTagSyncTask Ressourcengruppen: GetAccountSettings Ressourcengruppen: GetGroup Ressourcengruppen: GetGroupConfiguration Ressourcengruppen: GetGroupQuery Ressourcengruppen: GetTagSyncTask Ressourcengruppen: GroupResources Ressourcengruppen: ListGroupResources Ressourcengruppen: ListGroupingStatuses Ressourcengruppen: ListGroups Ressourcengruppen: ListTagSyncTasks Ressourcengruppen: PutGroupConfiguration Ressourcengruppen: SearchResources Ressourcengruppen: StartTagSyncTask Ressourcengruppen: UngroupResources Ressourcengruppen: UpdateAccountSettings Ressourcengruppen: UpdateGroup Ressourcengruppen: UpdateGroupQuery  | 
| robomaker |  Roboterhersteller: BatchDeleteWorlds Roboterhersteller: BatchDescribeSimulationJob Roboterhersteller: CancelDeploymentJob Roboterhersteller: CancelSimulationJob Roboterhersteller: CancelSimulationJobBatch Roboterhersteller: CancelWorldExportJob Roboterhersteller: CancelWorldGenerationJob Roboterhersteller: CreateDeploymentJob Roboterhersteller: CreateFleet Roboterhersteller: CreateRobot Roboterhersteller: CreateRobotApplication Roboterhersteller: CreateRobotApplicationVersion Roboterhersteller: CreateSimulationApplication Roboterhersteller: CreateSimulationApplicationVersion Roboterhersteller: CreateSimulationJob Roboterhersteller: CreateWorldExportJob Roboterhersteller: CreateWorldGenerationJob Roboterhersteller: CreateWorldTemplate Roboterhersteller: DeleteFleet Roboterhersteller: DeleteRobot Roboterhersteller: DeleteRobotApplication Roboterhersteller: DeleteSimulationApplication Roboterhersteller: DeleteWorldTemplate Roboterhersteller: DeregisterRobot Roboterhersteller: DescribeDeploymentJob Roboterhersteller: DescribeFleet Roboterhersteller: DescribeRobot Roboterhersteller: DescribeRobotApplication Roboterhersteller: DescribeSimulationApplication Roboterhersteller: DescribeSimulationJob Roboterhersteller: DescribeSimulationJobBatch Roboterhersteller: DescribeWorld Roboterhersteller: DescribeWorldExportJob Roboterhersteller: DescribeWorldGenerationJob Roboterhersteller: DescribeWorldTemplate Roboterhersteller: GetWorldTemplateBody Roboterhersteller: ListDeploymentJobs Roboterhersteller: ListFleets Roboterhersteller: ListRobotApplications Roboterhersteller: ListRobots Roboterhersteller: ListSimulationApplications Roboterhersteller: ListSimulationJobBatches Roboterhersteller: ListSimulationJobs Roboterhersteller: ListWorldExportJobs Roboterhersteller: ListWorldGenerationJobs Roboterhersteller: ListWorldTemplates Roboterhersteller: ListWorlds Roboterhersteller: RegisterRobot Roboterhersteller: RestartSimulationJob Roboterhersteller: StartSimulationJobBatch Roboterhersteller: SyncDeploymentJob Roboterhersteller: UpdateRobotApplication Roboterhersteller: UpdateSimulationApplication Roboterhersteller: UpdateWorldTemplate  | 
| rolesanywhere |  Rollen überall: CreateProfile Rollen überall: CreateTrustAnchor Rollen überall: DeleteAttributeMapping Rollen überall: DeleteCrl Rollen überall: DeleteProfile Rollen überall: DeleteTrustAnchor Rollen überall: DisableCrl Rollen überall: DisableProfile Rollen überall: DisableTrustAnchor Rollen überall: EnableCrl Rollen überall: EnableProfile Rollen überall: EnableTrustAnchor Rollen überall: GetCrl Rollen überall: GetProfile Rollen überall: GetSubject Rollen überall: GetTrustAnchor Rollen überall: ImportCrl Rollen überall: ListCrls Rollen überall: ListProfiles Rollen überall: ListSubjects Rollen überall: ListTrustAnchors Rollen überall: PutAttributeMapping Rollen überall: PutNotificationSettings Rollen überall: ResetNotificationSettings Rollen überall: UpdateCrl Rollen überall: UpdateProfile Rollen überall: UpdateTrustAnchor  | 
| route53 |  Route 53: ActivateKeySigningKey Route 53: assoziieren VPCWith HostedZone Route 53: ChangeCidrCollection Route 53: ChangeResourceRecordSets Route 53: CreateCidrCollection Route 53: CreateHealthCheck Route 53: CreateHostedZone Route 53: CreateKeySigningKey Route 53: CreateQueryLoggingConfig Route 53: CreateReusableDelegationSet Route 53: CreateTrafficPolicy Route 53: CreateTrafficPolicyInstance Route 53: CreateTrafficPolicyVersion route53: Autorisierung erstellen VPCAssociation Route 53: DeactivateKeySigningKey Route 53: DeleteCidrCollection Route 53: DeleteHealthCheck Route 53: DeleteHostedZone Route 53: DeleteKeySigningKey Route 53: DeleteQueryLoggingConfig Route 53: DeleteReusableDelegationSet Route 53: DeleteTrafficPolicy Route 53: DeleteTrafficPolicyInstance Route53: Autorisierung löschen VPCAssociation route53: DNSSEC DisableHostedZone Route 53: Verbindung trennen VPCFrom HostedZone Route 53: DNSSEC EnableHostedZone Route 53: GetAccountLimit Route 53: GetChange Route 53: GetCheckerIpRanges route53:GetDNSSEC Route 53: GetGeoLocation Route 53: GetHealthCheck Route 53: GetHealthCheckCount Route 53: GetHealthCheckLastFailureReason Route 53: GetHealthCheckStatus Route 53: GetHostedZone Route 53: GetHostedZoneCount Route 53: GetHostedZoneLimit Route 53: GetQueryLoggingConfig Route 53: GetReusableDelegationSet Route 53: GetReusableDelegationSetLimit Route 53: GetTrafficPolicy Route 53: GetTrafficPolicyInstance Route 53: GetTrafficPolicyInstanceCount Route 53: ListCidrBlocks Route 53: ListCidrCollections Route 53: ListCidrLocations Route 53: ListGeoLocations Route 53: ListHealthChecks Route 53: ListHostedZones Route 53: ListHostedZonesByName Route 53: VPC ListHostedZonesBy Route 53: ListQueryLoggingConfigs Route 53: ListResourceRecordSets Route 53: ListReusableDelegationSets Route 53: ListTrafficPolicies Route 53: ListTrafficPolicyInstances Route 53: ListTrafficPolicyInstancesByHostedZone Route 53: ListTrafficPolicyInstancesByPolicy Route 53: ListTrafficPolicyVersions Route53: Autorisierungen auflisten VPCAssociation Route 53: Testen DNSAnswer Route 53: UpdateHealthCheck Route 53: UpdateHostedZoneComment Route 53: UpdateTrafficPolicyComment Route 53: UpdateTrafficPolicyInstance  | 
| Route 53- recovery-control-config |  Route 53-: recovery-control-config CreateCluster Route 53-: recovery-control-config CreateControlPanel Route 53-: recovery-control-config CreateRoutingControl Route 53-: recovery-control-config CreateSafetyRule Route 53-: recovery-control-config DeleteCluster Route 53-: recovery-control-config DeleteControlPanel Route 53-: recovery-control-config DeleteRoutingControl Route 53-: recovery-control-config DeleteSafetyRule Route 53-: recovery-control-config DescribeCluster Route 53-: recovery-control-config DescribeControlPanel Route 53-: recovery-control-config DescribeRoutingControl Route 53-: recovery-control-config DescribeSafetyRule Route 53-: recovery-control-config GetResourcePolicy Route 53-: 53 recovery-control-config ListAssociatedRoute HealthChecks Route 53-: recovery-control-config ListClusters Route 53-: recovery-control-config ListControlPanels Route 53-: recovery-control-config ListRoutingControls Route 53-: recovery-control-config ListSafetyRules Route 53-: recovery-control-config UpdateCluster Route 53-: recovery-control-config UpdateControlPanel Route 53-: recovery-control-config UpdateRoutingControl Route 53-: recovery-control-config UpdateSafetyRule  | 
| route53-recovery-readiness |  route53 - Bereitschaft zur Wiederherstellung: CreateCell Route53-Wiederherstellungsbereitschaft: CreateCrossAccountAuthorization Route53-Wiederherstellungsbereitschaft: CreateReadinessCheck Route53-Wiederherstellungsbereitschaft: CreateRecoveryGroup Route53-Wiederherstellungsbereitschaft: CreateResourceSet Route53-Wiederherstellungsbereitschaft: DeleteCell Route53-Wiederherstellungsbereitschaft: DeleteCrossAccountAuthorization Route53-Wiederherstellungsbereitschaft: DeleteReadinessCheck Route53-Wiederherstellungsbereitschaft: DeleteRecoveryGroup Route53-Wiederherstellungsbereitschaft: DeleteResourceSet Route53-Wiederherstellungsbereitschaft: GetArchitectureRecommendations Route53-Wiederherstellungsbereitschaft: GetCell Route53-Wiederherstellungsbereitschaft: GetCellReadinessSummary Route53-Wiederherstellungsbereitschaft: GetReadinessCheck Route53-Wiederherstellungsbereitschaft: GetReadinessCheckResourceStatus Route53-Wiederherstellungsbereitschaft: GetReadinessCheckStatus Route53-Wiederherstellungsbereitschaft: GetRecoveryGroup Route53-Wiederherstellungsbereitschaft: GetRecoveryGroupReadinessSummary Route53-Wiederherstellungsbereitschaft: GetResourceSet Route53-Wiederherstellungsbereitschaft: ListCells Route53-Wiederherstellungsbereitschaft: ListCrossAccountAuthorizations Route53-Wiederherstellungsbereitschaft: ListReadinessChecks Route53-Wiederherstellungsbereitschaft: ListRecoveryGroups Route53-Wiederherstellungsbereitschaft: ListResourceSets Route53-Wiederherstellungsbereitschaft: ListRules Route53-Wiederherstellungsbereitschaft: UpdateCell Route53-Wiederherstellungsbereitschaft: UpdateReadinessCheck Route53-Wiederherstellungsbereitschaft: UpdateRecoveryGroup Route53-Wiederherstellungsbereitschaft: UpdateResourceSet  | 
| route53resolver |  Route53-Resolver: AssociateFirewallRuleGroup Route53-Resolver: AssociateResolverEndpointIpAddress Route53-Resolver: AssociateResolverQueryLogConfig Route53-Resolver: AssociateResolverRule Route53-Resolver: CreateFirewallDomainList Route53-Resolver: CreateFirewallRule Route53-Resolver: CreateFirewallRuleGroup Route53-Resolver: CreateResolverEndpoint Route53-Resolver: CreateResolverQueryLogConfig Route53-Resolver: CreateResolverRule Route53-Resolver: DeleteFirewallDomainList Route53-Resolver: DeleteFirewallRule Route53-Resolver: DeleteFirewallRuleGroup Route53-Resolver: DeleteOutpostResolver Route53-Resolver: DeleteResolverEndpoint Route53-Resolver: DeleteResolverQueryLogConfig Route53-Resolver: DeleteResolverRule Route53-Resolver: DisassociateFirewallRuleGroup Route53-Resolver: DisassociateResolverEndpointIpAddress Route53-Resolver: DisassociateResolverQueryLogConfig Route53-Resolver: DisassociateResolverRule Route53-Resolver: GetFirewallConfig Route53-Resolver: GetFirewallDomainList Route53-Resolver: GetFirewallRuleGroup Route53-Resolver: GetFirewallRuleGroupAssociation Route53-Resolver: GetFirewallRuleGroupPolicy Route53-Resolver: GetOutpostResolver Route53-Resolver: GetResolverConfig Route53-Resolver: GetResolverDnssecConfig Route53-Resolver: GetResolverEndpoint Route53-Resolver: GetResolverQueryLogConfig Route53-Resolver: GetResolverQueryLogConfigAssociation Route53-Resolver: GetResolverQueryLogConfigPolicy Route53-Resolver: GetResolverRule Route53-Resolver: GetResolverRuleAssociation Route53-Resolver: GetResolverRulePolicy Route53-Resolver: ImportFirewallDomains Route53-Resolver: ListFirewallConfigs Route53-Resolver: ListFirewallDomainLists Route53-Resolver: ListFirewallDomains Route53-Resolver: ListFirewallRuleGroupAssociations Route53-Resolver: ListFirewallRuleGroups Route53-Resolver: ListFirewallRules Route53-Resolver: ListOutpostResolvers Route53-Resolver: ListResolverConfigs Route53-Resolver: ListResolverDnssecConfigs Route53-Resolver: ListResolverEndpointIpAddresses Route53-Resolver: ListResolverEndpoints Route53-Resolver: ListResolverQueryLogConfigAssociations Route53-Resolver: ListResolverQueryLogConfigs Route53-Resolver: ListResolverRuleAssociations Route53-Resolver: ListResolverRules Route53-Resolver: PutFirewallRuleGroupPolicy Route53-Resolver: PutResolverQueryLogConfigPolicy Route53-Resolver: UpdateFirewallConfig Route53-Resolver: UpdateFirewallDomains Route53-Resolver: UpdateFirewallRule Route53-Resolver: UpdateFirewallRuleGroupAssociation Route53-Resolver: UpdateOutpostResolver Route53-Resolver: UpdateResolverConfig Route53-Resolver: UpdateResolverDnssecConfig Route53-Resolver: UpdateResolverEndpoint Route53-Resolver: UpdateResolverRule  | 
| rum |  Schlagzeug: BatchCreateRumMetricDefinitions Rum: BatchDeleteRumMetricDefinitions Rum: BatchGetRumMetricDefinitions Rum: CreateAppMonitor Rum: DeleteAppMonitor Rum: DeleteResourcePolicy Rum: DeleteRumMetricsDestination Rum: GetAppMonitor Rum: GetAppMonitorData Rum: GetResourcePolicy Rum: ListAppMonitors Rum: ListRumMetricsDestinations Rum: PutResourcePolicy Rum: PutRumMetricsDestination Rum: UpdateAppMonitor Rum: UpdateRumMetricDefinition  | 
| S3 |  3: AssociateAccessGrantsIdentityCenter s3: CreateAccessGrant s3: CreateAccessGrantsInstance s3: CreateAccessGrantsLocation s3: CreateAccessPoint s3: CreateAccessPointForObjectLambda s3: CreateBucket s3: CreateBucketMetadataTableConfiguration s3: CreateJob s3: CreateMultiRegionAccessPoint s3: DeleteAccessGrant s3: DeleteAccessGrantsInstance s3: DeleteAccessGrantsInstanceResourcePolicy s3: DeleteAccessGrantsLocation s3: DeleteAccessPoint s3: DeleteAccessPointForObjectLambda s3: DeleteAccessPointPolicy s3: DeleteAccessPointPolicyForObjectLambda s3: DeleteBucket s3: DeleteBucketMetadataTableConfiguration s3: DeleteBucketPolicy s3: DeleteBucketWebsite s3: DeleteMultiRegionAccessPoint s3: DeleteStorageLensConfiguration s3: DescribeJob s3: DescribeMultiRegionAccessPointOperation s3: DissociateAccessGrantsIdentityCenter s3: GetAccelerateConfiguration s3: GetAccessGrant s3: GetAccessGrantsInstance s3: GetAccessGrantsInstanceForPrefix s3: GetAccessGrantsInstanceResourcePolicy s3: GetAccessGrantsLocation s3: GetAccessPoint s3: GetAccessPointConfigurationForObjectLambda s3: GetAccessPointForObjectLambda s3: GetAccessPointPolicy s3: GetAccessPointPolicyForObjectLambda s3: GetAccessPointPolicyStatus s3: GetAccessPointPolicyStatusForObjectLambda s3: GetAccountPublicAccessBlock s3: GetAnalyticsConfiguration s3: GetBucketAbac s3: GetBucketAcl s3: GetBucket CORS s3: GetBucketLocation s3: GetBucketLogging s3: GetBucketNotification s3: GetBucketObjectLockConfiguration s3: GetBucketOwnershipControls s3: GetBucketPolicy s3: GetBucketPolicyStatus s3: GetBucketPublicAccessBlock s3: GetBucketRequestPayment s3: GetBucketVersioning s3: GetBucketWebsite s3: GetDataAccess s3: GetEncryptionConfiguration s3: GetIntelligentTieringConfiguration s3: GetInventoryConfiguration s3: GetLifecycleConfiguration s3: GetMetricsConfiguration s3: GetMultiRegionAccessPoint s3: GetMultiRegionAccessPointPolicy s3: GetMultiRegionAccessPointPolicyStatus s3: GetMultiRegionAccessPointRoutes s3: GetReplicationConfiguration s3: GetStorageLensConfiguration s3: GetStorageLensDashboard s3: ListAccessGrants s3: ListAccessGrantsInstances s3: ListAccessGrantsLocations s3: ListAccessPoints s3: ListAccessPointsForObjectLambda s3: ListAllMyBuckets s3: ListBucketMultipartUploads s3: ListCallerAccessGrants s3: ListJobs s3: ListMultiRegionAccessPoints s3: ListStorageLensConfigurations s3: PutAccelerateConfiguration s3: PutAccessGrantsInstanceResourcePolicy s3: PutAccessPointConfigurationForObjectLambda s3: PutAccessPointPolicy s3: PutAccessPointPolicyForObjectLambda s3: PutAccountPublicAccessBlock s3: PutAnalyticsConfiguration s3: PutBucketAbac s3: PutBucketAcl s3: PutBucket CORS s3: PutBucketLogging s3: PutBucketNotification s3: PutBucketObjectLockConfiguration s3: PutBucketOwnershipControls s3: PutBucketPolicy s3: PutBucketPublicAccessBlock s3: PutBucketRequestPayment s3: PutBucketVersioning s3: PutBucketWebsite s3: PutEncryptionConfiguration s3: PutIntelligentTieringConfiguration s3: PutInventoryConfiguration s3: PutLifecycleConfiguration s3: PutMetricsConfiguration s3: PutMultiRegionAccessPointPolicy s3: PutReplicationConfiguration s3: PutStorageLensConfiguration s3: SubmitMultiRegionAccessPointRoutes s3: UpdateAccessGrantsLocation s3: UpdateBucketMetadataJournalTableConfiguration s3: UpdateJobPriority s3: UpdateJobStatus  | 
| s3-outposts |  s3-Außenposten: CreateEndpoint s3-Außenposten: DeleteEndpoint s3-Außenposten: ListEndpoints s3-Außenposten: S3 ListOutpostsWith s3-Außenposten: ListSharedEndpoints  | 
| sagemaker-geospatial |  Sagemaker-Geospatial: DeleteEarthObservationJob Sagemaker-Geospatial: DeleteVectorEnrichmentJob Sagemaker-Geospatial: ExportEarthObservationJob Sagemaker-Geospatial: ExportVectorEnrichmentJob Sagemaker-Geospatial: GetEarthObservationJob Sagemaker-Geospatial: GetRasterDataCollection Sagemaker-Geospatial: GetTile Sagemaker-Geospatial: GetVectorEnrichmentJob Sagemaker-Geospatial: ListEarthObservationJobs Sagemaker-Geospatial: ListRasterDataCollections Sagemaker-Geospatial: ListVectorEnrichmentJobs Sagemaker-Geospatial: SearchRasterDataCollection Sagemaker-Geospatial: StartEarthObservationJob Sagemaker-Geospatial: StartVectorEnrichmentJob Sagemaker-Geospatial: StopEarthObservationJob Sagemaker-Geospatial: StopVectorEnrichmentJob  | 
| savingsplans |  Sparpläne: CreateSavingsPlan Sparpläne: DeleteQueuedSavingsPlan Sparpläne: DescribeSavingsPlanRates Sparpläne: DescribeSavingsPlans Sparpläne: DescribeSavingsPlansOfferingRates Sparpläne: DescribeSavingsPlansOfferings Sparpläne: ReturnSavingsPlan  | 
| schemas |  Schemas: CreateDiscoverer Schemas: CreateRegistry Schemas: CreateSchema Schemas: DeleteDiscoverer Schemas: DeleteRegistry Schemas: DeleteResourcePolicy Schemas: DeleteSchema Schemas: DeleteSchemaVersion Schemas: DescribeCodeBinding Schemas: DescribeDiscoverer Schemas: DescribeRegistry Schemas: DescribeSchema Schemas: ExportSchema Schemas: GetCodeBindingSource Schemas: GetDiscoveredSchema Schemas: GetResourcePolicy Schemas: ListDiscoverers Schemas: ListRegistries Schemas: ListSchemaVersions Schemas: ListSchemas Schemas: PutCodeBinding Schemas: PutResourcePolicy Schemas: SearchSchemas Schemas: StartDiscoverer Schemas: StopDiscoverer Schemas: UpdateDiscoverer Schemas: UpdateRegistry Schemas: UpdateSchema  | 
| sdb |  sdb: CreateDomain sdb: DeleteDomain sdb: DomainMetadata sdb: ListDomains  | 
| secretsmanager |  Verwalter von Geheimnissen: CancelRotateSecret Verwalter von Geheimnissen: CreateSecret Verwalter von Geheimnissen: DeleteResourcePolicy Verwalter von Geheimnissen: DeleteSecret Verwalter von Geheimnissen: DescribeSecret Verwalter von Geheimnissen: GetRandomPassword Verwalter von Geheimnissen: GetResourcePolicy Verwalter von Geheimnissen: GetSecretValue Verwalter von Geheimnissen: ListSecretVersionIds Verwalter von Geheimnissen: ListSecrets Verwalter von Geheimnissen: PutResourcePolicy Verwalter von Geheimnissen: PutSecretValue Verwalter von Geheimnissen: RemoveRegionsFromReplication Verwalter von Geheimnissen: ReplicateSecretToRegions Verwalter von Geheimnissen: RestoreSecret Verwalter von Geheimnissen: RotateSecret Verwalter von Geheimnissen: StopReplicationToReplica Verwalter von Geheimnissen: UpdateSecret Verwalter von Geheimnissen: ValidateResourcePolicy  | 
| securityhub |  Sicherheitszentrum: AcceptAdministratorInvitation Sicherheitszentrum: AcceptInvitation Sicherheitszentrum: BatchDeleteAutomationRules Sicherheitszentrum: BatchDisableStandards Sicherheitszentrum: BatchEnableStandards Sicherheitszentrum: BatchGetAutomationRules Sicherheitszentrum: BatchGetConfigurationPolicyAssociations Sicherheitszentrum: BatchGetSecurityControls Sicherheitszentrum: BatchGetStandardsControlAssociations Sicherheitszentrum: BatchImportFindings Sicherheitszentrum: BatchUpdateAutomationRules Sicherheitszentrum: BatchUpdateFindings Sicherheitszentrum: BatchUpdateStandardsControlAssociations Sicherheitshub: V2 ConnectorRegistrations Sicherheitshub: CreateActionTarget Sicherheitshub: V2 CreateAggregator Sicherheitshub: CreateAutomationRule Sicherheitshub: V2 CreateAutomationRule Sicherheitshub: CreateConfigurationPolicy Sicherheitshub: V2 CreateConnector Sicherheitshub: CreateFindingAggregator Sicherheitszentrum: CreateInsight Sicherheitszentrum: CreateMembers Sicherheitshub: V2 CreateTicket Sicherheitshub: DeclineInvitations Sicherheitszentrum: DeleteActionTarget Sicherheitshub: V2 DeleteAggregator Sicherheitshub: V2 DeleteAutomationRule Sicherheitshub: DeleteConfigurationPolicy Sicherheitshub: V2 DeleteConnector Sicherheitshub: DeleteFindingAggregator Sicherheitszentrum: DeleteInsight Sicherheitszentrum: DeleteInvitations Sicherheitszentrum: DeleteMembers Sicherheitszentrum: DescribeActionTargets Sicherheitszentrum: DescribeHub Sicherheitszentrum: DescribeOrganizationConfiguration Sicherheitszentrum: DescribeProducts Sicherheitshub: V2 DescribeSecurityHub Sicherheitshub: DescribeStandards Sicherheitszentrum: DisableImportFindingsForProduct Sicherheitszentrum: DisableOrganizationAdminAccount Sicherheitszentrum: DisableSecurityHub Sicherheitshub: V2 DisableSecurityHub Sicherheitshub: DisassociateFromAdministratorAccount Sicherheitszentrum: DisassociateFromMasterAccount Sicherheitszentrum: DisassociateMembers Sicherheitszentrum: EnableImportFindingsForProduct Sicherheitszentrum: EnableOrganizationAdminAccount Sicherheitszentrum: EnableSecurityHub Sicherheitszentrum: GetAdministratorAccount Sicherheitshub: V2 GetAggregator Sicherheitshub: V2 GetAutomationRule Sicherheitshub: GetConfigurationPolicy Sicherheitszentrum: GetConfigurationPolicyAssociation Sicherheitshub: V2 GetConnector Sicherheitshub: GetEnabledStandards Sicherheitszentrum: GetFindingAggregator Sicherheitszentrum: GetFindingHistory Sicherheitszentrum: GetFindings Sicherheitszentrum: GetInsightResults Sicherheitszentrum: GetInsights Sicherheitszentrum: GetInvitationsCount Sicherheitszentrum: GetMasterAccount Sicherheitshub: GetMembers Sicherheitshub: GetSecurityControlDefinition Sicherheitshub: InviteMembers Sicherheitshub: V2 ListAggregators Sicherheitshub: ListAutomationRules Sicherheitshub: V2 ListAutomationRules Sicherheitshub: ListConfigurationPolicies Sicherheitshub: ListConfigurationPolicyAssociations Sicherheitshub: V2 ListConnectors Sicherheitshub: ListEnabledProductsForImport Sicherheitshub: ListFindingAggregators Sicherheitshub: ListInvitations Sicherheitshub: ListMembers Sicherheitshub: ListOrganizationAdminAccounts Sicherheitshub: ListSecurityControlDefinitions Sicherheitshub: ListStandardsControlAssociations Sicherheitshub: StartConfigurationPolicyAssociation Sicherheitshub: StartConfigurationPolicyDisassociation Sicherheitshub: UpdateActionTarget Sicherheitshub: V2 UpdateAggregator Sicherheitshub: V2 UpdateAutomationRule Sicherheitshub: UpdateConfigurationPolicy Sicherheitshub: V2 UpdateConnector Sicherheitshub: UpdateFindingAggregator Sicherheitshub: UpdateFindings Sicherheitshub: UpdateInsight Sicherheitshub: UpdateOrganizationConfiguration Sicherheitshub: UpdateSecurityControl Sicherheitshub: UpdateSecurityHubConfiguration  | 
| securitylake |  Sicherheitssee: CreateAwsLogSource Sicherheitssee: CreateCustomLogSource Sicherheitssee: CreateDataLakeExceptionSubscription Sicherheitssee: CreateDataLakeOrganizationConfiguration Sicherheitssee: CreateSubscriber Sicherheitssee: CreateSubscriberNotification Sicherheitssee: DeleteAwsLogSource Sicherheitssee: DeleteCustomLogSource Sicherheitssee: DeleteDataLakeExceptionSubscription Sicherheitssee: DeleteDataLakeOrganizationConfiguration Sicherheitssee: DeleteSubscriber Sicherheitssee: DeleteSubscriberNotification Sicherheitssee: DeregisterDataLakeDelegatedAdministrator Sicherheitssee: GetDataLakeExceptionSubscription Sicherheitssee: GetDataLakeOrganizationConfiguration Sicherheitssee: GetDataLakeSources Sicherheitssee: GetSubscriber Sicherheitssee: ListDataLakes Sicherheitssee: ListLogSources Sicherheitssee: ListSubscribers Sicherheitssee: RegisterDataLakeDelegatedAdministrator Sicherheitssee: UpdateDataLakeExceptionSubscription Sicherheitssee: UpdateSubscriber Sicherheitssee: UpdateSubscriberNotification  | 
| serverlessrepo |  serverloses Repo: CreateApplication serverloses Repo: CreateApplicationVersion serverloses Repo: CreateCloudFormationChangeSet serverloses Repo: CreateCloudFormationTemplate serverloses Repo: DeleteApplication serverloses Repo: GetApplication serverloses Repo: GetApplicationPolicy serverloses Repo: GetCloudFormationTemplate serverloses Repo: ListApplicationDependencies serverloses Repo: ListApplicationVersions serverloses Repo: ListApplications serverloses Repo: PutApplicationPolicy serverloses Repo: UnshareApplication serverloses Repo: UpdateApplication  | 
| servicecatalog |  Servicekatalog: AcceptPortfolioShare Servicekatalog: AssociateBudgetWithResource Servicekatalog: AssociatePrincipalWithPortfolio Servicekatalog: AssociateProductWithPortfolio Servicekatalog: AssociateServiceActionWithProvisioningArtifact Servicekatalog: BatchAssociateServiceActionWithProvisioningArtifact Servicekatalog: BatchDisassociateServiceActionFromProvisioningArtifact Servicekatalog: CopyProduct Servicekatalog: CreateAttributeGroup Servicekatalog: CreateConstraint Servicekatalog: CreatePortfolio Servicekatalog: CreatePortfolioShare Servicekatalog: CreateProduct Servicekatalog: CreateProvisionedProductPlan Servicekatalog: CreateProvisioningArtifact Servicekatalog: CreateServiceAction Servicekatalog: DeleteAttributeGroup Servicekatalog: DeleteConstraint Servicekatalog: DeletePortfolio Servicekatalog: DeletePortfolioShare Servicekatalog: DeleteProduct Servicekatalog: DeleteProvisionedProductPlan Servicekatalog: DeleteProvisioningArtifact Servicekatalog: DeleteServiceAction Servicekatalog: DescribeConstraint Servicekatalog: DescribeCopyProductStatus Servicekatalog: DescribePortfolio Servicekatalog: DescribePortfolioShareStatus Servicekatalog: DescribePortfolioShares Servicekatalog: DescribeProduct Servicekatalog: DescribeProductAsAdmin Servicekatalog: DescribeProductView Servicekatalog: DescribeProvisionedProduct Servicekatalog: DescribeProvisionedProductPlan Servicekatalog: DescribeProvisioningArtifact Servicekatalog: DescribeProvisioningParameters Servicekatalog: DescribeRecord Servicekatalog: DescribeServiceAction Servicekatalog: DescribeServiceActionExecutionParameters ServicekatalogAWSOrganizations: Zugriff deaktivieren Servicekatalog: DisassociateBudgetFromResource Servicekatalog: DisassociatePrincipalFromPortfolio Servicekatalog: DisassociateProductFromPortfolio Servicekatalog: DisassociateServiceActionFromProvisioningArtifact ServicekatalogAWSOrganizations: Zugriff aktivieren Servicekatalog: ExecuteProvisionedProductPlan Servicekatalog: ExecuteProvisionedProductServiceAction Servicekatalog: abrufen AWSOrganizations AccessStatus Servicekatalog: GetProvisionedProductOutputs Servicekatalog: ImportAsProvisionedProduct Servicekatalog: ListAcceptedPortfolioShares Servicekatalog: ListAttributeGroups Servicekatalog: ListBudgetsForResource Servicekatalog: ListConstraintsForPortfolio Servicekatalog: ListLaunchPaths Servicekatalog: ListOrganizationPortfolioAccess Servicekatalog: ListPortfolioAccess Servicekatalog: ListPortfolios Servicekatalog: ListPortfoliosForProduct Servicekatalog: ListPrincipalsForPortfolio Servicekatalog: ListProvisionedProductPlans Servicekatalog: ListProvisioningArtifacts Servicekatalog: ListProvisioningArtifactsForServiceAction Servicekatalog: ListRecordHistory Servicekatalog: ListServiceActions Servicekatalog: ListServiceActionsForProvisioningArtifact Servicekatalog: ListStackInstancesForProvisionedProduct Servicekatalog: NotifyProvisionProductEngineWorkflowResult Servicekatalog: NotifyTerminateProvisionedProductEngineWorkflowResult Servicekatalog: NotifyUpdateProvisionedProductEngineWorkflowResult Servicekatalog: ProvisionProduct Servicekatalog: RejectPortfolioShare Servicekatalog: ScanProvisionedProducts Servicekatalog: SearchProducts Servicekatalog: SearchProductsAsAdmin Servicekatalog: SearchProvisionedProducts Servicekatalog: TerminateProvisionedProduct Servicekatalog: UpdateConstraint Servicekatalog: UpdatePortfolio Servicekatalog: UpdatePortfolioShare Servicekatalog: UpdateProduct Servicekatalog: UpdateProvisionedProduct Servicekatalog: UpdateProvisionedProductProperties Servicekatalog: UpdateProvisioningArtifact Servicekatalog: UpdateServiceAction  | 
| servicediscovery |  Serviceerkennung: CreateHttpNamespace Servicediscovery: CreatePrivateDnsNamespace Servicediscovery: CreatePublicDnsNamespace Servicediscovery: CreateService Servicediscovery: DeleteNamespace Servicediscovery: DeleteService Servicediscovery: DeleteServiceAttributes Servicediscovery: DeregisterInstance Servicediscovery: GetInstance Servicediscovery: GetInstancesHealthStatus Servicediscovery: GetNamespace Servicediscovery: GetOperation Servicediscovery: GetService Servicediscovery: ListInstances Servicediscovery: ListNamespaces Servicediscovery: ListOperations Servicediscovery: ListServices Servicediscovery: RegisterInstance Servicediscovery: UpdateHttpNamespace Servicediscovery: UpdateInstanceCustomHealthStatus Servicediscovery: UpdatePrivateDnsNamespace Servicediscovery: UpdatePublicDnsNamespace Servicediscovery: UpdateService Servicediscovery: UpdateServiceAttributes  | 
| servicequotas |  Serviceangebote: AssociateServiceQuotaTemplate Serviceangebote: CreateSupportCase Serviceangebote: DeleteServiceQuotaIncreaseRequestFromTemplate Serviceangebote: DisassociateServiceQuotaTemplate Serviceangebote: GET AWSDefault ServiceQuota Serviceangebote: GetAssociationForServiceQuotaTemplate Serviceangebote: GetAutoManagementConfiguration Serviceangebote: GetQuotaUtilizationReport Serviceangebote: GetRequestedServiceQuotaChange Serviceangebote: GetServiceQuota Serviceangebote: GetServiceQuotaIncreaseRequestFromTemplate Serviceangebote: Liste AWSDefault ServiceQuotas Serviceangebote: ListRequestedServiceQuotaChangeHistory Serviceangebote: ListRequestedServiceQuotaChangeHistoryByQuota Serviceangebote: ListServiceQuotaIncreaseRequestsInTemplate Serviceangebote: ListServiceQuotas Serviceangebote: ListServices Serviceangebote: PutServiceQuotaIncreaseRequestIntoTemplate Serviceangebote: RequestServiceQuotaIncrease Serviceangebote: StartAutoManagement Serviceangebote: StartQuotaUtilizationReport Serviceangebote: StopAutoManagement Serviceangebote: UpdateAutoManagement  | 
| ses |  verwendet: BatchGetMetricData sieht: CloneReceiptRuleSet sieht: CreateAddonInstance sieht: CreateAddonSubscription sieht: CreateAddressList sieht: CreateAddressListImportJob sieht: CreateArchive sieht: CreateConfigurationSet sieht: CreateConfigurationSetEventDestination sieht: CreateConfigurationSetTrackingOptions sieht: CreateContact sieht: CreateContactList sieht: CreateCustomVerificationEmailTemplate sieht: CreateDedicatedIpPool sieht: CreateDeliverabilityTestReport sieht: CreateEmailIdentity sieht: CreateEmailIdentityPolicy sieht: CreateEmailTemplate sieht: CreateImportJob sieht: CreateIngressPoint sieht: CreateMultiRegionEndpoint sieht: CreateReceiptFilter sieht: CreateReceiptRule sieht: CreateReceiptRuleSet sieht: CreateRelay sieht: CreateRuleSet sieht: CreateTemplate sieht: CreateTenant sieht: CreateTenantResourceAssociation sieht: CreateTrafficPolicy sieht: DeleteAddonInstance sieht: DeleteAddonSubscription sieht: DeleteAddressList sieht: DeleteArchive sieht: DeleteConfigurationSet sieht: DeleteConfigurationSetEventDestination sieht: DeleteConfigurationSetTrackingOptions sieht: DeleteContact sieht: DeleteContactList sieht: DeleteCustomVerificationEmailTemplate sieht: DeleteDedicatedIpPool sieht: DeleteEmailIdentity sieht: DeleteEmailIdentityPolicy sieht: DeleteEmailTemplate sieht: DeleteIdentity sieht: DeleteIdentityPolicy sieht: DeleteIngressPoint sieht: DeleteMultiRegionEndpoint sieht: DeleteReceiptFilter sieht: DeleteReceiptRule sieht: DeleteReceiptRuleSet sieht: DeleteRelay sieht: DeleteRuleSet sieht: DeleteSuppressedDestination sieht: DeleteTemplate sieht: DeleteTenant sieht: DeleteTenantResourceAssociation sieht: DeleteTrafficPolicy sieht: DeleteVerifiedEmailAddress sieht: DeregisterMemberFromAddressList sieht: DescribeActiveReceiptRuleSet sieht: DescribeConfigurationSet sieht: DescribeReceiptRule sieht: DescribeReceiptRuleSet sieht: GetAccount sieht: GetAccountSendingEnabled sieht: GetAddonInstance sieht: GetAddonSubscription sieht: GetAddressList sieht: GetArchive sieht: GetArchiveExport sieht: GetArchiveMessage sieht: GetArchiveMessageContent sieht: GetArchiveSearch sieht: GetArchiveSearchResults sieht: GetBlacklistReports sieht: GetConfigurationSet sieht: GetConfigurationSetEventDestinations sieht: GetContact sieht: GetContactList sieht: GetCustomVerificationEmailTemplate sieht: GetDedicatedIp sieht: GetDedicatedIpPool sieht: GetDedicatedIps sieht: GetDeliverabilityDashboardOptions sieht: GetDeliverabilityTestReport sieht: GetDomainDeliverabilityCampaign sieht: GetDomainStatisticsReport sieht: GetEmailAddressInsights sieht: GetEmailIdentity sieht: GetEmailIdentityPolicies sieht: GetEmailTemplate sieht: GetIdentityDkimAttributes sieht: GetIdentityMailFromDomainAttributes sieht: GetIdentityNotificationAttributes sieht: GetIdentityPolicies sieht: GetIdentityVerificationAttributes sieht: GetImportJob sieht: GetIngressPoint sieht: GetMemberOfAddressList sieht: GetMessageInsights sieht: GetMultiRegionEndpoint sieht: GetRelay sieht: GetRuleSet sieht: GetSendQuota sieht: GetSendStatistics sieht: GetSuppressedDestination sieht: GetTemplate sieht: GetTenant sieht: GetTrafficPolicy sieht: ListAddonInstances sieht: ListAddonSubscriptions sieht: ListAddressListImportJobs sieht: ListAddressLists sieht: ListArchiveExports sieht: ListArchiveSearches sieht: ListArchives sieht: ListConfigurationSets sieht: ListContactLists sieht: ListContacts sieht: ListCustomVerificationEmailTemplates sieht: ListDedicatedIpPools sieht: ListDeliverabilityTestReports sieht: ListDomainDeliverabilityCampaigns sieht: ListEmailIdentities sieht: ListEmailTemplates sieht: ListExportJobs sieht: ListIdentities sieht: ListIdentityPolicies sieht: ListImportJobs sieht: ListIngressPoints sieht: ListMembersOfAddressList sieht: ListMultiRegionEndpoints sieht: ListReceiptFilters sieht: ListReceiptRuleSets sieht: ListRecommendations sieht: ListRelays sieht: ListReputationEntities sieht: ListResourceTenants sieht: ListRuleSets sieht: ListSuppressedDestinations sieht: ListTemplates sieht: ListTenantResources sieht: ListTenants sieht: ListTrafficPolicies sieht: ListVerifiedEmailAddresses sieht: PutAccountDedicatedIpWarmupAttributes sieht: PutAccountDetails sieht: PutAccountSendingAttributes sieht: PutAccountSuppressionAttributes sieht: PutAccountVdmAttributes sieht: PutConfigurationSetArchivingOptions sieht: PutConfigurationSetDeliveryOptions sieht: PutConfigurationSetReputationOptions sieht: PutConfigurationSetSendingOptions sieht: PutConfigurationSetSuppressionOptions sieht: PutConfigurationSetTrackingOptions sieht: PutConfigurationSetVdmOptions sieht: PutDedicatedIpInPool sieht: PutDedicatedIpPoolScalingAttributes sieht: PutDedicatedIpWarmupAttributes sieht: PutDeliverabilityDashboardOption sieht: PutEmailIdentityConfigurationSetAttributes sieht: PutEmailIdentityDkimAttributes sieht: PutEmailIdentityDkimSigningAttributes sieht: PutEmailIdentityFeedbackAttributes sieht: PutEmailIdentityMailFromAttributes sieht: PutIdentityPolicy sieht: PutSuppressedDestination sieht: RegisterMemberToAddressList sieht: ReorderReceiptRuleSet sieht: SendBounce sieht: SendCustomVerificationEmail sieht: SetActiveReceiptRuleSet sieht: SetIdentityDkimEnabled sieht: SetIdentityFeedbackForwardingEnabled sieht: SetIdentityHeadersInNotificationsEnabled sieht: SetIdentityMailFromDomain sieht: SetIdentityNotificationTopic sieht: SetReceiptRulePosition sieht: StartArchiveExport siehe: StartArchiveSearch siehe: StopArchiveExport siehe: StopArchiveSearch siehe: TestRenderEmailTemplate siehe: TestRenderTemplate siehe: UpdateAccountSendingEnabled siehe: UpdateArchive siehe: UpdateConfigurationSetEventDestination siehe: UpdateConfigurationSetReputationMetricsEnabled siehe: UpdateConfigurationSetSendingEnabled siehe: UpdateConfigurationSetTrackingOptions siehe: UpdateContact siehe: UpdateContactList siehe: UpdateCustomVerificationEmailTemplate siehe: UpdateEmailIdentityPolicy siehe: UpdateEmailTemplate siehe: UpdateIngressPoint siehe: UpdateReceiptRule siehe: UpdateRelay siehe: UpdateRuleSet siehe: UpdateTemplate siehe: UpdateTrafficPolicy siehe: VerifyDomainDkim siehe: VerifyDomainIdentity siehe: VerifyEmailAddress siehe: VerifyEmailIdentity  | 
| shield |  Schild: Associate Bucket DRTLog Schild: AssociateHealthCheck Schild: AssociateProactiveEngagementDetails Schild: CreateProtection Schild: CreateProtectionGroup Schild: CreateSubscription Schild: DeleteProtection Schild: DeleteProtectionGroup Schild: DeleteSubscription Schild: DescribeAttack Schild: DescribeAttackStatistics Schild: beschreiben DRTAccess Schild: DescribeEmergencyContactSettings Schild: DescribeProtection Schild: DescribeProtectionGroup Schild: DescribeSubscription Schild: DisableApplicationLayerAutomaticResponse Schild: DisableProactiveEngagement Schild: Bucket trennen DRTLog Shield: Verbindung trennen DRTRole Schild: DisassociateHealthCheck Schild: EnableApplicationLayerAutomaticResponse Schild: EnableProactiveEngagement Schild: GetSubscriptionState Schild: ListAttacks Schild: ListProtectionGroups Schild: ListProtections Schild: ListResourcesInProtectionGroup Schild: UpdateApplicationLayerAutomaticResponse Schild: UpdateEmergencyContactSettings Schild: UpdateProtectionGroup Schild: UpdateSubscription  | 
| signer |  Unterzeichner: AddProfilePermission Unterzeichner: CancelSigningProfile Unterzeichner: DescribeSigningJob Unterzeichner: GetSigningPlatform Unterzeichner: GetSigningProfile Unterzeichner: ListProfilePermissions Unterzeichner: ListSigningJobs Unterzeichner: ListSigningPlatforms Unterzeichner: ListSigningProfiles Unterzeichner: PutSigningProfile Unterzeichner: RemoveProfilePermission Unterzeichner: RevokeSignature Unterzeichner: RevokeSigningProfile Unterzeichner: SignPayload Unterzeichner: StartSigningJob  | 
| simspaceweaver |  Simspaceweaver: CreateSnapshot Simspaceweaver: DeleteApp Simspaceweaver: DeleteSimulation Simspaceweaver: DescribeApp Simspaceweaver: DescribeSimulation Simspaceweaver: ListApps Simspaceweaver: ListSimulations Simspaceweaver: StartApp Simspaceweaver: StartClock Simspaceweaver: StartSimulation Simspaceweaver: StopApp Simspaceweaver: StopClock Simspaceweaver: StopSimulation  | 
| sms |  sms: CreateApp sms: CreateReplicationJob sms: DeleteApp sms: DeleteAppLaunchConfiguration sms: DeleteAppReplicationConfiguration sms: DeleteAppValidationConfiguration sms: DeleteReplicationJob sms: DeleteServerCatalog sms: DisassociateConnector sms: GenerateChangeSet sms: GenerateTemplate sms: GetApp sms: GetAppLaunchConfiguration sms: GetAppReplicationConfiguration sms: GetAppValidationConfiguration sms: GetAppValidationOutput sms: GetConnectors sms: GetReplicationJobs sms: GetReplicationRuns sms: GetServers sms: ImportAppCatalog sms: ImportServerCatalog sms: LaunchApp sms: ListApps sms: NotifyAppValidationOutput sms: PutAppLaunchConfiguration sms: PutAppReplicationConfiguration sms: PutAppValidationConfiguration sms: StartAppReplication sms: StartOnDemandAppReplication sms: StartOnDemandReplicationRun sms: StopAppReplication sms: TerminateApp sms: UpdateApp sms: UpdateReplicationJob  | 
| sms-voice |  SMS-Stimme: AssociateProtectConfiguration SMS-Stimme: CreateConfigurationSet SMS-Stimme: CreateConfigurationSetEventDestination SMS-Stimme: CreateEventDestination SMS-Stimme: CreateOptOutList SMS-Stimme: CreatePool SMS-Stimme: CreateProtectConfiguration SMS-Stimme: CreateRegistration SMS-Stimme: CreateRegistrationAssociation SMS-Stimme: CreateRegistrationAttachment SMS-Stimme: CreateRegistrationVersion SMS-Stimme: CreateVerifiedDestinationNumber SMS-Stimme: DeleteAccountDefaultProtectConfiguration SMS-Stimme: DeleteConfigurationSet SMS-Stimme: DeleteConfigurationSetEventDestination SMS-Stimme: DeleteDefaultMessageType SMS-Stimme: DeleteDefaultSenderId SMS-Stimme: DeleteEventDestination SMS-Stimme: DeleteKeyword SMS-Stimme: DeleteMediaMessageSpendLimitOverride SMS-Stimme: DeleteOptOutList SMS-Stimme: DeleteOptedOutNumber SMS-Stimme: DeletePool SMS-Stimme: DeleteProtectConfiguration SMS-Stimme: DeleteProtectConfigurationRuleSetNumberOverride SMS-Stimme: DeleteRegistration SMS-Stimme: DeleteRegistrationAttachment SMS-Stimme: DeleteResourcePolicy SMS-Stimme: DeleteTextMessageSpendLimitOverride SMS-Stimme: DeleteVerifiedDestinationNumber SMS-Stimme: DeleteVoiceMessageSpendLimitOverride SMS-Stimme: DescribeAccountAttributes SMS-Stimme: DescribeAccountLimits SMS-Stimme: DescribeConfigurationSets SMS-Stimme: DescribeKeywords SMS-Stimme: DescribeOptOutLists SMS-Stimme: DescribeOptedOutNumbers SMS-Stimme: DescribePhoneNumbers SMS-Stimme: DescribePools SMS-Stimme: DescribeProtectConfigurations SMS-Stimme: DescribeRegistrationAttachments SMS-Stimme: DescribeRegistrationFieldDefinitions SMS-Stimme: DescribeRegistrationFieldValues SMS-Stimme: DescribeRegistrationSectionDefinitions SMS-Stimme: DescribeRegistrationTypeDefinitions SMS-Stimme: DescribeRegistrationVersions SMS-Stimme: DescribeRegistrations SMS-Stimme: DescribeSenderIds SMS-Stimme: DescribeSpendLimits SMS-Stimme: DescribeVerifiedDestinationNumbers SMS-Stimme: DisassociateOriginationIdentity SMS-Stimme: DisassociateProtectConfiguration SMS-Stimme: DiscardRegistrationVersion SMS-Stimme: GetConfigurationSetEventDestinations SMS-Stimme: GetProtectConfigurationCountryRuleSet SMS-Stimme: GetResourcePolicy SMS-Stimme: ListConfigurationSets SMS-Stimme: ListPoolOriginationIdentities SMS-Stimme: ListProtectConfigurationRuleSetNumberOverrides SMS-Stimme: ListRegistrationAssociations SMS-Stimme: PutKeyword SMS-Stimme: PutOptedOutNumber SMS-Stimme: PutProtectConfigurationRuleSetNumberOverride SMS-Stimme: PutResourcePolicy SMS-Stimme: ReleasePhoneNumber SMS-Stimme: ReleaseSenderId SMS-Stimme: RequestPhoneNumber SMS-Stimme: RequestSenderId SMS-Stimme: SendDestinationNumberVerificationCode SMS-Stimme: SetAccountDefaultProtectConfiguration SMS-Stimme: SetDefaultMessageFeedbackEnabled SMS-Stimme: SetDefaultMessageType SMS-Stimme: SetDefaultSenderId SMS-Stimme: SetMediaMessageSpendLimitOverride SMS-Stimme: SetTextMessageSpendLimitOverride SMS-Stimme: SetVoiceMessageSpendLimitOverride SMS-Stimme: SubmitRegistrationVersion SMS-Stimme: UpdateConfigurationSetEventDestination SMS-Stimme: UpdateEventDestination SMS-Stimme: UpdatePhoneNumber SMS-Stimme: UpdatePool SMS-Stimme: UpdateProtectConfiguration SMS-Stimme: UpdateProtectConfigurationCountryRuleSet SMS-Stimme: UpdateSenderId  | 
| snowball |  Schneeball: CancelCluster Schneeball: CancelJob Schneeball: CreateAddress Schneeball: CreateCluster Schneeball: CreateJob Schneeball: CreateLongTermPricing Schneeball: CreateReturnShippingLabel Schneeball: DescribeAddress Schneeball: DescribeAddresses Schneeball: DescribeCluster Schneeball: DescribeJob Schneeball: DescribeReturnShippingLabel Schneeball: GetJobManifest Schneeball: GetJobUnlockCode Schneeball: GetSnowballUsage Schneeball: GetSoftwareUpdates Schneeball: ListClusterJobs Schneeball: ListClusters Schneeball: ListCompatibleImages Schneeball: ListJobs Schneeball: ListLongTermPricing Schneeball: ListPickupLocations Schneeball: ListServiceVersions Schneeball: UpdateCluster Schneeball: UpdateJob Schneeball: UpdateJobShipmentState Schneeball: UpdateLongTermPricing  | 
| sqs |  sqs: AddPermission sqs: CancelMessageMoveTask sqs: CreateQueue sqs: DeleteQueue sqs: PurgeQueue sqs: RemovePermission sqs: SetQueueAttributes  | 
| ssm |  ssm: AssociateOpsItemRelatedItem ssm: CancelCommand ssm: CancelMaintenanceWindowExecution ssm: CreateActivation ssm: CreateAssociation ssm: CreateAssociationBatch ssm: CreateDocument ssm: CreateMaintenanceWindow ssm: CreateOpsItem ssm: CreateOpsMetadata ssm: CreatePatchBaseline ssm: CreateResourceDataSync ssm: DeleteActivation ssm: DeleteAssociation ssm: DeleteDocument ssm: DeleteInventory ssm: DeleteMaintenanceWindow ssm: DeleteOpsItem ssm: DeleteOpsMetadata ssm: DeleteParameter ssm: DeleteParameters ssm: DeletePatchBaseline ssm: DeleteResourceDataSync ssm: DeleteResourcePolicy ssm: DeregisterManagedInstance ssm: DeregisterPatchBaselineForPatchGroup ssm: DeregisterTargetFromMaintenanceWindow ssm: DeregisterTaskFromMaintenanceWindow ssm: DescribeActivations ssm: DescribeAssociation ssm: DescribeAssociationExecutionTargets ssm: DescribeAssociationExecutions ssm: DescribeAutomationExecutions ssm: DescribeAutomationStepExecutions ssm: DescribeAvailablePatches ssm: DescribeDocument ssm: DescribeDocumentParameters ssm: DescribeDocumentPermission ssm: DescribeEffectiveInstanceAssociations ssm: DescribeEffectivePatchesForPatchBaseline ssm: DescribeInstanceAssociationsStatus ssm: DescribeInstanceInformation ssm: DescribeInstancePatchStates ssm: DescribeInstancePatchStatesForPatchGroup ssm: DescribeInstancePatches ssm: DescribeInstanceProperties ssm: DescribeInventoryDeletions ssm: DescribeMaintenanceWindowExecutionTaskInvocations ssm: DescribeMaintenanceWindowExecutionTasks ssm: DescribeMaintenanceWindowExecutions ssm: DescribeMaintenanceWindowSchedule ssm: DescribeMaintenanceWindowTargets ssm: DescribeMaintenanceWindowTasks ssm: DescribeMaintenanceWindows ssm: DescribeMaintenanceWindowsForTarget ssm: DescribeOpsItems ssm: DescribeParameters ssm: DescribePatchBaselines ssm: DescribePatchGroupState ssm: DescribePatchGroups ssm: DescribePatchProperties ssm: DescribeSessions ssm: DisassociateOpsItemRelatedItem ssm: GetAccessToken ssm: GetAutomationExecution ssm: GetCalendarState ssm: GetCommandInvocation ssm: GetConnectionStatus ssm: GetDefaultPatchBaseline ssm: GetDeployablePatchSnapshotForInstance ssm: GetDocument ssm: GetExecutionPreview ssm: GetInventory ssm: GetInventorySchema ssm: GetMaintenanceWindow ssm: GetMaintenanceWindowExecution ssm: GetMaintenanceWindowExecutionTask ssm: GetMaintenanceWindowExecutionTaskInvocation ssm: GetMaintenanceWindowTask ssm: GetOpsItem ssm: GetOpsMetadata ssm: GetOpsSummary ssm: GetParameter ssm: GetParameterHistory ssm: GetParameters ssm: GetParametersByPath ssm: GetPatchBaseline ssm: GetPatchBaselineForPatchGroup ssm: GetResourcePolicies ssm: GetServiceSetting ssm: LabelParameterVersion ssm: ListAssociationVersions ssm: ListAssociations ssm: ListCommandInvocations ssm: ListCommands ssm: ListComplianceItems ssm: ListComplianceSummaries ssm: ListDocumentMetadataHistory ssm: ListDocumentVersions ssm: ListDocuments ssm: ListInstanceAssociations ssm: ListInventoryEntries ssm: ListNodes ssm: ListNodesSummary ssm: ListOpsItemEvents ssm: ListOpsItemRelatedItems ssm: ListOpsMetadata ssm: ListResourceComplianceSummaries ssm: ListResourceDataSync ssm: ModifyDocumentPermission ssm: PutComplianceItems ssm: PutInventory ssm: PutParameter ssm: PutResourcePolicy ssm: RegisterDefaultPatchBaseline ssm: RegisterManagedInstance ssm: RegisterPatchBaselineForPatchGroup ssm: RegisterTargetWithMaintenanceWindow ssm: RegisterTaskWithMaintenanceWindow ssm: ResetServiceSetting ssm: ResumeSession ssm: SendAutomationSignal ssm: SendCommand ssm: StartAssociationsOnce ssm: StartAutomationExecution ssm: StartChangeRequestExecution ssm: StartSession ssm: StopAutomationExecution ssm: TerminateSession ssm: UnlabelParameterVersion ssm: UpdateAssociation ssm: UpdateAssociationStatus ssm: UpdateDocument ssm: UpdateDocumentDefaultVersion ssm: UpdateDocumentMetadata ssm: UpdateInstanceInformation ssm: UpdateMaintenanceWindow ssm: UpdateMaintenanceWindowTarget ssm: UpdateMaintenanceWindowTask ssm: UpdateManagedInstanceRole ssm: UpdateOpsItem ssm: UpdateOpsMetadata ssm: UpdatePatchBaseline ssm: UpdateResourceDataSync ssm: UpdateServiceSetting  | 
| ssm-incidents |  SSM-Vorfälle: BatchGetIncidentFindings SSM-Vorfälle: CreateReplicationSet SSM-Vorfälle: CreateResponsePlan SSM-Vorfälle: CreateTimelineEvent SSM-Vorfälle: DeleteIncidentRecord SSM-Vorfälle: DeleteReplicationSet SSM-Vorfälle: DeleteResourcePolicy SSM-Vorfälle: DeleteResponsePlan SSM-Vorfälle: DeleteTimelineEvent SSM-Vorfälle: GetIncidentRecord SSM-Vorfälle: GetReplicationSet SSM-Vorfälle: GetResourcePolicies SSM-Vorfälle: GetResponsePlan SSM-Vorfälle: GetTimelineEvent SSM-Vorfälle: ListIncidentFindings SSM-Vorfälle: ListIncidentRecords SSM-Vorfälle: ListRelatedItems SSM-Vorfälle: ListReplicationSets SSM-Vorfälle: ListResponsePlans SSM-Vorfälle: ListTimelineEvents SSM-Vorfälle: PutResourcePolicy SSM-Vorfälle: StartIncident SSM-Vorfälle: UpdateDeletionProtection SSM-Vorfälle: UpdateIncidentRecord SSM-Vorfälle: UpdateRelatedItems SSM-Vorfälle: UpdateReplicationSet SSM-Vorfälle: UpdateResponsePlan SSM-Vorfälle: UpdateTimelineEvent  | 
| ssm-sap |  ssm-sap: BackupDatabase ssm-sap: DeleteResourcePermission ssm-sap: DeregisterApplication ssm-sap: GetApplication ssm-sap: GetComponent ssm-sap: GetConfigurationCheckOperation ssm-sap: GetDatabase ssm-sap: GetOperation ssm-sap: GetResourcePermission ssm-sap: ListApplications ssm-sap: ListComponents ssm-sap: ListConfigurationCheckDefinitions ssm-sap: ListConfigurationCheckOperations ssm-sap: ListDatabases ssm-sap: ListOperationEvents ssm-sap: ListOperations ssm-sap: ListSubCheckResults ssm-sap: ListSubCheckRuleResults ssm-sap: PutResourcePermission ssm-sap: RegisterApplication ssm-sap: RestoreDatabase ssm-sap: StartApplication ssm-sap: StartApplicationRefresh ssm-sap: StartConfigurationChecks ssm-sap: StopApplication ssm-sap: UpdateApplicationSettings ssm-sap: Einstellungen aktualisieren HANABackup  | 
| Status |  Staaten: CreateActivity Staaten: CreateStateMachine Staaten: CreateStateMachineAlias Staaten: DeleteActivity Staaten: DeleteStateMachine Staaten: DeleteStateMachineAlias Staaten: DeleteStateMachineVersion Staaten: DescribeActivity Staaten: DescribeExecution Staaten: DescribeMapRun Staaten: DescribeStateMachine Staaten: DescribeStateMachineAlias Staaten: DescribeStateMachineForExecution Staaten: GetExecutionHistory Staaten: ListActivities Staaten: ListExecutions Staaten: ListMapRuns Staaten: ListStateMachineAliases Staaten: ListStateMachineVersions Staaten: ListStateMachines Staaten: SendTaskFailure Staaten: SendTaskHeartbeat Staaten: SendTaskSuccess Staaten: StartExecution Staaten: StopExecution Staaten: UpdateMapRun Staaten: UpdateStateMachine Staaten: UpdateStateMachineAlias Staaten: ValidateStateMachineDefinition  | 
| sts |  sts: AssumeRole sts: AssumeRoleWith SAML sts: AssumeRoleWithWebIdentity sts: DecodeAuthorizationMessage sts: GetAccessKeyInfo sts: GetCallerIdentity sts: GetFederationToken sts: GetSessionToken sts: GetWebIdentityToken  | 
| swf |  swf: DeleteActivityType swf: DeleteWorkflowType swf: DeprecateActivityType swf: DeprecateDomain swf: DeprecateWorkflowType swf: DescribeActivityType swf: DescribeDomain swf: DescribeWorkflowType swf: ListActivityTypes swf: ListDomains swf: ListWorkflowTypes swf: RegisterActivityType swf: RegisterDomain swf: RegisterWorkflowType swf: UndeprecateActivityType swf: UndeprecateDomain swf: UndeprecateWorkflowType  | 
| synthetics |  Kunststoffe: AssociateResource Kunststoffe: CreateCanary Kunststoffe: CreateGroup Kunststoffe: DeleteCanary Kunststoffe: DeleteGroup Kunststoffe: DescribeCanaries Kunststoffe: DescribeCanariesLastRun Kunststoffe: DescribeRuntimeVersions Kunststoffe: DisassociateResource Kunststoffe: GetCanary Kunststoffe: GetCanaryRuns Kunststoffe: GetGroup Kunststoffe: ListAssociatedGroups Kunststoffe: ListGroupResources Kunststoffe: ListGroups Kunststoffe: StartCanary Kunststoffe: StartCanaryDryRun Kunststoffe: StopCanary Kunststoffe: UpdateCanary  | 
| Tag (Markierung) |  Etikett: DescribeReportCreation Etikett: GetComplianceSummary Etikett: GetResources Etikett: StartReportCreation  | 
| textract/ |  textrahieren: AnalyzeDocument textrahieren: AnalyzeExpense textract:AnalyzeID textrahieren: CreateAdapter textrahieren: CreateAdapterVersion textrahieren: DeleteAdapter textrahieren: DeleteAdapterVersion textrahieren: DetectDocumentText textrahieren: GetAdapter textrahieren: GetAdapterVersion textrahieren: GetDocumentAnalysis textrahieren: GetDocumentTextDetection textrahieren: GetExpenseAnalysis textrahieren: GetLendingAnalysis textrahieren: GetLendingAnalysisSummary textrahieren: ListAdapterVersions textrahieren: ListAdapters textrahieren: StartDocumentAnalysis textrahieren: StartDocumentTextDetection textrahieren: StartExpenseAnalysis textrahieren: StartLendingAnalysis textrahieren: UpdateAdapter  | 
| timestream |  Zeitstrom: CancelQuery Zeitstrom: CreateDatabase Zeitstrom: CreateScheduledQuery Zeitstrom: CreateTable Zeitstrom: DeleteDatabase Zeitstrom: DeleteScheduledQuery Zeitstrom: DeleteTable Zeitstrom: DescribeAccountSettings Zeitstrom: DescribeDatabase Zeitstrom: DescribeScheduledQuery Zeitstrom: DescribeTable Zeitstrom: ExecuteScheduledQuery Zeitstrom: ListBatchLoadTasks Zeitstrom: ListDatabases Zeitstrom: ListScheduledQueries Zeitstrom: ListTables Zeitstrom: PrepareQuery Zeitstrom: UpdateAccountSettings Zeitstrom: UpdateDatabase Zeitstrom: UpdateScheduledQuery Zeitstrom: UpdateTable  | 
| tnb |  tnb: CancelSolNetworkOperation tnb: CreateSolFunctionPackage tnb: CreateSolNetworkInstance tnb: CreateSolNetworkPackage tnb: DeleteSolFunctionPackage tnb: DeleteSolNetworkInstance tnb: DeleteSolNetworkPackage tnb: GetSolFunctionInstance tnb: GetSolFunctionPackage tnb: GetSolFunctionPackageContent tnb: GetSolFunctionPackageDescriptor tnb: GetSolNetworkInstance tnb: GetSolNetworkOperation tnb: GetSolNetworkPackage tnb: GetSolNetworkPackageContent tnb: GetSolNetworkPackageDescriptor tnb: InstantiateSolNetworkInstance tnb: ListSolFunctionInstances tnb: ListSolFunctionPackages tnb: ListSolNetworkInstances tnb: ListSolNetworkOperations tnb: ListSolNetworkPackages tnb: PutSolFunctionPackageContent tnb: PutSolNetworkPackageContent tnb: TerminateSolNetworkInstance tnb: UpdateSolFunctionPackage tnb: UpdateSolNetworkInstance tnb: UpdateSolNetworkPackage tnb: ValidateSolFunctionPackageContent tnb: ValidateSolNetworkPackageContent  | 
| transcribe |  transkribieren: CreateCallAnalyticsCategory transkribieren: CreateLanguageModel transkribieren: CreateMedicalVocabulary transkribieren: CreateVocabulary transkribieren: CreateVocabularyFilter transkribieren: DeleteCallAnalyticsCategory transkribieren: DeleteCallAnalyticsJob transkribieren: DeleteLanguageModel transkribieren: DeleteMedicalScribeJob transkribieren: DeleteMedicalTranscriptionJob transkribieren: DeleteMedicalVocabulary transkribieren: DeleteTranscriptionJob transkribieren: DeleteVocabulary transkribieren: DeleteVocabularyFilter transkribieren: DescribeLanguageModel transkribieren: GetCallAnalyticsCategory transkribieren: GetCallAnalyticsJob transkribieren: GetMedicalScribeJob transkribieren: GetMedicalTranscriptionJob transkribieren: GetMedicalVocabulary transkribieren: GetTranscriptionJob transkribieren: GetVocabulary transkribieren: GetVocabularyFilter transkribieren: ListCallAnalyticsCategories transkribieren: ListCallAnalyticsJobs transkribieren: ListLanguageModels transkribieren: ListMedicalScribeJobs transkribieren: ListMedicalTranscriptionJobs transkribieren: ListMedicalVocabularies transkribieren: ListTranscriptionJobs transkribieren: ListVocabularies transkribieren: ListVocabularyFilters transkribieren: StartCallAnalyticsJob transkribieren: StartCallAnalyticsStreamTranscription transkribieren: StartCallAnalyticsStreamTranscriptionWebSocket transkribieren: StartMedicalScribeJob transkribieren: StartMedicalStreamTranscription transkribieren: StartMedicalStreamTranscriptionWebSocket transkribieren: StartMedicalTranscriptionJob transkribieren: StartStreamTranscription transkribieren: StartStreamTranscriptionWebSocket transkribieren: StartTranscriptionJob transkribieren: UpdateCallAnalyticsCategory transkribieren: UpdateMedicalVocabulary transkribieren: UpdateVocabulary transkribieren: UpdateVocabularyFilter  | 
| Übertragung |  Übertragung: CreateAccess Übertragung: CreateAgreement Übertragung: CreateConnector Übertragung: CreateProfile Übertragung: CreateServer Übertragung: CreateUser Übertragung: CreateWebApp Übertragung: CreateWorkflow Übertragung: DeleteAccess Übertragung: DeleteAgreement Übertragung: DeleteCertificate Übertragung: DeleteConnector Übertragung: DeleteHostKey Übertragung: DeleteProfile Übertragung: DeleteServer Übertragung: DeleteSshPublicKey Übertragung: DeleteUser Übertragung: DeleteWebApp Übertragung: DeleteWebAppCustomization Übertragung: DeleteWorkflow Übertragung: DescribeAccess Übertragung: DescribeAgreement Übertragung: DescribeCertificate Übertragung: DescribeConnector Übertragung: DescribeExecution Übertragung: DescribeHostKey Übertragung: DescribeProfile Übertragung: DescribeSecurityPolicy Übertragung: DescribeServer Übertragung: DescribeUser Übertragung: DescribeWebApp Übertragung: DescribeWebAppCustomization Übertragung: DescribeWorkflow Übertragung: ImportCertificate Übertragung: ImportHostKey Übertragung: ImportSshPublicKey Übertragung: ListAccesses Übertragung: ListCertificates Übertragung: ListConnectors Übertragung: ListExecutions Übertragung: ListFileTransferResults Übertragung: ListHostKeys Übertragung: ListProfiles Übertragung: ListSecurityPolicies Übertragung: ListServers Übertragung: ListUsers Übertragung: ListWebApps Übertragung: ListWorkflows Übertragung: SendWorkflowStepState Übertragung: StartDirectoryListing Übertragung: StartFileTransfer Übertragung: StartRemoteDelete Übertragung: StartRemoteMove Übertragung: StartServer Übertragung: StopServer Übertragung: TestConnection Übertragung: TestIdentityProvider Übertragung: UpdateAccess Übertragung: UpdateAgreement Übertragung: UpdateCertificate Übertragung: UpdateConnector Übertragung: UpdateHostKey Übertragung: UpdateProfile Übertragung: UpdateServer Übertragung: UpdateUser Übertragung: UpdateWebApp Übertragung: UpdateWebAppCustomization  | 
| translate |  übersetzen: CreateParallelData übersetzen: DeleteParallelData übersetzen: DeleteTerminology übersetzen: DescribeTextTranslationJob übersetzen: GetParallelData übersetzen: GetTerminology übersetzen: ImportTerminology übersetzen: ListLanguages übersetzen: ListParallelData übersetzen: ListTerminologies übersetzen: ListTextTranslationJobs übersetzen: StartTextTranslationJob übersetzen: StopTextTranslationJob übersetzen: TranslateDocument übersetzen: TranslateText übersetzen: UpdateParallelData  | 
| voiceid |  Stimmen-ID: AssociateFraudster Stimmen-ID: CreateDomain Stimmen-ID: CreateWatchlist Stimmen-ID: DeleteDomain Stimmen-ID: DeleteFraudster Stimmen-ID: DeleteSpeaker Stimmen-ID: DeleteWatchlist Stimmen-ID: DescribeDomain Stimmen-ID: DescribeFraudster Stimmen-ID: DescribeFraudsterRegistrationJob Stimmen-ID: DescribeSpeaker Stimmen-ID: DescribeSpeakerEnrollmentJob Stimmen-ID: DescribeWatchlist Stimmen-ID: DisassociateFraudster Stimmen-ID: EvaluateSession Stimmen-ID: ListDomains Stimmen-ID: ListFraudsterRegistrationJobs Stimmen-ID: ListFraudsters Stimmen-ID: ListSpeakerEnrollmentJobs Stimmen-ID: ListSpeakers Stimmen-ID: ListWatchlists Stimmen-ID: OptOutSpeaker Stimmen-ID: StartFraudsterRegistrationJob Stimmen-ID: StartSpeakerEnrollmentJob Stimmen-ID: UpdateDomain Stimmen-ID: UpdateWatchlist  | 
| vpc-lattice |  vpc-Gitter: CreateAccessLogSubscription vpc-Gitter: CreateListener vpc-Gitter: CreateResourceConfiguration vpc-Gitter: CreateResourceGateway vpc-Gitter: CreateRule vpc-Gitter: CreateService vpc-Gitter: CreateServiceNetwork vpc-Gitter: CreateServiceNetworkResourceAssociation vpc-Gitter: CreateServiceNetworkServiceAssociation vpc-Gitter: CreateServiceNetworkVpcAssociation vpc-Gitter: CreateTargetGroup vpc-Gitter: DeleteAccessLogSubscription vpc-Gitter: DeleteAuthPolicy vpc-Gitter: DeleteDomainVerification vpc-Gitter: DeleteListener vpc-Gitter: DeleteResourceConfiguration vpc-Gitter: DeleteResourceEndpointAssociation vpc-Gitter: DeleteResourceGateway vpc-Gitter: DeleteResourcePolicy vpc-Gitter: DeleteRule vpc-Gitter: DeleteService vpc-Gitter: DeleteServiceNetwork vpc-Gitter: DeleteServiceNetworkResourceAssociation vpc-Gitter: DeleteServiceNetworkServiceAssociation vpc-Gitter: DeleteServiceNetworkVpcAssociation vpc-Gitter: DeleteTargetGroup vpc-Gitter: DeregisterTargets vpc-Gitter: GetAccessLogSubscription vpc-Gitter: GetAuthPolicy vpc-Gitter: GetDomainVerification vpc-Gitter: GetListener vpc-Gitter: GetResourceConfiguration vpc-Gitter: GetResourceGateway vpc-Gitter: GetResourcePolicy vpc-Gitter: GetRule vpc-Gitter: GetService vpc-Gitter: GetServiceNetwork vpc-Gitter: GetServiceNetworkResourceAssociation vpc-Gitter: GetServiceNetworkServiceAssociation vpc-Gitter: GetServiceNetworkVpcAssociation vpc-Gitter: GetTargetGroup vpc-Gitter: ListAccessLogSubscriptions vpc-Gitter: ListDomainVerifications vpc-Gitter: ListListeners vpc-Gitter: ListResourceConfigurations vpc-Gitter: ListResourceEndpointAssociations vpc-Gitter: ListResourceGateways vpc-Gitter: ListRules vpc-Gitter: ListServiceNetworkResourceAssociations vpc-Gitter: ListServiceNetworkServiceAssociations vpc-Gitter: ListServiceNetworkVpcAssociations vpc-Gitter: ListServiceNetworkVpcEndpointAssociations vpc-Gitter: ListServiceNetworks vpc-Gitter: ListServices vpc-Gitter: ListTargetGroups vpc-Gitter: ListTargets vpc-Gitter: PutAuthPolicy vpc-Gitter: PutResourcePolicy vpc-Gitter: RegisterTargets vpc-Gitter: StartDomainVerification vpc-Gitter: UpdateAccessLogSubscription vpc-Gitter: UpdateListener vpc-Gitter: UpdateResourceConfiguration vpc-Gitter: UpdateResourceGateway vpc-Gitter: UpdateRule vpc-Gitter: UpdateService vpc-Gitter: UpdateServiceNetwork vpc-Gitter: UpdateServiceNetworkVpcAssociation vpc-Gitter: UpdateTargetGroup  | 
| wafv2 |  wafv2: ACL AssociateWeb WAFv2: CheckCapacity WAFv2: Erstellen APIKey WAFv2: Erstellen IPSet WAFv2: CreateRegexPatternSet WAF 2: CreateRuleGroup wafv2: ACL CreateWeb WAFv2: Löschen APIKey WAFv2: DeleteFirewallManagerRuleGroups WAFv2: Löschen IPSet WAFv2: DeleteLoggingConfiguration WAF 2: DeletePermissionPolicy WAF 2: DeleteRegexPatternSet WAF 2: DeleteRuleGroup wafv2: ACL DeleteWeb WAFv2: DescribeAllManagedProducts WAF 2: DescribeManagedProductsByVendor WAF 2: DescribeManagedRuleGroup wafv2: ACL DisassociateWeb WAFv2: GenerateMobileSdkReleaseUrl WAF 2: GetDecrypted APIKey WAFv2: Holen IPSet WAF2: GetLoggingConfiguration WAF 2: GetManagedRuleSet WAF 2: GetMobileSdkRelease WAF 2: GetRateBasedStatementManagedKeys WAF 2: GetRegexPatternSet WAF 2: GetRuleGroup WAF 2: GetSampledRequests wafv2: Ressource GetWeb ACLFor WAFv2: Liste APIKeys WAF2: ListAvailableManagedRuleGroupVersions WAF 2: ListAvailableManagedRuleGroups WAFv2: Liste IPSets WAF2: ListLoggingConfigurations WAF 2: ListManagedRuleSets WAF 2: ListMobileSdkReleases WAF 2: ListRegexPatternSets wafv2: ACL ListResourcesForWeb WAFv2: ListRuleGroups WAF 2: ListWeb ACLs WAF 2: PutLoggingConfiguration WAF 2: PutManagedRuleSetVersions WAFv2: Aktualisieren IPSet WAF2: UpdateManagedRuleSetVersionExpiryDate WAF 2: UpdateRegexPatternSet WAF 2: UpdateRuleGroup wafv2: ACL UpdateWeb  | 
| wellarchitected |  gut konzipiert: AssociateLenses gut gestaltet: AssociateProfiles gut gestaltet: CreateLensShare gut gestaltet: CreateLensVersion gut gestaltet: CreateMilestone gut gestaltet: CreateProfile gut gestaltet: CreateProfileShare gut gestaltet: CreateReviewTemplate gut gestaltet: CreateWorkload gut gestaltet: CreateWorkloadShare gut gestaltet: DeleteLens gut gestaltet: DeleteLensShare gut gestaltet: DeleteProfile gut gestaltet: DeleteProfileShare gut gestaltet: DeleteReviewTemplate gut gestaltet: DeleteTemplateShare gut gestaltet: DeleteWorkload gut gestaltet: DeleteWorkloadShare gut gestaltet: DisassociateLenses gut gestaltet: DisassociateProfiles gut gestaltet: ExportLens gut gestaltet: GetAnswer gut gestaltet: GetConsolidatedReport gut gestaltet: GetGlobalSettings gut gestaltet: GetLens gut gestaltet: GetLensReview gut gestaltet: GetLensReviewReport gut gestaltet: GetLensVersionDifference gut gestaltet: GetMilestone gut gestaltet: GetProfile gut gestaltet: GetProfileTemplate gut gestaltet: GetReviewTemplate gut gestaltet: GetReviewTemplateAnswer gut gestaltet: GetReviewTemplateLensReview gut gestaltet: GetWorkload gut gestaltet: ImportLens gut gestaltet: ListAnswers gut gestaltet: ListCheckDetails gut gestaltet: ListCheckSummaries gut gestaltet: ListLensReviewImprovements gut gestaltet: ListLensReviews gut gestaltet: ListLensShares gut gestaltet: ListLenses gut gestaltet: ListMilestones gut gestaltet: ListNotifications gut gestaltet: ListProfileNotifications gut gestaltet: ListProfileShares gut gestaltet: ListProfiles gut gestaltet: ListReviewTemplateAnswers gut gestaltet: ListReviewTemplates gut gestaltet: ListShareInvitations gut gestaltet: ListTemplateShares gut gestaltet: ListWorkloadShares gut gestaltet: ListWorkloads gut gestaltet: UpdateAnswer gut gestaltet: UpdateGlobalSettings gut gestaltet: UpdateIntegration gut gestaltet: UpdateLensReview gut gestaltet: UpdateProfile gut gestaltet: UpdateReviewTemplate gut gestaltet: UpdateReviewTemplateLensReview gut gestaltet: UpdateShareInvitation gut gestaltet: UpdateWorkload gut gestaltet: UpdateWorkloadShare gut gestaltet: UpgradeLensReview gut gestaltet: UpgradeProfileVersion gut gestaltet: UpgradeReviewTemplateLensReview  | 
| wisdom |  Weisheit: CreateAssistant Weisheit: CreateAssistantAssociation Weisheit: CreateContent Weisheit: CreateKnowledgeBase Weisheit: CreateQuickResponse Weisheit: CreateSession Weisheit: DeleteAssistant Weisheit: DeleteAssistantAssociation Weisheit: DeleteContent Weisheit: DeleteImportJob Weisheit: DeleteKnowledgeBase Weisheit: DeleteQuickResponse Weisheit: GetAssistant Weisheit: GetAssistantAssociation Weisheit: GetContent Weisheit: GetContentAssociation Weisheit: GetContentSummary Weisheit: GetImportJob Weisheit: GetKnowledgeBase Weisheit: GetRecommendations Weisheit: GetSession Weisheit: ListAssistantAssociations Weisheit: ListAssistants Weisheit: ListContentAssociations Weisheit: ListContents Weisheit: ListImportJobs Weisheit: ListKnowledgeBases Weisheit: ListQuickResponses Weisheit: NotifyRecommendationsReceived Weisheit: QueryAssistant Weisheit: RemoveKnowledgeBaseTemplateUri Weisheit: SearchContent Weisheit: SearchQuickResponses Weisheit: SearchSessions Weisheit: StartContentUpload Weisheit: StartImportJob Weisheit: UpdateContent Weisheit: UpdateKnowledgeBaseTemplateUri Weisheit: UpdateQuickResponse Weisheit: UpdateSession  | 
| worklink |  Arbeitslink: AssociateDomain Arbeitslink: AssociateWebsiteAuthorizationProvider Arbeitslink: AssociateWebsiteCertificateAuthority Arbeitslink: CreateFleet Arbeitslink: DeleteFleet Arbeitslink: DescribeAuditStreamConfiguration Arbeitslink: DescribeCompanyNetworkConfiguration Arbeitslink: DescribeDevice Arbeitslink: DescribeDevicePolicyConfiguration Arbeitslink: DescribeDomain Arbeitslink: DescribeFleetMetadata Arbeitslink: DescribeIdentityProviderConfiguration Arbeitslink: DescribeWebsiteCertificateAuthority Arbeitslink: DisassociateDomain Arbeitslink: DisassociateWebsiteAuthorizationProvider Arbeitslink: DisassociateWebsiteCertificateAuthority Arbeitslink: ListDevices Arbeitslink: ListDomains Arbeitslink: ListFleets Arbeitslink: ListWebsiteAuthorizationProviders Arbeitslink: ListWebsiteCertificateAuthorities Arbeitslink: RestoreDomainAccess Arbeitslink: RevokeDomainAccess Arbeitslink: SignOutUser Arbeitslink: UpdateAuditStreamConfiguration Arbeitslink: UpdateCompanyNetworkConfiguration Arbeitslink: UpdateDevicePolicyConfiguration Arbeitslink: UpdateDomainMetadata Arbeitslink: UpdateFleetMetadata Arbeitslink: UpdateIdentityProviderConfiguration  | 
| Workspaces |  Arbeitsbereiche: AcceptAccountLinkInvitation Arbeitsbereiche: AssociateConnectionAlias Arbeitsbereiche: AssociateIpGroups Arbeitsbereiche: AssociateWorkspaceApplication Arbeitsbereiche: CopyWorkspaceImage Arbeitsbereiche: CreateAccountLinkInvitation Arbeitsbereiche: CreateConnectClientAddIn Arbeitsbereiche: CreateConnectionAlias Arbeitsbereiche: CreateIpGroup Arbeitsbereiche: CreateStandbyWorkspaces Arbeitsbereiche: CreateUpdatedWorkspaceImage Arbeitsbereiche: CreateWorkspaceBundle Arbeitsbereiche: CreateWorkspaceImage Arbeitsbereiche: CreateWorkspaces Arbeitsbereiche: CreateWorkspacesPool Arbeitsbereiche: DeleteAccountLinkInvitation Arbeitsbereiche: DeleteClientBranding Arbeitsbereiche: DeleteConnectClientAddIn Arbeitsbereiche: DeleteConnectionAlias Arbeitsbereiche: DeleteIpGroup Arbeitsbereiche: DeleteWorkspaceBundle Arbeitsbereiche: DeleteWorkspaceImage Arbeitsbereiche: DeployWorkspaceApplications Arbeitsbereiche: DeregisterWorkspaceDirectory Arbeitsbereiche: DescribeAccount Arbeitsbereiche: DescribeAccountModifications Arbeitsbereiche: DescribeApplicationAssociations Arbeitsbereiche: DescribeApplications Arbeitsbereiche: DescribeBundleAssociations Arbeitsbereiche: DescribeClientBranding Arbeitsbereiche: DescribeClientProperties Arbeitsbereiche: DescribeConnectClientAddIns Arbeitsbereiche: DescribeConnectionAliasPermissions Arbeitsbereiche: DescribeConnectionAliases Arbeitsbereiche: DescribeCustomWorkspaceImageImport Arbeitsbereiche: DescribeImageAssociations Arbeitsbereiche: DescribeIpGroups Arbeitsbereiche: DescribeWorkspaceAssociations Arbeitsbereiche: DescribeWorkspaceBundles Arbeitsbereiche: DescribeWorkspaceDirectories Arbeitsbereiche: DescribeWorkspaceImagePermissions Arbeitsbereiche: DescribeWorkspaceSnapshots Arbeitsbereiche: DescribeWorkspaces Arbeitsbereiche: DescribeWorkspacesConnectionStatus Arbeitsbereiche: DescribeWorkspacesPoolSessions Arbeitsbereiche: DescribeWorkspacesPools Arbeitsbereiche: DisassociateConnectionAlias Arbeitsbereiche: DisassociateIpGroups Arbeitsbereiche: DisassociateWorkspaceApplication Arbeitsbereiche: GetAccountLink Arbeitsbereiche: ImportClientBranding Arbeitsbereiche: ImportWorkspaceImage Arbeitsbereiche: ListAccountLinks Arbeitsbereiche: ListAvailableManagementCidrRanges Arbeitsbereiche: MigrateWorkspace Arbeitsbereiche: ModifyAccount Arbeitsbereiche: ModifyCertificateBasedAuthProperties Arbeitsbereiche: ModifyClientProperties Arbeitsbereiche: ModifyEndpointEncryptionMode Arbeitsbereiche: ModifySamlProperties Arbeitsbereiche: ModifySelfservicePermissions Arbeitsbereiche: ModifyStreamingProperties Arbeitsbereiche: ModifyWorkspaceAccessProperties Arbeitsbereiche: ModifyWorkspaceCreationProperties Arbeitsbereiche: ModifyWorkspaceProperties Arbeitsbereiche: ModifyWorkspaceState Arbeitsbereiche: RebootWorkspaces Arbeitsbereiche: RebuildWorkspaces Arbeitsbereiche: RegisterWorkspaceDirectory Arbeitsbereiche: RejectAccountLinkInvitation Arbeitsbereiche: RestoreWorkspace Arbeitsbereiche: StartWorkspaces Arbeitsbereiche: StartWorkspacesPool Arbeitsbereiche: StopWorkspaces Arbeitsbereiche: StopWorkspacesPool Arbeitsbereiche: TerminateWorkspaces Arbeitsbereiche: TerminateWorkspacesPool Arbeitsbereiche: TerminateWorkspacesPoolSession Arbeitsbereiche: UpdateConnectClientAddIn Arbeitsbereiche: UpdateConnectionAliasPermission Arbeitsbereiche: UpdateWorkspaceBundle Arbeitsbereiche: UpdateWorkspaceImagePermission Arbeitsbereiche: UpdateWorkspacesPool  | 
| xray |  röntgen: CreateGroup röntgen: CreateSamplingRule röntgen: DeleteGroup röntgen: DeleteResourcePolicy röntgen: DeleteSamplingRule röntgen: GetEncryptionConfig röntgen: GetGroup röntgen: GetGroups röntgen: GetInsight röntgen: GetInsightEvents röntgen: GetInsightImpactGraph röntgen: GetInsightSummaries röntgen: GetSamplingRules röntgen: ListResourcePolicies röntgen: PutEncryptionConfig röntgen: PutResourcePolicy röntgen: UpdateGroup röntgen: UpdateSamplingRule  | 

# Richtlinienübersichten
<a name="access_policies_understand"></a>

Die IAM-Konsole enthält Tabellen mit *Richtlinienübersichten*, die die Zugriffsebene, Ressourcen und Bedingungen aufführt, die für die einzelnen Services in einer Richtlinie zugelassen oder verweigert werden. Richtlinien werden in drei Tabellen zusammengefasst: [Richtlinienübersicht](access_policies_understand-policy-summary.md), [Serviceübersicht](access_policies_understand-service-summary.md) und [Aktionsübersicht](access_policies_understand-action-summary.md). Die Tabelle mit der *Richtlinienübersicht* enthält eine Liste von Services. Wählen Sie dort einen Service aus, um die *Serviceübersicht* anzuzeigen. Diese Übersichtstabelle enthält eine Liste der Aktionen und dazugehörigen Berechtigungen für den ausgewählten Service. Sie können eine Aktion in dieser Tabelle auswählen, um die *Aktionsübersicht* anzuzeigen. Diese Tabelle enthält eine Liste der Ressourcen und Bedingungen für die gewählte Aktion. 

![\[Abbildung des Richtlinienübersichtdiagramms, die die drei Tabellen und deren Beziehung darstellt\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/policy_summaries-diagram.png)


Sie können auf der Seite **Users (Benutzer)** oder **Roles (Rollen)** Richtlinienübersichten für alle Richtlinien (verwaltete Richtlinien und Inlinerichtlinien) anzeigen, die diesem Benutzer angefügt sind. Auf der Seite **Policies (Richtlinien)** können Sie Übersichten für alle verwalteten Richtlinien anzeigen. Zu den verwalteten Richtlinien gehören AWS verwaltete Richtlinien, AWS verwaltete Richtlinien für Jobfunktionen und vom Kunden verwaltete Richtlinien. Sie können auf der Seite **Policies (Richtlinien)** Übersichten für diese Richtlinien anzeigen, unabhängig davon, ob sie an einen Benutzer oder eine andere IAM-Identität angefügt sind.

Sie können die Informationen in den Richtlinienübersichten verwenden, um die Berechtigungen, die von Ihrer Richtlinie zugelassen oder verweigert werden, umfassend zu verstehen. Richtlinienübersichten können Ihnen die [Problembehandlung](troubleshoot_policies.md) und Korrektur von Richtlinien erleichtern, die nicht die Berechtigungen bereitstellen, die Sie erwarten.

**Topics**
+ [

# Richtlinienübersicht (Liste der Services)
](access_policies_understand-policy-summary.md)
+ [

# Zugriffsebenen in Richtlinienübersichten
](access_policies_understand-policy-summary-access-level-summaries.md)
+ [

# Serviceübersicht (Liste der Aktionen)
](access_policies_understand-service-summary.md)
+ [

# Aktionsübersicht (Liste der Ressourcen)
](access_policies_understand-action-summary.md)
+ [

# Beispiele für Richtlinienübersichten
](access_policies_policy-summary-examples.md)

# Richtlinienübersicht (Liste der Services)
<a name="access_policies_understand-policy-summary"></a>

Richtlinien werden in drei Tabellen zusammengefasst: Richtlinienübersicht, [Serviceübersicht](access_policies_understand-service-summary.md) und [Aktionsübersicht](access_policies_understand-action-summary.md). In der Tabelle *Richtlinienübersicht* werden die Services und die Übersichten der für die ausgewählte Richtlinie definierten Berechtigungen aufgelistet. 

![\[Abbildung des Richtlinienübersichtdiagramms, die die drei Tabellen und deren Beziehung darstellt\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/policy_summaries-pol-sum.png)


Die Tabelle der Richtlinienübersicht ist in eine oder mehrere Abschnitte gruppiert: **Uncategorized services (Nicht kategorisierte Services)**, **Explicit deny (Explizite Zugriffsverweigerung)** und **Allow (Erlauben)**. Wenn die Richtlinie einen Service enthält, den IAM nicht erkennt, ist der Service im Abschnitt **Uncategorized services** der Tabelle enthalten. Wenn IAM den Service erkennt, ist er je nach Auswirkung der Richtlinie (** oder **) im Abschnitt **Explicit deny** oder `Deny`Allow`Allow` der Tabelle enthalten.

## Elemente einer Richtlinienübersicht
<a name="understanding-elements-policy-summary"></a>

Im folgenden Beispiel für eine Richtliniendetailseite handelt es sich bei der **SummaryAllElements**Richtlinie um eine verwaltete Richtlinie (vom Kunden verwaltete Richtlinie), die direkt an den Benutzer angehängt ist. Diese Richtlinie wird erweitert, um die Richtlinienübersicht einzublenden. 

![\[Abbildung des Dialogfelds für die Richtlinienübersicht\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/policies-summary-user-page-dialog.png)


In der vorhergehenden Abbildung wird die Richtlinienübersicht auf der Seite **Policies** (Richtlinien) angezeigt:

1. Auf der Registerkarte **Permissions** (Berechtigungen) werden die in der Richtlinie definierten Berechtigungen angezeigt.

1. Wenn die Richtlinie nicht Berechtigungen für alle Aktionen, Ressourcen und Bedingungen erteilt, die in der Richtlinie definiert sind, wird oben auf der Seite ein Warn- oder Fehlerbanner angezeigt. Die Richtlinienübersicht enthält dann Details zu dem Problem. Informationen dazu, wie Richtlinienübersichten dabei helfen, Probleme mit den Berechtigungen, die durch Ihre Richtlinie erteilt werden, zu verstehen und zu beheben, finden Sie unter [Meine Richtlinie erteilt nicht die erwarteten Berechtigungen](troubleshoot_policies.md#policy-summary-not-grant-permissions).

1. Verwenden Sie die Schaltflächen **Summary** (Übersicht) und **JSON**, um zwischen der Richtlinienübersicht und dem JSON-Richtliniendokument zu wechseln.

1.  Verwenden Sie das Feld **Search** (Suche), um die Liste der Services zu kürzen und nach einem bestimmten Service zu suchen.

1. In der erweiterten Ansicht werden zusätzliche Details der **SummaryAllElements**Richtlinie angezeigt.

Die folgende Tabelle mit der Zusammenfassung der Richtlinie zeigt die erweiterte **SummaryAllElements**Richtlinie auf der Seite mit den Richtliniendetails.

![\[Abbildung des Dialogfelds für die Richtlinienübersicht\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/policies-summary-table-dialog.png)


In der vorhergehenden Abbildung wird die Richtlinienübersicht auf der Seite **Policies** (Richtlinien) angezeigt:

1. Solche Services, die IAM erkennt, werden entsprechend in Gruppen eingeteilt, je nachdem, ob die Richtlinie die Verwendung des Services zulässt oder explizit verweigert. In diesem Beispiel umfasst die Richtlinie eine `Deny` Erklärung für den Amazon S3 S3-Service und `Allow` Kontoauszüge für die Billing CodeDeploy - und Amazon EC2-Services.

1. **Service** – In dieser Spalte werden die in der Richtlinie definierten Services aufgelistet und die Details für den jeweiligen Service angegeben. Jeder Servicename in der Richtlinienübersichtstabelle ist als Link zur Tabelle *Serviceübersicht* formatiert, die unter [Serviceübersicht (Liste der Aktionen)](access_policies_understand-service-summary.md) erläutert wird. In diesem Beispiel werden Berechtigungen für die Services Amazon S3 CodeDeploy, Billing und Amazon EC2 definiert.

1. **Access Level** (Zugriffsebene) – In dieser Spalte ist angegeben, ob die Aktionen in jeder Zugriffsebene (`List`, `Read`, `Write`, `Permission Management` und `Tagging`) über die in der Richtlinie definierten Berechtigungen `Full` oder `Limited` verfügen. Weitere Informationen und Beispiele für die Zugriffsebenenübersicht finden Sie unter [Zugriffsebenen in Richtlinienübersichten](access_policies_understand-policy-summary-access-level-summaries.md).
   + **Full access (Voller Zugriff)** – Dieser Eintrag gibt an, dass der Service Zugriff auf alle Aktionen in den für den Service verfügbaren vier Zugriffsebenen hat.
   + <a name="full-vs-limited-access-summary"></a>Wenn der Eintrag nicht **Full access (Voller Zugriff)** enthält, hat der Service Zugriff nur auf einige, aber nicht auf alle Aktionen des Services. Der Zugriff wird dann durch die folgenden Beschreibungen für jede der Zugriffsebenenklassifizierungen (`List`, `Read`, `Write`, `Permission Management` und `Tagging`) definiert:

     **Full (Voll)**: Die Richtlinie bietet Zugriff auf alle Aktionen in jeder der aufgeführten Zugriffsebenenklassifizierungen. In diesem Beispiel bietet die Richtlinie Zugriff auf alle `Read`-Fakturierungsaktionen.

     **Limited (Beschränkt)**: Die Richtlinie bietet Zugriff auf eine oder mehrere Aktionen in jeder der aufgeführten Zugriffsebenenklassifizierungen, jedoch nicht auf alle Aktionen. In diesem Beispiel bietet die Richtlinie Zugriff auf einige `Write`-Fakturierungsaktionen.

1. **Resource (Ressource)** – In dieser Spalte werden die Ressourcen aufgelistet, die die Richtlinie für den jeweiligen Service definiert. 
   + **Multiple (Mehrfach)** – Die Richtlinie enthält mehr als eine Ressource in dem Service, jedoch nicht alle Ressourcen. In diesem Beispiel wird der Zugriff auf mehr als eine Amazon S3-Ressource explizit verweigert.
   + **All resources** (Alle Ressourcen) – Die Richtlinie ist für alle Ressourcen in dem Service definiert. In diesem Beispiel ermöglicht es die Richtlinie, die angegebenen Aktionen für alle Fakturierungsressourcen auszuführen.
   + Resource text – Die Richtlinie enthält eine Ressource in dem Service. In diesem Beispiel sind die aufgelisteten Aktionen nur für die `DeploymentGroupName` CodeDeploy Ressource zulässig. Je nach den Informationen, die der Service für IAM bereitstellt, wird eventuell ein ARN oder der definierte Ressourcentyp angezeigt.
**Anmerkung**  
Diese Spalte kann eine Ressource aus einem anderen Service enthalten. Wenn die Richtlinienanweisung, die die Ressource umfasst, nicht über die Aktionen und Ressourcen aus demselben Service verfügt, enthält Ihre Richtlinie nicht übereinstimmende Ressourcen. Sie werden nicht von IAM über nicht übereinstimmende Ressourcen gewarnt, wenn Sie eine Richtlinie erstellen oder in der Richtlinienübersicht anzeigen. Wenn diese Spalte eine nicht übereinstimmende Ressource enthält, sollten Sie Ihre Richtlinien auf Fehler überprüfen. Um Ihre Richtlinien besser zu verstehen, testen Sie sie stets mit dem [Richtliniensimulator](access_policies_testing-policies.md).

1. **Request condition (Anforderungsbedingung)** – In dieser Spalte wird angegeben, ob die der Ressource zugeordneten Services oder Aktionen Bedingungen unterliegen.
   + **None (Keine)** – Die Richtlinie enthält keine Bedingungen für den Service. In diesem Beispiel werden keine Bedingungen auf die verweigerten Aktionen im Amazon S3-Dienst angewendet.
   + Condition text – Die Richtlinie enthält eine Bedingung für den Service. In diesem Beispiel sind die aufgeführten Billing-Aktionen nur dann zulässig, wenn die IP-Adresse der Quelle mit `203.0.113.0/24` übereinstimmt.
   + **Multiple (Mehrfach)** – Die Richtlinie enthält mehrere Bedingungen für den Service. Zum Anzeigen der jeweiligen Bedingungen für die Richtlinie wählen Sie **JSON** aus, um das Richtliniendokument einzusehen.

1. **Show remaining services** (Die restlichen Services anzeigen) – Klicken Sie auf diese Schaltfläche, um die Tabelle zu erweitern und auch diejenigen Services anzuzeigen, die durch die Richtlinie nicht definiert sind. Diese Services werden in dieser Richtlinie *implizit verweigert* (oder standardmäßig verweigert). Eine Anweisung in einer anderen Richtlinie kann möglicherweise jedoch weiterhin die Verwendung des Services zulassen oder explizit verweigern. In der Richtlinienübersicht sind die Berechtigungen einer einzelnen Richtlinie zusammengefasst. Informationen darüber, wie der AWS Dienst entscheidet, ob eine bestimmte Anfrage zugelassen oder abgelehnt werden soll, finden Sie unter[Auswertungslogik für Richtlinien](reference_policies_evaluation-logic.md).

Wenn eine Richtlinie oder ein Element in der Richtlinie keine Berechtigungen erteilt, zeigt IAM zusätzliche Warnungen und Informationen in der Richtlinienübersicht an. Die folgende Tabelle mit der Zusammenfassung der Richtlinien zeigt die erweiterten Dienste „**Verbleibende Dienste anzeigen**“ auf der Seite mit den **SummaryAllElements**Richtliniendetails sowie die möglichen Warnungen.

![\[Abbildung des Dialogfelds für die Richtlinienübersicht\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/policies-summary-table-showremaining-dialog.png)


In der Abbildung oben sehen Sie alle Services, die definierten Aktionen, Ressourcen oder Bedingungen ohne Berechtigungen enthalten:

1. **Resource warnings (Ressourcenwarnungen)** – Für Services, die keine Berechtigungen für alle enthaltenen Aktionen oder Ressourcen bereitstellen, wird eine der folgenden Warnungen in der Spalte **Resource (Ressource)** der Tabelle angezeigt:
   + **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/console-alert-icon.console.png) No resources are defined (Keine Ressourcen definiert).** – Das bedeutet, dass der Service Aktionen definiert hat, aber die Richtlinie keine unterstützten Ressourcen enthält.
   + **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/console-alert-icon.console.png) One or more actions do not have an applicable resource (Eine oder mehrere Aktionen verfügen über keine geeignete Ressource).** – Das bedeutet, dass der Service Aktionen definiert hat, aber dass einige dieser Aktionen nicht über eine unterstützte Ressource verfügen.
   + **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/console-alert-icon.console.png) Eine oder mehrere Ressourcen haben keine anwendbare Aktion.** – Das bedeutet, dass der Service Ressourcen definiert hat, aber dass einige dieser Ressourcen nicht über eine unterstützte Aktion verfügen.

   Wenn ein Service sowohl Aktionen enthält, die keine zugehörigen Ressourcen besitzen, als auch Ressourcen, die zugehörigen Ressourcen besitzen, wird nur die Warnung **One or more resources do not have an applicable action** (Eine oder mehrere Ressourcen haben keine anwendbare Aktion) angezeigt. Der Grund hierfür ist, dass bei der Anzeige der Serviceübersicht für den Service, Ressourcen, die auf keine Aktion angewendet werden, nicht angezeigt werden. Für die Aktion `ListAllMyBuckets` enthält diese Richtlinie die letzte Warnung, da die Aktion keine Berechtigungen auf Ressourcenebene und nicht den Bedingungsschlüssel `s3:x-amz-acl` unterstützt. Wenn Sie entweder das Problem mit der Ressource oder der Bedingung beheben, wird nur das verbleibende Problem in einer detaillierten Warnung angezeigt.

1. **Request condition warnings (Anfordern von Bedingungswarnungen)** – Für Services, die keine Berechtigungen für alle enthaltenen Bedingungen bereitstellen, wird eine der folgenden Warnungen in der Spalte **Request condition (Bedingung anfordern)** der Tabelle angezeigt:
   + **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/console-alert-icon.console.png) One or more actions do not have an applicable condition (Eine oder mehrere Aktionen haben keine anwendbare Bedingung.).** – Das bedeutet, dass der Service Aktionen definiert hat, aber dass einige dieser Aktionen nicht über eine unterstützte Bedingung verfügen.
   + **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/console-alert-icon.console.png) One or more conditions do not have an applicable action (Eine oder mehrere Bedingungen haben keine anwendbare Aktion).** – Das bedeutet, dass der Service Bedingungen definiert hat, aber dass einige dieser Bedingungen nicht über eine unterstützte Aktion verfügen.

1. **Multiple \$1 ![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/console-alert-icon.console.png) One or more actions do not have an applicable resource (Eine oder mehrere Aktionen verfügen über keine geeignete Ressource).** – Die `Deny`-Anweisung für Amazon S3 umfasst mehr als eine Ressource. Außerdem enthält sie mehrere Aktionen – einige Aktionen unterstützen die Ressourcen, andere wiederum nicht. Informationen zu dieser Richtlinie finden Sie unter: [**SummaryAllElements** ein JSON-Richtliniendokument](#policy-summary-example-json). In diesem Fall enthält die Richtlinie alle Amazon S3-Aktionen. Es werden nur die Aktionen verweigert, die in einem Bucket oder Bucket-Objekt durchgeführt werden.

1. ** ![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/console-alert-icon.console.png)No resources are defined ** – Der Service verfügt über definierte Aktionen, aber in die Richtlinie sind keine unterstützten Ressourcen enthalten, sodass der Service keine Berechtigungen bereitstellt. In diesem Fall umfasst die Richtlinie CodeCommit Aktionen, aber keine CodeCommit Ressourcen.

1. **DeploymentGroupName \$1 string like \$1 All, region \$1 string like \$1 us-west-2 \$1 ![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/console-alert-icon.console.png) Eine oder mehrere Aktionen haben keine passende Ressource.** – Der Service verfügt über eine definierte Aktion und mindestens eine weitere Aktion, die über keine unterstützende Ressource verfügt.

1. **None \$1 ![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/console-alert-icon.console.png) One or more conditions do not have an applicable action.** (Eine oder mehrere Bedingungen haben keine anwendbare Aktion). – Der Service verfügt über mindestens einen Bedingungsschlüssel, der über keine unterstützende Aktion verfügt.

## **SummaryAllElements** ein JSON-Richtliniendokument
<a name="policy-summary-example-json"></a>

Die **SummaryAllElements**Richtlinie ist nicht dafür vorgesehen, dass Sie sie verwenden, um Berechtigungen in Ihrem Konto zu definieren. Sie soll stattdessen veranschaulichen, welche Fehler und Warnungen beim Anzeigen einer Richtlinienübersicht auftreten können.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "billing:Get*",
                "payments:List*",
                "payments:Update*",
                "account:Get*",
                "account:List*",
                "cur:GetUsage*"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": "203.0.113.0/24"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": [
                "s3:*"
            ],
            "Resource": [
                "arn:aws:s3:::customer",
                "arn:aws:s3:::customer/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:GetConsoleScreenshots"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "codedploy:*",
                "codecommit:*"
            ],
            "Resource": [
                "arn:aws:codedeploy:us-west-2:123456789012:deploymentgroup:*",
                "arn:aws:codebuild:us-east-1:123456789012:project/my-demo-project"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:GetObject",
                "s3:DeletObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*",
                "arn:aws:autoscling:us-east-2:123456789012:autoscalgrp"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": [
                        "public-read"
                    ],
                    "s3:prefix": [
                        "custom",
                        "other"
                    ]
                }
            }
        }
    ]
}
```

------

# Anzeigen von Richtlinienzusammenfassungen
<a name="access_policies_view-policy-summary"></a>

Sie können die Richtlinienzusammenfassungen für alle Richtlinien anzeigen, die einem IAM-Benutzer oder einer IAM-Rolle zugeordnet sind. Für verwaltete Richtlinien können Sie Richtlinienzusammenfassungen auf der Seite **Richtlinien** anzeigen. Wenn Ihre Richtlinie keine Richtlinienübersicht enthält, finden Sie unter [Übersicht fehlender Richtlinien](troubleshoot_policies.md#missing-policy-summary) Informationen zu den Gründen dafür.

## Anzeigen von Richtlinienzusammenfassungen auf der Seite **Richtlinien**
<a name="viewing-policy-summaries-from-the-policies-page"></a>

Sie können die Richtlinienübersicht für alle verwalteten Richtlinien auf der Seite **Policies (Richtlinien)** einsehen.

**So zeigen Sie die Richtlinienübersicht auf der Seite **Policies (Richtlinien)** an**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Wählen Sie im Navigationsbereich **Policies**.

1. Wählen Sie in der Richtlinienliste den Namen der Richtlinie aus, die sie anzeigen möchten.

1. Wählen Sie auf der Seite **Policy details** (Richtliniendetails) der Richtlinie die Registerkarte **Permissions** (Berechtigungen) aus, um die Richtlinienübersicht anzuzeigen.

## Anzeigen einer Richtlinienzusammenfassung für eine Richtlinie, die einem Benutzer angefügt ist
<a name="viewing-policy-summaries-for-policies-attached-to-users"></a>

Sie können die Richtlinienzusammenfassung für alle Richtlinien anzeigen, die einem IAM-Benutzer zugeordnet sind.

**So zeigen Sie die Übersicht für eine an einen Benutzer angefügte Richtlinie an**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Wählen Sie im Navigationsbereich **Users (Benutzer)**.

1. Wählen Sie in der Benutzerliste den Namen des Benutzers aus, dessen Richtlinie Sie anzeigen möchten.

1. Wählen Sie auf der Seite **Summary (Übersicht)** des Benutzers die Registerkarte **Permissions (Berechtigungen)** aus, um die Liste der Richtlinien anzuzeigen, die direkt oder aus einer Gruppe an den Benutzer angefügt werden.

1. Erweitern Sie in der Richtlinientabelle des Benutzers die Zeile der anzuzeigenden Richtlinie.

## Anzeigen einer Richtlinienzusammenfassung für eine Richtlinie, die einer Rolle angefügt ist
<a name="viewing-policy-summaries-for-policies-attached-to-roles"></a>

Sie können die Richtlinienzusammenfassung für alle Richtlinien anzeigen, die einer Rolle zugeordnet sind.

**So zeigen Sie die Übersicht für eine an eine Rolle angefügte Richtlinie an**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Wählen Sie im Navigationsbereich **Rollen**.

1. Wählen Sie in der Rollenliste den Namen der Rolle aus, deren Richtlinie Sie anzeigen möchten.

1. Wählen Sie auf der Seite **Summary (Zusammenfassung)** der Rolle die Registerkarte **Permissions (Berechtigungen)** aus, um die Liste der Richtlinien anzuzeigen, die der Rolle zugeordnet sind.

1. Erweitern Sie in der Richtlinientabelle der Rolle die Zeile der anzuzeigenden Richtlinie.

## Bearbeiten von Richtlinien zur Behebung von Warnungen
<a name="edit-policy-summary"></a>

Beim Anzeigen einer Richtlinienübersicht erkennen Sie möglicherweise einen Rechtschreibfehler oder Sie stellen fest, dass die Richtlinie nicht die erwarteten Berechtigungen hat. Sie können eine Richtlinienübersicht nicht direkt bearbeiten. Sie können jedoch eine individuell verwaltete Richtlinie mit dem visuellen Richtlinieneditor bearbeiten, der viele der Fehler und Warnungen erfasst, die in den Richtlinienzusammenfassungsberichten angezeigt werden. Sie können dann die Änderungen in der Zusammenfassung einsehen, um zu prüfen, ob Sie alle Probleme behoben haben. Informationen zum Bearbeiten einer Inline-Richtlinie finden Sie unter [IAM-Richtlinien bearbeiten](access_policies_manage-edit.md). Sie können AWS verwaltete Richtlinien nicht bearbeiten.

Sie können eine Richtlinie für Ihre Richtlinienzusammenfassung mithilfe der Option **Visuell** bearbeiten.

**So bearbeiten Sie eine Richtlinie für die Richtlinienübersicht mit der **Visual**-Option**

1. Öffnen Sie die Richtlinienübersicht wie in den vorherigen Verfahren erläutert.

1. Wählen Sie **Bearbeiten** aus.

   Wenn Sie die Seite **Users (Benutzer)** geöffnet haben und eine vom Kunden verwaltete Richtlinie bearbeiten möchten, die mit diesem Benutzer verknüpft ist, werden Sie zur Seite **Policies (Richtlinien)** weitergeleitet. Die vom Kunden verwalteten Richtlinien können nur auf der Seite **Policies (Richtlinien)** bearbeitet werden.

1. Wählen Sie die **Visual**-Option aus, um die bearbeitungsfähige, visuelle Darstellung Ihrer Richtlinie anzuzeigen. IAM kann Ihre Richtlinie umstrukturieren, um sie für den visuellen Editor zu optimieren und Ihnen das Auffinden und Beheben von Problemen zu erleichtern. Die Warnungen und Fehlermeldungen auf der Seite können Ihnen helfen, Probleme mit Ihrer Richtlinie zu beheben. Weitere Informationen zur Restrukturierung von Richtlinien durch IAM finden Sie unter [Umstrukturierung einer Richtlinie](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Bearbeiten Sie die Richtlinien und wählen Sie **Next** (Weiter) aus, um die übernommenen Änderungen in der Richtlinienübersicht einzusehen. Wenn Sie noch immer ein Problem sehen, wählen Sie **Previous (Zurück)** aus, um zur Bearbeitungsseite zurückzukehren.

1. Wählen Sie **Änderungen speichern** aus, um Ihre Änderungen zu speichern.

Sie können eine Richtlinie für Ihre Richtlinienzusammenfassung mithilfe der Option **JSON** bearbeiten.

**So bearbeiten Sie eine Richtlinie für Ihre Richtlinienzusammenfassung mithilfe der Option **Visuell****

1. Öffnen Sie die Richtlinienübersicht wie in den vorherigen Verfahren erläutert.

1. Verwenden Sie die Schaltflächen **Summary** (Übersicht) und **JSON**, um die Richtlinienübersicht und dem JSON-Richtliniendokument zu vergleichen. Anhand dieser Informationen können Sie bestimmen, welche Zeilen im Richtliniendokument Sie ändern möchten.

1. Wählen Sie **Edit** (Bearbeiten) und anschließend die **JSON**-Option aus, um das JSON-Richtliniendokument zu bearbeiten.
**Anmerkung**  
Sie können jederzeit zwischen den Editoroptionen **Visual** und **JSON** wechseln. Wenn Sie jedoch Änderungen vornehmen oder in der Editoroption **Visual** **Next** (Weiter) wählen, strukturiert IAM Ihre Richtlinie möglicherweise um, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter [Umstrukturierung einer Richtlinie](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

   Wenn Sie die Seite **Users (Benutzer)** geöffnet haben und eine vom Kunden verwaltete Richtlinie bearbeiten möchten, die mit diesem Benutzer verknüpft ist, werden Sie zur Seite **Policies (Richtlinien)** weitergeleitet. Die vom Kunden verwalteten Richtlinien können nur auf der Seite **Policies (Richtlinien)** bearbeitet werden.

1. Bearbeiten Sie Ihre Richtlinie. Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der [Richtlinien-Validierung](access_policies_policy-validator.md) erzeugt wurden, und wählen Sie dann **Weiter**. Wenn Sie noch immer ein Problem sehen, wählen Sie **Previous (Zurück)** aus, um zur Bearbeitungsseite zurückzukehren.

1. Wählen Sie **Änderungen speichern** aus, um Ihre Änderungen zu speichern.

# Zugriffsebenen in Richtlinienübersichten
<a name="access_policies_understand-policy-summary-access-level-summaries"></a>

## AWS Zusammenfassung der Zugriffsebene
<a name="access_policies_access-level-summaries"></a>

Richtlinienübersichten enthalten eine Übersicht auf Zugriffsebene, in der die Aktionsberechtigungen beschrieben werden, die für jeden in der Richtlinie erwähnten Service definiert sind. Weitere Informationen zu Richtlinienübersichten finden Sie unter [Richtlinienübersichten](access_policies_understand.md). Übersichten über die Zugriffsebenen enthalten Angaben darüber, ob die Aktionen in jeder Zugriffsebene (`List`, `Read`, `Tagging`, `Write`, und `Permissions management`) die in der Richtlinie definierten Berechtigungen `Full` oder `Limited` haben. Informationen zur Zugriffsebenenklassifizierung, die jeder Aktion in einem Service zugewiesen ist, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste](reference_policies_actions-resources-contextkeys.html).

Im nachfolgenden Beispiel werden die Zugriffsebenen beschrieben, die in einer Richtlinie für bestimmte Services gewährt werden. Beispiele mit vollständigen JSON-Richtliniendokumenten sowie deren Übersichten finden Sie unter [Beispiele für Richtlinienübersichten](access_policies_policy-summary-examples.md).


****  

| Service | Zugriffsebene | Diese Richtlinie bietet Folgendes: | 
| --- | --- | --- | 
| IAM |  Vollzugriff | Zugriff auf alle Aktionen innerhalb des IAM-Services | 
| CloudWatch | Full: List | Zugriff auf alle CloudWatch Aktionen in der List Zugriffsebene, aber kein Zugriff auf Aktionen mit der Permissions management Zugriffsebenenklassifizierung ReadWrite, oder. | 
| Data Pipeline | Limited: List, Read | Zugriff auf mindestens eine, aber nicht auf alle AWS Data Pipeline Aktionen in der Read Zugriffsebene List und, aber nicht auf die Permissions management Aktionen Write Oder. | 
| EC2 | Full: List, Read Limited: Write | Zugriff auf alle Amazon EC2 List- und Read-Aktionen und Zugriff auf mindestens eine, aber nicht alle Amazon EC2 Write-Aktionen, aber kein Zugriff auf Aktionen mit der Permissions management-Zugriffsstufeneinteilung. | 
| S3 | Limited: Read, Write, Permissions management | Zugriff auf mindestens eine, aber nicht alle Amazon S3-Aktionen mit Read, Write und Permissions management | 
| codedploy | (empty) | Unbekannter Zugriff, weil dieser Service in IAM nicht erkannt wird. | 
| API Gateway | Keine | In der Richtlinie wird kein Zugriff festgelegt. | 
| CodeBuild | ![\[a white exclamation point on an orange triangle background\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/console-alert-icon.console.png) Es sind keine Aktionen definiert. | Kein Zugriff, da keine Aktionen für den Service definiert sind. Weitere Informationen zum Verständnis und zum Beheben dieses Problems finden Sie unter [Meine Richtlinie erteilt nicht die erwarteten Berechtigungen](troubleshoot_policies.md#policy-summary-not-grant-permissions). | 

In einer Richtlinienzusammenfassung gibt **Voller Zugriff** an, dass die Richtlinie Zugriff auf alle Aktionen innerhalb des Services bietet. Richtlinien, die Zugriff auf einige, aber nicht alle Aktionen innerhalb eines Services gewähren, werden entsprechend der Zugriffsebenenklassifizierung gruppiert. Diese Zugriffsebenengruppen sind Folgende:
+ **Full**: Die Richtlinie bietet Zugriff auf alle Aktionen in der angegebenen Zugriffsebenenklassifizierung.
+ **Limited**: Die Richtlinie bietet Zugriff auf eine oder mehrere Aktionen in der angegebenen Zugriffsebenenklassifizierung, jedoch nicht auf alle Aktionen.
+ **None**: Die Richtlinie bietet keinen Zugriff.
+ (leer): Dieser Service wird in IAM nicht erkannt. Wenn der Servicename einen Tippfehler enthält, gewährt die Richtlinie keinen Zugriff auf den Service. Wenn der Servicename korrekt ist, werden Richtlinienübersichten von diesem Service möglicherweise nicht unterstützt oder befindet sich in der Vorschau. In diesem Fall kann es sein, dass die Richtlinie Zugriff gewährt, dieser Zugriff kann jedoch nicht in der Richtlinienübersicht angezeigt werden. Informationen dazu, wie Sie Unterstützung der Richtlinienübersicht für einen allgemein verfügbaren (GA) Service anfordern, finden Sie unter [Der Service unterstützt keine IAM-Richtlinienübersichten](troubleshoot_policies.md#unsupported-services-actions).

Zusammenfassungen der Zugriffsebenen, die eingeschränkten (teilweisen) Zugriff auf Aktionen beinhalten, werden anhand der AWS Zugriffsebenenklassifizierungen`List`,, `Read` `Tagging``Write`, oder gruppiert. `Permissions management`

## AWS Zugriffsebenen
<a name="access_policies_access-level"></a>

AWS definiert die folgenden Zugriffsebenenklassifizierungen für die Aktionen in einem Dienst:
+ **List**: Die Berechtigung zum Auflisten von Ressourcen innerhalb des Services, um zu bestimmen, ob ein Objekt vorhanden ist. Aktionen mit dieser Zugriffsebene können Objekte auflisten, aber nicht die Inhalte einer Ressource sehen. Zum Beispiel hat die Amazon S3-Aktion `ListBucket` die Zugriffsebene **List**. 
+ **Read**: Die Berechtigung zum Lesen, jedoch nicht zum Bearbeiten der Inhalte und Attribute der Ressourcen innerhalb des Services. Zum Beispiel haben die Amazon S3-Aktionen `GetObject` und `GetBucketLocation` die Zugriffsebene **Read**.
+ **Tagging**: Die Berechtigung zum Ausführen von Aktionen, die nur den Status der Ressourcen-Tags ändern. Beispielsweise verfügen die IAM-Aktionen `TagRole` und `UntagRole` über die Zugriffsebene **Tagging (Markieren)**, da sie nur eine Rolle markieren oder die Markierung der Rolle entfernen können. Die `CreateRole`-Aktion ermöglicht jedoch das Markieren einer Rolle, wenn Sie diese Rolle erstellen. Da die Aktion nicht nur ein Tag hinzufügt, hat sie auch die Zugriffsebene `Write`.
+ **Write**: Die Berechtigung zum Erstellen, Löschen oder Ändern von Ressourcen innerhalb des Services. Beispielsweise verfügen die Amazon S3-Aktionen `CreateBucket`, `DeleteBucket` und `PutObject` über die Zugriffsebene **Write**. `Write`-Aktionen lassen es möglicherweise auch zu, einen Ressourcen-Tag zu ändern. Jedoch verfügt eine Aktion, die nur Änderungen an Tags zulässt, über die Zugriffsebene `Tagging`.
+ **Rechteverwaltung**: Die Berechtigungsverwaltung bezieht sich auf Aktionen, die den Zugriff innerhalb von Benutzern kontrollieren AWS-Services, einschließlich IAM- und Nicht-IAM-Identitätsberechtigungen, schließt jedoch Zugriffskontrollen auf Netzwerkebene wie Sicherheitsgruppen aus. Beispielsweise verfügen die meisten IAM und AWS Organizations Aktionen sowie die Amazon S3 S3-Aktionen `PutBucketPolicy` `DeleteBucketPolicy` über die Zugriffsebene **Permissions Management**.
**Tipp**  
Um Ihre Sicherheit zu verbessern AWS-Konto, schränken Sie Richtlinien ein oder überwachen Sie sie regelmäßig, einschließlich der Zugriffsebenenklassifizierung **für die Berechtigungsverwaltung**.

Informationen zur Klassifizierung der Zugriffsebenen für alle Aktionen in einem Dienst finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste](reference_policies_actions-resources-contextkeys.html).

# Serviceübersicht (Liste der Aktionen)
<a name="access_policies_understand-service-summary"></a>

Richtlinien werden in drei Tabellen zusammengefasst: Richtlinienübersicht, [Serviceübersicht](access_policies_understand-policy-summary.md) und [Aktionsübersicht](access_policies_understand-action-summary.md). In der Tabelle *Serviceübersicht* werden die Aktionen und Übersichten der für die Richtlinie des ausgewählten Services definierten Berechtigungen aufgelistet.

![\[Abbildung des Richtlinienübersichtdiagramms, die die drei Tabellen und deren Beziehung darstellt\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/policy_summaries-svc-sum.png)


Sie können eine Serviceübersicht für jeden aufgeführten Service in der Richtlinienübersicht der Richtlinie anzeigen, die die Berechtigungen erteilt. Die Tabelle ist in die Bereiche **Uncategorized actions (Nicht kategorisierte Aktionen)** und **Uncategorized resource types (Nicht kategorisierte Ressourcentypen)** sowie die Zugriffsebene unterteilt. Wenn die Richtlinie eine Aktion enthält, die IAM nicht erkennt, ist die Aktion im Abschnitt **Uncategorized actions** der Tabelle enthalten. Wenn IAM die Aktion erkennt, ist sie in einem der Zugriffsebenenbereiche (**Liste**, **Lesen**, **Schreiben** und **Berechtigungsverwaltung**) der Tabelle enthalten. Informationen zur Zugriffsebenenklassifizierung, die jeder Aktion in einem Service zugewiesen ist, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste](reference_policies_actions-resources-contextkeys.html).

## Elemente einer Serviceübersicht
<a name="understanding-elements-service-summary"></a>

Das folgende Beispiel ist die Serviceübersicht für Amazon-S3-Aktionen, die von einer Richtlinienübersicht zugelassen werden. Die Aktionen für diesen Service sind nach Zugriffsebene gruppiert. Von insgesamt 52 **Read** (Lesen)-Aktionen für den Service sind hier beispielsweise 35 **Read** (Lesen)-Aktionen definiert.

![\[Abbildung des Dialogfelds für die Serviceübersicht\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/policies-summary-action-dialog.png)


Die Seite "Serviceübersicht" für verwaltete Richtlinien enthält die folgenden Informationen:

1. Wenn die Richtlinie nicht Berechtigungen für alle Aktionen, Ressourcen und Bedingungen erteilt, die für den Service in der Richtlinie definiert sind, wird oben auf der Seite ein Warnbanner angezeigt. Die Serviceübersicht enthält dann Details zu dem Problem. Informationen dazu, wie Richtlinienübersichten dabei helfen, Probleme mit den Berechtigungen, die durch Ihre Richtlinie erteilt werden, zu verstehen und zu beheben, finden Sie unter [Meine Richtlinie erteilt nicht die erwarteten Berechtigungen](troubleshoot_policies.md#policy-summary-not-grant-permissions).

1. Klicken Sie auf **JSON**, um weitere Informationen zu der Richtlinie anzuzeigen. So können Sie alle Bedingungen für die Aktionen anzeigen. Wenn Sie die Serviceübersicht einer Inlinerichtlinie anzeigen, die direkt einem Benutzer zugeordnet ist, müssen Sie das Dialogfeld "Serviceübersicht" schließen und zur Richtlinienübersicht zurückkehren, um auf das JSON-Richtliniendokument zugreifen zu können.

1. Um die Übersicht für eine bestimmte Aktion anzuzeigen, geben Sie Schlüsselwörter in das Feld **Search** (Suche) ein, um die Liste der verfügbaren Aktionen zu kürzen.

1. Neben dem Rückwärtspfeil **Services** finden Sie den Namen des Service (in diesem Fall **S3**). Die Serviceübersicht für diesen Service umfasst die Liste der in der Richtlinie definierten zulässigen oder verweigerten Aktionen. Wenn der Service auf der Registerkarte **Permissions** (Berechtigungen) unter **(Explicit deny)** ((Explizite Ablehnung)) angezeigt wird, werden die in der Serviceübersichtstabelle aufgeführten Aktionen ausdrücklich verweigert. Wenn der Service auf der Registerkarte **Permissions** (Berechtigungen) unter **Allow** (Zulassen) angezeigt wird, werden die in der Serviceübersichtstabelle aufgeführten Aktionen zugelassen. 

1. **Action** (Aktion) – Diese Spalte enthält die Aktionen, die in der Richtlinie definiert sind, sowie die Ressourcen und Bedingungen für die einzelnen Aktionen. Wenn die Richtlinie Berechtigungen für die Aktion gewährt verweigert, ist der Aktionsname ein Link zur Tabelle mit der *[Aktionsübersicht](access_policies_understand-action-summary.md)*. Die Tabelle gruppiert diese Aktionen in ein bis fünf Bereichen, je nachdem, welche Zugriffsebenen von der Richtlinie gewährt bzw. verweigert werden. Diese Bereiche sind **List** (Liste), **Read** (Lesen), **Write** (Schreiben), **Permissions management** (Berechtigungsverwaltung) und **Tagging** (Markieren). Die erste Zahl ist die Anzahl der zulässigen Aktionen, die innerhalb jeder Zugriffsebene Berechtigungen bieten. Die zweite Zahl ist die Gesamtanzahl der Aktionen für den Service. In diesem Beispiel stellen 35 von insgesamt 52 bekannten **Read** (Lesen)-Aktionen für Amazon S3 Berechtigungen bereit. Informationen zur Zugriffsebenenklassifizierung, die jeder Aktion in einem Service zugewiesen ist, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste](reference_policies_actions-resources-contextkeys.html).

1. **Show remaining actions** (Die restlichen Aktionen anzeigen) – Klicken Sie auf diese Schaltfläche, um die Tabelle zu erweitern oder zu reduzieren und auch diejenigen Aktionen anzuzeigen, die für diesen Service zwar möglich sind, jedoch keine Berechtigungen bereitstellen. Durch Betätigen der Schaltfläche werden auch Warnungen für Elemente angezeigt, die keine Berechtigungen bereitstellen.

1. **Resource (Ressource)** – In dieser Spalte werden die Ressourcen aufgelistet, die die Richtlinie für den Service definiert. IAM überprüft nicht, ob die Ressource für jede Aktion gültig ist. In diesem Beispiel sind die Aktionen im Amazon-S3-Service nur für die Amazon-S3-Bucket-Ressource `developer_bucket` zulässig. Je nach den Informationen, die der Service für IAM bereitstellt, wird eventuell ein ARN wie `arn:aws:s3:::developer_bucket/*` oder der definierte Ressourcentyp wie beispielsweise `BucketName = developer_bucket` angezeigt.
**Anmerkung**  
Diese Spalte kann eine Ressource aus einem anderen Service enthalten. Wenn die Richtlinienanweisung, die die Ressource umfasst, nicht über die Aktionen und Ressourcen aus demselben Service verfügt, enthält Ihre Richtlinie nicht übereinstimmende Ressourcen. Sie werden nicht von IAM über nicht übereinstimmende Ressourcen gewarnt, wenn Sie eine Richtlinie erstellen oder in der Serviceübersicht anzeigen. In IAM wird auch nicht angegeben, ob die Aktion für die Ressourcen gilt, sondern nur, ob der Service übereinstimmt. Wenn diese Spalte eine nicht übereinstimmende Ressource enthält, sollten Sie Ihre Richtlinien auf Fehler überprüfen. Um Ihre Richtlinien besser zu verstehen, testen Sie sie stets mit dem [Richtliniensimulator](access_policies_testing-policies.md).

1. **Request condition (Anforderungsbedingung)** – In dieser Spalte wird angegeben, ob die der Ressource zugeordneten Aktionen Bedingungen unterliegen. Wenn Sie weitere Informationen zu diesen Bedingungen erhalten möchten, wählen Sie **JSON** aus, um das JSON-Richtliniendokument zu lesen.

1. **(No access) (Kein Zugriff)** – Diese Richtlinie enthält eine Aktion, die keine Berechtigungen bereitstellt. 

1. **Resource warning (Ressourcenwarnung)** – Bei Aktionen mit Ressourcen, die keine umfassenden Berechtigungen bereitstellen, wird eine der folgenden Warnungen angezeigt:
   + **This action does not support resource-level permissions. (Diese Aktion unterstützt keine Berechtigungen auf Ressourcenebene). This requires a wildcard (\$1) for the resource.** (Dies erfordert einen Platzhalter (\$1) für die Ressource). – Das bedeutet, dass die Richtlinie Berechtigungen auf Ressourcenebene enthält, aber `"Resource": ["*"]` enthalten muss, um Berechtigungen für diese Aktion zu gewähren.
   + **This action does not have an applicable resource (Diese Aktion verfügt nicht über eine geeignete Ressource).** – Das bedeutet, dass die Aktion ohne eine unterstützte Ressource in der Richtlinien enthalten ist.
   + **This action does not have an applicable resource and condition (Diese Aktion hat keine anwendbare Ressource und Bedingung).** – Das bedeutet, dass die Aktion ohne eine unterstützte Ressource und ohne unterstützte Bedingung in der Richtlinien enthalten ist. In diesem Fall ist auch in der Richtlinie für diesen Service eine Bedingung enthalten. Es gibt jedoch keine Bedingungen, die für diese Aktion gelten.

1. Aktionen, die Berechtigungen bereitstellen, enthalten einen Link zur Aktionsübersicht.

# Serviceübersicht anzeigen
<a name="access_policies_view-service-summary"></a>

Sie können eine Serviceübersicht für jeden aufgeführten Service in der Richtlinienübersicht der Richtlinie anzeigen, die die Berechtigungen erteilt. 

## Anzeigen von Serviceübersicht auf der Seite **Richtlinien**
<a name="viewing-service-summaries-from-the-policies-page"></a>

Sie können die Serviceübersicht für alle verwalteten Richtlinien auf der Seite **Policies** (Richtlinien) einsehen.

**So zeigen Sie die Serviceübersicht für eine verwaltete Richtlinie an**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Wählen Sie im Navigationsbereich **Policies**.

1. Wählen Sie in der Richtlinienliste den Namen der Richtlinie aus, die sie anzeigen möchten.

1. Wählen Sie auf der Seite **Policy details** (Richtliniendetails) der Richtlinie die Registerkarte **Permissions** (Berechtigungen) aus, um die Richtlinienübersicht anzuzeigen.

1. Wählen Sie in der Serviceliste der Richtlinienübersicht den Namen des anzuzeigenden Service.

## Anzeigen einer Serviceübersicht für eine einem Benutzer zugeordnete Richtlinie
<a name="viewing-service-summaries-for-policies-attached-to-users"></a>

Sie können die Serviceübersicht für alle Richtlinien anzeigen, die einem IAM-Benutzer zugeordnet sind.

**So zeigen Sie die Serviceübersicht für eine einem Benutzer zugeordnete Richtlinie an**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Wählen Sie in der Benutzerliste den Namen des Benutzers aus, dessen Richtlinie Sie anzeigen möchten.

1. Wählen Sie auf der Seite **Summary (Übersicht)** des Benutzers die Registerkarte **Permissions (Berechtigungen)** aus, um die Liste der Richtlinien anzuzeigen, die direkt oder aus einer Gruppe an den Benutzer angefügt werden.

1. Wählen Sie in der Richtlinientabelle des Benutzers den Namen der anzuzeigenden Richtlinie aus.

   Wenn Sie die Seite **Users** (Benutzer) geöffnet haben und die Serviceübersicht für eine an diesen Kunden angehängte Richtlinie anzeigen möchten, werden Sie zur Seite **Policies** (Richtlinien) weitergeleitet. Sie können Serviceübersichten nur auf der Seite **Policies** (Richtlinien) anzeigen.

1. Wählen Sie **Summary** (Übersicht) aus. Wählen Sie in der Serviceliste der Richtlinienübersicht den Namen des anzuzeigenden Service.
**Anmerkung**  
Wenn es sich bei der ausgewählten Richtlinie um eine Inlinerichtlinie handelt, die direkt an den Benutzer angefügt wird, wird die Serviceübersichtstabelle angezeigt. Wenn die Richtlinie eine Inlinerichtlinie ist, die aus einer Gruppe angefügt wird, wird das JSON-Richtliniendokument für diese Gruppe geöffnet. Wenn es sich um eine verwaltete Richtlinie handelt, wird die Serviceübersicht für diese Richtlinie auf der Seite **Policies (Richtlinien)** geöffnet.

## Anzeigen einer Serviceübersicht für eine Richtlinie, die einer Rolle zugeordnet ist
<a name="viewing-service-summaries-for-policies-attached-to-roles"></a>

Sie können die Richtlinienzusammenfassung für alle Richtlinien anzeigen, die einer Rolle zugeordnet sind.

**So zeigen Sie die Serviceübersicht für eine einer Rolle zugeordnete Richtlinie an**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Wählen Sie im Navigationsbereich **Roles (Rollen)**.

1. Wählen Sie in der Rollenliste den Namen der Rolle aus, deren Richtlinie Sie anzeigen möchten.

1. Wählen Sie auf der Seite **Summary (Zusammenfassung)** der Rolle die Registerkarte **Permissions (Berechtigungen)** aus, um die Liste der Richtlinien anzuzeigen, die der Rolle zugeordnet sind.

1. Wählen Sie in der Richtlinientabelle der Rolle den Namen der anzuzeigenden Richtlinie aus.

   Wenn Sie die Seite **Roles** (Rollen) geöffnet haben und die Serviceübersicht für eine an diesen Kunden angehängte Richtlinie anzeigen möchten, werden Sie zur Seite **Policies** (Richtlinien) weitergeleitet. Sie können Serviceübersichten nur auf der Seite **Policies** (Richtlinien) anzeigen.

1. Wählen Sie in der Serviceliste der Richtlinienübersicht den Namen des anzuzeigenden Service.

# Aktionsübersicht (Liste der Ressourcen)
<a name="access_policies_understand-action-summary"></a>

Richtlinien werden in drei Tabellen zusammengefasst: Richtlinienübersicht, [Serviceübersicht](access_policies_understand-policy-summary.md) und [Aktionsübersicht](access_policies_understand-service-summary.md). In der Tabelle *Aktionsübersicht* finden Sie eine Liste der Ressourcen mit den zugehörigen Bedingungen, die für die ausgewählte Aktion gelten. 

![\[Diagramm mit Richtlinienzusammenfassungen, das die drei Tabellen und ihre Beziehung veranschaulicht.\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/policy_summaries-action-sum.png)


Zum Anzeigen einer Aktionsübersicht für einzelne Aktionen, die Berechtigungen erteilen, wählen Sie den Link in der Serviceübersicht. Die Tabelle mit der Aktionsübersicht enthält Informationen zur Ressource sowie Angaben zu ihrer **Region** und zu ihrem **Account (Konto)**. Sie können auch die Bedingungen anzeigen, die für die jeweilige Ressource gelten. Auf diese Weise können Sie Bedingungen einsehen, die für einige Ressourcen gelten, aber nicht für andere.

## Elemente einer Aktionsübersicht
<a name="understanding-elements-action-summary"></a>

Im folgenden Beispiel ist die Aktionsübersicht für die Aktion `PutObject` (Schreiben) aus der Amazon S3-Serviceübersicht angegeben (siehe [Serviceübersicht (Liste der Aktionen)](access_policies_understand-service-summary.md)). Für diese Aktion definiert die Richtlinie mehrere Bedingungen für eine einzelne Ressource.



![\[Abbildung des Dialogfelds für die Aktionsübersicht\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/policies-summary-resource-dialog.png)


Die Aktionsübersichtsseite enthält die folgenden Informationen:

1. Wählen Sie **JSON** aus, um weitere Details zur Richtlinie anzuzeigen, wie z. B. mehrere Bedingungen, die auf die Aktionen angewendet werden. (Wenn Sie die Serviceübersicht einer Inlinerichtlinie anzeigen, die direkt einem Benutzer zugeordnet ist, müssen Sie das Dialogfeld "Serviceübersicht" schließen und zur Richtlinienübersicht zurückkehren, um auf das JSON-Richtliniendokument zugreifen zu können.)

1. Zum Anzeigen der Übersicht für eine bestimmte Ressource geben Sie Schlüsselwörter in das Feld **Search** (Suche) ein, um die Liste der verfügbaren Ressourcen zu kürzen.

1. Neben dem Zurück-Pfeil **Aktionen** erscheint der Name des Dienstes und der Aktion im Format `action name action in service` (in diesem Fall **PutObject Aktion in S3**). Die Aktionsübersicht für diesen Service umfasst die Liste der in der Richtlinie definierten Ressourcen.

1. **Resource** – In dieser Spalte werden die Ressourcen aufgelistet, die die Richtlinie für den ausgewählten Service definiert. In diesem Beispiel ist die **PutObject**Aktion für alle Objektpfade zulässig, jedoch nur für die `developer_bucket` Amazon S3 S3-Bucket-Ressource. Je nach den Informationen, die der Service für IAM bereitstellt, wird eventuell ein ARN wie `arn:aws:s3:::developer_bucket/*` oder der definierte Ressourcentyp wie beispielsweise `BucketName = developer_bucket, ObjectPath = All` angezeigt.

1. **Region** – In dieser Spalte wird die Region angezeigt, in der die Ressource definiert ist. Ressourcen können für alle Regionen oder eine einzelne Region definiert werden. Sie können nur in einer bestimmten Region vorhanden sein.
   + **All regions** (Alle Regionen) – Die Aktionen, die der Ressource zugeordnet sind, gelten für alle Regionen. In diesem Beispiel gehört die Aktion zu einem globalen Dienst, Amazon S3. Aktionen, die zu globalen Services gehören, gelten für alle Regionen.
   + Region text Die der Ressource zugeordneten Aktionen gelten für eine Region. Eine Richtlinie kann z. B. die Region `us-east-2` für eine Ressource festlegen.

1. **Account (Konto)** – In dieser Spalte wird angegeben, ob die der Ressource zugeordneten Services oder Aktionen für ein bestimmtes Konto gelten. Ressourcen können in allen Konten oder in einem einzelnen Konto vorhanden sein. Sie können nur in einem bestimmten Konto vorhanden sein.
   + **All accounts (Alle Konten)** – Die Aktionen, die der Ressource zugeordnet sind, gelten für alle Konten. In diesem Beispiel gehört die Aktion zu einem globalen Dienst, Amazon S3. Aktionen, die zu globalen Services gehören, gelten für alle Konten.
   + **This account** (Dieses Konto) – Die der Ressource zugeordneten Aktionen gelten nur für das aktuelle Konto.
   + Account number Die der Ressource zugeordneten Aktionen gelten für ein Konto (eins, bei dem Sie zurzeit nicht angemeldet sind). Wenn beispielsweise eine Richtlinie das Konto `123456789012` für eine Ressource festlegt, wird die Kontonummer in der Richtlinienübersicht angezeigt.

1. **Request condition** – In dieser Spalte wird angegeben, ob die der Ressource zugeordneten Aktionen Bedingungen unterliegen. Dieses Beispiel enthält die Bedingung `s3:x-amz-acl = public-read`. Wenn Sie weitere Informationen zu diesen Bedingungen erhalten möchten, wählen Sie **JSON** aus, um das JSON-Richtliniendokument zu lesen.

# Aktionsübersichten anzeigen
<a name="access_policies_view-action-summary"></a>

Sie können für jede in der Richtlinienzusammenfassung aufgeführte Aktion, die Berechtigungen gewährt, eine Aktions-Übersicht anzeigen. 

## Aktions-Übersichten auf der Seite **Richtlinien** anzeigen
<a name="viewing-action-summaries-from-the-policies-page"></a>

Sie können die Aktionsübersicht für verwaltete Richtlinien anzeigen.

**So zeigen Sie die Aktionsübersicht für eine verwaltete Richtlinie an**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Wählen Sie im Navigationsbereich **Policies**.

1. Wählen Sie in der Richtlinienliste den Namen der Richtlinie aus, die sie anzeigen möchten.

1. Wählen Sie auf der Seite **Policy details** (Richtliniendetails) der Richtlinie die Registerkarte **Permissions** (Berechtigungen) aus, um die Richtlinienübersicht anzuzeigen.

1. Wählen Sie in der Serviceliste der Richtlinienübersicht den Namen des anzuzeigenden Service.

1. Wählen Sie in der Aktionsliste der Serviceübersicht den Namen der anzuzeigenden Aktion.

## Anzeigen von Aktionsübersichten für eine Richtlinie, die einem Benutzer zugeordnet ist
<a name="viewing-action-summaries-for-policies-attached-to-users"></a>

Sie können die Aktionsübersicht für jede Richtlinie anzeigen, die einem Benutzer zugeordnet ist.

**So zeigen Sie die Aktionsübersicht für eine an einen Benutzer angefügte Richtlinie an**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Wählen Sie im Navigationsbereich **Users (Benutzer)**.

1. Wählen Sie in der Benutzerliste den Namen des Benutzers aus, dessen Richtlinie Sie anzeigen möchten.

1. Wählen Sie auf der Seite **Summary (Übersicht)** des Benutzers die Registerkarte **Permissions (Berechtigungen)** aus, um die Liste der Richtlinien anzuzeigen, die direkt oder aus einer Gruppe an den Benutzer angefügt werden.

1. Wählen Sie in der Richtlinientabelle des Benutzers den Namen der anzuzeigenden Richtlinie aus.

   Wenn Sie die Seite **Users** (Benutzer) geöffnet haben und die Serviceübersicht für eine an diesen Kunden angehängte Richtlinie anzeigen möchten, werden Sie zur Seite **Policies** (Richtlinien) weitergeleitet. Sie können Serviceübersichten nur auf der Seite **Policies** (Richtlinien) anzeigen.

1. Wählen Sie in der Serviceliste der Richtlinienübersicht den Namen des anzuzeigenden Service.
**Anmerkung**  
Wenn es sich bei der ausgewählten Richtlinie um eine Inlinerichtlinie handelt, die direkt an den Benutzer angefügt wird, wird die Serviceübersichtstabelle angezeigt. Wenn die Richtlinie eine Inlinerichtlinie ist, die aus einer Gruppe angefügt wird, wird das JSON-Richtliniendokument für diese Gruppe geöffnet. Wenn es sich um eine verwaltete Richtlinie handelt, wird die Serviceübersicht für diese Richtlinie auf der Seite **Policies (Richtlinien)** geöffnet.

1. Wählen Sie in der Aktionsliste der Serviceübersicht den Namen der anzuzeigenden Aktion.

## Anzeigen von Aktionsübersichten für eine Richtlinie, die einer Rolle zugeordnet ist
<a name="viewing-action-summaries-for-policies-attached-to-roles"></a>

Sie können die Aktionsübersicht für jede Richtlinie anzeigen, die einer Rolle zugeordnet ist.

**So zeigen Sie die Aktionsübersicht für eine an eine Rolle angefügte Richtlinie an**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Wählen Sie im Navigationsbereich **Rollen**.

1. Wählen Sie in der Rollenliste den Namen der Rolle aus, deren Richtlinie Sie anzeigen möchten.

1. Wählen Sie auf der Seite **Summary (Zusammenfassung)** der Rolle die Registerkarte **Permissions (Berechtigungen)** aus, um die Liste der Richtlinien anzuzeigen, die der Rolle zugeordnet sind.

1. Wählen Sie in der Richtlinientabelle der Rolle den Namen der anzuzeigenden Richtlinie aus.

   Wenn Sie die Seite **Roles** (Rollen) geöffnet haben und die Serviceübersicht für eine an diesen Kunden angehängte Richtlinie anzeigen möchten, werden Sie zur Seite **Policies** (Richtlinien) weitergeleitet. Sie können Serviceübersichten nur auf der Seite **Policies** (Richtlinien) anzeigen.

1. Wählen Sie in der Serviceliste der Richtlinienübersicht den Namen des anzuzeigenden Service.

1. Wählen Sie in der Aktionsliste der Serviceübersicht den Namen der anzuzeigenden Aktion.

# Beispiele für Richtlinienübersichten
<a name="access_policies_policy-summary-examples"></a>

Die folgenden Beispiele enthalten JSON-Richtlinien mit ihren zugehörigen [Richtlinienübersichten](access_policies_understand-policy-summary.md), den [Serviceübersichten](access_policies_understand-service-summary.md) und den [Aktionsübersichten](access_policies_understand-action-summary.md), die Ihnen helfen, die über eine Richtlinie erteilten Berechtigungen zu verstehen.

## Richtlinie 1: DenyCustomerBucket
<a name="example1"></a>

Diese Richtlinie enthält eine Zugriffsberechtigung und eine Zugriffsverweigerung für denselben Service.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "FullAccess",
            "Effect": "Allow",
            "Action": ["s3:*"],
            "Resource": ["*"]
        },
        {
            "Sid": "DenyCustomerBucket",
            "Action": ["s3:*"],
            "Effect": "Deny",
            "Resource": ["arn:aws:s3:::customer", "arn:aws:s3:::customer/*" ]
        }
    ]
}
```

------

***DenyCustomerBucket**Zusammenfassung der Richtlinie:*

![\[Abbildung des Dialogfelds für die Richtlinienübersicht\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/policies-summary-example1-dialog.png)


*DenyCustomerBucket Zusammenfassung des **S3-Dienstes (Explizite Ablehnung)**:*

![\[Abbildung des Dialogfelds für die Serviceübersicht\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/policies-summary-action-example1-dialog.png)


*GetObject Zusammenfassung der Aktion **(gelesen)**:*

![\[Abbildung des Dialogfelds für die Aktionsübersicht\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/policies-summary-resource-example1-dialog.png)


## Richtlinie 2: DynamoDbRowCognito ID
<a name="policy_example2"></a>

Diese Richtlinie ermöglicht den zeilenweisen Zugriff auf Amazon DynamoDB basierend auf der Amazon Cognito-ID des Benutzers.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:DeleteItem",
                "dynamodb:GetItem",
                "dynamodb:PutItem",
                "dynamodb:UpdateItem"
            ],
            "Resource": [
                "arn:aws:dynamodb:us-west-1:123456789012:table/myDynamoTable"
            ],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "dynamodb:LeadingKeys": [
                        "${cognito-identity.amazonaws.com:sub}"
                    ]
                }
            }
        }
    ]
}
```

------

*DynamoDbRowCognitoZusammenfassung der **ID-Richtlinie**:*

![\[Abbildung des Dialogfelds für die Richtlinienübersicht\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/policies-summary-example2-dialog.png)


***DynamoDbRowCognitoID DynamoDB (Allow) Serviceübersicht**:*

![\[Abbildung des Dialogfelds für die Serviceübersicht\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/policies-summary-action-example2-dialog.png)


*GetItem Zusammenfassung der Aktionen **(Liste)**:*

![\[Abbildung des Dialogfelds für die Aktionsübersicht\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/policies-summary-resource-example2-dialog.png)


## Richtlinie 3: MultipleResourceCondition
<a name="policy_example3"></a>

Diese Richtlinie umfasst mehrere Ressourcen und Bedingungen.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": ["arn:aws:s3:::Apple_bucket/*"],
            "Condition": {"StringEquals": {"s3:x-amz-acl": ["public-read"]}}
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": ["arn:aws:s3:::Orange_bucket/*"],
            "Condition": {"StringEquals": {
                "s3:x-amz-acl": ["custom"],
                "s3:x-amz-grant-full-control": ["1234"]
            }}
        }
    ]
}
```

------

***MultipleResourceCondition**Zusammenfassung der Richtlinie:*

![\[Abbildung des Dialogfelds für die Richtlinienübersicht\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/policies-summary-example3-dialog.png)


*MultipleResourceCondition Zusammenfassung des **S3-Dienstes (Zulassen)**:*

![\[Abbildung des Dialogfelds für die Serviceübersicht\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/policies-summary-action-example3-dialog.png)


*PutObject Zusammenfassung der Aktion **(Schreiben)**:*

![\[Abbildung des Dialogfelds für die Aktionsübersicht\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/policies-summary-resource-example3-dialog.png)


## Richtlinie 4: EC2 \$1Troubleshooting
<a name="policy_example4"></a>

Die folgende Richtlinie ermöglicht es den Benutzern, einen Screenshot von einer laufenden Amazon EC2-Instance zu erstellen, um die EC2-Fehlerbehebung zu unterstützen. Diese Richtlinie ermöglicht es außerdem, Informationen zu den Elementen im Amazon S3-Entwickler-Bucket anzuzeigen. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:GetConsoleScreenshot"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::developer"
            ]
        }
    ]
}
```

------

***EC2\$1Zusammenfassung der Richtlinie zur Fehlerbehebung**:*

![\[Abbildung des Dialogfelds für die Richtlinienübersicht\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/policies-summary-example4-dialog.png)


***EC2\$1Serviceübersicht für S3 (Allow) zur Fehlerbehebung**:*

![\[Abbildung des Dialogfelds für die Serviceübersicht\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/policies-summary-action-example4-dialog.png)


*ListBucket Zusammenfassung der Aktionen **(Liste)**:*

![\[Abbildung des Dialogfelds für die Aktionsübersicht\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/policies-summary-resource-example4-dialog.png)


## Richtlinie 5: CodeBuild \$1 CodeCommit \$1 CodeDeploy
<a name="example6"></a>

Diese Richtlinie bietet Zugriff auf spezifische CodeBuild CodeCommit, und CodeDeploy Ressourcen. Da diese Ressourcen für jeden Service spezifisch sind, erscheinen Sie nur zusammen mit dem zugehörigen Service. Wenn Sie eine Ressource aufführen, die keinem Service im `Action`-Element entspricht, erscheint die Ressource in allen Aktionsübersichten.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Stmt1487980617000",
            "Effect": "Allow",
            "Action": [
                "codebuild:*",
                "codecommit:*",
                "codedeploy:*"
            ],
            "Resource": [
                "arn:aws:codebuild:us-east-2:123456789012:project/my-demo-project",
                "arn:aws:codecommit:us-east-2:123456789012:MyDemoRepo",
                "arn:aws:codedeploy:us-east-2:123456789012:application:WordPress_App",
                "arn:aws:codedeploy:us-east-2:123456789012:instance/AssetTag*"
            ]
        }
    ]
}
```

------

***CodeBuild\$1 CodeCommit \$1** Zusammenfassung CodeDeploy der Richtlinien:*

![\[Abbildung des Dialogfelds für die Richtlinienübersicht\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/policies-summary-example6-dialog.png)


***CodeBuild\$1 CodeCommit \$1 Serviceübersicht CodeDeploy CodeBuild (zulassen)**:*

![\[Abbildung des Dialogfelds für die Serviceübersicht\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/policies-summary-action-example6-dialog.png)


***CodeBuild\$1 CodeCommit \$1 Zusammenfassung der Aktion CodeDeploy StartBuild (Schreiben)**:*

![\[Abbildung des Dialogfelds für die Aktionsübersicht\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/policies-summary-resource-example6-dialog.png)


# Erforderliche Berechtigungen für den Zugriff auf IAM-Ressourcen
<a name="access_permissions-required"></a>

*Ressourcen* sind Objekte innerhalb eines Services. Zu den IAM-Ressourcen gehören Gruppen, Benutzer, Rollen und Richtlinien. Wenn Sie mit Root-Benutzer des AWS-Kontos Anmeldeinformationen angemeldet sind, gelten keine Einschränkungen bei der Verwaltung von IAM-Anmeldeinformationen oder IAM-Ressourcen. Allerdings müssen den IAM-Benutzern explizit Berechtigungen für die Verwaltung von Anmeldeinformationen oder IAM-Ressourcen erteilt werden. Sie können dies durch das Zuweisen einer identitätsbasierten Richtlinie zum Benutzer erledigen.

**Anmerkung**  
Wenn wir in der gesamten AWS Dokumentation von einer IAM-Richtlinie sprechen, ohne eine der spezifischen Kategorien zu erwähnen, meinen wir damit eine identitätsbasierte, vom Kunden verwaltete Richtlinie. Details zu den Richtlinienkategorien finden Sie unter [Richtlinien und Berechtigungen in AWS Identity and Access Management](access_policies.md).

## Berechtigungen für die Verwaltung von IAM-Identitäten
<a name="access_permissions-required-identities"></a>

Die Berechtigungen, die für die Verwaltung von IAM-Gruppen, -Benutzern, -Rollen und -Anmeldeinformationen erforderlich sind, entsprechen in der Regel den API-Aktionen für die Aufgabe. Um z. B. IAM-Benutzer anzulegen, benötigen Sie die `iam:CreateUser`-Berechtigung, die der entsprechende API-Befehl hat: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html). Um einem IAM-Benutzer zu erlauben, andere IAM-Benutzer zu erstellen, können Sie diesem Benutzer zum Beispiel die folgende IAM-Richtlinie zuweisen: 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": "iam:CreateUser",
    "Resource": "*"
  }
}
```

------

In einer Richtlinie ist der Wert des Elements `Resource` von der Aktion abhängig und auf welche Ressourcen diese Aktion Einfluss nimmt. Im vorherigen Beispiel erteilt die Richtlinie dem Benutzer die Berechtigung, alle möglichen Benutzer zu erstellen (`*` ist ein Platzhalter, der mit allen Zeichenfolgen übereinstimmt). Im Gegensatz dazu verfügt eine Richtlinie, über die Benutzer nur ihre eigenen Zugriffsschlüssel ändern können (API-Aktionen [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html) und [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html)), in der Regel über ein `Resource`-Element. In diesem Fall enthält der ARN eine Variable (`${aws:username}`), die sich, wie im folgenden Beispiel, in den Namen des aktuellen Benutzers auflöst: 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListUsersForConsole",
            "Effect": "Allow",
            "Action": "iam:ListUsers",
            "Resource": "arn:aws:iam::*:*"
        },
        {
            "Sid": "ViewAndUpdateAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:UpdateAccessKey",
                "iam:CreateAccessKey",
                "iam:ListAccessKeys"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

Im vorherigen Beispiel ist `${aws:username}` eine Variable, die den Benutzernamen auf den aktuellen Benutzer auflöst. Weitere Informationen zu Richtlinienvariablen finden Sie unter [IAM-Richtlinienelemente: Variablen und Tags](reference_policies_variables.md). 

Mit einem Platzhalterzeichen (`*`) im Aktionsnamen können Sie oft das Erteilen von Berechtigungen für alle Aktionen einer bestimmten Aufgabe einfacher gestalten. Wenn Sie beispielsweise Benutzern die Berechtigung zur Durchführung aller IAM-Aktionen erteilen möchten, können Sie `iam:*` für die Aktion verwenden. Um den Benutzern zu erlauben, die Aktionen auszuführen, die sich nur auf die Berechtigung zur Durchführung von Zugriffsschlüsseln beziehen, können Sie `iam:*AccessKey*` im Element `Action` in einer Richtlinienanweisung verwenden. So erhält der Benutzer die Berechtigung zum Ausführen der Aktionen [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html) und [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html). (Wenn in future eine Aktion zu IAM hinzugefügt wird, deren Name "AccessKey" enthält, erhält der Benutzer durch die Verwendung von `iam:*AccessKey*` for das `Action` Element auch die Berechtigung für diese neue Aktion.) Das folgende Beispiel zeigt eine Richtlinie, die es Benutzern ermöglicht, alle Aktionen auszuführen, die sich auf ihre eigenen Zugriffsschlüssel beziehen (`account-id`ersetzen Sie sie durch Ihre AWS-Konto ID): 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": "iam:*AccessKey*",
        "Resource": "arn:aws:iam::111122223333:user/${aws:username}"
    }
}
```

------

Für einige Aufgaben, wie z. B. das Löschen einer Gruppe, sind mehrere Aktionen erforderlich: Sie müssen zunächst die Benutzer aus der Gruppe entfernen, dann die Gruppenrichtlinien trennen oder löschen und schließlich die Gruppe löschen. Wenn Sie einem Benutzer die Berechtigung zum Löschen einer Gruppe erteilen möchten, müssen Sie sicherstellen, dass Sie ihm alle Berechtigung zur Ausführung der damit zusammenhängenden Aktionen erteilen. 

## Berechtigungen für die Arbeit in der AWS-Managementkonsole
<a name="Credentials-Permissions-overview-console"></a>

Die vorherigen Beispiele zeigen Richtlinien, die es einem Benutzer ermöglichen, die Aktionen mit dem [AWS CLI](https://aws.amazon.com/cli/)oder dem auszuführen [AWS SDKs](https://aws.amazon.com/tools/). 

Während die Benutzer mit der Konsole arbeiten, stellt die Konsole Anfragen an IAM um Gruppen, Benutzer, Rollen und Richtlinien sowie einer Gruppe zugeordnete Richtlinien abzurufen. Die Konsole gibt auch Anfragen zum Abrufen von AWS-Konto Informationen und Informationen über den Principal aus. Der Auftraggeber ist der Benutzer, der in der Konsole Anforderungen stellt. 

Im Allgemeinen müssen Sie für die Ausführung einer Aktion nur die passende Aktion in einer Richtlinie haben. Um einen Benutzer anzulegen, benötigen Sie die Berechtigung zum Aufrufen der Aktion `CreateUser`. Wenn Sie die Konsole verwenden, um eine Aktion auszuführen, müssen Sie über die Berechtigung zum Anzeigen, Auflisten, Abrufen oder anderweitigen Anzeigen einer Ressource in der Konsole verfügen. Dies ist notwendig, damit Sie durch die Konsole navigieren können, um die angegebene Aktion auszuführen. Wenn beispielsweise der Benutzer Jorge die Konsole zum Ändern seines eigenen Zugriffsschlüssel verwenden möchte, ruft er die IAM-Konsole auf und klickt auf **Users**. Diese Aktion bewirkt, dass die Konsole eine [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html)-Anforderung stellt. Wenn Jorge nicht über die Berechtigung für die Aktion `iam:ListUsers` verfügt, verweigert die Konsole den Zugriff beim Versuch, die Benutzer aufzulisten. Daher kann Jorge nicht seinen eigenen Namen und Zugriffsschlüssel ermitteln, selbst wenn er Berechtigungen für die Aktionen [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html) und [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html) hat.

Wenn Sie Benutzern Berechtigungen zur Verwaltung von Gruppen, Benutzern, Rollen, Richtlinien und Anmeldeinformationen mit der erteilen möchten AWS-Managementkonsole, müssen Sie Berechtigungen für die Aktionen angeben, die die Konsole ausführt. Beispiele für Richtlinien, die Sie verwenden können, um einem Benutzer diese Berechtigungen zu erteilen, finden Sie unter [Beispielrichtlinien für die Verwaltung von IAM-Ressourcen](id_credentials_delegate-permissions_examples.md). 

## Gewähren Sie Berechtigungen für mehrere Konten AWS
<a name="UserPermissionsAcrossAccounts"></a>

Sie können direkt in Ihrem eigenen Konto IAM-Benutzern Zugriff auf Ihre Ressourcen gewähren. Wenn Benutzer von einem anderen Konto aus Zugriff auf Ihre Ressourcen benötigen, können Sie eine IAM-Rolle erstellen, bei der es sich um eine Entität handelt, die Berechtigungen enthält, jedoch keinem bestimmten Benutzer zugeordnet ist. Benutzer von anderen Konten können dann die Rolle verwenden und entsprechend den Berechtigungen, die Sie der Rolle zugeordnet haben, auf Ressourcen zugreifen. Weitere Informationen finden Sie unter [Zugriff für einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](id_roles_common-scenarios_aws-accounts.md).

**Anmerkung**  
Einige Services unterstützen ressourcenbasierte Richtlinien wie in [Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien](access_policies_identity-vs-resource.md) beschrieben (wie Amazon S3, Amazon SNS und Amazon SQS). Für diese Services besteht eine Alternative zur Verwendung von Rollen darin, eine Richtlinie an die Ressource (Bucket, Thema oder Warteschlange) anzuhängen, die Sie freigeben möchten. Die ressourcenbasierte Richtlinie kann das AWS Konto angeben, das über Berechtigungen für den Zugriff auf die Ressource verfügt.

## Service-Berechtigungen für den Zugriff auf einen anderen Service
<a name="UserPermissionsAcrossAWS_ARCHIVE"></a>

Viele AWS Dienste greifen auf andere AWS Dienste zu. Zum Beispiel mehrere AWS -Dienste, einschließlich Amazon EMR, Elastic Load Balancing und Amazon EC2 Auto Scaling, verwalten Amazon EC2-Instances. Andere AWS Dienste verwenden Amazon S3 S3-Buckets, Amazon SNS SNS-Themen, Amazon SQS-Warteschlangen usw.

Das Szenario für das Verwalten von Berechtigungen in diesen Fällen variiert je nach Service. Hier finden Sie einige Beispiele für die Art und Weise, wie Berechtigungen für verschiedene Services verarbeitet werden: 
+ In Amazon EC2 Auto Scaling müssen Benutzer über die Berechtigung verfügen, Auto Scaling zu verwenden. Es muss ihnen jedoch nicht explizit die Berechtigung erteilt werden, Amazon EC2-Instances zu verwalten. 
+ In legt eine IAM-Rolle fest AWS Data Pipeline, was eine Pipeline tun kann. Benutzer benötigen eine entsprechende Genehmigung, um die Rolle übernehmen zu können. (Detaillierte Informationen finden Sie unter [ Granting Permissions to Pipelines with IAM](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) im *AWS Data Pipeline Developer Guide*.) 

Einzelheiten zur ordnungsgemäßen Konfiguration von Berechtigungen, sodass ein AWS Dienst die von Ihnen beabsichtigten Aufgaben ausführen kann, finden Sie in der Dokumentation für den Dienst, den Sie aufrufen. Wie Sie eine Rolle für einen Service anlegen, erfahren Sie in [Erstellen Sie eine Rolle, um Berechtigungen an einen AWS Dienst zu delegieren](id_roles_create_for-service.md).

**Konfigurieren eines Service mit einer IAM-Rolle, sodass er in Ihrem Namen arbeitet**  
Wenn Sie einen AWS Dienst so konfigurieren möchten, dass er in Ihrem Namen funktioniert, geben Sie in der Regel den ARN für eine IAM-Rolle an, die definiert, was der Dienst tun darf. AWS überprüft, ob Sie berechtigt sind, eine Rolle an einen Dienst zu übergeben. Weitere Informationen finden Sie unter [Erteilen Sie einem Benutzer die Erlaubnis, eine Rolle an einen AWS Dienst zu übergeben](id_roles_use_passrole.md).

## Erforderliche Aktionen
<a name="access_permissions-required-dependent-actions"></a>

Aktionen stellen die Dinge dar, die Sie mit einer Ressource machen können (z. B. Anzeigen, Anlegen, Bearbeiten und Löschen der Ressource). Aktionen werden von jedem AWS Dienst definiert.

Damit ein jemand eine Aktion ausführen kann, müssen Sie die erforderlichen Aktionen in eine Richtlinie aufnehmen, die für die aufrufende Identität oder die betroffene Ressource gilt. Im Allgemeinen müssen Sie, um die für die Ausführung einer Aktion erforderliche Berechtigung zu erteilen, diese Aktion in Ihre Richtlinie aufnehmen. Um beispielsweise einen Benutzer zu erstellen, müssen Sie die CreateUser Aktion zu Ihrer Richtlinie hinzufügen.

In einigen Fällen kann die eine Aktion erfordern, dass Sie zusätzliche Aktionen in Ihre Richtlinie aufnehmen. Um z. B. jemandem die Berechtigung zu geben, ein Verzeichnis in AWS Directory Service mit der `ds:CreateDirectory`-Operation zu erstellen, müssen Sie die folgenden Aktionen in ihre Richtlinie aufnehmen:
+ `ds:CreateDirectory`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeVpcs`
+ `ec2:CreateSecurityGroup`
+ `ec2:CreateNetworkInterface`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:AuthorizeSecurityGroupIngress`
+ `ec2:AuthorizeSecurityGroupEgress`

Wenn Sie eine Richtlinie mit dem visuellen Editor erstellen oder bearbeiten, erhalten Sie Warnungen und Aufforderungen, die Sie bei der Auswahl aller erforderlichen Aktionen für Ihre Richtlinie unterstützen.

Weitere Informationen zu den Berechtigungen, die zum Erstellen eines Verzeichnisses erforderlich sind AWS Directory Service, finden Sie unter [Beispiel 2: Erlauben Sie einem Benutzer, ein Verzeichnis zu erstellen](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/IAM_Auth_Access_IdentityBased.html#IAMPolicyExamples_DS_create_directory).

# Beispielrichtlinien für die Verwaltung von IAM-Ressourcen
<a name="id_credentials_delegate-permissions_examples"></a>

Die nachfolgenden Beispiele enthalten IAM-Richtlinien, mithilfe derer Benutzer Aufgaben wie das Verwalten von IAM-Benutzern, -Gruppen und -Anmeldeinformationen verwalten können. Darunter fallen auch Richtlinien, die es Benutzern ermöglichen, ihre eigenen Passwörter, Zugriffsschlüssel und MFA-Geräte zu verwalten.

Beispiele für Richtlinien, mit denen Benutzer Aufgaben mit anderen AWS Services wie Amazon S3, Amazon EC2 und DynamoDB ausführen können, finden Sie unter. [Beispiele für identitätsbasierte Richtlinien in IAM](access_policies_examples.md) 

**Topics**
+ [

## Benutzern erlauben, die Gruppen, Benutzer, Richtlinien und weitere Informationen des Kontos zu Berichtszwecken anzuzeigen
](#iampolicy-example-userlistall)
+ [

## Benutzern erlauben, Gruppenmitgliedschaften zu verwalten
](#iampolicy-example-usermanagegroups)
+ [

## Benutzern erlauben, IAM-Benutzer zu verwalten
](#creds-policies-users)
+ [

## Benutzern erlauben, eine Passwortrichtlinie für das Konto festzulegen
](#creds-policies-set-password-policy)
+ [

## Benutzern erlauben, IAM-Berichte zu Anmeldeinformationen zu erstellen und abzurufen
](#iampolicy-generate-credential-report)
+ [

## Erlauben aller IAM-Aktionen (Administratorzugriff)
](#creds-policies-all-iam)

## Benutzern erlauben, die Gruppen, Benutzer, Richtlinien und weitere Informationen des Kontos zu Berichtszwecken anzuzeigen
<a name="iampolicy-example-userlistall"></a>

Mit der folgenden Richtlinie kann der Benutzer jede IAM-Aktion aufrufen, die mit der Zeichenfolge `Get` oder `List` beginnt, und Berichte erstellen. Informationen zum Anzeigen der Beispielrichtlinie finden Sie unter [IAM: Gewährt einen schreibgeschützten Zugriff auf die IAM-Konsole](reference_policies_examples_iam_read-only-console.md). 

## Benutzern erlauben, Gruppenmitgliedschaften zu verwalten
<a name="iampolicy-example-usermanagegroups"></a>

Die folgende Richtlinie ermöglicht es dem Benutzer, die Mitgliedschaft der aufgerufenen Gruppe zu aktualisieren. *MarketingGroup* Informationen zum Anzeigen der Beispielrichtlinie finden Sie unter [IAM: Ermöglicht das Verwalten der Mitgliedschaft einer Gruppe sowohl programmgesteuert als auch über die Konsole](reference_policies_examples_iam_manage-group-membership.md). 

## Benutzern erlauben, IAM-Benutzer zu verwalten
<a name="creds-policies-users"></a>

Mit der folgenden Richtlinie wird Benutzern ermöglicht, alle Aufgaben auszuführen, die mit der Verwaltung von IAM-Benutzern zusammenhängen. Sie erhalten jedoch keine Berechtigungen für andere Entitäten wie Gruppen oder Richtlinien. Zu den zulässigen Aktionen gehören: 
+ Erstellen von Benutzern (die Aktion [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html)) 
+ Löschen von Benutzern. Um diese Aufgabe ausführen zu können, sind alle nachfolgenden Berechtigungen erforderlich: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html) und [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUser.html). 
+ Auflisten von Benutzern im Konto und in Gruppen (die Aktionen [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html) und [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html)) 
+ Auflisten und Entfernen von Richtlinien für den Benutzer (die Aktionen [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html)) 
+ Umbenennen und Ändern des Pfads eines Benutzers (die Aktion [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateUser.html)). Das Element `Resource` muss einen ARN enthalten, der sowohl den Quell- als auch den Zielpfad enthält. Weitere Informationen zu Pfaden finden Sie unter [Anzeigenamen und -pfade](reference_identifiers.md#identifiers-friendly-names).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowUsersToPerformUserActions",
            "Effect": "Allow",
            "Action": [
                "iam:ListPolicies",
                "iam:GetPolicy",
                "iam:UpdateUser",
                "iam:AttachUserPolicy",
                "iam:ListEntitiesForPolicy",
                "iam:DeleteUserPolicy",
                "iam:DeleteUser",
                "iam:ListUserPolicies",
                "iam:CreateUser",
                "iam:RemoveUserFromGroup",
                "iam:AddUserToGroup",
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:PutUserPolicy",
                "iam:ListAttachedUserPolicies",
                "iam:ListUsers",
                "iam:GetUser",
                "iam:DetachUserPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUsersToSeeStatsOnIAMConsoleDashboard",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccount*",
                "iam:ListAccount*"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Mit einigen der Berechtigungen aus der vorhergegangenen Richtlinie wird Benutzern ermöglicht, Aufgaben in der AWS-Managementkonsole auszuführen. Benutzer, die benutzerbezogene Aufgaben nur über die [AWS CLI[AWS SDKs](https://aws.amazon.com/tools/)](https://aws.amazon.com/cli/), die oder die IAM-HTTP-Abfrage-API ausführen, benötigen möglicherweise keine bestimmten Berechtigungen. Wenn Benutzer beispielsweise bereits den ARN der Richtlinien kennen, deren Zuordnung zu einem Benutzer sie aufheben möchten, benötigen sie die Berechtigung `iam:ListAttachedUserPolicies` nicht. Welche Berechtigungen ein Benutzer genau benötigt, ist abhängig von den Aufgaben, die der Benutzer zur Verwaltung anderer Benutzer ausführen können muss. 

Über die folgenden Berechtigungen erhalten Benutzer Zugriff auf Benutzeraufgaben über die AWS-Managementkonsole:
+ `iam:GetAccount*`
+ `iam:ListAccount*`

## Benutzern erlauben, eine Passwortrichtlinie für das Konto festzulegen
<a name="creds-policies-set-password-policy"></a>

Sie können ausgewählten Benutzern die Berechtigung zum Abrufen und Aktualisieren der [Passwortrichtlinie](id_credentials_passwords_account-policy.md) Ihres AWS-Konto gewähren. Informationen zum Anzeigen der Beispielrichtlinie finden Sie unter [IAM: Ermöglicht das Festlegen der Anforderungen an das Kontopasswort programmgesteuert und in der Konsole](reference_policies_examples_iam_set-account-pass-policy.md). 

## Benutzern erlauben, IAM-Berichte zu Anmeldeinformationen zu erstellen und abzurufen
<a name="iampolicy-generate-credential-report"></a>

Sie können Benutzern die Erlaubnis erteilen, einen Bericht zu erstellen und herunterzuladen, in dem alle Benutzer in Ihrem Bericht aufgeführt sind. AWS-Konto Der Bericht enthält außerdem den Status der verschiedenen Anmeldeinformationen (z. B. Passwörter, Zugriffsschlüssel, MFA-Geräte und Signaturzertifikate). Weitere Informationen zu Berichten zu Anmeldeinformationen finden Sie unter [Generieren Sie Anmeldedatenberichte für Ihre AWS-Konto](id_credentials_getting-report.md). Informationen zum Anzeigen der Beispielrichtlinie finden Sie unter [IAM: Generieren und Abrufen von -Berichten zu Anmeldeinformationen](reference_policies_examples_iam-credential-report.md). 

## Erlauben aller IAM-Aktionen (Administratorzugriff)
<a name="creds-policies-all-iam"></a>

Sie können ausgewählten Benutzern Administratorberechtigungen verliehen, um es ihnen zu ermöglichen, alle IAM-Aktionen einschließlich der Verwaltung von Passwörtern, Zugriffsschlüsseln, MFA-Geräten und Benutzerzertifikaten auszuführen. Mit der folgenden Beispielrichtlinie werden diese Berechtigungen verliehen. 

**Warnung**  
Wenn Sie einem Benutzer vollen Zugriff auf IAM gewähren, gibt es keine Begrenzung der Berechtigungen, die der Benutzer him/herself oder anderen gewähren kann. Der Benutzer kann neue IAM-Entitäten (Benutzer oder Rollen) erstellen und diesen Entitäten Vollzugriff auf alle Ressourcen in Ihrem AWS-Konto gewähren. Wenn Sie einem Benutzer Vollzugriff auf IAM gewähren, erhält dieser somit auch Vollzugriff auf alle Ressourcen in Ihrem AWS-Konto. Das bedeutet, er kann auch alle Ressourcen löschen. Gewähren Sie diese Berechtigungen nur ausgewählten Administratoren, und aktivieren Sie für diese Administratoren Multi-Factor Authentication (MFA).

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": "iam:*",
    "Resource": "*"
  }
}
```

------

# Temporäre IAM-Delegation
<a name="access_policies-temporary-delegation"></a>

## -Übersicht
<a name="temporary-delegation-overview"></a>

Die vorübergehende Delegierung beschleunigt das Onboarding und vereinfacht die Verwaltung von Produkten von Amazon und AWS Partnern, die in Ihre AWS Konten integriert werden können. Anstatt mehrere AWS Dienste manuell zu konfigurieren, können Sie temporäre, eingeschränkte Berechtigungen delegieren, sodass der Produktanbieter Einrichtungsaufgaben in Ihrem Namen innerhalb von Minuten mithilfe automatisierter Bereitstellungsworkflows erledigen kann. Sie behalten die administrative Kontrolle in Bezug auf Genehmigungsanforderungen und Berechtigungsgrenzen, während die Berechtigungen von Produktanbietern nach Ablauf der genehmigten Dauer automatisch ablaufen, ohne dass eine manuelle Bereinigung erforderlich ist. Wenn das Produkt für den laufenden Betrieb dauerhaften Zugriff benötigt, kann der Anbieter mithilfe einer temporären Delegierung eine IAM-Rolle mit einer Berechtigungsgrenze erstellen, die die maximalen Berechtigungen der Rolle festlegt. Alle Aktivitäten der Produktanbieter werden AWS CloudTrail zur Einhaltung von Vorschriften und zur Sicherheitsüberwachung nachverfolgt.

**Anmerkung**  
Temporäre Delegierungsanfragen können nur von Amazon-Produkten und qualifizierten AWS Partnern erstellt werden, die den Onboarding-Prozess für Funktionen abgeschlossen haben. Kunden überprüfen und genehmigen diese Anfragen, können sie jedoch nicht direkt erstellen. Wenn Sie ein AWS Partner sind, der die temporäre IAM-Delegierung in Ihr Produkt integrieren möchte, finden Sie Anweisungen zur Einführung und [Integration im Partnerintegrationsleitfaden](access_policies-temporary-delegation-partner-guide.md).

## So funktioniert die temporäre Delegierung
<a name="temporary-delegation-how-it-works"></a>

Die vorübergehende Delegierung ermöglicht es Amazon und AWS Partnern, temporären, eingeschränkten Zugriff auf Ihr Konto zu beantragen. Nach Ihrer Zustimmung können sie delegierte Berechtigungen verwenden, um in Ihrem Namen Maßnahmen zu ergreifen. Delegierungsanfragen definieren spezifische Berechtigungen für AWS Dienste und Aktionen, die der Produktanbieter benötigt, um Ressourcen in Ihrem AWS Konto bereitzustellen oder zu konfigurieren. Diese Berechtigungen sind nur für eine begrenzte Zeit verfügbar und laufen automatisch nach der in der Anfrage angegebenen Dauer ab.

**Anmerkung**  
Die maximale Dauer für delegierten Zugriff beträgt 12 Stunden. Root-Benutzer können jedoch nur Delegierungsanfragen mit einer Dauer von 4 Stunden oder weniger genehmigen. Wenn in einer Anfrage mehr als 4 Stunden angegeben sind, müssen Sie für die Genehmigung der Anfrage eine Identität verwenden, die kein Root-Benutzer ist. Einzelheiten finden Sie unter [Betafunktion zur Simulation von Genehmigungen.](temporary-delegation-initiate-request.md#temporary-delegation-permission-simulation)

Für laufende Aufgaben, wie das Lesen aus einem Amazon S3 S3-Bucket, können Delegierungsanfragen die Erstellung einer IAM-Rolle beinhalten, die den kontinuierlichen Zugriff auf Ressourcen und Aktionen nach Ablauf des temporären Zugriffs ermöglicht. Produktanbieter müssen jeder IAM-Rolle, die durch temporäre Delegierung erstellt wurde, eine Berechtigungsgrenze zuweisen. Berechtigungsgrenzen beschränken die maximalen Berechtigungen einer Rolle, gewähren jedoch keine eigenständigen Berechtigungen. Sie können die Berechtigungsgrenze im Rahmen der Anfrage überprüfen, bevor Sie sie genehmigen. Einzelheiten finden Sie unter [Grenzen der Berechtigungen](access_policies_boundaries.md).

Das Verfahren funktioniert folgendermaßen:

1. Sie melden sich bei einem Amazon- oder AWS Partnerprodukt an, um es in Ihre AWS Umgebung zu integrieren.

1. Der Produktanbieter initiiert in Ihrem Namen eine Delegierungsanfrage und leitet Sie zur AWS Management Console weiter.

1. Sie überprüfen die angeforderten Berechtigungen und entscheiden, ob Sie die Anfrage genehmigen, ablehnen oder an Ihren Administrator weiterleiten möchten.

1. Sobald Sie oder Ihr Administrator die Anfrage genehmigt haben, kann der Produktanbieter die temporären Anmeldeinformationen des Genehmigers abrufen, um die erforderlichen Aufgaben auszuführen.

1. Der Zugriff auf den Produktanbieter läuft nach dem angegebenen Zeitraum automatisch ab. Jede IAM-Rolle, die durch die temporäre Delegierungsanfrage erstellt wurde, bleibt jedoch über diesen Zeitraum hinaus bestehen, sodass der Produktanbieter weiterhin auf Ressourcen und Aktionen für laufende Verwaltungsaufgaben zugreifen kann.

![\[alt text not found\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/delegation-flow.png)


**Anmerkung**  
Sie können Berechtigungen nur dann an einen Produktanbieter delegieren, wenn Sie über Berechtigungen für die Dienste und Aktionen verfügen, die in der temporären Delegierungsanfrage enthalten sind. Wenn Sie keinen Zugriff auf die angeforderten Dienste und Aktionen haben, erhält der Produktanbieter diese Berechtigungen nicht, wenn Sie die Anfrage genehmigen.

Wenn die Berechtigungsprüfung zeigt, dass sie wahrscheinlich erfolgreich sein wird, können Sie die temporäre Delegierungsanfrage genehmigen und mit dem Workflow fortfahren.

Wenn die Berechtigungsprüfung ergibt, dass Sie möglicherweise nicht über ausreichende Berechtigungen verfügen, leiten Sie die Anfrage zur Genehmigung an Ihren Administrator weiter. Wir empfehlen, Ihren Administrator mithilfe der von Ihnen bevorzugten Methode, z. B. per E-Mail oder Ticket, über diese Anfrage zu informieren.

Sobald Ihr Administrator die Anfrage genehmigt hat, hängt das weitere Vorgehen von der Konfiguration des Produktanbieters ab:
+ Wenn der Produktanbieter sofortigen Zugriff angefordert hat, erhält er automatisch temporäre Berechtigungen, und die Zugriffsdauer beginnt.
+ Wenn der Produktanbieter die Freigabe durch den Eigentümer (ursprünglichen Empfänger) angefordert hat, müssen Sie zu der Anfrage zurückkehren, um den temporären Kontozugriff explizit freizugeben, bevor die Zugriffsdauer beginnt. Produktanbieter verwenden diese Option in der Regel, wenn sie zusätzliche Eingaben von Ihnen benötigen, z. B. Informationen zur Ressourcenauswahl oder zur Konfiguration, um die erforderliche Aufgabe abzuschließen.

# Initiieren Sie eine vorübergehende Delegierungsanfrage
<a name="temporary-delegation-initiate-request"></a>

Sie können eine temporäre Delegierungsanfrage nur von unterstützten Amazon- oder AWS Partnerprodukten aus stellen. Während eines Workflows, der eine vorübergehende Delegierung unterstützt, werden Sie aufgefordert, dem Produktanbieter temporäre, eingeschränkte Berechtigungen zur Konfiguration der erforderlichen AWS Ressourcen in Ihrem Konto zu erteilen. Dieser automatisierte Ansatz sorgt für ein optimiertes Benutzererlebnis, da Sie diese Ressourcen nicht mehr manuell konfigurieren müssen.

Sie können die Details der Delegierungsanfrage überprüfen, z. B. die spezifischen IAM-Rollen, -Richtlinien und AWS -Dienste, die der Produktanbieter benötigt, bevor Sie den Zugriff gewähren. Sie können die Anfrage entweder selbst genehmigen, sofern Sie über ausreichende Berechtigungen verfügen, oder die Anfrage zur Genehmigung an Ihren Kontoadministrator weiterleiten. Der gesamte Zugriff durch Produktanbieter ist zeitlich begrenzt und kann bei Bedarf überwacht und widerrufen werden.

**Um eine vorübergehende Delegierungsanfrage zu initiieren**

1. Navigieren Sie zur Konsole eines unterstützten Produkts von Amazon oder AWS Partnern, das eine Integration mit Ihrem AWS Konto erfordert.

1. Wählen Sie *Mit temporärer IAM-Delegierung bereitstellen* aus. Beachten Sie, dass der Optionsname je nach unterstütztem Produkt variieren kann. Einzelheiten finden Sie in der Dokumentation des Produktanbieters.
**Anmerkung**  
Wenn Sie noch nicht bei der AWS Management Console angemeldet sind, öffnet sich ein neues Fenster mit der AWS Anmeldeseite. Wir empfehlen Ihnen, sich bei Ihrem AWS Konto anzumelden, bevor Sie die temporäre Delegierungsanfrage von der Produktkonsole aus starten. Weitere Informationen dazu, wie Sie sich je nach Benutzertyp und den AWS Ressourcen, auf die Sie zugreifen möchten, anmelden können, finden Sie im [AWS Anmelde-Benutzerhandbuch](docs---aws.amazon.com.rproxy.goskope.comsignin/latest/userguide/what-is-sign-in.html).

1. Überprüfen Sie die Anfragedetails, um den Produktnamen und das AWS Konto des Produktanbieters zu bestätigen. Sie können auch die AWS Identität überprüfen, die der Produktanbieter verwendet, um Aktionen in Ihrem Namen durchzuführen.

1. Überprüfen Sie die *Zugriffsdetails* für die Berechtigungen, die vorübergehend delegiert werden, wenn Sie diese Anfrage genehmigen.
   + Der Abschnitt „*Zusammenfassung der Berechtigungen*“ bietet eine allgemeine, von KI generierte Übersicht, anhand derer Sie verstehen können, auf welche Kategorien von AWS Diensten zugegriffen werden kann und welche Arten von Aktionen in den einzelnen Diensten ausgeführt werden können.
   + Wählen Sie „*JSON anzeigen*“, um bestimmte Berechtigungen zu überprüfen, die der Produktanbieter in Ihrem AWS Konto bereitstellen muss, einschließlich des Zugriffsumfangs und der Ressourcenbeschränkungen.
   + Wenn der Produktanbieter im Rahmen einer temporären Delegierungsanfrage eine IAM-Rolle erstellt, muss der Rolle eine Berechtigungsgrenze zugewiesen werden. Diese IAM-Rollen verfügen über Berechtigungen, die auch nach Ablauf der angeforderten Zugriffsdauer den Zugriff auf Ressourcen und Aktionen ermöglichen. Wählen Sie *Details anzeigen*, um die Berechtigungsgrenze zu überprüfen, die die maximalen Berechtigungen definiert, die die Rolle haben kann. Der Produktanbieter wendet bei der Erstellung zusätzliche Richtlinien auf die Rolle an, die ihre tatsächlichen Berechtigungen definieren. Je nachdem, wie der Produktanbieter sie definiert, können diese Richtlinien enger gefasst oder weiter gefasst sein als die Grenze. Die Berechtigungsgrenze garantiert jedoch, dass die effektiven Berechtigungen der Rolle niemals den Wert überschreiten, den Sie bei der Genehmigung von Anfragen sehen, unabhängig davon, welche Richtlinien mit der Rolle verknüpft sind. Weitere Informationen finden Sie unter [Berechtigungsgrenzen](access_policies_boundaries.md).

1. Überprüfen Sie die Ergebnisse der Berechtigungssimulation. Die Funktion zur Berechtigungssimulation vergleicht die Berechtigungen Ihrer Identität automatisch mit denen, die in der Anfrage enthalten sind. Auf der Grundlage dieser Analyse wird eine Empfehlung angezeigt, die angibt, ob Sie die Anfrage mit Ihrer aktuellen Identität genehmigen oder an einen Administrator weiterleiten sollten. Einzelheiten finden Sie unter [Betafunktion zur Simulation von Genehmigungen](#temporary-delegation-permission-simulation).

1. Wählen Sie im Dialogfeld aus, wie Sie vorgehen möchten.
   + Wählen Sie *Zugriff zulassen* aus, wenn Ihre Identität über ausreichende Berechtigungen verfügt, damit der Produktanbieter die Onboarding-Verfahren in Ihrem Namen durchführen kann. Wenn Sie diese Option auswählen, beginnt die Zugriffsdauer des Produktanbieters, sobald Sie den Zugriff gewähren.
   + Wählen Sie *Genehmigung anfordern* aus, wenn Ihre Identität nicht über ausreichende Berechtigungen verfügt, damit der Produktanbieter die Onboarding-Verfahren in Ihrem Namen durchführen kann. Wählen Sie dann *Genehmigungsanfrage erstellen* aus. Wenn Sie diese Option auswählen, wird ein Link für eine temporäre Delegierungsanfrage erstellt, den Sie mit Ihrem Kontoadministrator teilen können. Ihr Administrator kann auf die AWS Management Console zugreifen oder den Zugriffslink zur Überprüfung temporärer Delegierungsanfragen verwenden, um die Anfrage zu genehmigen und dem Antragsteller den temporären Zugriff zur Verfügung zu stellen.

**Anmerkung**  
Um dem Produktanbieter Zugriff zu gewähren, sind zwei Aktionen erforderlich: Annahme der Delegierungsanfrage (`AcceptDelegationRequest`) und Freigabe des Exchange-Token (`SendDelegatedToken`). Die AWS Management Console führt beide Schritte automatisch aus, wenn Sie eine Anfrage genehmigen. Wenn Sie die API AWS CLI oder verwenden, müssen Sie beide Schritte separat ausführen.

## Fähigkeit zur Simulation von Berechtigungen — Beta
<a name="temporary-delegation-permission-simulation"></a>

Wenn Sie eine temporäre Delegierungsanfrage erhalten, können Sie diese entweder selbst genehmigen oder sie zur Genehmigung an Ihren Kontoadministrator weiterleiten. Sie können Berechtigungen nur dann an einen Produktanbieter delegieren, wenn Sie über Berechtigungen für die Dienste und Aktionen verfügen, die in der temporären Delegierungsanfrage enthalten sind. Wenn Sie keinen Zugriff auf die angeforderten Dienste und Aktionen haben, erhält der Produktanbieter diese Berechtigungen auch dann nicht, wenn sie in der Anfrage enthalten sind.

Beispielsweise erfordert eine temporäre Delegierungsanfrage die Fähigkeit, einen Amazon S3 S3-Bucket zu erstellen, Instances in Amazon EC2 zu starten und zu beenden und eine IAM-Rolle zu übernehmen. Die Identität, die die Anfrage genehmigt, kann Instances in Amazon starten und stoppen und eine IAM-Rolle übernehmen EC2, hat aber keine Berechtigung, einen Amazon S3 S3-Bucket zu erstellen. Wenn diese Identität die Anfrage genehmigt, kann der Produktanbieter keinen Amazon S3 S3-Bucket erstellen, obwohl diese Berechtigungen in der temporären Delegierungsanfrage enthalten waren.

Da Sie nur Berechtigungen delegieren können, die Sie bereits besitzen, ist es wichtig, vor der Genehmigung zu prüfen, ob Sie über die angeforderten Berechtigungen verfügen. Die Beta-Funktion zur Berechtigungssimulation hilft bei dieser Bewertung, indem sie Ihre Berechtigungen mit denen vergleicht, die in der Anfrage enthalten sind. Aus der Bewertung geht hervor, ob Sie die Anfrage mit Ihrer aktuellen Identität genehmigen können oder ob Sie sie an einen Administrator weiterleiten müssen. Wenn durch die Analyse nicht bestätigt werden kann, dass Sie über ausreichende Berechtigungen verfügen, leiten Sie die Anfrage zur Prüfung an einen Administrator weiter. Diese Bewertung basiert auf einer simulierten Berechtigungsanalyse und kann von Ihrer AWS Live-Umgebung abweichen. Prüfen Sie daher die angeforderten Berechtigungen sorgfältig, bevor Sie fortfahren.

## Nächste Schritte
<a name="temporary-delegation-next-steps"></a>

Nachdem Sie eine temporäre Delegierungsanfrage gestellt haben, können Sie die Anfrage während ihres gesamten Lebenszyklus verwalten und überwachen. Die folgenden Verfahren helfen Ihnen dabei, den temporären Zugriff zu verfolgen, zu genehmigen und zu kontrollieren:
+ [Temporäre Delegierungsanfragen überprüfen](temporary-delegation-review-requests.md) — Überwachen Sie den Status Ihrer Zugriffsanfragen und sehen Sie sich detaillierte Informationen zu Anträgen auf Genehmigung oder Ablehnung temporärer Delegierungsanfragen an.
+ [Temporären Delegierungszugriff widerrufen](temporary-delegation-revoke-access.md) — Beenden Sie aktive temporäre Delegierungssitzungen sofort, bevor sie auf natürliche Weise ablaufen.

# Temporäre Delegierungsanfragen überprüfen
<a name="temporary-delegation-review-requests"></a>

Nachdem Sie eine temporäre Delegierungsanfrage initiiert haben, können Sie Anfragen in der IAM-Konsole überwachen, genehmigen und ablehnen. Die Seite Temporäre Delegierungsanfragen bietet eine zentrale Ansicht aller Anfragen, einschließlich der Anfragen, deren Genehmigung noch aussteht, abgeschlossen oder abgelehnt wurde. Als Administrator können Sie diese Anfragen überprüfen, um Produktanbietern Zugriff auf AWS Ressourcen zu gewähren oder sie auf der Grundlage der Sicherheitsrichtlinien, Geschäftsanforderungen oder Compliance-Standards Ihres Unternehmens abzulehnen. Diese Transparenz hilft Ihnen, den Lebenszyklus des Zugriffs auf Produktanbieter nachzuverfolgen und den Überblick über temporäre Berechtigungen zu behalten.

**Anmerkung**  
Sie benötigen die iam: AcceptDelegationRequest -Berechtigung, um temporäre Delegierungsanfragen genehmigen zu können.

**Um eine vorübergehende Delegierungsanfrage zu genehmigen**

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

1. Wählen Sie im Navigationsbereich auf der linken Seite *Temporäre Delegierungsanfragen* aus.

1. Auf der Hauptseite wird eine Liste Ihrer temporären Delegierungsanfragen mit den folgenden Informationen angezeigt:
   + *Anfrage-ID* — Eindeutige Kennung für die Anfrage
   + *Status* — Aktueller Status (Ausstehend, Genehmigt, Abgelehnt, Gemeinsam genutzt, Abgelaufen)
   + *Anforderer* — Produktanbieter, der mit der Anfrage verknüpft ist
   + *Initiiert von* — IAM-Principal des Kontos, der die Anfrage für den Produktanbieter initiiert hat
   + *Anfrage erstellt* — Wann die Anfrage eingereicht wurde
   + *Anfrage läuft ab* — Wann die Anfrage abgelaufen ist oder ablaufen wird

1. (Optional) Verwenden Sie die Filteroptionen, um Anfragen nach Status anzuzeigen:
   + *Alle Anfragen* — Sehen Sie sich alle Ihre Anfragen unabhängig vom Status an
   + *Ausstehend* — Zeigt Anfragen an, deren Genehmigung durch den Administrator noch aussteht
   + *Genehmigt — Genehmigte* Anfragen anzeigen
   + *Geteilt* — Zeigt Anfragen an, für die der Zugriff geteilt wurde
   + *Abgelehnt* — Zeigt abgelehnte Anfragen mit Ablehnungsgründen an

1. Um detaillierte Informationen zu einer bestimmten Anfrage einzusehen oder um eine ausstehende Genehmigungsanfrage zu überprüfen, wählen Sie die Anforderungs-ID.

1. Überprüfen Sie die detaillierten Informationen zur Anfrage:
   + Informationen zum Produktanbieter
   + Grund und Begründung der Anfrage
   + Gewünschte Dauer
   + Angeforderte AWS Berechtigungen

1. Wenn Sie ein Administrator sind, der eine ausstehende Anfrage überprüft, wählen Sie eine der folgenden Optionen:
   + Um die Anfrage zu genehmigen, wählen Sie *Genehmigen*. Im Genehmigungsdialogfeld können Sie sich die Ergebnisse der Berechtigungssimulation ansehen. Weitere Informationen finden Sie unter [Betafunktion der Berechtigungssimulation](temporary-delegation-initiate-request.md#temporary-delegation-permission-simulation). Nachdem Sie die Zugriffsdauer und Ihre AWS Identität bestätigt haben, wählen Sie *Genehmigen*, um den Zugriff zu gewähren. Wenn der Produktanbieter sofortigen Zugriff angefordert hat, erhält er automatisch temporäre Berechtigungen und die Zugriffsdauer beginnt. Andernfalls benachrichtigen Sie die Person, die die Anfrage gestellt hat, über die Freigabe des Zugriffs für den Produktanbieter.
   + Um die Anfrage abzulehnen, wählen Sie *Ablehnen*.
     + Geben Sie im Ablehnungsdialogfeld einen klaren Grund für die Ablehnung an, damit der Antragsteller versteht, warum seine Anfrage abgelehnt wurde.
     + Wählen Sie *Ablehnen*, um den Zugriff zu verweigern.

1. Die Anforderungsliste wird automatisch aktualisiert und zeigt die aktuellsten Statusinformationen an. Sie können die Seite auch manuell aktualisieren, um nach Statusaktualisierungen zu suchen.

# Temporären Delegierungszugriff widerrufen
<a name="temporary-delegation-revoke-access"></a>

Zugriffssitzungen für Produktanbieter sind zwar so konzipiert, dass sie nach ihrer genehmigten Dauer automatisch ablaufen, in bestimmten Situationen müssen Sie den Zugriff jedoch möglicherweise sofort beenden. Der Widerruf des aktiven Zugriffs für Produktanbieter bietet einen Notfallkontrollmechanismus, wenn Sicherheitsbedenken auftreten, wenn die Arbeit des Produktanbieters vorzeitig abgeschlossen ist oder wenn sich die Geschäftsanforderungen ändern. Sowohl Anforderungsinitiatoren als auch Administratoren können den Zugriff entziehen, um die Sicherheit und die betriebliche Kontrolle aufrechtzuerhalten.

**Um den temporären Delegierungszugriff zu entziehen**

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

1. Wählen Sie im Navigationsbereich auf der linken Seite *Temporäre Delegierungsanfragen* aus.

1. Suchen Sie die Anforderungs-ID für die Zugriffssitzung, die Sie widerrufen möchten.

1. Wählen Sie *Aktionen* und dann *Zugriff widerrufen* aus.

1. Wählen Sie im Dialogfeld *Zugriff widerrufen* aus, um zu bestätigen, dass Sie die Zugriffssitzung sofort beenden möchten.

Nach dem Widerrufen des Zugriffs kann der Produktanbieter nicht mehr auf Ihre AWS Ressourcen zugreifen. Der Widerruf wird zu AWS CloudTrail Prüfungszwecken protokolliert.

**Wichtig**  
Durch den Widerruf des Zugriffs wird die Zugriffssitzung des Produktanbieters sofort beendet. Alle laufenden Arbeiten oder Prozesse, die den Zugriff nutzen, werden unterbrochen. Stellen Sie sicher, dass durch den Widerruf kritische Abläufe nicht gestört werden.

**Anmerkung**  
Sie können den Zugriff für Anfragen, die mit einem Root-Benutzer genehmigt wurden, nicht widerrufen. AWS empfiehlt, dass Sie keinen Root-Benutzer verwenden, um Delegierungsanfragen zu genehmigen. Verwenden Sie stattdessen eine IAM-Rolle mit den entsprechenden Berechtigungen.

## Verwaltung von Berechtigungen für Delegierungsanfragen
<a name="temporary-delegation-managing-permissions"></a>

Administratoren können IAM-Prinzipalen Berechtigungen zur Verwaltung von Delegierungsanfragen von Produktanbietern gewähren. Dies ist nützlich, wenn Sie Genehmigungsberechtigungen an bestimmte Benutzer oder Teams in Ihrer Organisation delegieren möchten oder wenn Sie kontrollieren möchten, wer bestimmte Aktionen bei Delegierungsanfragen ausführen kann.

Die folgenden IAM-Berechtigungen sind für die Verwaltung von Delegierungsanfragen verfügbar:


| Berechtigung | Description | 
| --- | --- | 
| iam: AssociateDelegationRequest | Ordnen Sie Ihrem Konto eine nicht zugewiesene Delegierungsanfrage zu AWS  | 
| ich bin: GetDelegationRequest | Details einer Delegierungsanfrage anzeigen | 
| Ich bin: UpdateDelegationRequest | Leiten Sie eine Delegierungsanfrage zur Genehmigung an einen Administrator weiter | 
| Ich bin: AcceptDelegationRequest | Genehmigen Sie eine Delegierungsanfrage | 
| ich bin: SendDelegationToken | Geben Sie das Exchange-Token nach der Genehmigung an den Produktanbieter weiter | 
| Ich bin: RejectDelegationRequest | Eine Delegierungsanfrage ablehnen | 
| ich bin: ListDelegationRequests | Listen Sie Delegierungsanfragen für Ihr Konto auf | 

**Anmerkung**  
Standardmäßig erhalten IAM-Principals, die eine Delegierungsanfrage initiieren, automatisch Berechtigungen zur Verwaltung dieser speziellen Anfrage. Sie können sie ihrem Konto zuordnen, Anforderungsdetails einsehen, eine Anfrage ablehnen, sie zur Genehmigung an einen Administrator weiterleiten, das Exchange-Token nach Genehmigung durch den Administrator an den Produktanbieter weitergeben und Delegierungsanfragen auflisten, deren Eigentümer sie sind.

# Benachrichtigungen
<a name="temporary-delegation-notifications"></a>

Die temporäre IAM-Delegierung ist in AWS Benutzerbenachrichtigungen integriert, sodass Sie über Änderungen des Status von Delegierungsanfragen auf dem Laufenden bleiben. Benachrichtigungen sind besonders nützlich für Administratoren, die Delegierungsanfragen prüfen und genehmigen müssen.

Mit AWS Benutzerbenachrichtigungen können Sie Benachrichtigungen so konfigurieren, dass sie über mehrere Kanäle zugestellt werden, darunter E-Mail, Amazon Simple Notification Service (SNS), AWS Chatbot für Slack oder Microsoft Teams und die AWS Console Mobile Application. Dadurch wird sichergestellt, dass die richtigen Personen zur richtigen Zeit benachrichtigt werden, was eine schnellere Reaktion auf ausstehende Genehmigungen oder die Kenntnis von Zugangsänderungen ermöglicht. Sie können auch an die Bedürfnisse und Sicherheitsanforderungen Ihres Unternehmens anpassen, welche Ereignisse Benachrichtigungen auslösen.

## Verfügbare Benachrichtigungsereignisse
<a name="temporary-delegation-notification-events"></a>

Sie können Benachrichtigungen für die folgenden temporären IAM-Delegierungsereignisse abonnieren:
+ Temporäre IAM-Delegierungsanfrage wurde erstellt
+ Temporäre IAM-Delegierungsanfrage wurde zugewiesen
+ Temporärer IAM-Delegierungsantrag steht noch aus
+ Antrag auf vorübergehende IAM-Delegierung abgelehnt
+ Antrag auf vorübergehende IAM-Delegierung akzeptiert
+ Antrag auf vorübergehende IAM-Delegierung abgeschlossen
+ Die temporäre IAM-Delegierungsanfrage ist abgelaufen

## Konfigurieren von -Benachrichtigungen
<a name="temporary-delegation-configuring-notifications"></a>

So konfigurieren Sie Benachrichtigungen für temporäre IAM-Delegierungsereignisse:

1. Öffnen Sie die Konsole AWS für Benutzerbenachrichtigungen

1. Erstellen oder aktualisieren Sie eine Benachrichtigungskonfiguration

1. Wählen Sie AWS IAM als Dienst aus

1. Wählen Sie aus, über welche Ereignisse im Zusammenhang mit Delegierungsanfragen Sie informiert werden möchten

1. Konfiguriere deine Lieferkanäle (E-Mail, AWS Chatbot usw.)

Detaillierte Anweisungen zur Konfiguration von AWS Benutzerbenachrichtigungen, einschließlich der Einrichtung von Zustellungskanälen und der Verwaltung von Benachrichtigungsregeln, finden Sie in der Dokumentation zu AWS Benutzerbenachrichtigungen.

# CloudTrail
<a name="temporary-delegation-cloudtrail"></a>

Alle Aktionen, die von Produktanbietern mit temporärem delegiertem Zugriff ausgeführt werden, werden automatisch angemeldet AWS CloudTrail. Dies bietet vollständige Transparenz und Überprüfbarkeit der Aktivitäten der Produktanbieter in Ihrem AWS Konto. Sie können feststellen, welche Maßnahmen von den Produktanbietern ergriffen wurden, wann sie durchgeführt wurden und von welchem Konto des Produktanbieters sie ausgeführt wurden.

Damit Sie zwischen Aktionen Ihrer eigenen IAM-Principals und Aktionen von Produktanbietern mit delegiertem Zugriff unterscheiden können, enthalten CloudTrail Ereignisse ein neues Feld, das `invokedByDelegate` unter dem Element aufgerufen wird. `userIdentity` Dieses Feld enthält die AWS Konto-ID des Produktanbieters, sodass Sie alle delegierten Aktionen einfach filtern und überprüfen können.

## CloudTrail Struktur der Veranstaltung
<a name="temporary-delegation-cloudtrail-event-structure"></a>

Das folgende Beispiel zeigt ein CloudTrail Ereignis für eine Aktion, die von einem Produktanbieter mithilfe von temporärem delegiertem Zugriff ausgeführt wurde:

```
{
    "eventVersion": "1.09",		 	 	 
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE:Role-Session-Name",
        "arn": "arn:aws:sts::111122223333:assumed-role/Role-Name/Role-Session-Name",
        "accountId": "111122223333",
        "accessKeyId": "[REDACTED:AWS_ACCESS_KEY]",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AIDACKCEVSQ6C2EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "attributes": {
                "creationDate": "2024-09-09T17:50:16Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedByDelegate": {
            "accountId": "444455556666"
        }
    },
    "eventTime": "2024-09-09T17:51:44Z",
    "eventSource": "iam.amazonaws.com",
    "eventName": "GetUserPolicy",
    "awsRegion": "us-east-1",
    "requestParameters": {
        "userName": "ExampleIAMUserName",
        "policyName": "ExamplePolicyName"
    },
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}
```

Das `invokedByDelegate` Feld enthält die AWS Konto-ID des Produktanbieters, der die Aktion mit delegiertem Zugriff ausgeführt hat. In diesem Beispiel hat das Konto 444455556666 (der Produktanbieter) eine Aktion im Konto 111122223333 (das Kundenkonto) ausgeführt.

# Temporäre IAM-Delegation für Partner AWS
<a name="access_policies-temporary-delegation-partner-guide"></a>

## -Übersicht
<a name="temporary-delegation-partner-overview"></a>

Die temporäre IAM-Delegierung ermöglicht es AWS Kunden, AWS Partnerprodukte mithilfe interaktiver, geführter Workflows nahtlos in ihre AWS Umgebung zu and/or integrieren. Kunden können AWS Partnern begrenzten, temporären Zugriff auf die Konfiguration der erforderlichen AWS Dienste gewähren, wodurch Reibungsverluste beim Onboarding reduziert und die Amortisierungszeit beschleunigt werden.

Die temporäre IAM-Delegierung ermöglicht Partnern:
+ Optimieren Sie das Kunden-Onboarding mit automatisierter Ressourcenbereitstellung
+ Reduzieren Sie die Komplexität der Integration, indem Sie manuelle Konfigurationsschritte vermeiden
+ Schaffen Sie Vertrauen durch transparente, vom Kunden genehmigte Berechtigungen
+ Ermöglichen Sie den laufenden Betrieb mit langfristigen Zugriffsmustern mithilfe von Berechtigungsgrenzen

## Funktionsweise
<a name="temporary-delegation-how-it-works"></a>

1. *Partner erstellt eine Delegierungsanfrage* — Partner erstellen eine Anfrage, in der sie angeben, welche Berechtigungen sie benötigen und für wie lange

1. *Kundenrezensionen in der AWS Konsole* — Der Kunde sieht genau, welche Berechtigungen der Partner anfordert und warum

1. *Kunde stimmt* zu — Der Kunde genehmigt die Anfrage und gibt ein Exchange-Token frei. Das Token wird zu diesem angegebenen SNS-Thema an den Partner gesendet.

1. *Der Partner erhält temporäre Anmeldeinformationen* — Die Partner tauschen das Token gegen temporäre AWS Anmeldeinformationen ein

1. *Partner konfiguriert Ressourcen* — Partner verwenden die Anmeldeinformationen, um die erforderlichen Ressourcen im Kundenkonto einzurichten

## Qualifikation des Partners
<a name="temporary-delegation-partner-qualification"></a>

Um sich für eine vorübergehende Delegationsintegration zu qualifizieren, muss ein Partner die folgenden Anforderungen erfüllen:
+ *Teilnahme an ISV Accelerate* — Sie müssen für das [ISV Accelerate-Programm (ISVA](https://aws.amazon.com/partners/programs/isv-accelerate/)) angemeldet sein.
+ *AWS Marketplace-Angebot* — Ihr Produkt muss im AWS Marketplace mit dem Badge „Bereitgestellt am AWS“ angeboten werden.

## Onboarding-Prozess
<a name="temporary-delegation-onboarding-process"></a>

Gehen Sie wie folgt vor, um die temporäre Delegierung in Ihr Produkt zu integrieren:

1. *Schritt 1: Überprüfen Sie die Anforderungen*

   Lesen Sie sich diese Dokumentation durch, um mehr über die Qualifikationsanforderungen zu erfahren, und füllen Sie den unten stehenden Fragebogen für Partner aus.

1. *Schritt 2: Reichen Sie Ihre Onboarding-Anfrage ein*

   Senden Sie eine E-Mail an aws-iam-partner-onboarding @amazon .com oder wenden Sie sich an Ihren AWS Vertreter. Fügen Sie Ihren ausgefüllten Partnerfragebogen mit allen erforderlichen Feldern aus der folgenden Tabelle bei.

1. *Schritt 3: AWS Validierung und Überprüfung*

   AWS wird:
   + Bestätigen Sie, dass Sie die Qualifikationskriterien erfüllen
   + Überprüfen Sie Ihre Richtlinienvorlagen und Genehmigungsgrenzen
   + Geben Sie Feedback zu Ihren eingereichten Artefakten

1. *Schritt 4: Verfeinern Sie Ihre Richtlinien*

   Reagieren Sie auf AWS Feedback und reichen Sie bei Bedarf aktualisierte Richtlinienvorlagen oder Genehmigungsgrenzen ein.

1. *Schritt 5: Registrierung abschließen*

   Nach der Genehmigung AWS wird:
   + Aktivieren Sie den API-Zugriff für Ihre angegebenen Konten
   + Teilen Sie dies ARNs für Ihre Richtlinienvorlage und die Rechtegrenze (falls zutreffend)

   Sie erhalten eine Bestätigung, wenn das Onboarding abgeschlossen ist. Sie können dann GetDelegatedAccessToken von Ihren registrierten Konten aus auf die temporäre Delegierung APIs zugreifen und mit der Integration von Workflows für Delegierungsanfragen in Ihr Produkt beginnen. CreateDelegationRequest 

## Fragebogen für Partner
<a name="temporary-delegation-partner-questionnaire"></a>

In der folgenden Tabelle sind die Informationen aufgeführt, die für das Onboarding von Partnern erforderlich sind:


| Informationen | Description | Erforderlich | 
| --- | --- | --- | 
| AccountID von Partner Central | Konto-ID Ihres bei [AWS Partner Central](https://partnercentral.awspartner.com/partnercentral2/s/login) registrierten AWS Kontos. | Ja | 
| PartnerId | Von Partner [Central bereitgestellte AWS Partner-ID](https://partnercentral.awspartner.com/partnercentral2/s/login). | Nein | 
| AWS Marketplace-Produkt-ID | Von [AWS Partner Central](https://partnercentral.awspartner.com/partnercentral2/s/login) bereitgestellte Produkt-ID für Ihr Produkt. | Ja | 
| AWS KontoIDs | Die Liste Ihres AWS Kontos IDs , mit dem Sie die temporäre Delegierung anrufen möchten APIs. Dies sollte sowohl Ihre Produktions- als auch Ihre Nicht-Produktions-/Testkonten enthalten. | Ja | 
| Name des Partners | Dieser Name wird Kunden in der AWS Management Console angezeigt, wenn sie Ihre temporäre Delegierungsanfrage prüfen. | Ja | 
| Kontakt-E-Mail (s) | Eine oder mehrere E-Mail-Adressen, über die wir Sie bezüglich Ihrer Integration kontaktieren können. | Ja | 
| Anforderer oder Domain | Ihre Domain (z. B. www.example.com) | Ja | 
| Beschreibung der Integration | Kurze Beschreibung des Anwendungsfalls, den Sie mit dieser Funktion behandeln möchten. Sie können Referenzlinks zu Ihrer Dokumentation oder anderem öffentlichen Material hinzufügen. | Ja | 
| Architekturdiagramm | Architekturdiagramm, das Ihre Anwendungsfälle für die Integration veranschaulicht. | Nein | 
| Richtlinienvorlage | Sie müssen mindestens eine Richtlinienvorlage für diese Funktion registrieren. Die Richtlinienvorlage definiert die temporären Berechtigungen, die Sie für AWS Kundenkonten beantragen möchten. Weitere Informationen finden Sie im Abschnitt Richtlinienvorlage. | Ja | 
| Name der Richtlinienvorlage | Name der Richtlinienvorlage, die Sie registrieren möchten. | Ja | 
| Berechtigungsgrenze | Wenn Sie mithilfe temporärer Berechtigungen IAM-Rollen in Kundenkonten erstellen möchten, müssen Sie bei IAM eine Berechtigungsgrenze registrieren. Den IAM-Rollen, die Sie erstellen, werden Berechtigungsgrenzen zugewiesen, um die maximalen Berechtigungen für die Rolle zu begrenzen. Sie können ausgewählte AWS verwaltete Richtlinien als Berechtigungsgrenze verwenden oder eine neue benutzerdefinierte Berechtigungsgrenze (JSON) registrieren. Weitere Informationen finden Sie im Abschnitt Berechtigungsgrenze. | Nein | 
| Name der Berechtigungsgrenze | Der Name Ihrer Erlaubnisgrenze. <partner\$1domain><policy\$1name><date>Das Format lautet: arn:aws:iam: :partner:policy/permission\$1boundary//\$1 Der Richtlinienname muss das Erstellungsdatum als Suffix enthalten. Der Name kann nicht aktualisiert werden, sobald die Berechtigungsgrenze erstellt wurde. Wenn Sie eine vorhandene AWS verwaltete Richtlinie verwenden, geben Sie stattdessen den ARN der verwalteten Richtlinie an. | Nein | 
| Beschreibung der Zulässigkeitsgrenze | Beschreibung der Genehmigungsgrenze. Diese Beschreibung kann nicht aktualisiert werden, sobald die Berechtigungsgrenze erstellt wurde. | Nein | 

# Deine Integration verstehen
<a name="temporary-delegation-understanding-integration"></a>

Nach Abschluss des Onboarding-Prozesses können Sie Ihre Integration mit der temporären IAM-Delegierung aufbauen. Eine vollständige Integration umfasst in der Regel drei Hauptkategorien von Aufgaben:

## 1. Benutzererfahrung und Workflow-Design
<a name="temporary-delegation-user-experience"></a>

Schaffen Sie in der Partneranwendung ein Frontend-Erlebnis, das Kunden durch den temporären Delegierungsworkflow führt. Die Partneranwendung sollte:
+ Präsentieren Sie einen klaren Onboarding- oder Konfigurationsablauf, bei dem Kunden temporären Zugriff gewähren können. Benennen Sie diese Aktion deutlich, z. B. „Mit temporärer IAM-Delegierung bereitstellen“.
+ Leiten Sie Kunden über den von der API zurückgegebenen Konsolenlink zur AWS Management Console weiter, um die Delegierungsanfrage zu überprüfen und zu genehmigen CreateDelegationRequest 
+ Geben Sie angemessene Nachrichten darüber, welche Berechtigungen angefordert werden und warum. Kunden können diese Nachricht auf der Seite mit den Details zur Delegierungsanfrage sehen.
+ Bearbeiten Sie die Rückkehr des Kunden zu Ihrem Antrag, nachdem er die Genehmigung in abgeschlossen hat AWS.

## 2. API-Integration
<a name="temporary-delegation-api-integration"></a>

Verwenden Sie die temporäre IAM-Delegierung APIs , um Delegierungsanfragen zu senden und zu verwalten. Sobald Ihre AWS Konten registriert sind, können Sie auf Folgendes APIs zugreifen:
+ *IAM CreateDelegationRequest* — Erstellt eine Delegierungsanfrage für das AWS Konto eines Kunden. Diese API gibt einen Konsolenlink zurück, zu dem Sie Kunden weiterleiten, um die Anfrage zu überprüfen und zu genehmigen.
+ *AWS STS GetDelegatedAccessToken*— Ruft temporäre AWS Anmeldeinformationen ab, nachdem ein Kunde Ihre Delegierungsanfrage genehmigt hat. Verwenden Sie diese Anmeldeinformationen, um Aktionen im Kundenkonto durchzuführen.

Ihre Integration sollte den gesamten Lebenszyklus von Delegierungsanfragen abwickeln, einschließlich der Erstellung von Anfragen, der Überwachung ihres Status und des Abrufs temporärer Anmeldeinformationen, wenn sie genehmigt wurden.

## 3. Konfiguration und Orchestrierung von Ressourcen
<a name="temporary-delegation-resource-configuration"></a>

Sobald Sie temporäre Anmeldeinformationen erhalten haben, orchestrieren Sie die erforderlichen Workflows, um die Ressourcen im Kundenkonto zu konfigurieren. AWS Dies kann Folgendes beinhalten:
+  APIs Direkter Aufruf des AWS Dienstes zur Erstellung und Konfiguration von Ressourcen
+ Bereitstellung der Infrastruktur mithilfe von AWS CloudFormation Vorlagen
+ Erstellung von IAM-Rollen für den laufenden Zugriff (erfordert die Verwendung von Berechtigungsgrenzen)

Ihre Orchestrierungslogik sollte idempotent sein und Fehler ordnungsgemäß behandeln, da Kunden ihre Delegierungsgenehmigungen möglicherweise erneut versuchen oder ändern müssen.

# Grundlegendes zu Berechtigungen
<a name="temporary-delegation-understanding-permissions"></a>

Im Rahmen des Onboarding-Prozesses für Funktionen müssen Sie Richtlinien bei IAM registrieren, die die Berechtigungen definieren, die Sie für AWS Kundenkonten beantragen möchten. Der Registrierungsprozess sorgt für ein einheitlicheres Kundenerlebnis und trägt dazu bei, häufige Fallstricke bei der Erstellung von Richtlinien zu vermeiden.

Während der Registrierung werden Ihre Richtlinien anhand einer Reihe von Validierungen AWS bewertet. Diese Validierungen sollen die Formatierung und Struktur der Richtlinien standardisieren und grundlegende Schutzmaßnahmen gegen bekannte Anti-Pattern-Angriffe bieten. Die Validierungen verringern auch das Risiko von Rechteerweiterungen, unbeabsichtigten kontenübergreifenden Zugriffen und einem breiten Zugriff auf hochwertige Ressourcen in Kundenkonten.

## Arten von Berechtigungen
<a name="temporary-delegation-permission-types"></a>

AWS wird zwei Kategorien von Genehmigungen in Betracht ziehen: temporäre und langfristige.

### Temporäre Genehmigungen
<a name="temporary-delegation-temporary-permissions"></a>

Temporäre Berechtigungen beschränken die Berechtigungen, die temporären Sitzungen mit delegiertem Zugriff zugewiesen werden. Temporäre Berechtigungen werden in Richtlinienvorlagen beschrieben, die auf die delegierte Sitzung angewendet werden. Die Vorlagen unterstützen Parameter, die Sie angeben, wenn Sie eine Delegierungsanfrage erstellen. Diese Parameterwerte werden dann an die Sitzung gebunden. Die temporären Berechtigungen funktionieren genauso wie die AWS STS heute verfügbaren Sitzungsrichtlinien: Die Richtlinien schränken die Fähigkeiten des zugrunde liegenden Benutzers ein, gewähren jedoch keinen zusätzlichen Zugriff. Weitere Informationen finden Sie in der AWS STS Dokumentation zu Sitzungsrichtlinien.

### Langfristige Berechtigungen
<a name="temporary-delegation-long-term-permissions"></a>

Langfristige Berechtigungen schränken die Berechtigungen aller Rollen ein, die über temporären Zugriff erstellt oder verwaltet werden. Langfristige Berechtigungen werden als IAM-Berechtigungsgrenzen implementiert. Sie können im Rahmen des Onboardings eine oder mehrere Berechtigungsgrenzen angeben. AWS Nach der Genehmigung teilt AWS ich Ihnen einen Policy-ARN mit, auf den Sie in Ihren Richtlinien verweisen können.

Diese Grenzrichtlinien weisen zwei bemerkenswerte Merkmale auf. Erstens sind sie unveränderlich. Wenn Sie Berechtigungen aktualisieren möchten, können Sie eine neue Berechtigungsgrenze registrieren. Anschließend können Sie die neue Berechtigungsgrenze den Rollen Ihrer Kunden zuordnen, indem Sie eine neue Delegierungsanfrage senden. Zweitens gibt es keine Vorlagen für die Richtlinien. Da die gleichen Grenzrichtlinien weltweit gelten, können sie nicht für jeden einzelnen Kunden geändert werden.

**Wichtig**  
Für Zugriffsgrenzen gilt eine maximale Größenbeschränkung von 6.144 Zeichen.

**Anmerkung**  
Wenn Sie eine Berechtigungsgrenze oder eine Richtlinienvorlage aktualisieren möchten, wenden Sie sich an IAM unter aws-iam-partner-onboarding @amazon .com. Sobald die neue Berechtigungsgrenze registriert ist, können Sie eine Delegierungsanfrage an Kunden senden, um die IAM-Rolle zu aktualisieren und die neu registrierte Berechtigungsgrenze anzuhängen. Weitere Informationen finden Sie im Abschnitt Beispiele.

## Beispiel für einen Anwendungsfall: Datenverarbeitungs-Workload
<a name="temporary-delegation-example-use-case"></a>

Stellen Sie sich einen Produktanbieter vor, der einen Datenverarbeitungs-Workload in Kundenkonten ausführt. Der Anbieter muss beim ersten Onboarding die Infrastruktur einrichten, benötigt aber auch fortlaufenden Zugriff, um den Workload zu verwalten.

*Temporäre Berechtigungen (für die Ersteinrichtung):*
+  EC2 Amazon-Instances, VPC und Sicherheitsgruppen erstellen
+ Erstellen Sie einen Amazon S3 S3-Bucket für verarbeitete Daten
+ Erstellen Sie eine IAM-Rolle für den laufenden Betrieb
+ Fügen Sie der IAM-Rolle eine Berechtigungsgrenze hinzu

*Langfristige Berechtigungen (IAM-Rolle mit Berechtigungsgrenze für den laufenden Betrieb):*
+  EC2 Amazon-Instances starten und stoppen, um Verarbeitungsjobs auszuführen
+ Eingabedaten aus dem Amazon S3 S3-Bucket lesen
+ Verarbeitete Ergebnisse in den Amazon S3 S3-Bucket schreiben

Die temporären Berechtigungen werden einmal während des Onboardings verwendet, um die Infrastruktur zu konfigurieren. Die während dieses Prozesses erstellte IAM-Rolle hat eine Berechtigungsgrenze, die ihre maximalen Berechtigungen auf die Operationen beschränkt, die für das laufende Workload-Management erforderlich sind. Dadurch wird sichergestellt, dass selbst bei einer Änderung der Rollenrichtlinien die in der Grenze definierten Berechtigungen nicht überschritten werden können.

# Richtlinien zur Politikbewertung
<a name="temporary-delegation-policy-evaluation-guidelines"></a>

AWS bewertet Ihre eingereichten Richtlinien anhand einer Reihe von Richtlinien. Dieselben Bewertungsrichtlinien gelten sowohl für Richtlinienvorlagen als auch für Zulässigkeitsgrenzen, wobei gegebenenfalls geringfügige Unterschiede vermerkt werden.

Zu Bewertungszwecken teilen wir die Dienste in verschiedene Gruppen ein. Der wichtigste Unterschied besteht bei sicherheitsrelevanten Diensten, die Zugriff, Anmeldeinformationen und Schlüssel verwalten. Richtlinien, die den Zugriff auf diese Dienste gewähren, müssen eng auf die geleistete Arbeit ausgerichtet sein. Zu den sicherheitsrelevanten Diensten gehören: AWS Identity and Access Management (IAM), AWS Key Management Service (KMS), AWS Resource Access Manager (RAM), AWS IAM Identity Center, AWS Organizations und Secrets Manager. AWS 

Ein zweiter Unterschied sind Dienste, die über Kontogrenzen hinweg auf Daten zugreifen können. Die Richtlinien für diese Dienste müssen Schutzmaßnahmen enthalten, um unbeabsichtigten kontenübergreifenden Zugriff zu verhindern.

## Allgemeine Validierungen
<a name="temporary-delegation-common-validations"></a>

Alle Grundsatzerklärungen müssen diesen Richtlinien entsprechen:
+ Alle Aussagen müssen die Felder „Wirkung“, „Aktion“ (oder NotAction), „Ressource“ und „Bedingung“ in dieser Reihenfolge enthalten
+ Alle Aktionen innerhalb einer einzelnen Anweisung müssen alphabetisch aufgelistet werden
+ Alle in der Richtlinie ARNs enthaltenen Elemente müssen der Syntax entsprechen, die in der öffentlichen Dokumentation für die entsprechenden Dienste definiert ist
+ NotAction Felder können nur in Deny-Anweisungen verwendet werden
+ Aktionen in Allow-Anweisungen müssen einen Servicecode enthalten. Generische Platzhalter („\$1“) sind nicht zulässig

## Einschränkungen sicherheitsrelevanter Dienste
<a name="temporary-delegation-security-sensitive-restrictions"></a>

Die folgenden Einschränkungen gelten für die oben genannten sicherheitsrelevanten Dienste:
+ Aktionen in Allow-Anweisungen müssen spezifischer sein als [service] :\$1
+ Aktionen in Allow-Anweisungen für Vorlagen für temporäre Zugriffsrichtlinien dürfen keine Platzhalter enthalten
+ Vertrauliche Aktionen wie iam: PassRole oder iam: erfordern zusätzliche CreateServiceLinkedRole Gültigkeitsbereiche, z. B. spezifische Ressourcen oder bedingte Prüfungen. Zu diesen Aktionen gehören:
  + IAM-Rollenübergabe
  + Aktionen zur Änderung der IAM-Rolle
  + Aktionen zur Änderung der IAM-Richtlinie
  + AWS KMS-Schreib- oder kryptografische Operationen
  + AWS RAM-Schreib- oder Freigabeoperationen
  + AWS Secrets Manager Manager-Operationen zum Abrufen oder Ändern von Geheimnissen oder zum Ändern von Ressourcenrichtlinien
+ Bei anderen Aktionen kann eine Platzhalterressource wie iam: oder iam: ListUsers verwendet werden GetPolicy
+ Aktionen, die Anmeldeinformationen verwalten, wie z. B. iam:, werden blockiert CreateAccessKey

## IAM-spezifische Einschränkungen
<a name="temporary-delegation-iam-specific-restrictions"></a>

Für IAM:
+ Für IAM-Rollen und -Richtlinien sind nur begrenzte Schreibvorgänge zulässig. Sie können keine Berechtigungen für andere IAM-Ressourcen wie Benutzer, Gruppen und Zertifikate anfordern.
+ Aktionen zum Anhängen von Richtlinien oder zur Inline-Richtlinienverwaltung sind auf Rollen mit einer Berechtigungsgrenze beschränkt. Berechtigungsgrenzen müssen vom Partner bereitgestellt werden oder auf einer Liste zulässiger AWS verwalteter Richtlinien stehen. AWS verwaltete Richtlinien sind möglicherweise zulässig, wenn sie keine hoch privilegierten oder administrativen Rechte gewähren. Beispielsweise können AWS verwaltete Richtlinien für bestimmte Aufgabenbereiche oder die SecurityAudit Richtlinie akzeptabel sein. AWS überprüft jede AWS verwaltete Richtlinie während des Onboarding-Prozesses auf einer bestimmten case-by-case Grundlage.
+ Die Richtlinienverwaltung ist nur für Richtlinien mit einem partnerspezifischen Pfad zulässig: arn:aws:iam: :@ \$1\$1 :policy/partner\$1domain.com/ [feature] \$1 AccountId
+ Tags können nur während der Ressourcenerstellung und nur für Rollen und Richtlinien angewendet werden
+ iam: Die PassRole Prüfungen müssen mit einem bestimmten Namen oder Pfadpräfix übereinstimmen

## AWS STS-spezifische Einschränkungen
<a name="temporary-delegation-sts-specific-restrictions"></a>

Für AWS STS:
+ sts: AssumeRole muss auf einen bestimmten Rollen-ARN, ein Rollen-ARN-Präfix beschränkt sein oder auf eine Gruppe von Konten oder eine Organisationseinheit beschränkt sein ID/organizational 

## Einschränkungen für IAM Identity Center
<a name="temporary-delegation-identity-center-restrictions"></a>

Für AWS IAM Identity Center sind die folgenden Aktionen blockiert:
+ Alle Aktionen, die sich mit der Rechteverwaltung befassen (z. B. sso:AttachCustomerManagedPolicyReferenceToPermissionSet)
+ Änderungen an Benutzern, Gruppen und Mitgliedschaften für AWS Identity Store
+ Tag-Verwaltung

## AWS Einschränkungen für Organizations
<a name="temporary-delegation-organizations-restrictions"></a>

Für AWS Organizations sind nur Leseaktionen zulässig.

## Zusätzliche dienstspezifische Validierungen
<a name="temporary-delegation-additional-service-validations"></a>
+ Aktionen, die geheime Daten oder Anmeldeinformationen abrufen, wie z. B. glue: GetConnection oder redshift:GetClusterCredentials, müssen Bedingungen haben, die entweder vollständig ARNs, ARN-Präfixen oder Tags entsprechen
+ Für Amazon Redshift: redshift: GetClusterCredentials ist nur für einen bestimmten Datenbanknamen zulässig und redshift: GetClusterCredentialsWith IAM ist nur für einen bestimmten Arbeitsgruppennamen zulässig

**Anmerkung**  
Bei der Verwaltung von IAM-Ressourcen im Konto empfehlen wir, einen Pfad zu verwenden, der Ihren Namen angibt, z. B. arn:aws:iam: :111122223333:. role/partner.com/rolename Auf diese Weise können Sie die mit Ihrer Integration verbundenen Ressourcen besser voneinander unterscheiden und Kunden die Erkennung, Prüfung und Analyse erleichtern.

## Kontoübergreifende Zugriffsanforderungen
<a name="temporary-delegation-cross-account-requirements"></a>

Kontoauszüge, die potenziell einen kontoübergreifenden Zugriff ermöglichen, müssen mindestens eine der folgenden Angaben enthalten:
+ Eine Bedingung, die das Konto oder die Organisation für die Ressource angibt (z. B. aws: ResourceOrgId entspricht einem oder mehreren erwarteten Werten)
+ Ein Ressourcenfeld, das ein bestimmtes Konto enthält (z. B. arn:aws:sqs: \$1:111122223333: \$1)
+ Ein Ressourcenfeld, das ein Konto ohne Platzhalter und einen vollständigen Ressourcennamen enthält (z. B. arn:aws:s3:::) full-bucket-name

**Anmerkung**  
Der kontoübergreifende Zugriff ist eine sensible Funktion, für die eine klare geschäftliche Begründung erforderlich ist. AWS wird während des Onboarding-Prozesses sorgfältig prüfen, ob ein kontenübergreifender Zugriff erforderlich ist.

# Vorlagen für Richtlinien
<a name="temporary-delegation-policy-templates"></a>

Bei Richtlinienvorlagen handelt es sich um ein neues IAM-Konstrukt, mit dem temporäre Berechtigungen definiert werden, die Partner für Kundenkonten anfordern. Wie reguläre IAM-Richtlinien definieren sie Berechtigungen mithilfe von Anweisungen mit den Elementen Effect, Action, Resource und Condition. Der Hauptunterschied besteht darin, dass Richtlinienvorlagen Parameter (wie @ \$1bucketName\$1) enthalten, die durch tatsächliche Werte ersetzt werden, wenn Sie eine Delegierungsanfrage erstellen.

## So funktionieren Richtlinienvorlagen
<a name="temporary-delegation-how-policy-templates-work"></a>

Im Rahmen des Onboarding-Prozesses registrieren Sie Ihre Richtlinienvorlagen bei AWS. AWS weist jeder Vorlage einen eindeutigen ARN zu, auf den Sie beim Erstellen von Delegierungsanfragen verweisen.

Wenn Sie eine Delegierungsanfrage erstellen, geben Sie Folgendes an:
+ Die Richtlinienvorlage ARN
+ Parameterwerte, die in die Vorlage eingefügt werden sollen

AWS kombiniert die Vorlage mit Ihren Parameterwerten, um eine Standard-IAM-Richtlinie zu generieren. Kunden überprüfen diese endgültige Richtlinie, wenn sie Ihre Delegierungsanfrage genehmigen, und sehen genau, welche Berechtigungen erteilt werden.

**Anmerkung**  
Die endgültige Richtlinie für das gerenderte Bild hat eine maximale Größe von 2048 Zeichen.

Hier ist ein einfaches Beispiel, das zeigt, wie die Ersetzung von Vorlagen funktioniert.

Richtlinienvorlage:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::@{bucketName}/*"
        }
    ]
}
```

In der Delegierungsanfrage angegebene Parameter:

```
{
    "Name": "bucketName",
    "Values": ["customer-data-bucket"],
    "Type": "String"
}
```

Endgültig gerenderte Richtlinie (was Kunden sehen):

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::customer-data-bucket/*"
        }
    ]
}
```

## Syntax der Vorlage
<a name="temporary-delegation-template-syntax"></a>

Richtlinienvorlagen verwenden zwei wichtige Funktionen, um Flexibilität zu bieten: Parameterersetzung und bedingte Anweisungen. Durch die Parameterersetzung können Sie Platzhalter in Ihrer Vorlage definieren, die bei der Erstellung einer Delegierungsanfrage durch tatsächliche Werte ersetzt werden. Bedingte Anweisungen ermöglichen es Ihnen, ganze Richtlinienaussagen auf der Grundlage von Parameterwerten ein- oder auszuschließen.

### Ersetzung und Typen von Parametern
<a name="temporary-delegation-parameter-substitution"></a>

Verwenden Sie die @ \$1parameterName\$1 -Syntax, um Parameter in Ihrer Richtlinienvorlage zu definieren. Wenn Sie eine Delegierungsanfrage erstellen, müssen Sie den Typ für jeden Parameter angeben.

#### Zeichenfolge
<a name="temporary-delegation-string-type"></a>

Ein einzelner Wert, der direkt in die Vorlage eingefügt wird.

Vorlage:

```
"Resource": "arn:aws:s3:::@{bucketName}/*"
```

Parameter:

```
{
    "Name": "bucketName",
    "Values": ["my-bucket"],
    "Type": "String"
}
```

Gerendertes Ergebnis:

```
"Resource": "arn:aws:s3:::my-bucket/*"
```

#### StringList
<a name="temporary-delegation-stringlist-type"></a>

Mehrere Werte, die mehrere Ressourceneinträge generieren. Wenn ein StringList Parameter in einem Ressourcen-ARN verwendet wird, wird er erweitert, um separate Ressourceneinträge für jeden Wert zu erstellen.

Vorlage:

```
"Resource": "arn:aws:s3:::@{bucketNames}/*"
```

Parameter:

```
{
    "Name": "bucketNames",
    "Values": ["bucket-1", "bucket-2"],
    "Type": "StringList"
}
```

Gerendertes Ergebnis:

```
"Resource": [
    "arn:aws:s3:::bucket-1/*",
    "arn:aws:s3:::bucket-2/*"
]
```

#### Produktübergreifendes Verhalten
<a name="temporary-delegation-cross-product-behavior"></a>

Wenn mehrere Parameter in demselben Ressourcen-ARN verwendet werden, erzeugen StringList Parameter ein Kreuzprodukt aller Kombinationen.

Vorlage:

```
"Resource": "arn:aws:s3:::@{bucketNames}/@{prefix}/*"
```

Parameter:

```
[
    {
        "Name": "bucketNames",
        "Values": ["bucket-1", "bucket-2"],
        "Type": "StringList"
    },
    {
        "Name": "prefix",
        "Values": ["data"],
        "Type": "String"
    }
]
```

Gerendertes Ergebnis:

```
"Resource": [
    "arn:aws:s3:::bucket-1/data/*",
    "arn:aws:s3:::bucket-2/data/*"
]
```

### Bedingte Aussagen
<a name="temporary-delegation-conditional-statements"></a>

Verwenden Sie die @Enabled -Direktive, um ganze Anweisungen, die auf Parameterwerten basieren, bedingt ein- oder auszuschließen.

Syntax:
+ @Enabled: „parameterName“ — Schließt die Anweisung ein, wenn der Parameterwert „True“ ist
+ @Enabled: „\$1 „parameterName“ — Schließt die Anweisung ein, wenn der Parameterwert NICHT „True“ ist (Negation)

Vorlage:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["s3:GetObject"],
            "Resource": "*"
        },
        {
            "@Enabled": "ENABLE_S3_WRITE",
            "Effect": "Allow",
            "Action": ["s3:PutObject"],
            "Resource": "arn:aws:s3:::@{bucketName}/*"
        }
    ]
}
```

Parameter (wenn ENABLE\$1S3\$1WRITE auf „True“ gesetzt ist):

```
[
    {
        "Name": "bucketName",
        "Values": ["my-bucket"],
        "Type": "String"
    },
    {
        "Name": "ENABLE_S3_WRITE",
        "Values": ["True"],
        "Type": "String"
    }
]
```

Gerendertes Ergebnis:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["s3:GetObject"],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": ["s3:PutObject"],
            "Resource": "arn:aws:s3:::my-bucket/*"
        }
    ]
}
```

Parameter (wenn ENABLE\$1S3\$1WRITE auf „False“ gesetzt ist):

```
[
    {
        "Name": "bucketName",
        "Values": ["my-bucket"],
        "Type": "String"
    },
    {
        "Name": "ENABLE_S3_WRITE",
        "Values": ["False"],
        "Type": "String"
    }
]
```

Gerendertes Ergebnis:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["s3:GetObject"],
            "Resource": "*"
        }
    ]
}
```

Wenn ENABLE\$1S3\$1WRITE auf „True“ gesetzt ist, ist die bedingte Anweisung enthalten. Wenn der Wert auf „False“ gesetzt ist, wird die Anweisung aus der gerenderten Richtlinie ausgeschlossen.

## Weitere Beispiele
<a name="temporary-delegation-additional-examples"></a>

Die folgenden Beispiele zeigen gängige Muster für die Verwendung von Richtlinienvorlagen bei der temporären Delegierung. Sie konzentrieren sich auf die Erstellung von IAM-Rollen mit Rechtegrenzen für den langfristigen Zugriff und zeigen verschiedene Strategien für den Umfang von Berechtigungen auf bestimmte Ressourcen. Diese Beispiele veranschaulichen, wie Flexibilität und Sicherheit durch den Einsatz von Techniken wie ARN-Präfixen, Ressourcen-Tagging und Aktualisierungen von Berechtigungsgrenzen in Einklang gebracht werden können.

### Beispiel 1: Langfristigen Zugriff auf bestimmte Ressourcen gewähren
<a name="temporary-delegation-example-1"></a>

Die folgende Genehmigungsgrenze wird als „SQSAccessorGrenze“ für „partner.com“ eingereicht:

```
{
    "Effect": "Allow",
    "Action": [
        "sqs:DeleteMessage",
        "sqs:ReceiveMessage",
        "sqs:SendMessage"
    ],
    "Resource": "arn:aws:sqs:*:*:*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
    }
}
```

**Anmerkung**  
Dazu gehört auch die Bedingung, dass dasselbe Konto verwendet wird, um zu verhindern, dass Zugriff auf Warteschlangen in anderen Konten mit offenen Ressourcenrichtlinien gewährt wird. Ein direkter Verweis auf die Konto-ID des Kunden kann nicht angegeben werden, da die Grenze von allen Kunden gemeinsam genutzt wird und nicht als Vorlage verwendet werden kann.

Da es sich um die erste Version dieser Richtlinie handelt, lautet ihr ARN arn:aws:iam: :partner: \$12025\$101\$115 policy/permissions-boundary/partner.com/SQSAccessorBoundary

Die folgende Richtlinienvorlage wurde für temporäre Zugriffsberechtigungen eingereicht:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sqs:ListQueues"
            ],
            "Resource": "arn:aws:sqs:*:*:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:PutRolePermissionsBoundary",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::@{AccountId}:role/partner.com/SQSAccessor",
            "Condition": {
                "StringEquals": {
                    "iam:PermissionsBoundary": "arn:aws:iam::partner:policy/permissions-boundary/partner.com/SQSAccessorBoundary_2025_01_15"
                }
            }
        }
    ]
}
```

### Beispiel 2: Verwendung von ARN-Präfixen
<a name="temporary-delegation-example-2"></a>

Die Berechtigungsgrenze kann ein Ressourcen-ARN-Präfix angeben, um den Zugriff einzuschränken:

```
"Resource": "arn:aws:sqs:*:@{AccountId}:PartnerPrefix*"
```

Dadurch wird der Zugriff nur auf die Ressourcen mit diesem Präfix beschränkt, wodurch der Umfang der verfügbaren Ressourcen reduziert wird.

### Beispiel 3: Verwendung von Tags für die Ressourcenzugriffskontrolle
<a name="temporary-delegation-example-3"></a>

Sie können Ressourcen während eines temporären delegierten Zugriffs taggen und sich bei der langfristigen Zugriffskontrolle auf diese Tags verlassen.

Berechtigungsgrenze, die den Zugriff auf markierte Ressourcen ermöglicht:

```
{
    "Effect": "Allow",
    "Action": [
        "sqs:DeleteMessage",
        "sqs:ReceiveMessage",
        "sqs:SendMessage"
    ],
    "Resource": "arn:aws:sqs:*:*:*",
    "Condition": {
        "Null": {
            "aws:ResourceTag/ManagedByPartnerDotCom": "false"
        },
        "StringEquals": {
            "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
    }
}
```

Richtlinienvorlage zum Kennzeichnen neuer Warteschlangen bei der Erstellung:

```
{
    "Effect": "Allow",
    "Action": [
        "sqs:CreateQueue",
        "sqs:TagQueue"
    ],
    "Resource": "arn:aws:sqs:*:*:*",
    "Condition": {
        "Null": {
            "aws:RequestTag/ManagedByPartnerDotCom": "false"
        }
    }
}
```

Richtlinienvorlage zum Markieren bereits vorhandener Warteschlangen und zum Erstellen der Rolle:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sqs:TagQueue"
            ],
            "Resource": "arn:aws:sqs:*:@{AccountId}:@{QueueName}",
            "Condition": {
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "ManagedByPartnerDotCom"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:PutRolePermissionsBoundary",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::@{AccountId}:role/partner.com/SQSAccessor",
            "Condition": {
                "StringEquals": {
                    "iam:PermissionsBoundary": "arn:aws:iam::partner:policy/permissions-boundary/partner.com/SQSAccessorBoundary_2025_01_15"
                }
            }
        }
    ]
}
```

Dieser Ansatz ermöglicht es Kunden, ausdrücklich zu bestätigen, auf welche spezifischen Ressourcen langfristig zugegriffen werden kann.

### Beispiel 4: Aktualisierung der Berechtigungsgrenze
<a name="temporary-delegation-example-4"></a>

Um eine Berechtigungsgrenze zu aktualisieren, registrieren Sie eine neue Version mit einem neuen Datumssuffix und fordern Sie die Erlaubnis an, diese zu ersetzen.

Die Berechtigungsgrenze wurde mit zusätzlichen Berechtigungen aktualisiert:

```
{
    "Effect": "Allow",
    "Action": [
        "sqs:DeleteMessage",
        "sqs:PurgeQueue",
        "sqs:ReceiveMessage",
        "sqs:SendMessage"
    ],
    "Resource": "arn:aws:sqs:*:*:*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
    }
}
```

Als zweite Version hat diese Richtlinie den ARN: arn:aws:iam: :partner: \$12025\$101\$120 policy/permissions-boundary/partner.com/SQSAccessorBoundary

Richtlinienvorlage zur Aktualisierung der Berechtigungsgrenze für die bestehende Rolle:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:PutRolePermissionsBoundary"
            ],
            "Resource": "arn:aws:iam::@{AccountId}:role/partner.com/SQSAccessor",
            "Condition": {
                "StringEquals": {
                    "iam:PermissionsBoundary": "arn:aws:iam::partner:policy/permissions-boundary/partner.com/SQSAccessorBoundary_2025_01_20"
                }
            }
        }
    ]
}
```

Kunden müssen diese Delegierungsanfrage genehmigen, um die Berechtigungsgrenze für die bestehende Rolle zu aktualisieren.

# Aufbau Ihrer Integration
<a name="temporary-delegation-building-integration"></a>

## Den Anforderungslebenszyklus verstehen
<a name="temporary-delegation-request-lifecycle"></a>

Bevor Sie Ihre Integration erstellen, ist es wichtig zu verstehen, wie Delegierungsanfragen von der Erstellung bis zum Abschluss voranschreiten.

### Staaten der Anfrage
<a name="temporary-delegation-request-states"></a>

Ein Delegierungsantrag wird in den folgenden Staaten bearbeitet:


| Status | Description | 
| --- | --- | 
| Nicht zugewiesen | Die Anfrage wurde erstellt, aber noch nicht mit einem Kundenkonto und einem IAM-Principal verknüpft. Die Anfrage wurde möglicherweise ohne Angabe eines Zielkontos oder mit einer Zielkonto-ID erstellt, aber noch nicht vom Kontoinhaber beansprucht. | 
| Zugewiesen | Anfrage, die mit einem Kundenkonto verknüpft ist und noch geprüft werden muss | 
| Genehmigung steht noch aus | Der Kunde hat die Anfrage zur Genehmigung an einen Administrator weitergeleitet | 
| Accepted (Akzeptiert) | Die Anfrage wurde vom Kunden genehmigt, das Exchange-Token wurde jedoch noch nicht veröffentlicht | 
| Finalisiert | Exchange-Token für den Produktanbieter freigegeben. Der Delegierungszeitraum (Gültigkeit des Exchange-Tokens) beginnt, wenn die Anfrage den Status Finalized erreicht | 
| Rejected (Abgelehnt) | Die Anfrage wurde vom Kunden abgelehnt | 
| Expired | Die Anfrage ist aufgrund von Inaktivität oder Timeout abgelaufen | 

### Zustandsübergänge
<a name="temporary-delegation-state-transitions"></a>

*Normaler Ablauf (Genehmigungspfad)*
+ Nicht zugewiesen → Zugewiesen: Der Kunde ordnet die Anfrage seinem Konto zu
+ Zugewiesen → Akzeptiert ODER Zugewiesen → Genehmigung steht noch aus: Der Kunde genehmigt die Anfrage direkt ODER leitet sie zur Prüfung an den Administrator weiter
+ Genehmigung ausstehend → Akzeptiert: Der Administrator genehmigt die Anfrage
+ Akzeptiert → Abgeschlossen: Der Kunde gibt das Exchange-Token frei

*Pfad der Ablehnung*
+ Zugewiesen → Abgelehnt: Der Kunde lehnt die Anfrage ab
+ Genehmigung steht aus → Abgelehnt: Der Administrator lehnt die Anfrage ab
+ Akzeptiert → Abgelehnt: Der Kunde widerruft die Genehmigung, bevor er das Token freigibt

*Ablaufpfad*

Anfragen laufen automatisch ab, wenn innerhalb des angegebenen Zeitraums keine Maßnahmen ergriffen werden:
+ Nicht zugewiesen → Abgelaufen (1 Tag)
+ Zugewiesen → Abgelaufen (7 Tage)
+ Genehmigung steht noch aus → Abgelaufen (7 Tage)
+ Akzeptiert → Abgelaufen (7 Tage)
+ Abgelehnt → Abgelaufen (7 Tage)
+ Abgeschlossen → Abgelaufen (7 Tage)

*Endstaaten*

Die folgenden Zustände sind endständig (keine weiteren Übergänge):
+ Finalisiert: Exchange-Token gesendet
+ Abgelehnt: Anfrage wurde abgelehnt
+ Abgelaufen: Das Zeitlimit für die Anfrage wurde überschritten oder der Delegierungszeitraum wurde beendet

Abgelaufene Anfragen werden schließlich nach Ablauf der Aufbewahrungsfrist aus dem System gelöscht.

### Status von Delegierungsanfragen in Ihrer Anwendung verwalten
<a name="temporary-delegation-managing-states"></a>

Als Partner müssen Sie den Status der Delegierungsanfragen in Ihrem System nachverfolgen und Ihren Kunden mitteilen. Wenn Sie SNS-Benachrichtigungen über Statusänderungen erhalten, speichern Sie diese Aktualisierungen in Ihrem Backend und geben sie in Ihrer kundenorientierten Benutzeroberfläche wieder. Achten Sie besonders auf den Status „Ausstehende Genehmigung“. Wenn ein Kunde eine Anfrage zur Überprüfung an einen Administrator weiterleitet, AWS sendet er Ihnen eine Benachrichtigung über ausstehende Genehmigung. Anfragen können bis zu 7 Tage in diesem Status verbleiben, bis der Administrator aktiv wird. Zeigen Sie den Kunden während dieser Zeit in Ihrer Anwendung, dass ihre Anfrage noch vom Administrator genehmigt werden muss. Erwägen Sie die Bereitstellung eines Deep-Links zur AWS Konsole, über den Kunden den Status der Anfrage überprüfen oder sich mit ihrem Administrator in Verbindung setzen können. Für ein gutes Integrationserlebnis ist es wichtig, mit der Zustandsmaschine in Ihrem Backend richtig umzugehen und den Kunden in jeder Phase die richtigen Statusinformationen zur Verfügung zu stellen.

![\[alt text not found\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/delegation-states.png)


## Konfigurieren von -Benachrichtigungen
<a name="temporary-delegation-configuring-notifications"></a>

IAM verwendet Amazon Simple Notification Service (SNS), um Ihnen Statusänderungen der Delegierungsanfrage mitzuteilen. Wenn Sie eine Delegierungsanfrage erstellen, müssen Sie einen SNS-Themen-ARN von Ihrem registrierten AWS Konto aus angeben. IAM veröffentlicht Nachrichten zu diesem Thema bei wichtigen Ereignissen, z. B. wenn Kunden Anfragen genehmigen oder ablehnen und wenn das Exchange-Token bereit ist.

**Anmerkung**  
SNS-Themen können nicht in AWS Opt-in-Regionen enthalten sein. Ihr SNS-Thema muss sich in einer AWS Region befinden, die standardmäßig aktiviert ist. Eine Liste der Regionen, für die Sie sich anmelden können, finden Sie im Leitfaden zur AWS Kontoverwaltung unter AWS Regionen verwalten.

### Konfiguration des SNS-Themas
<a name="temporary-delegation-sns-topic-configuration"></a>

Um Benachrichtigungen über Delegierungsanfragen zu erhalten, müssen Sie Ihr SNS-Thema so konfigurieren, dass IAM-Berechtigungen zum Veröffentlichen von Nachrichten an dieses Thema erteilt werden. Fügen Sie Ihrer SNS-Themenrichtlinie die folgende Richtlinienerklärung hinzu:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowIAMServiceToPublish",
            "Effect": "Allow",
            "Principal": {
                "Service": "iam.amazonaws.com"
            },
            "Action": "SNS:Publish",
            "Resource": "arn:aws:sns:REGION:ACCOUNT-ID:TOPIC-NAME"
        }
    ]
}
```

**Wichtig**  
Das SNS-Thema muss sich in einem Ihrer registrierten AWS Konten befinden. IAM akzeptiert keine SNS-Themen von anderen Konten. Wenn die Themenrichtlinie nicht korrekt konfiguriert ist, erhalten Sie weder Benachrichtigungen über Statusänderungen noch das Exchange-Token.

### Arten von Benachrichtigungen
<a name="temporary-delegation-notification-types"></a>

IAM sendet zwei Arten von Benachrichtigungen:

*StateChange Benachrichtigungen*

Wird gesendet, wenn eine Delegierungsanfrage in einen neuen Status übergeht („Zugewiesen“, „Genehmigung ausstehend“, „Akzeptiert“, „Abgeschlossen“, „Abgelehnt“, „Abgelaufen“).

*ExchangeToken Benachrichtigungen*

Wird gesendet, wenn ein Kunde das Delegierungstoken freigibt (Status Finalisiert). Diese Benachrichtigung enthält das Exchange-Token, das Sie zum Abrufen von Anmeldeinformationen benötigen.

### In der Benachrichtigung heißt es
<a name="temporary-delegation-notification-states"></a>

Sie erhalten Benachrichtigungen für die folgenden Staaten mit Delegierungsanfragen:


| Status | Art der Benachrichtigung | Description | 
| --- | --- | --- | 
| ZUGEWIESEN | StateChange | Die Anfrage wurde mit einem Kundenkonto verknüpft | 
| NOCH AUSSTEHENDE GENEHMIGUNG | StateChange | Der Kunde hat die Anfrage zur Genehmigung an einen Administrator weitergeleitet | 
| AKZEPTIERT | StateChange | Der Kunde hat die Anfrage genehmigt, das Token aber noch nicht freigegeben | 
| ABGESCHLOSSEN | StateChange | Der Kunde hat das Exchange-Token veröffentlicht | 
| ABGESCHLOSSEN | ExchangeToken | Diese Benachrichtigung enthält das Exchange-Token | 
| ABGELEHNT | StateChange | Der Kunde hat die Anfrage abgelehnt | 
| ABGELAUFEN | StateChange | Die Anfrage ist vor Abschluss abgelaufen | 

### Format der Benachrichtigungsnachricht
<a name="temporary-delegation-notification-message-format"></a>

IAM veröffentlicht standardmäßige SNS-Benachrichtigungen. Die Informationen zur Delegierungsanfrage sind im Nachrichtenfeld als JSON-Zeichenfolge enthalten.

*Allgemeine Felder (Alle Benachrichtigungen)*


| Feld | Typ | Description | 
| --- | --- | --- | 
| Typ | Zeichenfolge | Entweder "StateChange" oder "ExchangeToken“ | 
| RequestId | Zeichenfolge | Die ID der IAM-Delegierungsanfrage | 
| RequestorWorkflowId | Zeichenfolge | Die Workflow-ID, die Sie bei der Erstellung der Anfrage angegeben haben | 
| Status | Zeichenfolge | Aktueller Status der Anfrage | 
| OwnerAccountId | Zeichenfolge |  AWS Konto-ID des Kunden | 
| UpdatedAt | Zeichenfolge | Zeitstempel der Statusänderung (ISO 8601-Format) | 

*Zusätzliche Felder (nur ExchangeToken Benachrichtigungen)*


| Feld | Typ | Description | 
| --- | --- | --- | 
| ExchangeToken | Zeichenfolge | Das Token, das über die AWS STS GetDelegatedAccessToken API gegen Anmeldeinformationen ausgetauscht werden soll | 
| ExpiresAt | Zeichenfolge | Wenn der delegierte Zugriff abläuft (ISO 8601-Format) | 

### Beispielbenachrichtigungen
<a name="temporary-delegation-example-notifications"></a>

*StateChange Benachrichtigung*

```
{
  "Type": "Notification",
  "MessageId": "61ee8ad4-6eec-56b5-8f3d-eba57556aa13",
  "TopicArn": "arn:aws:sns:us-east-1:123456789012:partner-notifications",
  "Message": "{\"RequestorWorkflowId\":\"workflow-12345\",\"Type\":\"StateChange\",\"RequestId\":\"dr-abc123\",\"State\":\"ACCEPTED\",\"OwnerAccountId\":\"111122223333\",\"UpdatedAt\":\"2025-01-15T10:30:00.123Z\"}",
  "Timestamp": "2025-01-15T10:30:00.456Z",
  "SignatureVersion": "1",
  "Signature": "...",
  "SigningCertURL": "...",
  "UnsubscribeURL": "..."
}
```

*ExchangeToken Benachrichtigung*

```
{
  "Type": "Notification",
  "MessageId": "e44e5435-c72c-5333-aba3-354406782f5b",
  "TopicArn": "arn:aws:sns:us-east-1:123456789012:partner-notifications",
  "Message": "{\"RequestId\":\"dr-abc123\",\"RequestorWorkflowId\":\"workflow-12345\",\"State\":\"FINALIZED\",\"OwnerAccountId\":\"111122223333\",\"ExchangeToken\":\"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...\",\"ExpiresAt\":\"2025-01-15T18:30:00.123Z\",\"UpdatedAt\":\"2025-01-15T10:30:00.456Z\",\"Type\":\"ExchangeToken\"}",
  "Timestamp": "2025-01-15T10:30:00.789Z",
  "SignatureVersion": "1",
  "Signature": "...",
  "SigningCertURL": "...",
  "UnsubscribeURL": "..."
}
```

## Tokens austauschen
<a name="temporary-delegation-exchange-tokens"></a>

Ein Exchange-Token oder ein Trade-In-Token wird von IAM ausgestellt, wenn ein Kunde eine Delegierungsanfrage akzeptiert und abschließt. Der Produktanbieter verwendet dieses Tausch- oder Trade-In-Token, um die AWS AWS STS GetDelegatedAccessToken API aufzurufen, um temporäre AWS Anmeldeinformationen mit den vom Kunden genehmigten Berechtigungen abzurufen. Das Exchange-Token selbst gewährt keinen Zugriff auf Ihre AWS Ressourcen. Es muss über AWS STS gegen tatsächliche Anmeldeinformationen eingetauscht werden.

Das Exchange-Token kann nur von dem Konto des Produktanbieters eingelöst werden, das die Delegierungsanfrage erstellt hat. Das anfordernde Konto ist in das Token eingebettet, sodass nur der autorisierte Produktanbieter Anmeldeinformationen für den Zugriff auf das Kundenkonto erhalten kann.

### Dauer des Zugriffs
<a name="temporary-delegation-access-duration"></a>

Die Delegierungsfrist beginnt, wenn der Kunde das Exchange-Token freigibt, nicht wenn der Produktanbieter es einlöst. Sobald der Kunde das Token freigibt:
+ Der Produktanbieter erhält das Token per SNS-Benachrichtigung
+ Sie können es sofort gegen Anmeldeinformationen eintauschen
+ Anmeldeinformationen laufen ab am: Veröffentlichungszeit\$1Gültigkeitsdauer der Genehmigung
+ Der Produktanbieter kann das Token vor Ablauf mehrmals austauschen, um bei Bedarf neue Anmeldeinformationen zu erhalten

### Mehrfache Einlösungen
<a name="temporary-delegation-multiple-redemptions"></a>

Produktanbieter können den Token während des Gültigkeitszeitraums mehrmals eintauschen, um neue Anmeldeinformationen zu erhalten. Alle Anmeldeinformationen, die mit demselben Exchange-Token abgerufen wurden, laufen jedoch zur gleichen Zeit ab, je nachdem, wann Sie das Token veröffentlicht haben.

Beispiel: Wenn Sie eine zweistündige Delegierungsanfrage genehmigen und das Token um 10:00 Uhr freigeben:


| Zeit der Token-Veröffentlichung | Zeit für den Token-Austausch | Ablauf der Anmeldedaten | Nutzbare Zeit | 
| --- | --- | --- | --- | 
| 10:00 Uhr | 10:00 Uhr | 12:00 pm | 2 Stunden | 
| 10:00 Uhr | 10:20 Uhr | 12:00 pm | 1 Stunde 40 Minuten | 
| 10:00 Uhr | 11:40 Uhr | 12:00 pm | 20 Minuten | 
| 10:00 Uhr | 12:10 Uhr | Fehlgeschlagen (Token abgelaufen) | 0 Minuten | 

Wie in der Tabelle dargestellt, führt der Austausch des Tokens zu einem späteren Zeitpunkt im Gültigkeitszeitraum zu einer kürzeren Nutzungszeit für den Produktanbieter.