Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Steuern Sie den Zugriff auf AWS Ressourcen mithilfe von Richtlinien
Sie können eine Richtlinie verwenden, um den Zugriff auf Ressourcen innerhalb IAM oder insgesamt von AWS zu steuern.
Um eine Richtlinie zur Zugriffskontrolle verwenden zu können AWS, müssen Sie wissen, wie der Zugriff AWS gewährt wird. AWS besteht aus Sammlungen von Ressourcen. Ein IAM-Benutzer ist eine Ressource. Ein Amazon S3-Bucket ist eine Ressource. Wenn Sie den AWS API, oder den verwenden AWS CLI, AWS Management Console um einen Vorgang auszuführen (z. B. einen Benutzer zu erstellen), senden Sie eine Anforderung für diesen Vorgang. Ihre Anfrage gibt eine Aktion, eine Ressource, eine Prinzipal-Entität (Gruppe oder Rolle) und ein Prinzipalkonto an und enthält alle erforderlichen Anfrageinformationen. Diese Informationen stellen den Kontext bereit.
AWS überprüft dann, ob Sie (der Principal) authentifiziert (angemeldet) und autorisiert sind (berechtigt sind), die angegebene Aktion auf der angegebenen Ressource auszuführen. AWS Überprüft während der Autorisierung alle Richtlinien, die für den Kontext Ihrer Anfrage gelten. Die meisten Richtlinien werden in Form AWS von JSONDokumenten gespeichert und spezifizieren die Berechtigungen für Haupteinheiten. Weitere Informationen zu diesen Richtlinienarten und ihrer Verwendung finden Sie unter Richtlinien und Berechtigungen in AWS Identity and Access Management.
AWS autorisiert die Anfrage nur, wenn jeder Teil Ihrer Anfrage gemäß den Richtlinien zulässig ist. Eine Abbildung dieses Prozesses finden Sie unter Wie IAM funktioniert. Einzelheiten dazu, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, finden Sie unterAuswertungslogik für Richtlinien.
Wenn Sie eine IAM Richtlinie erstellen, können Sie den Zugriff auf Folgendes steuern:
-
Prinzipal – Legen Sie fest, welche Aktionen die Person, die die Anfrage stellt (der Prinzipal), durchführen darf.
-
IAMIdentitäten — Steuern Sie, auf welche IAM Identitäten (IAMGruppen, Benutzer und Rollen) zugegriffen werden kann und wie.
-
IAMRichtlinien — Steuern Sie, wer vom Kunden verwaltete Richtlinien erstellen, bearbeiten und löschen kann und wer alle verwalteten Richtlinien anhängen und entfernen kann.
-
AWS -Ressourcen – Legen sie fest, wer über eine identitätsbasierte oder ressourcenbasierte Richtlinie Zugriff auf Ressourcen hat.
-
AWS -Konten – Legen Sie fest, ob eine Anfrage nur für Mitglieder eines bestimmten Kontos zulässig ist.
Mithilfe von Richtlinien können Sie festlegen, wer Zugriff auf AWS Ressourcen hat und welche Aktionen sie mit diesen Ressourcen ausführen können. Jeder IAM Benutzer beginnt ohne Berechtigungen. Mit anderen Worten: Benutzer können standardmäßig nichts tun, nicht einmal ihre eigenen Zugriffsschlüssel anzeigen. Um einem Benutzer eine Berechtigung für eine Aktion zu erteilen, können Sie diese zum Benutzer hinzufügen (Sie ordnen dem Benutzer eine Richtlinie zu). Alternativ können Sie den Benutzer einer Gruppe hinzufügen, der die gewünschte Berechtigung bereits zugewiesen wurde.
Sie können beispielsweise einem Benutzer die Berechtigung gewähren, die eigenen Zugriffsschlüssel aufzulisten. Sie können diese Berechtigung auch erweitern, sodass jeder Benutzer die eigenen Schlüssel auch erstellen, aktualisieren und löschen kann.
Wenn Sie einer Gruppe Berechtigungen geben, erhalten alle Benutzer in dieser Gruppe diese Berechtigungen. Beispielsweise können Sie der Benutzergruppe Administratoren die Berechtigung erteilen, alle IAM Aktionen für jede der AWS-Konto Ressourcen auszuführen. Ein anderes Beispiel: Sie können der Benutzergruppe Manager die Erlaubnis geben, die EC2 Amazon-Instanzen von zu beschreiben AWS-Konto.
Informationen darüber, wie Sie grundlegende Berechtigungen an Ihre Benutzer, IAM Gruppen und Rollen delegieren können, finden Sie unterErforderliche Berechtigungen für den Zugriff auf IAM-Ressourcen. Weitere Beispiele für Richtlinien, die grundlegende Berechtigungen veranschaulichen, finden Sie unter Beispielrichtlinien für die Verwaltung von IAM-Ressourcen.
Zugriffssteuerung für Prinzipale
Sie können mit Richtlinien steuern, welche Aktionen die Person (der Prinzipal), von der die Anfrage stammt, ausführen darf. Dazu müssen Sie eine identitätsbasierte Richtlinie an die Identität dieser Person (Benutzer, Gruppe von Benutzern oder Rolle) anfügen. Sie können außerdem eine Berechtigungsgrenze zum Festlegen der maximalen Berechtigungen, die eine Entität (Benutzer oder Rolle) haben kann, verwenden.
Nehmen Sie beispielsweise an, dass der Benutzer Zhang Wei vollen Zugriff auf Amazon DynamoDB CloudWatch, Amazon und Amazon EC2 S3 haben soll. In diesem Fall erstellen Sie zwei verschiedene Richtlinien, die Sie später aufbrechen können, wenn Sie einen Berechtigungssatz für einen anderen Benutzer benötigen. Oder Sie können beide Berechtigungen in einer einzigen Richtlinie zusammenfassen und diese Richtlinie dann dem IAM Benutzer mit dem Namen Zhang Wei zuordnen. Sie können auch eine Richtlinie zu einer Gruppe zuweisen, der Zhang angehört, oder einer Rolle zuordnen, die Zhang annehmen kann. Wenn Zhang dann die Inhalte eines S3-Buckets anzeigt, werden die Anfragen zugelassen. Wenn er versucht, einen neuen IAM Benutzer zu erstellen, wird seine Anfrage abgelehnt, da er nicht über die entsprechende Berechtigung verfügt.
Sie können eine Berechtigungsgrenze für Zhang verwenden, um sicherzustellen, dass er nie Zugriff auf den S3-Bucket amzn-s3-demo-bucket1 erhält. Dazu bestimmen Sie die maximalen Berechtigungen, die Zhang erhalten soll. In diesem Fall steuern Sie, was er unter Verwendung seiner Berechtigungsrichtlinien machen kann. Hier kümmert es Sie nur, dass er nicht auf den vertraulichen Bucket zugreift. Sie verwenden also die folgende Richtlinie, um Zhangs Grenze so zu definieren, dass alle AWS Aktionen für Amazon S3 und einige andere Dienste zulässig sind, aber der Zugriff auf den amzn-s3-demo-bucket1 S3-Bucket verweigert wird. Da die Rechtegrenze keine IAM Aktionen zulässt, verhindert sie, dass Zhang seine (oder die von jemandem anderen) löscht.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PermissionsBoundarySomeServices", "Effect": "Allow", "Action": [ "cloudwatch:*", "dynamodb:*", "ec2:*", "s3:*" ], "Resource": "*" }, { "Sid": "PermissionsBoundaryNoConfidentialBucket", "Effect": "Deny", "Action": "s3:*", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1", "arn:aws:s3:::amzn-s3-demo-bucket1/*" ] } ] }
Wenn Sie eine solche Richtlinie als Berechtigungsgrenze für einen Benutzer zuweisen, denken Sie daran, dass sie keine Berechtigungen gewährt. Sie legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer Entität gewähren kann. IAM Weitere Informationen über Berechtigungsgrenzen finden Sie unter Berechtigungsgrenzen für IAM-Entitäten.
Weitere Informationen zu den oben genannten Verfahren finden Sie in diesen Ressourcen:
-
Weitere Informationen zum Erstellen einer IAM Richtlinie, die Sie einem Prinzipal zuordnen können, finden Sie unter. Definieren Sie benutzerdefinierte IAM Berechtigungen mit vom Kunden verwalteten Richtlinien
-
Informationen zum Anhängen einer IAM Richtlinie an einen Prinzipal finden Sie unterHinzufügen und Entfernen von IAM Identitätsberechtigungen.
-
Ein Beispiel für eine Richtlinie zur Gewährung von Vollzugriff EC2 finden Sie unterAmazon EC2: Gewährt EC2-Vollzugriff innerhalb einer bestimmten Region programmatisch und in der Konsole.
-
Zum Gewähren eines Lesezugriffs auf einen S3-Bucket verwenden Sie die ersten beiden Anweisungen der folgenden Beispielrichtlinie: Amazon S3: Gewährt Lese- und Schreibzugriff auf Objekte in einem S3-Bucket programmgesteuert und in der Konsole.
-
Ein Beispiel für eine Richtlinie, mit der Benutzer ihre Anmeldeinformationen, wie z. B. ihr Konsolenkennwort, ihre programmatischen Zugriffsschlüssel und ihre MFA Geräte, festlegen können, finden Sie unterAWS: Ermöglicht MFA-authentifizierten IAM-Benutzern, ihre eigenen Anmeldeinformationen auf der Seite Sicherheitsanmeldedaten zu verwalten.
Steuern des Zugriffs auf Identitäten
Mithilfe von IAM Richtlinien können Sie steuern, was Ihre Benutzer mit einer Identität tun können, indem Sie eine Richtlinie erstellen, die Sie allen Benutzern über eine Benutzergruppe zuordnen. Dazu erstellen Sie eine Richtlinie, aus denen die Aktionen hervorgehen, die für eine Identität durchgeführt werden dürfen, oder die festlegt, wer zugriffsberechtigt ist.
Sie können beispielsweise eine Benutzergruppe mit dem Namen AllUserserstellen und diese Benutzergruppe dann allen Benutzern zuordnen. Beim Erstellen der Benutzergruppe können Sie allen Benutzern Zugriff darauf gewähren, ihre Anmeldeinformationen wie im vorherigen Abschnitt beschrieben festzulegen. Anschließend können Sie eine Richtlinie erstellen, die einen Zugriff zum Ändern der Gruppe verweigert, sofern der Benutzername nicht Bestandteil der Richtlinienbedingung ist. Aber dieser Teil der Richtlinie verweigert nur jenen Benutzern den Zugriff, die nicht aufgelistet sind. Sie müssen Berechtigungen einschließen, damit alle Gruppenmitglieder Gruppenverwaltungsaktionen durchführen können. Anschließend weisen Sie diese Richtlinie der Gruppe zu, sodass sie für alle Benutzer gilt. Wenn dann ein Benutzer, der nicht in der Richtlinie angegeben ist, versucht, die Gruppe zu ändern, wird die Anfrage abgelehnt.
So erstellen Sie diese Richtlinie mit dem visuellen Editor
Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/
. -
Wählen Sie im Navigationsbereich auf der linken Seite Policies (Richtlinien).
Wenn Sie zum ersten Mal Policies (Richtlinien) auswählen, erscheint die Seite Welcome to Managed Policies (Willkommen bei verwalteten Richtlinien). Wählen Sie Get Started.
-
Wählen Sie Create Policy (Richtlinie erstellen) aus.
-
Wählen Sie im Bereich Policy editor (Richtlinien-Editor) die Option Visual aus.
-
Wählen Sie unter Dienst auswählen die Option IAM.
-
Geben Sie im Feld Actions allowed (Zulässige Aktionen)
groupin das Suchfeld ein. Der visuelle Editor zeigt alle IAM-Aktionen, die das Wortgroupenthalten. Aktivieren Sie alle Kontrollkästchen. -
Wählen Sie Resources (Ressourcen) aus, um die Ressourcen für Ihre Richtlinie festzulegen. Basierend auf den ausgewählten Aktionen sollten Sie die Ressourcentypen group (Gruppe) und user (Benutzer) sehen.
-
Gruppe — Wählen Sie Hinzufügen ARNs. Wählen Sie für Resource in (Ressource in) die Option Any account (Beliebiges Konto) aus. Aktivieren Sie das Kontrollkästchen Any group name with path (Beliebiger Gruppenname mit Pfad) und geben Sie dann den Namen der Benutzergruppe
AllUsersein. Wählen Sie dann Add (Hinzufügen)ARNs. -
user (Benutzer) – Aktivieren Sie das Kontrollkästchen neben Any in this account (Alle in diesem Konto).
Eine der Aktionen, die Sie ausgewählt haben,
ListGroups, unterstützt die Verwendung spezifischer Ressourcen nicht. Sie müssen für diese Aktion nicht All resources (Alle Ressourcen) auswählen. Wenn Sie Ihre Richtlinie speichern oder die Richtlinie im JSONEditor anzeigen, können Sie sehen, dass IAM automatisch ein neuer Berechtigungsblock erstellt wird, der dieser Aktion die Berechtigung für alle Ressourcen gewährt. -
-
Zum Hinzufügen eines weiteren Berechtigungsblocks wählen Sie Add more permissions (Weitere Berechtigungen hinzufügen) aus.
-
Wählen Sie einen Dienst aus und wählen Sie dann IAM.
-
Wählen Sie Actions allowed (Zulässige Aktionen) und dann Switch to deny permissions (Zu verweigerten Berechtigungen wechseln) aus. Wenn Sie dies durchführen, wird der gesamte Block verwendet, um Berechtigungen zu verweigern.
-
Geben Sie in das Suchfeld
groupein. Die visuelle Editor zeigt alle IAM-Aktionen an, die das Wortgroupenthalten. Aktivieren Sie die Kontrollkästchen neben den folgenden Aktionen:-
CreateGroup
-
DeleteGroup
-
RemoveUserFromGroup
-
AttachGroupPolicy
-
DeleteGroupPolicy
-
DetachGroupPolicy
-
PutGroupPolicy
-
UpdateGroup
-
-
Wählen Sie Resources (Ressourcen) aus, um die Ressourcen für Ihre Richtlinie festzulegen. Basierend auf den Aktionen, die Sie ausgewählt haben, sollten Sie den Ressourcentyp group (Gruppe) sehen. Wählen Sie Hinzufügen ARNs. Wählen Sie für Resource in (Ressource in) die Option Any account (Beliebiges Konto) aus. Geben Sie für any group Name With Path (Jeder Gruppenname mit Pfad) den Gruppennamen
AllUsersein. Wählen Sie dann Add (Hinzufügen)ARNs. -
Wählen Sie Request conditions - optional (Anforderungsbedingungen - optional) und anschließend Add another condition (Weitere Bedingung hinzufügen). Füllen Sie das Formular mit den folgenden Werten aus:
-
Condition key (Bedingungsschlüssel) – Wählen Sie aws:username aus.
-
Qualifier (Qualifizierer) – Wählen Sie Default (Standard)
-
Operator — Wählen StringNotEquals
-
Value (Wert) – Geben Sie
srodriguezein und wählen Sie dann Add (Hinzufügen) aus, um einen weiteren Wert hinzuzufügen. Geben Siemjacksonein und wählen Sie dann Add (Hinzufügen) aus, um einen weiteren Wert hinzuzufügen. Geben Sieadesaiein und wählen Sie Add condition (Bedingung hinzufügen).
Diese Bedingung stellt sicher, dass der Zugriff auf die angegebenen Gruppenverwaltungsaktionen verweigert wird, wenn der Benutzer, der den Aufruf durchführt, nicht in der Liste enthalten ist. Da dadurch die Berechtigung explizit verweigert wird, wird der vorherige Block überschrieben, der den Benutzern das Aufrufen der Aktionen gestattete. Benutzern auf der Liste wird der Zugriff nicht verweigert. Sie erhalten eine Berechtigung im ersten Block, sodass sie die Gruppe vollständig verwalten können.
-
-
Wählen Sie danach Next aus.
Anmerkung
Sie können jederzeit zwischen den Optionen Visual und JSONEditor wechseln. Wenn Sie jedoch Änderungen vornehmen oder in der Option „Visueller Editor“ die Option „Weiter“ wählen, IAM kann es sein, dass Ihre Richtlinie neu strukturiert wird, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter Umstrukturierung einer Richtlinie.
-
Geben Sie auf der Seite Review and create (Überprüfen und erstellen) für Policy Name (Richtlinienname)
LimitAllUserGroupManagementein. Geben Sie für Description (Beschreibung) Folgendes ein:Allows all users read-only access to a specific user group, and allows only specific users access to make changes to the user group. Überprüfen Sie Permissions defined in this policy (In dieser Richtlinie definierte Berechtigungen), um sicherzustellen, dass Sie die beabsichtigten Berechtigungen erteilt haben. Wählen Sie dann Create policy (Richtlinie erstellen) aus, um Ihre neue Richtlinie zu speichern. -
Fügen Sie die Richtlinie zu Ihrer Gruppe hinzu. Weitere Informationen finden Sie unter Hinzufügen und Entfernen von IAM Identitätsberechtigungen.
Alternativ können Sie dieselbe Richtlinie mithilfe dieses JSON Beispiel-Richtliniendokuments erstellen. Informationen zu dieser JSON Richtlinie finden Sie unter: Ermöglicht spezifischen IAM-Benutzern das Verwalten einer Gruppe programmgesteuert und in der Konsole. Ausführliche Anweisungen zum Erstellen einer Richtlinie mithilfe eines JSON Dokuments finden Sie unterRichtlinien mit dem JSON Editor erstellen.
Steuern des Zugriffs auf Richtlinien
Sie können steuern, wie Ihre Benutzer AWS verwaltete Richtlinien anwenden können. Zu diesem Zweck weisen Sie diese Richtlinie all Ihren Benutzern zu. Idealerweise können Sie dies durch die Verwendung einer Gruppe durchführen.
Sie können beispielsweise eine Richtlinie erstellen, die es Benutzern ermöglicht, einem neuen Benutzer, einer neuen IAM Benutzergruppe oder Rolle nur die PowerUserAccess
Für vom Kunden verwaltete Richtlinien können Sie steuern, wer diese Richtlinien erstellen, aktualisieren und löschen darf. Sie können steuern, wer Richtlinien an Prinzipalentitäten (IAMGruppen, Benutzer und Rollen) anhängen und von ihnen trennen kann. Sie können auch steuern, welche Richtlinien ein Benutzer welchen Entitäten hinzufügen oder von diesen trennen kann.
So können Sie beispielsweise einem Kontoadministrator Berechtigungen zum Erstellen, Aktualisieren und Löschen von Richtlinien erteilen. Anschließend erteilen Sie einem Teamleiter oder einem anderen Administrator mit eingeschränkten Befugnissen die Berechtigungen, um diese Richtlinien den vom Administrator mit eingeschränkten Befugnissen verwalteten Prinzipal-Entitäten anzufügen und von diesen zu trennen.
Weitere Informationen finden in folgenden Ressourcen:
-
Weitere Informationen zum Erstellen einer IAM Richtlinie, die Sie einem Prinzipal zuordnen können, finden Sie unterDefinieren Sie benutzerdefinierte IAM Berechtigungen mit vom Kunden verwalteten Richtlinien.
-
Informationen zum Anhängen einer IAM Richtlinie an einen Prinzipal finden Sie unterHinzufügen und Entfernen von IAM Identitätsberechtigungen.
-
Ein Beispiel für eine Richtlinie, die die Verwendung verwalteter Richtlinien einschränkt, finden Sie unter IAM: Beschränkt die verwalteten Richtlinien, die -Benutzern, -Gruppen oder -Rollen zugeordnet werden können.
Kontrollieren der Berechtigungen zum Erstellen, Aktualisieren und Löschen von Berechtigungen für vom Kunden verwaltete Berechtigungen
Mithilfe von IAMRichtlinien können Sie steuern, wer in Ihrem Bereich kundenverwaltete Richtlinien erstellen, aktualisieren und löschen darf AWS-Konto. Die folgende Liste enthält API Vorgänge, die sich direkt auf das Erstellen, Aktualisieren und Löschen von Richtlinien oder Richtlinienversionen beziehen:
Die API Vorgänge in der obigen Liste entsprechen Aktionen, die Sie mithilfe einer Richtlinie zulassen oder verweigern können, d. h. Berechtigungen, die Sie gewähren können. IAM
Betrachten Sie die folgende Beispielrichtlinie. Sie erteilt einem Benutzer die Berechtigung zum Erstellen, Aktualisieren (d. h. zum Erstellen einer neuen Richtlinienversion), Löschen und Festlegen einer Standardversion für alle vom Kunden verwalteten Richtlinien im AWS-Konto. Die Beispielrichtlinie gestattet dem Benutzer auch das Auflisten und Abrufen von Richtlinien. Informationen zum Erstellen einer Richtlinie mithilfe dieses Beispieldokuments finden Sie unter. JSON Richtlinien mit dem JSON Editor erstellen
Beispielrichtlinie, die das Erstellen, Aktualisieren, Löschen, Auflisten, Abrufen und Einstellen der Standardversion für alle Richtlinien ermöglicht
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:CreatePolicy", "iam:CreatePolicyVersion", "iam:DeletePolicy", "iam:DeletePolicyVersion", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:ListPolicies", "iam:ListPolicyVersions", "iam:SetDefaultPolicyVersion" ], "Resource": "*" } }
Sie können Richtlinien erstellen, die die Verwendung dieser API Operationen so einschränken, dass sie sich nur auf die von Ihnen angegebenen verwalteten Richtlinien auswirken. Sie möchten beispielsweise einem Benutzer die Berechtigung zum Festlegen der Standardversion und Löschen von Richtlinienversionen ausschließlich für bestimmte, vom Kunden verwaltete Richtlinien erteilen. Dazu geben Sie die Richtlinie ARN in dem Resource Element der Richtlinie an, das diese Berechtigungen gewährt.
Das folgende Beispiel zeigt eine Richtlinie, mit der ein Benutzer Richtlinienversionen löschen und die Standardversion festlegen kann. Diese Aktionen sind jedoch nur für vom Kunden verwaltete Richtlinien zulässig, die den Pfad/TEAM-A/ enthalten. Die vom Kunden verwaltete Richtlinie ARN ist im Resource Element der Richtlinie angegeben. (In diesem Beispiel ARN enthält der einen Pfad und einen Platzhalter und entspricht somit allen vom Kunden verwalteten Richtlinien, die den Pfad/TEAM-A/ enthalten). Informationen zum Erstellen einer Richtlinie mithilfe dieses JSON Beispiel-Richtliniendokuments finden Sie unter. Richtlinien mit dem JSON Editor erstellen
Weitere Informationen zur Verwendung von Pfaden in den Namen der von Kunden verwalteten Richtlinien finden Sie unter Anzeigenamen und -pfade.
Beispielrichtlinie, die das Löschen von Richtlinienversionen und das Einstellen der Standardversion nur für bestimmte Richtlinien erlaubt
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:DeletePolicyVersion", "iam:SetDefaultPolicyVersion" ], "Resource": "arn:aws:iam::account-id:policy/TEAM-A/*" } }
Steuern der Berechtigungen für das Anfügen und Trennen von verwalteten Richtlinien
Sie können IAM Richtlinien auch verwenden, um es Benutzern zu ermöglichen, nur mit bestimmten verwalteten Richtlinien zu arbeiten. Sie können sogar steuern, welche Berechtigungen ein Benutzer anderen Prinzipal-Entitäten erteilen kann.
In der folgenden Liste sind API Vorgänge aufgeführt, die sich direkt auf das Anhängen und Trennen verwalteter Richtlinien an und von Prinzipalentitäten beziehen:
Sie können Richtlinien erstellen, die die Verwendung dieser API Operationen so einschränken, dass sie sich nur auf die von Ihnen angegebenen spezifischen verwalteten Richtlinien und/oder Prinzipalentitäten auswirken. Sie möchten beispielsweise einem Benutzer die Berechtigung erteilen, ausschließlich die von Ihnen angegebenen, verwalteten Richtlinien anzufügen. Oder Sie möchten einem Benutzer die Berechtigung erteilen, die verwalteten Richtlinien ausschließlich den von Ihnen angegebenen Prinzipal-Entitäten anzufügen.
Die folgende Beispielrichtlinie ermöglicht es einem Benutzer, verwaltete Richtlinien nur den IAM Gruppen und Rollen zuzuordnen, die den Pfad/TEAM-A/ enthalten. Die Benutzergruppe und die Rolle ARNs sind im Resource Element der Richtlinie angegeben. (In diesem Beispiel ARNs enthalten sie einen Pfad und ein Platzhalterzeichen und entsprechen somit allen IAM Gruppen und Rollen, die den Pfad/TEAM-A/ enthalten). Informationen zum Erstellen einer Richtlinie mithilfe dieses JSON Beispiel-Richtliniendokuments finden Sie unter. Richtlinien mit dem JSON Editor erstellen
Beispielrichtlinie, die es ermöglicht, verwaltete Richtlinien nur bestimmten Benutzergruppen oder Rollen zuzuordnen
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:AttachGroupPolicy", "iam:AttachRolePolicy" ], "Resource": [ "arn:aws:iam::account-id:group/TEAM-A/*", "arn:aws:iam::account-id:role/TEAM-A/*" ] } }
Sie können außerdem die Aktionen im vorherigen Beispiel auf bestimmte Richtlinien einschränken. Das heißt, Sie können steuern, welche Berechtigungen ein Benutzer anderen Prinzipal-Entitäten anfügen kann indem Sie eine Bedingung der Richtlinie hinzufügen.
Im folgenden Beispiel stellt die Bedingung sicher, dass die Berechtigungen AttachGroupPolicy und AttachRolePolicy nur dann zulässig sind, wenn die angefügte Richtlinie mit einer der angegebenen Richtlinien übereinstimmt. Die Bedingung verwendet den iam:PolicyARN Bedingungsschlüssel, um festzulegen, welche Richtlinie oder Richtlinien angefügt werden dürfen. Die folgende Beispielrichtlinie erweitert das vorherige Beispiel. Es ermöglicht einem Benutzer, nur die verwalteten Richtlinien, die den Pfad/TEAM-A/ enthalten, nur den IAM Gruppen und Rollen zuzuordnen, die den Pfad/-A/ TEAM enthalten. Informationen zum Erstellen einer Richtlinie mithilfe dieses JSON Beispiel-Richtliniendokuments finden Sie unter. Richtlinien mit dem JSON Editor erstellen
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:AttachGroupPolicy", "iam:AttachRolePolicy" ], "Resource": [ "arn:aws:iam::account-id:group/TEAM-A/*", "arn:aws:iam::account-id:role/TEAM-A/*" ], "Condition": {"ArnLike": {"iam:PolicyARN": "arn:aws:iam::account-id:policy/TEAM-A/*"} } } }
Diese Richtlinie verwendet den ArnLike-Bedingungsoperator, aber Sie können auch den ArnEquals-Bedingungsoperator verwenden, weil sich diese beiden Bedingungsoperatoren identisch verhalten. Weitere Informationen zu ArnLike und ArnEquals finden Sie unter Bedingungsoperatoren für Amazon Resource Name (ARN) im Abschnitt Bedingungstypen in der Richtinienelementreferenz.
Sie können beispielsweise die Verwendung dieser Aktionen einschränken, sodass nur die von Ihnen angegebenen, verwalteten Richtlinien einbezogen werden. Dazu geben Sie die Richtlinie ARN in dem Condition Element der Richtlinie an, das diese Berechtigungen gewährt. Um beispielsweise den Wert ARN einer vom Kunden verwalteten Richtlinie anzugeben:
"Condition": {"ArnEquals": {"iam:PolicyARN": "arn:aws:iam::123456789012:policy/POLICY-NAME"} }
Sie können auch den Wert ARN einer AWS verwalteten Richtlinie im Condition Element einer Richtlinie angeben. Für ARN eine AWS verwaltete Richtlinie wird ARN anstelle einer Konto-ID der spezielle Alias aws in der Richtlinie verwendet, wie in diesem Beispiel:
"Condition": {"ArnEquals": {"iam:PolicyARN": "arn:aws:iam::aws:policy/AmazonEC2FullAccess"} }
Steuern des Zugriffs auf Ressourcen
Sie können den Zugriff auf Ressourcen mit einer identitätsbasierten oder ressourcenbasierten Richtlinie steuern. Bei einer identitätsbasierten Richtlinie fügen Sie die Richtlinie einer Identität hinzu und geben an, auf welche Ressourcen die Identität zugreifen darf. Bei einer ressourcenbasierten Richtlinie ordnen Sie eine Richtlinie der Ressource zu, die Sie steuern möchten. Sie geben in der Richtlinie an, welche Prinzipale auf die Ressource zugreifen dürfen. Weitere Informationen zu diesen beiden Arten von Richtlinien finden Sie unter Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien.
Weitere Informationen finden in folgenden Ressourcen:
-
Weitere Informationen zum Erstellen einer IAM Richtlinie, die Sie einem Prinzipal zuordnen können, finden Sie unterDefinieren Sie benutzerdefinierte IAM Berechtigungen mit vom Kunden verwalteten Richtlinien.
-
Informationen zum Anhängen einer IAM Richtlinie an einen Prinzipal finden Sie unterHinzufügen und Entfernen von IAM Identitätsberechtigungen.
-
Amazon S3 unterstützt die Verwendung von ressourcenbasierten Richtlinien für die Buckets. Weitere Informationen finden Sie unter Bucket Policy Examples.
Ersteller von Ressourcen haben nicht automatisch Berechtigungen
Wenn Sie sich mit den Root-Benutzer des AWS-Kontos Anmeldeinformationen anmelden, sind Sie berechtigt, alle Aktionen mit Ressourcen durchzuführen, die zu dem Konto gehören. Dies gilt jedoch nicht für IAM Benutzer. IAMEinem Benutzer kann zwar der Zugriff zum Erstellen einer Ressource gewährt werden, aber die Benutzerberechtigungen, auch für diese Ressource, sind auf das beschränkt, was ausdrücklich gewährt wurde. Das bedeutet, dass Sie nicht automatisch berechtigt sind, diese IAM Rolle zu bearbeiten oder zu löschen, nur weil Sie eine Ressource, z. B. eine Rolle, erstellen. Darüber hinaus kann Ihre Berechtigung jederzeit vom Kontoinhaber oder einem anderen Benutzer widerrufen werden, dem der Zugriff auf die Verwaltung Ihrer Berechtigungen gewährt wurde.
Steuern des Zugriffs auf Prinzipale in einem bestimmten Konto
Sie können IAM Benutzern in Ihrem eigenen Konto direkt Zugriff auf Ihre Ressourcen gewähren. Wenn Benutzer aus einem anderen Konto Zugriff auf Ihre Ressourcen benötigen, können Sie eine IAM Rolle erstellen. Eine Rolle ist eine Entität, die Berechtigungen enthält, aber nicht mit einem bestimmten Benutzer verknüpft ist. Benutzer von anderen Konten können dann die Rolle annehmen und entsprechend den Berechtigungen, die Sie der Rolle zugeordnet haben, auf Ressourcen zugreifen. Weitere Informationen finden Sie unter Zugriff für einen IAM Benutzer in einem anderen AWS-Konto , den Sie besitzen.
Anmerkung
Einige Dienste unterstützen ressourcenbasierte Richtlinien, wie unter beschrieben Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien (z. B. Amazon S3SNS, Amazon und AmazonSQS). Für diese Services besteht eine Alternative zur Verwendung von Rollen darin, eine Richtlinie an die Ressource (Bucket, Thema oder Warteschlange) anzuhängen, die Sie freigeben möchten. In der ressourcenbasierten Richtlinie kann das AWS Konto angegeben werden, das über Berechtigungen für den Zugriff auf die Ressource verfügt.
