Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Steuern des Zugriffs auf AWS-Ressourcen mithilfe von Richtlinien
Sie können eine Richtlinie zur Kontrolle des Zugriffs auf Ressourcen innerhalb von IAM oder AWS einsetzen.
Zur Nutzung einer Richtlinie zur Zugriffssteuerung in AWS müssen Sie wissen, wie AWS Zugriff gewährt. AWS besteht aus Sammlungen von Ressourcen. Ein IAM-Benutzer ist eine Ressource. Ein Amazon S3-Bucket ist eine Ressource. Wenn Sie die AWS-API, die AWS CLI oder die AWS Management Console verwenden, um eine Operation durchzuführen (beispielsweise Erstellen eines Benutzers), senden Sie eine Anfrage für die Operation. Ihre Anfrage gibt eine Aktion, eine Ressource, eine Prinzipal-Entität (Gruppe oder Rolle) und ein Prinzipalkonto an und enthält alle erforderlichen Anfrageinformationen. Diese Informationen stellen den Kontext bereit.
AWS prüft dann, ob Sie (der Prinzipal) authentifiziert (angemeldet) wurden und autorisiert (Berechtigung) sind, die angegebene Aktion für die angegebene Ressource durchzuführen. Während der Autorisierung überprüft AWS alle Richtlinien, die für den Kontext Ihrer Anforderung gelten. Die meisten Richtlinien werden in AWS als JSON-Dokumente gespeichert und geben die Berechtigungen für Prinzipal-Entitäten an. Weitere Informationen zu diesen Richtlinienarten und ihrer Verwendung finden Sie unter Richtlinien und Berechtigungen in AWS Identity and Access Management.
AWS autorisiert die Anforderung nur, wenn sämtliche Teile der Anforderung gemäß der Richtlinien zulässig sind. Eine Abbildung dieses Prozesses finden Sie unter Funktionsweise von IAM. Weitere Informationen darüber, wie AWS bestimmt, ob eine Anfrage zulässig ist, finden Sie unter Auswertungslogik für Richtlinien.
Wenn Sie eine IAM-Richtlinie erstellen, können Sie den Zugriff auf Folgendes steuern:
-
Prinzipal – Legen Sie fest, welche Aktionen die Person, die die Anfrage stellt (der Prinzipal), durchführen darf.
-
IAM-Identitäten – Steuern Sie, auf welche IAM-Identitäten (IAM-Gruppen, -Benutzer und -Rollen) zugegriffen werden kann und wie.
-
IAM-Richtlinien – Legen Sie fest, wer vom Benutzer verwaltete Richtlinien erstellen, bearbeiten und löschen und wer verwaltete Richtlinien anfügen und entfernen kann.
-
AWS-Ressourcen – Legen sie fest, wer über eine identitätsbasierte oder ressourcenbasierte Richtlinie Zugriff auf Ressourcen hat.
-
AWS-Konten – Legen Sie fest, ob eine Anfrage nur für Mitglieder eines bestimmten Kontos zulässig ist.
Mit Richtlinien können Sie festlegen, welche Benutzer auf AWS-Ressourcen zugreifen können und welche Aktionen sie für diese Ressourcen ausführen dürfen. Jeder IAM-Benutzer beginnt ohne Berechtigungen. Mit anderen Worten: Benutzer können standardmäßig nichts tun, nicht einmal ihre eigenen Zugriffsschlüssel anzeigen. Um einem Benutzer eine Berechtigung für eine Aktion zu erteilen, können Sie diese zum Benutzer hinzufügen (Sie ordnen dem Benutzer eine Richtlinie zu). Alternativ können Sie den Benutzer einer Gruppe hinzufügen, der die gewünschte Berechtigung bereits zugewiesen wurde.
Sie können beispielsweise einem Benutzer die Berechtigung gewähren, die eigenen Zugriffsschlüssel aufzulisten. Sie können diese Berechtigung auch erweitern, sodass jeder Benutzer die eigenen Schlüssel auch erstellen, aktualisieren und löschen kann.
Wenn Sie einer Gruppe Berechtigungen geben, erhalten alle Benutzer in dieser Gruppe diese Berechtigungen. Sie können beispielsweise der Administratorengruppe die Berechtigung zum Ausführen beliebiger IAM-Aktionen für beliebige AWS-Konto-Ressourcen geben. Ein weiteres Beispiel: Sie können der Gruppe Managers die Berechtigung zum Beschreiben der Amazon-EC2-Instances des AWS-Konto geben.
Informationen zum Delegieren grundlegender Berechtigungen an Ihre Benutzer, IAM-Gruppen und Rollen finden Sie unter Erforderliche Berechtigungen für den Zugriff auf IAM-Ressourcen. Weitere Beispiele für Richtlinien, die grundlegende Berechtigungen veranschaulichen, finden Sie unter Beispielrichtlinien für die Verwaltung von IAM-Ressourcen.
Zugriffssteuerung für Prinzipale
Sie können mit Richtlinien steuern, welche Aktionen die Person (der Prinzipal), von der die Anfrage stammt, ausführen darf. Dazu müssen Sie eine identitätsbasierte Richtlinie an die Identität dieser Person (Benutzer, Gruppe von Benutzern oder Rolle) anfügen. Sie können außerdem eine Berechtigungsgrenze zum Festlegen der maximalen Berechtigungen, die eine Entität (Benutzer oder Rolle) haben kann, verwenden.
Nehmen Sie zum Beispiel an, dass der Benutzer Zhang Wei vollen Zugriff auf CloudWatch, Amazon DynamoDB, Amazon EC2 und Amazon S3 haben soll. In diesem Fall erstellen Sie zwei verschiedene Richtlinien, die Sie später aufbrechen können, wenn Sie einen Berechtigungssatz für einen anderen Benutzer benötigen. Alternativ können Sie beide Berechtigungen in einer einzigen Richtlinie vereinen und diese Richtlinie anschließend dem IAM-Benutzer namens Zhang Wei zuweisen. Sie können auch eine Richtlinie zu einer Gruppe zuweisen, der Zhang angehört, oder einer Rolle zuordnen, die Zhang annehmen kann. Wenn Zhang dann die Inhalte eines S3-Buckets anzeigt, werden die Anfragen zugelassen. Wenn der Benutzer versucht, einen neuen IAM-Bucket zu erstellen, wird die Anfrage aufgrund fehlender Berechtigung abgelehnt.
Sie können eine Berechtigungsgrenze für Zhang verwenden, um sicherzustellen, dass er nie Zugriff auf den S3-Bucket amzn-s3-demo-bucket1 erhält. Dazu bestimmen Sie die maximalen Berechtigungen, die Zhang erhalten soll. In diesem Fall steuern Sie, was er unter Verwendung seiner Berechtigungsrichtlinien machen kann. Hier kümmert es Sie nur, dass er nicht auf den vertraulichen Bucket zugreift. Sie verwenden deshalb die folgende Richtlinie, um die Grenze für Zhang zu definieren und alle AWS-Aktionen für Amazon S3 und einige andere Services zuzulassen, aber den Zugriff auf den amzn-s3-demo-bucket1-S3-Bucket zu verweigern. Da die Berechtigungsgrenze keine IAM-Aktionen zulässt, verhindert sie, dass Zhang seine Grenze (oder die eines anderen Benutzers) löscht.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PermissionsBoundarySomeServices", "Effect": "Allow", "Action": [ "cloudwatch:*", "dynamodb:*", "ec2:*", "s3:*" ], "Resource": "*" }, { "Sid": "PermissionsBoundaryNoConfidentialBucket", "Effect": "Deny", "Action": "s3:*", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1", "arn:aws:s3:::amzn-s3-demo-bucket1/*" ] } ] }
Wenn Sie eine solche Richtlinie als Berechtigungsgrenze für einen Benutzer zuweisen, denken Sie daran, dass sie keine Berechtigungen gewährt. Sie legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen über Berechtigungsgrenzen finden Sie unter Berechtigungsgrenzen für IAM-Entitäten.
Weitere Informationen zu den oben genannten Verfahren finden Sie in diesen Ressourcen:
-
Weitere Informationen zum Erstellen einer IAM-Richtlinie, die Sie zu einem Prinzipal zuordnen können, finden Sie unter Benutzerdefinierte IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien definieren.
-
Weitere Informationen zum Hinzufügen einer IAM-Richtlinie zu einem Prinzipal finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen.
-
Ein Beispielrichtlinie zum Gewähren eines Vollzugriffs auf EC2 finden Sie unter Amazon EC2: Gewährt EC2-Vollzugriff innerhalb einer bestimmten Region programmatisch und in der Konsole.
-
Zum Gewähren eines Lesezugriffs auf einen S3-Bucket verwenden Sie die ersten beiden Anweisungen der folgenden Beispielrichtlinie: Amazon S3: Gewährt Lese- und Schreibzugriff auf Objekte in einem S3-Bucket programmgesteuert und in der Konsole.
-
Eine Beispielrichtlinie, mit der Benutzer ihre Anmeldeinformationen wie ihr Konsolenkennwort, ihre programmgesteuerten Zugriffsschlüssel und ihre MFA-Geräte festlegen können, finden Sie unter AWS: Ermöglicht es MFA-authentifizierten IAM-Benutzern, ihr eigenen Anmeldeinformationen auf der Seite Sicherheits-Anmeldeinformationen zu verwalten.
Steuern des Zugriffs auf Identitäten
Sie können IAM-Richtlinien verwenden, um zu steuern, was Ihre Benutzer mit einer Identität machen können, indem Sie eine Richtlinie erstellen, die Sie über eine Gruppe allen Benutzern hinzufügen. Dazu erstellen Sie eine Richtlinie, aus denen die Aktionen hervorgehen, die für eine Identität durchgeführt werden dürfen, oder die festlegt, wer zugriffsberechtigt ist.
Sie können beispielsweise eine Gruppe namens AllUsers anlegen und diese Gruppe dann allen Benutzern zuordnen. Beim Erstellen der Benutzergruppe können Sie allen Benutzern Zugriff darauf gewähren, ihre Anmeldeinformationen wie im vorherigen Abschnitt beschrieben festzulegen. Anschließend können Sie eine Richtlinie erstellen, die einen Zugriff zum Ändern der Gruppe verweigert, sofern der Benutzername nicht Bestandteil der Richtlinienbedingung ist. Aber dieser Teil der Richtlinie verweigert nur jenen Benutzern den Zugriff, die nicht aufgelistet sind. Sie müssen Berechtigungen einschließen, damit alle Gruppenmitglieder Gruppenverwaltungsaktionen durchführen können. Anschließend weisen Sie diese Richtlinie der Gruppe zu, sodass sie für alle Benutzer gilt. Wenn dann ein Benutzer, der nicht in der Richtlinie angegeben ist, versucht, die Gruppe zu ändern, wird die Anfrage abgelehnt.
So erstellen Sie diese Richtlinie mit dem visuellen Editor
Melden Sie sich bei der AWS Management Console an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/
. -
Wählen Sie im Navigationsbereich auf der linken Seite Policies (Richtlinien).
Wenn Sie zum ersten Mal Policies (Richtlinien) auswählen, erscheint die Seite Welcome to Managed Policies (Willkommen bei verwalteten Richtlinien). Wählen Sie Get Started.
-
Wählen Sie Create Policy (Richtlinie erstellen) aus.
-
Wählen Sie im Bereich Policy editor (Richtlinien-Editor) die Option Visual aus.
-
Wählen Sie unter Select a service (Einen Service auswählen) die Option IAM aus.
-
Geben Sie im Feld Actions allowed (Zulässige Aktionen)
groupin das Suchfeld ein. Der visuelle Editor zeigt alle IAM-Aktionen, die das Wortgroupenthalten. Aktivieren Sie alle Kontrollkästchen.. -
Wählen Sie Resources (Ressourcen) aus, um die Ressourcen für Ihre Richtlinie festzulegen. Basierend auf den ausgewählten Aktionen sollten Sie die Ressourcentypen group (Gruppe) und user (Benutzer) sehen.
-
group (Gruppe) – Wählen Sie Add ARNs (ARNs hinzufügen) aus. Wählen Sie für Resource in (Ressource in) die Option Any account (Beliebiges Konto) aus. Aktivieren Sie das Kontrollkästchen Beliebiger Gruppenname mit Pfad und geben Sie dann den Namen der Benutzergruppe
AllUsersein. Wählen Sie dann Add ARNs (ARNs hinzufügen) aus. -
Benutzer – Aktivieren Sie das Kontrollkästchen neben Alle in diesem Konto.
Eine der Aktionen, die Sie ausgewählt haben,
ListGroups, unterstützt die Verwendung spezifischer Ressourcen nicht. Sie müssen für diese Aktion nicht All resources (Alle Ressourcen) auswählen. Beim Speichern oder Anzeigen der Richtlinie im JSON-Editor sehen Sie, dass IAM automatisch einen neuen Berechtigungsblock erstellt, durch den diese Aktion für alle Ressourcen zugelassen wird. -
-
Zum Hinzufügen eines weiteren Berechtigungsblocks wählen Sie Add more permissions (Weitere Berechtigungen hinzufügen) aus.
-
Wählen Sie Select a service (Einen Service auswählen) und dann IAM aus.
-
Wählen Sie Actions allowed (Zulässige Aktionen) und dann Switch to deny permissions (Zu verweigerten Berechtigungen wechseln) aus. Wenn Sie dies durchführen, wird der gesamte Block verwendet, um Berechtigungen zu verweigern.
-
Geben Sie in das Suchfeld
groupein. Die visuelle Editor zeigt alle IAM-Aktionen an, die das Wortgroupenthalten. Aktivieren Sie die Kontrollkästchen neben den folgenden Aktionen:-
CreateGroup
-
DeleteGroup
-
RemoveUserFromGroup
-
AttachGroupPolicy
-
DeleteGroupPolicy
-
DetachGroupPolicy
-
PutGroupPolicy
-
UpdateGroup
-
-
Wählen Sie Resources (Ressourcen) aus, um die Ressourcen für Ihre Richtlinie festzulegen. Basierend auf den Aktionen, die Sie ausgewählt haben, sollten Sie den Ressourcentyp group (Gruppe) sehen. Wählen Sie Add ARNs (ARNs hinzufügen) aus. Wählen Sie für Resource in (Ressource in) die Option Any account (Beliebiges Konto) aus. Geben Sie für any group Name With Path (Jeder Gruppenname mit Pfad) den Gruppennamen
AllUsersein. Wählen Sie dann Add ARNs (ARNs hinzufügen) aus. -
Wählen Sie Request conditions - optional (Anforderungsbedingungen - optional) und anschließend Add another condition (Weitere Bedingung hinzufügen). Füllen Sie das Formular mit den folgenden Werten aus:
-
Condition key (Bedingungsschlüssel) – Wählen Sie aws:username aus.
-
Qualifier (Qualifizierer) – Wählen Sie Default (Standard)
-
Operator – Wählen Sie StringNotEquals.
-
Value (Wert) – Geben Sie
srodriguezein und wählen Sie dann Add (Hinzufügen) aus, um einen weiteren Wert hinzuzufügen. Geben Siemjacksonein und wählen Sie dann Add (Hinzufügen) aus, um einen weiteren Wert hinzuzufügen. Geben Sieadesaiein und wählen Sie Add condition (Bedingung hinzufügen).
Diese Bedingung stellt sicher, dass der Zugriff auf die angegebenen Gruppenverwaltungsaktionen verweigert wird, wenn der Benutzer, der den Aufruf durchführt, nicht in der Liste enthalten ist. Da dadurch die Berechtigung explizit verweigert wird, wird der vorherige Block überschrieben, der den Benutzern das Aufrufen der Aktionen gestattete. Benutzern auf der Liste wird der Zugriff nicht verweigert. Sie erhalten eine Berechtigung im ersten Block, sodass sie die Gruppe vollständig verwalten können.
-
-
Wählen Sie danach Next aus.
Anmerkung
Sie können jederzeit zwischen den Editoroptionen Visual und JSON wechseln. Wenn Sie jedoch Änderungen vornehmen oder in der Editoroption Visual Next (Weiter) wählen, strukturiert IAM Ihre Richtlinie möglicherweise um, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter Umstrukturierung einer Richtlinie.
-
Geben Sie auf der Seite Review and create (Überprüfen und erstellen) für Policy Name (Richtlinienname)
LimitAllUserGroupManagementein. Geben Sie für Description (Beschreibung) Folgendes ein:Allows all users read-only access to a specific user group, and allows only specific users access to make changes to the user group. Überprüfen Sie Permissions defined in this policy (In dieser Richtlinie definierte Berechtigungen), um sicherzustellen, dass Sie die beabsichtigten Berechtigungen erteilt haben. Wählen Sie dann Create policy (Richtlinie erstellen) aus, um Ihre neue Richtlinie zu speichern. -
Fügen Sie die Richtlinie zu Ihrer Gruppe hinzu. Weitere Informationen finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen.
Alternativ können Sie dieselbe Richtlinie mit diesem Beispieldokument einer JSON-Richtlinie erstellen. So zeigen Sie diese JSON-Richtlinie finden Sie unter : Ermöglicht spezifischen IAM-Benutzern das Verwalten einer Gruppe programmgesteuert und in der Konsole. Detaillierte Anweisungen zum Erstellen einer Richtlinie mithilfe eines JSON-Dokuments finden Sie unter Erstellen von Richtlinien mit dem JSON-Editor.
Steuern des Zugriffs auf Richtlinien
Sie können steuern, wie Ihre Benutzer verwaltete AWS-Richtlinien anwenden dürfen. Zu diesem Zweck weisen Sie diese Richtlinie all Ihren Benutzern zu. Idealerweise können Sie dies durch die Verwendung einer Gruppe durchführen.
Sie können beispielsweise eine Richtlinie erstellen, die es Benutzern erlaubt, nur die verwalteten AWS-Richtlinien IAMUserChangePassword
Für vom Kunden verwaltete Richtlinien können Sie steuern, wer diese Richtlinien erstellen, aktualisieren und löschen darf. Sie können steuern, wer Richtlinien an Prinzipal-Entitäten (IAM-Gruppen, Benutzer und Rollen) anfügen und von diesen trennen kann. Sie können auch steuern, welche Richtlinien ein Benutzer welchen Entitäten hinzufügen oder von diesen trennen kann.
So können Sie beispielsweise einem Kontoadministrator Berechtigungen zum Erstellen, Aktualisieren und Löschen von Richtlinien erteilen. Anschließend erteilen Sie einem Teamleiter oder einem anderen Administrator mit eingeschränkten Befugnissen die Berechtigungen, um diese Richtlinien den vom Administrator mit eingeschränkten Befugnissen verwalteten Prinzipal-Entitäten anzufügen und von diesen zu trennen.
Weitere Informationen finden in folgenden Ressourcen:
-
Weitere Informationen zum Erstellen einer IAM-Richtlinie, die Sie zu einem Prinzipal zuordnen können, finden Sie unter Benutzerdefinierte IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien definieren.
-
Weitere Informationen zum Hinzufügen einer IAM-Richtlinie zu einem Prinzipal finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen.
-
Ein Beispiel für eine Richtlinie, die die Verwendung verwalteter Richtlinien einschränkt, finden Sie unter IAM: Beschränkt die verwalteten Richtlinien, die -Benutzern, -Gruppen oder -Rollen zugeordnet werden können.
Kontrollieren der Berechtigungen zum Erstellen, Aktualisieren und Löschen von Berechtigungen für vom Kunden verwaltete Berechtigungen
Sie können mit IAM-Richtlinien steuern, wer vom Kunden verwaltete Richtlinien in Ihrem AWS-Konto erstellen, aktualisieren und löschen darf. Die folgende Liste enthält API-Operationen, die speziell für das Erstellen, Aktualisieren und Löschen von Richtlinien oder Richtlinienversionen vorgesehen sind:
Die API-Operationen in der vorherigen Liste entsprechen Aktionen, die Sie zulassen oder verweigern können, das heißt, Berechtigungen, die Sie mit mithilfe einer IAM-Richtlinie erteilen können.
Betrachten Sie die folgende Beispielrichtlinie. Sie erteilt einem Benutzer die Berechtigung zum Erstellen, Aktualisieren (d. h. zum Erstellen einer neuen Richtlinienversion), Löschen und Festlegen einer Standardversion für alle vom Kunden verwalteten Richtlinien im AWS-Konto. Die Beispielrichtlinie gestattet dem Benutzer auch das Auflisten und Abrufen von Richtlinien. Informationen zum Erstellen einer Richtlinie mit diesem Beispiel-JSON-Richtliniendokument finden Sie unter Erstellen von Richtlinien mit dem JSON-Editor.
Beispielrichtlinie, die das Erstellen, Aktualisieren, Löschen, Auflisten, Abrufen und Einstellen der Standardversion für alle Richtlinien ermöglicht
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:CreatePolicy", "iam:CreatePolicyVersion", "iam:DeletePolicy", "iam:DeletePolicyVersion", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:ListPolicies", "iam:ListPolicyVersions", "iam:SetDefaultPolicyVersion" ], "Resource": "*" } }
Sie können Richtlinien erstellen, die die Verwendung dieser API-Operationen auf die von Ihnen angegebenen, verwalteten Richtlinien beschränken. Sie möchten beispielsweise einem Benutzer die Berechtigung zum Festlegen der Standardversion und Löschen von Richtlinienversionen ausschließlich für bestimmte, vom Kunden verwaltete Richtlinien erteilen. Geben Sie hierzu den ARN der Richtlinie im Element Resource der Richtlinie an, die diese Berechtigungen erteilt
Das folgende Beispiel zeigt eine Richtlinie, mit der ein Benutzer Richtlinienversionen löschen und die Standardversion festlegen kann. Diese Aktionen sind jedoch nur für die vom Kunden verwalteten Richtlinien erlaubt, die den Pfad /TEAM-A/ enthalten. Der ARN der kundenverwalteten Richtlinie ist im Element Resource der Richtlinie angegeben. (In diesem Beispiel enthält der ARN einen Pfad und ein Platzhalterzeichen und stimmt so mit allen kundenverwalteten Richtlinien überein, die den Pfad /TEAM-A/ enthalten). Informationen zum Erstellen einer Richtlinie mit diesem Beispiel-JSON-Richtliniendokument finden Sie unter Erstellen von Richtlinien mit dem JSON-Editor.
Weitere Informationen zur Verwendung von Pfaden in den Namen der von Kunden verwalteten Richtlinien finden Sie unter Anzeigenamen und -pfade.
Beispielrichtlinie, die das Löschen von Richtlinienversionen und das Einstellen der Standardversion nur für bestimmte Richtlinien erlaubt
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:DeletePolicyVersion", "iam:SetDefaultPolicyVersion" ], "Resource": "arn:aws:iam::account-id:policy/TEAM-A/*" } }
Steuern der Berechtigungen für das Anfügen und Trennen von verwalteten Richtlinien
Sie können auch IAM-Richtlinien verwenden, damit Benutzer nur mit bestimmten verwalteten Richtlinien arbeiten können. Sie können sogar steuern, welche Berechtigungen ein Benutzer anderen Prinzipal-Entitäten erteilen kann.
In der folgenden Liste werden API-Operationen aufgeführt, die sich speziell auf das Anfügen und Trennen von verwalteten Richtlinien an und von Prinzipal-Entitäten beziehen:
Sie können Richtlinien erstellen, die die Verwendung dieser API-Operationen auf die von Ihnen angegebenen, verwalteten Richtlinien und/oder Prinzipal-Entitäten beschränken. Sie möchten beispielsweise einem Benutzer die Berechtigung erteilen, ausschließlich die von Ihnen angegebenen, verwalteten Richtlinien anzufügen. Oder Sie möchten einem Benutzer die Berechtigung erteilen, die verwalteten Richtlinien ausschließlich den von Ihnen angegebenen Prinzipal-Entitäten anzufügen.
Mit der folgenden Beispielrichtlinie kann ein Benutzer verwaltete Richtlinien nur den IAM-Gruppen und -Rollen zuordnen, die den Pfad /TEAM-A/ enthalten. Die Gruppen- und Rollen-ARNs sind im Resource-Element der Richtlinie angegeben. (In diesem Beispiel enthalten die ARNs einen Pfad und ein Platzhalterzeichen und stimmen somit mit allen IAM-Gruppen und -Rollen überein, die den Pfad /TEAM-A/ enthalten). Informationen zum Erstellen einer Richtlinie mit diesem Beispiel-JSON-Richtliniendokument finden Sie unter Erstellen von Richtlinien mit dem JSON-Editor.
Beispielrichtlinie, die es ermöglicht, verwaltete Richtlinien nur bestimmten Benutzergruppen oder Rollen zuzuordnen
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:AttachGroupPolicy", "iam:AttachRolePolicy" ], "Resource": [ "arn:aws:iam::account-id:group/TEAM-A/*", "arn:aws:iam::account-id:role/TEAM-A/*" ] } }
Sie können außerdem die Aktionen im vorherigen Beispiel auf bestimmte Richtlinien einschränken. Das heißt, Sie können steuern, welche Berechtigungen ein Benutzer anderen Prinzipal-Entitäten anfügen kann indem Sie eine Bedingung der Richtlinie hinzufügen.
Im folgenden Beispiel stellt die Bedingung sicher, dass die Berechtigungen AttachGroupPolicy und AttachRolePolicy nur dann zulässig sind, wenn die angefügte Richtlinie mit einer der angegebenen Richtlinien übereinstimmt. Die Bedingung verwendet den iam:PolicyARN Bedingungsschlüssel, um festzulegen, welche Richtlinie oder Richtlinien angefügt werden dürfen. Die folgende Beispielrichtlinie erweitert das vorherige Beispiel. Dadurch kann ein Benutzer nur die verwalteten Richtlinien, die den Pfad /TEAM-A/ enthalten, nur den IAM-Gruppen und -Rollen zuordnen, die den Pfad /TEAM-A/ enthalten. Informationen zum Erstellen einer Richtlinie mit diesem Beispiel-JSON-Richtliniendokument finden Sie unter Erstellen von Richtlinien mit dem JSON-Editor.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:AttachGroupPolicy", "iam:AttachRolePolicy" ], "Resource": [ "arn:aws:iam::account-id:group/TEAM-A/*", "arn:aws:iam::account-id:role/TEAM-A/*" ], "Condition": {"ArnLike": {"iam:PolicyARN": "arn:aws:iam::account-id:policy/TEAM-A/*"} } } }
Diese Richtlinie verwendet den ArnLike-Bedingungsoperator, aber Sie können auch den ArnEquals-Bedingungsoperator verwenden, weil sich diese beiden Bedingungsoperatoren identisch verhalten. Weitere Informationen zu ArnLike und ArnEquals finden Sie unter Bedingungsoperatoren für Amazon-Ressourcennamen (ARN) im Abschnitt Bedingungstypen in der Richtinienelementreferenz.
Sie können beispielsweise die Verwendung dieser Aktionen einschränken, sodass nur die von Ihnen angegebenen, verwalteten Richtlinien einbezogen werden. Geben Sie hierzu den ARN der Richtlinie im Element Condition der Richtlinie an, die diese Berechtigungen erteilt Wenn Sie beispielsweise den ARN einer vom Kunden verwalteten Richtlinie angeben möchten:
"Condition": {"ArnEquals": {"iam:PolicyARN": "arn:aws:iam::123456789012:policy/POLICY-NAME"} }
Sie können auch den ARN einer von AWS verwalteten Richtlinie im Element Condition einer Richtlinie angeben. Der ARN einer von AWS verwalteten Richtlinie benutzt den besonderen Alias aws im ARN der Richtlinie anstelle der Konto-ID, wie in diesem Beispiel dargestellt:
"Condition": {"ArnEquals": {"iam:PolicyARN": "arn:aws:iam::aws:policy/AmazonEC2FullAccess"} }
Steuern des Zugriffs auf Ressourcen
Sie können den Zugriff auf Ressourcen mit einer identitätsbasierten oder ressourcenbasierten Richtlinie steuern. Bei einer identitätsbasierten Richtlinie fügen Sie die Richtlinie einer Identität hinzu und geben an, auf welche Ressourcen die Identität zugreifen darf. Bei einer ressourcenbasierten Richtlinie ordnen Sie eine Richtlinie der Ressource zu, die Sie steuern möchten. Sie geben in der Richtlinie an, welche Prinzipale auf die Ressource zugreifen dürfen. Weitere Informationen zu diesen beiden Arten von Richtlinien finden Sie unter Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien.
Weitere Informationen finden in folgenden Ressourcen:
-
Weitere Informationen zum Erstellen einer IAM-Richtlinie, die Sie zu einem Prinzipal zuordnen können, finden Sie unter Benutzerdefinierte IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien definieren.
-
Weitere Informationen zum Hinzufügen einer IAM-Richtlinie zu einem Prinzipal finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen.
-
Amazon S3 unterstützt die Verwendung von ressourcenbasierten Richtlinien für die Buckets. Weitere Informationen finden Sie unter Bucket Policy Examples.
Ersteller von Ressourcen haben nicht automatisch Berechtigungen
Wenn Sie sich mit den Root-Benutzer des AWS-Kontos-Anmeldeinformationen anmelden, sind Sie berechtigt, jede beliebige Aktion für eine Ressource durchzuführen, die zum Konto gehört. Dies gilt jedoch nicht für IAM-Benutzer. Einem IAM-Benutzer kann der Zugriff zum Erstellen einer Ressource gewährt werden, aber die Berechtigungen des Benutzers, selbst für diese Ressource, sind darauf beschränkt, was explizit erteilt wurde. Das bedeutet: Nur weil Sie eine Ressource, beispielsweise eine IAM-Rolle, erstellen, sind Sie nicht automatisch berechtigt, diese Rolle zu bearbeiten oder zu löschen. Darüber hinaus kann Ihre Berechtigung jederzeit vom Kontoinhaber oder einem anderen Benutzer widerrufen werden, dem der Zugriff auf die Verwaltung Ihrer Berechtigungen gewährt wurde.
Steuern des Zugriffs auf Prinzipale in einem bestimmten Konto
Sie können direkt in Ihrem eigenen Konto IAM-Benutzern Zugriff auf Ihre Ressourcen gewähren. Wenn Benutzer eines anderen Kontos Zugriff auf Ihre Ressourcen benötigen, können Sie eine IAM-Rolle erstellen. Eine Rolle ist eine Entität, die Berechtigungen enthält, aber nicht mit einem bestimmten Benutzer verknüpft ist. Benutzer von anderen Konten können dann die Rolle annehmen und entsprechend den Berechtigungen, die Sie der Rolle zugeordnet haben, auf Ressourcen zugreifen. Weitere Informationen finden Sie unter Zugriff für einen IAM-Benutzer auf ein anderes AWS-Konto gewähren, das Sie besitzen.
Anmerkung
Einige Services unterstützen ressourcenbasierte Richtlinien wie in Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien beschrieben (wie Amazon S3, Amazon SNS und Amazon SQS). Für diese Services besteht eine Alternative zur Verwendung von Rollen darin, eine Richtlinie an die Ressource (Bucket, Thema oder Warteschlange) anzuhängen, die Sie freigeben möchten. In der ressourcenbasierten Richtlinie kann das AWS-Konto angegeben werden, das die Berechtigung zum Zugriff auf die Ressource hat.
