Auswahl zwischen verwalteten Richtlinien und Inline-Richtlinien - AWS Identitäts- und Zugriffsverwaltung
Erste Schritte mit verwalteten RichtlinienVerwenden von eingebundenen Richtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Auswahl zwischen verwalteten Richtlinien und Inline-Richtlinien

Berücksichtigen Sie Ihre Anwendungsfälle, wenn Sie zwischen verwalteten und Inline-Richtlinien entscheiden. In den meisten Fällen empfehlen wir, dass Sie verwaltete Richtlinien anstelle von eingebundenen Richtlinien verwenden.

Anmerkung

Sie können sowohl verwaltete als auch Inline-Richtlinien zusammen verwenden, um gemeinsame und eindeutige Berechtigungen für eine Prinzipal-Entität zu definieren.

Verwaltete Richtlinien bieten die folgenden Funktionen:

Wiederverwendbarkeit

Eine einzelne verwaltete Richtlinie kann an mehrere Auftraggeber-Entitäten (Benutzer, Gruppen und Rollen) angefügt werden. Sie können eine Bibliothek mit Richtlinien erstellen, die für Ihr AWS-Konto nützliche Berechtigungen definiert und diese Richtlinien dann an die Prinzipal-Entitäten anfügen.

Zentrale Änderungsverwaltung

Wenn Sie eine verwaltete Richtlinie ändern, wird die Änderung auf alle Auftraggeber-Entitäten angewendet, an die die Richtlinie angefügt ist. Wenn Sie beispielsweise die Berechtigung für eine neue AWS-API hinzufügen möchten, können Sie eine vom Kunden verwaltete Richtlinie aktualisieren oder eine von AWS verwaltete Richtlinie zuordnen, um die Berechtigung hinzuzufügen. Bei Verwendung einer von AWS verwalteten Richtlinie wird diese von AWS aktualisiert. Bei der Aktualisierung einer verwalteten Richtlinie werden die Änderungen auf alle Prinzipal-Entitäten angewendet, denen die verwaltete Richtlinie angefügt ist. Im Gegensatz dazu müssen Sie zum Ändern einer Inline-Richtlinie jede Identität einzeln bearbeiten, die die Inline-Richtlinie enthält. Wenn beispielsweise eine Gruppe und eine Rolle dieselbe Inline-Richtlinie enthalten, müssen Sie beide Prinzipal-Entitäten individuell bearbeiten, um diese Richtlinie zu ändern.

Versioning und Rollback

Wenn Sie eine kundenverwaltete Richtlinie ändern, wird die vorhandene Richtlinie nicht von der geänderten Richtlinie überschrieben. IAM erstellt stattdessen eine neue Version der verwalteten Richtlinie. IAM speichert bis zu fünf Versionen Ihrer vom Kunden verwalteten Richtlinien. Sie können Richtlinienversionen verwenden, um eine frühere Version einer Richtlinie wiederherzustellen, sofern dies erforderlich ist.

Anmerkung

Eine Richtlinienversion ist nicht mit dem Richtlinienelement Version identisch. Das Richtlinienelement Version wird innerhalb einer Richtlinie verwendet und gibt die Version der Richtliniensprache an. Weitere Informationen zu den Richtlinienversionen finden Sie unter Versioning von IAM-Richtlinien. Weitere Informationen zum Richtlinienelement Version finden Sie unter IAM-JSON-Richtlinienelemente: Version.

Delegieren der Berechtigungsverwaltung

Sie können Benutzern in Ihrem AWS-Konto die Berechtigung zum Anfügen und Trennen von Richtlinien gewähren, während Sie weiterhin die Steuerung über die in diesen Richtlinien definierten Berechtigungen beibehalten. Sie können einige Benutzer als Administratoren mit vollständigen Rechten bestimmen, d. h. Administratoren, die Richtlinien erstellen, aktualisieren und löschen können. Anschließend können Sie andere Benutzer als Administratoren mit eingeschränkten Rechten bestimmen. Dies bedeutet, dass Administratoren zwar Richtlinien an andere Prinzipal-Entitäten anfügen können, aber nur die Richtlinien, für die Sie ihnen die Berechtigungen zum Anfügen erteilt haben.

Weitere Informationen zum Delegieren der Berechtigungsverwaltung finden Sie unter Steuern des Zugriffs auf Richtlinien.

Größere Zeichenbeschränkungen für Richtlinien

Die maximale Zeichengrößenbeschränkung für verwaltete Richtlinien ist größer als die Zeichenbeschränkung für für Gruppen von Inline-Richtlinien. Wenn Sie die Zeichengrößenbeschränkung der eingebundenen Richtlinie erreichen, können Sie weitere IAM-Gruppen erstellen und die verwaltete Richtlinie der Gruppe zuweisen.

Weitere Informationen zu Kontingenten und Limits finden Sie unter IAMund AWS STS Kontingente.

Automatische Aktualisierungen für die von AWS verwalteten Richtlinien

AWS behält die von AWS verwalteten Richtlinien bei und aktualisiert sie bei Bedarf (z. B. zum Hinzufügen von Berechtigungen für neue AWS-Services), ohne dass Sie Änderungen vornehmen müssen. Die Aktualisierungen werden automatisch auf die Auftraggeber-Entitäten angewendet, an die Sie die von AWS verwaltete Richtlinie angefügt haben.

Erste Schritte mit verwalteten Richtlinien

Es wird empfohlen, Richtlinien zu verwenden, die die geringsten Rechte gewähren, d. h. nur die für die Durchführung einer Aufgabe erforderlichen Berechtigungen zu gewähren. Die sicherste Methode, die geringste Berechtigung zu erteilen, besteht darin, eine vom Kunden verwaltete Richtlinie mit nur den Berechtigungen zu schreiben, die Ihr Team benötigt. Sie müssen einen Prozess erstellen, damit Ihr Team bei Bedarf weitere Berechtigungen anfordern kann. Es erfordert Zeit und Fachwissen, um von Kunden verwaltete IAM-Richtlinien zu erstellen, die Ihrem Team nur die benötigten Berechtigungen bieten.

Um mit dem Hinzufügen von Berechtigungen zu Ihren IAM-Identitäten (Benutzer, Benutzergruppen und Rollen) zu beginnen, können Sie AWS verwaltete Richtlinien verwenden. AWS-verwaltete Richtlinien gewähren keine Berechtigungen mit den geringsten Berechtigungen. Sie müssen das Sicherheitsrisiko berücksichtigen, wenn Sie Ihren Auftraggeber mehr Berechtigungen gewähren, als sie für ihre Arbeit benötigen.

Sie können verwaltete AWS-Richtlinien, einschließlich Auftragsfunktionen, für jede IAM-Identität. Weitere Informationen finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen.

Um zu den Berechtigungen mit den geringsten Berechtigungen zu wechseln, können Sie AWS Identity and Access Management und Access Analyzer ausführen, um die Prinzipale mit von AWS verwalteten Richtlinien zu überwachen. Nachdem Sie erfahren haben, welche Berechtigungen sie verwenden, können Sie eine vom Kunden verwaltete Richtlinie schreiben oder generieren, die nur die erforderlichen Berechtigungen für Ihr Team beinhaltet. Dies ist weniger sicher, bietet aber mehr Flexibilität, wenn Sie lernen, wie Ihr Team AWS verwendet. Weitere Informationen finden Sie unter Generieren von IAM Access Analyzer-Richtlinien.

Die von AWS verwalteten Richtlinien stellen Berechtigungen für viele häufige Anwendungsfälle bereit. Weitere Informationen über verwaltete AWS-Richtlinien, die für bestimmte Arbeitsfunktionen konzipiert sind, finden Sie unter AWS verwaltete Richtlinien für Jobfunktionen.

Eine Liste der von AWS verwalteten Richtlinien finden Sie im Referenzleitfaden zur AWS-verwalteten Richtlinie.

Verwenden von eingebundenen Richtlinien

Inline-Richtlinien sind nützlich, wenn Sie eine strikte Beziehung zwischen einer Richtlinie und der Identität, auf die sie angewendet wird, im Verhältnis 1:1 wahren möchten. Sie sollten beispielsweise darauf achten, dass die Berechtigungen einer Richtlinie nicht versehentlich einer Identität zugewiesen werden, für die sie nicht vorgesehen sind. Bei Verwendung einer Inline-Richtlinie können die Berechtigungen in der Richtlinie nicht versehentlich der falschen Identität zugeordnet werden. Wenn Sie diese Identität außerdem über die AWS Management Console löschen, werden die in der Identität integrierten Richtlinien ebenfalls gelöscht, da Sie Teil der Prinzipal-Identität sind.