Wählen Sie zwischen verwalteten Richtlinien und Inline-Richtlinien - AWS Identitäts- und Zugriffsverwaltung
Beginnen Sie mit verwalteten RichtlinienVerwenden von eingebundenen Richtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wählen Sie zwischen verwalteten Richtlinien und Inline-Richtlinien

Berücksichtigen Sie Ihre Anwendungsfälle, wenn Sie zwischen verwalteten und Inline-Richtlinien entscheiden. In den meisten Fällen empfehlen wir, dass Sie verwaltete Richtlinien anstelle von eingebundenen Richtlinien verwenden.

Anmerkung

Sie können sowohl verwaltete als auch Inline-Richtlinien zusammen verwenden, um gemeinsame und eindeutige Berechtigungen für eine Prinzipal-Entität zu definieren.

Verwaltete Richtlinien bieten die folgenden Funktionen:

Wiederverwendbarkeit

Eine einzelne verwaltete Richtlinie kann an mehrere Auftraggeber-Entitäten (Benutzer, Gruppen und Rollen) angefügt werden. Sie können eine Bibliothek mit Richtlinien erstellen, die nützliche Berechtigungen für Sie definieren AWS-Konto, und diese Richtlinien dann nach Bedarf an Haupteinheiten anhängen.

Zentrale Änderungsverwaltung

Wenn Sie eine verwaltete Richtlinie ändern, wird die Änderung auf alle Auftraggeber-Entitäten angewendet, an die die Richtlinie angefügt ist. Wenn Sie beispielsweise Berechtigungen für eine neue Richtlinie hinzufügen möchten AWS API, können Sie eine vom Kunden verwaltete Richtlinie aktualisieren oder eine AWS verwaltete Richtlinie zuordnen, um die Berechtigung hinzuzufügen. Wenn Sie eine AWS verwaltete Richtlinie verwenden, AWS aktualisiert die Richtlinie. Wenn eine verwaltete Richtlinie aktualisiert wird, werden die Änderungen auf alle Prinzipalentitäten angewendet, denen die verwaltete Richtlinie zugeordnet ist. Um eine Inline-Richtlinie zu ändern, müssen Sie dagegen jede Identität, die die Inline-Richtlinie enthält, einzeln bearbeiten. Wenn beispielsweise eine Gruppe und eine Rolle dieselbe Inline-Richtlinie enthalten, müssen Sie beide Prinzipal-Entitäten individuell bearbeiten, um diese Richtlinie zu ändern.

Versioning und Rollback

Wenn Sie eine kundenverwaltete Richtlinie ändern, wird die vorhandene Richtlinie nicht von der geänderten Richtlinie überschrieben. IAMErstellt stattdessen eine neue Version der verwalteten Richtlinie. IAMspeichert bis zu fünf Versionen Ihrer vom Kunden verwalteten Richtlinien. Sie können Richtlinienversionen verwenden, um eine frühere Version einer Richtlinie wiederherzustellen, sofern dies erforderlich ist.

Anmerkung

Eine Richtlinienversion ist nicht mit dem Richtlinienelement Version identisch. Das Richtlinienelement Version wird innerhalb einer Richtlinie verwendet und gibt die Version der Richtliniensprache an. Weitere Informationen zu den Richtlinienversionen finden Sie unter Richtlinien zur Versionierung IAM. Weitere Informationen zum Richtlinienelement Version finden Sie unter IAMJSONpolitische Elemente: Version.

Delegieren der Berechtigungsverwaltung

Sie können Benutzern in Ihren AWS-Konto Richtlinien das Anhängen und Trennen von Richtlinien gestatten und gleichzeitig die Kontrolle über die in diesen Richtlinien definierten Berechtigungen behalten. Sie können einige Benutzer als Administratoren mit vollständigen Rechten bestimmen, d. h. Administratoren, die Richtlinien erstellen, aktualisieren und löschen können. Anschließend können Sie andere Benutzer als Administratoren mit eingeschränkten Rechten bestimmen. Dies bedeutet, dass Administratoren zwar Richtlinien an andere Prinzipal-Entitäten anfügen können, aber nur die Richtlinien, für die Sie ihnen die Berechtigungen zum Anfügen erteilt haben.

Weitere Informationen zum Delegieren der Berechtigungsverwaltung finden Sie unter Steuern des Zugriffs auf Richtlinien.

Größere Zeichenbeschränkungen für Richtlinien

Die maximale Zeichengröße für verwaltete Richtlinien ist höher als die Zeichenbeschränkung für Gruppenrichtlinien. Wenn Sie die Zeichengrößenbeschränkung der Inline-Richtlinie erreichen, können Sie weitere IAM Gruppen erstellen und die verwaltete Richtlinie an die Gruppe anhängen.

Weitere Informationen zu Kontingenten und Limits finden Sie unter IAMund AWS STS Kontingente.

Automatische Updates für AWS verwaltete Richtlinien

AWS verwaltet AWS verwaltete Richtlinien und aktualisiert sie bei Bedarf, um beispielsweise Berechtigungen für neue AWS Dienste hinzuzufügen, ohne dass Sie Änderungen vornehmen müssen. Die Updates werden automatisch auf die Prinzipalentitäten angewendet, denen Sie die AWS verwaltete Richtlinie zugeordnet haben.

Beginnen Sie mit verwalteten Richtlinien

Es wird empfohlen, Richtlinien zu verwenden, die die geringsten Rechte gewähren, d. h. nur die für die Durchführung einer Aufgabe erforderlichen Berechtigungen zu gewähren. Die sicherste Methode, die geringste Berechtigung zu erteilen, besteht darin, eine vom Kunden verwaltete Richtlinie mit nur den Berechtigungen zu schreiben, die Ihr Team benötigt. Sie müssen einen Prozess erstellen, damit Ihr Team bei Bedarf weitere Berechtigungen anfordern kann. Es erfordert Zeit und Fachwissen, um vom IAMKunden verwaltete Richtlinien zu erstellen, die Ihrem Team nur die Berechtigungen gewähren, die es benötigt.

Um mit dem Hinzufügen von Berechtigungen zu Ihren IAM Identitäten (Benutzern, Benutzergruppen und Rollen) zu beginnen, können Sie Folgendes verwendenAWS verwaltete Richtlinien. AWS verwaltete Richtlinien gewähren keine Berechtigungen mit den geringsten Rechten. Sie müssen das Sicherheitsrisiko berücksichtigen, wenn Sie Ihren Auftraggeber mehr Berechtigungen gewähren, als sie für ihre Arbeit benötigen.

Sie können AWS verwaltete Richtlinien, einschließlich Jobfunktionen, an jede IAM Identität anhängen. Weitere Informationen finden Sie unter Hinzufügen und Entfernen von IAM Identitätsberechtigungen.

Um zu den Berechtigungen mit den geringsten Rechten zu wechseln, können Sie AWS Identity and Access Management Access Analyzer ausführen, um die Prinzipale mit AWS verwalteten Richtlinien zu überwachen. Nachdem Sie erfahren haben, welche Berechtigungen sie verwenden, können Sie eine vom Kunden verwaltete Richtlinie schreiben oder generieren, die nur die erforderlichen Berechtigungen für Ihr Team beinhaltet. Das ist weniger sicher, bietet aber mehr Flexibilität, wenn Sie erfahren, wie Ihr Team die Daten verwendet AWS. Weitere Informationen finden Sie unter IAMGenerierung von Access Analyzer-Richtlinien.

AWS verwaltete Richtlinien dienen dazu, Berechtigungen für viele gängige Anwendungsfälle bereitzustellen. Weitere Informationen zu AWS verwalteten Richtlinien, die für bestimmte Aufgaben konzipiert sind, finden Sie unterAWS verwaltete Richtlinien für Jobfunktionen.

Eine Liste der AWS verwalteten Richtlinien finden Sie im Referenzhandbuch für AWS verwaltete Richtlinien.

Verwenden von eingebundenen Richtlinien

Inline-Richtlinien sind nützlich, wenn Sie eine strikte one-to-one Beziehung zwischen einer Richtlinie und der Identität, auf die sie angewendet wird, aufrechterhalten möchten. Sie sollten beispielsweise darauf achten, dass die Berechtigungen einer Richtlinie nicht versehentlich einer Identität zugewiesen werden, für die sie nicht vorgesehen sind. Bei Verwendung einer Inline-Richtlinie können die Berechtigungen in der Richtlinie nicht versehentlich der falschen Identität zugeordnet werden. Wenn Sie AWS Management Console zum Löschen dieser Identität verwenden, werden außerdem die in der Identität eingebetteten Richtlinien ebenfalls gelöscht, da sie Teil der Prinzipalentität sind.