Benutzerdefinierte IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien definieren - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Benutzerdefinierte IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien definieren

Richtlinien definieren Berechtigungen für Identitäten oder Ressourcen in AWS. Sie können vom Kunden verwaltete Richtlinien in IAM über die AWS Management Console, die AWS CLI oder die AWS-API erstellen. Vom Kunden verwaltete Richtlinien sind eigenständige Richtlinien, die Sie in Ihrem eigenen AWS-Konto verwalten. Anschließend können Sie die Richtlinien an Identitäten (Benutzer, Gruppen und Rollen) in Ihrem AWS-Konto anhängen.

Eine identitätsbasierte Richtlinie ist eine Richtlinie, die einer Identität in IAM angefügt ist. Zu den identitätsbasierten Richtlinien können von AWS verwaltete Richtlinien, vom Kunden verwaltete Richtlinien und Inline-Richtlinien gehören. Von AWS verwaltete Richtlinien werden von AWS erstellt und verwaltet, und Sie können sie verwenden, jedoch nicht verwalten. Eine Inline-Richtlinie ist eine Richtlinie, die Sie erstellen und direkt in eine IAM-Benutzergruppe, einen IAM-Benutzer oder eine IAM-Rolle einbetten. Inline-Richtlinien können nicht für andere Identitäten wiederverwendet oder außerhalb der Identität verwaltet werden, in der sie vorhanden sind. Weitere Informationen finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen.

Im Allgemeinen ist es besser, vom Kunden verwaltete Richtlinien anstelle von Inline-Richtlinien oder von AWS verwalteten Richtlinien zu verwenden. Von AWS verwaltete Richtlinien bieten in der Regel weitreichende administrative oder schreibgeschützte Berechtigungen. Gewähren Sie für die höchste Sicherheit die geringsten Berechtigungen, d. h. nur die Berechtigungen, die für die Ausführung bestimmter Aufgaben erforderlich sind.

Wenn Sie IAM-Richtlinien erstellen oder bearbeiten, AWS kann die Richtlinienvalidierung automatisch durchführen, um eine effektive Richtlinie mit geringsten Privilegien zu erstellen. In der AWS Management Console identifiziert IAM JSON-Syntaxfehler, während IAM Access Analyzer zusätzliche Richtlinienüberprüfungen mit Empfehlungen zur weiteren Verfeinerung Ihrer Richtlinien bietet. Weitere Informationen zur Richtlinienvalidierung finden Sie unter IAM-Richtlinien-Validierung. Weitere Informationen über IAM Access Analyzer-Richtlinienvalidation und umsetzbare Empfehlungen finden Sie unter IAM Access Analyzer-Richtlinienvalidation.

Sie können die AWS Management Console, AWS CLI oder AWS API verwenden, um vom Kunden verwaltete Richtlinien in IAM zu erstellen. Weitere Informationen zur Verwendung von AWS CloudFormation-Vorlagen zum Hinzufügen oder Aktualisieren von Richtlinien finden Sie in der AWS Identity and Access Management-Ressourcentypreferenz im AWS CloudFormation-Benutzerhandbuch.

Themen