Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien

Eine Richtlinie ist ein Objekt, AWS das, wenn es einer Identität oder Ressource zugeordnet ist, deren Berechtigungen definiert. Wenn Sie eine Berechtigungsrichtlinie erstellen, um den Zugriff auf eine Ressource einzuschränken, können Sie zwischen einer identitätsbasierten Richtlinie und einer ressourcenbasierten Richtlinie wählen.

Identitätsbasierte Richtlinien sind an einen IAM Benutzer, eine Gruppe oder eine Rolle angehängt. Mit diesen Richtlinien können Sie festlegen, welche Aktionen diese Identität durchführen darf (ihre Berechtigungen). Sie können die Richtlinie beispielsweise an den IAM Benutzer mit dem Namen John anhängen und angeben, dass er die EC2 RunInstances Amazon-Aktion ausführen darf. Die Richtlinie könnte weiterhin besagen, dass John Elemente aus einer Amazon DynamoDB-Tabelle mit dem Namen MyCompany abrufen darf. Sie können John auch erlauben, seine eigenen IAM Sicherheitsanmeldedaten zu verwalten. Identitätsbasierte Richtlinien können verwaltet oder eingebunden sein.

Ressourcenbasierten Richtlinien sind an eine Ressource angefügt. Sie können beispielsweise ressourcenbasierte Richtlinien an Amazon S3-Buckets, SQS Amazon-Warteschlangen, VPC Endpunkte, AWS Key Management Service Verschlüsselungsschlüssel und Amazon DynamoDB-Tabellen und -Streams anhängen. Eine Liste der Services, die ressourcenbasierte Richtlinien unterstützen, finden Sie unter AWS Dienste, die funktionieren mit IAM.

Mit ressourcenbasierten Richtlinien können Sie festlegen, wer Zugriff auf die Ressource hat und welche Aktionen ausgeführt werden können. Um zu erfahren, ob Principals in Konten außerhalb Ihrer Vertrauenszone (vertrauenswürdige Organisation oder vertrauenswürdiges Konto) Zugriff haben, um Ihre Rollen anzunehmen, finden Sie unter Was ist Access Analyzer? IAM . Ressourcenbasierten Richtlinien sind nur eingebundene Richtlinien, keine verwalteten Richtlinien.

Anmerkung

Ressourcenbasierte Richtlinien unterscheiden sich von Berechtigungen auf Ressourcenebene. Sie können ressourcenbasierte Richtlinien direkt an eine Ressource anfügen, wie in diesem Thema beschrieben. Berechtigungen auf Ressourcenebene beziehen sich auf die Möglichkeit, einzelne Ressourcen in einer Richtlinie anzugeben. ARNs Ressourcenbasierte Richtlinien werden nur von einigen Diensten unterstützt. AWS Eine Liste der Services, die ressourcenbasierte Richtlinien und Berechtigungen auf Ressourcenebene unterstützen, finden Sie unter AWS Dienste, die funktionieren mit IAM.

Wie identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien innerhalb desselben Kontos zusammenwirken, erfahren Sie unter Richtlinienbewertung für Anfragen innerhalb eines einzigen Kontos.

Wie die Richtlinien kontenübergreifend zusammenwirken, erfahren Sie unter Logik für die kontenübergreifende Richtlinienauswertung.

Um ein besseres Verständnis dieser Konzepte zu erhalten, betrachten Sie die folgende Abbildung. Der Administrator des Kontos 123456789012 hat identitätsbasierten Richtlinien an die Benutzer JohnSmith, CarlosSalazar und MaryMajor angefügt. Einige der Aktionen in diesen Richtlinien können für bestimmte Ressourcen ausgeführt werden. Der Benutzer JohnSmith kann beispielsweise einige Aktionen für Resource X ausführen. Dies ist eine Berechtigung auf Ressourcenebene in einer identitätsbasierten Richtlinie. Der Administrator hat außerdem ressourcenbasierte Richtlinien zu Resource X, Resource Y und Resource Z hinzugefügt. Mithilfe von ressourcenbasierten Richtlinien können Sie festlegen, wer auf diese Ressource zugreifen kann. Die ressourcenbasierte Richtlinie für Resource X gewährt beispielsweise den Benutzern JohnSmith und MaryMajor Lese- und Schreibzugriff auf die Ressource.

Unterschiede zwischen identitätsbasierten und ressourcenbasierten Richtlinien

Das Kontobeispiel 123456789012 erlaubt den folgenden Benutzern, die aufgeführten Aktionen durchzuführen:

  • JohnSmith— John kann Listen- und Leseaktionen für ausführen. Resource X Er erhält diese Berechtigung über die identitätsbasierte Richtlinie seines Benutzers sowie die ressourcenbasierte Richtlinien von Resource X.

  • CarlosSalazar— Carlos kann Listen-, Lese- und Schreibaktionen ausführenResource Y, hat aber keinen Zugriff daraufResource Z. Die identitätsbasierte Richtlinie von Carlos ermöglicht ihm, Auflistungs- und Leseaktionen für Resource Y auszuführen. Die ressourcenbasierte Richtlinie von Resource Y gewährt ihm Schreibberechtigungen. Aber obwohl er über seine identitätsbasierte Richtlinie Zugriff auf Resource Z erhält, wird ihm dieser Zugriff von der ressourcenbasierten Richtlinie Resource Z verweigert. Eine explizite Zugriffsverweigerung Deny hat Vorrang vor einer Zugriffserlaubnis Allow und sein Zugriff auf Resource Z wird verweigert. Weitere Informationen finden Sie unter Auswertungslogik für Richtlinien.

  • MaryMajor— Mary kann Listen-, Lese- und Schreiboperationen für Resource XResource Y, und ausführenResource Z. Ihre identitätsbasierte Richtlinie gewährt ihr weitere Aktionen für weitere Ressourcen als die ressourcenbasierten Richtlinien, aber keine davon enthält eine Zugriffsverweigerung.

  • ZhangWei— Zhang hat vollen Zugriff aufResource Z. Zhang verfügt über keine identitätsbasierten Richtlinien, erhält jedoch über die ressourcenbasierte Richtlinie von Resource Z Vollzugriff auf die Ressource. Zhang kann auch Auflistungs- und Leseaktionen für Resource Y ausführen.

Sowohl identitätsbasierte als auch ressourcenbasierte Richtlinien sind Berechtigungsrichtlinien, die gemeinsam ausgewertet werden. Bei einer Anfrage, für die nur Berechtigungsrichtlinien gelten, werden AWS zunächst alle Richtlinien auf eine Deny überprüft. Ist eine Zugriffsverweigerung vorhanden, wird die Anfrage abgelehnt. Danach sucht AWS nach jedem Allow. Wenn die Aktion in der Anforderung von mindestens einer Richtlinienanweisung gewährt wird, wird die Anforderung gewährt. Dabei spielt es keine Rolle, ob Allow in der identitätsbasierten oder der ressourcenbasierten Richtlinie vorhanden ist.

Wichtig

Diese Logik gilt nur, wenn die Anforderung von einem einzelnen AWS-Konto gesendet wird. Bei Anfragen, die von einem Konto an ein anderes gesendet werden, muss der Anforderer in Account A über eine identitätsbasierte Richtlinie verfügen, die es ihm ermöglicht, Anforderungen an die Ressource in Account B zu senden. Darüber hinaus muss die ressourcenbasierte Richtlinie in Account B dem Anforderer in Account A Zugriff auf die Ressource gewähren. In beiden Konten müssen Richtlinien vorhanden sein, die die Operation. Andernfalls schlägt die Anforderung fehl. Weitere Informationen zur Verwendung von ressourcenbasierten Richtlinien für kontoübergreifenden Zugriff finden Sie unter Kontoübergreifender Ressourcenzugriff in IAM.

Ein Benutzer mit speziellen Berechtigungen kann eine Ressource anfordern, an die ebenfalls eine Berechtigungsrichtlinie angefügt ist. In diesem Fall werden bei der Entscheidung, ob Zugriff auf die Ressource gewährt werden soll, beide AWS Berechtigungssätze ausgewertet. Weitere Informationen über das Auswerten von Richtlinien finden Sie unter Auswertungslogik für Richtlinien.

Anmerkung

Amazon S3 unterstützt identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien (als Bucket-Richtlinien bezeichnet). Darüber hinaus unterstützt Amazon S3 einen Berechtigungsmechanismus, der als Zugriffskontrollliste (ACL) bezeichnet wird und unabhängig von IAM Richtlinien und Berechtigungen ist. Sie können IAM Richtlinien in Kombination mit Amazon S3 verwendenACLs. Weitere Informationen finden Sie unter Access Control im Benutzerhandbuch für Amazon Simple Storage Service.