Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien

Eine Richtlinie ist ein Objekt in AWS, das, einer Identität oder Ressource zugeordnet, deren Berechtigungen definiert. Wenn Sie eine Berechtigungsrichtlinie erstellen, um den Zugriff auf eine Ressource einzuschränken, können Sie zwischen einer identitätsbasierten Richtlinie und einer ressourcenbasierten Richtlinie wählen.

Identitätsbasierte Richtlinien werden an IAM-Benutzer, -Gruppen oder -Rollen angefügt. Mit diesen Richtlinien können Sie festlegen, welche Aktionen diese Identität durchführen darf (ihre Berechtigungen). Sie können die Richtlinie beispielsweise dem IAM-Benutzer John zuordnen und ihm erlauben, die Aktion Amazon EC2 RunInstances auszuführen. Die Richtlinie könnte weiterhin besagen, dass John Elemente aus einer Amazon DynamoDB-Tabelle mit dem Namen MyCompany abrufen darf. Sie können auch zulassen, dass John seine eigenen IAM-Sicherheitsanmeldeinformationen verwaltet. Identitätsbasierte Richtlinien können verwaltet oder eingebunden sein.

Ressourcenbasierten Richtlinien sind an eine Ressource angefügt. Sie können beispielsweise ressourcenbasierte Richtlinien an Amazon-S3-Buckets, Amazon-SQS-Warteschlangen, VPC-Endpunkte, AWS Key Management Service-Verschlüsselungsschlüssel sowie Amazon-DynamoDB-Tabellen und -Streams anfügen. Eine Liste der Services, die ressourcenbasierte Richtlinien unterstützen, finden Sie unter AWS Dienste, die mit IAM funktionieren.

Mit ressourcenbasierten Richtlinien können Sie festlegen, wer Zugriff auf die Ressource hat und welche Aktionen ausgeführt werden können. Informationen darüber, ob Auftraggeber in Konten außerhalb Ihrer Vertrauenszone (vertrauenswürdige Organisation oder Konto) Zugriff zur Annahme Ihrer Rollen haben, finden Sie unter Was ist IAM Access Analyzer?. Ressourcenbasierten Richtlinien sind nur eingebundene Richtlinien, keine verwalteten Richtlinien.

Anmerkung

Ressourcenbasierte Richtlinien unterscheiden sich von Berechtigungen auf Ressourcenebene. Sie können ressourcenbasierte Richtlinien direkt an eine Ressource anfügen, wie in diesem Thema beschrieben. Berechtigungen auf Ressourcenebene beziehen sich auf die Fähigkeit, ARNs zu verwenden, um einzelne Ressourcen in einer Richtlinie anzugeben. Ressourcenbasierte Richtlinien werden nur von einigen AWS-Services unterstützt. Eine Liste der Services, die ressourcenbasierte Richtlinien und Berechtigungen auf Ressourcenebene unterstützen, finden Sie unter AWS Dienste, die mit IAM funktionieren.

Wie identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien innerhalb desselben Kontos zusammenwirken, erfahren Sie unter Richtlinienauswertung für Anfragen innerhalb eines einzelnen Kontos.

Wie die Richtlinien kontenübergreifend zusammenwirken, erfahren Sie unter Logik für die kontoübergreifende Richtlinienauswertung.

Um ein besseres Verständnis dieser Konzepte zu erhalten, betrachten Sie die folgende Abbildung. Der Administrator des Kontos 123456789012 hat identitätsbasierten Richtlinien an die Benutzer JohnSmith, CarlosSalazar und MaryMajor angefügt. Einige der Aktionen in diesen Richtlinien können für bestimmte Ressourcen ausgeführt werden. Der Benutzer JohnSmith kann beispielsweise einige Aktionen für Resource X ausführen. Dies ist eine Berechtigung auf Ressourcenebene in einer identitätsbasierten Richtlinie. Der Administrator hat außerdem ressourcenbasierte Richtlinien zu Resource X, Resource Y und Resource Z hinzugefügt. Mithilfe von ressourcenbasierten Richtlinien können Sie festlegen, wer auf diese Ressource zugreifen kann. Die ressourcenbasierte Richtlinie für Resource X gewährt beispielsweise den Benutzern JohnSmith und MaryMajor Lese- und Schreibzugriff auf die Ressource.

Unterschiede zwischen identitätsbasierten und ressourcenbasierten Richtlinien

Das Kontobeispiel 123456789012 erlaubt den folgenden Benutzern, die aufgeführten Aktionen durchzuführen:

  • JohnSmith – John kann Auflistungs- und Leseaktionen für Resource X durchführen. Er erhält diese Berechtigung über die identitätsbasierte Richtlinie seines Benutzers sowie die ressourcenbasierte Richtlinien von Resource X.

  • CarlosSalazar – Carlos kann Auflistungs-, Lese- und Schreibaktionen für Resource Y ausführen, nicht jedoch auf Resource Z zugreifen. Die identitätsbasierte Richtlinie von Carlos ermöglicht ihm, Auflistungs- und Leseaktionen für Resource Y auszuführen. Die ressourcenbasierte Richtlinie von Resource Y gewährt ihm Schreibberechtigungen. Aber obwohl er über seine identitätsbasierte Richtlinie Zugriff auf Resource Z erhält, wird ihm dieser Zugriff von der ressourcenbasierten Richtlinie Resource Z verweigert. Eine explizite Zugriffsverweigerung Deny hat Vorrang vor einer Zugriffserlaubnis Allow und sein Zugriff auf Resource Z wird verweigert. Weitere Informationen finden Sie unter Auswertungslogik für Richtlinien.

  • MaryMajor – Mary kann Auflistungs-, Lese- und Schreiboperationen für Resource X, Resource Y und Resource Z ausführen. Ihre identitätsbasierte Richtlinie gewährt ihr weitere Aktionen für weitere Ressourcen als die ressourcenbasierten Richtlinien, aber keine davon enthält eine Zugriffsverweigerung.

  • ZhangWei – Zhang hat Vollzugriff auf Resource Z. Zhang verfügt über keine identitätsbasierten Richtlinien, erhält jedoch über die ressourcenbasierte Richtlinie von Resource Z Vollzugriff auf die Ressource. Zhang kann auch Auflistungs- und Leseaktionen für Resource Y ausführen.

Sowohl identitätsbasierte als auch ressourcenbasierte Richtlinien sind Berechtigungsrichtlinien, die gemeinsam ausgewertet werden. Bei Anfragen, für die nur Berechtigungsrichtlinien gelten, überprüft AWS zunächst alle Richtlinien auf Deny. Ist eine Zugriffsverweigerung vorhanden, wird die Anfrage abgelehnt. Danach sucht AWS nach jedem Allow. Wenn die Aktion in der Anforderung von mindestens einer Richtlinienanweisung gewährt wird, wird die Anforderung gewährt. Dabei spielt es keine Rolle, ob Allow in der identitätsbasierten oder der ressourcenbasierten Richtlinie vorhanden ist.

Wichtig

Diese Logik gilt nur, wenn die Anforderung von einem einzelnen AWS-Konto gesendet wird. Bei Anfragen, die von einem Konto an ein anderes gesendet werden, muss der Anforderer in Account A über eine identitätsbasierte Richtlinie verfügen, die es ihm ermöglicht, Anforderungen an die Ressource in Account B zu senden. Darüber hinaus muss die ressourcenbasierte Richtlinie in Account B dem Anforderer in Account A Zugriff auf die Ressource gewähren. In beiden Konten müssen Richtlinien vorhanden sein, die die Operation. Andernfalls schlägt die Anforderung fehl. Weitere Informationen zur Verwendung von ressourcenbasierten Richtlinien für kontoübergreifenden Zugriff finden Sie unter Kontoübergreifender Zugriff auf Ressourcen in IAM.

Ein Benutzer mit speziellen Berechtigungen kann eine Ressource anfordern, an die ebenfalls eine Berechtigungsrichtlinie angefügt ist. In diesem Fall wertet AWS bei der Erteilung des Zugriff auf die Ressource beide Berechtigungen. Weitere Informationen über das Auswerten von Richtlinien finden Sie unter Auswertungslogik für Richtlinien.

Anmerkung

Amazon S3 unterstützt identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien (als Bucket-Richtlinien bezeichnet). Darüber hinaus unterstützt Amazon S3 einen Berechtigungsmechanismus, der auch als Access Control List (ACL) bezeichnet wird, der von IAM-Richtlinien und -Berechtigungen unabhängig ist. Sie können Sie IAM-Richtlinien in Kombination mit Amazon S3-ACLs verwenden. Weitere Informationen finden Sie unter Access Control im Benutzerhandbuch für Amazon Simple Storage Service.