Hinzufügen und Entfernen von IAM Identitätsberechtigungen - AWS Identitäts- und Zugriffsverwaltung
TerminologieAnzeigen der IdentitätsaktivitätenHinzufügen von IAM Identberechtigungen (Konsole)Entfernen von IAM Identberechtigungen (Konsole)IAMRichtlinien hinzufügen (AWS CLI)IAMRichtlinien werden entfernt ()AWS CLIIAMRichtlinien hinzufügen ()AWS APIIAMRichtlinien werden entfernt (AWS API)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Hinzufügen und Entfernen von IAM Identitätsberechtigungen

Berechtigungen für eine Identität (Benutzer, Gruppe oder Rolle) werden mithilfe von Richtlinien definiert. Sie können Berechtigungen hinzufügen und entfernen, indem Sie IAM Richtlinien für eine Identität mit dem AWS Management Console, dem AWS Command Line Interface (AWS CLI) oder dem anhängen oder trennen. AWS API Sie können auch Richtlinien verwenden, um Berechtigungsgrenzen nur für Entitäten (Benutzer oder Rollen) festzulegen, die dieselben Methoden verwenden. Berechtigungsgrenzen sind eine erweiterte AWS Funktion, die die maximalen Berechtigungen steuert, die eine Entity haben kann.

Terminologie

Wenn Sie Berechtigungsrichtlinien mit Identitäten (IAMBenutzer, IAM Gruppen und IAM Rollen) verknüpfen, variieren Terminologie und Verfahren in Abhängigkeit davon, ob Sie mit einer verwalteten oder einer eingebundenen Richtlinie arbeiten:

  • Attach (Anfügen) – Wird mit verwalteten Richtlinien verwendet. Sie fügen eine verwaltete Richtlinie an eine Identität (Benutzer, Gruppe oder Rolle) an. Durch Anfügen einer Richtlinie werden die Berechtigungen in der Richtlinie auf die Identität angewendet.

  • Detach (Trennen) – Wird mit verwalteten Richtlinien verwendet. Sie trennen eine verwaltete Richtlinie von einer IAM Identität (Benutzer, Gruppe oder Rolle). Durch Trennen einer Richtlinie werden ihre Berechtigungen von der Identität entfernt.

  • Embed (Einbetten) – Wird mit Inline-Richtlinien verwendet. Sie betten eine Inline-Richtlinie in eine Identität (Benutzer, Gruppe oder Rolle) ein. Durch Einbetten einer Richtlinie werden die Berechtigungen in der Richtlinie auf die Identität angewendet. Da eine Inline-Richtlinie in der Identität gespeichert wird, wird sie eingebettet und nicht angefügt, wobei die Ergebnisse ähnlich sind.

    Anmerkung

    Sie können eine eingebundene Richtlinie für eine serviceverknüpfte Rolle nur in den Service einbetten, der von der Rolle abhängt. Informationen dazu, ob diese Funktion von Ihrem Service unterstützt wird, finden Sie in der entsprechenden AWS -Dokumentation.

  • Delete (Löschen) – Wird mit Inline-Richtlinien verwendet. Sie löschen eine Inline-Richtlinie für eine IAM Identität (Benutzer, Gruppe oder Rolle). Durch das Löschen einer Richtlinie werden ihre Berechtigungen von der Identität entfernt.

    Anmerkung

    Sie können eine Inline-Richtlinie für eine serviceverknüpfte Rolle nur aus dem Service löschen, der von der Rolle abhängt. Informationen dazu, ob diese Funktion von Ihrem Service unterstützt wird, finden Sie in der entsprechenden AWS -Dokumentation.

Sie können die Konsole oder verwenden AWS CLI, AWS API um eine dieser Aktionen auszuführen.

Weitere Informationen

Anzeigen der Identitätsaktivitäten

Bevor Sie die Berechtigungen für eine Identität (Benutzer, Gruppe oder Rolle) ändern, sollten Sie deren kürzliche Aktivität auf Serviceebene überprüfen. Das ist wichtig, da Sie keinem Auftraggeber (Person oder Anwendung) einen noch verwendeten Zugriff entziehen möchten. Weitere Informationen zum Anzeigen der Informationen zum letzten Zugriff finden Sie unter Verfeinern Sie die Berechtigungen für AWS die Verwendung der zuletzt abgerufenen Informationen.

Hinzufügen von IAM Identberechtigungen (Konsole)

Sie können mithilfe der AWS Management Console Berechtigungen zu einer Identität (Benutzer, Gruppe oder Rolle) hinzufügen. Fügen Sie dazu verwaltete Richtlinien für die gewünschten Berechtigungen an oder geben Sie eine Richtlinie an, die als Berechtigungsgrenze dient. Sie können auch eine eingebundene Richtlinie einbetten.

So verwenden Sie eine verwaltete Richtlinie als Berechtigungsrichtlinie für eine Identität (Konsole)

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Richtlinien.

  3. Aktivieren Sie in der Liste der Richtlinien die Optionsschaltfläche neben dem Namen der anzufügenden Richtlinie aus. Sie können über das Suchfeld die Liste der Gruppen filtern.

  4. Wählen Sie Actions (Aktionen) und dann Attach policy(Richtlinie anfügen).

  5. Wählen Sie mindestens eine Identität aus, an die Sie die Richtlinie anfügen möchten. Über das Menü Filter und das Suchfeld können Sie die Liste der Auftraggeber-Entitäten filtern. Nachdem Sie die Identitäten ausgewählt haben, wählen Sie Attach policy (Richtlinie anfügen).

Verwenden einer verwalteten Richtlinie zum Festlegen einer Berechtigungsgrenze (Konsole)

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Policies.

  3. Wählen Sie in der Liste der Richtlinien den Namen der Richtlinie, die Sie festlegen möchten. Sie können über das Suchfeld die Liste der Gruppen filtern.

  4. Wählen Sie auf der Seite der Richtliniendetails die Registerkarte Entities attached (Angefügte Entitäten) aus und öffnen Sie dann gegebenenfalls den Abschnitt Attached as a permissions boundaries (Als eine Berechtigungsgrenze angefügt) und wählen Sie Set this policy as a permissions boundary (Diese Richtlinie als eine Berechtigungsgrenze festlegen).

  5. Wählen Sie einen oder mehrere Benutzer oder Rollen aus, für die die Richtlinie für eine Berechtigungsgrenze verwendet werden soll. Über das Menü Filter und das Suchfeld können Sie die Liste der Auftraggeber-Entitäten filtern. Nachdem Sie die Prinzipale ausgewählt haben, wählen Sie Set permissions boundary (Berechtigungsgrenze festlegen) aus.

So betten Sie eine eingebundene Richtlinie für einen Benutzer oder eine Rolle ein (Konsole)

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Users (Benutzer) oder Roles (Rollen).

  3. Wählen Sie in der Liste den Namen des Benutzers oder der Rolle aus, in den bzw. die Sie die Richtlinie einbetten möchten.

  4. Wählen Sie die Registerkarte Berechtigungen.

  5. Wählen Sie Add permissions (Berechtigungen hinzufügen) und dann Create inline policy (Inline-Richtlinie erstellen) aus.

    Anmerkung

    Sie können eine Inline-Richtlinie nicht in eine dienstverknüpfte Rolle in IAM einbetten. Da der verknüpfte Dienst festlegt, ob Sie die Berechtigungen der Rolle ändern können, können Sie möglicherweise zusätzliche Richtlinien über die ServicekonsoleAPI, oder AWS CLI hinzufügen. Um die serviceverknüpfte Rolle anzuzeigen, lesen Sie unter AWS Dienste, die funktionieren mit IAM nach und wählen Sie Yes (Ja) in der Spalte Service-Linked Role (Serviceverknüpfte Rolle) für den Service.

  6. Wählen Sie eine der folgenden Methoden, um die erforderlichen Schritte zum Erstellen der Richtlinie anzuzeigen:

    • Importieren vorhandener verwalteter Richtlinien – Sie können eine verwaltete Richtlinie innerhalb Ihres Kontos importieren und die Richtlinie dann bearbeiten, um sie an Ihre spezifischen Anforderungen anzupassen. Eine verwaltete Richtlinie kann eine AWS verwaltete -Richtlinie oder eine kundenverwaltete Richtlinie sein, die Sie zuvor erstellt haben.

    • Erstellen von Richtlinien mit dem visuellen Editor – Sie können eine neue Richtlinie von Grund auf im visuellen Editor erstellen. Wenn Sie den visuellen Editor verwenden, müssen Sie nicht mit der JSON Syntax vertraut sein.

    • Erstellen von Richtlinien mit dem JSON Editor— In der JSONEditor-Option können Sie die JSON Syntax verwenden, um eine Richtlinie zu erstellen. Sie können ein neues JSON Richtliniendokument eingeben oder eine Beispielrichtlinie einfügen.

  7. Nachdem Sie eine eingebundene Richtlinie erstellt haben, wird sie automatisch in Ihren Benutzer oder Ihre Rolle eingebettet.

So betten Sie eine eingebundene Richtlinie für eine Gruppe ein (Konsole)

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Benutzergruppen.

  3. Wählen Sie in der Liste den Namen der Benutzergruppe, in die eine Richtlinie eingebettet werden soll.

  4. Wählen Sie die Registerkarte Berechtigungen, wählen Sie Berechtigungen hinzufügen und wählen Sie dann Inline-Richtlinie erstellen.

  5. Führen Sie eine der folgenden Aktionen aus:

  6. Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf Create policy (Richtlinie erstellen).

So ändern Sie die Berechtigungsgrenze für eine oder mehrere Entitäten (Konsole)

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Policies.

  3. Wählen Sie in der Liste der Richtlinien den Namen der Richtlinie, die Sie festlegen möchten. Sie können über das Suchfeld die Liste der Gruppen filtern.

  4. Wählen Sie auf der Seite der Richtliniendetails die Registerkarte Entities attached (Angefügte Entitäten) aus und öffnen Sie dann gegebenenfalls den Abschnitt Attached as a permissions boundary (Als eine Berechtigungsgrenze angefügt). Aktivieren Sie das Kontrollkästchen neben den Benutzern oder Rollen, deren Grenzen Sie ändern möchten, und wählen Sie dann Change (Ändern) aus.

  5. Wählen Sie eine neue Richtlinie aus, die für eine Berechtigungsgrenze verwendet werden soll. Sie können über das Suchfeld die Liste der Gruppen filtern. Nachdem Sie die Prinzipale ausgewählt haben, wählen Sie Set permissions boundary (Berechtigungsgrenze festlegen) aus.

Entfernen von IAM Identberechtigungen (Konsole)

Sie können mithilfe der AWS Management Console Berechtigungen aus einer Identität (Benutzer, Gruppe oder Rolle) löschen. Trennen Sie hierzu verwaltete Richtlinien, die Berechtigungen steuern, oder entfernen Sie eine Richtlinie an, die als Berechtigungsgrenze dient. Sie können auch eine eingebundene Richtlinie löschen.

Entfernen einer verwalteten Richtlinie, die als Berechtigungsrichtlinie verwendet wurde (Konsole)

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Richtlinien.

  3. Aktivieren Sie in der Liste der Richtlinien die Optionsschaltfläche neben dem Namen der zu entfernenden Richtlinie aus. Sie können über das Suchfeld die Liste der Gruppen filtern.

  4. Wählen Sie Aktionen und anschließend Löschen.

  5. Wählen Sie die Identitäten aus, von denen Sie die Richtlinie trennen möchten. Sie können über das Suchfeld die Liste der Gruppen filtern. Wählen Sie, nachdem Sie die Identitäten ausgewählt haben, die Option Detach policy (Richtlinie trennen).

Entfernen einer Berechtigungsgrenze (Konsole)

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Policies.

  3. Wählen Sie in der Liste der Richtlinien den Namen der Richtlinie, die Sie festlegen möchten. Sie können über das Suchfeld die Liste der Gruppen filtern.

  4. Wählen Sie auf der Seite der Richtlinienübersicht die Registerkarte Entities attached (Angefügte Entitäten) aus und öffnen Sie dann gegebenenfalls den Abschnitt Attached as a permissions boundary (Als eine Berechtigungsgrenze angefügt) und wählen Sie die Entitäten aus, aus denen sie die Berechtigungsgrenze entfernen möchten. Wählen Sie dann Remove boundary (Grenze entfernen) aus.

  5. Bestätigen Sie, dass Sie die Berechtigungsgrenze entfernen möchten, und wählen Sie Remove boundary (Grenze entfernen) aus.

So löschen Sie eine Inline-Richtlinie (Konsole)

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Groups (Gruppen), Users (Benutzer) oder Roles (Rollen).

  3. Wählen Sie in der Liste den Namen der Gruppe, des Benutzers oder der Rolle aus, deren bzw. dessen Richtlinie Sie entfernen möchten.

  4. Wählen Sie die Registerkarte Berechtigungen.

  5. Aktivieren Sie das Kontrollkästchen neben der Richtlinie und wählen Sie Remove (Entfernen) aus.

  6. Wählen Sie im Bestätigungsfeld Remove (Entfernen) aus.

IAMRichtlinien hinzufügen (AWS CLI)

Sie können mithilfe der AWS CLI Berechtigungen zu einer Identität (Benutzer, Gruppe oder Rolle) hinzufügen. Fügen Sie dazu verwaltete Richtlinien für die gewünschten Berechtigungen an oder geben Sie eine Richtlinie an, die als Berechtigungsgrenze dient. Sie können auch eine eingebundene Richtlinie einbetten.

So verwenden Sie eine verwaltete Richtlinie als Berechtigungsrichtlinie für eine Entität (AWS CLI)

  1. (Optional) Um Informationen über eine verwaltete Richtlinie anzuzeigen, führen Sie die folgenden Befehle aus:

  2. Um eine verwaltete Richtlinie an eine Identität (Benutzer, Benutzergruppe oder Rolle) anzuhängen, verwenden Sie einen der folgenden Befehle:

Verwenden einer verwalteten Richtlinie zum Festlegen einer Berechtigungsgrenze (AWS CLI)

  1. (Optional) Um Informationen über eine verwaltete Richtlinie anzuzeigen, führen Sie die folgenden Befehle aus:

  2. Um eine verwaltete Richtlinie zum Festlegen der Berechtigungsgrenze für eine Entität (Benutzer oder Rolle) zu verwenden, benutzen Sie einen der folgenden Befehle:

So betten Sie eine Inline-Richtlinie ein (AWS CLI)

Verwenden Sie zum Einbetten einer Inline-Richtlinie in eine Identität (Benutzer, Gruppe oder Rolle, die keine serviceverknüpfte Rolle ist), einen der folgenden Befehle:

IAMRichtlinien werden entfernt ()AWS CLI

Sie können die verwenden AWS CLI , um verwaltete Richtlinien, die Berechtigungen kontrollieren, zu trennen oder eine Richtlinie zu entfernen, die als Grenze für Berechtigungen dient. Sie können auch eine eingebundene Richtlinie löschen.

Entfernen einer verwalteten Richtlinie, die als Berechtigungsrichtlinie verwendet wurde (AWS CLI)

  1. (Optional) Um Informationen über eine Richtlinie anzuzeigen, führen Sie die folgenden Befehle aus:

  2. (Optional) Führen Sie zum Ermitteln von Informationen über die Beziehungen zwischen Richtlinien und Identitäten die folgenden Befehle aus:

  3. Verwenden Sie zum Trennen einer verwalteten Richtlinie von einer Identität (Benutzer, Gruppe oder Rolle) einen der folgenden Befehle:

Entfernen einer Berechtigungsgrenze (AWS CLI)

  1. (Optional) Um anzuzeigen, welche verwaltete Richtlinie zur Zeit verwendet wird, um die Berechtigungsgrenze für einen Benutzer oder eine Rolle festzulegen, führen Sie die folgenden Befehle aus:

  2. (Optional) Um die Benutzer oder Rollen anzuzeigen, für die eine verwaltete Richtlinie für eine Berechtigungsgrenze verwendet wird, führen Sie den folgenden Befehl aus:

  3. (Optional) Um Informationen über eine verwaltete Richtlinie anzuzeigen, führen Sie die folgenden Befehle aus:

  4. Um eine Berechtigungsgrenze von einem Benutzer oder einer Rolle zu entfernen, verwenden Sie einen der folgenden Befehle:

So löschen Sie eine Inline-Richtlinie (AWS CLI)

  1. (Optional) Verwenden Sie zum Auflisten aller Inline-Richtlinien, die an eine Identität (Benutzer, Gruppe, Rolle) angefügt wurden, einen der folgenden Befehle:

  2. (Optional) Verwenden Sie zum Abrufen eines in eine Identität (Benutzer, Gruppe oder Rolle) eingebetteten Inline-Richtliniendokuments einen der folgenden Befehle:

  3. Verwenden Sie zum Löschen einer Inline-Richtlinie aus einer Identität (Benutzer, Gruppe oder Rolle, die keine serviceverknüpfte Rolle ist), einen der folgenden Befehle:

IAMRichtlinien hinzufügen ()AWS API

Sie können die verwenden AWS API, um verwaltete Richtlinien anzuhängen, die Berechtigungen steuern, oder eine Richtlinie angeben, die als Berechtigungsgrenze dient. Sie können auch eine eingebundene Richtlinie einbetten.

Um eine verwaltete Richtlinie als Berechtigungsrichtlinie für eine Entität zu verwenden (AWS API)

  1. (Optional) Rufen Sie zum Anzeigen von Informationen über eine Richtlinie die folgenden Operationen auf:

    • Um verwaltete Richtlinien aufzulisten: ListPolicies

    • So rufen Sie detaillierte Informationen zu einer verwalteten Richtlinie ab: GetPolicy

  2. Um eine verwaltete Richtlinie einer Identität (Benutzer, Benutzergruppe oder Rolle) zuzuordnen, rufen Sie einen der folgenden Vorgänge auf:

So verwenden Sie eine verwaltete Richtlinie, um eine Berechtigungsgrenze festzulegen (AWS API)

  1. (Optional) Rufen Sie zum Anzeigen von Informationen über eine verwaltete Richtlinie die folgenden Operationen auf:

    • So listen Sie verwaltete Richtlinien auf: ListPolicies

    • So rufen Sie detaillierte Informationen zu einer verwalteten Richtlinie ab: GetPolicy

  2. Um eine verwaltete Richtlinie zum Festlegen der Berechtigungsgrenze für eine Entität (Benutzer oder Rolle) zu verwenden, verwenden Sie eine der folgenden Operationen:

So betten Sie eine Inline-Richtlinie ein (AWS API)

Rufen Sie zum Einbetten einer Inline-Richtlinie in eine Identität (Benutzer, Gruppe oder Rolle, die keine serviceverknüpfte Rolle ist), eine der folgenden Operationen auf:

IAMRichtlinien werden entfernt (AWS API)

Sie können die verwenden AWS API, um verwaltete Richtlinien, die Berechtigungen kontrollieren, zu trennen oder eine Richtlinie zu entfernen, die als Grenze für Berechtigungen dient. Sie können auch eine eingebundene Richtlinie löschen.

Um eine verwaltete Richtlinie zu trennen, die als Berechtigungsrichtlinie verwendet wird ()AWS API

  1. (Optional) Rufen Sie zum Anzeigen von Informationen über eine Richtlinie die folgenden Operationen auf:

    • Um verwaltete Richtlinien aufzulisten: ListPolicies

    • So rufen Sie detaillierte Informationen zu einer verwalteten Richtlinie ab: GetPolicy

  2. (Optional) Rufen Sie zum Ermitteln von Informationen über die Beziehungen zwischen Richtlinien und Identitäten die folgenden Operationen auf:

  3. Rufen Sie zum Trennen einer verwalteten Richtlinie von einer Identität (Benutzer, Gruppe oder Rolle) eine der folgenden Operationen auf:

Entfernen einer Berechtigungsgrenze (AWS API)

  1. (Optional) Um anzuzeigen, welche verwaltete Richtlinie zur Zeit verwendet wird, um die Berechtigungsgrenze für einen Benutzer oder eine Rolle festzulegen, verwenden Sie die folgenden Operationen:

  2. (Optional) Um die Benutzer oder Rollen anzuzeigen, für die eine verwaltete Richtlinie für eine Berechtigungsgrenze verwendet wird, verwenden Sie die folgenden Operationen:

  3. (Optional) Rufen Sie zum Anzeigen von Informationen über eine verwaltete Richtlinie die folgenden Operationen auf:

    • Um verwaltete Richtlinien aufzulisten: ListPolicies

    • So rufen Sie detaillierte Informationen zu einer verwalteten Richtlinie ab: GetPolicy

  4. Um eine Berechtigungsgrenze von einem Benutzer oder einer Rolle zu entfernen, verwenden Sie die folgenden Operationen:

So löschen Sie eine Inline-Richtlinie (AWS API)

  1. (Optional) Rufen Sie zum Auflisten aller Inline-Richtlinien, die an eine Identität (Benutzer, Gruppe, Rolle) angefügt sind, eine der folgenden Operationen auf:

  2. (Optional) Rufen Sie zum Abrufen eines in eine Identität (Benutzer, Gruppe oder Rolle) eingebetteten Inline-Richtliniendokuments eine der folgenden Operationen auf:

  3. Rufen Sie zum Löschen einer Inline-Richtlinie aus einer Identität (Benutzer, Gruppe oder Rolle, die keine serviceverknüpfte Rolle ist), eine der folgenden Operationen auf: