Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwaltete Richtlinien und eingebundene Richtlinien

Wenn Sie die Berechtigungen für eine Identität festlegen, müssen Sie entscheidenIAM, ob Sie eine AWS verwaltete Richtlinie, eine vom Kunden verwaltete Richtlinie oder eine Inline-Richtlinie verwenden möchten. In den folgenden Themen erhalten Sie weitere Informationen zu den einzelnen Arten identitätsbasierter Richtlinien und deren Verwendung.

AWS verwaltete Richtlinien

Bei einer von AWS verwalteten Richtlinie handelt es sich um eine eigenständige Richtlinie, die von AWS erstellt und verwaltet wird. Eine eigenständige Richtlinie bedeutet, dass die Richtlinie ihren eigenen Amazon-Ressourcennamen (ARN) hat, der den Richtliniennamen enthält. arn:aws:iam::aws:policy/IAMReadOnlyAccessIst beispielsweise eine AWS verwaltete Richtlinie. Weitere Informationen zu finden ARNs Sie unterIAM ARNs. Eine Liste der AWS verwalteten Richtlinien für AWS-Services finden Sie unter AWS Verwaltete Richtlinien.

AWS Mit verwalteten Richtlinien können Sie Benutzern, IAM Gruppen und Rollen bequem die entsprechenden Berechtigungen zuweisen. Das ist schneller, als selbst die Richtlinien zu schreiben und beinhaltet Berechtigungen für viele häufige Anwendungsfälle.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. AWS aktualisiert gelegentlich die in einer AWS verwalteten Richtlinie definierten Berechtigungen. In diesem Fall AWS wirkt sich das Update auf alle Prinzipalentitäten (IAMBenutzer, IAM Gruppen und IAM Rollen) aus, denen die Richtlinie zugeordnet ist. AWS ist am wahrscheinlichsten, dass eine AWS verwaltete Richtlinie aktualisiert wird, wenn ein neuer AWS Dienst gestartet wird oder neue API Anrufe für bestehende Dienste verfügbar werden. Die so genannte AWS verwaltete Richtlinie ReadOnlyAccessbietet beispielsweise nur Lesezugriff auf alle Ressourcen AWS-Services . Wenn ein neuer Dienst AWS gestartet wird, wird die ReadOnlyAccessRichtlinie AWS aktualisiert, um schreibgeschützte Berechtigungen für den neuen Dienst hinzuzufügen. Die aktualisierten Berechtigungen werden auf alle Auftraggeber-Entitäten angewendet, an die die Richtlinie angefügt ist.

AWS Verwaltete Richtlinien für vollen Zugriff: Diese definieren Berechtigungen für Dienstadministratoren, indem sie Vollzugriff auf einen Dienst gewähren. Beispiele sind unter anderem:

Von Power-Usern AWS verwaltete Richtlinien: Diese bieten vollen Zugriff auf AWS-Services und Ressourcen, ermöglichen jedoch nicht die Verwaltung von Benutzern und IAM Gruppen. Beispiele sind unter anderem:

AWS Verwaltete Richtlinien mit teilweisem Zugriff: Diese bieten bestimmte Zugriffsebenen, AWS-Services ohne dass die Rechteverwaltung Berechtigungen auf Zugriffsebene zulässt. Beispiele sind unter anderem:

Richtlinien, die von Jobfunktionen AWS verwaltet werden: Diese Richtlinien orientieren sich eng an den in der IT-Branche häufig verwendeten Jobfunktionen und erleichtern die Erteilung von Genehmigungen für diese Jobfunktionen. Ein entscheidender Vorteil der Verwendung von Richtlinien für berufliche Funktionen besteht darin, dass sie bei AWS der Einführung neuer Dienste und API Abläufe beibehalten und aktualisiert werden. Beispielsweise bietet die AdministratorAccessJob-Funktion vollen Zugriff und die Delegierung von Berechtigungen für jeden Dienst und jede Ressource in AWS. Wir empfehlen, dass diese Richtlinie nur für den Kontoadministrator verwendet wird. Für Poweruser, die vollen Zugriff auf alle Dienste mit Ausnahme des eingeschränkten Zugriffs auf IAM Organizations benötigen, verwenden Sie die PowerUserAccessJob-Funktion. Eine Liste und Beschreibungen der Richtlinien für Auftragsfunktionen finden Sie unter AWS verwaltete Richtlinien für Jobfunktionen.

Das folgende Diagramm veranschaulicht AWS verwaltete Richtlinien. Das Diagramm zeigt drei AWS verwaltete Richtlinien: AdministratorAccessPowerUserAccess, und AWS CloudTrail_ ReadOnlyAccess. Beachten Sie, dass eine einzelne AWS verwaltete Richtlinie an verschiedene Haupteinheiten und an verschiedene AWS-Konten Haupteinheiten in einer einzigen Richtlinie angehängt werden kann AWS-Konto.

Kundenverwaltete Richtlinien

Sie können eigene eigenständige Richtlinien erstellen AWS-Konto , die Sie an Prinzipalentitäten (IAMBenutzer, IAM Gruppen und IAM Rollen) anhängen können. Sie erstellen diese vom Kunden verwalteten Richtlinien für Ihre spezifischen Anwendungsfälle und können sie beliebig oft ändern und aktualisieren. Wie bei AWS verwalteten Richtlinien gewähren Sie, wenn Sie einer Prinzipalentität eine Richtlinie zuordnen, der Entität die in der Richtlinie definierten Berechtigungen. Wenn Sie Berechtigungen in der Richtlinie aktualisieren, werden die Änderungen auf alle Prinzipal-Entitäten angewendet, an die die Richtlinie angefügt ist.

Eine hervorragende Methode zum Erstellen einer vom Kunden verwalteten Richtlinie besteht darin, zunächst eine vorhandene, von AWS verwaltete Richtlinie zu kopieren. So wissen Sie, dass die Richtlinie zu Beginn richtig ist und Sie sie nur an Ihre Umgebung anpassen müssen.

Die vom Kunden verwalteten Richtlinien sind in der folgenden Abbildung dargestellt. Jede Richtlinie ist eine Entität IAM mit einem eigenen Amazon-Ressourcennamen (ARN), der den Richtliniennamen enthält. Beachten Sie, dass dieselbe Richtlinie an mehrere Prinzipalentitäten angehängt werden kann. Beispielsweise ist dieselbe DynamoDB-Books-App-Richtlinie zwei verschiedenen Rollen zugeordnet. IAM

Weitere Informationen finden Sie unter Definieren Sie benutzerdefinierte IAM Berechtigungen mit vom Kunden verwalteten Richtlinien

Eingebundene Richtlinien

Eine Inline-Richtlinie ist eine Richtlinie, die für eine einzelne IAM Identität (einen Benutzer, eine Benutzergruppe oder eine Rolle) erstellt wurde. Inline-Richtlinien halten eine strikte one-to-one Beziehung zwischen einer Richtlinie und einer Identität aufrecht. Sie werden gelöscht, wenn Sie die Identität löschen. Sie können eine Richtlinie erstellen und sie entweder, wenn Sie die Identität erstellen, oder später in eine Identität einbetten. Wenn eine Richtlinie für mehr als eine Entität gelten könnte, ist es besser, eine verwaltete Richtlinie zu verwenden.

Die eingebundenen Richtlinien sind in der folgenden Abbildung dargestellt. Jede Richtlinie ist unabdingbarer Bestandteil des Benutzers, der Gruppe oder der Rolle. Beachten Sie, dass zwei Rollen dieselbe Richtlinie enthalten (die Richtlinie DynamoDB-books-app), aber sie verwenden keine Richtlinie gemeinsam. Jede Rolle hat ihre eigene Kopie der Richtlinie.