Beispiele für Richtlinienübersichten - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiele für Richtlinienübersichten

Die folgenden Beispiele enthalten JSON-Richtlinien mit ihren zugehörigen Richtlinienübersichten, den Serviceübersichten und den Aktionsübersichten, die Ihnen helfen, die über eine Richtlinie erteilten Berechtigungen zu verstehen.

Richtlinie 1: DenyCustomerBucket

Diese Richtlinie enthält eine Zugriffsberechtigung und eine Zugriffsverweigerung für denselben Service.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "FullAccess", "Effect": "Allow", "Action": ["s3:*"], "Resource": ["*"] }, { "Sid": "DenyCustomerBucket", "Action": ["s3:*"], "Effect": "Deny", "Resource": ["arn:aws:s3:::customer", "arn:aws:s3:::customer/*" ] } ] }

DenyCustomerBucket Richtlinienübersicht:

Abbildung des Dialogfelds für die Richtlinienübersicht

DenyCustomerBucket S3 (explizite Zugriffsverweigerung) Serviceübersicht:

Abbildung des Dialogfelds für die Serviceübersicht

GetObject (Read) Aktionsübersicht:

Abbildung des Dialogfelds für die Aktionsübersicht

Richtlinie 2: DynamoDbRowCognitoID

Diese Richtlinie ermöglicht den zeilenweisen Zugriff auf Amazon DynamoDB basierend auf der Amazon Cognito-ID des Benutzers.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:DeleteItem", "dynamodb:GetItem", "dynamodb:PutItem", "dynamodb:UpdateItem" ], "Resource": [ "arn:aws:dynamodb:us-west-1:123456789012:table/myDynamoTable" ], "Condition": { "ForAllValues:StringEquals": { "dynamodb:LeadingKeys": [ "${cognito-identity.amazonaws.com:sub}" ] } } } ] }

DynamoDbRowCognitoID Richtlinienübersicht:

Abbildung des Dialogfelds für die Richtlinienübersicht

DynamoDbRowCognitoID DynamoDB (Allow) Serviceübersicht:

Abbildung des Dialogfelds für die Serviceübersicht

GetItem (List) Aktionsübersicht:

Abbildung des Dialogfelds für die Aktionsübersicht

Richtlinie 3: MultipleResourceCondition

Diese Richtlinie umfasst mehrere Ressourcen und Bedingungen.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectAcl" ], "Resource": ["arn:aws:s3:::Apple_bucket/*"], "Condition": {"StringEquals": {"s3:x-amz-acl": ["public-read"]}} }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectAcl" ], "Resource": ["arn:aws:s3:::Orange_bucket/*"], "Condition": {"StringEquals": { "s3:x-amz-acl": ["custom"], "s3:x-amz-grant-full-control": ["1234"] }} } ] }

MultipleResourceCondition Richtlinienübersicht:

Abbildung des Dialogfelds für die Richtlinienübersicht

MultipleResourceCondition S3 (Allow) Serviceübersicht:

Abbildung des Dialogfelds für die Serviceübersicht

PutObject (Write) Aktionsübersicht:

Abbildung des Dialogfelds für die Aktionsübersicht

Richtlinie 4: EC2_Troubleshoot

Die folgende Richtlinie ermöglicht es den Benutzern, einen Screenshot von einer laufenden Amazon EC2-Instance zu erstellen, um die EC2-Fehlerbehebung zu unterstützen. Diese Richtlinie ermöglicht es außerdem, Informationen zu den Elementen im Amazon S3-Entwickler-Bucket anzuzeigen.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:GetConsoleScreenshot" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::developer" ] } ] }

EC2_Troubleshoot Richtlinienübersicht:

Abbildung des Dialogfelds für die Richtlinienübersicht

EC2_Troubleshoot S3 (Allow) Serviceübersicht:

Abbildung des Dialogfelds für die Serviceübersicht

ListBucket (List) Aktionsübersicht:

Abbildung des Dialogfelds für die Aktionsübersicht

Richtlinie 5: CodeBuild_CodeCommit_CodeDeploy

Diese Richtlinie erteilt die Zugriffsberechtigung auf bestimmte CodeBuild-, CodeCommit- und CodeDeploy-Ressourcen. Da diese Ressourcen für jeden Service spezifisch sind, erscheinen Sie nur zusammen mit dem zugehörigen Service. Wenn Sie eine Ressource aufführen, die keinem Service im Action-Element entspricht, erscheint die Ressource in allen Aktionsübersichten.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1487980617000", "Effect": "Allow", "Action": [ "codebuild:*", "codecommit:*", "codedeploy:*" ], "Resource": [ "arn:aws:codebuild:us-east-2:123456789012:project/my-demo-project", "arn:aws:codecommit:us-east-2:123456789012:MyDemoRepo", "arn:aws:codedeploy:us-east-2:123456789012:application:WordPress_App", "arn:aws:codedeploy:us-east-2:123456789012:instance/AssetTag*" ] } ] }

CodeBuild_CodeCommit_CodeDeploy Richtlinienübersicht:

Abbildung des Dialogfelds für die Richtlinienübersicht

CodeBuild_CodeCommit_CodeDeploy CodeBuild (Allow) Serviceübersicht:

Abbildung des Dialogfelds für die Serviceübersicht

CodeBuild_CodeCommit_CodeDeploy StartBuild (Write) Aktionsübersicht:

Abbildung des Dialogfelds für die Aktionsübersicht