IAMTesten von Richtlinien mit dem IAM Richtliniensimulator - AWS Identitäts- und Zugriffsverwaltung
Funktionsweise des IAM-RichtliniensimulatorsFür die Verwendung des IAM Richtliniensimulators sind Berechtigungen erforderlichVerwenden des IAM-Richtliniensimulators (Konsole)Verwenden des IAM Richtliniensimulators (AWS CLI und AWS API)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAMTesten von Richtlinien mit dem IAM Richtliniensimulator

Weitere Informationen darüber, wie und warum IAM Richtlinien verwendet werden sollten, finden Sie unterRichtlinien und Berechtigungen in AWS Identity and Access Management.

Sie können auf die IAM Policy Simulator-Konsole zugreifen unter: https://policysim.aws.amazon.com/

Wichtig

Die Ergebnisse des Richtliniensimulators können von Ihrer AWS Live-Umgebung abweichen. Wir empfehlen Ihnen, Ihre Richtlinien nach dem Testen mit dem Richtliniensimulator mit Ihrer AWS Live-Umgebung zu vergleichen, um sicherzustellen, dass Sie die gewünschten Ergebnisse erzielt haben. Weitere Informationen finden Sie unter Funktionsweise des IAM-Richtliniensimulators.

Mit dem IAM Richtliniensimulator können Sie identitätsbasierte Richtlinien und IAM Berechtigungsgrenzen testen und Fehler beheben. Im Folgenden finden Sie einige gängige Aktionen, die Sie mit dem Richtliniensimulator ausführen können:

  • Testen Sie identitätsbasierte Richtlinien, die IAM Benutzern, IAM Gruppen oder Rollen in Ihrem zugeordnet sind. AWS-Konto Wenn mehrere Richtlinie mit dem Benutzer, der Gruppe oder der Rolle verknüpft sind, können Sie alle Richtlinien testen oder einzelne Richtlinien für den Test auswählen. Sie können testen, welche Aktionen die ausgewählten Richtlinien für bestimmte Ressourcen zulassen oder verweigern.

  • Testen und beheben Sie die Auswirkungen von Berechtigungsgrenzen auf IAM Entitäten. Hinweis: Sie können jeweils nur eine Berechtigungsgrenze simulieren.

  • Testen Sie die Auswirkungen ressourcenbasierter Richtlinien auf IAM Benutzer, die an AWS Ressourcen wie Amazon S3-Buckets, SQS Amazon-Warteschlangen, SNS Amazon-Themen oder Amazon S3 Glacier-Tresore angehängt sind. Um eine ressourcenbasierte Richtlinie im Richtliniensimulator für IAM Benutzer zu verwenden, müssen Sie die Ressource in die Simulation einbeziehen. Sie müssen außerdem das Kontrollkästchen aktivieren, um die Richtlinie dieser Ressource in die Simulation aufzunehmen.

    Anmerkung

    Die Simulation ressourcenbasierter Richtlinien wird für Rollen nicht unterstützt. IAM

  • Wenn Sie AWS-Konto Mitglied einer Organisation in sind, können Sie testen AWS Organizations, wie sich Richtlinien zur Dienststeuerung (SCPs) auf Ihre identitätsbasierten Richtlinien auswirken.

    Anmerkung

    Der Richtliniensimulator bewertet nicht, ob SCPs dafür irgendwelche Bedingungen erfüllt sind.

  • Testen Sie neue identitätsbasierten Richtlinien, die noch nicht mit einem Benutzer, einer Gruppe oder einer Rolle verknüpft sind, indem Sie sie in den Richtliniensimulator eingeben oder dorthin kopieren. Diese werden nur in der Simulation verwendet, aber nicht gespeichert. Sie können eine ressourcenbasierte Richtlinie nicht in den Richtliniensimulator eingeben oder dorthin kopieren.

  • Testen Sie identitätsbasierte Richtlinien mit ausgewählten Services, Aktionen und Ressourcen. Sie können beispielsweise Ihre Richtlinie dahingehend testen, um sicherzustellen, dass sie einer Entität ermöglicht, die Aktionen ListAllMyBuckets, CreateBucket und DeleteBucket im Amazon S3-Service für einen bestimmten Bucket auszuführen.

  • Simulieren Sie realitätsnahe Szenarien durch Bereitstellen von Kontextschlüsseln, z. B. eine IP-Adresse oder ein Datum, die in den Condition-Elementen der zu testenden Richtlinien enthalten sind.

    Anmerkung

    Der Richtliniensimulator simuliert keine als Eingabe bereitgestellten Tags, wenn die identitätsbasierte Richtlinie in der Simulation kein Condition-Element enthält, das explizit nach Tags sucht.

  • Bestimmen Sie, welche spezifische Anweisung in einer identitätsbasierten Richtlinie zur Folge hat, dass Zugriff auf eine bestimmte Ressource oder Aktion gewährt oder verweigert wird.

Funktionsweise des IAM-Richtliniensimulators

Der Richtliniensimulator bewertet die Aussagen der identitätsbasierten Richtlinie und die Eingaben, die Sie während der Simulation angeben. Die Ergebnisse des Richtliniensimulators können von Ihrer AWS -Live-Umgebung abweichen. Wir empfehlen Ihnen, Ihre Richtlinien nach dem Testen mit dem Richtliniensimulator mit Ihrer AWS Live-Umgebung zu vergleichen, um sicherzustellen, dass Sie die gewünschten Ergebnisse erzielt haben.

Der Richtliniensimulator unterscheidet sich in folgenden Punkten von der AWS Live-Umgebung:

  • Der Richtliniensimulator stellt keine tatsächliche AWS Serviceanfrage, sodass Sie Anfragen, die zu unerwünschten Änderungen an Ihrer AWS Live-Umgebung führen könnten, sicher testen können. Der Richtliniensimulator berücksichtigt die Schlüsselwerte des realen Kontextes in der Produktion nicht.

  • Da der Richtliniensimulator nicht die Ausführung der ausgewählten Aktionen simuliert, kann er keine Antwort auf die simulierte Anforderung melden. Als einziges Ergebnis wird zurückgegeben, ob die angeforderte Aktion gewährt oder verweigert wird.

  • Wenn Sie eine Richtlinie im Richtliniensimulator bearbeiten, wirken sich diese Änderungen nur auf den Richtliniensimulator aus. Die entsprechende Richtlinie in Ihrem AWS-Konto bleibt unverändert.

  • Sie können die Richtlinien zur Dienstkontrolle (SCPs) nicht unter irgendwelchen Bedingungen testen.

  • Der Richtliniensimulator unterstützt keine Simulation für Ressourcenkontrollrichtlinien (RCPs).

  • Der Richtliniensimulator unterstützt keine Simulation für IAM Rollen und Benutzer für den kontoübergreifenden Zugriff.

Anmerkung

Der IAM Richtliniensimulator bestimmt nicht, welche Dienste globale Bedingungsschlüssel für die Autorisierung unterstützen. Der Richtliniensimulator erkennt beispielsweise nicht, dass ein Service aws:TagKeys nicht unterstützt.

Für die Verwendung des IAM Richtliniensimulators sind Berechtigungen erforderlich

Sie können die Richtliniensimulator-Konsole oder den Richtliniensimulator verwendenAPI, um Richtlinien zu testen. Standardmäßig können Konsolenbenutzer Richtlinien testen, die noch nicht mit einem Benutzer, einer Gruppe oder einer Rolle verknüpft sind, indem sie diese in den Richtliniensimulator eingeben oder dorthin kopieren. Diese Richtlinien werden nur in der Simulation verwendet und legen keine vertrauliche Informationen offen. APIBenutzer müssen über Berechtigungen zum Testen nicht angefügter Richtlinien verfügen. Sie können der Konsole oder API Benutzern erlauben, Richtlinien zu testen, die IAM Benutzern, IAM Gruppen oder Rollen in Ihrem AWS-Konto System zugewiesen sind. Hierzu müssen Sie die Berechtigung zum Abrufen dieser Richtlinien bereitstellen. Um ressourcenbasierte Richtlinien zu testen, müssen die Benutzer die Berechtigung zum Abrufen der Ressourcenrichtlinie besitzen.

Beispiele für Konsolen und API Richtlinien, die es einem Benutzer ermöglichen, Richtlinien zu simulieren, finden Sie unterBeispielrichtlinien: AWS Identity and Access Management (IAM).

Erforderliche Berechtigungen für die Verwendung der Richtliniensimulator-Konsole

Sie können Benutzern erlauben, Richtlinien zu testen, die IAM Benutzern, IAM Gruppen oder Rollen in Ihrem System zugeordnet sind AWS-Konto. Hierzu müssen Sie Ihren Benutzern Berechtigungen zum Abrufen dieser Richtlinien geben. Um ressourcenbasierte Richtlinien zu testen, müssen die Benutzer die Berechtigung zum Abrufen der Ressourcenrichtlinie besitzen.

Unter IAM: Zugriff auf die Richtliniensimulator-Konsole finden Sie eine Beispielrichtlinie, die die Verwendung der Richtliniensimulator-Konsole für die Richtlinien ermöglicht, die mit einem Benutzer, einer Gruppe oder einer Rolle verknüpft sind.

Eine Beispielrichtlinie, die die Verwendung der Richtliniensimulator-Konsole nur für die Benutzer mit einem bestimmten Pfad ermöglicht, finden Sie unter IAM: Zugriff auf die Richtliniensimulator-Konsole basierend auf dem Benutzerpfad.

Um eine Richtlinie zu erstellen, die die Verwendung der Richtliniensimulator-Konsole nur für einen Entitätstyp ermöglicht, führen Sie die folgenden Verfahren.

So ermöglichen Sie Konsolenbenutzern die Simulation von Richtlinien für Benutzer

Binden Sie die folgenden Aktionen in Ihrer Richtlinie ein:

  • iam:GetGroupPolicy

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:GetUser

  • iam:GetUserPolicy

  • iam:ListAttachedUserPolicies

  • iam:ListGroupsForUser

  • iam:ListGroupPolicies

  • iam:ListUserPolicies

  • iam:ListUsers

Um Konsolenbenutzern zu ermöglichen, Richtlinien für IAM Gruppen zu simulieren

Binden Sie die folgenden Aktionen in Ihrer Richtlinie ein:

  • iam:GetGroup

  • iam:GetGroupPolicy

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:ListAttachedGroupPolicies

  • iam:ListGroupPolicies

  • iam:ListGroups

So ermöglichen Sie Konsolenbenutzern die Simulation von Richtlinien für Rollen

Binden Sie die folgenden Aktionen in Ihrer Richtlinie ein:

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:GetRole

  • iam:GetRolePolicy

  • iam:ListAttachedRolePolicies

  • iam:ListRolePolicies

  • iam:ListRoles

Um ressourcenbasierte Richtlinien zu testen, müssen die Benutzer die Berechtigung zum Abrufen der Ressourcenrichtlinie besitzen.

So ermöglichen Sie Konsolenbenutzern das Testen von ressourcenbasierten Richtlinien in einem Amazon S3-Bucket

Binden Sie die folgenden Aktionen in Ihrer Richtlinie ein:

  • s3:GetBucketPolicy

Die folgende Richtlinie verwendet diese Aktion beispielsweise, damit Konsolenbenutzer eine ressourcenbasierte Richtlinie in einem bestimmten Amazon S3-Bucket simulieren können.

{
        "Version": "2012-10-17",
        "Statement": [
          {
            "Effect": "Allow",
            "Action": "s3:GetBucketPolicy",
            "Resource":"arn:aws:s3:::bucket-name/*"
          }
        ]
      }

Für die Verwendung des Richtliniensimulators sind Berechtigungen erforderlich API

Der Richtliniensimulator API funktioniert GetContextKeyForCustomPolicyund SimulateCustomPolicyermöglicht es Ihnen, Richtlinien zu testen, die noch keinem Benutzer, keiner Benutzergruppe oder Rolle zugeordnet sind. Um solche Richtlinien zu testen, übergeben Sie die Richtlinien als Zeichenketten an dieAPI. Diese Richtlinien werden nur in der Simulation verwendet und legen keine vertrauliche Informationen offen. Sie können die auch verwendenAPI, um Richtlinien zu testen, die IAM Benutzern, IAM Gruppen oder Rollen in Ihrem zugeordnet sind AWS-Konto. Dazu müssen Sie Benutzern Berechtigungen zum Anrufen von GetContextKeyForPrincipalPolicyund gewähren SimulatePrincipalPolicy.

Ein Beispiel für eine Richtlinie, die die Verwendung des Richtliniensimulators API für angefügte und nicht verknüpfte Richtlinien in der aktuellen Version ermöglicht AWS-Konto, finden Sie unterIAM: Zugriff auf die Richtliniensimulator-API.

Gehen Sie wie folgt vor, um eine Richtlinie zu erstellen, mit der der Richtliniensimulator nur API für einen Richtlinientyp verwendet werden kann.

Damit API Benutzer Richtlinien simulieren können, die direkt an die API AS-Zeichenfolgen übergeben werden

Binden Sie die folgenden Aktionen in Ihrer Richtlinie ein:

  • iam:GetContextKeysForCustomPolicy

  • iam:SimulateCustomPolicy

Damit API Benutzer Richtlinien simulieren können, die IAM Benutzern, IAM Gruppen, Rollen oder Ressourcen zugeordnet sind

Binden Sie die folgenden Aktionen in Ihrer Richtlinie ein:

  • iam:GetContextKeysForPrincipalPolicy

  • iam:SimulatePrincipalPolicy

Wenn Sie beispielsweise dem Benutzer Bob die Berechtigung zum Simulieren einer Richtlinie erteilen, die der Benutzerin Alice zugewiesen sind, gewähren Sie Bob Zugriff auf die folgende Ressource: arn:aws:iam::777788889999:user/alice.

Ein Beispiel für eine Richtlinie, die die Verwendung des Richtliniensimulators API nur für Benutzer mit einem bestimmten Pfad ermöglicht, finden Sie unterIAM: Zugriff auf die Richtliniensimulator-API basierend auf dem Benutzerpfad.

Verwenden des IAM-Richtliniensimulators (Konsole)

Standardmäßig können Benutzer Richtlinien testen, die noch nicht mit einem Benutzer, einer Gruppe oder einer Rolle verknüpft sind, indem sie diese in die Konsole des Richtliniensimulators eingeben oder dorthin kopieren. Diese Richtlinien werden nur in der Simulation verwendet und legen keine vertrauliche Informationen offen.

So testen Sie eine Richtlinie, die keinem Benutzer bzw. keiner Gruppe oder Rolle (Konsole) angefügt ist

  1. Öffnen Sie die IAM Policy-Simulator-Konsole unter: https://policysim.aws.amazon.com/.

  2. Wählen Sie im Menü Mode: (Modus:) oben auf der Seite die Option New Policy (Neue Richtlinie).

  3. Wählen Sie unter Policy Sandbox (Richtlinien-Sandbox) die Option Create New Policy (Neue Richtlinie erstellen).

  4. Geben Sie eine Richtlinie in den Richtliniensimulator ein bzw. kopieren Sie sie dorthin und verwenden Sie den Richtliniensimulator wie in den folgenden Schritten beschrieben.

Sobald Sie über die Berechtigung zur Verwendung der IAM Policy Simulator-Konsole verfügen, können Sie den Richtliniensimulator verwenden, um einen IAM Benutzer, eine Benutzergruppe, eine Rolle oder eine Ressourcenrichtlinie zu testen.

So testen Sie eine Richtlinie, die einem Benutzer bzw. einer Gruppe oder Rolle (Konsole) angefügt ist

  1. Öffnen Sie die IAM Richtliniensimulator-Konsole unter https://policysim.aws.amazon.com/.

    Anmerkung

    Um sich als IAM Benutzer beim Richtliniensimulator anzumelden, verwenden Sie Ihre eindeutige Anmeldung, URL um sich bei der AWS Management Console anzumelden. Rufen Sie dann die Website https://policysim.aws.amazon.com/ auf. Weitere Informationen zur Anmeldung als IAM Benutzer finden Sie unterSo melden sich IAM Benutzer an AWS.

    Der Richtliniensimulator wird im Modus „Bestehende Richtlinien“ geöffnet und listet die IAM Benutzer in Ihrem Konto unter Benutzer, Gruppen und Rollen auf.

  2. Wählen Sie die Option aus, die für Ihre Aufgabe geeignet ist:

    So testen Sie Folgendes: Vorgehensweise:
    Eine mit einem Benutzer verknüpfte Richtlinie Wählen Sie die Option Users (Benutzer) in der Liste Users, Groups, and Roles (Benutzer, Gruppen und Rollen). Wählen Sie dann den Benutzer.
    Eine mit einer Gruppe verknüpfte Richtlinie Wählen Sie die Option Groups (Gruppen) in der Liste Users, Groups, and Roles (Benutzer, Gruppen und Rollen). Wählen Sie dann die Gruppe.
    Eine mit einer Rolle verknüpfte Richtlinie Wählen Sie die Option Roles (Rollen) in der Liste Users, Groups, and Roles (Benutzer, Gruppen und Rollen). Wählen Sie dann die Rolle.
    Eine mit einer Ressource verknüpfte Richtlinie Siehe Schritt 9.
    Eine benutzerdefinierte Richtlinie für einen Benutzer, eine Gruppe oder eine Rolle Wählen Sie Create New Policy (Neue Richtlinie erstellen). Geben Sie im neuen Bereich Policies (Richtlinien) eine Richtlinie ein oder fügen Sie sie ein und wählen Sie dann Apply (Anwenden) aus.
    Tipp

    Um eine Richtlinie zu testen, die einer Benutzergruppe zugeordnet ist, können Sie den IAM Richtliniensimulator direkt von der IAMKonsole aus starten: Wählen Sie im Navigationsbereich Benutzergruppen aus. Wählen Sie den Namen der Gruppe aus, für die Sie eine Richtlinie testen möchten, und klicken Sie dann auf die Registerkarte Permissions (Berechtigungen). Klicken Sie auf Simulieren.

    So testen Sie eine vom Kunden verwaltete Richtlinie, die mit einem Benutzer verknüpft ist: Wählen Sie im Navigationsbereich die Option Users (Benutzer). Klicken Sie auf den Namen des Benutzers, für den Sie eine Richtlinie testen möchten. Klicken Sie dann auf die Registerkarte Permissions (Berechtigungen) und erweitern Sie die zu testende Richtlinie. Wählen Sie ganz rechts die Option Simulate policy (Richtlinie simulieren). Der IAMRichtliniensimulator wird in einem neuen Fenster geöffnet und zeigt die ausgewählte Richtlinie im Bereich Richtlinien an.

  3. (Optional) Wenn Ihr Konto Mitglied einer Organisation in ist AWS Organizations, aktivieren Sie das Kontrollkästchen AWS Organizations SCPsneben „SCPsIn Ihre simulierte Bewertung einbeziehen“. SCPssind JSON Richtlinien, die die maximalen Berechtigungen für eine Organisation oder Organisationseinheit (OU) festlegen. Sie SCP schränkt die Berechtigungen für Entitäten in Mitgliedskonten ein. Wenn ein einen Dienst oder eine Aktion SCP blockiert, kann keine Entität in diesem Konto auf diesen Dienst zugreifen oder diese Aktion ausführen. Dies gilt auch dann, wenn ein Administrator diesem Dienst oder dieser Aktion über eine IAM oder Ressourcenrichtlinie ausdrücklich Berechtigungen erteilt.

    Wenn Ihr Konto kein Mitglied einer Organisation ist, wird das Kontrollkästchen nicht angezeigt.

  4. (Optional) Sie können eine Richtlinie testen, die als Berechtigungsgrenze für eine IAM Entität (Benutzer oder Rolle), aber nicht für IAM Gruppen festgelegt ist. Wenn derzeit eine Berechtigungsgrenzen-Richtlinie für die Entity festgelegt ist, wird sie im Bereich Policies (Richtlinien) angezeigt. Sie können nur eine Berechtigungsgrenze für eine Entity festlegen. Um eine andere Berechtigungsgrenze zu testen, können Sie eine benutzerdefinierte Berechtigungsgrenze erstellen. Wählen Sie dazu die Option Create New Policy (Neue Richtlinie erstellen). Ein neuer Bereich Policies (Richtlinien) wird geöffnet. Wählen Sie im Menü die Option Benutzerdefinierte Grenzrichtlinie IAM für Berechtigungen aus. Geben Sie einen Namen für die neue Richtlinie und anschließend im Feld unten eine Richtlinie ein oder kopieren Sie sie in das Feld. Wählen Sie Apply (Anwenden) aus, um die Richtlinie zu speichern. Wählen Sie als Nächstes Back (Zurück) aus, um zum ursprünglichen Bereich Policies (Richtlinien) zurückzukehren. Aktivieren Sie dann das Kontrollkästchen neben der Berechtigungsgrenze, die Sie für die Simulation verwenden möchten.

  5. (Optional) Sie können nur eine Teilmenge von Richtlinien testen, die einem Benutzer, einer Gruppe oder einer Rolle angefügt sind. Deaktivieren Sie dazu im Bereich Policies (Richtlinien) das Kontrollkästchen neben jeder Richtlinie, die Sie ausschließen möchten.

  6. Klicken Sie unter Policy Simulator (Richtliniensimulator) auf Select service (Service wählen) und wählen Sie den zu testenden Service. Klicken Sie dann auf Select actions (Aktionen wählen) und wählen Sie eine oder mehrere zu testende Aktionen. Obwohl in den Menüs die verfügbaren Auswahlmöglichkeiten für nur jeweils einen Service aufgeführt werden, werden unter Action Settings and Results (Aktionseinstellungen und Ergebnisse) sämtliche von Ihnen ausgewählte Services und Aktionen angezeigt.

  7. (Optional) Wenn eine der in Schritt 2 und Schritt 5 ausgewählten Richtlinien Bedingungen mit den AWSglobalen Bedingungsschlüsseln enthält, dann geben Sie Werte für diese Schlüssel an. Erweitern Sie hierzu den Abschnitt Global Settings (Globale Einstellungen) und geben Sie die entsprechenden Werte für die dort angezeigten Schlüsselnamen ein.

    Warnung

    Wenn Sie den Wert für einen Bedingungsschlüssel nicht angeben, wird dieser Schlüssel während der Simulation ignoriert. In einigen Fällen führt dies zu einem Fehler und die Ausführung der Simulation schlägt fehl. In anderen Fällen wird die Simulation ausgeführt, doch die Ergebnisse sind möglicherweise nicht zuverlässig. In diesen Fällen entspricht die Simulation nicht den realen Bedingungen, zu denen ein Wert für den Bedingungsschlüssel oder die Variable gehört.

  8. (Optional) Jede ausgewählte Aktion wird in der Liste Action Settings and Results (Aktionseinstellungen und Ergebnisse) mit dem Status Not simulated (Nicht simuliert) in der Spalte Permission (Berechtigung) angezeigt, bis Sie die Simulation tatsächlich ausführen. Bevor Sie die Simulation ausführen, können Sie die jeweilige Aktion mit einer Ressource konfigurieren. Um einzelne Aktionen für ein bestimmtes Szenario zu konfigurieren, klicken Sie auf den Pfeil, um die Zeile der Aktion zu erweitern. Wenn die Aktion Berechtigungen auf Ressourcenebene unterstützt, können Sie den Amazon-Ressourcennamen (ARN) der spezifischen Ressource eingeben, deren Zugriff Sie testen möchten. Standardmäßig ist jede Ressource mit einem Platzhalter (*) festgelegt. Sie können auch einen Wert für jeden Bedingungskontextschlüssel angeben. Wie bereits erwähnt, werden Schlüssel mit leeren Werten ignoriert. Dies kann dazu führen, dass die Simulation fehlschlägt oder die Ergebnisse unzuverlässig sind.

    1. Klicken Sie auf den Pfeil neben dem Namen der Aktion, um jede Zeile zu erweitern, und konfigurieren Sie zusätzliche Informationen, die zur genauen Simulation der Aktion in Ihrem Szenario erforderlich sind. Wenn für die Aktion Berechtigungen auf Ressourcenebene erforderlich sind, können Sie den Amazon-Ressourcennamen (ARN) der spezifischen Ressource eingeben, auf die Sie den Zugriff simulieren möchten. Standardmäßig ist jede Ressource mit einem Platzhalter (*) festgelegt.

    2. Wenn die Aktion Berechtigungen auf Ressourcenebene unterstützt, diese jedoch nicht benötigt, können Sie auf Add Resource (Ressource hinzufügen) klicken, um den Ressourcentyp auszuwählen, den Sie zur Simulation hinzufügen möchten.

    3. Wenn eine der ausgewählten Richtlinien ein Condition-Element enthält, das auf einen Kontextschlüssel für den Service dieser Aktion verweist, wird dieser Schlüsselname unter der Aktion angezeigt. Sie können den Wert festlegen, der bei der Simulation dieser Aktion für die angegebene Ressource verwendet werden soll.

    Aktionen, die verschiedene Gruppen von Ressourcentypen erfordern

    Unter verschiedenen Umständen erfordern einige Aktionen unterschiedliche Ressourcentypen. Jede Gruppe von Ressourcentypen ist mit einem Szenario verknüpft. Wenn eines dieser Szenarien auf Ihre Simulation zutrifft, wählen Sie es. Der Richtliniensimulator benötigt die für das jeweilige Szenario geeigneten Ressourcentypen. In der folgenden Liste werden alle unterstützten Szenariomöglichkeiten sowie die Ressourcen angezeigt, die Sie zum Ausführen der Simulation definieren müssen.

    Für jedes der folgenden EC2 Amazon-Szenarien müssen Sie, instanceimage, und security-group Ressourcen angeben. Wenn Ihr Szenario ein EBS Volume umfasst, müssen Sie dieses volume als Ressource angeben. Wenn das EC2 Amazon-Szenario eine virtuelle private Cloud (VPC) beinhaltet, müssen Sie die network-interface Ressource bereitstellen. Wenn es ein IP-Subnetz umfasst, müssen Sie die Ressource subnet angeben. Weitere Informationen zu den EC2 Amazon-Szenariooptionen finden Sie unter Unterstützte Plattformen im EC2Amazon-Benutzerhandbuch.

    • EC2-VPC-InstanceStore

      instance, image, security-group, network-interface

    • EC2- VPC - InstanceStore -Subnetz

      instance, image, security-group, network-interface, subnet

    • EC2-VPC-EBS

      instance, image, security-group, network-interface, volume

    • EC2- - -Subnetz VPC EBS

      instance, image, security-group, network-interface, subnet, volume

  9. (Optional) Wenn Sie eine ressourcenbasierte Richtlinie in Ihre Simulation einbinden möchten, müssen Sie zunächst die Aktionen auswählen, die Sie für diese Ressource in Schritt 6 simulieren möchten. Erweitern Sie die Zeilen für die ausgewählten Aktionen und geben Sie die Ressource mit ARN der Richtlinie ein, die Sie simulieren möchten. Wählen Sie dann neben dem ARNTextfeld die Option Ressourcenrichtlinie einbeziehen aus. Der IAM Richtliniensimulator unterstützt derzeit ressourcenbasierte Richtlinien nur von den folgenden Diensten: Amazon S3 (nur ressourcenbasierte Richtlinien; ACLs werden derzeit nicht unterstützt), AmazonSQS, Amazon SNS und entsperrte S3 Glacier-Tresore (gesperrte Tresore werden derzeit nicht unterstützt).

  10. Wählen Sie rechts oben die Option Run Simulation (Simulationen ausführen).

    Die Spalte Permission (Berechtigung) in der jeweiligen Zeile der Liste Action Settings and Results (Aktionseinstellungen und Ergebnisse) zeigt das Simulationsergebnis dieser Aktion für die angegebene Ressource an.

  11. Um zu sehen, welche Aussage in einer Richtlinie eine Aktion ausdrücklich zugelassen oder verweigert hat, wählen Sie N Link zu den entsprechenden Anweisungen in der Spalte Berechtigungen, um die Zeile zu erweitern. Klicken Sie dann auf den Link Show statement (Anweisung anzeigen). Im Bereich Policies (Richtlinien) wird die relevante Richtlinie mit der Anweisung, die das Simulationsergebnis beeinflusst hat, hervorgehoben angezeigt.

    Anmerkung

    Wenn eine Aktion implizit verweigert wird d. h. wenn die Aktion nur verweigert wird, weil sie nicht explizit zugelassen ist, werden die Optionen List (Anweisung auflisten) und Show statement (Anweisung anzeigen) nicht angezeigt.

Fehlerbehebung bei Meldungen in der Konsole des IAM-Richtliniensimulators

In der folgenden Tabelle sind die Informations- und Warnmeldungen aufgeführt, die bei der Verwendung des IAM Richtliniensimulators auftreten können. Die Tabelle enthält außerdem Schritte, die Sie zur Fehlerbehebung ausführen können.

Fehlermeldung Schritte zur Fehlerbehebung
Diese Richtlinie wurde bearbeitet. Änderungen werden nicht in Ihrem Konto gespeichert.

Es ist keine Aktion erforderlich.

Diese Meldung dient nur zu Informationszwecken. Wenn Sie eine bestehende Richtlinie im IAM Richtliniensimulator bearbeiten, hat Ihre Änderung keine Auswirkungen auf Ihre AWS-Konto. Die Richtliniensimulator ermöglicht es Ihnen, ausschließlich für Testzwecke Änderungen an Richtlinien vorzunehmen.
Die Ressourcenrichtlinie kann nicht abgerufen werden. Grund: detailed error message Der Richtliniensimulator kann nicht auf eine angeforderte ressourcenbasierte Richtlinie zugreifen. Stellen Sie sicher, dass die angegebene Ressource korrekt ARN ist und dass der Benutzer, der die Simulation ausführt, berechtigt ist, die Ressourcenrichtlinie zu lesen.
Eine oder mehrere Richtlinien benötigen Werte in den Simulationseinstellungen. Ohne diese Werte schlägt die Simulation möglicherweise fehl.

Diese Meldung wird angezeigt, wenn die getestete Richtlinie Bedingungsschlüssel oder Variablen enthält, Sie jedoch keine Werte für diese Schlüssel oder Variablen unter Simulation Settings (Simulationseinstellungen) angegeben haben.

Um diese Meldung zu schließen, wählen Sie Simulation Settings (Simulationseinstellungen) aus und geben einen Wert für den jeweiligen Bedingungsschlüssel oder die jeweilige Variable ein.
Sie haben Richtlinien geändert. Diese Ergebnisse sind nicht mehr gültig.

Diese Meldung wird angezeigt, wenn Sie die ausgewählte Richtlinie geändert haben, während die Ergebnisse im Bereich Results (Ergebnisse) angezeigt wurden. Die im Bereich Results (Ergebnisse) angezeigten Ergebnisse wird nicht dynamisch aktualisiert.

Um diese Meldung zu schließen, wählen Sie erneut Run Simulation (Simulation ausführen) aus, um die neuen Simulationsergebnisse basierend auf den im Bereich Policies (Richtlinien) vorgenommenen Änderungen anzuzeigen.
Die Ressource, die Sie für diese Simulation eingegeben haben, entspricht nicht diesem Service.

Diese Meldung wird angezeigt, wenn Sie im Bereich Simulationseinstellungen einen Amazon-Ressourcennamen (ARN) eingegeben haben, der nicht mit dem Service übereinstimmt, den Sie für die aktuelle Simulation ausgewählt haben. Diese Meldung wird beispielsweise angezeigt, wenn Sie eine ARN für eine Amazon DynamoDB DynamoDB-Ressource angeben, aber Amazon Redshift als zu simulierenden Service ausgewählt haben.

Führen Sie einen der folgenden Schritte aus, um diese Meldung zu schließen:

  • Entfernen Sie das ARN aus dem Feld im Bereich Simulationseinstellungen.

  • Wählen Sie den Dienst aus, der dem entsprichtARN, den Sie in den Simulationseinstellungen angegeben haben.
Diese Aktion gehört zu einem Service, der zusätzlich zu ressourcenbasierten Richtlinien, wie Amazon S3 ACLs oder S3 Glacier Vault Lock-Richtlinien, spezielle Zugriffskontrollmechanismen unterstützt. Der Richtliniensimulator bietet keine Unterstützung für diese Mechanismen, sodass sich die Ergebnisse von Ihrer Produktionsumgebung unterscheiden können.

Es ist keine Aktion erforderlich.

Diese Meldung dient nur zu Informationszwecken. In der aktuellen Version bewertet der Richtliniensimulator Richtlinien, die Benutzern und IAM Gruppen zugewiesen sind, und kann ressourcenbasierte Richtlinien für Amazon S3, Amazon SQSSNS, Amazon und S3 Glacier auswerten. Der Richtliniensimulator unterstützt nicht alle Zugriffskontrollmechanismen, die von anderen AWS -Services unterstützt werden.
DynamoDB FGAC wird derzeit nicht unterstützt.

Es ist keine Aktion erforderlich.

Diese Informationsmeldung bezieht sich auf eine differenzierte Zugriffskontrolle. Eine differenzierte Zugriffskontrolle ist die Möglichkeit, mithilfe von IAM Richtlinienbedingungen zu bestimmen, wer auf einzelne Datenelemente und Attribute in DynamoDB-Tabellen und -Indizes zugreifen kann. Sie bezieht sich auch auf die Aktionen, die für diese Tabellen und Indizes ausgeführt werden können. Die aktuelle Version des IAM Richtliniensimulators unterstützt diese Art von Richtlinienbedingung nicht. Weitere Informationen zur fein abgestuften DynamoDB-Zugriffskontrolle finden Sie unter Fein abgestufte Zugriffskontrolle für DynamoDB.
Sie verfügen über Richtlinien, die nicht mit der Richtliniensyntax übereinstimmen. Sie können die Richtlinienvalidierung zum Überprüfen und Akzeptieren der empfohlenen Updates für Ihre Richtlinien verwenden.

Diese Meldung wird ganz oben in der Richtlinienliste angezeigt, wenn Sie Richtlinien haben, die nicht der IAM Richtliniengrammatik entsprechen. Um diese Richtlinien zu simulieren, lesen Sie die Optionen für die Richtlinienvalidierung unter IAMÜberprüfung der Richtlinien, um diese Richtlinien zu identifizieren und zu beheben.
Diese Richtlinie muss aktualisiert werden, um die neuesten Regeln der Richtliniensyntax zu erfüllen.

Diese Meldung wird angezeigt, wenn Sie Richtlinien haben, die nicht der IAM Richtliniengrammatik entsprechen. Um diese Richtlinien zu simulieren, lesen Sie die Optionen für die Richtlinienvalidierung unter IAMÜberprüfung der Richtlinien, um diese Richtlinien zu identifizieren und zu beheben.

Verwenden des IAM Richtliniensimulators (AWS CLI und AWS API)

Befehle des Richtliniensimulators erfordern in der Regel API Aufrufoperationen, um zwei Dinge zu tun:

  1. Bewerten der Richtlinien und Zurückgeben der Liste der Kontextschlüssel, auf die sie verweisen. Sie müssen wissen, auf welche Kontextschlüssel verwiesen wird, sodass Sie im nächsten Schritt Werte für diese angeben können.

  2. Simulieren von Richtlinien, wobei eine Liste der Aktionen, Ressourcen und Kontextschlüssel bereitgestellt wird, die während der Simulation verwendet werden.

Aus Sicherheitsgründen wurden die API Operationen in zwei Gruppen unterteilt:

In beiden Fällen simulieren die API Operationen die Auswirkung einer oder mehrerer Richtlinien auf eine Liste von Aktionen und Ressourcen. Die jeweilige Aktion bildet mit der jeweiligen Ressource ein Paar. Die Simulation bestimmt, ob die Richtlinien diese Aktion für diese Ressource zulassen oder verweigern. Sie können auch Werte für Kontextschlüssel angeben, auf die Ihre Richtlinien verweisen. Sie können die Liste der Kontextschlüssel abrufen, auf die die Richtlinien verweisen, indem Sie zuerst GetContextKeysForCustomPolicy oder GetContextKeysForPrincipalPolicy aufrufen. Wenn Sie keinen Wert für einen Kontextschlüssel angeben, wird die Simulation weiterhin ausgeführt. Die Ergebnisse sind jedoch möglicherweise nicht zuverlässig, da der Richtliniensimulator diesen Kontextschlüssel nicht in der Bewertung berücksichtigen kann.

Um die Liste der Kontextschlüssel (AWS CLI, AWS API) abzurufen

Verwenden Sie die folgenden Informationen, um eine Liste von Richtlinien zu bewerten und eine Liste der Kontextschlüssel zurückzugeben, die in den Richtlinien verwendet werden.

Um IAM Richtlinien zu simulieren (AWS CLI, AWS API)

Verwenden Sie Folgendes, um IAM Richtlinien zu simulieren und die effektiven Berechtigungen eines Benutzers zu ermitteln.