Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste
Jeder AWS Dienst kann Aktionen, Ressourcen und Bedingungskontextschlüssel für die Verwendung in IAM-Richtlinien definieren. In diesem Thema wird beschrieben, wie die für die einzelnen Services bereitgestellten Elemente dokumentiert sind.
Jedes Thema besteht aus Tabellen mit Listen der verfügbaren Aktionen, Ressourcen und Bedingungsschlüssel.
Die Tabelle der Aktionen
Die Tabelle Actions (Aktionen) listet alle Aktionen auf, die Sie im Element Action einer IAM-Richtlinienanweisung verwenden können. Nicht alle API-Produktionen, die von einem Service definiert werden, können in einer IAM-Richtlinie als Aktion verwendet werden. Einige Services enthalten „nur mit Berechtigung“-Aktionen, die nicht direkt einer API-Operation entsprechen. Diese Aktionen sind mit [nur mit Genehmigung] gekennzeichnet. Verwenden Sie diese Liste, um zu ermitteln, welche Aktionen Sie in einer IAM-Richtlinie verwenden können. Weitere Informationen zu den Elementen Action, Resource oder Condition finden Sie unter IAM-JSON-Richtlinienelementreferenz. Die Tabellenspalten Actions (Aktionen) und Description (Beschreibung) sind selbsterklärend.
-
Die Spalte Zugriffsebene gibt an, wie die Aktion klassifiziert ist (Auflisten, Lesen, Schreiben, Berechtigungsverwaltung oder Tagging). Diese Klassifizierung gibt an, welche Zugriffsebene die betreffende Aktion gewährt, wenn Sie sie in einer Richtlinie verwenden. Weitere Informationen über Zugriffsebenen finden Sie unter Übersicht auf Zugriffsebene innerhalb von Richtlinienübersichten.
-
Die Spalte Ressourcentypen gibt an, ob die Aktion Berechtigungen auf Ressourcenebene unterstützt. Wenn die Spalte leer ist, unterstützt die Aktion keine Berechtigungen auf Ressourcenebene und Sie müssen alle Ressourcen („*“) in Ihrer Richtlinie angeben. Wenn die Spalte einen Ressourcentyp enthält, können Sie den Ressourcen-ARN im Element
ResourceIhrer Richtlinie angeben. Weitere Informationen zu dieser Ressource finden Sie in der entsprechenden Zeile der Tabelle Ressourcentypen. Alle Aktionen und Ressourcen, die in einer einzelnen Anweisung enthalten sind, müssen miteinander kompatibel sein. Wenn Sie eine Ressource angeben, die für die Aktion nicht gültig ist, schlägt eine Anforderung zum Verwenden der Aktion fehl und das ElementEffectder Anweisung wird nicht angewendet.Erforderliche Ressourcen sind in der Tabelle mit einem Sternchen (*) gekennzeichnet. Wenn Sie einen Berechtigungs-ARN auf Ressourcenebene in einer Anweisung mit dieser Aktion angeben, muss er von diesem Typ sein. Einige Aktionen unterstützen mehrere Ressourcentypen. Wenn der Ressourcentyp optional ist (nicht als erforderlich angegeben), können Sie sich für einen Typ entscheiden.
-
Die Spalte Bedingungsschlüssel enthält Schlüssel, die Sie im Element
Conditioneiner Richtlinienanweisung angeben können. Bedingungsschlüssel können mit einer Aktion oder mit einer Aktion und einer bestimmten Ressource unterstützt werden. Achten Sie genau darauf, ob sich der Schlüssel in derselben Zeile wie ein bestimmter Ressourcentyp befindet. Diese Tabelle enthält keine globalen Bedingungsschlüssel, die für Aktionen oder unter nicht damit im Zusammenhang stehenden Umständen verfügbar sind. Weitere Informationen über globale Bedingungsschlüssel finden Sie unter Globale AWS -Bedingungskontextschlüssel. -
Die Spalte Abhängige Aktionen gibt alle Berechtigungen an, die Sie zusätzlich zur Berechtigung für die Aktion selbst benötigen, damit die Aktion erfolgreich aufgerufen werden kann. Dies kann erforderlich sein, wenn die Aktion auf mehr als eine Ressource zugreift.
Abhängige Aktionen sind nicht in allen Szenarien erforderlich. Weitere Informationen zur Bereitstellung detaillierter Berechtigungen für Benutzer finden Sie in der Dokumentation des jeweiligen Services.
Die Tabelle der Ressourcentypen
Die Tabelle Ressourcentypen listet alle Ressourcentypen auf, die Sie als ARN im Resource-Richtlinienelement angeben können. Nicht jeder Ressourcentyp kann mit jeder Aktion angegeben werden. Einige Ressourcentypen funktionieren nur mit bestimmten Aktionen. Wenn Sie einen Ressourcentyp in einer Anweisung mit einer Aktion angeben, die diesen Ressourcentyp nicht unterstützt, erlaubt die Anweisung keinen Zugriff. Weitere Informationen zum Element Resource finden Sie unter IAM-JSON-Richtlinienelemente: Resource.
-
Die Spalte ARN gibt das Amazon-Ressourcennamen (ARN)-Format an, mit dem auf Ressourcen dieses Typs verwiesen werden muss. Die Bestandteile mit vorangestelltem $ müssen durch die tatsächlichen Werte für das jeweilige Szenario ersetzt werden. Beispiel: Wenn in einem ARN
$user-namesteht, müssen Sie diese Zeichenfolge durch den tatsächlichen Namen eines Benutzers oder eine Richtlinienvariable ersetzen, die den Namen eines Benutzers enthält. Weitere Informationen zu ARNs finden Sie unter IAM-ARNs. -
Die Spalte Bedingungsschlüssel gibt Bedingungskontextschlüssel an, die Sie in eine IAM-Richtlinienanweisung nur dann einfügen können, wenn sowohl diese Ressource als auch eine unterstützende Aktion aus der Tabelle oben in der Anweisung enthalten sind.
Die Tabelle der Bedingungsschlüssel
Die Tabelle Bedingungsschlüssel listet alle Bedingungskontextschlüssel auf, die Sie im Element Condition einer IAM-Richtlinienanweisung verwenden können. Nicht jeder Schlüssel kann mit jeder Aktion oder Ressource angegeben werden. Bestimmte Schlüssel funktionieren nur mit bestimmten Aktions- und Ressourcentypen. Weitere Informationen zum Element Condition finden Sie unter IAM-JSON-Richtlinienelemente: Condition.
-
Die Spalte Type (Typ) gibt den Datentyp des Bedingungsschlüssels an. Dieser Datentyp bestimmt, welche Bedingungsoperatoren Sie zum Vergleichen von Werten in der Anforderung mit den Werten in der Richtlinienanweisung verwenden können. Sie müssen einen Operator verwenden, der für den Datentyp geeignet ist. Wenn Sie einen falschen Operator verwenden, wird nie eine Übereinstimmung ermittelt und die Richtlinienanweisung nie angewendet.
Wenn die Spalte Type (Typ) eine Liste eines der einfachen Typen angibt, können Sie mehrere Schlüssel und Werte in Ihren Richtlinien verwenden. Verwenden Sie dazu Bedingungssatzpräfixe mit Ihren Operatoren. Verwenden Sie das Präfix
ForAllValues, um anzugeben, dass alle Werte in der Anforderung mit einem Wert in der Richtlinienanweisung übereinstimmen müssen. Verwenden Sie das PräfixForAnyValue, um anzugeben, dass mindestens ein Wert in der Anforderung mit einem der Werte in der Richtlinienanweisung übereinstimmen muss.
Themen
- AWS-Kontenverwaltung
- AWS Activate
- Alexa for Business
- AmazonMediaImport
- AWS Amplify
- AWS Amplify Admin
- AWS Amplify UI Builder
- Apache Kafka-APIs für Amazon MSK-Cluster
- Amazon API Gateway
- Amazon API Gateway-Management
- Amazon API Gateway-Management V2
- AWS App Mesh
- AWS App Mesh Vorschau
- AWS App Runner
- AWS-App2Container
- AWS AppConfig
- AWS AppFabric
- Amazon AppFlow
- Amazon AppIntegrations
- AWS Application Auto Scaling
- AWS Application Cost Profiler Service
- Application Discovery Arsenal
- AWS Application Discovery Service
- AWS Application Migration Service
- AWS Application Transformation Service
- Amazon AppStream 2.0
- AWS AppSync
- AWS Artifact
- Amazon Athena
- AWS Audit Manager
- AWS Auto Scaling
- AWSB2B Data Interchange
- AWS Backup
- AWS Backup Gateway
- AWS Backupspeicher
- AWS-Stapel
- Amazon Bedrock
- AWS Billing
- AWS Billing und Datenexporte für das Kostenmanagement
- AWS Billing Conductor
- AWS Billing-Konsole
- Amazon Braket
- AWS Budget-Service
- AWS BugBust
- AWS Certificate Manager
- AWS Chatbot
- Amazon Chime
- AWS Saubere Räume
- AWS Clean Rooms ML
- AWS Cloud Control API
- Amazon Cloud Directory
- AWS Cloud Map
- AWS Cloud9
- AWS CloudFormation
- Amazon CloudFront
- Amazon CloudFront Schlüsselwertspeicher
- AWS CloudHSM
- Amazon CloudSearch
- AWS CloudShell
- AWS CloudTrail
- AWS-CloudTrail-Daten
- Amazon CloudWatch
- Amazon CloudWatch Application Insights
- Amazon CloudWatch Evidently
- Amazon CloudWatch Internetmonitor
- Amazon CloudWatch -Protokolle
- Amazon CloudWatch Network Monitor
- Amazon CloudWatch Observability Access Manager
- AWS CloudWatch RUM
- Amazon CloudWatch Synthetics
- AWS CodeArtifact
- AWS CodeBuild
- Amazon CodeCatalyst
- AWS CodeCommit
- AWS CodeConnections
- AWS CodeDeploy
- Sichere Host-Befehle mit dem AWS-CodeDeploy-Service
- Amazon CodeGuru
- Amazon CodeGuru Profiler
- Amazon CodeGuru Reviewer
- Amazon CodeGuru Security
- AWS CodePipeline
- AWS CodeStar
- AWS CodeStar Connections
- AWS CodeStar Notifications
- Amazon CodeWhisperer
- Amazon Cognito Identity
- Amazon Cognito Sync
- Amazon Cognito-Benutzerpools
- Amazon Comprehend
- Amazon Comprehend Medical
- AWS Compute Optimizer
- AWS Config
- Amazon Connect
- Amazon Connect Cases
- Amazon Connect Customer Profiles
- Amazon Connect Voice ID
- AWS Connector Service
- AWS Management Console-Mobile-App
- AWS Consolidated Billing
- AWS Kontrollkatalog
- AWS Control Tower
- AWS-Kosten- und -Nutzungsbericht
- AWS Cost Explorer Explorer-Dienst
- AWS Kostenoptimierungs-Hub
- AWS Customer Verification Service
- AWS Data Exchange
- Amazon Data Lifecycle Manager
- AWS Data Pipeline
- AWS Database Migration Service
- Database Query Metadata Service
- AWS DataSync
- Amazon DataZone
- AWS Deadline Cloud
- AWS DeepComposer
- AWS DeepLens
- AWS DeepRacer
- Amazon Detective
- AWS Device Farm
- Amazon DevOps Guru
- AWS Diagnosetools
- AWS Direct Connect
- AWS Directory Service
- Amazon DocumentDB Elastic Clusters
- Amazon DynamoDB
- Amazon DynamoDB Accelerator (DAX)
- Amazon EC2
- Amazon EC2 Auto Scaling
- Amazon EC2 Image Builder
- Amazon EC2 Instance Connect
- Amazon EKS Auth
- AWS Elastic Beanstalk
- Amazon Elastic Block Store
- Amazon Elastic Container-Registry
- Amazon Elastic Container Registry Public
- Amazon Elastic Container Service
- AWS Elastische Notfallwiederherstellung
- Amazon Elastic File System
- Amazon Elastic Inference
- Amazon Elastic Kubernetes Service
- AWS Elastic Load Balancing
- AWS Elastic Load Balancing V2
- Amazon Elastic MapReduce
- Amazon Elastic Transcoder
- Amazon ElastiCache
- AWS Elemental Appliances and Software
- AWS Elemental Appliances and Software Activation Service
- AWS Elemental MediaConnect
- AWS Elemental MediaConvert
- AWS Elemental MediaLive
- AWS Elemental MediaPackage
- AWS Elemental MediaPackage V2
- AWS Elemental MediaPackage VOD
- AWS Elemental MediaStore
- AWS Elemental MediaTailor
- Elementare Supportfälle für AWS
- AWS Elemental Support Content
- Amazon EMR auf EKS (EMR Container)
- Amazon EMR Serverless
- AWS Auflösung der Entität
- Amazon EventBridge
- Amazon EventBridge Pipes
- Amazon EventBridge Scheduler
- Amazon EventBridge Schemas
- AWS Fault Injection Service
- Amazon FinSpace
- Amazon FinSpace-API
- AWS Firewall Manager
- Amazon Forecast
- Amazon Fraud Detector
- AWS Free Tier
- Amazon FreeRTOS
- Amazon FSx
- Amazon GameLift
- AWS Global Accelerator
- AWS Glue
- AWS Glue DataBrew
- AWS Ground Station
- GroundTruth Amazon-Etikettierung
- Amazon GuardDuty
- AWS Health-APIs und -Benachrichtigungen
- AWS HealthImaging
- AWS HealthLake
- AWS HealthOmics
- Ausgehende Kommunikation mit hohem Volumen
- Amazon Honeycode
- AWS IAM Access Analyzer
- AWS IAM Identity Center (Nachfolger von AWS Single Sign-On)
- AWS IAM Identity Center (Nachfolger von AWS Single Sign-On)-Directory
- AWSIAM Identity Center OIDC-Service
- AWS Identity and Access Management (IAM)
- AWS Identity and Access Management Zugriffsmanagement-Rollen überall
- AWS-Identity Store
- Identitätsspeicher-Authentifizierung für AWS
- AWS Identitätssynchronisierung
- AWS Import Export Disk Service
- Amazon Inspector
- Amazon Inspector2
- Amazon InspectorScan
- Amazon Interactive Video Service
- Amazon Interactive Video Service Chat
- AWS Invoicing Service
- AWS IoT
- AWS IoT 1-Click
- AWS IoT Analytics
- AWS IoT Core Device Advisor
- AWS IoT Device Tester
- AWS IoT Events
- AWS IoT Fleet Hub for Device Management
- AWS IoT FleetWise
- AWS IoT Greengrass
- AWS IoT Greengrass V2
- AWS IoT Jobs DataPlane
- AWS IoT RoboRunner
- AWS IoT SiteWise
- AWS IoT TwinMaker
- AWS IoT Wireless
- AWS IQ
- AWS IQ Berechtigungen
- Amazon Kendra
- Amazon Kendra Intelligent Ranking
- AWS Schlüsselverwaltungsservice
- Amazon Keyspaces (for Apache Cassandra)
- Amazon Kinesis Analytics
- Amazon Kinesis Analytics V2
- Amazon Kinesis Data Streams
- Amazon Kinesis Firehose
- Amazon Kinesis Video Streams
- AWS Lake Formation
- AWS-Lambda
- AWS Launch Wizard
- Amazon Lex
- Amazon Lex V2
- AWS License Manager
- AWS License Manager Linux Subscriptions Manager
- AWS License Manager User Subscriptions
- Amazon Lightsail
- Amazon Location
- Amazon Lookout for Equipment
- Amazon Lookout for Metrics
- Amazon Lookout for Vision
- Amazon Machine Learning
- Amazon Macie
- AWS Mainframe-Modernisierungsservice
- Amazon Managed Blockchain
- Amazon Managed Blockchain Query
- Amazon Managed Grafana
- Amazon Managed Service for Prometheus
- Amazon Managed Streaming for Apache Kafka
- Amazon Managed Streaming for Kafka Connect
- Amazon Managed Workflows for Apache Airflow
- AWS Marketplace
- AWS Marketplace Katalog
- AWS Marketplace Commerce Analytics Service
- AWS Marketplace Deployment Service
- AWS Marketplace-Erkennung
- AWS Marketplace Service für Leistungsansprüche
- AWS Marketplace Image Building Service
- AWS Marketplace Management Portal
- AWS Marketplace-Metering Service
- AWS Marketplace Private Marketplace
- AWS Marketplace Procurement Systems Integration
- AWS Marketplace Seller Reporting
- AWS Marketplace Anbietereinblicke
- Amazon Mechanical Turk
- Amazon MemoryDB
- Amazon Message Delivery Service
- Amazon Message Gateway Service
- AWS Microservice Extractor für .NET
- AWS-Guthaben für das Programm zur Migrationsbeschleunigung
- AWS Migration Hub
- AWS Orchestrator für Migration Hub
- AWS Migration Hub Refactor Spaces
- AWS Migration Hub Strategy Recommendations
- Amazon Mobile Analytics
- Amazon Monitron
- Amazon MQ
- Amazon Neptune
- Amazon Neptune Analytics
- AWS Netzwerk-Firewall
- AWS Network Manager
- AWS Network Manager Chat
- Amazon Nimble Studio
- Amazon One Enterprise
- Amazon OpenSearch -Erfassung
- Amazon OpenSearch Serverless
- Amazon OpenSearch Service
- AWS OpsWorks
- AWS OpsWorks-Konfigurationsmanagement
- AWS Organizations
- AWS Outposts
- AWS Panorama
- Zentrale Kontoverwaltung für AWS-Partner
- AWS-Kryptografie für Zahlungen
- AWS Payments
- AWS Performance Insights
- Amazon Personalize
- Amazon Pinpoint
- Amazon Pinpoint-E-Mail-Service
- Amazon Pinpoint-SMS- und Sprachnachrichten-Service
- Amazon Pinpoint SMS Voice V2
- Amazon Polly
- AWS-Preisliste
- AWS Private CA Connector für Active Directory
- AWS Private Certificate Authority
- AWS Proton
- AWS Purchase Orders Console
- Amazon Q
- Amazon Q Business
- Amazon Q Business Q Apps
- Amazon Q in Connect
- Amazon QLDB
- Amazon QuickSight
- Amazon RDS
- Amazon RDS Daten-API
- Amazon RDS-IAM-Authentifizierung
- AWS re:Post Private
- AWS Recycle Bin
- Amazon Redshift
- Amazon Redshift-Daten-API
- Amazon Redshift Serverless
- Amazon Rekognition
- AWS Zentrum für Resilienz
- AWS Resource Access Manager (RAM)
- AWS Ressourcen-Explorer
- Amazon Resource Group Tagging API
- AWS Ressourcengruppen
- Amazon RHEL Knowledgebase Portal
- AWS RoboMaker
- Amazon Route 53
- Amazon Route 53 Application Recovery Controller – Zonal Shift
- Amazon Route 53-Domains
- Amazon Route 53 Profiles ermöglicht die gemeinsame Nutzung von DNS-Einstellungen mit VPCs
- Amazon Route 53 Recovery Cluster
- Amazon Route 53 Recovery Controls
- Amazon Route 53 Recovery Readiness
- Amazon Route 53 Resolver
- Amazon S3
- Amazon S3 Express
- Amazon S3 Glacier
- Amazon S3 Object Lambda
- Amazon S3 in Outposts
- Amazon SageMaker
- Geodatenfunktionen von Amazon SageMaker
- Amazon SageMaker Ground Truth Synthetic
- AWS Savings Plans
- AWS Secrets Manager
- AWS Security Hub
- Amazon Security Lake
- AWS Sicherheitstoken-Dienst
- AWS Server Migration Service
- AWS Serverless Application Repository
- AWS Service Catalog
- AWS-Service, der verwaltete private Netzwerke bereitstellt
- Service Quotas
- Amazon SES
- AWS Shield
- AWS Signer
- AWS Melden Sie sich an
- Amazon Simple Email Service v2
- Amazon Simple Workflow Service
- Amazon SimpleDB
- AWS SimSpace Weaver
- AWSSnow Device Management
- AWS Snowball
- Amazon SNS
- AWS SQL Workbench
- Amazon SQS
- AWS Step Functions
- AWS Storage Gateway
- AWS Lieferkette
- AWS Support
- AWS Support-App in Slack
- AWS Support Plans (Pläne)
- AWS-Nachhaltigkeit
- AWS Systems Manager
- AWS Systems Manager für SAP
- AWS Systems Manager GUI Connect
- AWS Systems Manager Incident Manager
- AWS Systems Manager Incident Manager Contacts
- Tag Editor
- AWS Tax Settings
- AWS Telco Network Builder
- Amazon Textract
- Amazon Timestream
- Amazon Timestream InfluxDB
- AWS Tiros
- Amazon Transcribe
- AWS Transfer Family
- Amazon Translate
- AWS Trusted Advisor
- AWS User Notifications
- AWS User Notifications Contacts
- Verifizierter AWS-Zugriff
- Amazon Verified Permissions
- Amazon VPC Lattice
- Amazon VPC Lattice Services
- AWS WAF
- AWS WAF Regional
- AWS WAF V2
- AWS Well-Architected Tool
- AWS Wickr
- Amazon WorkDocs
- Amazon WorkLink
- Amazon WorkMail
- Amazon WorkMail Message Flow
- Amazon WorkSpaces
- Amazon WorkSpaces Application Manager
- Amazon WorkSpaces Thin Client
- Amazon WorkSpaces Web
- AWS X-Ray
