Auswertungslogik für Richtlinien - AWS Identitäts- und Zugriffsverwaltung
Auswerten identitätsbasierter Richtlinien mit ressourcenbasierten RichtlinienAuswerten von identitätsbasierten Richtlinien mit BerechtigungsgrenzenEvaluierung identitätsbasierter Richtlinien mit Organizations oder SCPs RCPs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Auswertungslogik für Richtlinien

Wenn ein Principal versucht AWS Management Console, die AWS API oder den AWS CLI zu verwenden, sendet dieser Principal eine Anfrage. AWS Wenn ein AWS Dienst die Anfrage empfängt, AWS führt er mehrere Schritte durch, um zu bestimmen, ob die Anfrage zugelassen oder abgelehnt werden soll.

  1. Authentifizierung — authentifiziert AWS zunächst den Prinzipal, der die Anfrage stellt, falls erforderlich. Dieser Schritt ist für einige wenige Services, wie z. B. Amazon S3, die einige Anforderungen von anonymen Benutzern erlauben, nicht notwendig.

  2. Verarbeitung des Anforderungskontexts— AWS verarbeitet die in der Anfrage gesammelten Informationen, um festzustellen, welche Richtlinien für die Anfrage gelten.

  3. So wertet die Logik des AWS -Durchsetzungscodes Anfragen zum Gewähren oder Verweigern des Zugriffs aus— AWS bewertet alle Richtlinientypen, und die Reihenfolge der Richtlinien wirkt sich darauf aus, wie sie bewertet werden. AWS verarbeitet dann die Richtlinien anhand des Anforderungskontextes, um festzustellen, ob die Anfrage zugelassen oder abgelehnt wird.

Auswerten identitätsbasierter Richtlinien mit ressourcenbasierten Richtlinien

Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien erteilen Identitäten oder Ressourcen, an die sie angefügt sind, Berechtigungen. Wenn eine IAM-Entität (Benutzer oder Rolle) Zugriff auf eine Ressource innerhalb desselben Kontos anfordert, werden alle durch die identitäts- und ressourcenbasierten Richtlinien gewährten Berechtigungen AWS bewertet. Die resultierenden Berechtigungen sind die Kombination der Berechtigungen der beiden Typen. Wenn eine Aktion durch eine identitätsbasierte Richtlinie, eine ressourcenbasierte Richtlinie oder beides zulässig ist, ist die Aktion zulässig. AWS Eine explizite Zugriffsverweigerung in einer der beiden Richtlinien überschreibt die Zugriffserlaubnis.

Auswertung identitätsbasierter Richtlinien und ressourcenbasierter Richtlinien

Auswerten von identitätsbasierten Richtlinien mit Berechtigungsgrenzen

Bei der AWS Auswertung der identitätsbasierten Richtlinien und der Berechtigungsgrenzen für einen Benutzer stellen die resultierenden Berechtigungen die Schnittmenge der beiden Kategorien dar. Das heißt, wenn Sie einem Benutzer mit bestehenden identitätsbasierten Richtlinien eine Berechtigungsgrenze hinzufügen, reduzieren Sie möglicherweise die Aktionen, die der Benutzer ausführen kann. Wenn Sie andererseits eine Berechtigungsgrenze von einem Benutzer entfernen, können Sie die Aktionen erweitern, die dieser ausführen kann. Eine explizite Zugriffsverweigerung in einer der beiden Richtlinien überschreibt die Zugriffserlaubnis. Informationen darüber, wie andere Richtlinientypen mit Berechtigungsgrenzen ausgewertet werden, finden Sie unter Auswerten von effektiven Berechtigungen mit Grenzen.

Auswertung von identitätsbasierten Richtlinien und Berechtigungsgrenzen

Evaluierung identitätsbasierter Richtlinien mit Organizations oder SCPs RCPs

Wenn ein Benutzer einem Konto angehört, das Mitglied einer Organisation ist, und auf eine Ressource zugreift, für die keine ressourcenbasierte Richtlinie konfiguriert ist, stellen die daraus resultierenden Berechtigungen die Schnittmenge der Benutzerrichtlinien, der Dienststeuerungsrichtlinien (SCPs) und der Ressourcenkontrollrichtlinie (RCP) dar. Dies bedeutet, dass eine Aktion von allen drei Richtlinientypen zugelassen werden muss. Eine explizite Verweigerung in der identitätsbasierten Richtlinie, einer SCP oder einer RCP überschreibt die Zulassung.

Bewertung identitätsbasierter Richtlinien und/oder oder SCPs RCPs

Sie können erfahren ob Ihr Konto als Mitgliedskonto einer Organisation in AWS Organizations eingerichtet ist. Mitglieder der Organisation könnten von einer SCP oder RCP betroffen sein. Um diese Daten mithilfe des AWS CLI Befehls oder der AWS API-Operation anzuzeigen, müssen Sie über die Berechtigungen für die organizations:DescribeOrganization Aktion für Ihre Organisationseinheit verfügen. Sie müssen über zusätzliche Berechtigungen verfügen, um die Operation in der Organizations-Konsole auszuführen. Um zu erfahren, ob ein SCP oder RCP den Zugriff auf eine bestimmte Anfrage verweigert, oder um Ihre aktuellen Berechtigungen zu ändern, wenden Sie sich an Ihren Administrator. AWS Organizations