Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
IAM: Ermöglicht und verweigert den Zugriff auf verschiedene Services, sowohl programmgesteuert als auch über die Konsole
Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die einen vollständigen Zugriff auf verschiedene Services und begrenzten selbstverwaltenden Zugriff in IAM erlaubt. Verweigert Benutzern den Zugriff auf den Amazon S3 Protokoll-Bucket logs oder die i-1234567890abcdef0-Amazon EC2-Instance. Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff. Um diese Richtlinie zu verwenden, ersetzen Sie den kursiv gedruckten Platzhaltertext in der Beispielrichtlinie durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter Erstellen einer Richtlinie oder Bearbeiten einer Richtlinie.
Warnung
Diese Richtlinie ermöglicht den vollständigen Zugriff auf alle Aktionen und Ressourcen in verschiedenen Services. Diese Richtlinie sollte nur auf vertrauenswürdige Administratoren angewendet werden.
Sie können diese Richtlinien als Berechtigungsgrenze einsetzen, um die maximale Anzahl von Berechtigungen festzulegen, die eine identitätsbasierte Richtlinie einem IAM-Benutzer erteilen kann. Weitere Informationen finden Sie unter Verantwortung mit Hilfe von Berechtigungsgrenzen an andere delegieren. Wenn die Richtlinie als Berechtigungsgrenze für einen Benutzer verwendet wird, wird durch die Anweisungen die folgende Grenze festgelegt:
-
Die
AllowServices-Anweisung gewährt den angegebenen AWS-Services einen Vollzugriff. Dies bedeutet, dass die Aktionen eines Benutzers in diesen Services nur laut der Berechtigungsrichtlinien begrenzt sind, die dem Benutzer zugeordnet sind. -
Die
AllowIAMConsoleForCredentials-Anweisung erlaubt den Zugriff für das Auflisten aller IAM-Benutzer. Dieser Zugriff ist erforderlich, um auf der Seite Users (Benutzer) in der AWS Management Console navigieren zu können. Sie ermöglicht zudem das Anzeigen von Passwortanforderungen für das Konto. Dies ist erforderlich, damit der Benutzer sein eigenes Passwort ändern kann. -
Mit der
AllowManageOwnPasswordAndAccessKeys-Anweisung können die Benutzer nur ihr eigenes Konsolen-Passwort und programmatische Zugriffsschlüssel verwalten. Dies ist wichtig, denn wenn eine andere Richtlinie einem Benutzer einen vollständigen IAM-Zugriff gewährt, kann dieser Benutzer seine eigenen Berechtigungen oder die eines anderen Benutzers ändern. Diese Anweisung verhindert, dass dies passiert. -
Die Anweisung
DenyS3Logsverweigert explizit den Zugriff auf denlogs-Bucket. Diese Richtlinie sorgt dafür, dass einem Benutzer Unternehmensbeschränkungen auferlegt werden. -
Die Anweisung
DenyEC2Productionverweigert explizit den Zugriff auf diei-1234567890abcdef0-Instance.
Diese Richtlinie gewährt nicht den Zugriff auf andere Services oder Aktionen. Wenn die Richtlinie als Berechtigungsgrenze für einen Benutzer verwendet wird, lehnt AWS auch dann die Anforderung ab, wenn andere an den Benutzer angefügte Richtlinie solche Aktionen zulassen.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowServices", "Effect": "Allow", "Action": [ "s3:*", "cloudwatch:*", "ec2:*" ], "Resource": "*" }, { "Sid": "AllowIAMConsoleForCredentials", "Effect": "Allow", "Action": [ "iam:ListUsers", "iam:GetAccountPasswordPolicy" ], "Resource": "*" }, { "Sid": "AllowManageOwnPasswordAndAccessKeys", "Effect": "Allow", "Action": [ "iam:*AccessKey*", "iam:ChangePassword", "iam:GetUser", "iam:*LoginProfile*" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "DenyS3Logs", "Effect": "Deny", "Action": "s3:*", "Resource": [ "arn:aws:s3:::logs", "arn:aws:s3:::logs/*" ] }, { "Sid": "DenyEC2Production", "Effect": "Deny", "Action": "ec2:*", "Resource": "arn:aws:ec2:*:*:instance/i-1234567890abcdef0" } ] }
