IAMReadOnlyAccess IAMUserChangePassword IAMAccessAnalyzerFullAccess IAMAccessAnalyzerReadOnlyAccess AccessAnalyzerServiceRolePolicy IAMAuditRootUserCredentials IAMCreateRootUserPassword IAMDeleteRootUserCredentials S3 UnlockBucketPolicy SQSUnlockQueuePolicy Richtlinienaktualisierungen

AWS verwaltete Richtlinien für AWS Identity and Access Management und Access Analyzer

Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet AWS wird. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie für alle AWS Kunden verfügbar sind. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.

Weitere Informationen finden Sie unter Von AWS verwaltete Richtlinien im IAM-Benutzerhandbuch.

IAMReadOnlyAccess

Verwenden der IAMReadOnlyAccess verwalteten Richtlinie, um schreibgeschützten Zugriff auf IAM-Ressourcen zu gewähren. Diese Richtlinie gewährt die Berechtigung zum Abrufen und Auflisten aller IAM-Ressourcen. Sie ermöglicht das Anzeigen von Details und Aktivitätsberichten für Benutzer, Gruppen, Rollen, Richtlinien, Identitätsanbieter und MFA-Geräte. Sie umfasst nicht die Möglichkeit, Ressourcen zu erstellen oder zu löschen oder auf IAM Access Analyzer Ressourcen zuzugreifen. Zeigen Sie die Richtlinie für die vollständige Liste der Datenbank-Services und Aktionen an, die von dieser Richtlinie unterstützt werden.

IAMUserChangePassword

Verwenden Sie diese IAMUserChangePassword-IAM-Richtlinie, um Benutzern das Ändern ihres eigenen Konsolen-Passworts zu ermöglichen.

Sie konfigurieren Ihre IAM-Kontoeinstellungen und die Passwortrichtlinie, damit IAM-Benutzer ihr IAM-Kontopasswort ändern können. Wenn Sie diese Aktion zulassen, fügt IAM jedem Benutzer die folgende Richtlinie an:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ChangePassword"
            ],
            "Resource": [
                "arn:aws:iam::*:user/${aws:username}"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy"
            ],
            "Resource": "*"
        }
    ]
}

IAMAccessAnalyzerFullAccess

Verwenden Sie die IAMAccessAnalyzerFullAccess AWS verwaltete Richtlinie, um Ihren Administratoren den Zugriff auf IAM Access Analyzer zu ermöglichen.

Berechtigungsgruppierungen

Diese Richtlinie ist in Anweisungen gruppiert, die auf den bereitgestellten Berechtigungen basieren.

IAM Access Analyzer – Ermöglicht vollständige Administratorberechtigungen für alle Ressourcen in IAM Access Analyzer.
Dienstverknüpfte Rolle erstellen – Ermöglicht dem Administrator das Erstellen einesService-verknüpfteIAM-RolleIn diesem Fall kann IAM Access Analyzer Ressourcen in anderen Services in Ihrem Namen analysieren. Mit dieser Berechtigung können Sie die dienstverknüpfte Rolle nur für die Verwendung durch IAM Access Analyzer erstellen.
AWS Organizations – Ermöglicht Administratoren die Verwendung von IAM Access Analyzer für eine Organisation in AWS Organizations. Nachdem der vertrauenswürdige Zugriff für IAM Access Analyzer aktiviert wurde AWS Organizations, können Mitglieder des Verwaltungskontos die Ergebnisse in ihrer gesamten Organisation einsehen.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "access-analyzer:*"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:AWSServiceName": "access-analyzer.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:ListAccounts",
        "organizations:ListAccountsForParent",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:ListChildren",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListParents",
        "organizations:ListRoots"
      ],
      "Resource": "*"
    }
  ]
}

IAMAccessAnalyzerReadOnlyAccess

Verwenden Sie die IAMAccessAnalyzerReadOnlyAccess AWS verwaltete Richtlinie, um den schreibgeschützten Zugriff auf IAM Access Analyzer zu ermöglichen.

Um auch den schreibgeschützten Zugriff auf IAM Access Analyzer für zu ermöglichen AWS Organizations, erstellen Sie eine vom Kunden verwaltete Richtlinie, die die Aktionen Beschreiben und Auflisten aus der verwalteten Richtlinie ermöglicht. IAMAccessAnalyzerFullAccess AWS

Service Level-Berechtigungen

Diese Richtlinie gewährt schreibgeschützten Zugriff auf IAM Access Analyzer. In dieser Richtlinie sind keine anderen Dienstberechtigungen enthalten.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "IAMAccessAnalyzerReadOnlyAccess",
      "Effect": "Allow",
      "Action": [
        "access-analyzer:CheckAccessNotGranted",
        "access-analyzer:CheckNoNewAccess",
        "access-analyzer:Get*",
        "access-analyzer:List*",
        "access-analyzer:ValidatePolicy"
      ],
      "Resource": "*"
    }
  ]
}

AccessAnalyzerServiceRolePolicy

Sie können keine Verbindungen AccessAnalyzerServiceRolePolicy zu Ihren IAM-Entitäten herstellen. Diese Richtlinie ist mit einer dienstverknüpften Rolle verbunden, die es IAM Access Analyzer ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für AWS Identity and Access Management und unter Access Analyzer.

Berechtigungsgruppierungen

Diese Richtlinie ermöglicht den Zugriff auf IAM Access Analyzer, um Ressourcen-Metadaten von mehreren AWS-Services zu analysieren.

Amazon DynamoDB – Gewährt Berechtigungen zum Anzeigen von DynamoDB-Streams und -Tabellen.
Amazon Elastic Compute Cloud — Ermöglicht Berechtigungen zur Beschreibung von IP-Adressen, Snapshots und VPCs.
Amazon Elastic Container Registry – Gewährt Berechtigungen zum Beschreiben von Image-Repositorys, Abrufen von Kontoeinstellungen und Abrufen von Registry- und Repository-Richtlinien.
Amazon Elastic File System – Ermöglicht Berechtigungen zur Anzeige der Beschreibung eines Amazon-EFS-Dateisystems und die Anzeige der Richtlinie auf Ressourcenebene für ein Amazon-EFS-Dateisystem.
AWS Identity and Access Management – Ermöglicht Berechtigungen zum Abrufen von Informationen zu einer angegebenen Rolle und zum Auflisten der IAM-Rollen mit einem angegebenen Pfad-Präfix. Gewährt Berechtigungen zum Abrufen von Informationen zu Benutzern, IAM-Gruppen, Anmeldeprofilen, Zugriffsschlüsseln und Daten zum letzten Service-Zugriff.
AWS Key Management Service – Ermöglicht Berechtigungen zur Anzeige von detaillierten Informationen zu einem KMS-Schlüssel und seinen wichtigsten Richtlinien und Zuschüssen.
AWS Lambda – Ermöglicht Berechtigungen zur Anzeige von Informationen über Lambda-Aliase, Funktionen, Ebenen und Aliase.
AWS Organizations— Erlaubt Organizations Berechtigungen und ermöglicht die Erstellung eines Analyzers innerhalb der AWS Organisation als Vertrauenszone.
Amazon Relational Database Service – Ermöglicht Berechtigungen zur Anzeige von detaillierten Informationen zu Snapshots des Amazon RDS DB und Snapshots des Amazon-RDS-DB-Clusters.
Amazon Simple Storage Service – Gewährt Berechtigungen zum Anzeigen detaillierter Informationen zu Amazon S3 Access Points, Buckets und Amazon-S3-Verzeichnis-Buckets, die die Speicherklasse von Amazon S3 Express One verwenden.
AWS Secrets Manager – Ermöglicht Berechtigungen zur Anzeige von detaillierten Informationen zu Geheimnissen und an Geheimnisse angefügten Ressourcenrichtlinien.
Amazon Simple Notification Service – Ermöglicht Berechtigungen zur Anzeige von detaillierten Informationen zu einem Thema.
Amazon Simple Queue Service – Ermöglicht Berechtigungen zur Anzeige von detaillierten Informationen zu bestimmten Warteschlangen.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AccessAnalyzerServiceRolePolicy",
      "Effect": "Allow",
      "Action": [
        "dynamodb:GetResourcePolicy",
        "dynamodb:ListStreams",
        "dynamodb:ListTables",
        "ec2:DescribeAddresses",
        "ec2:DescribeByoipCidrs",
        "ec2:DescribeSnapshotAttribute",
        "ec2:DescribeSnapshots",
        "ec2:DescribeVpcEndpoints",
        "ec2:DescribeVpcs",
        "ec2:GetSnapshotBlockPublicAccessState",
        "ecr:DescribeRepositories",
        "ecr:GetAccountSetting",
        "ecr:GetRegistryPolicy",
        "ecr:GetRepositoryPolicy",
        "elasticfilesystem:DescribeFileSystemPolicy",
        "elasticfilesystem:DescribeFileSystems",
        "iam:GetRole",
        "iam:ListEntitiesForPolicy",
        "iam:ListRoles",
        "iam:ListUsers",
        "iam:ListRoleTags",
        "iam:ListUserTags",
        "iam:GetUser",
        "iam:GetGroup",
        "iam:GenerateServiceLastAccessedDetails",
        "iam:GetServiceLastAccessedDetails",
        "iam:ListAccessKeys",
        "iam:GetLoginProfile",
        "iam:GetAccessKeyLastUsed",
        "iam:ListRolePolicies",
        "iam:GetRolePolicy",
        "iam:ListAttachedRolePolicies",
        "iam:ListUserPolicies",
        "iam:GetUserPolicy",
        "iam:ListAttachedUserPolicies",
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListGroupsForUser",
        "kms:DescribeKey",
        "kms:GetKeyPolicy",
        "kms:ListGrants",
        "kms:ListKeyPolicies",
        "kms:ListKeys",
        "lambda:GetFunctionUrlConfig",
        "lambda:GetLayerVersionPolicy",
        "lambda:GetPolicy",
        "lambda:ListAliases",
        "lambda:ListFunctions",
        "lambda:ListLayers",
        "lambda:ListLayerVersions",
        "lambda:ListVersionsByFunction",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:ListAccounts",
        "organizations:ListAccountsForParent",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:ListChildren",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListParents",
        "organizations:ListRoots",
        "rds:DescribeDBClusterSnapshotAttributes",
        "rds:DescribeDBClusterSnapshots",
        "rds:DescribeDBSnapshotAttributes",
        "rds:DescribeDBSnapshots",
        "s3:DescribeMultiRegionAccessPointOperation",
        "s3:GetAccessPoint",
        "s3:GetAccessPointPolicy",
        "s3:GetAccessPointPolicyStatus",
        "s3:GetAccountPublicAccessBlock",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation",
        "s3:GetBucketPolicyStatus",
        "s3:GetBucketPolicy",
        "s3:GetBucketPublicAccessBlock",
        "s3:GetMultiRegionAccessPoint",
        "s3:GetMultiRegionAccessPointPolicy",
        "s3:GetMultiRegionAccessPointPolicyStatus",
        "s3:ListAccessPoints",
        "s3:ListAllMyBuckets",
        "s3:ListMultiRegionAccessPoints",
        "s3express:GetBucketPolicy",
        "s3express:ListAllMyDirectoryBuckets",
        "sns:GetTopicAttributes",
        "sns:ListTopics",
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetResourcePolicy",
        "secretsmanager:ListSecrets",
        "sqs:GetQueueAttributes",
        "sqs:ListQueues"
      ],
      "Resource": "*"
    }
  ]
}

IAMAuditRootUserCredentials

Verwenden Sie die IAMAuditRootUserCredentials AWS verwaltete Richtlinie, um Berechtigungen einzuschränken, wenn Sie eine privilegierte Aufgabe für ein AWS Organizations Mitgliedskonto ausführen, um den Status der Root-Benutzeranmeldeinformationen eines Mitgliedskontos zu überprüfen. Sie können die Anmeldeinformationen einzelner Root-Benutzer auflisten oder abrufen, z. B.:

Ob es ein Root-Benutzerkennwort gibt
Wenn der Root-Benutzer einen Zugriffsschlüssel hat und wann dieser zuletzt verwendet wurde
Wenn dem Root-Benutzer Signaturzertifikate zugeordnet sind
Dem Root-Benutzer zugeordnete MFA-Geräte
Liste der konsolidierten Anmeldedaten von Root-Benutzern

Sie können IAMAuditRootUserCredentials nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie dient AssumeRootdazu, privilegierte Aufgaben für ein Mitgliedskonto in Ihrer Organisation auszuführen. Weitere Informationen finden Sie unter Root-Zugriff für Mitgliedskonten zentral verwalten.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "DenyAllOtherActionsOnAnyResource",
         "NotAction": [
            "iam:ListAccessKeys",
            "iam:ListSigningCertificates",
            "iam:GetLoginProfile",
            "iam:ListMFADevices",
            "iam:GetAccountSummary",
            "iam:GetUser",
            "iam:GetAccessKeyLastUsed"  
         ],
         "Effect": "Deny",
         "Resource": "*"
      },
      {
         "Sid": "DenyAuditingCredentialsOnNonRootUserResource",
         "Action": [
            "iam:ListAccessKeys",
            "iam:ListSigningCertificates",
            "iam:GetLoginProfile",
            "iam:ListMFADevices" ,
            "iam:GetUser",
            "iam:GetAccessKeyLastUsed"     
         ],
         "Effect": "Deny",
         "NotResource": "arn:aws:iam::*:root"
      } 
   ]
}

Berechtigungsgruppierungen

Diese Richtlinie ist in Anweisungen gruppiert, die auf den bereitgestellten Berechtigungen basieren.

DenyAllOtherActionsOnAnyResource— Verweigert allen Ressourcen den Zugriff auf Anmeldeinformationen.
DenyAuditingCredentialsOnNonRootUserResource— Verweigert den Zugriff auf Anmeldeinformationen für alle Benutzerressourcen, die keine Root-Benutzer sind.

IAMCreateRootUserPassword

Verwenden Sie die IAMCreateRootUserPassword AWS verwaltete Richtlinie, um Berechtigungen einzuschränken, wenn Sie eine privilegierte Aufgabe für ein AWS Organizations Mitgliedskonto ausführen, um die Kennwortwiederherstellung für ein Mitgliedskonto ohne Root-Benutzeranmeldeinformationen zu ermöglichen.

Sie können IAMCreateRootUserPassword nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie dient AssumeRootdazu, privilegierte Aufgaben für ein Mitgliedskonto in Ihrer Organisation auszuführen. Weitere Informationen finden Sie unter Root-Zugriff für Mitgliedskonten zentral verwalten.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "DenyAllOtherActionsOnAnyResource",
         "NotAction": [
            "iam:CreateLoginProfile",
            "iam:GetLoginProfile"
         ],
         "Effect": "Deny",
         "Resource": "*"
      },
      {
         "Sid": "DenyCreatingPasswordOnNonRootUserResource",
         "Action": [
            "iam:CreateLoginProfile",
            "iam:GetLoginProfile"   
         ],
         "Effect": "Deny",
         "NotResource": "arn:aws:iam::*:root"
      }
   ]
}

Berechtigungsgruppierungen

Diese Richtlinie ist in Anweisungen gruppiert, die auf den bereitgestellten Berechtigungen basieren.

DenyAllOtherActionsOnAnyResource— Verweigert den Zugriff auf das Abrufen oder Erstellen eines Passworts für alle Ressourcen.
DenyCreatingPasswordOnNonRootUserResource— Verweigert den Zugriff auf das Abrufen oder Erstellen eines Passworts für alle Benutzerressourcen, die keine Root-Benutzer sind.

IAMDeleteRootUserCredentials

Verwenden Sie die IAMDeleteRootUserCredentials AWS verwaltete Richtlinie, um Berechtigungen einzuschränken, wenn Sie eine privilegierte Aufgabe für ein AWS Organizations Mitgliedskonto ausführen, um Root-Benutzeranmeldeinformationen wie Passwort, Zugriffsschlüssel, Signaturzertifikate zu entfernen und MFA zu deaktivieren. Für diese privilegierte Aktion sind zusätzliche Berechtigungen erforderlich, sodass Sie die zuletzt verwendeten Anmeldeinformationen anzeigen, die zuletzt verwendeten Informationen für den Root-Benutzer des Mitgliedskontos überprüfen und die Berechtigungen für alle zu löschenden Root-Benutzer-Anmeldeinformationen auflisten können.

Sie können IAMDeleteRootUserCredentials nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie dient AssumeRootdazu, privilegierte Aufgaben für ein Mitgliedskonto in Ihrer Organisation auszuführen. Weitere Informationen finden Sie unter Root-Zugriff für Mitgliedskonten zentral verwalten.


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "DenyAllOtherActionsOnAnyResource",
			"Effect": "Deny",
			"NotAction": [
				"iam:DeleteAccessKey",
				"iam:DeleteSigningCertificate",
				"iam:DeleteLoginProfile",
				"iam:DeactivateMFADevice",
				"iam:ListAccessKeys",
				"iam:ListSigningCertificates",
				"iam:GetLoginProfile",
				"iam:ListMFADevices",
				"iam:GetUser",
				"iam:GetAccessKeyLastUsed"
			],
						  
			"Resource": "*"
		},
		{
			"Sid": "DenyDeletingRootUserCredentialsOnNonRootUserResource",
			"Effect": "Deny",
			"Action": [
				"iam:DeleteAccessKey",
				"iam:DeleteSigningCertificate",
				"iam:DeleteLoginProfile",
				"iam:DeactivateMFADevice",
				"iam:ListAccessKeys",
				"iam:ListSigningCertificates",
				"iam:GetLoginProfile",
				"iam:ListMFADevices",
				"iam:GetUser",
				"iam:GetAccessKeyLastUsed"
			],
						  
			"NotResource": "arn:aws:iam::*:root"
		}
	]
}

Berechtigungsgruppierungen

Diese Richtlinie ist in Anweisungen gruppiert, die auf den bereitgestellten Berechtigungen basieren.

DenyAllOtherActionsOnAnyResource— Verweigert den Zugriff zum Abrufen oder Löschen von Anmeldeinformationen für alle Ressourcen.
DenyDeletingRootUserCredentialsOnNonRootUserRessource — Verweigert den Zugriff auf das Abrufen oder Löschen von Anmeldeinformationen für alle Benutzerressourcen, die keine Root-Benutzerressourcen sind.

S3 UnlockBucketPolicy

Verwenden Sie die S3UnlockBucketPolicy AWS verwaltete Richtlinie, um Berechtigungen einzuschränken, wenn Sie eine privilegierte Aufgabe für ein AWS Organizations Mitgliedskonto ausführen, um eine falsch konfigurierte Bucket-Richtlinie zu entfernen, die allen Principals den Zugriff auf einen Amazon S3 S3-Bucket verweigert.

Sie können S3UnlockBucketPolicy nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist beigefügt, AssumeRootum privilegierte Aufgaben für ein Mitgliedskonto in Ihrer Organisation auszuführen. Weitere Informationen finden Sie unter Root-Zugriff für Mitgliedskonten zentral verwalten.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "DenyAllOtherActionsOnAnyResource",
         "NotAction": [
            "s3:DeleteBucketPolicy",
            "s3:PutBucketPolicy",
            "s3:GetBucketPolicy",
            "s3:ListAllMyBuckets"
         ],
         "Effect": "Deny",
         "Resource": "*"
      },
      {
         "Sid": "DenyManagingBucketPolicyForNonRootCallers",
         "Action": [
            "s3:DeleteBucketPolicy",
            "s3:PutBucketPolicy",
            "s3:GetBucketPolicy",
            "s3:ListAllMyBuckets"
         ],
         "Effect": "Deny",
         "Resource": "*",
         "Condition" : {
            "StringNotLike" : {
               "aws:PrincipalArn" : "arn:aws:iam::*:root"
            }
         }
      }
   ]
}

Berechtigungsgruppierungen

Diese Richtlinie ist in Anweisungen gruppiert, die auf den bereitgestellten Berechtigungen basieren.

DenyAllOtherActionsOnAnyResource— Verweigert allen Ressourcen den Zugriff auf Bucket-Richtlinien.
DenyManagingBucketPolicyForNonRootCallers— Verweigert den Zugriff auf Bucket-Richtlinien für alle Nicht-Root-Benutzerressourcen.

SQSUnlockQueuePolicy

Verwenden Sie die SQSUnlockQueuePolicy AWS verwaltete Richtlinie, um Berechtigungen einzuschränken, wenn Sie eine privilegierte Aufgabe für ein AWS Organizations Mitgliedskonto ausführen, um eine ressourcenbasierte Amazon Simple Queue Service-Richtlinie zu löschen, die allen Principals den Zugriff auf eine Amazon SQS SQS-Warteschlange verweigert.

Sie können SQSUnlockQueuePolicy nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie gilt für die Ausführung privilegierter Aufgaben auf einem Mitgliedskonto in Ihrer Organisation. AssumeRoot Weitere Informationen finden Sie unter Root-Zugriff für Mitgliedskonten zentral verwalten.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "DenyAllOtherActionsOnAnyResource",
         "Effect": "Deny",
         "NotAction": [
            "sqs:SetQueueAttributes",
            "sqs:GetQueueAttributes",
            "sqs:ListQueues",
            "sqs:GetQueueUrl"
         ],
         "Resource": "*"
      },
      {
         "Sid": "DenyGettingQueueAttributesOnNonOwnQueue",
         "Effect": "Deny",
         "Action": [
            "sqs:GetQueueAttributes"
         ],
         "Resource": "arn:aws:sqs:*:*:*",
         "Condition": {
            "StringNotEqualsIfExists": {
               "aws:ResourceAccount": [
               "${aws:PrincipalAccount}"
            ]
         }
      }
   },
   {
      "Sid": "DenyActionsForNonRootUser",
      "Effect": "Deny",
      "Action": [
        "sqs:SetQueueAttributes",
        "sqs:GetQueueAttributes",
        "sqs:ListQueues",
        "sqs:GetQueueUrl"
      ],
      "Resource": "*",
      "Condition" : {
         "StringNotLike" : {
            "aws:PrincipalArn" : "arn:aws:iam::*:root"
            }
         }
      }
   ]
}

Berechtigungsgruppierungen

Diese Richtlinie ist in Anweisungen gruppiert, die auf den bereitgestellten Berechtigungen basieren.

DenyAllOtherActionsOnAnyResource— Verweigert allen Ressourcen den Zugriff auf Amazon SQS SQS-Aktionen.
DenyGettingQueueAttributesOnNonOwnQueue— Verweigert den Zugriff auf Amazon SQS SQS-Warteschlangenattribute für Warteschlangen, die einem anderen Konto gehören.
DenyActionsForNonRootUser— Verweigert den Zugriff auf Amazon SQS SQS-Aktionen für alle Nicht-Root-Benutzerressourcen.

IAM-Access-Analyzer-Updates für verwaltete AWS -Richtlinien

Sehen Sie sich Details zu IAM-Aktualisierungen und AWS verwalteten Richtlinien an, seit der Service begonnen hat, diese Änderungen zu verfolgen. Um automatische Warnungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der IAM und Dokumentverlauf-Seite des IAM Access Analyzer.

Änderung	Beschreibung	Datum
IAMDeleteRootUserCredentials— Berechtigungen wurden entfernt	IAM hat die `iam:DeleteVirtualMFADevice` Berechtigung aus der verwalteten Richtlinie entfernt.	7. Januar 2025
AccessAnalyzerServiceRolePolicy – hat neue Berechtigung	IAM Access Analyzer hat den Service-Level-Berechtigungen von `AccessAnalyzerServiceRolePolicy` Unterstützung für die Berechtigung zum Abrufen von Informationen zu Amazon-ECR-Kontoeinstellungen und Registrierungsrichtlinien hinzugefügt.	10. Dezember 2024
IAMAuditRootUserCredentials— Verwaltete Richtlinie hinzugefügt	IAM hat verwaltete Richtlinien für die Zentrale Verwaltung des Root-Zugriffs für Mitgliedskonten hinzugefügt, um den Umfang privilegierter Aufgaben festzulegen, die Sie in AWS Organizations -Mitgliedskonten ausführen können.	14. November 2024
IAMCreateRootUserPassword— Verwaltete Richtlinie hinzugefügt	IAM hat verwaltete Richtlinien für die Zentrale Verwaltung des Root-Zugriffs für Mitgliedskonten hinzugefügt, um den Umfang privilegierter Aufgaben festzulegen, die Sie in AWS Organizations -Mitgliedskonten ausführen können.	14. November 2024
IAMDeleteRootUserCredentials— Verwaltete Richtlinie hinzugefügt	IAM hat verwaltete Richtlinien für die Zentrale Verwaltung des Root-Zugriffs für Mitgliedskonten hinzugefügt, um den Umfang privilegierter Aufgaben festzulegen, die Sie in AWS Organizations -Mitgliedskonten ausführen können.	14. November 2024
S3 UnlockBucketPolicy — Verwaltete Richtlinie hinzugefügt	IAM hat verwaltete Richtlinien für die Zentrale Verwaltung des Root-Zugriffs für Mitgliedskonten hinzugefügt, um den Umfang privilegierter Aufgaben festzulegen, die Sie in AWS Organizations -Mitgliedskonten ausführen können.	14. November 2024
SQSUnlockQueuePolicy— Verwaltete Richtlinie hinzugefügt	IAM hat verwaltete Richtlinien für die Zentrale Verwaltung des Root-Zugriffs für Mitgliedskonten hinzugefügt, um den Umfang privilegierter Aufgaben festzulegen, die Sie in AWS Organizations -Mitgliedskonten ausführen können.	14. November 2024
AccessAnalyzerServiceRolePolicy – hat neue Berechtigung	IAM Access Analyzer hat den Service-Level-Berechtigungen von `AccessAnalyzerServiceRolePolicy` Unterstützung für die Berechtigung zum Abrufen von Informationen über IAM-Benutzer- und Rollen-Tags hinzugefügt.	29. Oktober 2024
AccessAnalyzerServiceRolePolicy – hat neue Berechtigung	IAM Access Analyzer hat den Service-Level-Berechtigungen von `AccessAnalyzerServiceRolePolicy` Unterstützung für die Berechtigung zum Abrufen von Informationen zu IAM-Benutzer- und Rollenrichtlinien hinzugefügt.	30. Mai 2024
AccessAnalyzerServiceRolePolicy – hat neue Berechtigung	IAM Access Analyzer hat die Service-Level-Berechtigungen von um Unterstützung für die Erlaubnis erweitert, den aktuellen Status des blockierten öffentlichen Zugriffs für EC2 Amazon-Snapshots abzurufen. `AccessAnalyzerServiceRolePolicy`	23. Januar 2024
AccessAnalyzerServiceRolePolicy – hat neue Berechtigung	IAM Access Analyzer hat den Service-Level-Berechtigungen von `AccessAnalyzerServiceRolePolicy` Unterstützung für DynamoDB-Streams und -Tabellen hinzugefügt.	11. Januar 2024
AccessAnalyzerServiceRolePolicy – hat neue Berechtigung	IAM Access Analyzer hat den Service-Level-Berechtigungen von `AccessAnalyzerServiceRolePolicy` Unterstützung für Amazon-S3-Verzeichnis-Buckets hinzugefügt.	1. Dezember 2023
IAMAccessAnalyzerReadOnlyAccess – hat neue Berechtigung	Für IAM Access Analyzer gibt es neue Berechtigungen, mit denen Sie überprüfen können, ob Aktualisierungen Ihrer Richtlinien zusätzlichen Zugriff gewähren. Diese Berechtigung wird von IAM Access Analyzer benötigt, um Richtlinienprüfungen für Ihre Richtlinien durchzuführen.	26. November 2023
AccessAnalyzerServiceRolePolicy – hat neue Berechtigung	Bei IAM Access Analyzer gibt es jetzt Aktionen bei den Service-Level-Berechtigungen von `AccessAnalyzerServiceRolePolicy`, die die folgenden Aktionen unterstützen: Auflisten von Entitäten für eine Richtlinie Generieren von Informationen zum letzten Zugriff auf Services Auflisten der wichtigsten Informationen über den Zugriffsschlüssel	26. November 2023
AccessAnalyzerServiceRolePolicy – hat neue Berechtigung	IAM Access Analyzer hat Support für die folgenden Ressourcentypen zu den Service-Level-Berechtigungen von `AccessAnalyzerServiceRolePolicy` hinzugefügt: Amazon-EBS-Volume-Snapshots Amazon-ECR-Repositorys Amazon-EFS-Dateisysteme Amazon-RDS-DB-Snapshots Snapshots des Amazon-RDS-DB-Clusters Amazon SNS-Themen	25. Oktober 2022
AccessAnalyzerServiceRolePolicy – hat neue Berechtigung	IAM Access Analyzer hat die `lambda:GetFunctionUrlConfig`-Aktion für die Service-Level-Berechtigungen von `AccessAnalyzerServiceRolePolicy` hinzugefügt.	6. April 2022
AccessAnalyzerServiceRolePolicy – hat neue Berechtigung	IAM Access Analyzer hat neue Amazon S3 Aktionen hinzugefügt, um Metadaten zu analysieren, die mit regionübergreifenden Zugriffspunkten verknüpft sind.	2. September 2021
IAMAccessAnalyzerReadOnlyAccess – hat neue Berechtigung	IAM Access Analyzer hat eine neue Aktion zur Erteilung von `ValidatePolicy`-Berechtigungen hinzugefügt, damit Sie die Richtlinienprüfungen für die Validierung verwenden können. Diese Berechtigung wird von IAM Access Analyzer benötigt, um Richtlinienprüfungen für Ihre Richtlinien durchzuführen.	16. März 2021
IAM Access Analyzer hat mit der Verfolgung von Änderungen begonnen	IAM Access Analyzer begann, Änderungen für seine verwalteten Richtlinien nachzuverfolgen. AWS	1. März 2021

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Konfigurations- und Schwachstellenanalyse

Sicherheitsfunktionen außerhalb von IAM