Amazon Monitron steht Neukunden nicht mehr zur Verfügung. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Informationen zu Funktionen, die Amazon Monitron ähneln, finden Sie in unserem [Blogbeitrag](https://aws.amazon.com/blogs/machine-learning/maintain-access-and-consider-alternatives-for-amazon-monitron).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in Amazon Monitron
Cloud-Sicherheit hat AWS höchste Priorität. Als AWS Kunde profitieren Sie von Rechenzentren und Netzwerkarchitekturen, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame AWS Verantwortung von Ihnen und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS Dienste in der AWS Cloud ausführt. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Externe Prüfer testen und verifizieren regelmäßig die Wirksamkeit unserer Sicherheitsmaßnahmen im Rahmen der [AWS](https://aws.amazon.com/compliance/programs/) . Weitere Informationen zu den Compliance-Programmen, die für Amazon Monitron gelten, finden Sie unter [AWS Services in Scope by Compliance Program AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Service, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, die Anforderungen Ihres Unternehmens und die geltenden Gesetze und Vorschriften.
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Verwendung von Amazon Monitron anwenden können. In den folgenden Themen erfahren Sie, wie Sie Amazon Monitron konfigurieren, um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie erfahren auch, wie Sie andere AWS Dienste nutzen können, die Ihnen helfen, Ihre Amazon Monitron-Ressourcen zu überwachen und zu sichern.
**Topics**
+ [
# Datenschutz in Amazon Monitron
](data-protection.md)
+ [
# Identity and Access Management für Amazon Monitron
](security-iam.md)
+ [
# Protokollierung und Überwachung in Amazon Monitron
](monitron-logging.md)
+ [
# Konformitätsvalidierung für Amazon Monitron
](monitron-compliance.md)
+ [
# Infrastruktursicherheit in Amazon Monitron
](infrastructure-security.md)
+ [
# Bewährte Sicherheitsmethoden für Amazon Monitron
](security-best-practices.md)
# Datenschutz in Amazon Monitron
Amazon Monitron entspricht dem [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/), dem der , das Vorschriften und Richtlinien für den Datenschutz umfasst. AWS ist für den Schutz der globalen Infrastruktur verantwortlich, auf der AWS alle Dienste ausgeführt werden. AWS behält die Kontrolle über die auf dieser Infrastruktur gehosteten Daten, einschließlich der Sicherheitskonfigurationskontrollen für den Umgang mit Kundeninhalten und personenbezogenen Daten. AWS Kunden und APN-Partner, die entweder als Datenverantwortliche oder als Datenverarbeiter agieren, sind für alle personenbezogenen Daten verantwortlich, die sie in die AWS Cloud stellen.
Aus Datenschutzgründen empfehlen wir Ihnen, die AWS Kontoanmeldeinformationen zu schützen und einzelne Benutzer mit AWS Identity and Access Management (IAM) einzurichten, sodass jeder Benutzer nur die Berechtigungen erhält, die für die Erfüllung seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Verwenden Sie TLS (Transport Layer Security), um mit AWS Ressourcen zu kommunizieren.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen Standardsicherheitskontrollen innerhalb der AWS Dienste.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu sichern.
Wir empfehlen dringend, in Freitextfeldern wie z. B. im Feld **Name** keine sensiblen, identifizierenden Informationen wie Kontonummern von Kunden einzugeben. Dies gilt auch, wenn Sie mit Amazon Monitron oder anderen AWS Diensten über die Konsole AWS CLI, API oder AWS SDKs arbeiten. Alle Daten, die Sie in Amazon Monitron oder andere Dienste eingeben, werden möglicherweise zur Aufnahme in Diagnoseprotokolle aufgenommen. Wenn Sie eine URL für einen externen Server bereitstellen, schließen Sie keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL ein.
Weitere Informationen zum Datenschutz enthält der Blog-Beitrag [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
**Topics**
+ [
# Daten im Ruhezustand
](data-at-rest.md)
+ [
# Daten werden übertragen
](data-in-transit.md)
+ [
# AWS KMS und Datenverschlüsselung in Amazon Monitron
](kms-data-encrypt.md)
# Daten im Ruhezustand
Ihre Daten werden im Ruhezustand in der Cloud mit einem von zwei Schlüsseltypen über AWS Key Management Service (AWS KMS) verschlüsselt. Die Daten werden in Amazon Simple Storage Service (Amazon S3) mit einem verschlüsselt AWS-eigener Schlüssel. Amazon Monitron speichert auch Daten in Tabellen in Amazon DynamoDB. Standardmäßig werden diese mit einem AWS eigenen CMK verschlüsselt. Wenn ein Kunde jedoch bei der Einrichtung eines Projekts **benutzerdefinierte Verschlüsselungseinstellungen** auswählt, verwendet Amazon Monitron ein vom Kunden verwaltetes CMK.
Siehe auch [Verwendung der serverseitigen Verschlüsselung für den Kinesis-Stream](monitron-kinesis-export.md#data-export-server-side-encryption).
# Daten werden übertragen
Amazon Monitron verwendet TLS (Transport Layer Security), um Daten zu verschlüsseln, die zwischen Ihren Sensoren und Amazon Monitron übertragen werden.
# AWS KMS und Datenverschlüsselung in Amazon Monitron
Amazon Monitron verschlüsselt Ihre Daten und Projektinformationen mit einem von zwei Schlüsseltypen über AWS Key Management Service ()AWS KMS. Sie können eine der folgenden Optionen auswählen:
+ Ein. AWS-eigener Schlüssel Dies ist der Standard-Verschlüsselungsschlüssel. Er wird verwendet, wenn Sie bei der Einrichtung Ihres Projekts keine **benutzerdefinierten Verschlüsselungseinstellungen** wählen.
+ Ein Kunde hat CMK verwaltet. Sie können einen vorhandenen Schlüssel in Ihrem AWS Konto verwenden oder einen Schlüssel in der AWS KMS Konsole oder mithilfe der API erstellen. Wenn Sie einen vorhandenen Schlüssel verwenden, wählen Sie ** AWS KMS Schlüssel auswählen und wählen** dann entweder einen Schlüssel aus der Schlüsselliste aus oder geben den Amazon-Ressourcennamen (ARN) eines anderen Schlüssels ein. AWS KMS Wenn Sie einen neuen Schlüssel erstellen möchten, wählen Sie **Create an AWS KMS key**. Weitere Informationen finden Sie unter [Erstellen von Schlüsseln](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) im *AWS Key Management Service -Entwicklerhandbuch*.
Beachten AWS KMS Sie bei der Verschlüsselung Ihrer Daten Folgendes:
+ Ihre Daten werden im Ruhezustand in der Cloud in Amazon S3 und Amazon DynamoDB verschlüsselt.
+ Wenn Daten mit einem AWS eigenen CMK verschlüsselt werden, verwendet Amazon Monitron für jeden Kunden ein separates CMK.
+ IAM-Benutzer müssen über die erforderlichen Berechtigungen verfügen, um die mit Amazon Monitron verbundenen AWS KMS API-Operationen aufrufen zu können. Amazon Monitron umfasst die folgenden Berechtigungen in seiner verwalteten Richtlinie für die Konsolennutzung.
```
{
"Effect": "Allow",
"Action": [
"kms:ListKeys",
"kms:DescribeKey",
"kms:ListAliases",
"kms:CreateGrant"
],
"Resource": "*"
},
```
Weitere Informationen finden Sie unter [Verwenden von IAM-Richtlinien mit AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) im *AWS Key Management Service -Entwicklerhandbuch*.
+ Wenn Sie Ihr CMK löschen oder deaktivieren, können Sie nicht auf die Daten zugreifen. Weitere Informationen finden Sie unter [Löschen AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html) im *AWS Key Management Service Entwicklerhandbuch*.
# Identity and Access Management für Amazon Monitron
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu kontrollieren. AWS IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Amazon Monitron Monitron-Ressourcen zu verwenden. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [
# Zielgruppe
](security_iam_audience.md)
+ [
# Authentifizieren mit Identitäten
](security_iam_authentication.md)
+ [
# Verwalten des Zugriffs mit Richtlinien
](security_iam_access-manage.md)
+ [
# So funktioniert Amazon Monitron mit IAM
](security_iam_service-with-iam.md)
+ [
# Verwenden von serviceverknüpften Rollen für Amazon Monitron
](using-service-linked-roles.md)
# Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Fehlerbehebung bei Amazon Monitron Identity and Access](security_iam_service-with-iam.md#security_iam_troubleshoot)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [So funktioniert Amazon Monitron mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Beispiele für identitätsbasierte Richtlinien von Amazon Monitron](security_iam_service-with-iam.md#security_iam_id-based-policy-examples)).
# Authentifizieren mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
**Topics**
+ [
# AWS-Konto Root-Benutzer
](security_iam_authentication-rootuser.md)
+ [
# IAM-Benutzer und -Gruppen
](security_iam_authentication-iamuser.md)
+ [
# IAM-Rollen
](security_iam_authentication-iamrole.md)
# AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
# IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer für den Zugriff AWS mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) verwenden müssen.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
# IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) oder indem Sie eine AWS Oder-API-Operation AWS CLI aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
**Topics**
+ [
# Identitätsbasierte Richtlinien
](security_iam_access-manage-id-based-policies.md)
+ [
# Weitere Richtlinientypen
](security_iam_access-manage-other-policies.md)
+ [
# Mehrere Richtlinientypen
](security_iam_access-manage-multiple-policies.md)
# Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
# Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
# Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# So funktioniert Amazon Monitron mit IAM
Bevor Sie IAM verwenden, um den Zugriff auf Amazon Monitron zu verwalten, sollten Sie wissen, welche IAM-Funktionen für Amazon Monitron verfügbar sind. Einen allgemeinen Überblick darüber, wie Amazon Monitron und andere AWS Services mit IAM zusammenarbeiten, finden Sie unter [AWS Services That Work with IAM im *IAM-Benutzerhandbuch*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
**Topics**
+ [
## Identitätsbasierte Richtlinien von Amazon Monitron
](#security_iam_service-with-iam-id-based-policies)
+ [
## Ressourcenbasierte Richtlinien von Amazon Monitron
](#security_iam_service-with-iam-resource-based-policies)
+ [
## Autorisierung basierend auf Amazon Monitron-Tags
](#security_iam_service-with-iam-tags)
+ [
## Amazon Monitron IAM-Rollen
](#security_iam_service-with-iam-roles)
+ [
## Beispiele für identitätsbasierte Richtlinien von Amazon Monitron
](#security_iam_id-based-policy-examples)
+ [
## Fehlerbehebung bei Amazon Monitron Identity and Access
](#security_iam_troubleshoot)
## Identitätsbasierte Richtlinien von Amazon Monitron
Verwenden Sie identitätsbasierte IAM-Richtlinien, um zulässige oder verweigerte Aktionen und Ressourcen sowie die Bedingungen anzugeben, unter denen Aktionen zulässig oder verweigert werden. Amazon Monitron unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
**Topics**
+ [
### Aktionen
](#security_iam_service-with-iam-id-based-policies-actions)
+ [
### Ressourcen
](#security_iam_service-with-iam-id-based-policies-resources)
+ [
### Bedingungsschlüssel
](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [
### Beispiele
](#security_iam_service-with-iam-id-based-policies-examples)
### Aktionen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
In Amazon Monitron verwenden Richtlinienaktionen das folgende Präfix vor der Aktion:`monitron:`. Um beispielsweise jemandem die Erlaubnis zu erteilen, ein Projekt mit dem Amazon Monitron `CreateProject` Monitron-Betrieb zu erstellen, nehmen Sie die `monitron:CreateProject` Aktion in seine Richtlinie auf. Richtlinienanweisungen müssen entweder ein – `Action`oder ein `NotAction`-Element enthalten. Amazon Monitron definiert eigene Aktionen, die Aufgaben beschreiben, die Sie mit diesem Service ausführen können.
**Anmerkung**
Für den `deleteProject` Vorgang benötigen Sie die AWS IAM Identity Center (SSO-) Berechtigungen zum Löschen. Ohne diese Berechtigungen wird das Projekt durch die Löschfunktion trotzdem entfernt. Die Ressourcen werden dadurch jedoch nicht aus SSO entfernt, und es kann sein, dass Sie am Ende nur noch vereinzelte Verweise auf SSO haben.
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:
```
"Action": [
"monitron:action1",
"monitron:action2"
]
```
Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `List` beginnen, einschließlich der folgenden Aktion:
```
"Action": "monitron:List*"
```
### Ressourcen
Amazon Monitron unterstützt die Angabe von Ressourcen ARNs in einer Richtlinie nicht.
### Bedingungsschlüssel
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Amazon Monitron definiert seinen eigenen Satz von Bedingungsschlüsseln und unterstützt auch die Verwendung einiger globaler Bedingungsschlüssel. Eine Liste aller AWS globalen Bedingungsschlüssel finden Sie unter [AWS Global Condition Context Keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Eine Liste der Amazon Monitron-Bedingungsschlüssel finden Sie unter [Von Amazon Monitron definierte Aktionen](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonmonitron.html#amazonmonitron-actions-as-permissions) im *IAM-Benutzerhandbuch*. Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Bedingungsschlüssel für Amazon Monitron](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonmonitron.html#amazonmonitron-policy-keys).
### Beispiele
Beispiele für identitätsbasierte Richtlinien von Amazon Monitron finden Sie unter. [Beispiele für identitätsbasierte Richtlinien von Amazon Monitron](#security_iam_id-based-policy-examples)
## Ressourcenbasierte Richtlinien von Amazon Monitron
Amazon Monitron unterstützt keine ressourcenbasierten Richtlinien.
## Autorisierung basierend auf Amazon Monitron-Tags
Sie können Tags bestimmten Arten von Amazon Monitron Monitron-Ressourcen zur Autorisierung zuordnen. Um den Zugriff anhand von Tags zu steuern, geben Sie Tag-Informationen im [Bedingungselement](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) einer Richtlinie mithilfe der `aws:TagKeys` Bedingungsschlüssel `Amazon Monitron:TagResource/${TagKey}``aws:RequestTag/${TagKey}`, oder an.
## Amazon Monitron IAM-Rollen
Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine Entität innerhalb Ihres AWS Kontos, die über bestimmte Berechtigungen verfügt.
### Temporäre Anmeldeinformationen mit Amazon Monitron verwenden
Sie können temporäre Anmeldeinformationen verwenden, um sich mit dem Verbund anzumelden, eine IAM-Rolle zu übernehmen oder eine kontoübergreifende Rolle zu übernehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)oder [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)aufrufen.
Amazon Monitron unterstützt die Verwendung temporärer Anmeldeinformationen.
### Serviceverknüpfte Rollen
[Mit Services verknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) ermöglichen es AWS Services, auf Ressourcen in anderen Services zuzugreifen, um eine Aktion in Ihrem Namen durchzuführen. Serviceverknüpfte Rollen werden in Ihrem IAM-Konto angezeigt und gehören zum Service. Ein IAM-Administrator kann die Berechtigungen für serviceverknüpfte Rollen anzeigen, aber nicht bearbeiten.
Amazon Monitron unterstützt serviceverknüpfte Rollen.
### Servicerollen
Dieses Feature ermöglicht einem Service das Annehmen einer [Servicerolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem IAM-Konto angezeigt und gehören zum Konto. Dies bedeutet, dass ein IAM-Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Dienstes beeinträchtigen.
Amazon Monitron unterstützt Servicerollen.
## Beispiele für identitätsbasierte Richtlinien von Amazon Monitron
Standardmäßig sind IAM-Benutzer und -Rollen nicht berechtigt, Amazon Monitron Monitron-Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben mit dem ausführen. AWS-Managementkonsole Ein IAM-Administrator muss den IAM-Benutzern, -Gruppen oder -Rollen, für die sie erforderlich sind, Berechtigungen erteilen. Anschließend können diese Benutzer, Gruppen oder Rollen die spezifischen Operationen mit den angegebenen Ressourcen ausführen, die sie benötigen. Der Administrator muss diese Richtlinien anschließend den IAM-Benutzern oder -Gruppen anfügen, die diese Berechtigungen benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von Richtlinien auf der JSON-Registerkarte](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) im *IAM-Benutzerhandbuch*.
**Topics**
+ [
### Bewährte Methoden für Richtlinien
](#security_iam_service-with-iam-policy-best-practices)
+ [
### Verwenden der Amazon Monitron Monitron-Konsole
](#security_iam_id-based-policy-examples-console)
+ [
### Beispiel: Alle Amazon Monitron Monitron-Projekte auflisten
](#security_iam_id-based-policy-examples-access-one-bucket)
+ [
### Beispiel: Amazon Monitron Monitron-Projekte anhand von Tags auflisten
](#security_iam_id-based-policy-examples-view-widget-tags)
### Bewährte Methoden für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand Amazon Monitron Monitron-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder diese löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn Sie identitätsbasierte Richtlinien erstellen oder bearbeiten, befolgen Sie diese Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
### Verwenden der Amazon Monitron Monitron-Konsole
Um Amazon Monitron über die Konsole einzurichten, schließen Sie bitte die Ersteinrichtung mit einem Benutzer mit hohen Rechten ab (z. B. einem Benutzer, dem die `AdministratorAccess` verwaltete Richtlinie angehängt ist).
Um nach der Ersteinrichtung auf die Amazon Monitron Monitron-Konsole für day-to-day Operationen zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den Amazon Monitron Monitron-Ressourcen in Ihrem AWS Konto aufzulisten und anzuzeigen, und sie müssen eine Reihe von Berechtigungen im Zusammenhang mit IAM Identity Center beinhalten. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die restriktiver ist als diese erforderlichen Mindestberechtigungen, funktioniert die Konsole für Entitäten (IAM-Benutzer oder -Rollen) mit dieser Richtlinie nicht wie vorgesehen. Für grundlegende Funktionen der Amazon Monitron Monitron-Konsole müssen Sie die `AmazonMonitronFullAccess` verwaltete Richtlinie anhängen. Je nach den Umständen benötigen Sie möglicherweise auch zusätzliche Berechtigungen für die Organizations und den SSO-Dienst. Wenden Sie sich an den AWS Support, wenn Sie weitere Informationen benötigen.
### Beispiel: Alle Amazon Monitron Monitron-Projekte auflisten
Diese Beispielrichtlinie gewährt einem IAM-Benutzer in Ihrem AWS Konto die Erlaubnis, alle Projekte in Ihrem Konto aufzulisten.
### Beispiel: Amazon Monitron Monitron-Projekte anhand von Tags auflisten
Sie können Bedingungen in Ihrer identitätsbasierten Richtlinie verwenden, um den Zugriff auf Amazon Monitron Monitron-Ressourcen anhand von Tags zu kontrollieren. Dieses Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die das Auflisten von Projekten ermöglicht. Die Erlaubnis wird jedoch nur erteilt, wenn das Projekt-Tag den Wert von `location` hat`Seattle`. Diese Richtlinie gewährt auch die Berechtigungen, die für die Ausführung dieser Aktion auf der Konsole erforderlich sind.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListProjectsInConsole",
"Effect": "Allow",
"Action": "monitron:ListProjects",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/location": "Seattle"
}
}
}
]
}
```
------
Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
## Fehlerbehebung bei Amazon Monitron Identity and Access
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit Amazon Monitron und IAM auftreten können.
**Topics**
+ [
### Ich bin nicht berechtigt, eine Aktion in Amazon Monitron durchzuführen
](#security_iam_troubleshoot-no-permissions)
+ [
### Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine Amazon Monitron Monitron-Ressourcen ermöglichen
](#security_iam_troubleshoot-cross-account-access)
### Ich bin nicht berechtigt, eine Aktion in Amazon Monitron durchzuführen
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht zur Durchführung einer Aktion berechtigt sind, müssen Ihre Richtlinien aktualisiert werden, damit Sie die Aktion durchführen können.
Der folgende Beispielfehler tritt auf, wenn der IAM-Benutzer `mateojackson` versucht, über die Konsole Details zu einer fiktiven `my-example-widget`-Ressource anzuzeigen, jedoch nicht über `monitron:GetWidget`-Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: monitron:GetWidget on resource: my-example-widget
```
In diesem Fall muss die Richtlinie für den Benutzer `mateojackson` aktualisiert werden, damit er mit der `monitron:GetWidget`-Aktion auf die `my-example-widget`-Ressource zugreifen kann.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
### Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine Amazon Monitron Monitron-Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob Amazon Monitron diese Funktionen unterstützt, finden Sie unter[So funktioniert Amazon Monitron mit IAM](#security_iam_service-with-iam).
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs auf einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# Verwenden von serviceverknüpften Rollen für Amazon Monitron
Amazon Monitron verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Rollen. Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Amazon Monitron verknüpft ist. Servicebezogene Rollen sind von Amazon Monitron vordefiniert und beinhalten alle Berechtigungen, die der Service benötigt, um andere AWS Services in Ihrem Namen aufzurufen.
Eine serviceverknüpfte Rolle erleichtert die Einrichtung von Amazon Monitron, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Amazon Monitron definiert die Berechtigungen seiner serviceverknüpften Rollen, und sofern nicht anders definiert, kann nur Amazon Monitron seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie nach den Services, für die in der Spalte **Serviceverknüpfte Rollen** der Wert **Ja** angegeben ist. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
**Topics**
+ [
# Servicebezogene Rollenberechtigungen für Amazon Monitron
](slr-permissions.md)
+ [
# Eine serviceverknüpfte Rolle für Amazon Monitron erstellen
](create-slr.md)
+ [
# Bearbeitung einer serviceverknüpften Rolle für Amazon Monitron
](edit-slr.md)
+ [
# Löschen einer serviceverknüpften Rolle für Amazon Monitron
](delete-slr.md)
+ [
# Unterstützte Regionen für Rollen im Zusammenhang mit dem Service von Amazon Monitron
](slr-regions.md)
+ [
# AWS verwaltete Richtlinien für Amazon Monitron
](monitron-managed-policies.md)
+ [
# Amazon Monitron Monitron-Updates für AWS verwaltete Richtlinien
](managed-policy-updates.md)
# Servicebezogene Rollenberechtigungen für Amazon Monitron
Amazon Monitron verwendet die serviceverknüpfte Rolle mit dem Namen **AWSServiceRoleForMonitron[\$1 \$1SUFFIX\$1]** — Amazon Monitron verwendet sie für den AWSService RoleForMonitron Zugriff auf andere AWS Dienste, darunter Cloudwatch Logs, Kinesis Data Streams, KMS-Schlüssel und SSO. *Weitere Informationen zu der Richtlinie finden Sie im Referenzhandbuch für verwaltete Richtlinien [AWSServiceRoleForMonitronPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForMonitronPolicy.html)AWS *
Die dienstbezogene Rolle AWSService RoleForMonitron [\$1 \$1SUFFIX\$1] vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
+ `monitron.amazonaws.com` oder `core.monitron.amazonaws.com`
Die genannte Rollenberechtigungsrichtlinie MonitronServiceRolePolicy ermöglicht es Amazon Monitron, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:
+ Aktion: Amazon CloudWatch Logs `logs:CreateLogGroup` `logs:CreateLogStream` und in der CloudWatch Protokollgruppe `logs:PutLogEvents` den Stream protokollieren und Ereignisse unter dem Pfad /aws/monitron/ \$1 protokollieren
Die Rollenberechtigungsrichtlinie mit dem Namen MonitronServiceDataExport - KinesisDataStreamAccess ermöglicht Amazon Monitron, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:
+ Aktion: Amazon Kinesis`kinesis:PutRecord`,`kinesis:PutRecords`, und `kinesis:DescribeStream` auf dem Kinesis-Datenstream, der für den Live-Datenexport spezifiziert ist.
+ Aktion: Amazon AWS KMS `kms:GenerateDataKey` für den AWS KMS Schlüssel, der vom angegebenen Kinesis-Datenstream für den Live-Datenexport verwendet wird
+ Aktion: Amazon IAM löscht `iam:DeleteRole` die serviceverknüpfte Rolle selbst, wenn sie nicht verwendet wird
Die genannte Rollenberechtigungsrichtlinie AWSService RoleForMonitronPolicy ermöglicht es Amazon Monitron, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:
+ Aktion: IAM Identity Center`sso:GetManagedApplicationInstance`,,,`sso:GetProfile`,`sso:ListProfiles`,,`sso:AssociateProfile`, `sso:ListDirectoryAssociations` `sso:ListProfileAssociations` `sso-directory:DescribeUsers` `sso-directory:SearchUsers``sso:CreateApplicationAssignment`, und `sso:ListApplicationAssignments` um auf IAM Identity Center-Benutzer zuzugreifen, die mit dem Projekt verknüpft sind
**Anmerkung**
Hinzufügen`sso:ListProfileAssociations`, damit Amazon Monitron Verknüpfungen mit der Anwendungsinstanz auflisten kann, die dem Amazon Monitron Monitron-Projekt zugrunde liegt.
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
# Eine serviceverknüpfte Rolle für Amazon Monitron erstellen
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie eine Funktion aktivieren, für die Ihre Erlaubnis erforderlich ist, andere AWS Dienste in Ihrem Namen in Amazon Monitron aufzurufen AWS-Managementkonsole, erstellt Amazon Monitron die serviceverknüpfte Rolle für Sie.
# Bearbeitung einer serviceverknüpften Rolle für Amazon Monitron
Amazon Monitron erlaubt Ihnen nicht, die mit dem Service verknüpfte Rolle AWSService RoleForMonitron [\$1 \$1SUFFIX\$1] zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
# Löschen einer serviceverknüpften Rolle für Amazon Monitron
Sie müssen die Rolle AWSService RoleForMonitron [\$1 \$1SUFFIX\$1] nicht manuell löschen. Wenn Sie ein Amazon Monitron-Projekt löschen, das Sie über Amazon Monitron im erstellt haben AWS-Managementkonsole, bereinigt Amazon Monitron die Ressourcen und löscht die serviceverknüpfte Rolle für Sie.
Sie können auch die IAM-Konsole, die AWS CLI oder die AWS API verwenden, um die serviceverknüpfte Rolle manuell zu löschen. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zuerst manuell bereinigen, bevor Sie diese manuell löschen können.
**Anmerkung**
Wenn der Amazon Monitron-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**Um Amazon Monitron Monitron-Ressourcen zu löschen, die vom AWSService RoleForMonitron [\$1 \$1SUFFIX\$1] verwendet werden**
+ Löschen Sie Amazon Monitron Monitron-Projekte mithilfe dieser serviceverknüpften Rolle.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die serviceverknüpfte Rolle AWSService RoleForMonitron [\$1 \$1SUFFIX\$1] zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
# Unterstützte Regionen für Rollen im Zusammenhang mit dem Service von Amazon Monitron
Amazon Monitron unterstützt die Verwendung von servicebezogenen Rollen in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter [AWS -Regionen und Endpunkte](https://docs.aws.amazon.com//general/latest/gr/rande.html#connect_region).
Amazon Monitron unterstützt nicht die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Service verfügbar ist. Sie können die Rolle AWSService RoleForMonitron [\$1 \$1SUFFIX\$1] in den folgenden Regionen verwenden.
****
| Name der Region | Regions-ID | Support in Amazon Monitron |
| --- | --- | --- |
| USA Ost (Nord-Virginia) | us-east-1 | Ja |
| USA Ost (Ohio) | us-east-2 | Nein |
| USA West (Nordkalifornien) | us-west-1 | Nein |
| USA West (Oregon) | us-west-2 | Nein |
| Asien-Pazifik (Mumbai) | ap-south-1 | Nein |
| Asia Pacific (Osaka) | ap-northeast-3 | Nein |
| Asien-Pazifik (Seoul) | ap-northeast-2 | Nein |
| Asien-Pazifik (Singapur) | ap-southeast-1 | Nein |
| Asien-Pazifik (Sydney) | ap-southeast-2 | Ja |
| Asien-Pazifik (Tokyo) | ap-northeast-1 | Nein |
| Kanada (Zentral) | ca-central-1 | Nein |
| Europa (Frankfurt) | eu-central-1 | Nein |
| Europa (Irland) | eu-west-1 | Ja |
| Europa (London) | eu-west-2 | Nein |
| Europa (Paris) | eu-west-3 | Nein |
| Südamerika (São Paulo) | sa-east-1 | Nein |
| AWS GovCloud (US) | us-gov-west-1 | Nein |
# AWS verwaltete Richtlinien für Amazon Monitron
Sie können sie AmazonMonitronFullAccess an Ihre IAM-Entitäten anhängen. Diese Richtlinie gewährt *Administratorberechtigungen*, die den Zugriff auf alle Ressourcen und Abläufe von Amazon Monitron ermöglichen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "monitron.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"monitron:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:ListKeys",
"kms:DescribeKey",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"monitron.*.amazonaws.com"
]
},
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
},
{
"Sid": "AWSSSOPermissions",
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"ds:DescribeDirectories",
"ds:DescribeTrusts"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kinesis:DescribeStream",
"kinesis:ListStreams"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/monitron/*"
}
]
}
```
------
# Amazon Monitron Monitron-Updates für AWS verwaltete Richtlinien
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon Monitron an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen. Abonnieren Sie den RSS-Feed auf der Amazon Monitron Monitron-Dokumentverlaufsseite, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| AWSServiceRoleForMonitronPolicy - Aktualisierung einer bestehenden Richtlinie | `sso:CreateApplicationAssignment`Und `sso:ListApplicationAssignments` zur [Richtlinie für Rollenberechtigungen](https://docs.aws.amazon.com/Monitron/latest/user-guide/using-service-linked-roles.html) hinzugefügt. | 30. September 2024 |
| AmazonMonitronFullAccess — Aktualisierung einer bestehenden Richtlinie | Amazon Monitron hat Berechtigungen zum Beschreiben und Auflisten von Kinesis Data Streams sowie zum Beschreiben, Abrufen und Erstellen von CloudWatch Protokollgruppen, Protokollstreams und Protokollereignissen hinzugefügt.Sie müssen diese Berechtigungen verwenden, um die Amazon Monitron Monitron-Konsole zur Anzeige von Informationen über Kinesis Data Streams und CloudWatch Logs zu verwenden. | 8. Juni 2022 |
# Protokollierung und Überwachung in Amazon Monitron
Die Überwachung ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Verfügbarkeit und Leistung Ihrer Amazon Monitron Monitron-Anwendungen. Um die Aktionen der Amazon Monitron Monitron-Konsole und der mobilen App zu überwachen, können Sie verwenden AWS CloudTrail.
CloudTrail Protokolle enthalten eine Aufzeichnung der Aktionen, die von einem Benutzer, einer Rolle oder einem AWS Service in Amazon Monitron ausgeführt wurden. Anhand der von gesammelten Informationen können Sie die Anfrage CloudTrail, die an Amazon Monitron gestellt wurde, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details ermitteln. Weitere Informationen finden Sie unter [Protokollierung Amazon Monitron Monitron-Aktionen mit AWS CloudTrail](logging-using-cloudtrail.md).
# Konformitätsvalidierung für Amazon Monitron
Informationen darüber, ob AWS-Service ein [AWS-Services in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter Umfang nach Compliance-Programm AWS-Services unter](https://aws.amazon.com/compliance/services-in-scope/) . Wählen Sie dort das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).
# Infrastruktursicherheit in Amazon Monitron
Als verwalteter Service ist Amazon Monitron durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Amazon Monitron zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
# Bewährte Sicherheitsmethoden für Amazon Monitron
Amazon Monitron bietet eine Reihe von Sicherheitsfunktionen, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden sind allgemeine Richtlinien und keine vollständige Sicherheitslösung. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.
Die folgenden bewährten Methoden für Amazon Monitron können dazu beitragen, Sicherheitsvorfälle zu verhindern:
+ Wenn Sie ein Benutzerverzeichnis AWS IAM Identity Center (IAM Identity Center) für Amazon Monitron erstellen, aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für das Verzeichnis, um die Verzeichnissicherheit zu erhöhen.
+ Beachten Sie, dass alle Projekt- und Site-Administratoren, die die mobile Amazon Monitron Monitron-App verwenden, Lesezugriff auf alle Benutzer in Ihrer Organisation haben, die in dem Benutzerverzeichnis aufgeführt sind, das Sie bei der Einrichtung Ihres Projekts ausgewählt haben. Wir empfehlen dringend, ein isoliertes Verzeichnis zu verwenden, wenn Sie den Zugriff auf Informationen zur Benutzerorganisation einschränken möchten.
+ Aufgrund der Gefahr von Phishing-Angriffen, bei denen ein Angreifer eine E-Mail an Ihre Benutzer sendet, in der er sich als Einladungs-E-Mail für ein Amazon Monitron Monitron-Projekt ausgibt, sollten Sie die Benutzer davor warnen, sicherzustellen, dass der Verzeichnisname auf dem Anmeldebildschirm sichtbar ist, bevor sie ihre Anmeldeinformationen eingeben.
+ Da die mobile Amazon Monitron Monitron-App auf einem Smartphone läuft und Zugriff auf Ihr Projekt hat, sollten Sie alle Benutzer die Bildschirmsperre aktivieren, um den Zugriff zu schützen, wenn sie nicht verwendet wird.