Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sprachübersicht der Zugriffsrichtlinien für Amazon API Gateway
Auf dieser Seite werden die grundlegenden Elemente beschrieben, die in den Amazon API Gateway-Ressourcenrichtlinien verwendet werden.
Ressourcenrichtlinien werden mit derselben Syntax wie IAM Richtlinien angegeben. Vollständige Informationen zur Sprache der Richtlinien finden Sie unter Überblick über IAM Richtlinien und AWS Identity and Access Management Richtlinienreferenz im IAMBenutzerhandbuch.
Informationen darüber, wie ein AWS Dienst entscheidet, ob eine bestimmte Anfrage zugelassen oder abgelehnt werden soll, finden Sie unter Feststellen, ob eine Anfrage zugelassen oder abgelehnt wird.
Allgemeine Elemente einer Zugriffsrichtlinie
In ihrer einfachsten Form enthält eine Ressourcenrichtlinie die folgenden Elemente:
-
Ressourcen — APIs sind die Amazon API Gateway-Ressourcen, für die Sie Berechtigungen zulassen oder verweigern können. In einer Richtlinie verwenden Sie den Amazon-Ressourcennamen (ARN), um die Ressource zu identifizieren. Sie können auch eine abgekürzte Syntax verwenden, die API Gateway automatisch vollständig erweitert, ARN wenn Sie eine Ressourcenrichtlinie speichern. Weitere Informationen hierzu finden Sie unter APIBeispiele für Gateway-Ressourcenrichtlinien.
Informationen zum Format des vollständigen
Resource-Elements finden Sie unter Ressourcenformat der Berechtigungen für die Ausführung API in Gateway API. -
Aktionen — Für jede Ressource unterstützt Amazon API Gateway eine Reihe von Vorgängen. Sie identifizieren RessourcenVorgänge, die Sie zulassen (oder ablehnen) können, indem Sie Aktionsschlüsselwörter verwenden.
Die Berechtigung gibt dem Benutzer beispielsweise die
execute-api:InvokeErlaubnis, auf Anfrage eines Kunden eine API aufzurufen.Informationen zum Format des
Action-Elements finden Sie unter Aktionsformat der Berechtigungen für die Ausführung API in API Gateway. -
Auswirkung – Zeigt die Auswirkung, wenn der Benutzer die bestimmten Aktion anfordert – entweder
AllowoderDeny. Sie können den Zugriff auf eine Ressource auch explizit verweigern. Damit können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.Anmerkung
"Implizit verweigern" ist identisch mit "Standardmäßig verweigern".
Eine "implizite Verweigerung" unterscheidet sich von einer "expliziten Verweigerung". Weitere Informationen finden Sie unter Der Unterschied zwischen standardmäßiger und expliziter Zugriffsverweigerung.
-
Prinzipal – das Konto oder der Benutzer, das oder der Zugriff auf die Aktionen und Ressourcen in der Anweisung hat. In einer Ressourcenrichtlinie ist der Prinzipal der Benutzer oder das Konto, der bzw. das die Berechtigung erhält.
Die folgende Beispiel-Ressourcenrichtlinie zeigt die zuvor genannten allgemeinen Richtlinienelemente. Die Richtlinie gewährt Zugriff auf die API unter den angegebenen account-id im angegebenen region an jeden Benutzer, dessen Quell-IP-Adresse sich im Adressblock befindet 123.4.5.6/24. Die Richtlinie verweigert jeglichen Zugriff auf die, API wenn die Quell-IP des Benutzers nicht innerhalb des Bereichs liegt.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "execute-api:Invoke", "Resource": "arn:aws:execute-api:region:account-id:*" }, { "Effect": "Deny", "Principal": "*", "Action": "execute-api:Invoke", "Resource": "arn:aws:execute-api:region:account-id:*", "Condition": { "NotIpAddress": { "aws:SourceIp": "123.4.5.6/24" } } } ] }
