Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in AWS App Studio
Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS Dienste in der AWS Cloud ausführt. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Die Wirksamkeit unserer Sicherheitsfunktionen wird regelmäßig von externen Prüfern im Rahmen des [AWS -Compliance-Programms getestet und überprüft](https://aws.amazon.com/compliance/programs/). Weitere Informationen zu den Compliance-Programmen, die für App Studio gelten, finden Sie unter [AWS Services im Umfang nach Compliance-Programmen](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Dienst, den Sie nutzen. In Ihre Verantwortung fallen außerdem weitere Faktoren, wie z. B. die Vertraulichkeit der Daten, die Anforderungen Ihrer Organisation sowie geltende Gesetze und Vorschriften.
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Verwendung von App Studio anwenden können. In den folgenden Themen erfahren Sie, wie Sie App Studio konfigurieren, um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Außerdem erfahren Sie, wie Sie andere AWS Dienste nutzen können, die Ihnen bei der Überwachung und Sicherung Ihrer App Studio-Ressourcen helfen können.
**Topics**
+ [Sicherheitsüberlegungen und Abhilfemaßnahmen](security-considerations-and-mitigations.md)
+ [Datenschutz in AWS App Studio](data-protection.md)
+ [AWS App Studio und AWS Identity and Access Management (IAM)](security-iam.md)
+ [Konformitätsprüfung für App Studio AWS](compliance-validation.md)
+ [Ausfallsicherheit in AWS App Studio](disaster-recovery-resiliency.md)
+ [Sicherheit der Infrastruktur in AWS App Studio](infrastructure-security.md)
+ [Konfiguration und Schwachstellenanalyse in AWS App Studio](vulnerability-analysis-and-management.md)
+ [Serviceübergreifende Confused-Deputy-Prävention](cross-service-confused-deputy-prevention.md)
+ [Regionsübergreifender Datentransfer in AWS App Studio](cross-region-data-transfer.md)
# Sicherheitsüberlegungen und Abhilfemaßnahmen
## Sicherheitsüberlegungen
Beim Umgang mit Datenkonnektoren, Datenmodellen und veröffentlichten Anwendungen ergeben sich verschiedene Sicherheitsbedenken im Zusammenhang mit Datenexposition, Zugriffskontrolle und potenziellen Sicherheitslücken. Die folgende Liste enthält die wichtigsten Sicherheitsbedenken.
### Unsachgemäße Konfiguration der IAM-Rollen
Eine falsche Konfiguration der IAM-Rollen für Datenkonnektoren kann zu unbefugtem Zugriff und Datenlecks führen. Wenn Sie der IAM-Rolle eines Datenkonnektors zu viel Zulässigkeit gewähren, können unbefugte Benutzer möglicherweise auf vertrauliche Daten zugreifen und diese ändern.
### Verwenden von IAM-Rollen zur Durchführung von Datenoperationen
Da Endbenutzer einer App Studio-App die in der Connector-Konfiguration angegebene IAM-Rolle übernehmen, um Aktionen auszuführen, erhalten diese Endbenutzer möglicherweise Zugriff auf Daten, auf die sie normalerweise keinen Zugriff haben.
### Löschen von Datenkonnektoren veröffentlichter Anwendungen
Wenn ein Datenconnector gelöscht wird, werden die zugehörigen geheimen Anmeldeinformationen nicht automatisch aus veröffentlichten Anwendungen entfernt, die diesen Connector bereits verwenden. Wenn in diesem Szenario eine Anwendung mit bestimmten Connectoren veröffentlicht wurde und einer dieser Connectoren aus App Studio gelöscht wurde, funktioniert die veröffentlichte Anwendung weiterhin mit den zuvor gespeicherten Connector-Anmeldeinformationen. Es ist wichtig zu beachten, dass die veröffentlichte App trotz des Löschens des Connectors davon unberührt bleibt und betriebsbereit bleibt.
### Bearbeitung von Datenkonnektoren in veröffentlichten Anwendungen
Wenn ein Datenconnector bearbeitet wird, werden die Änderungen nicht automatisch in veröffentlichten Anwendungen widergespiegelt, die diesen Connector verwenden. Wenn eine Anwendung mit bestimmten Connectoren veröffentlicht wurde und einer dieser Connectoren in App Studio geändert wurde, verwendet die veröffentlichte Anwendung weiterhin die zuvor gespeicherte Connectorkonfiguration und die Anmeldeinformationen. Um die aktualisierten Connector-Änderungen zu übernehmen, muss die Anwendung erneut veröffentlicht werden. Bis zur erneuten Veröffentlichung bleibt die App fehlerhaft und nicht betriebsbereit, oder sie ist nicht betroffen und betriebsbereit, spiegelt aber nicht die neuesten Connector-Änderungen wider.
## Empfehlungen zur Minderung von Sicherheitsrisiken
In diesem Abschnitt werden Empfehlungen zur Risikominderung zur Vermeidung von Sicherheitsrisiken aufgeführt, die im vorherigen Abschnitt zu Sicherheitsüberlegungen beschrieben wurden.
1. **Richtige IAM-Rollenkonfiguration:** Stellen Sie sicher, dass die IAM-Rollen für Data Connectors korrekt nach dem Prinzip der geringsten Rechte konfiguriert sind, um unbefugten Zugriff und Datenlecks zu verhindern.
1. **Eingeschränkter App-Zugriff:** Teilen Sie Ihre Apps nur mit Benutzern, die berechtigt sind, die Anwendungsdaten einzusehen oder Aktionen mit ihnen durchzuführen.
1. **Veröffentlichung von Apps:** Stellen Sie sicher, dass Apps immer dann erneut veröffentlicht werden, wenn ein Connector aktualisiert oder gelöscht wird.
# Datenschutz in AWS App Studio
Das AWS [Modell](https://aws.amazon.com/compliance/shared-responsibility-model/) der mit gilt für den Datenschutz in AWS App Studio. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit AWS App Studio oder anderen Geräten arbeiten und die Konsole, die API oder AWS-Services verwenden. AWS CLI AWS SDKs Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
## Datenverschlüsselung
App Studio speichert und überträgt Daten sicher, indem es Daten im Ruhezustand und bei der Übertragung verschlüsselt.
### Verschlüsselung im Ruhezustand
„Verschlüsselung im Ruhezustand“ bezieht sich auf den Schutz Ihrer Daten vor unbefugtem Zugriff durch deren Verschlüsselung während der Speicherung. App Studio bietet standardmäßig Verschlüsselung im Ruhezustand mithilfe von AWS KMS Schlüsseln, und Sie müssen keine zusätzliche Konfiguration für die Datenverschlüsselung im Ruhezustand vornehmen.
App Studio speichert die folgenden Daten für Ihre Anwendungen sicher: Quellcode, Build-Artefakte, Metadaten und Berechtigungsinformationen.
Bei der Verwendung von Datenquellen, die mit einem vom AWS KMS Kunden verwalteten Schlüssel (CMK) verschlüsselt sind, werden App Studio-Ressourcen weiterhin mit einem AWS verwalteten Schlüssel verschlüsselt, wohingegen die Daten in den verschlüsselten Datenquellen vom CMK verschlüsselt werden. Weitere Informationen zur Verwendung verschlüsselter Datenquellen in App Studio-Apps finden Sie unter. [Verwenden Sie verschlüsselte Datenquellen mit CMKs](encrypted-data-cmk.md)
App Studio verwendet Amazon CloudFront , um Ihre App Ihren Benutzern zur Verfügung zu stellen. CloudFront verwendet SSDs , die für Edge-Standorte (POPs) verschlüsselt sind, und verschlüsselte EBS-Volumes für regionale Edge-Caches (RECs). Der Funktionscode und die Konfiguration in CloudFront Functions werden immer in einem verschlüsselten Format auf dem am Edge verschlüsselten Standort und SSDs an anderen Speicherorten gespeichert POPs, die von verwendet werden. CloudFront
## Verschlüsselung während der Übertragung
Der Begriff „Verschlüsselung während der Übertragung“ bedeutet, dass Ihre Daten davor geschützt werden, abgefangen zu werden, während sie zwischen Kommunikationsendpunkten verschoben werden. App Studio bietet standardmäßig Verschlüsselung für Daten während der Übertragung. Die gesamte Kommunikation zwischen Kunden und App Studio sowie zwischen App Studio und seinen nachgelagerten Abhängigkeiten wird durch TLS-Verbindungen geschützt, die mit dem Signature Version 4-Signaturprozess signiert wurden. Alle App Studio-Endpunkte verwenden SHA-256-Zertifikate, die von einer AWS Certificate Manager privaten Zertifizierungsstelle verwaltet werden.
## Schlüsselverwaltung
App Studio unterstützt die Verwaltung von Verschlüsselungsschlüsseln nicht.
## Datenschutz für den Datenverkehr zwischen Netzwerken
Wenn Sie eine Instanz in App Studio erstellen, wählen Sie die AWS Region aus, in der die Daten und Ressourcen für diese Instanz gespeichert werden. Artefakte und Metadaten beim Erstellen von Anwendungen verlassen diese AWS Region nie.
Beachten Sie jedoch die folgenden Informationen:
+ Da App Studio Amazon verwendet, CloudFront um Ihre Anwendung bereitzustellen, und Lambda @Edge verwendet, um die Authentifizierung für Ihre Anwendung zu verwalten, würde auf einen begrenzten Satz von Authentifizierungsdaten, Autorisierungsdaten und Anwendungsmetadaten von CloudFront Edge-Standorten aus zugegriffen werden, die sich in einer anderen Region befinden könnten.
+ AWS App Studio überträgt Daten zwischen AWS Regionen, um bestimmte generative KI-Funktionen im Service zu aktivieren. Weitere Informationen zu den Funktionen, die durch regionsübergreifende Datenübertragungen aktiviert werden, zur Art der Daten, die zwischen Regionen übertragen werden, und zur Deaktivierung finden Sie unter[Regionsübergreifender Datentransfer in AWS App Studio](cross-region-data-transfer.md).
# AWS App Studio und AWS Identity and Access Management (IAM)
In AWS App Studio verwalten Sie den Zugriff und die Berechtigungen im Service, indem Sie Gruppen in IAM Identity Center der entsprechenden Rolle in App Studio zuweisen. Die Berechtigungen der Gruppenmitglieder werden durch die zugewiesene Rolle bestimmt und nicht durch die Konfiguration von Benutzern, Rollen oder Berechtigungen direkt in AWS Identity and Access Management (IAM). Weitere Informationen zur Verwaltung von Zugriff und Berechtigungen in App Studio finden Sie unter[Zugriff und Rollen in App Studio verwalten](managing-access-and-roles.md).
App Studio lässt sich in IAM integrieren, wenn eine Instanz zu Abrechnungszwecken verifiziert wird und wenn eine Verbindung zu einem AWS Konto besteht, um Ressourcen in diesem AWS Konto zu erstellen und zu verwenden. Informationen zur Verbindung von App Studio mit anderen AWS Diensten zur Verwendung in Ihren Anwendungen finden Sie unter. [Connect zu AWS Diensten her](add-connector-services.md)
Wenn Sie eine Instanz in App Studio erstellen, müssen Sie ein AWS Konto als Abrechnungs- und Verwaltungskonto für Ihre Instanz verbinden. Um wichtige Funktionen zu aktivieren, erstellt App Studio auch [IAM-Dienstrollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts), um dem Dienst die erforderlichen Berechtigungen zur Ausführung von Aufgaben in Ihrem Namen zu gewähren.
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu AWS kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um App Studio-Ressourcen zu verwenden. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Identitätsbasierte Richtlinien für App Studio](#security_iam_service-with-iam-id-based-policies)
+ [Ressourcenbasierte Richtlinien in App Studio](#security_iam_service-with-iam-resource-based-policies)
+ [Richtlinienaktionen für App Studio](#security_iam_service-with-iam-id-based-policies-actions)
+ [Richtlinienressourcen für App Studio](#security_iam_service-with-iam-id-based-policies-resources)
+ [Bedingungsschlüssel für Richtlinien für App Studio](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [ACLs in App Studio](#security_iam_service-with-iam-acls)
+ [ABAC mit App Studio](#security_iam_service-with-iam-tags)
+ [Temporäre Anmeldeinformationen mit App Studio verwenden](#security_iam_service-with-iam-roles-tempcreds)
+ [Serviceübergreifende Prinzipalberechtigungen für App Studio](#security_iam_service-with-iam-principal-permissions)
+ [Servicerollen für App Studio](#security_iam_service-with-iam-roles-service)
+ [Dienstbezogene Rollen für App Studio](#security_iam_service-with-iam-roles-service-linked)
+ [AWS verwaltete Richtlinien für AWS App Studio](security-iam-awsmanpol.md)
+ [Mit Diensten verknüpfte Rollen für App Studio](appstudio-service-linked-roles.md)
+ [Beispiele für identitätsbasierte Richtlinien für App Studio AWS](security_iam_id-based-policy-examples.md)
Bevor Sie IAM verwenden, um den Zugriff auf App Studio zu verwalten, sollten Sie sich darüber informieren, welche IAM-Funktionen mit App Studio verwendet werden können.
**IAM-Funktionen, die Sie mit App Studio verwenden können AWS**
| IAM-Feature | App Studio-Unterstützung |
| --- | --- |
| [Identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies) | Ja |
| [Ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies) | Nein |
| [Richtlinienaktionen](#security_iam_service-with-iam-id-based-policies-actions) | Ja |
| [Richtlinienressourcen](#security_iam_service-with-iam-id-based-policies-resources) | Ja |
| [Bedingungsschlüssel für die Richtlinie](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Nein |
| [ACLs](#security_iam_service-with-iam-acls) | Nein |
| [ABAC (Tags in Richtlinien)](#security_iam_service-with-iam-tags) | Nein |
| [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-roles-tempcreds) | Ja |
| [Prinzipalberechtigungen](#security_iam_service-with-iam-principal-permissions) | Ja |
| [Servicerollen](#security_iam_service-with-iam-roles-service) | Ja |
| [Service-verknüpfte Rollen](#security_iam_service-with-iam-roles-service-linked) | Ja |
Einen allgemeinen Überblick darüber, wie App Studio und andere AWS Dienste mit den meisten IAM-Funktionen funktionieren, finden Sie im [IAM-Benutzerhandbuch unter AWS Dienste, die mit *IAM* funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
## Identitätsbasierte Richtlinien für App Studio
**Unterstützt Richtlinien auf Identitätsbasis:** Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Beispiele für identitätsbasierte Richtlinien für App Studio
Beispiele für identitätsbasierte Richtlinien von App Studio finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für App Studio AWS](security_iam_id-based-policy-examples.md)
## Ressourcenbasierte Richtlinien in App Studio
**Unterstützt ressourcenbasierte Richtlinien:** Nein
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-*Rollen-Vertrauensrichtlinien* und Amazon-S3-*Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services
Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Richtlinienaktionen für App Studio
**Unterstützt Richtlinienaktionen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Eine Liste der App Studio-Aktionen finden Sie unter [Von AWS App Studio definierte Aktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappstudio.html#awsappstudio-actions-as-permissions) in der *Serviceautorisierungsreferenz*.
Richtlinienaktionen in App Studio verwenden vor der Aktion das folgende Präfix:
```
appstudio
```
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:
```
"Action": [
"appstudio:action1",
"appstudio:action2"
]
```
Die folgende Anweisung listet alle Aktionen in App Studio auf:
## Richtlinienressourcen für App Studio
**Unterstützt Richtlinienressourcen:** Ja
App Studio-Berechtigungen unterstützen nur einen Platzhalter (`*`) im `Resource` Element einer Richtlinie.
## Bedingungsschlüssel für Richtlinien für App Studio
**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Nein
App Studio unterstützt keine Richtlinien-Bedingungsschlüssel.
## ACLs in App Studio
**Unterstützt ACLs:** Nein
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
## ABAC mit App Studio
**Unterstützt ABAC (Tags in Richtlinien):** Nein
App Studio unterstützt keine attributebasierte Zugriffskontrolle (ABAC).
## Temporäre Anmeldeinformationen mit App Studio verwenden
**Unterstützt temporäre Anmeldeinformationen:** Ja
Temporäre Anmeldeinformationen ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie den Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
## Serviceübergreifende Prinzipalberechtigungen für App Studio
**Unterstützt Forward Access Sessions (FAS):** Ja
Forward Access Sessions (FAS) verwenden die Berechtigungen des Prinzipals, der einen aufruft AWS-Service, kombiniert mit der Anforderung, Anfragen an nachgelagerte Dienste AWS-Service zu stellen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Servicerollen für App Studio
**Unterstützt Servicerollen:** Ja
Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
AWS App Studio verwendet für einige Funktionen [IAM-Dienstrollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts), um App Studio die Erlaubnis zu erteilen, Aufgaben in Ihrem Namen auszuführen. Die Konsole erstellt automatisch Servicerollen für unterstützte Funktionen, wenn Sie App Studio einrichten.
**Warnung**
Das Ändern der Berechtigungen für eine Servicerolle kann die Funktionalität von App Studio beeinträchtigen. Bearbeiten Sie Servicerollen nur, wenn App Studio eine Anleitung dazu bereitstellt.
## Dienstbezogene Rollen für App Studio
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine dienstverknüpfte Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Details zum Erstellen oder Verwalten von serviceverknüpften Rollen finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Tabelle nach einem Service mit einem `Yes` in der Spalte **Service-linked role** (Serviceverknüpfte Rolle). Wählen Sie den Link **Yes** (Ja) aus, um die Dokumentation für die serviceverknüpfte Rolle für diesen Service anzuzeigen.
# AWS verwaltete Richtlinien für AWS App Studio
Um Benutzern, Gruppen und Rollen Berechtigungen hinzuzufügen, ist es einfacher, AWS verwaltete Richtlinien zu verwenden, als Richtlinien selbst zu schreiben. Es erfordert Zeit und Fachwissen, um [von Kunden verwaltete IAM-Richtlinien zu erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html), die Ihrem Team nur die benötigten Berechtigungen bieten. Um schnell loszulegen, können Sie unsere AWS verwalteten Richtlinien verwenden. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS-Konto verfügbar. Weitere Informationen zu AWS verwalteten Richtlinien finden Sie im *IAM-Benutzerhandbuch* unter [AWS Verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies).
AWS Dienste verwalten und aktualisieren AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Services fügen einer von AWS verwalteten Richtlinien gelegentlich zusätzliche Berechtigungen hinzu, um neue Features zu unterstützen. Diese Art von Update betrifft alle Identitäten (Benutzer, Gruppen und Rollen), an welche die Richtlinie angehängt ist. Services aktualisieren eine von AWS verwaltete Richtlinie am ehesten, ein neues Feature gestartet wird oder neue Vorgänge verfügbar werden. Dienste entfernen keine Berechtigungen aus einer AWS verwalteten Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.
AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die **ReadOnlyAccess** AWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alle AWS Dienste und Ressourcen. Wenn ein Dienst eine neue Funktion startet, werden nur Leseberechtigungen für neue Operationen und Ressourcen AWS hinzugefügt. Eine Liste und Beschreibungen der Richtlinien für Auftragsfunktionen finden Sie in [Verwaltete AWS -Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Leitfaden*.
## AWS verwaltete Richtlinie: AppStudioServiceRolePolicy
Sie können `AppStudioServiceRolePolicy` nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es App Studio ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter [Mit Diensten verknüpfte Rollen für App Studio](appstudio-service-linked-roles.md).
Diese Richtlinie gewährt Berechtigungen, die es der dienstbezogenen Rolle ermöglichen, Ressourcen zu verwalten AWS .
### Details zu Berechtigungen
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `logs`- Erstellen Sie CloudWatch Protokollgruppen und Protokollstreams. Erteilt auch die Erlaubnis, Protokollereignisse in diesen Protokollgruppen und Streams zu erstellen.
+ `secretsmanager`- Verwaltete Geheimnisse, die von App Studio verwaltet werden, erstellen, lesen, aktualisieren und löschen.
+ `sso`- Rufen Sie Anwendungsinstanzen ab.
+ `sso-directory`- Ruft Informationen über Benutzer ab und ruft die Liste der Mitglieder in Gruppen ab.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AppStudioResourcePermissionsForCloudWatch",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/appstudio/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AppStudioResourcePermissionsForSecretsManager",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:DeleteSecret",
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:PutSecretValue",
"secretsmanager:UpdateSecret",
"secretsmanager:TagResource"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:appstudio-*",
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"IsAppStudioSecret"
]
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}",
"aws:ResourceTag/IsAppStudioSecret": "true"
}
}
},
{
"Sid": "AppStudioResourcePermissionsForManagedSecrets",
"Effect": "Allow",
"Action": [
"secretsmanager:DeleteSecret",
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:PutSecretValue",
"secretsmanager:UpdateSecret"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:appstudio!*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}",
"secretsmanager:ResourceTag/aws:secretsmanager:owningService": "appstudio"
}
}
},
{
"Sid": "AppStudioResourceWritePermissionsForManagedSecrets",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:appstudio!*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AppStudioResourcePermissionsForSSO",
"Effect": "Allow",
"Action": [
"sso:GetManagedApplicationInstance",
"sso-directory:DescribeUsers",
"sso-directory:ListMembersInGroup"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## App Studio aktualisiert AWS verwaltete Richtlinien
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für App Studio an, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen.
| Änderungen | Beschreibung | Datum |
| --- | --- | --- |
| [AppStudioServiceRolePolicy](#security-iam-awsmanpol-appstudioservicerolepolicy) – Aktualisierung auf eine bestehende Richtlinie | App Studio hat neue Berechtigungen hinzugefügt, um die Verwaltung von verwalteten Geheimnissen in App Studio zu ermöglichen AWS Secrets Manager. | 14. März 2025 |
| App Studio hat begonnen, Änderungen zu verfolgen | App Studio hat damit begonnen, Änderungen für seine AWS verwalteten Richtlinien nachzuverfolgen. | 28. Juni 2024 |
# Mit Diensten verknüpfte Rollen für App Studio
App Studio verwendet [AWS Identity and Access Management dienstverknüpfte Rollen (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html). Eine dienstverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit App Studio verknüpft ist. Dienstbezogene Rollen sind von App Studio vordefiniert und beinhalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine dienstverknüpfte Rolle erleichtert die Einrichtung von App Studio, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. App Studio definiert die Berechtigungen seiner dienstbezogenen Rollen, und sofern nicht anders definiert, kann nur App Studio seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dadurch werden Ihre App Studio-Ressourcen geschützt, da Sie die Zugriffsberechtigung für die Ressourcen nicht versehentlich entfernen können.
**Topics**
+ [Dienstbezogene Rollenberechtigungen für App Studio](#slr-permissions)
+ [Eine dienstverknüpfte Rolle für App Studio erstellen](#create-slr)
+ [Eine dienstverknüpfte Rolle für App Studio bearbeiten](#edit-slr)
+ [Löschen einer dienstverknüpften Rolle für App Studio](#delete-slr)
## Dienstbezogene Rollenberechtigungen für App Studio
App Studio verwendet die angegebene dienstverknüpfte Rolle. `AWSServiceRoleForAppStudio` Es handelt sich um eine dienstbezogene Rolle, die App Studio benötigt, um AWS Dienste dauerhaft zu verwalten und die Anwendungserstellung aufrechtzuerhalten.
Die `AWSServiceRoleForAppStudio` dienstverknüpfte Rolle verwendet die folgende Vertrauensrichtlinie, die nur dem Dienst vertraut: `appstudio-service.amazonaws.com`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "appstudio-service.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
In Bezug auf Berechtigungen bietet die `AWSServiceRoleForAppStudio` dienstverknüpfte Rolle Berechtigungen für die folgenden Dienste:
+ Amazon CloudWatch: Zum Senden von Protokollen und Metriken für die Nutzung von App Studio.
+ AWS Secrets Manager: Zur Verwaltung von Anmeldeinformationen für Konnektoren in App Studio, die verwendet werden, um Apps mit anderen Diensten zu verbinden.
+ IAM Identity Center: Für schreibgeschützten Zugriff zur Verwaltung des Benutzerzugriffs.
Insbesondere `AWSServiceRoleForAppStudio` werden die mit gewährten Berechtigungen durch die beigefügte `AppStudioServiceRolePolicy` verwaltete Richtlinie definiert. Weitere Informationen zur verwalteten Richtlinie, einschließlich der darin enthaltenen Berechtigungen, finden Sie unter[AWS verwaltete Richtlinie: AppStudioServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-appstudioservicerolepolicy).
## Eine dienstverknüpfte Rolle für App Studio erstellen
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie eine App Studio-Instanz erstellen, erstellt App Studio die dienstverknüpfte Rolle für Sie.
Wenn Sie diese dienstverknüpfte Rolle löschen, wird empfohlen, eine App Studio-Instanz zu erstellen, damit automatisch eine weitere für Sie erstellt wird.
Dies ist zwar nicht erforderlich, Sie können aber auch die IAM-Konsole verwenden oder dienstverknüpfte Rollen erstellen AWS CLI , indem Sie eine dienstverknüpfte Rolle mit dem `appstudio-service.amazonaws.com` Dienstnamen erstellen, wie im oben gezeigten Vertrauensrichtlinien-Snippet dargestellt. Weitere Informationen finden Sie unter [Erstellen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) im *IAM-Benutzerhandbuch*.
## Eine dienstverknüpfte Rolle für App Studio bearbeiten
App Studio erlaubt es Ihnen nicht, die `AWSServiceRoleForAppStudio` dienstverknüpfte Rolle zu bearbeiten. Nachdem Sie eine serviceverknüpfte Rolle erstellt haben, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten auf die Rolle verweisen könnten. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer dienstverknüpften Rolle für App Studio
Sie müssen die `AWSServiceRoleForAppStudio` Rolle nicht löschen. Wenn Sie die App Studio-Instanz löschen, bereinigt App Studio die Ressourcen und löscht die mit dem Dienst verknüpfte Rolle automatisch.
Obwohl dies nicht empfohlen wird, können Sie die IAM-Konsole oder die verwenden, AWS CLI um die dienstverknüpfte Rolle zu löschen. Dazu müssen Sie zuerst die Ressourcen für Ihre serviceverknüpfte Rolle bereinigen und dann können Sie sie löschen.
**Anmerkung**
Wenn App Studio die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**So löschen Sie die -servicegebundene Rolle mit IAM**
1. Löschen Sie die Anwendungen und Connectors aus Ihrer App Studio-Instanz.
1. Sie können die IAM-Konsole, die IAM-CLI oder die IAM-API verwenden, um die `AWSServiceRoleForAppStudio`-serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
# Beispiele für identitätsbasierte Richtlinien für App Studio AWS
Standardmäßig sind Benutzer und Rollen nicht berechtigt, App Studio-Ressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
Einzelheiten zu den von App Studio definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS App Studio](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappstudio.html) in der *Referenz zur Serviceautorisierung*.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der App Studio-Konsole](#security_iam_id-based-policy-examples-console)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Beispiel 1: Erlauben Sie Benutzern, eine App Studio-Instanz einzurichten](#security_iam_id-based-policy-examples-set-up-appstudio-instance)
+ [Beispiel 2: Benutzern die Einrichtung einer App Studio-Instanz verweigern](#security_iam_id-based-policy-examples-deny-set-up-appstudio-instance)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand App Studio-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn Sie identitätsbasierte Richtlinien erstellen oder bearbeiten, befolgen Sie diese Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der App Studio-Konsole
Um auf die AWS App Studio-Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den App Studio-Ressourcen in Ihrem aufzulisten und anzuzeigen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.
Um sicherzustellen, dass Benutzer und Rollen die App Studio-Konsole weiterhin verwenden können, fügen Sie den Entitäten auch die App Studio `ConsoleAccess` - oder `ReadOnly` AWS verwaltete Richtlinie hinzu. Weitere Informationen finden Sie unter [Hinzufügen von Berechtigungen zu einem Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API AWS CLI oder AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Beispiel 1: Erlauben Sie Benutzern, eine App Studio-Instanz einzurichten
Das folgende Beispiel zeigt eine identitätsbasierte Richtlinie, die es einer Rolle ermöglicht, eine App Studio-Instanz einzurichten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"appstudio:GetAccountStatus",
"appstudio:GetEnablementJobStatus",
"appstudio:StartEnablementJob",
"appstudio:StartRollbackEnablementJob",
"appstudio:StartTeamDeployment"
],
"Resource": "*"
}]
}
```
------
## Beispiel 2: Benutzern die Einrichtung einer App Studio-Instanz verweigern
Das folgende Beispiel zeigt eine identitätsbasierte Richtlinie, mit der einer Rolle die Einrichtung einer App Studio-Instanz verweigert wird.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Deny",
"Action": [
"appstudio:*"
],
"Resource": "*"
}]
}
```
------
# Konformitätsprüfung für App Studio AWS
Informationen darüber, ob AWS-Service ein [AWS-Services in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter Umfang nach Compliance-Programm AWS-Services unter](https://aws.amazon.com/compliance/services-in-scope/) . Wählen Sie dort das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).
# Ausfallsicherheit in AWS App Studio
Die AWS globale Infrastruktur basiert auf Availability AWS-Regionen Zones. AWS-Regionen bieten mehrere physisch getrennte und isolierte Availability Zones, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Zonen ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
Weitere Informationen zu Availability Zones AWS-Regionen und Availability Zones finden Sie unter [AWS Globale](https://aws.amazon.com/about-aws/global-infrastructure/) Infrastruktur.
Zusätzlich zur AWS globalen Infrastruktur bietet AWS App Studio mehrere Funktionen zur Unterstützung Ihrer Datenausfallsicherheit und Backup-Anforderungen.
# Sicherheit der Infrastruktur in AWS App Studio
Als verwalteter Service ist AWS App Studio durch die AWS globalen Netzwerksicherheitsverfahren geschützt, die im Whitepaper [Amazon Web Services: Sicherheitsprozesse im Überblick](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf) beschrieben sind.
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf App Studio zuzugreifen. Clients müssen mindestens Transport Layer Security (TLS) 1.2 unterstützen, TLS 1.3 wird jedoch empfohlen. Clients müssen außerdem Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman) unterstützen. Die meisten modernen Systemen wie Java 7 und höher unterstützen diese Modi.
Außerdem müssen Anforderungen mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel signiert sein, der einem IAM-Prinzipal zugeordnet ist. Alternativ können Sie mit [AWS -Security-Token-Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) temporäre Sicherheitsanmeldeinformationen erstellen, um die Anforderungen zu signieren.
# Konfiguration und Schwachstellenanalyse in AWS App Studio
Konfiguration und IT-Kontrollen liegen in der gemeinsamen Verantwortung AWS von Ihnen, unserem Kunden. Weitere Informationen finden Sie im [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/).
# Serviceübergreifende Confused-Deputy-Prävention
Das Confused-Deputy-Problem ist ein Sicherheitsproblem, bei dem eine juristische Stelle, die nicht über die Berechtigung zum Ausführen einer Aktion verfügt, eine privilegiertere juristische Stelle zwingen kann, die Aktion auszuführen. In AWS kann ein dienstübergreifendes Identitätswechsels zum Problem des verwirrten Stellvertreters führen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der *Anruf-Dienst*) einen anderen Dienst anruft (den *aufgerufenen Dienst*). Der aufrufende Service kann manipuliert werden, um seine Berechtigungen zu verwenden, um Aktionen auf die Ressourcen eines anderen Kunden auszuführen, für die er sonst keine Zugriffsberechtigung haben sollte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben.
Wir empfehlen, die Kontextschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)und die [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globalen Bedingungsschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen einzuschränken, die der Ressource einen anderen Dienst gewähren. Verwenden Sie `aws:SourceArn`, wenn Sie nur eine Ressource mit dem betriebsübergreifenden Zugriff verknüpfen möchten. Verwenden Sie `aws:SourceAccount`, wenn Sie zulassen möchten, dass Ressourcen in diesem Konto mit der betriebsübergreifenden Verwendung verknüpft werden.
Der effektivste Weg, um sich vor dem Confused-Deputy-Problem zu schützen, ist die Verwendung des globalen Bedingungskontext-Schlüssels `aws:SourceArn` mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den globalen Kontextbedingungsschlüssel `aws:SourceArn` mit Platzhalterzeichen (`*`) für die unbekannten Teile des ARN. Beispiel, `arn:aws:servicename:*:123456789012:*`.
Wenn der `aws:SourceArn`-Wert die Konto-ID nicht enthält, z. B. einen Amazon-S3-Bucket-ARN, müssen Sie beide globale Bedingungskontextschlüssel verwenden, um Berechtigungen einzuschränken.
Der `aws:SourceArn`-Wert muss ResourceDescription lauten.
Das folgende Beispiel zeigt, wie Sie die Kontextschlüssel `aws:SourceArn` und die `aws:SourceAccount` globale Bedingung verwenden können, um das Problem des verwirrten Stellvertreters zu vermeiden.
# Regionsübergreifender Datentransfer in AWS App Studio
AWS App Studio überträgt Daten zwischen AWS Regionen, um bestimmte generative KI-Funktionen im Service zu aktivieren. Dieses Thema enthält Informationen zu den Funktionen, die durch regionsübergreifende Datenübertragungen aktiviert werden, zur Art der Daten, die zwischen Regionen übertragen werden, und zur Deaktivierung.
Die folgenden Funktionen werden durch die regionsübergreifende Datenübertragung aktiviert und sind in Ihrer Instanz nicht verfügbar, wenn Sie sich abmelden:
1. Das Erstellen einer App mit KI wird verwendet, um die Erstellung von Apps anzukurbeln, indem Ihre App in natürlicher Sprache beschrieben und Ressourcen für Sie erstellt werden.
1. Der KI-Chat im Anwendungsstudio, in dem Fragen zum Erstellen, Veröffentlichen und Teilen von Apps gestellt wurden.
Die folgenden Daten werden zwischen Regionen übertragen:
1. Die Eingabeaufforderungen oder Benutzereingaben aus den zuvor beschriebenen Funktionen.
Um die regionsübergreifende Datenübertragung und die dadurch aktivierten Funktionen zu deaktivieren, gehen Sie wie folgt vor, um das Abmeldeformular von der Konsole aus auszufüllen:
1. Öffnen Sie die App Studio-Konsole unter [https://console.aws.amazon.com/appstudio/](https://console.aws.amazon.com/appstudio/).
1. Wählen Sie „**Datenübertragung deaktivieren**“.
1. Geben Sie Ihre AWS Konto-ID und Ihre E-Mail-Adresse ein.
1. Wählen Sie **Absenden** aus.
1. Nach dem Absenden wird Ihre Anfrage zur Deaktivierung der regionsübergreifenden Datenübertragung bearbeitet, was bis zu 60 Tage dauern kann.