Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Identitätsbasierte Richtlinien für AWS AppSync
Benutzer und Rollen haben standardmäßig nicht die Berechtigung, AWS AppSync-Ressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
Einzelheiten zu Aktionen und Ressourcentypen, die von definiert wurden AWS AppSync, einschließlich des Formats von ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS AppSync](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsappsync.html) in der Referenz zur *Serviceautorisierung*.
Informationen zu den bewährten Methoden für die Erstellung und Konfiguration identitätsbasierter IAM-Richtlinien finden Sie unter. [Bewährte Methoden für IAM-Richtlinien](best-practices.md#security_iam_service-with-iam-policy-best-practices)
Eine Liste der identitätsbasierten IAM-Richtlinien für finden Sie unter. AWS AppSync [AWS verwaltete Richtlinien für AWS AppSync](security_iam_policy_list.md)
**Topics**
+ [Verwenden der Konsole AWS AppSync](#security_iam_id-based-policy-examples-console)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Zugreifen auf einen Amazon-S3-Bucket](#security_iam_id-based-policy-examples-access-one-bucket)
+ [AWS AppSync *widgets*Auf Stichwörtern basierende Anzeige](#security_iam_id-based-policy-examples-view-widget-tags)
+ [AWS verwaltete Richtlinien für AWS AppSync](security_iam_policy_list.md)
## Verwenden der Konsole AWS AppSync
Um auf die AWS AppSync Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den AWS AppSync Ressourcen in Ihrem aufzulisten und anzuzeigen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.
Um sicherzustellen, dass IAM-Benutzer und -Rollen die AWS AppSync Konsole weiterhin verwenden können, fügen Sie den Entitäten auch die AWS AppSync `ConsoleAccess` oder die `ReadOnly` AWS verwaltete Richtlinie hinzu. Weitere Informationen finden Sie unter [Hinzufügen von Berechtigungen zu einem Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der AWS CLI API oder. AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Zugreifen auf einen Amazon-S3-Bucket
In diesem Beispiel möchten Sie einem IAM-Benutzer in Ihrem AWS Konto Zugriff auf einen Ihrer Amazon S3 S3-Buckets gewähren. `examplebucket` Sie möchten dem Benutzer außerdem Berechtigungen zum Hinzufügen, Aktualisieren und Löschen von Objekten gewähren.
Zusätzlich zum Erteilen der Berechtigungen `s3:PutObject`, `s3:GetObject` und `s3:DeleteObject` für den Benutzer, gewährt die Richtlinie die Berechtigungen `s3:ListAllMyBuckets`, `s3:GetBucketLocation` und `s3:ListBucket`. Dies sind die zusätzlichen Berechtigungen, die von der Konsole benötigt werden. Außerdem sind die Aktionen `s3:PutObjectAcl` und `s3:GetObjectAcl` erforderlich, um Objekte in der Konsole kopieren, ausschneiden und einfügen zu können. Ein Beispiel für eine exemplarische Vorgehensweise, bei der Benutzern Berechtigungen erteilt und diese mithilfe der Konsole getestet werden, finden Sie unter [Eine exemplarische Vorgehensweise: Verwenden von Benutzerrichtlinien zur Steuerung des Zugriffs auf](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html) Ihren Bucket.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ListBucketsInConsole",
"Effect":"Allow",
"Action":[
"s3:ListAllMyBuckets"
],
"Resource":"arn:aws:s3:::*"
},
{
"Sid":"ViewSpecificBucketInfo",
"Effect":"Allow",
"Action":[
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource":"arn:aws:s3:::examplebucket"
},
{
"Sid":"ManageBucketContents",
"Effect":"Allow",
"Action":[
"s3:PutObject",
"s3:PutObjectAcl",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:DeleteObject"
],
"Resource":"arn:aws:s3:::examplebucket/*"
}
]
}
```
------
## AWS AppSync *widgets*Auf Stichwörtern basierende Anzeige
Sie können in Ihrer identitätsbasierten Richtlinie Bedingungen für die Steuerung des Zugriffs auf AWS AppSync-Ressourcen auf der Basis von Tags verwenden. Dieses Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die die Anzeige einer *widget* gestattet. Die Berechtigung wird jedoch nur gewährt, wenn der Wert des *widget*-Tags `Owner` der Name des Benutzers ist. Diese Richtlinie gewährt auch die Berechtigungen, die für die Ausführung dieser Aktion auf der Konsole erforderlich sind.
Sie können diese Richtlinie den IAM-Benutzern in Ihrem Konto anfügen. Wenn ein Benutzer mit dem Namen `richard-roe` versucht, eine AWS AppSync-*widget* anzuzeigen, muss die *widget* das Tag `Owner=richard-roe` oder `owner=richard-roe` besitzen. Andernfalls wird der Zugriff abgelehnt. Der Tag-Schlüssel `Owner` der Bedingung stimmt sowohl mit `Owner` als auch mit `owner` überein, da die Namen von Bedingungsschlüsseln nicht zwischen Groß- und Kleinschreibung unterscheiden. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
# AWS verwaltete Richtlinien für AWS AppSync
Um Benutzern, Gruppen und Rollen Berechtigungen hinzuzufügen, ist es einfacher, AWS verwaltete Richtlinien zu verwenden, als Richtlinien selbst zu schreiben. Es erfordert Zeit und Fachwissen, um [von Kunden verwaltete IAM-](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)Richtlinien zu erstellen, die Ihrem Team nur die benötigten Berechtigungen bieten. Um schnell loszulegen, können Sie unsere AWS verwalteten Richtlinien verwenden. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS-Konto verfügbar. Weitere Informationen zu AWS verwalteten Richtlinien finden Sie im *IAM-Benutzerhandbuch* unter [AWS Verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies).
AWS Dienste verwalten und aktualisieren AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Dienste fügen einer AWS verwalteten Richtlinie gelegentlich zusätzliche Berechtigungen hinzu, um neue Funktionen zu unterstützen. Diese Art von Update betrifft alle Identitäten (Benutzer, Gruppen und Rollen), an welche die Richtlinie angehängt ist. Es ist sehr wahrscheinlich, dass Dienste eine AWS verwaltete Richtlinie aktualisieren, wenn eine neue Funktion eingeführt wird oder wenn neue Operationen verfügbar werden. Dienste entfernen keine Berechtigungen aus einer AWS verwalteten Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.
AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die **ReadOnlyAccess** AWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alle AWS Dienste und Ressourcen. Wenn ein Dienst eine neue Funktion startet, werden nur Leseberechtigungen für neue Operationen und Ressourcen AWS hinzugefügt. Eine Liste und Beschreibungen der Richtlinien für Auftragsfunktionen finden Sie in [Verwaltete AWS -Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Leitfaden*.
## AWS verwaltete Richtlinie: AWSApp SyncInvokeFullAccess
Verwenden Sie die `AWSAppSyncInvokeFullAccess` AWS verwaltete Richtlinie, um Ihren Administratoren den Zugriff auf den AWS AppSync Service über die Konsole oder unabhängig zu ermöglichen.
Sie können die `AWSAppSyncInvokeFullAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
### Details zu Berechtigungen
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `AWS AppSync`— Ermöglicht vollen Administratorzugriff auf alle Ressourcen in AWS AppSync
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"appsync:GraphQL",
"appsync:GetGraphqlApi",
"appsync:ListGraphqlApis",
"appsync:ListApiKeys"
],
"Resource": "*"
}
]
}
```
------
## AWS verwaltete Richtlinie: AWSApp SyncSchemaAuthor
Verwenden Sie die `AWSAppSyncSchemaAuthor` AWS verwaltete Richtlinie, um IAM-Benutzern Zugriff zu gewähren, um ihre GraphQL-Schemas zu erstellen, zu aktualisieren und abzufragen. Informationen darüber, was Benutzer mit diesen Berechtigungen tun können, finden Sie unter. [GraphQL APIs entwerfen mit AWS AppSync](designing-a-graphql-api.md)
Sie können die `AWSAppSyncSchemaAuthor`-Richtlinie an Ihre IAM-Identitäten anfügen.
### Details zu Berechtigungen
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `AWS AppSync`— Erlaubt die folgenden Aktionen:
+ GraphQL-Schemas erstellen
+ Ermöglicht die Erstellung, Änderung und Löschung von GraphQL-Typen, Resolvern und Funktionen
+ Evaluierung der Logik von Anfrage- und Antwortvorlagen
+ Evaluieren von Code anhand einer Laufzeit und eines Kontextes
+ Senden von GraphQL-Abfragen an GraphQL APIs
+ GraphQL-Daten abrufen
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"appsync:GraphQL",
"appsync:CreateResolver",
"appsync:CreateType",
"appsync:DeleteResolver",
"appsync:DeleteType",
"appsync:GetResolver",
"appsync:GetType",
"appsync:GetDataSource",
"appsync:GetSchemaCreationStatus",
"appsync:GetIntrospectionSchema",
"appsync:GetGraphqlApi",
"appsync:ListTypes",
"appsync:ListApiKeys",
"appsync:ListResolvers",
"appsync:ListDataSources",
"appsync:ListGraphqlApis",
"appsync:StartSchemaCreation",
"appsync:UpdateResolver",
"appsync:UpdateType",
"appsync:TagResource",
"appsync:UntagResource",
"appsync:ListTagsForResource",
"appsync:CreateFunction",
"appsync:UpdateFunction",
"appsync:GetFunction",
"appsync:DeleteFunction",
"appsync:ListFunctions",
"appsync:ListResolversByFunction",
"appsync:EvaluateMappingTemplate",
"appsync:EvaluateCode"
],
"Resource": "*"
}
]
}
```
------
## AWS verwaltete Richtlinie: AWSApp SyncPushToCloudWatchLogs
AWS AppSync verwendet Amazon CloudWatch, um die Leistung Ihrer Anwendung zu überwachen, indem es Protokolle generiert, die Sie zur Fehlerbehebung und Optimierung Ihrer GraphQL-Anfragen verwenden können. Weitere Informationen finden Sie unter [Verwendung CloudWatch zur Überwachung und Protokollierung von GraphQL-API-Daten](monitoring.md).
Verwenden Sie die `AWSAppSyncPushToCloudWatchLogs` AWS verwaltete Richtlinie, um das AWS AppSync Senden von Protokollen an das Konto eines IAM-Benutzers CloudWatch zu ermöglichen.
Sie können die `AWSAppSyncPushToCloudWatchLogs`-Richtlinie an Ihre IAM-Identitäten anfügen.
### Details zu Berechtigungen
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `CloudWatch Logs`— Ermöglicht AWS AppSync das Erstellen von Protokollgruppen und Streams mit bestimmten Namen. AWS AppSyncüberträgt Protokollereignisse in den angegebenen Protokollstream.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "*"
}
]
}
```
------
## AWS verwaltete Richtlinie: AWSApp SyncAdministrator
Verwenden Sie die `AWSAppSyncAdministrator` AWS verwaltete Richtlinie, um Ihren Administratoren Zugriff auf alle Optionen AWS AppSync mit Ausnahme der AWS Konsole zu gewähren.
Sie können eine Verbindung `AWSAppSyncAdministrator` zu Ihren IAM-Entitäten herstellen. AWS AppSync ordnet diese Richtlinie auch einer Servicerolle zu, sodass sie Aktionen in Ihrem Namen ausführen kann.
### Details zu Berechtigungen
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `AWS AppSync`— Ermöglicht vollen Administratorzugriff auf alle Ressourcen in AWS AppSync
+ `IAM`— Erlaubt die folgenden Aktionen:
+ Erstellen von dienstbezogenen Rollen, AWS AppSync damit Sie Ressourcen in anderen Diensten in Ihrem Namen analysieren können
+ Löschen von dienstbezogenen Rollen
+ Weitergabe von dienstbezogenen Rollen an andere AWS Dienste, um die Rolle später zu übernehmen und Aktionen in Ihrem Namen auszuführen
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"appsync:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"appsync.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "appsync.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/appsync.amazonaws.com/AWSServiceRoleForAppSync*"
}
]
}
```
------
## AWS verwaltete Richtlinie: AWSApp SyncServiceRolePolicy
Verwenden Sie die `AWSAppSyncServiceRolePolicy` AWS verwaltete Richtlinie, um den Zugriff auf AWS Dienste und Ressourcen zu ermöglichen, die AWS AppSync diese verwenden oder verwalten.
Sie können `AWSAppSyncServiceRolePolicy` nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, mit der AWS AppSync Sie Aktionen in Ihrem Namen ausführen können. Weitere Informationen finden Sie unter [Dienstbezogene Rollen für AWS AppSync](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked).
### Details zu Berechtigungen
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `X-Ray`— AWS AppSync verwendet AWS X-Ray , um Daten über Anfragen zu sammeln, die im Rahmen Ihrer Anwendung gestellt wurden. Weitere Informationen finden Sie unter [Wird verwendet AWS X-Ray , um Anfragen zu verfolgen in AWS AppSync](x-ray-tracing.md).
Diese Richtlinie ermöglicht die folgenden Aktionen:
+ Abrufen von Stichprobenregeln und deren Ergebnissen
+ Trace-Daten an den X-Ray-Daemon senden
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:PutTraceSegments",
"xray:PutTelemetryRecords",
"xray:GetSamplingTargets",
"xray:GetSamplingRules",
"xray:GetSamplingStatisticSummaries"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS AppSync Aktualisierungen der AWS verwalteten Richtlinien
Hier finden Sie Informationen zu Aktualisierungen AWS verwalteter Richtlinien AWS AppSync seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst. Abonnieren Sie den RSS-Feed auf der Seite AWS AppSync Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.
| Änderungen | Beschreibung | Datum |
| --- | --- | --- |
| [AWSAppSyncSchemaAuthor](#security-iam-awsmanpol-AWSAppSyncSchemaAuthor) – Aktualisierung auf eine bestehende Richtlinie | Es wurde eine `EvaluateCode` Richtlinienaktion hinzugefügt, die es Benutzern ermöglicht, Code mit Laufzeit und Kontext auszuwerten. | 07. Februar 2023 |
| [AWSAppSyncSchemaAuthor](#security-iam-awsmanpol-AWSAppSyncSchemaAuthor) – Aktualisierung auf eine bestehende Richtlinie | Es wurden Richtlinienaktionen hinzugefügt, um die Funktionen zum Auflisten, Abrufen, Erstellen, Aktualisieren und Löschen für eine API zu ermöglichen. Es wurde eine `EvaluateMappingTemplate` Richtlinienaktion hinzugefügt, mit der Benutzer die Logik der Vorlagen für die Zuordnung von Anfragen und Antworten auf Resolver auswerten können. Es wurden Richtlinienaktionen hinzugefügt, um das Markieren von Ressourcen zu ermöglichen. | 25. August 2022 |
| AWS AppSync hat begonnen, Änderungen zu verfolgen | AWS AppSync hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen. | 25. August 2022 |