Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Identity and Access Management für AWS Config
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf AWS Ressourcen sicher zu kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Ressourcen zu verwenden. AWS Config IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [Wie AWS Config funktioniert mit IAM](security_iam_service-with-iam.md)
+ [Beispiele für identitätsbasierte Richtlinien](security_iam_id-based-policy-examples.md)
+ [AWS verwaltete Richtlinien](security-iam-awsmanpol.md)
+ [Berechtigungen für die IAM-Rolle](iamrole-permissions.md)
+ [Aktualisieren der IAM-Rolle](update-iam-role.md)
+ [Berechtigungen für den Amazon S3 S3-Bucket](s3-bucket-policy.md)
+ [Berechtigungen für den KMS-Schlüssel](s3-kms-key-policy.md)
+ [Berechtigungen für das Amazon-SNS-Thema](sns-topic-policy.md)
+ [Fehlerbehebung](security_iam_troubleshoot.md)
+ [Verwenden von serviceverknüpften Rollen](using-service-linked-roles.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Fehlerbehebung bei AWS Config Identität und Zugriff](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [Wie AWS Config funktioniert mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Beispiele für identitätsbasierte Richtlinien für AWS Config](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### Verbundidentität
Es hat sich bewährt, dass menschliche Benutzer für den Zugriff AWS-Services mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden müssen.
Eine *föderierte Identität* ist ein Benutzer aus Ihrem Unternehmensverzeichnis, Ihrem Directory Service Web-Identitätsanbieter oder der AWS-Services mithilfe von Anmeldeinformationen aus einer Identitätsquelle zugreift. Verbundene Identitäten übernehmen Rollen, die temporäre Anmeldeinformationen bereitstellen.
Für die zentrale Zugriffsverwaltung empfehlen wir AWS IAM Identity Center. Weitere Informationen finden Sie unter [Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) können.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# Wie AWS Config funktioniert mit IAM
Bevor Sie IAM zur Verwaltung des Zugriffs auf verwenden AWS Config, sollten Sie sich darüber informieren, mit welchen IAM-Funktionen Sie arbeiten können. AWS Config
**IAM-Funktionen, die Sie mit verwenden können AWS Config**
| IAM-Feature | AWS Config Unterstützung |
| --- | --- |
| [Identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies) | Ja |
| [Ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies) | Nein |
| [Richtlinienaktionen](#security_iam_service-with-iam-id-based-policies-actions) | Ja |
| [Richtlinienressourcen](#security_iam_service-with-iam-id-based-policies-resources) | Ja |
| [Richtlinienbedingungsschlüssel (servicespezifisch)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ja |
| [ACLs](#security_iam_service-with-iam-acls) | Nein |
| [ABAC (Tags in Richtlinien)](#security_iam_service-with-iam-tags) | Ja |
| [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-roles-tempcreds) | Ja |
| [Forward Access Sessions (FAS)](#security_iam_service-with-iam-principal-permissions) | Ja |
| [Servicerollen](#security_iam_service-with-iam-roles-service) | Ja |
| [Service-verknüpfte Rollen](#security_iam_service-with-iam-roles-service-linked) | Ja |
Einen allgemeinen Überblick darüber, wie AWS Config und andere AWS Dienste mit den meisten IAM-Funktionen funktionieren, finden Sie im [IAM-Benutzerhandbuch unter AWS Dienste, die mit *IAM* funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
## Identitätsbasierte Richtlinien für AWS Config
**Unterstützt Richtlinien auf Identitätsbasis:** Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Beispiele für identitätsbasierte Richtlinien für AWS Config
Beispiele für AWS Config identitätsbasierte Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS Config](security_iam_id-based-policy-examples.md)
## Ressourcenbasierte Richtlinien finden Sie in AWS Config
**Unterstützt ressourcenbasierte Richtlinien:** Nein
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-*Rollen-Vertrauensrichtlinien* und Amazon-S3-*Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services
Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Richtlinienaktionen für AWS Config
**Unterstützt Richtlinienaktionen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Eine Liste der AWS Config Aktionen finden Sie unter [Aktionen definiert von AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-actions-as-permissions) in der *Serviceautorisierungsreferenz*.
Bei Richtlinienaktionen wird vor der Aktion das folgende Präfix AWS Config verwendet:
```
config
```
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:
```
"Action": [
"config:action1",
"config:action2"
]
```
Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Describe` beginnen, einschließlich der folgenden Aktion:
```
"Action": "config:Describe*"
```
Beispiele für AWS Config identitätsbasierte Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS Config](security_iam_id-based-policy-examples.md)
## Politische Ressourcen für AWS Config
**Unterstützt Richtlinienressourcen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Eine Liste der AWS Config Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter [Resources defined by AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-resources-for-iam-policies) in der *Service Authorization Reference*. Informationen zu den Aktionen, mit denen Sie den ARN einzelner Ressourcen angeben können, finden Sie unter [Von AWS Config definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-actions-as-permissions).
Beispiele für AWS Config identitätsbasierte Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS Config](security_iam_id-based-policy-examples.md)
## Bedingungsschlüssel für Richtlinien für AWS Config
**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Eine Liste der AWS Config Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-policy-keys) in der *Service Authorization Reference.* Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Aktionen definiert von AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-actions-as-permissions).
Beispiele für AWS Config identitätsbasierte Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS Config](security_iam_id-based-policy-examples.md)
## ACLs in AWS Config
**Unterstützt ACLs:** Nein
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
## ABAC mit AWS Config
**Unterstützt ABAC (Tags in Richtlinien):** Ja
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, die Operationen zulassen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.
Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.
Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.
*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.
Weitere Informationen zum Markieren von AWS Config Ressourcen finden Sie unter. [Verschlagworten Sie Ihre Ressourcen AWS Config](tagging.md)
## Verwenden temporärer Anmeldeinformationen mit AWS Config
**Unterstützt temporäre Anmeldeinformationen:** Ja
Temporäre Anmeldeinformationen ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie einen Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
## Zugriffssitzungen weiterleiten für AWS Config
**Unterstützt Forward Access Sessions (FAS):** Ja
Forward-Access-Sitzungen (FAS) verwenden die Berechtigungen des Prinzipals, der einen aufruft AWS-Service, in Kombination mit der Anforderung, Anfragen AWS-Service an nachgelagerte Dienste zu stellen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Servicerollen für AWS Config
**Unterstützt Servicerollen:** Ja
Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Rollen zum Delegieren von Berechtigungen an einen AWS-Service erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
**Warnung**
Das Ändern der Berechtigungen für eine Servicerolle könnte die AWS Config -Funktionalität beeinträchtigen. Bearbeiten Sie Servicerollen nur, AWS Config wenn Sie dazu eine Anleitung erhalten.
## Dienstbezogene Rollen für AWS Config
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine dienstbezogene Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Einzelheiten zum Erstellen oder Verwalten von AWS Config dienstbezogenen Rollen finden Sie unter. [Verwenden von serviceverknüpften Rollen für AWS Config](using-service-linked-roles.md)
Details zum Erstellen oder Verwalten von serviceverknüpften Rollen finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Tabelle nach einem Service mit einem `Yes` in der Spalte **Service-linked role** (Serviceverknüpfte Rolle). Wählen Sie den Link **Yes** (Ja) aus, um die Dokumentation für die serviceverknüpfte Rolle für diesen Service anzuzeigen.
# Beispiele für identitätsbasierte Richtlinien für AWS Config
Benutzer und Rollen haben standardmäßig nicht die Berechtigung, AWS Config -Ressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
Einzelheiten zu Aktionen und Ressourcentypen, die von definiert wurden AWS Config, einschließlich des Formats der ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html) in der *Serviceautorisierungsreferenz*.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Melden Sie sich an für ein AWS-Konto](#sign-up-for-aws)
+ [Erstellen eines Benutzers mit Administratorzugriff](#create-an-admin)
+ [Verwenden der Konsole](#security_iam_id-based-policy-examples-console)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Schreibgeschützter Zugriff auf AWS Config](#read-only-config-permission)
+ [Voller Zugriff auf AWS Config](#full-config-permission)
+ [Steuern des Zugriffs auf Regeln AWS Config](#supported-resource-level-permissions)
+ [Steuern des Zugriffs auf aggregierte Daten](#resource-level-permission)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand AWS Config Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Melden Sie sich an für ein AWS-Konto
Wenn Sie noch keine haben AWS-Konto, führen Sie die folgenden Schritte aus, um eine zu erstellen.
**Um sich für eine anzumelden AWS-Konto**
1. Öffnen Sie [https://portal.aws.amazon.com/billing/die Anmeldung.](https://portal.aws.amazon.com/billing/signup)
1. Folgen Sie den Online-Anweisungen.
Während der Anmeldung erhalten Sie einen Telefonanruf oder eine Textnachricht und müssen einen Verifizierungscode über die Telefontasten eingeben.
Wenn Sie sich für eine anmelden AWS-Konto, *Root-Benutzer des AWS-Kontos*wird eine erstellt. Der Root-Benutzer hat Zugriff auf alle AWS-Services und Ressourcen des Kontos. Als bewährte Sicherheitsmethode weisen Sie einem Benutzer Administratorzugriff zu und verwenden Sie nur den Root-Benutzer, um [Aufgaben auszuführen, die Root-Benutzerzugriff erfordern](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
AWS sendet Ihnen nach Abschluss des Anmeldevorgangs eine Bestätigungs-E-Mail. Du kannst jederzeit deine aktuellen Kontoaktivitäten einsehen und dein Konto verwalten, indem du zu [https://aws.amazon.com/](https://aws.amazon.com/)gehst und **Mein Konto** auswählst.
## Erstellen eines Benutzers mit Administratorzugriff
Nachdem Sie sich für einen angemeldet haben AWS-Konto, sichern Sie Ihren Root-Benutzer des AWS-Kontos AWS IAM Identity Center, aktivieren und erstellen Sie einen Administratorbenutzer, sodass Sie den Root-Benutzer nicht für alltägliche Aufgaben verwenden.
**Sichern Sie Ihre Root-Benutzer des AWS-Kontos**
1. Melden Sie sich [AWS-Managementkonsole](https://console.aws.amazon.com/)als Kontoinhaber an, indem Sie **Root-Benutzer** auswählen und Ihre AWS-Konto E-Mail-Adresse eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.
Hilfe bei der Anmeldung mit dem Root-Benutzer finden Sie unter [Anmelden als Root-Benutzer](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) im *AWS-Anmeldung -Benutzerhandbuch* zu.
1. Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer.
Anweisungen finden Sie unter [Aktivieren eines virtuellen MFA-Geräts für Ihren AWS-Konto Root-Benutzer (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) im *IAM-Benutzerhandbuch*.
**Erstellen eines Benutzers mit Administratorzugriff**
1. Aktivieren Sie das IAM Identity Center.
Anweisungen finden Sie unter [Aktivieren AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
1. Gewähren Sie einem Administratorbenutzer im IAM Identity Center Benutzerzugriff.
*Ein Tutorial zur Verwendung von IAM-Identity-Center-Verzeichnis als Identitätsquelle finden Sie IAM-Identity-Center-Verzeichnis im Benutzerhandbuch unter [Benutzerzugriff mit der Standardeinstellung konfigurieren](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html).AWS IAM Identity Center *
**Anmelden als Administratorbenutzer**
+ Um sich mit Ihrem IAM-Identity-Center-Benutzer anzumelden, verwenden Sie die Anmelde-URL, die an Ihre E-Mail-Adresse gesendet wurde, als Sie den IAM-Identity-Center-Benutzer erstellt haben.
Hilfe bei der Anmeldung mit einem IAM Identity Center-Benutzer finden Sie [im *AWS-Anmeldung Benutzerhandbuch* unter Anmeldung beim AWS Access-Portal](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html).
**Weiteren Benutzern Zugriff zuweisen**
1. Erstellen Sie im IAM-Identity-Center einen Berechtigungssatz, der den bewährten Vorgehensweisen für die Anwendung von geringsten Berechtigungen folgt.
Anweisungen hierzu finden Sie unter [ Berechtigungssatz erstellen](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
1. Weisen Sie Benutzer einer Gruppe zu und weisen Sie der Gruppe dann Single Sign-On-Zugriff zu.
Eine genaue Anleitung finden Sie unter [ Gruppen hinzufügen](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
## Verwenden der Konsole AWS Config
Um auf die AWS Config Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den AWS Config Ressourcen in Ihrem aufzulisten und anzuzeigen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.
Um sicherzustellen, dass Benutzer und Rollen die AWS Config Konsole weiterhin verwenden können, fügen Sie den Entitäten auch die AWS Config `AWSConfigUserAccess` AWS verwaltete Richtlinie hinzu. Weitere Informationen finden Sie unter [Hinzufügen von Berechtigungen zu einem Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
Sie müssen Benutzern Berechtigungen für die Interaktion mit ihnen erteilen AWS Config. Verwenden Sie für Benutzer, die vollen Zugriff auf benötigen AWS Config, die Richtlinie [Vollzugriff auf AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/security_iam_id-based-policy-examples.html#full-config-permission) verwaltet.
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
+ Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter [Erstellen eines Berechtigungssatzes](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
+ Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter [Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) im *IAM-Benutzerhandbuch*.
+ IAM-Benutzer:
+ Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter [Eine Rolle für einen IAM-Benutzer erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) im *IAM-Benutzerhandbuch*.
+ (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter [Hinzufügen von Berechtigungen zu einem Benutzer (Konsole)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API AWS CLI oder AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Schreibgeschützter Zugriff auf AWS Config
Das folgende Beispiel zeigt eine AWS verwaltete Richtlinie, `AWSConfigUserAccess` die nur Lesezugriff auf gewährt. AWS Config
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"config:Get*",
"config:Describe*",
"config:Deliver*",
"config:List*",
"config:Select*",
"tag:GetResources",
"tag:GetTagKeys",
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:LookupEvents"
],
"Resource": "*"
}
]
}
```
------
In den Richtlinienanweisungen gibt das Element `Effect` an, ob die Aktionen zugelassen oder verweigert werden. Das Element `Action` listet die spezifischen Aktionen auf, die der Benutzer ausführen darf. Das `Resource` Element listet die AWS Ressourcen auf, auf denen der Benutzer diese Aktionen ausführen darf. Bei Richtlinien, die den Zugriff auf AWS Config Aktionen steuern, ist das `Resource` Element immer auf gesetzt`*`, ein Platzhalter, der „alle Ressourcen“ bedeutet.
Die Werte im `Action` Element entsprechen denen, die von den APIs Diensten unterstützt werden. Den Aktionen ist ein vorangestellt`config:`, um darauf hinzuweisen, dass sie sich auf AWS Config Aktionen beziehen. Sie können das Platzhalterzeichen `*` im Element `Action` beispielsweise wie folgt verwenden:
+ `"Action": ["config:*ConfigurationRecorder"]`
Dies erlaubt alle AWS Config Aktionen, die mit "ConfigurationRecorder" (`StartConfigurationRecorder`,`StopConfigurationRecorder`) enden.
+ `"Action": ["config:*"]`
Dies erlaubt alle AWS Config Aktionen, aber keine Aktionen für andere AWS Dienste.
+ `"Action": ["*"]`
Dies ermöglicht alle AWS Aktionen. Diese Berechtigung ist für einen Benutzer geeignet, der als AWS Administrator für Ihr Konto fungiert.
Die Richtlinie für den schreibgeschützten Zugriff erteilt Benutzern keine Berechtigung für die Aktionen (z. B. `StartConfigurationRecorder`, `StopConfigurationRecorder` und `DeleteConfigurationRecorder`). Benutzer mit dieser Richtlinie dürfen den Configuration Recorder weder starten noch beenden oder löschen. Eine Liste der AWS Config Aktionen finden Sie in der [AWS Config API-Referenz](https://docs.aws.amazon.com/config/latest/APIReference/).
## Voller Zugriff auf AWS Config
Das folgende Beispiel zeigt eine Richtlinie, die vollen Zugriff auf gewährt AWS Config. Sie gewährt Benutzern die Berechtigung, alle AWS Config Aktionen auszuführen. Darüber hinaus können Benutzer Dateien in Amazon-S3-Buckets verwalten und Amazon-SNS-Themen in dem Konto verwalten, mit dem der Benutzer verknüpft ist.
**Wichtig**
Diese Richtlinie gewährt umfassende Berechtigungen. Bevor Sie Vollzugriff gewähren, sollten Sie gegebenenfalls mit einem Mindestsatz von Berechtigungen beginnen und zusätzliche Berechtigungen nach Bedarf gewähren. Diese Methode ist besser, als anfangs zu weit gefasste Berechtigungen zu gewähren und dann später zu versuchen, sie zu begrenzen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:AddPermission",
"sns:CreateTopic",
"sns:DeleteTopic",
"sns:GetTopicAttributes",
"sns:ListPlatformApplications",
"sns:ListTopics",
"sns:SetTopicAttributes"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"s3:GetBucketNotification",
"s3:GetBucketPolicy",
"s3:GetBucketRequestPayment",
"s3:GetBucketVersioning",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListBucketVersions",
"s3:PutBucketPolicy"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:ListRolePolicies",
"iam:ListRoles",
"iam:PutRolePolicy",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:CreateServiceLinkedRole"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"config.amazonaws.com",
"ssm.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:LookupEvents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"config:*",
"tag:Get*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeDocument",
"ssm:GetDocument",
"ssm:DescribeAutomationExecutions",
"ssm:GetAutomationExecution",
"ssm:ListDocuments",
"ssm:StartAutomationExecution"
],
"Resource": "*"
}
]
}
```
------
## Unterstützte Berechtigungen auf Ressourcenebene für AWS Config Regel-API-Aktionen
Berechtigungen auf Ressourcenebene beziehen sich auf die Fähigkeit, anzugeben, auf welchen Ressourcen Benutzer Aktionen ausführen dürfen. AWS Config unterstützt Berechtigungen auf Ressourcenebene für bestimmte AWS Config Regel-API-Aktionen. Das bedeutet, dass Sie für bestimmte AWS Config Regelaktionen die Bedingungen steuern können, unter denen Benutzer diese Aktionen verwenden dürfen. Diese Bedingungen können Aktionen sein, die erfüllt sein müssen, oder bestimmte Ressourcen, die von den Benutzern verwendet werden dürfen.
In der folgenden Tabelle werden die AWS Config Regel-API-Aktionen beschrieben, die derzeit Berechtigungen auf Ressourcenebene unterstützen. Außerdem werden die unterstützten Ressourcen und die ARNs für jede Aktion benötigten Ressourcen beschrieben. Wenn Sie einen ARN angeben, können Sie den Platzhalter \$1 in Ihren Pfaden verwenden, z. B. wenn Sie die genaue Ressource IDs nicht angeben können oder wollen.
**Wichtig**
Wenn eine AWS Config Regel-API-Aktion in dieser Tabelle nicht aufgeführt ist, unterstützt sie keine Berechtigungen auf Ressourcenebene. Wenn eine AWS Config Regelaktion keine Berechtigungen auf Ressourcenebene unterstützt, können Sie Benutzern Berechtigungen zur Verwendung der Aktion gewähren. Sie müssen jedoch für das Ressourcenelement Ihrer Richtlinienerklärung ein Sternchen angeben.
****
| API-Aktion | Ressourcen |
| --- | --- |
| DeleteConfigRule | Konfigurationsregel arn:aws:config ::config-rule/config-rule- *region:accountID* *ID* |
| DeleteEvaluationResults | Konfigurationsregel arn:aws:config *region:accountID* ::config-rule/config-rule- *ID* |
| DescribeComplianceByConfigRule | Konfigurationsregel arn:aws:config *region:accountID* ::config-rule/config-rule- *ID* |
| DescribeConfigRuleEvaluationStatus | Konfigurationsregel arn:aws:config *region:accountID* ::config-rule/config-rule- *ID* |
| GetComplianceDetailsByConfigRule | Konfigurationsregel arn:aws:config *region:accountID* ::config-rule/config-rule- *ID* |
| PutConfigRule | Konfigurationsregel arn:aws:config *region:accountID* ::config-rule/config-rule- *ID* |
| StartConfigRulesEvaluation | Konfigurationsregel arn:aws:config *region:accountID* ::config-rule/config-rule- *ID* |
| PutRemediationConfigurations | Korrekturkonfiguration arn:aws:config ::remediation-configuration/ *region:accountId* *config rule name/remediation configuration id* |
| DescribeRemediationConfigurations | Korrekturkonfiguration arn:aws:config ::remediation-configuration/ *region:accountId* *config rule name/remediation configuration id* |
| DeleteRemediationConfiguration | Korrekturkonfiguration arn:aws:config ::remediation-configuration/ *region:accountId* *config rule name/remediation configuration id* |
| PutRemediationExceptions | Korrekturkonfiguration arn:aws:config ::remediation-configuration/ *region:accountId* *config rule name/remediation configuration id* |
| DescribeRemediationExceptions | Korrekturkonfiguration arn:aws:config ::remediation-configuration/ *region:accountId* *config rule name/remediation configuration id* |
| DeleteRemediationExceptions | Korrekturkonfiguration arn:aws:config ::remediation-configuration/ *region:accountId* *config rule name/remediation configuration id* |
Angenommen, Sie möchten bestimmten Benutzern den Lesezugriff auf bestimmte Regeln erteilen und den Schreibzugriff verweigern.
In der ersten Richtlinie erlauben Sie der Regel Leseaktionen, z. B. für die angegebenen Regeln AWS Config . `DescribeConfigRuleEvaluationStatus`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"config:StartConfigRulesEvaluation",
"config:DescribeComplianceByConfigRule",
"config:DescribeConfigRuleEvaluationStatus",
"config:GetComplianceDetailsByConfigRule"
],
"Resource": [
"arn:aws:config:us-east-1:123456789012:config-rule/config-rule-ID",
"arn:aws:config:us-east-1:123456789012:config-rule/config-rule-ID"
]
}
]
}
```
------
In der zweiten Richtlinie verweigern Sie den AWS Config Regelschreibaktionen für die jeweilige Regel.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": [
"config:PutConfigRule",
"config:DeleteConfigRule",
"config:DeleteEvaluationResults"
],
"Resource": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-ID"
}
]
}
```
------
Mit Berechtigungen auf Ressourcenebene können Sie Lesezugriff gewähren und Schreibzugriff verweigern, um bestimmte Aktionen für AWS Config Regel-API-Aktionen auszuführen.
## Unterstützte Berechtigungen auf Ressourcenebene für konten- und regionsübergreifende Datenaggregationen
Mit Berechtigungen auf Ressourcenebene können Sie steuern, welche spezifischen Aktionen die Benutzer für die Datenaggregation für mehrere Konten und Regionen ausführen dürfen. Die folgenden Berechtigungen AWS Config `Aggregator` APIs unterstützen Berechtigungen auf Ressourcenebene:
+ [BatchGetAggregateResourceConfig](https://docs.aws.amazon.com/config/latest/APIReference/API_BatchGetAggregateResourceConfig.html)
+ [DeleteConfigurationAggregator](https://docs.aws.amazon.com/config/latest/APIReference/API_DeleteConfigurationAggregator.html)
+ [DescribeAggregateComplianceByConfigRules](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeAggregateComplianceByConfigRules.html)
+ [DescribeAggregateComplianceByConformancePacks](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeAggregateComplianceByConformancePacks.html)
+ [DescribeConfigurationAggregatorSourcesStatus](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeConfigurationAggregatorSourcesStatus.html)
+ [GetAggregateComplianceDetailsByConfigRule](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateComplianceDetailsByConfigRule.html)
+ [GetAggregateConfigRuleComplianceSummary](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateConfigRuleComplianceSummary.html)
+ [GetAggregateConformancePackComplianceSummary](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateConformancePackComplianceSummary.html)
+ [GetAggregateDiscoveredResourceCounts](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateDiscoveredResourceCounts.html)
+ [GetAggregateResourceConfig](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateResourceConfig.html)
+ [ListAggregateDiscoveredResources](https://docs.aws.amazon.com/config/latest/APIReference/API_ListAggregateDiscoveredResources.html)
+ [PutConfigurationAggregator](https://docs.aws.amazon.com/config/latest/APIReference/API_PutConfigurationAggregator.html)
+ [SelectAggregateResourceConfig](https://docs.aws.amazon.com/config/latest/APIReference/API_SelectAggregateResourceConfig.html)
Sie können beispielsweise den Zugriff bestimmter Benutzer auf Ressourcendaten einschränken, indem Sie zwei Aggregatoren erstellen, `AccessibleAggregator` und `InAccessibleAggregator`, und eine IAM-Richtlinie anhängen, die den Zugriff auf `AccessibleAggregator` ermöglicht und auf `InAccessibleAggregator` verweigert.
**IAM-Richtlinie für AccessibleAggregator**
In dieser Richtlinie gewähren Sie Zugriff auf die unterstützten Aggregatoraktionen für den von Ihnen angegebenen AWS Config -Amazon-Ressourcennamen (ARN). In diesem Beispiel ist der AWS Config ARN`arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfigAllow",
"Effect": "Allow",
"Action": [
"config:BatchGetAggregateResourceConfig",
"config:DeleteConfigurationAggregator",
"config:DescribeAggregateComplianceByConfigRules",
"config:DescribeAggregateComplianceByConformancePacks",
"config:DescribeConfigurationAggregatorSourcesStatus",
"config:GetAggregateComplianceDetailsByConfigRule",
"config:GetAggregateConfigRuleComplianceSummary",
"config:GetAggregateConformancePackComplianceSummary",
"config:GetAggregateDiscoveredResourceCounts",
"config:GetAggregateResourceConfig",
"config:ListAggregateDiscoveredResources",
"config:PutConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": "arn:aws:config:ap-northeast-1:111122223333:config-aggregator/config-aggregator-mocpsqhs"
}
]
}
```
------
**IAM-Richtlinie für InAccessibleAggregator**
In dieser Richtlinie verweigern Sie den Zugriff auf die unterstützten Aggregatoraktionen für den von Ihnen angegebenen AWS Config -ARN. In diesem Beispiel ist der AWS Config ARN`arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfigDeny",
"Effect": "Deny",
"Action": [
"config:BatchGetAggregateResourceConfig",
"config:DeleteConfigurationAggregator",
"config:DescribeAggregateComplianceByConfigRules",
"config:DescribeAggregateComplianceByConformancePacks",
"config:DescribeConfigurationAggregatorSourcesStatus",
"config:GetAggregateComplianceDetailsByConfigRule",
"config:GetAggregateConfigRuleComplianceSummary",
"config:GetAggregateConformancePackComplianceSummary",
"config:GetAggregateDiscoveredResourceCounts",
"config:GetAggregateResourceConfig",
"config:ListAggregateDiscoveredResources",
"config:PutConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": "arn:aws:config:ap-northeast-1:111122223333:config-aggregator/config-aggregator-pokxzldx"
}
]
}
```
------
Wenn ein Benutzer der Entwicklergruppe versucht, eine dieser Aktionen mit dem von Ihnen angegebenen AWS Config -ARN auszuführen, erhält dieser Benutzer die Ausnahme „Zugriff verweigert“.
**Prüfen von Benutzerzugriffsberechtigungen**
Führen Sie den folgenden AWS CLI -Befehl aus, um die von Ihnen erstellten Aggregatoren anzuzeigen:
```
aws configservice describe-configuration-aggregators
```
Wenn der Befehl erfolgreich abgeschlossen wurde, können Sie die Details aller Aggregatoren sehen, die mit Ihrem Konto verknüpft sind. In diesem Beispiel sind das `AccessibleAggregator` und `InAccessibleAggregator`:
```
{
"ConfigurationAggregators": [
{
"ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "AccessibleAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
]
}
],
"LastUpdatedTime": 1517942461.455
},
{
"ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "InAccessibleAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
]
}
],
"LastUpdatedTime": 1517942461.455
}
]
}
```
**Anmerkung**
`account-aggregation-sources`Geben Sie eine durch Kommas getrennte Liste von AWS Konten ein, IDs für die Sie Daten aggregieren möchten. Setzen Sie das Konto IDs in eckige Klammern und achten Sie darauf, Anführungszeichen zu vermeiden (z. B.`"[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"`).
Fügen Sie die folgende IAM-Richtlinie an, um Zugriff auf `InAccessibleAggregator` oder den gewünschten Aggregator zu verweigern.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfigDeny",
"Effect": "Deny",
"Action": [
"config:BatchGetAggregateResourceConfig",
"config:DeleteConfigurationAggregator",
"config:DescribeAggregateComplianceByConfigRules",
"config:DescribeAggregateComplianceByConformancePacks",
"config:DescribeConfigurationAggregatorSourcesStatus",
"config:GetAggregateComplianceDetailsByConfigRule",
"config:GetAggregateConfigRuleComplianceSummary",
"config:GetAggregateConformancePackComplianceSummary",
"config:GetAggregateDiscoveredResourceCounts",
"config:GetAggregateResourceConfig",
"config:ListAggregateDiscoveredResources",
"config:PutConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": "arn:aws:config:ap-northeast-1:111122223333:config-aggregator/config-aggregator-pokxzldx"
}
]
}
```
------
Als Nächstes können Sie bestätigen, dass mit der IAM-Richtlinie der Zugriff auf bestimmte Regeln für einen bestimmten Aggregator eingeschränkt werden kann:
```
aws configservice get-aggregate-compliance-details-by-config-rule --configuration-aggregator-name InAccessibleAggregator --config-rule-name rule name --account-id AccountID --aws-region AwsRegion
```
Der Befehl sollte eine Ausnahme des Typs „Zugriff verweigert“ zurückgeben:
```
An error occurred (AccessDeniedException) when calling the GetAggregateComplianceDetailsByConfigRule operation: User: arn:aws:iam::AccountID:user/ is not
authorized to perform: config:GetAggregateComplianceDetailsByConfigRule on resource: arn:aws:config:AwsRegion-1:AccountID:config-aggregator/config-aggregator-pokxzldx
```
# AWS verwaltete Richtlinien für AWS Config
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
## AWS verwaltete Richtlinie: AWSConfigServiceRolePolicy
AWS Config verwendet die angegebene dienstbezogene Rolle **AWSServiceRoleForConfig**, um in Ihrem Namen andere AWS Dienste aufzurufen. Bei der AWS-Managementkonsole Einrichtung wird diese SLR automatisch erstellt AWS Config, AWS Config wenn Sie die Option auswählen, die AWS Config SLR anstelle Ihrer eigenen AWS Identity and Access Management (IAM) -Servicerolle zu verwenden.
Die SLR **AWSServiceRoleForConfig** enthält die verwaltete Richtlinie `AWSConfigServiceRolePolicy`. Diese verwaltete Richtlinie enthält nur Lese- und Schreibberechtigungen für Ressourcen sowie nur Leseberechtigungen für AWS Config Ressourcen in anderen Diensten, die dies unterstützen. AWS Config Die Richtlinie bietet umfassenden Zugriff auf die Überwachung und Aufzeichnung von Konfigurationsänderungen in Ihrer gesamten AWS Infrastruktur, einschließlich Berechtigungen für über 100 AWS Dienste wie Rechen-, Speicher-, Netzwerk-, Sicherheits-, Analyse- und maschinelles Lernen.
Die Richtlinie umfasst Berechtigungen für die folgenden Servicekategorien:
+ `access-analyzer`— Ermöglicht Principals die Analyse von Zugriffsmustern und das Abrufen von Sicherheitsergebnissen.
+ `account`— Ermöglicht Prinzipalen das Abrufen von Kontokontaktinformationen.
+ `acm`und `acm-pca` — Ermöglicht Prinzipalen die Verwaltung von SSL/TLS Zertifikaten und privaten Zertifizierungsstellen.
+ `airflow`— Ermöglicht Prinzipalen die Überwachung verwalteter Apache Airflow Airflow-Umgebungen.
+ `amplify`und `amplifyuibuilder` — Ermöglicht Prinzipalen die Überwachung von Webanwendungen und Benutzeroberflächenkomponenten.
+ `aoss`— Ermöglicht Prinzipalen die Überwachung OpenSearch serverloser Sammlungen und Sicherheitskonfigurationen.
+ `app-integrations`— Ermöglicht Prinzipalen die Überwachung der Anwendungsintegrationskonfigurationen.
+ `appconfig`— Ermöglicht Prinzipalen die Überwachung von Bereitstellungen der Anwendungskonfiguration.
+ `appflow`— Ermöglicht Prinzipalen die Überwachung von Datenflusskonfigurationen zwischen Anwendungen.
+ `application-autoscaling`und `application-signals` — Ermöglicht es Prinzipalen, Richtlinien zur auto-scaling und Leistungskennzahlen von Anwendungen zu überwachen.
+ `appmesh`— Ermöglicht Prinzipalen die Überwachung von Service Mesh-Konfigurationen.
+ `apprunner`— Ermöglicht Prinzipalen die Überwachung von containerisierten Webanwendungen und -diensten.
+ `appstream`— Ermöglicht Prinzipalen die Überwachung von Anwendungsstreaming-Konfigurationen.
+ `appsync`— Ermöglicht Prinzipalen die Überwachung von GraphQL-API-Konfigurationen.
+ `aps`— Ermöglicht Prinzipalen die Überwachung der Prometheus-Überwachungskonfigurationen.
+ `apptest`— Ermöglicht Prinzipalen die Überwachung von Anwendungstestkonfigurationen.
+ `arc-zonal-shift`— Ermöglicht es den Prinzipalen, Zonenverschiebungskonfigurationen im Hinblick auf ihre Verfügbarkeit zu überwachen.
+ `athena`— Ermöglicht Prinzipalen die Überwachung von Query Engine-Konfigurationen und Datenkatalogen.
+ `auditmanager`— Ermöglicht es den Schulleitern, Audit- und Compliance-Bewertungen zu überwachen.
+ `autoscaling`und `autoscaling-plans` — Ermöglicht Prinzipalen die Überwachung von Gruppen und Skalierungsplänen mit automatischer Skalierung.
+ `b2bi`— Ermöglicht Prinzipalen die Überwachung business-to-business von Integrationskonfigurationen.
+ `backup`und `backup-gateway` — Ermöglicht Prinzipalen die Überwachung von Backup-Richtlinien und Gateway-Konfigurationen.
+ `batch`— Ermöglicht Prinzipalen die Überwachung von Batch-Computing-Umgebungen und Job-Warteschlangen.
+ `bcm-data-exports`— Ermöglicht Prinzipalen die Überwachung der Datenexporte für Abrechnung und Kostenmanagement.
+ `bedrock`und `bedrock-agentcore` — Ermöglicht Prinzipalen die Überwachung von Basismodellen und KI-Agentenkonfigurationen.
+ `billingconductor`— Ermöglicht Prinzipalen die Überwachung der Konfigurationen von Abrechnungsgruppen.
+ `budgets`— Ermöglicht Prinzipalen die Überwachung von Budgetkonfigurationen und -aktionen.
+ `cassandra`— Ermöglicht Prinzipalen, verwaltete Cassandra-Datenbankkonfigurationen abzufragen.
+ `ce`— Ermöglicht Prinzipalen die Überwachung der Konfigurationen für Kosten- und Nutzungsberichte.
+ `cleanrooms`und `cleanrooms-ml` — Ermöglicht es Prinzipalen, Konfigurationen für Datenzusammenarbeit und maschinelles Lernen zu überwachen.
+ `cloud9`— Ermöglicht Prinzipalen die Überwachung der Konfigurationen der Cloud-Entwicklungsumgebung.
+ `cloudformation`— Ermöglicht Prinzipalen die Überwachung der Infrastruktur als Code-Stack-Konfigurationen.
+ `cloudfront`— Ermöglicht Prinzipalen die Überwachung der Netzwerkkonfigurationen für die Inhaltsbereitstellung.
+ `cloudtrail`— Ermöglicht Prinzipalen die Überwachung der API-Protokollierung und der Audit-Trail-Konfigurationen.
+ `cloudwatch`— Ermöglicht Prinzipalen die Überwachung von Metriken, Alarmen und Dashboard-Konfigurationen.
+ `codeartifact`— Ermöglicht Prinzipalen die Überwachung der Konfigurationen des Softwarepaket-Repositorys.
+ `codebuild`— Ermöglicht Prinzipalen die Überwachung der Build-Projektkonfigurationen.
+ `codecommit`— Ermöglicht Prinzipalen die Überwachung der Quellcode-Repository-Konfigurationen.
+ `codeconnections`— Ermöglicht Prinzipalen die Überwachung von Quellverbindungen von Drittanbietern.
+ `codedeploy`— Ermöglicht Prinzipalen die Überwachung der Anwendungsbereitstellungskonfigurationen.
+ `codeguru-profiler`und `codeguru-reviewer` — Ermöglicht Prinzipalen die Überwachung der Codeanalyse- und Profilerstellungskonfigurationen.
+ `codepipeline`— Ermöglicht Prinzipalen die Überwachung der Pipeline-Konfigurationen für die kontinuierliche Integration und Bereitstellung.
+ `codestar-connections`— Ermöglicht Prinzipalen die Überwachung der Verbindungen zu Entwicklertools.
+ `cognito-identity`und `cognito-idp` — Ermöglicht Prinzipalen die Überwachung der Identitäts- und Benutzerpoolkonfigurationen.
+ `comprehend`— Ermöglicht Prinzipalen die Überwachung der Konfigurationen für die Verarbeitung natürlicher Sprache.
+ `config`— Ermöglicht Prinzipalen die Verwaltung der Konfigurationsaufzeichnung und die Überwachung der Einhaltung von Vorschriften.
+ `connect`— Ermöglicht Prinzipalen die Überwachung der Contact-Center-Konfigurationen.
Weitere Informationen zu den unterstützten Ressourcentypen finden Sie unter [Unterstützte Ressourcentypen für AWS Config](resource-config-reference.md) und[Verwenden von serviceverknüpften Rollen für AWS Config](using-service-linked-roles.md).
Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWSConfigServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigServiceRolePolicy.html) im *AWS Referenzhandbuch für verwaltete Richtlinien*.
**Empfohlen: Verwenden Sie die mit dem Dienst verknüpfte Rolle**
Es wird empfohlen, die dienstverknüpfte Rolle zu verwenden, sofern Sie keinen bestimmten Anwendungsfall haben. Eine dienstverknüpfte Rolle fügt alle erforderlichen Berechtigungen hinzu, damit sie wie erwartet ausgeführt werden AWS Config kann. Für einige Funktionen, wie z. B. für dienstverknüpfte Konfigurationsaufzeichnungen, müssen Sie die dienstverknüpfte Rolle verwenden.
## AWS verwaltete Richtlinie: AWS\$1ConfigRole
Um Ihre AWS Ressourcenkonfigurationen aufzuzeichnen, AWS Config sind IAM-Berechtigungen erforderlich, um die Konfigurationsdetails zu Ihren Ressourcen abzurufen. Wenn Sie eine IAM-Rolle für AWS Config erstellen möchten, können Sie die verwaltete Richtlinie `AWS_ConfigRole` verwenden und sie an Ihre IAM-Rolle anfügen.
Diese IAM-Richtlinie wird jedes Mal aktualisiert, wenn Unterstützung für einen AWS Ressourcentyp AWS Config hinzugefügt wird. Das bedeutet, dass Sie AWS Config weiterhin über die erforderlichen Berechtigungen zum Aufzeichnen von Konfigurationsdaten unterstützter Ressourcentypen verfügen, solange der **AWS\$1CRolle „ConfigRole**“ diese verwaltete Richtlinie zugewiesen ist. Die Richtlinie bietet umfassenden Zugriff auf die Überwachung und Aufzeichnung von Konfigurationsänderungen in Ihrer gesamten AWS Infrastruktur, einschließlich Berechtigungen für über 100 AWS Dienste wie Rechen-, Speicher-, Netzwerk-, Sicherheits-, Analyse- und Machine-Learning-Dienste. Weitere Informationen erhalten Sie unter [Unterstützte Ressourcentypen für AWS Config](resource-config-reference.md) und [Berechtigungen für die IAM-Rolle, die zugewiesen wurden AWS Config](iamrole-permissions.md).
Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWS\$1CConfigRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS_ConfigRole.html) im *Referenzhandbuch für AWS verwaltete Richtlinien.*
## AWS verwaltete Richtlinie: AWSConfigUserAccess
Diese IAM-Richtlinie ermöglicht den Nutzungszugriff AWS Config, einschließlich der Suche nach Tags in Ressourcen und dem Lesen aller Tags. Dadurch wird keine Berechtigung zur Konfiguration erteilt AWS Config, wofür Administratorrechte erforderlich sind.
Sehen Sie sich die Richtlinie an: [AWSConfigUserAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigUserAccess.html).
## AWS verwaltete Richtlinie: ConfigConformsServiceRolePolicy
Für die Bereitstellung und Verwaltung von Conformance Packs AWS Config sind IAM-Berechtigungen und bestimmte Berechtigungen von anderen AWS Diensten erforderlich. Diese ermöglichen Ihnen die Bereitstellung und Verwaltung von Conformance Packs mit vollem Funktionsumfang. Sie werden jedes Mal aktualisiert und fügen neue Funktionen für Conformance Packs AWS Config hinzu. Weitere Informationen finden Sie unter [Konformitätspakete](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html).
Sehen Sie sich die Richtlinie an:. [ConfigConformsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ConfigConformsServiceRolePolicy.html)
## AWS verwaltete Richtlinie: AWSConfigRulesExecutionRole
Für die Bereitstellung AWS benutzerdefinierter Lambda-Regeln AWS Config sind IAM-Berechtigungen und bestimmte Berechtigungen von anderen AWS Diensten erforderlich. Diese ermöglichen AWS Lambda Funktionen den Zugriff auf die AWS Config API und die Konfigurations-Snapshots, die regelmäßig AWS Config an Amazon S3 gesendet werden. Dieser Zugriff ist für Funktionen erforderlich, die Konfigurationsänderungen für AWS benutzerdefinierte Lambda-Regeln auswerten, und wird jedes Mal aktualisiert, wenn neue Funktionen AWS Config hinzugefügt werden. Weitere Informationen zu AWS benutzerdefinierten Lambda-Regeln finden Sie unter [AWS Config Benutzerdefinierte Lambda-Regeln erstellen](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules_lambda-functions.html). Weitere Informationen zu Konfigurations-Snapshots finden Sie unter [Konzepte \$1](https://docs.aws.amazon.com/config/latest/developerguide/config-concepts.html#config-snapshot) Konfigurations-Snapshot. Weitere Informationen zur Bereitstellung von Konfigurations-Snapshots finden Sie unter [Verwalten des Übermittlungskanals](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html).
Richtlinie anzeigen:. [AWSConfigRulesExecutionRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigRulesExecutionRole.html)
## AWS verwaltete Richtlinie: AWSConfigMultiAccountSetupPolicy
Für die zentrale Bereitstellung, Aktualisierung und Löschung von AWS Config Regeln und Konformitätspaketen für alle Mitgliedskonten in einer Organisation in AWS Organizations AWS Config sind IAM-Berechtigungen und bestimmte Berechtigungen von anderen AWS Diensten erforderlich. Diese verwaltete Richtlinie wird jedes Mal aktualisiert, wenn AWS Config neue Funktionen für die Einrichtung mehrerer Konten hinzufügt. Weitere Informationen finden Sie unter [AWS Config Regeln für alle Konten in Ihrer Organisation](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html) [verwalten und Conformance Packs für alle Konten in](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-organization-apis.html) Ihrer Organisation verwalten.
Sehen Sie sich die Richtlinie an: [AWSConfigMultiAccountSetupPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigMultiAccountSetupPolicy.html).
## AWS verwaltete Richtlinie: AWSConfigRoleForOrganizations
Um einen Nur-Lese-Zugriff AWS Config zu ermöglichen AWS Organizations APIs, AWS Config sind IAM-Berechtigungen und bestimmte Berechtigungen von anderen Diensten erforderlich. AWS Diese verwaltete Richtlinie wird jedes Mal aktualisiert, wenn AWS Config neue Funktionen für die Einrichtung mehrerer Konten hinzufügt. Weitere Informationen finden Sie unter [AWS Config Regeln für alle Konten in Ihrer Organisation verwalten](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html) [und Conformance Packs für alle Konten in Ihrer Organisation](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-organization-apis.html) verwalten.
Sehen Sie sich die Richtlinie an: [AWSConfigRoleForOrganizations](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigRoleForOrganizations.html).
## AWS verwaltete Richtlinie: AWSConfigRemediationServiceRolePolicy
AWS Config Damit `NON_COMPLIANT` Ressourcen in Ihrem Namen bereinigt werden können, AWS Config sind IAM-Berechtigungen und bestimmte Berechtigungen von anderen AWS Diensten erforderlich. Diese verwaltete Richtlinie wird jedes Mal aktualisiert, wenn neue Funktionen zur AWS Config Problembehebung hinzugefügt werden. Weitere Informationen zur Problembehebung finden Sie unter [Korrigieren nicht konformer](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html) Ressourcen mithilfe von Regeln. AWS Config Weitere Informationen zu den Bedingungen, die zu den möglichen AWS Config Evaluierungsergebnissen führen, finden Sie unter [Konzepte](https://docs.aws.amazon.com/config/latest/developerguide/config-concepts.html#aws-config-rules) \$1 Regeln. AWS Config
Sehen Sie sich die Richtlinie an: [AWSConfigRemediationServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigRemediationServiceRolePolicy.html).
## AWS Config Aktualisierungen der AWS verwalteten Richtlinien
Hier finden Sie Informationen zu Aktualisierungen AWS verwalteter Richtlinien AWS Config seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst. Abonnieren Sie den RSS-Feed auf der Seite AWS Config [Dokumentenverlauf](https://docs.aws.amazon.com/config/latest/developerguide/DocumentHistory.html), um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Zusätzliche Berechtigungen: application autoscaling:DescribeScheduledActions, appsync:, cloudformation:GetApiAssociation, cloudformation:DescribeStacks, cloudformation:GetStackPolicy, cloudfront:GetTemplate, cloudfront:GetKeyGroup, cloudfront:GetMonitoringSubscription, cloudfront:ListKeyGroups, connect:ListEvaluationFormVersions, cur:DescribeReportDefinitions, cur:ListTagsForResource, datazone:, datazone:GetDomainUnit, datazone:GetEnvironmentAction, datazone:GetEnvironmentBlueprintConfiguration, datazone:GetEnvironmentProfile, datazone:GetGroupProfile, datazone:GetSubscriptionTarget, datazone: Datazone:GetUserProfile, Datazone: ListDomainUnitsForParent ListEntityOwners ListEnvironmentActions ListEnvironmentBlueprintConfigurations, Datazone:ListEnvironmentProfiles, Datazone:ListPolicyGrants, Datazone:ListProjectMemberships, Datazone:ListSubscriptionTargets, Datazone:SearchGroupProfiles, Datazone:SearchUserProfiles, docdb-elastic:GetCluster, docdb-elastic:ListClusters, docdb-elastic: ListTagsForResourceGetRouteServerAssociations, ec2:GetRouteServerPropagations, ec2:SearchTransitGatewayRoutes, ec2:ListTagsForResource, ec2:GetListElements, fis:GetListsMetadata, frauddetector:GetThreatEntitySet, frauddetector:GetTrustedEntitySet, guardduty:ListThreatEntitySets, guardduty:ListTrustedEntitySets, guardduty: itfleetwise:GetCampaign, itfleetwise:ListCampaigns, itsitewise:DescribeComputationModel, itsitewise:DescribeDataset, iotsitewise:ListComputationModels, iotsitewise:ListDatasets, iotwireless:GetWirelessDeviceImportTask, iotwireless:ListWirelessDeviceImportTasks, kendra: ListDataSourcesDescribeQueryDefinitions, logs:GetIntegration, logs:ListIntegrations, mediconnect:ListRouterOutputs, medialive:DescribeMultiplex, medialive:DescribeSdiSource, medialive:GetCloudWatchAlarmTemplate, medialive:GetCloudWatchAlarmTemplateGroup, medialive:GetEventBridgeRuleTemplate, medialive:GetEventBridgeRuleTemplateGroup, medialive:ListCloudWatchAlarmTemplateGroups, medialive:ListCloudWatchAlarmTemplates, medialive:ListEventBridgeRuleTemplateGroups, medialive:ListEventBridgeRuleTemplates, medialive: ListSdiSourcesListSignalMaps, networkmanager:GetConnectAttachment, networkmanager::GetCoreNetwork, Netzwerkmanager: GetCoreNetworkPolicy, networkmanager:GetDirectConnectGatewayAttachment, networkmanager:GetSiteToSiteVpnAttachment, networkmanager:ListAttachments, networkmanager:ListCoreNetworks, notifications:GetEventRule, notifications:ListEventRules, notifications:ListManagedNotificationChannelAssociations, notifications:ListNotificationHubs, notifications:ListOrganizationalUnits, notifications:, refactor-spaces:GetApplication, refactor-spaces:GetRoute, refactor-spaces:ListRoutes, resource-explorer-2:GetDefaultView, route53resolver:GetOutpostResolver, route53resolver:ListOutpostResolvers, securityhub:DescribeOrganizationConfiguration, securityhub:GetAggregator, securityhub: GetAutomationRule V2, securityhub:GetConfigurationPolicyAssociation, securityhub:GetFindingAggregator, securityhub: ListAggregators V2, securityhub: ListAutomationRules V2, securityhub:ListConfigurationPolicyAssociations, securityhub:ListFindingAggregators, sms-voice:DescribeConfigurationSets, sms-voice:DescribeKeywords, sms-voice:DescribeProtectConfigurations, sms-voice:GetProtectConfigurationCountryRuleSet, sms-voice:ListPoolOriginationIdentities, sms-voice:, sms-voice:ListTagsForResource, sms-voice:GetTrustStore, workspaces-web:GetTrustStoreCertificate, workspaces-web:GetUserAccessLoggingSettings, workspaces-web:ListTagsForResource. | Diese Richtlinie unterstützt jetzt AWS zusätzliche Berechtigungen für die Aufzeichnung von Konfigurationsänderungen für zahlreiche Dienste. | 17. Februar 2026 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Zusätzliche Berechtigungen: application autoscaling:DescribeScheduledActions, appsync:, cloudformation:GetApiAssociation, cloudformation:, cloudformation:DescribeStacks, cloudfront:GetStackPolicy, cloudfront:GetTemplate, cloudfront:, cloudfront:GetKeyGroup, connect:GetMonitoringSubscription, cur:, cur:ListKeyGroups, datazone:ListEvaluationFormVersions, datazone:DescribeReportDefinitions, datazone:ListTagsForResource, datazone:GetDomainUnit, datazone:GetEnvironmentAction, datazone:, datazone:GetEnvironmentBlueprintConfiguration, datazone: Datazone:GetEnvironmentProfile, Datazone: GetGroupProfile GetSubscriptionTarget GetUserProfile ListDomainUnitsForParent ListEntityOwners ListEnvironmentActions ListEnvironmentBlueprintConfigurations, Datazone:ListEnvironmentProfiles, Datazone:ListPolicyGrants, Datazone:ListProjectMemberships, Datazone:ListSubscriptionTargets, Datazone:SearchGroupProfiles, Datazone:SearchUserProfiles, docdb-elastic:GetCluster, docdb-elastic:ListClusters, docdb-elastic: ListTagsForResourceGetRouteServerAssociations, ec2:GetRouteServerPropagations, ec2:SearchTransitGatewayRoutes, ec2:ListTagsForResource, ec2:GetListElements, fis:GetListsMetadata, frauddetector:GetThreatEntitySet, frauddetector:GetTrustedEntitySet, guardduty:ListThreatEntitySets, guardduty:ListTrustedEntitySets, guardduty: itfleetwise:GetCampaign, itfleetwise:ListCampaigns, itsitewise:DescribeComputationModel, itsitewise:DescribeDataset, iotsitewise:ListComputationModels, iotsitewise:ListDatasets, iotwireless:GetWirelessDeviceImportTask, iotwireless:ListWirelessDeviceImportTasks, kendra: ListDataSourcesDescribeQueryDefinitions, logs:GetIntegration, logs:ListIntegrations, mediconnect:ListRouterOutputs, medialive:DescribeMultiplex, medialive:DescribeSdiSource, medialive:GetCloudWatchAlarmTemplate, medialive:GetCloudWatchAlarmTemplateGroup, medialive:GetEventBridgeRuleTemplate, medialive:GetEventBridgeRuleTemplateGroup, medialive:ListCloudWatchAlarmTemplateGroups, medialive:ListCloudWatchAlarmTemplates, medialive:ListEventBridgeRuleTemplateGroups, medialive:ListEventBridgeRuleTemplates, medialive: ListSdiSourcesListSignalMaps, networkmanager:GetConnectAttachment, networkmanager::GetCoreNetwork, Netzwerkmanager: GetCoreNetworkPolicy, networkmanager:GetDirectConnectGatewayAttachment, networkmanager:GetSiteToSiteVpnAttachment, networkmanager:ListAttachments, networkmanager:ListCoreNetworks, notifications:GetEventRule, notifications:ListEventRules, notifications:ListManagedNotificationChannelAssociations, notifications:ListNotificationHubs, notifications:ListOrganizationalUnits, notifications:, refactor-spaces:GetApplication, refactor-spaces:GetRoute, refactor-spaces:ListRoutes, resource-explorer-2:GetDefaultView, route53resolver:GetOutpostResolver, route53resolver:ListOutpostResolvers, securityhub:DescribeOrganizationConfiguration, securityhub:GetAggregator, securityhub: GetAutomationRule V2, securityhub:GetConfigurationPolicyAssociation, securityhub:GetFindingAggregator, securityhub: ListAggregators V2, securityhub: ListAutomationRules V2, securityhub:ListConfigurationPolicyAssociations, securityhub:ListFindingAggregators, sms-voice:DescribeConfigurationSets, sms-voice:DescribeKeywords, sms-voice:DescribeProtectConfigurations, sms-voice:GetProtectConfigurationCountryRuleSet, sms-voice:ListPoolOriginationIdentities, sms-voice:, sms-voice:ListTagsForResource, sms-voice:GetTrustStore, workspaces-web:GetTrustStoreCertificate, workspaces-web:GetUserAccessLoggingSettings, workspaces-web:ListTagsForResource. | Diese Richtlinie unterstützt jetzt AWS zusätzliche Berechtigungen für die Aufzeichnung von Konfigurationsänderungen für zahlreiche Dienste. | 17. Februar 2026 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Aktualisierte verwaltete Richtlinie mit umfassenden Berechtigungen für die Aufzeichnung der AWS Ressourcenkonfiguration für über 100 AWS Dienste, darunter Rechen-, Speicher-, Netzwerk-, Sicherheits-, Analyse- und Machine-Learning-Dienste. | Diese Richtlinie bietet nun eine verbesserte Dokumentation der Serviceberechtigungen und unterstützt eine umfassende Überwachung aller AWS Dienste, die die Konfigurationsaufzeichnung AWS Config unterstützen. | 27. Januar 2026 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Aktualisierte verwaltete Richtlinie mit umfassenden Berechtigungen für die Aufzeichnung der AWS Ressourcenkonfiguration für über 100 AWS Dienste, darunter Rechen-, Speicher-, Netzwerk-, Sicherheits-, Analyse- und Machine-Learning-Dienste. | Diese Richtlinie bietet nun eine verbesserte Dokumentation der Serviceberechtigungen und unterstützt eine umfassende Überwachung aller AWS Dienste, die die Konfigurationsaufzeichnung AWS Config unterstützen. | 27. Januar 2026 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— füge „s3tables: „, ListTagsForResource „s3tables: „, „s3tables:GetTableBucketMetricsConfiguration“ hinzu GetTableBucketStorageClass | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für S3Tables.. | 09. Januar 2026 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— füge „s3tables: „, ListTagsForResource „s3tables: „, „s3tables:GetTableBucketMetricsConfiguration“ hinzu GetTableBucketStorageClass | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für S3Tables. | 09. Januar 2026 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— füge „lightsail:GetActiveNames" „lightsail:" „s3:GetOperations“ hinzu GetBucketAbac | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon Lightsail und Amazon Simple Storage Service (Amazon S3). | 20. November 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— füge „lightsail:GetActiveNames" „lightsail:" „s3:GetOperations“ hinzu GetBucketAbac | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon Lightsail und Amazon Simple Storage Service (Amazon S3). | 20. November 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Aktualisierte verwaltete Richtlinie mit umfassenden Berechtigungen für die Aufzeichnung der AWS Ressourcenkonfiguration für über 100 AWS Dienste, darunter Rechen-, Speicher-, Netzwerk-, Sicherheits-, Analyse- und maschinelles Lernen. | Diese Richtlinie bietet nun eine verbesserte Dokumentation der Serviceberechtigungen und unterstützt eine umfassende Überwachung aller AWS Dienste, die die Konfigurationsaufzeichnung AWS Config unterstützen. | 11. November 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Aktualisierte verwaltete Richtlinie mit umfassenden Berechtigungen für die Aufzeichnung von AWS Ressourcenkonfigurationen für mehrere Dienste AWS Identity and Access Management, darunter Amazon Elastic Compute Cloud, Amazon Simple Storage Service AWS Lambda, Amazon Relational Database Service und viele andere. | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für die umfassende Aufzeichnung und Überwachung der AWS Ressourcenkonfiguration für alle unterstützten AWS Dienste. | 10. November 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— „amplify:GetDomainAssociation" „amplify:ListDomainAssociations" „amplify:ListTagsForResource" „appsync:" „appsync:GetSourceApiAssociation" „bedrock:ListSourceApiAssociations" „bedrock:GetFlow" „bedrock:ListAgentCollaborators" „bedrock:ListFlows" „cloudTrail:ListPrompts" „cloudformation:GetResourcePolicy" „codeartifact:DescribePublisher" „codeartifact:DescribePackageGroup" „codeartifact:ListAllowedRepositoriesForGroup" „codeartifact:ListPackageGroups" „codepipeline:" „hinzufügen connect:ListActionTypes" „Frist:ListTagsForResource" „ec2:ListWebhooks" „ec2:DescribeTrafficDistributionGroup" „ec2: ListTrafficDistributionGroups ListFarms GetTransitGatewayRouteTablePropagations SearchLocalGatewayRoutes SearchTransitGatewayMulticastGroups„„entityresolution:GetMatchingWorkflow" „entityresolution:ListMatchingWorkflows" „iotsitewise:ListAssetModelCompositeModels" „iotsitewise:ListAssetModelProperties" „iotsitewise:ListAssetProperties" „ivs:" „lambda:ListAssociatedAssets" „lambda:ListPublicKeys" „lambda:GetProvisionedConcurrencyConfig" „lambda:GetRuntimeManagementConfig" „lambda:ListFunctionEventInvokeConfigs" „lambda:ListFunctionUrlConfigs" „pipes:DescribePipe" „pipes:ListPipes" „quicksight:DescribeRefreshSchedule" „quicksight:ListRefreshSchedules" „redshift-serverless:ListSnapshotCopyConfigurations" „redshift:" „redshift:GetResourcePolicy" „rolesanywhere:GetCrl" „rolesanywhere:ListCrls" „sagemaker:DescribeApp" „sagemaker:DescribeUserProfile" „sagemaker: ListApps"„sagemaker:ListModelPackages" „sagemaker:ListUserProfiles" „secretsmanager:GetResourcePolicy" „securitylake:ListSubscribers" „securitylake:ListTagsForResource" „servicecatalog:DescribeServiceAction" „servicecatalog:ListApplications" „servicecatalog:ListAssociatedResources" „shield:ListProtectionGroups" „shield:ListTagsForResource" „shield:" „ssm-incidents:GetReplicationSet" „ssm:ListReplicationSets" „ssm:DescribeAssociation" „ssm:DescribePatchBaselines" „ssm:GetDefaultPatchBaseline" „ssm:GetPatchBaseline" „ssm:GetResourcePolicies" „ssm:ListAssociations" „ssm:ListResourceDataSync" „wafv2:ListLoggingConfigurations" „bedrock-agentcore:ListCodeInterpreters" „bedrock-agentcore:GetCodeInterpreter" „bedrock -agentcore: ListBrowsers "„bedrock-agentcore:GetBrowser" „bedrock-agentcore:ListAgentRuntimes" „bedrock-agentcore:GetAgentRuntime" „bedrock-agentcore:ListAgentRuntimeEndpoints" „bedrock-agentcore:GetAgentRuntimeEndpoint“ | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für AWS Amplify, AWS AppSync, Amazon Bedrock,, AWS CloudTrail, CloudFormation AWS CodeArtifact, Amazon Connect AWS CodePipeline,, Amazon EC2 AWS Deadline Cloud,, Amazon IVS AWS Entity Resolution AWS IoT SiteWise,, Amazon AWS Lambda, Amazon Quick EventBridge, Amazon Redshift, Amazon Redshift Serverless, Amazon, AWS Identity and Access Management Roles Anywhere, Amazon Security Lake SageMaker, AWS Secrets Manager, Amazon EC2 Systems AWS Service Catalog Manager AWS Shield und. AWS WAFV2 | 1. Oktober 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— „amplify:GetDomainAssociation" „amplify:ListDomainAssociations" „amplify:ListTagsForResource" „appsync:GetSourceApiAssociation" „appsync:ListSourceApiAssociations" „bedrock:GetFlow" „bedrock:ListAgentCollaborators" „bedrock:ListFlows" „bedrock: ListPromptsGetResourcePolicy" „cloudTrail:DescribePublisher" „cloudformation:DescribePackageGroup" „codeartifact:ListAllowedRepositoriesForGroup" „codeartifact:ListPackageGroups" „codeartifact:ListActionTypes" „codeartifact:ListTagsForResource" „codepipeline:ListWebhooks" „hinzufügen connect:ListTrafficDistributionGroups" „Frist:ListFarms" „ec2:GetTransitGatewayRouteTablePropagations" „ec2:SearchLocalGatewayRoutes" „ec2: DescribeTrafficDistributionGroup SearchTransitGatewayMulticastGroups„„entityresolution:GetMatchingWorkflow" „entityresolution:ListMatchingWorkflows" „iotsitewise:ListAssetModelCompositeModels" „iotsitewise:ListAssetModelProperties" „iotsitewise:ListAssetProperties" „ivs:" „lambda:ListAssociatedAssets" „lambda:ListPublicKeys" „lambda:GetProvisionedConcurrencyConfig" „lambda:GetRuntimeManagementConfig" „lambda:ListFunctionEventInvokeConfigs" „lambda:ListFunctionUrlConfigs" „pipes:DescribePipe" „pipes:ListPipes" „quicksight:DescribeRefreshSchedule" „quicksight:ListRefreshSchedules" „redshift-serverless:ListSnapshotCopyConfigurations" „redshift:" „redshift:GetResourcePolicy" „rolesanywhere:GetCrl" „rolesanywhere:ListCrls" „sagemaker:DescribeApp" „sagemaker:DescribeUserProfile" „sagemaker: ListApps"„sagemaker:ListModelPackages" „sagemaker:ListUserProfiles" „secretsmanager:GetResourcePolicy" „securitylake:ListSubscribers" „securitylake:ListTagsForResource" „servicecatalog:DescribeServiceAction" „servicecatalog:ListApplications" „servicecatalog:ListAssociatedResources" „shield:ListProtectionGroups" „shield:ListTagsForResource" „shield:" „ssm-incidents:GetReplicationSet" „ssm:ListReplicationSets" „ssm:DescribeAssociation" „ssm:DescribePatchBaselines" „ssm:GetDefaultPatchBaseline" „ssm:GetPatchBaseline" „ssm:GetResourcePolicies" „ssm:ListAssociations" „ssm:ListResourceDataSync" „wafv2:ListLoggingConfigurations" „bedrock-agentcore:ListCodeInterpreters" „bedrock-agentcore:GetCodeInterpreter" „bedrock -agentcore: ListBrowsers "„bedrock-agentcore:GetBrowser" „bedrock-agentcore:ListAgentRuntimes" „bedrock-agentcore:GetAgentRuntime" „bedrock-agentcore:ListAgentRuntimeEndpoints" „bedrock-agentcore:GetAgentRuntimeEndpoint“ | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für AWS Amplify, AWS AppSync, Amazon Bedrock,, AWS CloudTrail, CloudFormation AWS CodeArtifact, Amazon Connect AWS CodePipeline,, Amazon EC2 AWS Deadline Cloud,, Amazon IVS AWS Entity Resolution AWS IoT SiteWise,, Amazon AWS Lambda, Amazon Quick EventBridge, Amazon Redshift, Amazon Redshift Serverless, Amazon, AWS Identity and Access Management Roles Anywhere, Amazon Security Lake SageMaker, AWS Secrets Manager, Amazon EC2 Systems AWS Service Catalog Manager AWS Shield und. AWS WAFV2 | 1. Oktober 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Hinzufügen "arc-zonal-shift: GetAutoshiftObserverNotificationStatus „, „bedrock: GetModelInvocationLoggingConfiguration „, „cloudtrail: „, GetEventConfiguration „codeartifact: „, DescribeDomain „codeartifact: „, „deadline: GetDomainPermissionsPolicy „, „deadline: GetFleet „, „deadline: „, GetQueueFleetAssociation „deadline: „, ListFleets „deadline: „, „deadline: ListQueueFleetAssociations „, „deadline: ListTagsForResource „, „deadline: DescribeDataMigrations „, „dms: „, ListMigrationProjects „glue: „, GetDataCatalogEncryptionSettings „kafkaconnect: „, DescribeCustomPlugin „kafkaconnect: „, „kafkaconnect: DescribeWorkerConfiguration „, „kafkaconnect: ListCustomPlugins „aconnect: „, ListTagsForResource „kafkaconnect: „, „kafkaconnect: ListWorkerConfigurations „, „lakeformation: DescribeLakeFormationIdentityCenterConfiguration „, „medialive: DescribeMultiplexProgram „, „medialive: ListMultiplexPrograms„, „mediapackagev2: GetChannelGroup „, „mediapackagev2: „, „rds: ListChannelGroups „, „rolesanywhere: DescribeEngineDefaultParameters „, „rolesanywhere: GetProfile „, „rolesanywhere: GetTrustAnchor „, „rolesanywhere: „, ListProfiles „rolesanywhere: „, „rolesanywhere: ListTagsForResource „, „s3: ListTrustAnchors „, „secretsmanager: GetAccessGrant „, „securitylake: ListAccessGrants „, „securitylake: „, DescribeSecret „securitylake: „, „security lake: ListDataLakeExceptions „, „security lake: „, „security lake: ListDataLakes „, „security lake: ListLogSources „, „security lake: „, „security itylake: GetAttributeGroup „, „servicecatalog: ListAttributeGroups „, „servicecatalog: ListServiceActions „, „servicecatalog: „, „servicecatalog: ListServiceActionsForProvisioningArtifact „, GetTrafficPolicy „ses: „, „ses: ListTagsForResource „,“ siehe: ListTrafficPolicies „, „xray: GetGroup „, „xray: GetGroups „, „xray: GetSamplingRules „, „xray: ListResourcePolicies „, „xray:ListTagsForResource“ | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für AWS ARC - Zonal Shift Amazon Bedrock,,, AWS CloudTrail, AWS CodeArtifact, AWS Deadline Cloud AWS Database Migration Service AWS Glue AWS Identity and Access Management, Amazon Managed Streaming for Apache Kafka AWS Lake Formation, Amazon CloudWatch Logs,, AWS Elemental MediaLive AWS Elemental MediaPackage, Amazon Relational Database Service, Amazon Simple Storage Service AWS Secrets Manager, Amazon Security Lake AWS Service Catalog, Amazon Simple Email Service und. AWS X-Ray | 28. Juli 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Hinzufügen "arc-zonal-shift: GetAutoshiftObserverNotificationStatus „, „bedrock: „, GetModelInvocationLoggingConfiguration „cloudtrail: „, „codeartifact: GetEventConfiguration „, „codeartifact: DescribeDomain „, „deadline: „, „deadline: GetDomainPermissionsPolicy „, „deadline: GetFleet „, „deadline: „, GetQueueFleetAssociation „deadline: „, „deadline: ListFleets „, „deadline: ListQueueFleetAssociations „, „dms: ListTagsForResource „, „dms: „, „glue: DescribeDataMigrations „, „iam: ListMigrationProjects „, kafkaconnect: GetDataCatalogEncryptionSettings „, „kafkaconnect: ListPolicies „, „kafkaconnect: DescribeCustomPlugin „, „kafkaconnect: DescribeWorkerConfiguration „, „kafkaconnect: „, „lakeformation: ListCustomPlugins „, „logs: „, „logs: ListTagsForResource „, „medialive: ListWorkerConfigurations DescribeLakeFormationIdentityCenterConfiguration DescribeIndexPolicies ListTagsForResource DescribeMultiplexProgram„, „medialive: ListMultiplexPrograms „, „mediapackagev2: GetChannelGroup „, „mediapackagev2: ListChannelGroups „, „rds: DescribeEngineDefaultParameters „, „rolesanywhere: GetProfile „, „rolesanywhere: GetTrustAnchor „, „rolesanywhere: ListProfiles „, „rolesanywhere: ListTagsForResource „, „rolesanywhere: ListTrustAnchors „, „rolesanywhere: GetAccessGrant „, „s3: ListAccessGrants „, „secretsmanager: DescribeSecret „, „securitylake: ListDataLakeExceptions „, „securitylake: „, ListDataLakes „securitylylake: „, „securitylake: ListLogSources „, „servicecatalog: GetAttributeGroup „, „servicecatalog: ListAttributeGroups „, „servicecatalog: ListServiceActions „, „servicecatalog: ListServiceActionsForProvisioningArtifact „, „ses: GetTrafficPolicy „, „ses: ListTagsForResource „, „ses: ListTrafficPolicies „, „xray: GetGroup „, „xray: GetGroups „, „xray: GetSamplingRules „, „xray: ListResourcePolicies „, „xray: ListTagsForResource „, „arn:aws:apigateway: ::/account“, „arn:aws:apigateway: ::/usageplans“, „arn:aws:apigateway: ::/usageplans/“. | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für AWS ARC - Zonal Shift Amazon Bedrock,,, AWS CloudTrail, AWS CodeArtifact, AWS Deadline Cloud AWS Database Migration Service AWS Glue AWS Identity and Access Management, Amazon Managed Streaming for Apache Kafka AWS Lake Formation, Amazon CloudWatch Logs, AWS Elemental MediaLive, AWS Elemental MediaPackage, Amazon Relational Database Service, Amazon Simple Storage Service AWS Secrets Manager, Amazon Security Lake AWS Service Catalog, Amazon Simple Email Service und Amazon AWS X-Ray API Gateway. | 28. Juli 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— „backup-gateway: GetHypervisor „, „backup-gateway: ListHypervisors „,"bcm-data-exports: GetExport „,"bcm-data-exports: ListExports „,"bcm-data-exports: ListTagsForResource „,": GetAgent „, „bedrock: GetAgentActionGroup „, „bedrock: GetAgentKnowledgeBase „, „bedrock: GetDataSource „, „bedrock: GetFlowAlias „, „bedrock: GetFlowVersion „, „bedrock: ListAgentActionGroups „, „bedrock: ListAgentKnowledgeBases „, „bedrock: ListDataSources „, „bedrock: ListFlowAliases „, „bedrock: ListFlowVersions „hinzufügen Wolkenbildung: BatchDescribeTypeConfigurations „, „Wolkenformation: DescribeStackInstance „, „Wolkenformation: DescribeStackSet „, „Wolkenformation: ListStackInstances „,“ cloudformation: ListStackSets „, „cloudfront: GetPublicKey „, „cloudfront: GetRealtimeLogConfig „, „cloudfront: ListPublicKeys „, „cloudfront: „, ListRealtimeLogConfigs „entityresolution: „, GetIdMappingWorkflow „entityresolution: „, GetSchemaMapping „entityresolution: „, ListIdMappingWorkflows „entityresolution: „, ListSchemaMappings „entityresolution: „, „entityresolution: ListTagsForResource „, „iotdeviceadvisor: GetSuiteDefinition „, „lambda: ListSuiteDefinitions „, „lambda: „, GetEventSourceMapping „lambda: „, ListEventSourceMappings „lambda: „, „mediapackagev2: GetChannel „, „mediapaketv2: ListChannels „, „networkmanager: GetTransitGatewayPeering „, „networkmanager: ListPeerings „,"pca-connector-ad: GetDirectoryRegistration „,“ pca-connector-ad: ListDirectoryRegistrations „,"pca-connector-ad: ListTagsForResource „, „DBShardrds:Gruppen beschreiben“, „rds: „, DescribeIntegrations „redshift: „, DescribeIntegrations „s3tables: „, GetTableBucket „s3tables: „, GetTableBucketEncryption „s3tables: „, „s3tables: GetTableBucketMaintenanceConfiguration „, „s3tables: ListTableBuckets „, „ssm-quicksetup: GetConfigurationManager „, „ssm-quicksetup:ListConfigurationManagers“ | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für AWS Backup gateway, AWS Fakturierung und Kostenmanagement, Amazon Bedrock,, Amazon AWS CloudFormation, CloudFront,, AWS Entity Resolution, AWS IoT Core Device Advisor AWS Lambda AWS Network Manager, Amazon Relational Database Service AWS Private Certificate Authority, Amazon Redshift, Amazon S3 Tables,. AWS Systems Manager Quick Setup | 18. Juni 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— „backup-gateway: GetHypervisor „, „backup-gateway: ListHypervisors „,"bcm-data-exports: GetExport „,"bcm-data-exports: ListExports „,"bcm-data-exports: ListTagsForResource „,": GetAgent „, „bedrock: GetAgentActionGroup „, „bedrock: GetAgentKnowledgeBase „, „bedrock: GetDataSource „, „bedrock: GetFlowAlias „, „bedrock: GetFlowVersion „, „bedrock: ListAgentActionGroups „, „bedrock: ListAgentKnowledgeBases „, „bedrock: ListDataSources „, „bedrock: ListFlowAliases „, „bedrock: ListFlowVersions „hinzufügen Wolkenbildung: BatchDescribeTypeConfigurations „, „Wolkenformation: DescribeStackInstance „, „Wolkenformation: DescribeStackSet „, „Wolkenformation: ListStackInstances „,“ cloudformation: ListStackSets „, „cloudfront: GetPublicKey „, „cloudfront: GetRealtimeLogConfig „, „cloudfront: „, ListPublicKeys „cloudfront: „, ListRealtimeLogConfigs „entityresolution: „, GetIdMappingWorkflow „entityresolution: „, „entityresolution: GetSchemaMapping „, „entityresolution: ListIdMappingWorkflows „, „entityresolution: ListSchemaMappings „, „entityresolution: ListTagsForResource „, „iotdeviceadvisor: GetSuiteDefinition „, „lambda: „, „lambda: ListSuiteDefinitions „, „lambda: GetEventSourceMapping „, „lambda: ListEventSourceMappings „, „Netzwerkmanager: GetTransitGatewayPeering „, „Netzwerkmanager: ListPeerings „,": „,"pca-connector-ad: GetDirectoryRegistration „,"pca-connector-ad: ListDirectoryRegistrations „,"pca-connector-ad: ListTagsForResource „, „rds: DBShardGruppen beschreiben“, „rds: DescribeIntegrations „, „redshift: DescribeIntegrations „, „s3tables: „, GetTableBucket „s3tables: „, GetTableBucketEncryption „s3tables: „, „s3tables: GetTableBucketMaintenanceConfiguration „, „ssm-quicksetup: ListTableBuckets „, „ssm-quicksetup: GetConfigurationManager „, „ssm-quicksetup:ListConfigurationManagers“ | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für AWS Backup gateway, AWS Fakturierung und Kostenmanagement, Amazon Bedrock,, Amazon AWS CloudFormation, CloudFront,, AWS Entity Resolution, AWS IoT Core Device Advisor AWS Lambda AWS Network Manager, Amazon Relational Database Service AWS Private Certificate Authority, Amazon Redshift, Amazon S3 Tables,. AWS Systems Manager Quick Setup | 18. Juni 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: "bedrock:GetGuardrail", "bedrock:GetInferenceProfile", "bedrock:GetKnowledgeBase", "bedrock:ListGuardrails", "bedrock:ListInferenceProfiles", "bedrock:ListKnowledgeBases", "bedrock:ListTagsForResource" | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon Bedrock. | 27. Mai 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: "bedrock:GetGuardrail", "bedrock:GetInferenceProfile", "bedrock:GetKnowledgeBase", "bedrock:ListGuardrails", "bedrock:ListInferenceProfiles", "bedrock:ListKnowledgeBases", "bedrock:ListTagsForResource" | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon Bedrock. | 27. Mai 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: "b2bi:GetPartnership", "b2bi:GetProfile", "b2bi:ListPartnerships", "b2bi:ListProfiles", "bedrock:ListAgents", "cleanrooms:GetConfiguredTable", "cleanrooms:GetConfiguredTableAnalysisRule", "cleanrooms:GetMembership", "cleanrooms:GetPrivacyBudgetTemplate", "cleanrooms:ListConfiguredTables", "cleanrooms:ListMemberships", "cleanrooms:ListPrivacyBudgetTemplates", "codeconnections:GetConnection", "codeconnections:ListConnections", "codeconnections:ListTagsForResource", "directconnect:DescribeConnections", "dms:DescribeReplicationConfigs", "logs:DescribeAccountPolicies", "logs:DescribeResourcePolicies", "macie2:ListAutomatedDiscoveryAccounts", "managedblockchain:GetAccessor", "managedblockchain:ListAccessors", "qbusiness:GetApplication", "qbusiness:ListApplications", "qbusiness:ListTagsForResource", "route53profiles:GetProfile", "route53profiles:GetProfileAssociation", "route53profiles:ListProfileAssociations", "route53profiles:ListProfiles", "route53profiles:ListTagsForResource", "s3:GetAccessGrantsInstance", "s3:GetAccessGrantsLocation", "s3:ListAccessGrantsInstances", "s3:ListAccessGrantsLocations", "sagemaker:DescribeCluster", "sagemaker:DescribeMlflowTrackingServer", "sagemaker:DescribeStudioLifecycleConfig", "sagemaker:ListClusters", "sagemaker:ListMlflowTrackingServers", "sagemaker:ListStudioLifecycleConfigs", "securityhub:DescribeStandardsControls", "securityhub:GetEnabledStandards", "ssm-contacts:GetContact", "ssm-contacts:GetContactChannel", "ssm-contacts:ListContactChannels", "ssm-contacts:ListContacts", "ssm-incidents:GetResponsePlan", "ssm-incidents:ListResponsePlans", "ssm-incidents:ListTagsForResource", "ssm:DescribeInstanceInformation" | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für AWS B2B Data Interchange Amazon Bedrock,,, AWS Clean Rooms AWS CodeConnections, AWS Database Migration Service (AWS DMS) AWS Direct Connect, Amazon CloudWatch Logs, Amazon Macie, Amazon Managed Blockchain, Amazon Q Business, Route 53 Profiles, Amazon Simple Storage Service (Amazon S3), Amazon SageMaker AI AWS Security Hub CSPM, und AWS Systems Manager Incident Manager, AWS Systems Manager Incident Manager Kontakte und. AWS Systems Manager | 08. April 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: "b2bi:GetPartnership", "b2bi:GetProfile", "b2bi:ListPartnerships", "b2bi:ListProfiles", "bedrock:ListAgents", "cleanrooms:GetConfiguredTable", "cleanrooms:GetConfiguredTableAnalysisRule", "cleanrooms:GetMembership", "cleanrooms:GetPrivacyBudgetTemplate", "cleanrooms:ListConfiguredTables", "cleanrooms:ListMemberships", "cleanrooms:ListPrivacyBudgetTemplates", "codeconnections:GetConnection", "codeconnections:ListConnections", "codeconnections:ListTagsForResource", "directconnect:DescribeConnections", "dms:DescribeReplicationConfigs", "logs:DescribeAccountPolicies", "logs:DescribeResourcePolicies", "macie2:ListAutomatedDiscoveryAccounts", "managedblockchain:GetAccessor", "managedblockchain:ListAccessors", "qbusiness:GetApplication", "qbusiness:ListApplications", "qbusiness:ListTagsForResource", "route53profiles:GetProfile", "route53profiles:GetProfileAssociation", "route53profiles:ListProfileAssociations", "route53profiles:ListProfiles", "route53profiles:ListTagsForResource", "s3:GetAccessGrantsInstance", "s3:GetAccessGrantsLocation", "s3:ListAccessGrantsInstances", "s3:ListAccessGrantsLocations", "sagemaker:DescribeCluster", "sagemaker:DescribeMlflowTrackingServer", "sagemaker:DescribeStudioLifecycleConfig", "sagemaker:ListClusters", "sagemaker:ListMlflowTrackingServers", "sagemaker:ListStudioLifecycleConfigs", "securityhub:DescribeStandardsControls", "securityhub:GetEnabledStandards", "ssm-contacts:GetContact", "ssm-contacts:GetContactChannel", "ssm-contacts:ListContactChannels", "ssm-contacts:ListContacts", "ssm-incidents:GetResponsePlan", "ssm-incidents:ListResponsePlans", "ssm-incidents:ListTagsForResource", "ssm:DescribeInstanceInformation" | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für AWS B2B Data Interchange Amazon Bedrock,,, AWS Clean Rooms AWS CodeConnections, AWS Database Migration Service (AWS DMS) AWS Direct Connect, Amazon CloudWatch Logs, Amazon Macie, Amazon Managed Blockchain, Amazon Q Business, Route 53 Profiles, Amazon Simple Storage Service (Amazon S3), Amazon SageMaker AI AWS Security Hub CSPM, und AWS Systems Manager Incident Manager, AWS Systems Manager Incident Manager Kontakte und. AWS Systems Manager Diese Richtlinie unterstützt jetzt auch die Erlaubnis, auf alle Amazon API Gateway Gateway-Domänennamen zuzugreifen, indem das Ressourcenmuster "`arn:aws:apigateway:::/domainnames/`" eingeschlossen wird. | 08. April 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: "ec2:GetAllowedImagesSettings" | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon Elastic Compute Cloud (Amazon EC2). | 4. März 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: "ec2:GetAllowedImagesSettings" | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon Elastic Compute Cloud (Amazon EC2). | 4. März 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: "cleanrooms-ml:GetTrainingDataset", "cleanrooms-ml:ListTrainingDatasets", "comprehend:DescribeFlywheel", "comprehend:ListFlywheels", "comprehend:ListTagsForResource", "ec2:GetSnapshotBlockPublicAccessState", "omics:GetAnnotationStore", "omics:GetRunGroup", "omics:GetSequenceStore", "omics:GetVariantStore", "omics:ListAnnotationStores", "omics:ListRunGroups", "omics:ListSequenceStores", "omics:ListTagsForResource", "omics:ListVariantStores", "s3express:GetEncryptionConfiguration", "s3express:GetLifecycleConfiguration", "ses:GetDedicatedIpPool", "ses:GetDedicatedIps", and "ses:ListDedicatedIpPools" | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für AWS Clean Rooms Amazon Comprehend, Amazon Elastic Compute Cloud (Amazon EC2) AWS HealthOmics, Amazon Simple Storage Service (Amazon S3) und Amazon Simple Email Service (Amazon SES). | 16. Januar 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: "cleanrooms-ml:GetTrainingDataset", "cleanrooms-ml:ListTrainingDatasets", "comprehend:DescribeFlywheel", "comprehend:ListFlywheels", "comprehend:ListTagsForResource", "ec2:GetSnapshotBlockPublicAccessState", "omics:GetAnnotationStore", "omics:GetRunGroup", "omics:GetSequenceStore", "omics:GetVariantStore", "omics:ListAnnotationStores", "omics:ListRunGroups", "omics:ListSequenceStores", "omics:ListTagsForResource", "omics:ListVariantStores", "s3express:GetEncryptionConfiguration", "s3express:GetLifecycleConfiguration", "ses:GetDedicatedIpPool", "ses:GetDedicatedIps", and "ses:ListDedicatedIpPools" | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für AWS Clean Rooms Amazon Comprehend, Amazon Elastic Compute Cloud (Amazon EC2) AWS HealthOmics, Amazon Simple Storage Service (Amazon S3) und Amazon Simple Email Service (Amazon SES). | 16. Januar 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: "organizations:ListAWSServiceAccessForOrganization" | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für. AWS Organizations | 18. Dezember 2024 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: "app-integrations:GetApplication", "app-integrations:ListApplications", "app-integrations:ListTagsForResource", "appconfig:GetExtension", "appconfig:ListExtensions", "cloudtrail:GetInsightSelectors", "connect:DescribeQueue", "connect:DescribeRoutingProfile", "connect:DescribeSecurityProfile", "connect:ListQueueQuickConnects", "connect:ListQueues", "connect:ListRoutingProfileQueues", "connect:ListRoutingProfiles", "connect:ListSecurityProfileApplications", "connect:ListSecurityProfilePermissions", "connect:ListSecurityProfiles", "datazone:GetDomain", "datazone:ListDomains", "devops-guru:ListNotificationChannels", "glue:GetRegistry", "glue:ListRegistries", "identitystore:DescribeGroup", "identitystore:DescribeGroupMembership" "identitystore:ListGroupMemberships", "identitystore:ListGroups", "iot:DescribeThingGroup", "iot:DescribeThingType", "iot:ListThingGroups", "iot:ListThingTypes", "iotfleetwise:GetDecoderManifest", "iotfleetwise:GetFleet", "iotfleetwise:GetModelManifest", "iotfleetwise:GetSignalCatalog", "iotfleetwise:GetVehicle", "iotfleetwise:ListDecoderManifestNetworkInterfaces", "iotfleetwise:ListDecoderManifests", "iotfleetwise:ListDecoderManifestSignals", "iotfleetwise:ListFleets", "iotfleetwise:ListModelManifestNodes", "iotfleetwise:ListModelManifests", "iotfleetwise:ListSignalCatalogNodes", "iotfleetwise:ListSignalCatalogs", "iotfleetwise:ListTagsForResource", "iotfleetwise:ListVehicles", "iotwireless:GetDestination", "iotwireless:GetDeviceProfile", "iotwireless:GetWirelessGateway", "iotwireless:ListDestinations", "iotwireless:ListDeviceProfiles", "iotwireless:ListWirelessGateways", "ivschat:GetLoggingConfiguration", "ivschat:GetRoom" "ivschat:ListLoggingConfigurations", "ivschat:ListRooms", "ivschat:ListTagsForResource", "logs:GetLogAnomalyDetector", "logs:ListLogAnomalyDetectors", "oam:GetSink" "oam:GetSinkPolicy", "oam:ListSinks", "payment-cryptography:GetAlias", "payment-cryptography:GetKey", "payment-cryptography:ListAliases", "payment-cryptography:ListKeys", "payment-cryptography:ListTagsForResource", "rds:DescribeDBProxyTargetGroups", "rds:DescribeDBProxyTargets", "rekognition:DescribeProjects", "s3:GetStorageLensGroup", "s3:ListStorageLensGroups", "s3:ListTagsForResource", "scheduler:GetScheduleGroup", "scheduler:ListScheduleGroups", "scheduler:ListTagsForResource", "ssm:GetServiceSetting", "vpc-lattice:GetAccessLogSubscription", "vpc-lattice:GetService", "vpc-lattice:GetServiceNetwork", "vpc-lattice:GetTargetGroup", "vpc-lattice:ListAccessLogSubscriptions", "vpc-lattice:ListServiceNetworks", "vpc-lattice:ListServices", "vpc-lattice:ListTagsForResource", "vpc-lattice:ListTargetGroups", and "vpc-lattice:ListTargets" | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für AWS AppConfig,, Amazon Connect AWS CloudTrail, Amazon, Amazon DevOps Guru DataZone, Identity Store AWS Glue,,, AWS IoT AWS IoT FleetWise AWS IoT Wireless, Amazon Interactive Video Service (Amazon IVS), Amazon CloudWatch Logs, Amazon CloudWatch Observability Access Manager AWS Payment Cryptography, Amazon Relational Database Service (Amazon RDS), Amazon Rekognition, Amazon Simple Storage Service (Amazon S3), Amazon EventBridge Scheduler und Amazon VPC Lattice. AWS Systems Manager | 7. November 2024 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: "app-integrations:GetApplication", "app-integrations:ListApplications", "app-integrations:ListTagsForResource", "appconfig:GetExtension", "appconfig:ListExtensions", "cloudtrail:GetInsightSelectors", "connect:DescribeQueue", "connect:DescribeRoutingProfile", "connect:DescribeSecurityProfile", "connect:ListQueueQuickConnects", "connect:ListQueues", "connect:ListRoutingProfileQueues", "connect:ListRoutingProfiles", "connect:ListSecurityProfileApplications", "connect:ListSecurityProfilePermissions", "connect:ListSecurityProfiles", "datazone:GetDomain", "datazone:ListDomains", "devops-guru:ListNotificationChannels", "glue:GetRegistry", "glue:ListRegistries", "identitystore:DescribeGroup", "identitystore:DescribeGroupMembership" "identitystore:ListGroupMemberships", "identitystore:ListGroups", "iot:DescribeThingGroup", "iot:DescribeThingType", "iot:ListThingGroups", "iot:ListThingTypes", "iotfleetwise:GetDecoderManifest", "iotfleetwise:GetFleet", "iotfleetwise:GetModelManifest", "iotfleetwise:GetSignalCatalog", "iotfleetwise:GetVehicle", "iotfleetwise:ListDecoderManifestNetworkInterfaces", "iotfleetwise:ListDecoderManifests", "iotfleetwise:ListDecoderManifestSignals", "iotfleetwise:ListFleets", "iotfleetwise:ListModelManifestNodes", "iotfleetwise:ListModelManifests", "iotfleetwise:ListSignalCatalogNodes", "iotfleetwise:ListSignalCatalogs", "iotfleetwise:ListTagsForResource", "iotfleetwise:ListVehicles", "iotwireless:GetDestination", "iotwireless:GetDeviceProfile", "iotwireless:GetWirelessGateway", "iotwireless:ListDestinations", "iotwireless:ListDeviceProfiles", "iotwireless:ListWirelessGateways", "ivschat:GetLoggingConfiguration", "ivschat:GetRoom" "ivschat:ListLoggingConfigurations", "ivschat:ListRooms", "ivschat:ListTagsForResource", "logs:GetLogAnomalyDetector", "logs:ListLogAnomalyDetectors", "oam:GetSink" "oam:GetSinkPolicy", "oam:ListSinks", "payment-cryptography:GetAlias", "payment-cryptography:GetKey", "payment-cryptography:ListAliases", "payment-cryptography:ListKeys", "payment-cryptography:ListTagsForResource", "rds:DescribeDBProxyTargetGroups", "rds:DescribeDBProxyTargets", "rekognition:DescribeProjects", "s3:GetStorageLensGroup", "s3:ListStorageLensGroups", "s3:ListTagsForResource", "scheduler:GetScheduleGroup", "scheduler:ListScheduleGroups", "scheduler:ListTagsForResource", "ssm:GetServiceSetting", "vpc-lattice:GetAccessLogSubscription", "vpc-lattice:GetService", "vpc-lattice:GetServiceNetwork", "vpc-lattice:GetTargetGroup", "vpc-lattice:ListAccessLogSubscriptions", "vpc-lattice:ListServiceNetworks", "vpc-lattice:ListServices", "vpc-lattice:ListTagsForResource", "vpc-lattice:ListTargetGroups", and "vpc-lattice:ListTargets" | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für AWS AppConfig,, Amazon Connect AWS CloudTrail, Amazon, Amazon DevOps Guru DataZone, Identity Store AWS Glue,,, AWS IoT AWS IoT FleetWise AWS IoT Wireless, Amazon Interactive Video Service (Amazon IVS), Amazon CloudWatch Logs, Amazon CloudWatch Observability Access Manager AWS Payment Cryptography, Amazon Relational Database Service (Amazon RDS), Amazon Rekognition, Amazon Simple Storage Service (Amazon S3), Amazon EventBridge Scheduler und Amazon VPC Lattice. AWS Systems Manager | 7. November 2024 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: "aoss:BatchGetCollection," "aoss:BatchGetLifecyclePolicy," "aoss:BatchGetVpcEndpoint," "aoss:GetAccessPolicy," "aoss:GetSecurityConfig," "aoss:GetSecurityPolicy," "aoss:ListAccessPolicies," "aoss:ListCollections," "aoss:ListLifecyclePolicies," "aoss:ListSecurityConfigs," "aoss:ListSecurityPolicies," "aoss:ListVpcEndpoints," "appstream:DescribeAppBlockBuilders," "backup:GetRestoreTestingPlan," "backup:GetRestoreTestingSelection", "backup:ListRestoreTestingPlans," "backup:ListRestoreTestingSelections," "cloudTrail:GetChannel, "cloudTrail:ListChannels," "glue:GetTrigger," "glue:ListTriggers, "imagebuilder:GetLifecyclePolicy," "imagebuilder:ListLifecyclePolicies," "iot:DescribeBillingGroup," "iot:ListBillingGroups," "ivs:GetEncoderConfiguration," "ivs:GetPlaybackRestrictionPolicy," "ivs:GetStage," "ivs:GetStorageConfiguration," "ivs:ListEncoderConfigurations," "ivs:ListPlaybackRestrictionPolicies," "ivs:ListStages," "ivs:ListStorageConfigurations," "mediaconnect:DescribeBridge", "mediaconnect:DescribeGatewa," "mediaconnect:ListBridges," "mediaconnect:ListGateways", "mediatailor:DescribeChannel," "mediatailor:DescribeLiveSource," "mediatailor:DescribeSourceLocation," "mediatailor:DescribeVodSource", "mediatailor:ListChannels," "mediatailor:ListLiveSources", "mediatailor:ListSourceLocations," "mediatailor:ListVodSources," "omics:GetWorkflow," "omics:ListWorkflows," "scheduler:GetSchedule," and "scheduler:ListSchedules" | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon OpenSearch Service Severless, Amazon AppStream,, AWS Backup, AWS CloudTrail AWS Glue, EC2 Image Builder AWS IoT, Amazon Interactive Video Service (Amazon IVS),, AWS Elemental MediaConnect AWS Elemental MediaTailor AWS HealthOmics, und Amazon Scheduler. EventBridge | 16. September 2024 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: "aoss:BatchGetCollection," "aoss:BatchGetLifecyclePolicy," "aoss:BatchGetVpcEndpoint," "aoss:GetAccessPolicy," "aoss:GetSecurityConfig," "aoss:GetSecurityPolicy," "aoss:ListAccessPolicies," "aoss:ListCollections," "aoss:ListLifecyclePolicies," "aoss:ListSecurityConfigs," "aoss:ListSecurityPolicies," "aoss:ListVpcEndpoints," "appstream:DescribeAppBlockBuilders," "backup:GetRestoreTestingPlan," "backup:GetRestoreTestingSelection", "backup:ListRestoreTestingPlans," "backup:ListRestoreTestingSelections," "cloudTrail:GetChannel, "cloudTrail:ListChannels," "glue:GetTrigger," "glue:ListTriggers, "imagebuilder:GetLifecyclePolicy," "imagebuilder:ListLifecyclePolicies," "iot:DescribeBillingGroup," "iot:ListBillingGroups," "ivs:GetEncoderConfiguration," "ivs:GetPlaybackRestrictionPolicy," "ivs:GetStage," "ivs:GetStorageConfiguration," "ivs:ListEncoderConfigurations," "ivs:ListPlaybackRestrictionPolicies," "ivs:ListStages," "ivs:ListStorageConfigurations," "mediaconnect:DescribeBridge", "mediaconnect:DescribeGatewa," "mediaconnect:ListBridges," "mediaconnect:ListGateways", "mediatailor:DescribeChannel," "mediatailor:DescribeLiveSource," "mediatailor:DescribeSourceLocation," "mediatailor:DescribeVodSource", "mediatailor:ListChannels," "mediatailor:ListLiveSources", "mediatailor:ListSourceLocations," "mediatailor:ListVodSources," "omics:GetWorkflow," "omics:ListWorkflows," "scheduler:GetSchedule," and "scheduler:ListSchedules" | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon OpenSearch Service Severless, Amazon AppStream,, AWS Backup, AWS CloudTrail AWS Glue, EC2 Image Builder AWS IoT, Amazon Interactive Video Service (Amazon IVS),, AWS Elemental MediaConnect AWS Elemental MediaTailor AWS HealthOmics, und Amazon Scheduler. EventBridge | 16. September 2024 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: "elasticfilesystem:DescribeTags," "redshift:DescribeTags," and "ssm-sap:ListTagsForResource" | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon Elastic File System (Amazon EFS), Amazon Redshift und AWS Systems Manager für SAP. | 17. Juni 2024 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: "elasticfilesystem:DescribeTags," "redshift:DescribeTags," and "ssm-sap:ListTagsForResource" | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon Elastic File System (Amazon EFS), Amazon Redshift und AWS Systems Manager für SAP. | 17. Juni 2024 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: "aps:DescribeAlertManagerDefinition," "cloudwatch:DescribeAlarmsForMetric," "cognito-identity:DescribeIdentityPool, "cognito-identity:GetPrincipalTagAttributeMap," "elasticache:DescribeCacheSecurityGroups," "elasticache:DescribeUserGroups," "elasticache:DescribeUsers," "elasticache:DescribeGlobalReplicationGroups," "fsx:DescribeDataRepositoryAssociations," "glue:GetDatabase," "glue:GetDatabases," "iam:ListUsers," "lambda:GetLayerVersion," "lambda:ListLayers," "lambda:ListLayerVersions," "ram:GetPermission," "ram:ListPermissionAssociations," "ram:ListPermissions," "ram:ListPermissionVersions," "redshift-serverless:GetNamespace," "redshift-serverless:GetWorkgroup," "redshift-serverless:ListNamespaces," "redshift-serverless:ListTagsForResource," "redshift-serverless:ListWorkgroups," "sagemaker:DescribeInferenceExperiment," "sagemaker:ListInferenceExperiments," and "sns:GetSMSSandboxAccountStatus" | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon Managed Service for Prometheus, Amazon CloudWatch, Amazon Cognito, Amazon, ElastiCache, AWS Identity and Access Management (IAM) FSx AWS Glue,,, Amazon Redshift Serverless AWS Lambda AWS RAM, Amazon SageMaker AI und Amazon Simple Notification Service (Amazon SNS). | 22. Februar 2024 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: "aps:DescribeAlertManagerDefinition," "cloudwatch:DescribeAlarmsForMetric," "cognito-identity:DescribeIdentityPool, "cognito-identity:GetPrincipalTagAttributeMap," "elasticache:DescribeCacheSecurityGroups," "elasticache:DescribeUserGroups," "elasticache:DescribeUsers," "elasticache:DescribeGlobalReplicationGroups," "fsx:DescribeDataRepositoryAssociations," "glue:GetDatabase," "glue:GetDatabases," "iam:ListUsers," "lambda:GetLayerVersion," "lambda:ListLayers," "lambda:ListLayerVersions," "ram:GetPermission," "ram:ListPermissionAssociations," "ram:ListPermissions," "ram:ListPermissionVersions," "redshift-serverless:GetNamespace," "redshift-serverless:GetWorkgroup," "redshift-serverless:ListNamespaces," "redshift-serverless:ListTagsForResource," "redshift-serverless:ListWorkgroups," "sagemaker:DescribeInferenceExperiment," "sagemaker:ListInferenceExperiments," and "sns:GetSMSSandboxAccountStatus" | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon Managed Service for Prometheus, Amazon CloudWatch, Amazon Cognito, Amazon, ElastiCache, AWS Identity and Access Management (IAM) FSx AWS Glue,,, Amazon Redshift Serverless AWS Lambda AWS RAM, Amazon SageMaker AI und Amazon Simple Notification Service (Amazon SNS). | 22. Februar 2024 |
| [AWSConfigUserAccess](#security-iam-awsmanpol-AWSConfigUserAccess)— beginnt AWS Config mit der Nachverfolgung von Änderungen für diese verwaltete Richtlinie AWS | Diese Richtlinie ermöglicht den Zugriff auf die Nutzung AWS Config, einschließlich der Suche nach Tags in Ressourcen und dem Lesen aller Tags. Dadurch wird keine Berechtigung zur Konfiguration erteilt AWS Config, wofür Administratorrechte erforderlich sind. | 22. Februar 2024 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: "appconfig:GetExtensionAssociation," "appconfig:ListExtensionAssociations," "aps:DescribeLoggingConfiguration," "dms:DescribeReplicationTaskAssessmentRuns," "iam:GetOpenIDConnectProvider," "iam:ListOpenIDConnectProviders," "kafka:DescribeVpcConnection," "kafka:GetClusterPolicy," "kafka:ListVpcConnections," "logs:DescribeMetricFilters," "organizations:ListDelegatedAdministrators," "s3:GetBucketPolicyStatus," "s3express:GetBucketPolicy," and "s3express:ListAllMyDirectoryBuckets" | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für AWS AppConfig Amazon Managed Service for Prometheus, AWS Database Migration Service (AWS DMS), (AWS Identity and Access Management) IAM, Amazon Managed Streaming for Apache Kafka (Amazon MSK), Amazon CloudWatch Logs und Amazon Simple Storage Service (Amazon S3). AWS Organizations | 5. Dezember 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: "appconfig:GetExtensionAssociation," "appconfig:ListExtensionAssociations," "aps:DescribeLoggingConfiguration," "dms:DescribeReplicationTaskAssessmentRuns," "iam:GetOpenIDConnectProvider," "iam:ListOpenIDConnectProviders," "kafka:DescribeVpcConnection," "kafka:GetClusterPolicy," "kafka:ListVpcConnections," "logs:DescribeMetricFilters," "organizations:ListDelegatedAdministrators," "s3:GetBucketPolicyStatus," "s3express:GetBucketPolicy," and "s3express:ListAllMyDirectoryBuckets" | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für AWS AppConfig Amazon Managed Service for Prometheus, AWS Database Migration Service (AWS DMS), (AWS Identity and Access Management) IAM, Amazon Managed Streaming for Apache Kafka (Amazon MSK), Amazon CloudWatch Logs und Amazon Simple Storage Service (Amazon S3). AWS Organizations | 05. Dezember 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: "backup:DescribeProtectedResource," "cognito-identity:GetIdentityPoolRoles," "cognito-identity:ListIdentityPools," "cognito-identity:ListTagsForResource," "cognito-idp:DescribeIdentityProvider," "cognito-idp:DescribeResourceServer," "cognito-idp:DescribeUserPool," "cognito-idp:DescribeUserPoolClient," "cognito-idp:DescribeUserPoolDomain," "cognito-idp:GetGroup," "cognito-idp:GetUserPoolMfaConfig," "cognito-idp:ListGroups," "cognito-idp:ListIdentityProviders," "cognito-idp:ListResourceServers," "cognito-idp:ListUserPoolClients," "cognito-idp:ListUserPools," "cognito-idp:ListTagsForResource," "connect:DescribeEvaluationForm," "connect:DescribeInstanceStorageConfig," "connect:DescribePrompt," "connect:DescribeRule," "connect:DescribeUser," "connect:GetTaskTemplate," "connect:ListApprovedOrigins," "connect:ListEvaluationForms," "connect:ListInstanceStorageConfigs," "connect:ListIntegrationAssociations," "connect:ListPrompts," "connect:ListRules," "connect:ListSecurityKeys," "connect:ListTagsForResource," "connect:ListTaskTemplates," "connect:ListUsers," "emr-containers:DescribeVirtualCluster," "emr-containers:ListVirtualClusters," "emr-serverless:GetApplication," "emr-serverless:ListApplications," "groundstation:GetDataflowEndpointGroup," "groundstation:ListDataflowEndpointGroups," "m2:GetEnvironment," "m2:ListEnvironments," "m2:ListTagsForResource," "memorydb:DescribeAcls," "memorydb:DescribeClusters," "memorydb:DescribeParameterGroups," "memorydb:DescribeParameters," "memorydb:DescribeSubnetGroups," "organizations:ListRoots," "quicksight:DescribeAccountSubscription," "quicksight:DescribeDataSetRefreshProperties," "rds:DescribeEngineDefaultClusterParameters," "redshift:DescribeEndpointAccess," "redshift:DescribeEndpointAuthorization," "route53:GetChange," "route53:ListCidrBlocks," "route53:ListCidrLocations," "serviceCatalog:DescribePortfolioShares," "transfer:DescribeProfile," and "transfer:ListProfiles" | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon Cognito, Amazon Connect, Amazon EMR,, AWS Ground Station, Amazon MemoryDB AWS Mainframe Modernization,, Amazon Quick AWS Organizations, Amazon Relational Database Service (Amazon RDS), Amazon Redshift, Amazon Route 53, und. AWS Service Catalog AWS Transfer Family | 17. November 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: "Sid": "AWSConfigServiceRolePolicyStatementID," "Sid": "AWSConfigSLRLogStatementID," "Sid": "AWSConfigSLRLogEventStatementID," and "Sid": "AWSConfigSLRApiGatewayStatementID" | Diese Richtlinie fügt jetzt Sicherheitskennungen (SID) für `AWSConfigServiceRolePolicyStatementID`, `AWSConfigSLRLogStatementID`, `AWSConfigSLRLogEventStatementID` und `AWSConfigSLRApiGatewayStatementID` hinzu. | 17. November 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: "backup:DescribeProtectedResource," "cognito-identity:GetIdentityPoolRoles," "cognito-identity:ListIdentityPools," "cognito-identity:ListTagsForResource," "cognito-idp:DescribeIdentityProvider," "cognito-idp:DescribeResourceServer," "cognito-idp:DescribeUserPool," "cognito-idp:DescribeUserPoolClient," "cognito-idp:DescribeUserPoolDomain," "cognito-idp:GetGroup," "cognito-idp:GetUserPoolMfaConfig," "cognito-idp:ListGroups," "cognito-idp:ListIdentityProviders," "cognito-idp:ListResourceServers," "cognito-idp:ListUserPoolClients," "cognito-idp:ListUserPools," "cognito-idp:ListTagsForResource," "connect:DescribeEvaluationForm," "connect:DescribeInstanceStorageConfig," "connect:DescribePrompt," "connect:DescribeRule," "connect:DescribeUser," "connect:GetTaskTemplate," "connect:ListApprovedOrigins," "connect:ListEvaluationForms," "connect:ListInstanceStorageConfigs," "connect:ListIntegrationAssociations," "connect:ListPrompts," "connect:ListRules," "connect:ListSecurityKeys," "connect:ListTagsForResource," "connect:ListTaskTemplates," "connect:ListUsers," "emr-containers:DescribeVirtualCluster," "emr-containers:ListVirtualClusters," "emr-serverless:GetApplication," "emr-serverless:ListApplications," "groundstation:GetDataflowEndpointGroup," "groundstation:ListDataflowEndpointGroups," "m2:GetEnvironment," "m2:ListEnvironments," "m2:ListTagsForResource," "memorydb:DescribeAcls," "memorydb:DescribeClusters," "memorydb:DescribeParameterGroups," "memorydb:DescribeParameters," "memorydb:DescribeSubnetGroups," "organizations:ListRoots," "quicksight:DescribeAccountSubscription," "quicksight:DescribeDataSetRefreshProperties," "rds:DescribeEngineDefaultClusterParameters," "redshift:DescribeEndpointAccess," "redshift:DescribeEndpointAuthorization," "route53:GetChange," "route53:ListCidrBlocks," "route53:ListCidrLocations," "serviceCatalog:DescribePortfolioShares," "transfer:DescribeProfile," and "transfer:ListProfiles" | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon Cognito, Amazon Connect, Amazon EMR,, AWS Ground Station, Amazon MemoryDB AWS Mainframe Modernization,, Amazon Quick AWS Organizations, Amazon Relational Database Service (Amazon RDS), Amazon Redshift, Amazon Route 53, und. AWS Service Catalog AWS Transfer Family | 17. November 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: "Sid": "AWSConfigServiceRolePolicyStatementID," "Sid": "AWSConfigSLRLogStatementID," "Sid": "AWSConfigSLRLogEventStatementID," and "Sid": "AWSConfigSLRApiGatewayStatementID" | Diese Richtlinie fügt jetzt Sicherheitskennungen (SID) für `AWSConfigServiceRolePolicyStatementID`, `AWSConfigSLRLogStatementID`, `AWSConfigSLRLogEventStatementID` und `AWSConfigSLRApiGatewayStatementID` hinzu. | 17. November 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: "acm-pca:GetCertificateAuthorityCertificate," "appmesh:DescribeMesh," "appmesh:ListGatewayRoutes," "connect:DescribeInstance," "connect:DescribeQuickConnect," "connect:ListQuickConnects," "ecs:DescribeCapacityProviders," "evidently:GetSegment," "evidently:ListSegments," "grafana:DescribeWorkspace," "grafana:DescribeWorkspaceAuthentication," "grafana:DescribeWorkspaceConfiguration," "grafana:DescribeWorkspaceConfiguration," "guardduty:GetMemberDetectors," "inspector2:BatchGetAccountStatus," "inspector2:GetDelegatedAdminAccount," "inspector2:ListMembers," "iot:DescribeCACertificate," "iot:ListCACertificates," "iot:ListTagsForResource," "iottwinmaker:GetSyncJob," "iottwinmaker:ListSyncJobs," "kafka:ListTagsForResource," "kafkaconnect:DescribeConnector," "kafkaconnect:ListConnectors," "lambda:GetCodeSigningConfig," "lambda:ListCodeSigningConfigs," "lambda:ListTags," "networkmanager:GetConnectPeer," "organizations:DescribeOrganization," "organizations:ListTargetsForPolicy," "sagemaker:DescribeDataQualityJob," "sagemaker:DescribeModelExplainabilityJob," "sagemaker:ListDataQualityJob," and "sagemaker:ExplainabilityJob" | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für AWS Private CA,, Amazon Connect AWS App Mesh, Amazon Elastic Container Service (Amazon ECS), Amazon CloudWatch Evidly, Amazon Managed Grafana, Amazon, Amazon Inspector GuardDuty,, AWS IoT AWS IoT TwinMaker, Amazon Managed Streaming for Apache Kafka (Amazon MSK),, AWS Lambda AWS Network Manager AWS Organizations, und Amazon AI. SageMaker | 04. Oktober 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: "acm-pca:GetCertificateAuthorityCertificate," "appmesh:DescribeMesh," "appmesh:ListGatewayRoutes," "connect:DescribeInstance," "connect:DescribeQuickConnect," "connect:ListQuickConnects," "ecs:DescribeCapacityProviders," "evidently:GetSegment," "evidently:ListSegments," "grafana:DescribeWorkspace," "grafana:DescribeWorkspaceAuthentication," "grafana:DescribeWorkspaceConfiguration," "grafana:DescribeWorkspaceConfiguration," "guardduty:GetMemberDetectors," "inspector2:BatchGetAccountStatus," "inspector2:GetDelegatedAdminAccount," "inspector2:ListMembers," "iot:DescribeCACertificate," "iot:ListCACertificates," "iot:ListTagsForResource," "iottwinmaker:GetSyncJob," "iottwinmaker:ListSyncJobs," "kafka:ListTagsForResource," "kafkaconnect:DescribeConnector," "kafkaconnect:ListConnectors," "lambda:GetCodeSigningConfig," "lambda:ListCodeSigningConfigs," "lambda:ListTags," "networkmanager:GetConnectPeer," "organizations:DescribeOrganization," "organizations:ListTargetsForPolicy," "sagemaker:DescribeDataQualityJob," "sagemaker:DescribeModelExplainabilityJob," "sagemaker:ListDataQualityJob," and "sagemaker:ExplainabilityJob" | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für AWS Private CA,, Amazon Connect AWS App Mesh, Amazon Elastic Container Service (Amazon ECS), Amazon CloudWatch Evidly, Amazon Managed Grafana, Amazon, Amazon Inspector GuardDuty,, AWS IoT AWS IoT TwinMaker, Amazon Managed Streaming for Apache Kafka (Amazon MSK),, AWS Lambda AWS Network Manager AWS Organizations, und Amazon AI. SageMaker | 04. Oktober 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Entfernen "ssm:GetParameter" | Diese Richtlinie entfernt jetzt Berechtigungen für AWS Systems Manager (Systems Manager). | 6. September 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: "appmesh:DescribeGatewayRoute","appstream:DescribeStacks", "aps:ListTagsForResource", "cloudfront:GetFunction", "cloudfront:GetOriginAccessControl", "cloudfront:ListFunctions", "cloudfront:ListOriginAccessControls", "codeartifact:ListPackages", "codeartifact:ListPackageVersions", "codebuild:BatchGetReportGroups", "codebuild:ListReportGroups", "connect:ListInstanceAttributes", "connect:ListInstances", "glue:GetPartition", "glue:GetPartitions", "guardduty:GetAdministratorAccount", "iam:ListInstanceProfileTags", "inspector2:ListFilters", "iot:DescribeJobTemplate", "iot:DescribeProvisioningTemplate", "iot:ListJobTemplates", "iot:ListProvisioningTemplates", "iottwinmaker:GetComponentType", "iottwinmaker:ListComponentTypes", "iotwireless:GetFuotaTask", "iotwireless:GetMulticastGroup", "iotwireless:ListFuotaTasks", "iotwireless:ListMulticastGroups", "kafka:ListScramSecrets", "macie2:ListTagsForResource", "mediaconnect:ListTagsForResource", "networkmanager:GetConnectPeer", "networkmanager:ListConnectPeers", "organizations:DescribeEffectivePolicy", "organizations:DescribeResourcePolicy", "resource-explorer-2:GetIndex", "resource-explorer-2:ListIndexes", "resource-explorer-2:ListTagsForResource", "route53:ListCidrCollections", "s3:GetMultiRegionAccessPointPolicy", "s3:GetMultiRegionAccessPointPolicyStatus", and "sns:GetDataProtectionPolicy" | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für AWS App Mesh,, Amazon AWS CloudFormation, Amazon Connect CloudFront AWS CodeArtifact AWS CodeBuild,, Amazon AWS Glue, AWS Identity and Access Management (IAM) GuardDuty, Amazon Inspector,,, AWS IoT AWS IoT TwinMaker AWS IoT Wireless, Amazon Managed Streaming for Apache Kafka, Amazon Macie,,, AWS Elemental MediaConnect, AWS Network Manager AWS Organizations, Amazon Route 53 AWS Resource Explorer, Amazon Simple Storage Service (Amazon S3) und Amazon Simple Notification Service (Amazon SNS). | 28. Juli 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: "appmesh:DescribeGatewayRoute", "appstream:DescribeStacks", "aps:ListTagsForResource", "cloudfront:GetFunction", "cloudfront:GetOriginAccessControl", "cloudfront:ListFunctions", "cloudfront:ListOriginAccessControls", "codeartifact:ListPackages", "codeartifact:ListPackageVersions", "codebuild:BatchGetReportGroups", "codebuild:ListReportGroups", "connect:ListInstanceAttributes", "connect:ListInstances", "glue:GetPartition", "glue:GetPartitions", "guardduty:GetAdministratorAccount", "iam:ListInstanceProfileTags", "inspector2:ListFilters", "iot:DescribeJobTemplate", "iot:DescribeProvisioningTemplate", "iot:ListJobTemplates", "iot:ListProvisioningTemplates", "iottwinmaker:GetComponentType", "iottwinmaker:ListComponentTypes", "iotwireless:GetFuotaTask", "iotwireless:GetMulticastGroup", "iotwireless:ListFuotaTasks", "iotwireless:ListMulticastGroups", "kafka:ListScramSecrets", "macie2:ListTagsForResource", "mediaconnect:ListTagsForResource", "networkmanager:GetConnectPeer", "networkmanager:ListConnectPeers", "organizations:DescribeEffectivePolicy", "organizations:DescribeResourcePolicy", "resource-explorer-2:GetIndex", "resource-explorer-2:ListIndexes", "resource-explorer-2:ListTagsForResource", "route53:ListCidrCollections", "s3:GetMultiRegionAccessPointPolicy", "s3:GetMultiRegionAccessPointPolicyStatus", "sns:GetDataProtectionPolicy", "ssm:DescribeParameters", "ssm:GetParameter", and "ssm:ListTagsForResource" | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für AWS App Mesh Amazon WorkSpaces Applications, Amazon AWS CloudFormation,, CloudFront, Amazon Connect AWS CodeArtifact AWS CodeBuild,, Amazon AWS Glue, AWS Identity and Access Management (IAM) GuardDuty, Amazon Inspector,, AWS IoT AWS IoT TwinMaker AWS IoT Wireless, Amazon Managed Streaming for Apache Kafka, Amazon Macie,,,, AWS Elemental MediaConnect AWS Network Manager, Amazon Route 53 AWS Organizations AWS Resource Explorer, Amazon Simple Storage Service (Amazon S3), Amazon Simple Notification Service (Amazon SNS) und Amazon EC2 Systems Manager (SSM). | 28. Juli 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: "amplify:GetBranch", "amplify:ListBranches", "app-integrations:GetEventIntegration", "app-integrations:ListEventIntegrationAssociations", "app-integrations:ListEventIntegrations", "appmesh:DescribeRoute", "appmesh:ListRoutes", "aps:ListRuleGroupsNamespaces", "athena:GetPreparedStatement", "athena:ListPreparedStatements", "batch:DescribeSchedulingPolicies", "batch:ListSchedulingPolicies", "cloudformation:ListTypes", "cloudtrail:ListTrails", "codeartifact:ListDomains", "codeguru-profiler:DescribeProfilingGroup", "codeguru-profiler:GetNotificationConfiguration", "codeguru-profiler:GetPolicy", "codeguru-profiler:ListProfilingGroups", "ds:DescribeDomainControllers", “dynamodb:DescribeTableReplicaAutoScaling" "dynamodb:DescribeTimeToLive", "ec2:DescribeTrafficMirrorFilters", "evidently:GetLaunch", "evidently:ListLaunches", "forecast:DescribeDatasetGroup", "forecast:ListDatasetGroups", "greengrass:DescribeComponent", "greengrass:GetComponent", "greengrass:ListComponents", "greengrass:ListComponentVersions", "groundstation:GetMissionProfile", "groundstation:ListMissionProfiles", "iam:ListGroups", "iam:ListRoles", "kafka:DescribeConfiguration", "kafka:DescribeConfigurationRevision", "kafka:ListConfigurations", "lightsail:GetRelationalDatabases" "logs:ListTagsLogGroup", "mediaconnect:DescribeFlow", "mediaconnect:ListFlows", "mediatailor:GetPlaybackConfiguration", "mediatailor:ListPlaybackConfigurations", "mobiletargeting:GetApplicationSettings", "mobiletargeting:GetEmailTemplate", "mobiletargeting:GetEventStream", "mobiletargeting:ListTemplates", "networkmanager:GetCustomerGatewayAssociations", "networkmanager:GetLinkAssociations", "organizations:DescribeAccount", "organizations:DescribeOrganizationalUnit", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent", "organizations:ListTagsForResource", "personalize:DescribeDataset", "personalize:DescribeDatasetGroup", "personalize:DescribeSchema", "personalize:DescribeSolution", "personalize:ListDatasetGroups", "personalize:ListDatasetImportJobs", "personalize:ListDatasets", "personalize:ListSchemas", "personalize:ListSolutions", "personalize:ListTagsForResource", "quicksight:ListTemplates", "refactor-spaces:GetEnvironment", "refactor-spaces:GetService", "refactor-spaces:ListApplications", "refactor-spaces:ListEnvironments", "refactor-spaces:ListServices", "s3:GetAccessPointPolicyStatusForObjectLambda", "sagemaker:DescribeDeviceFleet", "sagemaker:DescribeFeatureGroup", "sagemaker:ListDeviceFleets", "sagemaker:ListFeatureGroups", "sagemaker:ListModels", and "transfer:ListTagsForResource" | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon Connect AWS Amplify, Amazon Managed Service for Prometheus AWS App Mesh, Amazon Athena,,,, Amazon, AWS Batch, Amazon DynamoDB AWS CloudFormation AWS CloudTrail AWS CodeArtifact CodeGuru AWS Directory Service, Amazon Elastic Compute Cloud (Amazon EC2), Amazon CloudWatch Evidly, Amazon Forecast,,, (IAM) AWS Organizations, Amazon Managed Streaming for Apache Kafka AWS Identity and Access Management (Amazon MSK), Amazon Lightsail, Amazon CloudWatch Logs,,, Amazon Pinpoint, Amazon Virtual Private Cloud (Amazon VPC AWS IoT Greengrass AWS Ground Station AWS Elemental MediaConnect AWS Elemental MediaTailor), Amazon Personalize, Amazon Quick AWS Migration Hub Refactor Spaces, Amazon Simple Storage Service (Amazon S3), Amazon SageMaker AI, AWS Transfer Family. | 13. Juni 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: "amplify:GetBranch", "amplify:ListBranches", "app-integrations:GetEventIntegration", "app-integrations:ListEventIntegrationAssociations", "app-integrations:ListEventIntegrations", "appmesh:DescribeRoute", "appmesh:ListRoutes", "aps:ListRuleGroupsNamespaces", "athena:GetPreparedStatement", "athena:ListPreparedStatements", "batch:DescribeSchedulingPolicies", "batch:ListSchedulingPolicies", "cloudformation:ListTypes", "cloudtrail:ListTrails", "codeartifact:ListDomains", "codeguru-profiler:DescribeProfilingGroup", "codeguru-profiler:GetNotificationConfiguration", "codeguru-profiler:GetPolicy", "codeguru-profiler:ListProfilingGroups", "ds:DescribeDomainControllers", "dynamodb:DescribeTableReplicaAutoScaling", "dynamodb:DescribeTimeToLive", "ec2:DescribeTrafficMirrorFilters", "evidently:GetLaunch", "evidently:ListLaunches", "forecast:DescribeDatasetGroup", "forecast:ListDatasetGroups", "greengrass:DescribeComponent", "greengrass:GetComponent", "greengrass:ListComponents", "greengrass:ListComponentVersions", "groundstation:GetMissionProfile", "groundstation:ListMissionProfiles", "iam:ListGroups", "iam:ListRoles", "kafka:DescribeConfiguration", "kafka:DescribeConfigurationRevision", "kafka:ListConfigurations", "lightsail:GetRelationalDatabases", "logs:ListTagsLogGroup", "mediaconnect:DescribeFlow", "mediaconnect:ListFlows", "mediatailor:GetPlaybackConfiguration", "mediatailor:ListPlaybackConfigurations", "mobiletargeting:GetApplicationSettings", "mobiletargeting:GetEmailTemplate", "mobiletargeting:GetEventStream", "mobiletargeting:ListTemplates", "networkmanager:GetCustomerGatewayAssociations", "networkmanager:GetLinkAssociations", "organizations:DescribeAccount", "organizations:DescribeOrganizationalUnit", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent", "organizations:ListTagsForResource", "personalize:DescribeDataset", "personalize:DescribeDatasetGroup", "personalize:DescribeSchema", "personalize:DescribeSolution", "personalize:ListDatasetGroups", "personalize:ListDatasetImportJobs", "personalize:ListDatasets", "personalize:ListSchemas", "personalize:ListSolutions", "personalize:ListTagsForResource", "quicksight:ListTemplates", "refactor-spaces:GetEnvironment", "refactor-spaces:GetService", "refactor-spaces:ListApplications", "refactor-spaces:ListEnvironments", "refactor-spaces:ListServices", "s3:GetAccessPointPolicyStatusForObjectLambda", "sagemaker:DescribeDeviceFleet", "sagemaker:DescribeFeatureGroup", "sagemaker:ListDeviceFleets", "sagemaker:ListFeatureGroups", "sagemaker:ListModels", and "transfer:ListTagsForResource" | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon Connect AWS Amplify, Amazon Managed Service for Prometheus AWS App Mesh, Amazon Athena,,,, Amazon,, Amazon DynamoDB AWS Batch AWS CloudFormation AWS CloudTrail AWS CodeArtifact CodeGuru AWS Directory Service, Amazon Elastic Compute Cloud (Amazon EC2), Amazon CloudWatch Evidly, Amazon Forecast,,, (IAM) AWS Organizations, Amazon Managed Streaming for Apache Kafka AWS Identity and Access Management (Amazon MSK), Amazon Lightsail, Amazon CloudWatch Logs,,, Amazon Pinpoint, Amazon Virtual Private Cloud (Amazon V) PC) AWS IoT Greengrass AWS Ground Station AWS Elemental MediaConnect AWS Elemental MediaTailor, Amazon Personalize, Amazon Quick AWS Migration Hub Refactor Spaces, Amazon Simple Storage Service (Amazon S3), Amazon SageMaker AI, AWS Transfer Family. | 13. Juni 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: amplify:GetApp, amplify:ListApps, appmesh:DescribeVirtualGateway, appmesh:DescribeVirtualNode, appmesh:DescribeVirtualRouter, appmesh:DescribeVirtualService, appmesh:ListMeshes, appmesh:ListTagsForResource, appmesh:ListVirtualGateways, appmesh:ListVirtualNodes, appmesh:ListVirtualRouters, appmesh:ListVirtualServices, apprunner:DescribeVpcConnector, apprunner:ListVpcConnectors, cloudformation:ListTypes, cloudfront:ListResponseHeadersPolicies, codeartifact:ListRepositories, ds:DescribeEventTopics, ds:ListLogSubscriptions, GetInstanceTypesFromInstanceRequirement ec2:GetManagedPrefixListEntries, kendra:DescribeIndex, kendra:ListIndices, kendra:ListTagsForResource, logs:DescribeDestinations, logs:GetDataProtectionPolicy, macie2:DescribeOrganizationConfiguration, macie2:GetAutomatedDiscoveryConfiguration, macie2:GetClassificationExportConfiguration, macie2:GetCustomDataIdentifier, macie2:GetFindingsPublicationConfiguration, macie2:ListCustomDataIdentifiers, mobiletargeting:GetEmailChannel, refactor-spaces:GetEnvironment, refactor-spaces:ListEnvironments, resiliencehub:ListTagsForResource, route53:GetDNSSEC, sagemaker:DescribeDomain, sagemaker:DescribeModelBiasJobDefinition, sagemaker:DescribeModelQualityJobDefinition, sagemaker:DescribePipeline, sagemaker:DescribeProject, sagemaker:ListDomains, sagemaker:ListModelBiasJobDefinitions, sagemaker:ListModelQualityJobDefinitions, sagemaker:ListPipelines, sagemaker:ListProjects, transfer:DescribeAgreement, transfer:DescribeCertificate, transfer:ListAgreements, transfer:ListCertificates, and waf-regional:ListLoggingConfigurations | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon Managed Workflows für AWS Amplify, AWS App Mesh, AWS App Runner, Amazon CloudFront AWS CodeArtifact, Amazon Elastic Compute Cloud, Amazon Kendra, Amazon Macie, Amazon Route 53, Amazon SageMaker AI, Amazon Pinpoint AWS Transfer Family,, AWS Migration Hub AWS Resilience Hub, Amazon CloudWatch, AWS Directory Service und. AWS WAF | 13. April 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: amplify:GetApp, amplify:ListApps, appmesh:DescribeVirtualGateway, appmesh:DescribeVirtualNode, appmesh:DescribeVirtualRouter, appmesh:DescribeVirtualService, appmesh:ListMeshes, appmesh:ListTagsForResource, appmesh:ListVirtualGateways, appmesh:ListVirtualNodes, appmesh:ListVirtualRouters, appmesh:ListVirtualServices, apprunner:DescribeVpcConnector, apprunner:ListVpcConnectors, cloudformation:ListTypes, cloudfront:ListResponseHeadersPolicies, codeartifact:ListRepositories, ds:DescribeEventTopics, ds:ListLogSubscriptions, ec2:GetInstanceTypesFromInstanceRequirement, ec2:GetManagedPrefixListEntries, kendra:DescribeIndex, kendra:ListIndices, kendra:ListTagsForResource, logs:DescribeDestinations, logs:GetDataProtectionPolicy, macie2:DescribeOrganizationConfiguration, macie2:GetAutomatedDiscoveryConfiguration, macie2:GetClassificationExportConfiguration, macie2:GetCustomDataIdentifier, macie2:GetFindingsPublicationConfiguration, macie2:ListCustomDataIdentifiers, mobiletargeting:GetEmailChannel, refactor-spaces:GetEnvironment, refactor-spaces:ListEnvironments, resiliencehub:ListTagsForResource, route53:GetDNSSEC, sagemaker:DescribeDomain, sagemaker:DescribeModelBiasJobDefinition, sagemaker:DescribeModelQualityJobDefinition, sagemaker:DescribePipeline, sagemaker:DescribeProject, sagemaker:ListDomains, sagemaker:ListModelBiasJobDefinitions, sagemaker:ListModelQualityJobDefinitions, sagemaker:ListPipelines, sagemaker:ListProjects, transfer:DescribeAgreement, transfer:DescribeCertificate, transfer:ListAgreements, transfer:ListCertificates, and waf-regional:ListLoggingConfigurations | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon Managed Workflows für AWS Amplify, AWS App Mesh, AWS App Runner, Amazon CloudFront AWS CodeArtifact, Amazon Elastic Compute Cloud, Amazon Kendra, Amazon Macie, Amazon Route 53, Amazon SageMaker AI, Amazon Pinpoint AWS Transfer Family,, AWS Migration Hub AWS Resilience Hub, Amazon CloudWatch, AWS Directory Service und. AWS WAF | 13. April 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: appflow:DescribeFlow, appflow:ListFlows, appflow:ListTagsForResource, apprunner:DescribeService, apprunner:ListServices, apprunner:ListTagsForResource, appstream:DescribeApplications, appstream:DescribeFleets, cloudfront:GetResponseHeadersPolicy, cloudwatch:ListTagsForResource, codeartifact:DescribeRepository, codeartifact:GetRepositoryPermissionsPolicy, codeartifact:ListTagsForResource, codecommit:GetRepository, codecommit:GetRepositoryTriggers, codecommit:ListRepositories, codecommit:ListTagsForResource, devicefarm:GetInstanceProfile, devicefarm:ListInstanceProfiles, devicefarm:ListProjects, evidently:GetProject, evidently:ListProjects, evidently:ListTagsForResource, forecast:DescribeDataset, forecast:ListDatasets, forecast:ListTagsForResource, groundstation:GetConfig, groundstation:ListConfigs, groundstation:ListTagsForResource, iam:GetInstanceProfile, iam:GetSAMLProvider, iam:GetServerCertificate, iam:ListAccessKeys, iam:ListGroups, iam:ListInstanceProfiles, iam:ListMFADevices, iam:ListMFADeviceTags, iam:ListRoles, iam:ListSAMLProviders, iot:DescribeFleetMetric, iot:ListFleetMetrics, memorydb:DescribeUsers, memorydb:ListTags, mobiletargeting:GetApp, mobiletargeting:GetCampaigns, networkmanager:GetDevices, networkmanager:GetLinks, networkmanager:GetSites, panorama:ListNodes, rds:DescribeDBProxyEndpoints, redshift:DescribeScheduledActions, sagemaker:DescribeAppImageConfig, sagemaker:DescribeImage, sagemaker:DescribeImageVersion, sagemaker:ListAppImageConfigs, sagemaker:ListImages, and sagemaker:ListImageVersions | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon Managed Workflows for Amazon AppFlow, AWS App Runner Amazon WorkSpaces Applications, Amazon, Amazon CloudFront,, CloudWatch, AWS CodeArtifact AWS CodeCommit, Amazon CloudWatch Evidly AWS Device Farm, Amazon Forecast AWS Ground Station, AWS Identity and Access Management (IAM),, Amazon MemoryDB AWS IoT, Amazon Pinpoint,,, Amazon Relational Database Service (Amazon RDS), Amazon Redshift und Amazon AI. AWS Network Manager AWS Panorama SageMaker | 30. März 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: appflow:DescribeFlow, appflow:ListFlows, appflow:ListTagsForResource, apprunner:DescribeService, apprunner:ListServices, apprunner:ListTagsForResource, appstream:DescribeApplications, appstream:DescribeFleets, cloudformation:ListTypes, cloudfront:GetResponseHeadersPolicy, cloudfront:ListDistributions, cloudwatch:ListTagsForResource, codeartifact:DescribeRepository, codeartifact:GetRepositoryPermissionsPolicy, codeartifact:ListTagsForResource, codecommit:GetRepository, codecommit:GetRepositoryTriggers, codecommit:ListRepositories, codecommit:ListTagsForResource, devicefarm:GetInstanceProfile, devicefarm:ListInstanceProfiles, devicefarm:ListProjects, ec2:DescribeTrafficMirrorFilters, evidently:GetProject, evidently:ListProjects, evidently:ListTagsForResource, forecast:DescribeDataset, forecast:ListDatasets, forecast:ListTagsForResource, groundstation:GetConfig, groundstation:ListConfigs, groundstation:ListTagsForResource, iam:GetInstanceProfile, iam:GetSAMLProvider, iam:GetServerCertificate, iam:ListAccessKeys, iam:ListGroups, iam:ListInstanceProfiles, iam:ListMFADevices, iam:ListMFADeviceTags, iam:ListRoles, iam:ListSAMLProviders, iot:DescribeFleetMetric, iot:ListFleetMetrics, memorydb:DescribeUsers, memorydb:ListTags, mobiletargeting:GetApp, mobiletargeting:GetCampaigns, networkmanager:GetDevices, networkmanager:GetLinks, networkmanager:GetSites, panorama:ListNodes, rds:DescribeDBProxyEndpoints, redshift:DescribeScheduledActions, sagemaker:DescribeAppImageConfig, sagemaker:DescribeImage, sagemaker:DescribeImageVersion, sagemaker:ListAppImageConfigs, sagemaker:ListImages, and sagemaker:ListImageVersions | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon Managed Workflows for Amazon AppFlow, Amazon WorkSpaces Applications AWS App Runner, Amazon AWS CloudFormation, Amazon CloudFront,,, CloudWatch AWS CodeArtifact AWS CodeCommit AWS Device Farm, Amazon Elastic Compute Cloud (Amazon EC2), Amazon CloudWatch Evidently, Amazon Forecast, AWS Identity and Access Management (IAM) AWS Ground Station,, Amazon MemoryDB AWS IoT, Amazon Pinpoint,,, Amazon Relational Database Service (Amazon RDS) AWS Panorama, Amazon Redshift und Amazon AI. AWS Network Manager SageMaker | 30. März 2023 |
| [AWSConfigRulesExecutionRole](#security-iam-awsmanpol-AWSConfigRulesExecutionRole)— beginnt mit der Nachverfolgung von Änderungen für diese verwaltete Richtlinie AWS Config AWS | Diese Richtlinie ermöglicht AWS Lambda Funktionen den Zugriff auf die AWS Config API und die Konfigurations-Snapshots, die regelmäßig AWS Config an Amazon S3 gesendet werden. Dieser Zugriff ist für Funktionen erforderlich, die Konfigurationsänderungen für AWS benutzerdefinierte Lambda-Regeln auswerten. | 7. März 2023 |
| [AWSConfigRoleForOrganizations](#security-iam-awsmanpol-AWSConfigRoleForOrganizations)— AWS Config beginnt mit der Nachverfolgung von Änderungen für diese AWS verwaltete Richtlinie | Diese Richtlinie ermöglicht das Aufrufen AWS Config im Nur-Lese-Modus AWS Organizations APIs. | 7. März 2023 |
| [AWSConfigRemediationServiceRolePolicy](#security-iam-awsmanpol-AWSConfigRemediationServiceRolePolicy)— AWS Config beginnt mit der Nachverfolgung von Änderungen für diese verwaltete Richtlinie AWS | Diese Richtlinie ermöglicht es AWS Config , `NON_COMPLIANT` Ressourcen in Ihrem Namen zu korrigieren. | 7. März 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: auditmanager:GetAccountStatus | Diese Richtlinie gewährt nun die Berechtigung, den Registrierungsstatus eines Kontos in AWS Audit Manager wiederherzustellen. | 03. März 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: auditmanager:GetAccountStatus | Diese Richtlinie gewährt nun die Berechtigung, den Registrierungsstatus eines Kontos in AWS Audit Manager wiederherzustellen. | 03. März 2023 |
| [AWSConfigMultiAccountSetupPolicy](#security-iam-awsmanpol-AWSConfigMultiAccountSetupPolicy)— AWS Config beginnt mit der Nachverfolgung von Änderungen für diese AWS verwaltete Richtlinie | Diese Richtlinie ermöglicht AWS Config das Aufrufen von AWS Diensten und die Bereitstellung von AWS Config Ressourcen in einer Organisation mit AWS Organizations. | 27. Februar 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: airflow:ListTagsForResource, iot:ListCustomMetrics, iot:DescribeCustomMetric, appstream:DescribeDirectoryConfigs, appstream:ListTagsForResource, codeguru-reviewer:DescribeRepositoryAssociation, codeguru-reviewer:ListRepositoryAssociations, healthlake:ListFHIRDatastores, healthlake:DescribeFHIRDatastore, healthlake:ListTagsForResource, kinesisvideo:DescribeStream, kinesisvideo:ListStreams, kinesisvideo:ListTagsForStream, kinesisvideo:DescribeSignalingChannel, kinesisvideo:ListTagsForResource, kinesisvideo:ListSignalingChannels, route53-recovery-control-config:DescribeCluster, route53-recovery-control-config:DescribeRoutingControl, route53-recovery-control-config:DescribeSafetyRule, route53-recovery-control-config:ListClusters, route53-recovery-control-config:ListRoutingControls, route53-recovery-control-config:ListSafetyRules, devicefarm:GetTestGridProject, devicefarm:ListTestGridProjects, ec2:DescribeCapacityReservationFleets, ec2:DescribeIpamPools, ec2:DescribeIpams, ec2:GetInstanceTypesFromInstanceRequirement, mobiletargeting:GetApplicationSettings, mobiletargeting:ListTagsForResource, ecr:BatchGetRepositoryScanningConfiguration, iam:ListServerCertificates, guardduty:ListPublishingDestinations, guardduty:DescribePublishingDestination, logs:GetLogDelivery, and logs:ListLogDeliveries | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon Managed Workflows for Apache Airflow AWS IoT, Amazon WorkSpaces Applications, Amazon CodeGuru Reviewer AWS HealthLake, Amazon Kinesis Video Streams, Amazon Application Recovery Controller (ARC) AWS Device Farm, Amazon Elastic Compute Cloud (Amazon EC2), Amazon Pinpoint AWS Identity and Access Management (IAM), Amazon und Amazon GuardDuty Logs. CloudWatch | 1. Februar 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: airflow:ListTagsForResource, iot:ListCustomMetrics, iot:DescribeCustomMetric, appstream:DescribeDirectoryConfigs, appstream:ListTagsForResource, codeguru-reviewer:DescribeRepositoryAssociation, codeguru-reviewer:ListRepositoryAssociations, healthlake:ListFHIRDatastores, healthlake:DescribeFHIRDatastore, healthlake:ListTagsForResource, kinesisvideo:DescribeStream, kinesisvideo:ListStreams, kinesisvideo:ListTagsForStream, kinesisvideo:DescribeSignalingChannel, kinesisvideo:ListTagsForResource, kinesisvideo:ListSignalingChannels, route53-recovery-control-config:DescribeCluster, route53-recovery-control-config:DescribeRoutingControl, route53-recovery-control-config:DescribeSafetyRule, route53-recovery-control-config:ListClusters, route53-recovery-control-config:ListRoutingControls, route53-recovery-control-config:ListSafetyRules, devicefarm:GetTestGridProject, devicefarm:ListTestGridProjects, ec2:DescribeCapacityReservationFleets, ec2:DescribeIpamPools, ec2:DescribeIpams, ec2:GetInstanceTypesFromInstanceRequirement, mobiletargeting:GetApplicationSettings, mobiletargeting:ListTagsForResource, ecr:BatchGetRepositoryScanningConfiguration, iam:ListServerCertificates, guardduty:ListPublishingDestinations, guardduty:DescribePublishingDestination, logs:GetLogDelivery, and logs:ListLogDeliveries | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon Managed Workflows for Apache Airflow AWS IoT, Amazon WorkSpaces Applications, Amazon CodeGuru Reviewer AWS HealthLake, Amazon Kinesis Video Streams, Amazon Application Recovery Controller (ARC) AWS Device Farm, Amazon Elastic Compute Cloud (Amazon EC2), Amazon Pinpoint AWS Identity and Access Management (IAM), Amazon und Amazon GuardDuty Logs. CloudWatch | 1. Februar 2023 |
| [ConfigConformsServiceRolePolicy](#security-iam-awsmanpol-ConfigConformsServiceRolePolicy) – Aktualisierung: config:DescribeConfigRules | Als bewährte Sicherheitsmethode entfernt diese Richtlinie nun umfassende Berechtigungen auf Ressourcenebene für `config:DescribeConfigRules`. | 12. Januar 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: APS:DescribeRuleGroupsNamespace, APS:DescribeWorkspace, APS:ListWorkspaces, auditmanager:GetAssessment, auditmanager:ListAssessments, devicefarm:GetNetworkProfile, AWS Transfer Family devicefarm:GetProject, devicefarm:ListNetworkProfiles, devicefarm:ListTagsForResource, dms:DescribeEndpoints, ds:ListTagsForResource, ec2:DescribeTags, ec2:DescribeTrafficMirrorSessions, ec2:DescribeTrafficMirrorTargets, ec2:GetIpamPoolAllocations, ec2:GetIpamPoolCidrs, glue:GetMLTransform, glue:GetMLTransforms, glue:ListMLTransforms, iot:DescribeScheduledAudit, iot:ListScheduledAudits, ivs:GetChannel, lightsail:GetRelationalDatabases, mediapackage-vod:DescribePackagingConfiguration, mediapackage-vod:ListPackagingConfigurations, networkmanager:DescribeGlobalNetworks, networkmanager:GetTransitGatewayRegistrations, networkmanager:ListTagsForResource, quicksight:DescribeDashboard, quicksight:DescribeDashboardPermissions, quicksight:DescribeTemplate, quicksight:DescribeTemplatePermissions, quicksight:ListDashboards, quicksight:ListTemplates, ram:ListResources, route53-recovery-control-config:DescribeControlPanel, route53-recovery-control-config:ListControlPanels, route53-recovery-control-config:ListTagsForResource, route53resolver:GetResolverQueryLogConfigAssociation, route53resolver:ListResolverQueryLogConfigAssociations, s3:GetAccessPointForObjectLambda, s3:GetAccessPointPolicyForObjectLambda, s3:GetAccessPointPolicyStatusForObjectLambda, s3:GetMultiRegionAccessPoint, s3:ListAccessPointsForObjectLambda, s3:ListMultiRegionAccessPoints, timestream:DescribeEndpoints, transfer:DescribeConnector, transfer:ListConnectors, and transfer:ListTagsForResource | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon Managed Service for Prometheus,, AWS Audit Manager, AWS Database Migration Service (AWS DMS) AWS Device Farm AWS Directory Service, Amazon Elastic Compute Cloud (Amazon EC2),,, Amazon Lightsail AWS Glue AWS IoT,,, Amazon Quick AWS Elemental MediaPackage, AWS Network Manager, Amazon Application Recovery Controller (ARC) AWS Resource Access Manager, Amazon Simple Storage Service (Amazon S3) und Amazon Timestream. | 15. Dezember 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: APS:DescribeRuleGroupsNamespace, APS:DescribeWorkspace, APS:ListWorkspaces, auditmanager:GetAssessment, auditmanager:ListAssessments, devicefarm:GetNetworkProfile, devicefarm:GetProject, devicefarm:ListNetworkProfiles, devicefarm:ListTagsForResource, dms:DescribeEndpoints, ds:ListTagsForResource, ec2:DescribeTags, ec2:DescribeTrafficMirrorSessions, ec2:DescribeTrafficMirrorTargets, ec2:GetIpamPoolAllocations, ec2:GetIpamPoolCidrs, glue:GetMLTransform, glue:GetMLTransforms, glue:ListMLTransforms, iot:DescribeScheduledAudit, iot:ListScheduledAudits, ivs:GetChannel, lightsail:GetRelationalDatabases, mediapackage-vod:DescribePackagingConfiguration, mediapackage-vod:ListPackagingConfigurations, networkmanager:DescribeGlobalNetworks, networkmanager:GetTransitGatewayRegistrations, networkmanager:ListTagsForResource, quicksight:DescribeDashboard, quicksight:DescribeDashboardPermissions, quicksight:DescribeTemplate, quicksight:DescribeTemplatePermissions, quicksight:ListDashboards, quicksight:ListTemplates, ram:ListResources, route53-recovery-control-config:DescribeControlPanel, route53-recovery-control-config:ListControlPanels, route53-recovery-control-config:ListTagsForResource, route53resolver:GetResolverQueryLogConfigAssociation, route53resolver:ListResolverQueryLogConfigAssociations, s3:GetAccessPointForObjectLambda, s3:GetAccessPointPolicyForObjectLambda, s3:GetAccessPointPolicyStatusForObjectLambda, s3:GetMultiRegionAccessPoint, s3:ListAccessPointsForObjectLambda, s3:ListMultiRegionAccessPoints, timestream:DescribeEndpoints, transfer:DescribeConnector, transfer:ListConnectors, and transfer:ListTagsForResource | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon Managed Service for Prometheus,, AWS Audit Manager, AWS Database Migration Service (AWS DMS) AWS Device Farm AWS Directory Service, Amazon Elastic Compute Cloud (Amazon EC2),,, Amazon Lightsail AWS Glue AWS IoT,,, Amazon Quick AWS Elemental MediaPackage, AWS Network Manager, Amazon Application Recovery Controller (ARC) AWS Resource Access Manager, Amazon Simple Storage Service (Amazon S3) und Amazon Timestream. | 15. Dezember 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: cloudformation:ListStackResources and cloudformation:ListStacks | Diese Richtlinie gewährt nun die Erlaubnis, Beschreibungen aller Ressourcen eines angegebenen AWS CloudFormation Stacks und die zusammenfassenden Informationen für Stacks zurückzugeben, deren Status dem angegebenen entsprichtStackStatusFilter. | 7. November 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: cloudformation:ListStackResources and cloudformation:ListStacks | Diese Richtlinie gewährt nun die Erlaubnis, Beschreibungen aller Ressourcen eines angegebenen AWS CloudFormation Stacks und die zusammenfassenden Informationen für Stapel zurückzugeben, deren Status dem angegebenen entspricht. StackStatusFilter | 7. November 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: acm-pca:GetCertificateAuthorityCsr, acm-pca:ListCertificateAuthorities, acm-pca:ListTags, airflow:GetEnvironment, airflow:ListEnvironments, amplifyuibuilder:ListThemes, appconfig:ListConfigurationProfiles, appconfig:ListDeployments, appconfig:ListDeploymentStrategies, appconfig:ListEnvironments, appconfig:ListHostedConfigurationVersions, cassandra:Select, cloudwatch:DescribeAnomalyDetectors, cloudwatch:GetDashboard, cloudwatch:ListDashboards, connect:DescribePhoneNumber, connect:ListPhoneNumbers, connect:ListPhoneNumbersV2, connect:SearchAvailablePhoneNumbers, databrew:DescribeDataset, databrew:DescribeJob, databrew:DescribeProject, databrew:DescribeRecipe, databrew:DescribeRuleset, databrew:DescribeSchedule, databrew:ListDatasets, databrew:ListJobs, databrew:ListProjects, databrew:ListRecipes, databrew:ListRecipeVersions, databrew:ListRulesets, databrew:ListSchedules, ec2:DescribeRouteTables, eks:DescribeAddon, eks:DescribeIdentityProviderConfig, eks:ListAddons, eks:ListIdentityProviderConfigs, events:DescribeConnection, events:ListApiDestinations, events:ListConnections, fis:GetExperimentTemplate, fis:ListExperimentTemplates, frauddetector:GetRules, fsx:DescribeBackups, fsx:DescribeSnapshots, fsx:DescribeStorageVirtualMachines, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeVpcPeeringConnections, geo:ListGeofenceCollections, geo:ListPlaceIndexes, geo:ListRouteCalculators, geo:ListTrackers, iot:DescribeAccountAuditConfiguration, iot:DescribeAuthorizer, iot:DescribeDomainConfiguration, iot:DescribeMitigationAction, iot:ListAuthorizers, iot:ListDomainConfigurations, iot:ListMitigationActions, iotsitewise:DescribeAssetModel, iotsitewise:DescribeDashboard, iotsitewise:DescribeGateway, iotsitewise:DescribePortal, iotsitewise:DescribeProject, iotsitewise:ListAssetModels, iotsitewise:ListDashboards, iotsitewise:ListGateways, iotsitewise:ListPortals, iotsitewise:ListProjectAssets, iotsitewise:ListProjects, iotsitewise:ListTagsForResource, iotwireless:GetServiceProfile, iotwireless:GetWirelessDevice, iotwireless:GetWirelessGatewayTaskDefinition, iotwireless:ListServiceProfiles, iotwireless:ListTagsForResource, iotwireless:ListWirelessDevices, iotwireless:ListWirelessGatewayTaskDefinitions, lex:DescribeBotVersion, lex:ListBotVersions, lightsail:GetContainerServices, lightsail:GetDistributions, lightsail:GetRelationalDatabase, lightsail:GetRelationalDatabaseParameters, mobiletargeting:GetApps, mobiletargeting:GetCampaign, mobiletargeting:GetSegment, mobiletargeting:GetSegments, opsworks:DescribeInstances, opsworks:DescribeTimeBasedAutoScaling, opsworks:DescribeVolumes, panorama:DescribeApplicationInstance, panorama:DescribeApplicationInstanceDetails, panorama:DescribePackage, panorama:DescribePackageVersion, panorama:ListApplicationInstances, panorama:ListPackages, quicksight:ListDataSources, ram:ListResourceSharePermissions, rds:DescribeDBProxies, rds:DescribeGlobalClusters, rekognition:ListStreamProcessors, resource-groups:GetGroup, resource-groups:GetGroupConfiguration, resource-groups:GetGroupQuery, resource-groups:GetTags, resource-groups:ListGroupResources, resource-groups:ListGroups, robomaker:ListRobotApplications, robomaker:ListSimulationApplications, route53resolver:GetResolverDnssecConfig, route53resolver:ListResolverDnssecConfigs, s3:ListStorageLensConfigurations, schemas:GetResourcePolicy, servicediscovery:ListInstances, sts:GetCallerIdentity, synthetics:GetGroup, synthetics:ListAssociatedGroups, synthetics:ListGroupResources, and synthetics:ListGroups | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für AWS Certificate Manager Amazon Managed Workflows for Apache Airflow,, AWS Amplify, Amazon Keyspaces AWS AppConfig, Amazon, Amazon Connect CloudWatch, Amazon Elastic Compute Cloud (Amazon EC2) AWS Glue DataBrew, Amazon Elastic Kubernetes Service (Amazon EKS), Amazon,, Amazon Fraud Detector EventBridge, Amazon AWS Fault Injection Service, Amazon GameLift Servers, Amazon Location Service FSx,, Amazon Lex, Amazon Lightsail AWS IoT, Amazon Pinpoint,,,, Amazon Quick, Amazon Relational Database Service (Amazon) OpsWorks AWS Panorama AWS Resource Access Manager RDS), Amazon Rekognition, AWS RoboMaker, AWS -Ressourcengruppen, Amazon Route 53, Amazon Simple Storage Service (Amazon S3) AWS Cloud Map, und. AWS -Security-Token-Service | 19. Oktober 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: acm-pca:GetCertificateAuthorityCsr, acm-pca:ListCertificateAuthorities, acm-pca:ListTags, airflow:GetEnvironment, airflow:ListEnvironments, amplifyuibuilder:ListThemes, appconfig:ListConfigurationProfiles, appconfig:ListDeployments, appconfig:ListDeploymentStrategies, appconfig:ListEnvironments, appconfig:ListHostedConfigurationVersions, cassandra:Select, cloudwatch:DescribeAnomalyDetectors, cloudwatch:GetDashboard, cloudwatch:ListDashboards, connect:DescribePhoneNumber, connect:ListPhoneNumbers, connect:ListPhoneNumbersV2, connect:SearchAvailablePhoneNumbers, databrew:DescribeDataset, databrew:DescribeJob, databrew:DescribeProject, databrew:DescribeRecipe, databrew:DescribeRuleset, databrew:DescribeSchedule, databrew:ListDatasets, databrew:ListJobs, databrew:ListProjects, databrew:ListRecipes, databrew:ListRecipeVersions, databrew:ListRulesets, databrew:ListSchedules, ec2:DescribeRouteTables, eks:DescribeAddon, eks:DescribeIdentityProviderConfig, eks:ListAddons, eks:ListIdentityProviderConfigs, events:DescribeConnection, events:ListApiDestinations, events:ListConnections, fis:GetExperimentTemplate, fis:ListExperimentTemplates, frauddetector:GetRules, fsx:DescribeBackups, fsx:DescribeSnapshots, fsx:DescribeStorageVirtualMachines, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeVpcPeeringConnections, geo:ListGeofenceCollections, geo:ListPlaceIndexes, geo:ListRouteCalculators, geo:ListTrackers, iot:DescribeAccountAuditConfiguration, iot:DescribeAuthorizer, iot:DescribeDomainConfiguration, iot:DescribeMitigationAction, iot:ListAuthorizers, iot:ListDomainConfigurations, iot:ListMitigationActions, iotsitewise:DescribeAssetModel, iotsitewise:DescribeDashboard, iotsitewise:DescribeGateway, iotsitewise:DescribePortal, iotsitewise:DescribeProject, iotsitewise:ListAssetModels, iotsitewise:ListDashboards, iotsitewise:ListGateways, iotsitewise:ListPortals, iotsitewise:ListProjectAssets, iotsitewise:ListProjects, iotsitewise:ListTagsForResource, iotwireless:GetServiceProfile, iotwireless:GetWirelessDevice, iotwireless:GetWirelessGatewayTaskDefinition, iotwireless:ListServiceProfiles, iotwireless:ListTagsForResource, iotwireless:ListWirelessDevices, iotwireless:ListWirelessGatewayTaskDefinitions, lex:DescribeBotVersion, lex:ListBotVersions, lightsail:GetContainerServices, lightsail:GetDistributions, lightsail:GetRelationalDatabase, lightsail:GetRelationalDatabaseParameters, mobiletargeting:GetApps, mobiletargeting:GetCampaign, mobiletargeting:GetSegment, mobiletargeting:GetSegments, opsworks:DescribeInstances, opsworks:DescribeTimeBasedAutoScaling, opsworks:DescribeVolumes, panorama:DescribeApplicationInstance, panorama:DescribeApplicationInstanceDetails, panorama:DescribePackage, panorama:DescribePackageVersion, panorama:ListApplicationInstances, panorama:ListPackages, quicksight:ListDataSources, ram:ListResourceSharePermissions, rds:DescribeDBProxies, rds:DescribeGlobalClusters, rekognition:ListStreamProcessors, resource-groups:GetGroup, resource-groups:GetGroupConfiguration, resource-groups:GetGroupQuery, resource-groups:GetTags, resource-groups:ListGroupResources, resource-groups:ListGroups, robomaker:ListRobotApplications, robomaker:ListSimulationApplications, route53resolver:GetResolverDnssecConfig, route53resolver:ListResolverDnssecConfigs, s3:ListStorageLensConfigurations, schemas:GetResourcePolicy, servicediscovery:ListInstances, sts:GetCallerIdentity, synthetics:GetGroup, synthetics:ListAssociatedGroups, synthetics:ListGroupResources, and synthetics:ListGroups | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für AWS Certificate Manager Amazon Managed Workflows for Apache Airflow,, AWS Amplify, Amazon Keyspaces AWS AppConfig, Amazon, Amazon Connect CloudWatch, Amazon Elastic Compute Cloud (Amazon EC2) AWS Glue DataBrew, Amazon Elastic Kubernetes Service (Amazon EKS), Amazon,, Amazon Fraud Detector EventBridge, Amazon AWS Fault Injection Service, Amazon GameLift Servers, Amazon Location Service FSx,, Amazon Lex, Amazon Lightsail AWS IoT, Amazon Pinpoint,,,, Amazon Quick, Amazon Relational Database Service (Amazon) OpsWorks AWS Panorama AWS Resource Access Manager RDS), Amazon Rekognition, AWS RoboMaker, AWS -Ressourcengruppen, Amazon Route 53, Amazon Simple Storage Service (Amazon S3) AWS Cloud Map, und. AWS -Security-Token-Service | 19. Oktober 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: Glue::GetTable | Diese Richtlinie gewährt jetzt die Berechtigung zum Abrufen der AWS Glue Tabellendefinition in einem Datenkatalog für eine angegebene Tabelle. | 14. September 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: Glue::GetTable | Diese Richtlinie gewährt jetzt die Berechtigung zum Abrufen der AWS Glue Tabellendefinition in einem Datenkatalog für eine angegebene Tabelle. | 14. September 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: appconfig:ListApplications, appflow:DescribeConnectorProfiles, appsync:GetApiCache, autoscaling-plans:DescribeScalingPlanResources, autoscaling-plans:DescribeScalingPlans, autoscaling-plans:GetScalingPlanResourceForecastData, autoscaling:DescribeWarmPool, backup:DescribeFramework, backup:DescribeReportPlan, backup:ListFrameworks, backup:ListReportPlans, budgets:DescribeBudgetAction, budgets:DescribeBudgetActionsForAccount, budgets:DescribeBudgetActionsForBudget, budgets:ViewBudget, ce:GetAnomalyMonitors, ce:GetAnomalySubscriptions, cloud9:DescribeEnvironmentMemberships, cloud9:DescribeEnvironments, cloud9:ListEnvironments, cloud9:ListTagsForResource, cloudwatch:GetMetricStream, cloudwatch:ListMetricStreams, datasync:DescribeLocationFsxWindows, devops-guru:GetResourceCollection, ds:DescribeDirectories, ec2:DescribeTrafficMirrorFilters, ec2:DescribeTrafficMirrorTargets, ec2:GetNetworkInsightsAccessScopeAnalysisFindings, ec2:GetNetworkInsightsAccessScopeContent, elasticmapreduce:DescribeStudio, elasticmapreduce:GetStudioSessionMapping, elasticmapreduce:ListStudios, elasticmapreduce:ListStudioSessionMappings, events:DescribeEndpoint, events:DescribeEventBus, events:DescribeRule, events:ListArchives, events:ListEndpoints, events:ListEventBuses, events:ListRules, events:ListTagsForResource, events:ListTargetsByRule, finspace:GetEnvironment, finspace:ListEnvironments, frauddetector:GetDetectors, frauddetector:GetDetectorVersion, frauddetector:GetEntityTypes, frauddetector:GetEventTypes, frauddetector:GetExternalModels, frauddetector:GetLabels, frauddetector:GetModels, frauddetector:GetOutcomes, frauddetector:GetVariables, frauddetector:ListTagsForResource, gamelift:DescribeAlias, gamelift:DescribeBuild, gamelift:DescribeFleetAttributes, gamelift:DescribeFleetCapacity, gamelift:DescribeFleetLocationAttributes, gamelift:DescribeFleetLocationCapacity, gamelift:DescribeFleetPortSettings, gamelift:DescribeGameServerGroup, gamelift:DescribeGameSessionQueues, gamelift:DescribeMatchmakingConfigurations, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeRuntimeConfiguration, gamelift:DescribeScript, gamelift:DescribeVpcPeeringAuthorizations, gamelift:ListAliases, gamelift:ListBuilds, gamelift:ListFleets, gamelift:ListGameServerGroups, gamelift:ListScripts, gamelift:ListTagsForResource, geo:ListMaps, glue:GetClassifier, glue:GetClassifiers, imagebuilder:GetContainerRecipe, imagebuilder:GetImage, imagebuilder:GetImagePipeline, imagebuilder:GetImageRecipe, imagebuilder:ListContainerRecipes, imagebuilder:ListImageBuildVersions, imagebuilder:ListImagePipelines, imagebuilder:ListImageRecipes, imagebuilder:ListImages, iot:DescribeCertificate, iot:DescribeDimension, iot:DescribeRoleAlias, iot:DescribeSecurityProfile, iot:GetPolicy, iot:GetTopicRule, iot:GetTopicRuleDestination, iot:ListCertificates, iot:ListDimensions, iot:ListPolicies, iot:ListRoleAliases, iot:ListSecurityProfiles, iot:ListSecurityProfilesForTarget, iot:ListTagsForResource, iot:ListTargetsForSecurityProfile, iot:ListTopicRuleDestinations, iot:ListTopicRules, iot:ListV2LoggingLevels, iot:ValidateSecurityProfileBehaviors, iotanalytics:DescribeChannel, iotanalytics:DescribeDataset, iotanalytics:DescribeDatastore, iotanalytics:DescribePipeline, iotanalytics:ListChannels, iotanalytics:ListDatasets, iotanalytics:ListDatastores, iotanalytics:ListPipelines, iotanalytics:ListTagsForResource, iotevents:DescribeAlarmModel, iotevents:DescribeDetectorModel, iotevents:DescribeInput, iotevents:ListAlarmModels, iotevents:ListDetectorModels, iotevents:ListInputs, iotevents:ListTagsForResource, iotsitewise:DescribeAccessPolicy, iotsitewise:DescribeAsset, iotsitewise:ListAccessPolicies, iotsitewise:ListAssets, iottwinmaker:GetEntity, iottwinmaker:GetScene, iottwinmaker:GetWorkspace, iottwinmaker:ListEntities, iottwinmaker:ListScenes, iottwinmaker:ListTagsForResource, iottwinmaker:ListWorkspaces, ivs:GetPlaybackKeyPair, ivs:GetRecordingConfiguration, ivs:GetStreamKey, ivs:ListChannels, ivs:ListPlaybackKeyPairs, ivs:ListRecordingConfigurations, ivs:ListStreamKeys, ivs:ListTagsForResource, kinesisanalytics:ListApplications, lakeformation:DescribeResource, lakeformation:GetDataLakeSettings, lakeformation:ListPermissions, lakeformation:ListResources, lex:DescribeBot, lex:DescribeBotAlias, lex:DescribeResourcePolicy, lex:ListBotAliases, lex:ListBotLocales, lex:ListBots, lex:ListTagsForResource, license-manager:GetGrant, license-manager:GetLicense, license-manager:ListDistributedGrants, license-manager:ListLicenses, license-manager:ListReceivedGrants, lightsail:GetAlarms, lightsail:GetBuckets, lightsail:GetCertificates, lightsail:GetDisk, lightsail:GetDisks, lightsail:GetInstance, lightsail:GetInstances, lightsail:GetKeyPair, lightsail:GetLoadBalancer, lightsail:GetLoadBalancers, lightsail:GetLoadBalancerTlsCertificates, lightsail:GetStaticIp, lightsail:GetStaticIps, lookoutequipment:DescribeInferenceScheduler, lookoutequipment:ListTagsForResource, lookoutmetrics:DescribeAlert, lookoutmetrics:DescribeAnomalyDetector, lookoutmetrics:ListAlerts, lookoutmetrics:ListAnomalyDetectors, lookoutmetrics:ListMetricSets, lookoutmetrics:ListTagsForResource, lookoutvision:DescribeProject, lookoutvision:ListProjects, managedblockchain:GetMember, managedblockchain:GetNetwork, managedblockchain:GetNode, managedblockchain:ListInvitations, managedblockchain:ListMembers, managedblockchain:ListNodes, mediapackage-vod:DescribePackagingGroup, mediapackage-vod:ListPackagingGroups, mediapackage-vod:ListTagsForResource, mobiletargeting:GetInAppTemplate, mobiletargeting:ListTemplates, mq:DescribeBroker, mq:ListBrokers, nimble:GetLaunchProfile, nimble:GetLaunchProfileDetails, nimble:GetStreamingImage, nimble:GetStudio, nimble:GetStudioComponent, nimble:ListLaunchProfiles, nimble:ListStreamingImages, nimble:ListStudioComponents, nimble:ListStudios, profile:GetDomain, profile:GetIntegration, profile:GetProfileObjectType, profile:ListDomains, profile:ListIntegrations, profile:ListProfileObjectTypes, profile:ListTagsForResource, quicksight:DescribeAnalysis, quicksight:DescribeAnalysisPermissions, quicksight:DescribeDataSet, quicksight:DescribeDataSetPermissions, quicksight:DescribeTheme, quicksight:DescribeThemePermissions, quicksight:ListAnalyses, quicksight:ListDataSets, quicksight:ListThemes, resiliencehub:DescribeApp, resiliencehub:DescribeAppVersionTemplate, resiliencehub:DescribeResiliencyPolicy, resiliencehub:ListApps, resiliencehub:ListAppVersionResourceMappings, resiliencehub:ListResiliencyPolicies, route53-recovery-readiness:GetCell, route53-recovery-readiness:GetReadinessCheck, route53-recovery-readiness:GetRecoveryGroup, route53-recovery-readiness:GetResourceSet, route53-recovery-readiness:ListCells, route53-recovery-readiness:ListReadinessChecks, route53-recovery-readiness:ListRecoveryGroups, route53-recovery-readiness:ListResourceSets, route53resolver:GetFirewallDomainList, route53resolver:GetFirewallRuleGroup, route53resolver:GetFirewallRuleGroupAssociation, route53resolver:GetResolverQueryLogConfig, route53resolver:ListFirewallDomainLists, route53resolver:ListFirewallDomains, route53resolver:ListFirewallRuleGroupAssociations, route53resolver:ListFirewallRuleGroups, route53resolver:ListFirewallRules, route53resolver:ListResolverQueryLogConfigs, rum:GetAppMonitor, rum:GetAppMonitorData, rum:ListAppMonitors, rum:ListTagsForResource, s3-outposts:GetAccessPoint, s3-outposts:GetAccessPointPolicy, s3-outposts:GetBucket, s3-outposts:GetBucketPolicy, s3-outposts:GetBucketTagging, s3-outposts:GetLifecycleConfiguration, s3-outposts:ListAccessPoints, s3-outposts:ListEndpoints, s3-outposts:ListRegionalBuckets, schemas:DescribeDiscoverer, schemas:DescribeRegistry, schemas:DescribeSchema, schemas:ListDiscoverers, schemas:ListRegistries, schemas:ListSchemas, sdb:GetAttributes, sdb:ListDomains, ses:ListEmailTemplates, ses:ListReceiptFilters, ses:ListReceiptRuleSets, ses:ListTemplates, signer:GetSigningProfile, signer:ListProfilePermissions, signer:ListSigningProfiles, synthetics:DescribeCanaries, synthetics:DescribeCanariesLastRun, synthetics:DescribeRuntimeVersions, synthetics:GetCanary, synthetics:GetCanaryRuns, synthetics:ListTagsForResource, timestream:DescribeDatabase, timestream:DescribeTable, timestream:ListDatabases, timestream:ListTables, timestream:ListTagsForResource, transfer:DescribeServer, transfer:DescribeUser, transfer:DescribeWorkflow, transfer:ListServers, transfer:ListUsers, transfer:ListWorkflows, voiceid:DescribeDomain, and voiceid:ListTagsForResource | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon AppFlow, Amazon, Amazon CloudWatch RUM CloudWatch, Amazon CloudWatch Synthetics, Amazon Connect-Kundenprofile, Amazon Connect Voice ID, Amazon DevOps Guru, Amazon Elastic Compute Cloud (Amazon EC2), Amazon EC2 Auto Scaling, Amazon EMR, Amazon, Amazon EventBridge Schemas EventBridge, Amazon Fraud Detector, Amazon GameLift Servers Amazon FinSpace, Amazon Interactive Video Service (Amazon IVS), Amazon Managed Service für Apache Flink, EC2 Image Builder, Amazon Lex, Amazon Lightsail, Amazon Location Service , Amazon Lookout for Equipment, Amazon Lookout for Metrics, Amazon Lookout for Vision, Amazon Managed Blockchain, Amazon MQ, Amazon Nimble StudioAmazon Pinpoint, Amazon Quick, Amazon Application Recovery Controller (ARC) Amazon Route 53 Resolver,, Amazon Simple Storage Service (Amazon S3), Amazon SimpleDB, Amazon Simple Email Service (Amazon SES), Amazon Timestream AWS AppConfig AWS AppSync, AWS Auto Scaling,, AWS Backup, AWS Budgets, AWS Cost Explorer, AWS Cloud9, AWS Directory Service AWS DataSync AWS Elemental MediaPackage AWS Glue AWS IoT AWS IoT Analytics AWS IoT Events AWS IoT SiteWise AWS IoT TwinMaker AWS Lake Formation,,,, und. AWS License Manager AWS Resilience Hub AWS Signer AWS Transfer Family | 7. September 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: appconfig:ListApplications, appflow:DescribeConnectorProfiles, appsync:GetApiCache, autoscaling-plans:DescribeScalingPlanResources, autoscaling-plans:DescribeScalingPlans, autoscaling-plans:GetScalingPlanResourceForecastData, autoscaling:DescribeWarmPool, backup:DescribeFramework, backup:DescribeReportPlan, backup:ListFrameworks, backup:ListReportPlans, budgets:DescribeBudgetAction, budgets:DescribeBudgetActionsForAccount, budgets:DescribeBudgetActionsForBudget, budgets:ViewBudget, ce:GetAnomalyMonitors, ce:GetAnomalySubscriptions, cloud9:DescribeEnvironmentMemberships, cloud9:DescribeEnvironments, cloud9:ListEnvironments, cloud9:ListTagsForResource, cloudwatch:GetMetricStream, cloudwatch:ListMetricStreams, datasync:DescribeLocationFsxWindows, devops-guru:GetResourceCollection, ds:DescribeDirectories, ec2:DescribeTrafficMirrorTargets, ec2:GetNetworkInsightsAccessScopeAnalysisFindings, ec2:GetNetworkInsightsAccessScopeContent, elasticmapreduce:DescribeStudio, elasticmapreduce:GetStudioSessionMapping, elasticmapreduce:ListStudios, elasticmapreduce:ListStudioSessionMappings, events:DescribeEndpoint, events:DescribeEventBus, events:DescribeRule, events:ListArchives, events:ListEndpoints, events:ListEventBuses, events:ListRules, events:ListTagsForResource, events:ListTargetsByRule, finspace:GetEnvironment, finspace:ListEnvironments, frauddetector:GetDetectors, frauddetector:GetDetectorVersion, frauddetector:GetEntityTypes, frauddetector:GetEventTypes, frauddetector:GetExternalModels, frauddetector:GetLabels, frauddetector:GetModels, frauddetector:GetOutcomes, frauddetector:GetVariables, frauddetector:ListTagsForResource, gamelift:DescribeAlias, gamelift:DescribeBuild, gamelift:DescribeFleetAttributes, gamelift:DescribeFleetCapacity, gamelift:DescribeFleetLocationAttributes, gamelift:DescribeFleetLocationCapacity, gamelift:DescribeFleetPortSettings, gamelift:DescribeGameServerGroup, gamelift:DescribeGameSessionQueues, gamelift:DescribeMatchmakingConfigurations, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeRuntimeConfiguration, gamelift:DescribeScript, gamelift:DescribeVpcPeeringAuthorizations, gamelift:ListAliases, gamelift:ListBuilds, gamelift:ListFleets, gamelift:ListGameServerGroups, gamelift:ListScripts, gamelift:ListTagsForResource, geo:ListMaps, glue:GetClassifier, glue:GetClassifiers, imagebuilder:GetContainerRecipe, imagebuilder:GetImage, imagebuilder:GetImagePipeline, imagebuilder:GetImageRecipe, imagebuilder:ListContainerRecipes, imagebuilder:ListImageBuildVersions, imagebuilder:ListImagePipelines, imagebuilder:ListImageRecipes, imagebuilder:ListImages, iot:DescribeCertificate, iot:DescribeDimension, iot:DescribeRoleAlias, iot:DescribeSecurityProfile, iot:GetPolicy, iot:GetTopicRule, iot:GetTopicRuleDestination, iot:ListCertificates, iot:ListDimensions, iot:ListPolicies, iot:ListRoleAliases, iot:ListSecurityProfiles, iot:ListSecurityProfilesForTarget, iot:ListTagsForResource, iot:ListTargetsForSecurityProfile, iot:ListTopicRuleDestinations, iot:ListTopicRules, iot:ListV2LoggingLevels, iot:ValidateSecurityProfileBehaviors, iotanalytics:DescribeChannel, iotanalytics:DescribeDataset, iotanalytics:DescribeDatastore, iotanalytics:DescribePipeline, iotanalytics:ListChannels, iotanalytics:ListDatasets, iotanalytics:ListDatastores, iotanalytics:ListPipelines, iotanalytics:ListTagsForResource, iotevents:DescribeAlarmModel, iotevents:DescribeDetectorModel, iotevents:DescribeInput, iotevents:ListAlarmModels, iotevents:ListDetectorModels, iotevents:ListInputs, iotevents:ListTagsForResource, iotsitewise:DescribeAccessPolicy, iotsitewise:DescribeAsset, iotsitewise:ListAccessPolicies, iotsitewise:ListAssets, iottwinmaker:GetEntity, iottwinmaker:GetScene, iottwinmaker:GetWorkspace, iottwinmaker:ListEntities, iottwinmaker:ListScenes, iottwinmaker:ListTagsForResource, iottwinmaker:ListWorkspaces, ivs:GetPlaybackKeyPair, ivs:GetRecordingConfiguration, ivs:GetStreamKey, ivs:ListChannels, ivs:ListPlaybackKeyPairs, ivs:ListRecordingConfigurations, ivs:ListStreamKeys, ivs:ListTagsForResource, kinesisanalytics:ListApplications, lakeformation:DescribeResource, lakeformation:GetDataLakeSettings, lakeformation:ListPermissions, lakeformation:ListResources, lex:DescribeBot, lex:DescribeBotAlias, lex:DescribeResourcePolicy, lex:ListBotAliases, lex:ListBotLocales, lex:ListBots, lex:ListTagsForResource, license-manager:GetGrant, license-manager:GetLicense, license-manager:ListDistributedGrants, license-manager:ListLicenses, license-manager:ListReceivedGrants, lightsail:GetAlarms, lightsail:GetBuckets, lightsail:GetCertificates, lightsail:GetDisk, lightsail:GetDisks, lightsail:GetInstance, lightsail:GetInstances, lightsail:GetKeyPair, lightsail:GetLoadBalancer, lightsail:GetLoadBalancers, lightsail:GetLoadBalancerTlsCertificates, lightsail:GetStaticIp, lightsail:GetStaticIps, lookoutequipment:DescribeInferenceScheduler, lookoutequipment:ListTagsForResource, lookoutmetrics:DescribeAlert, lookoutmetrics:DescribeAnomalyDetector, lookoutmetrics:ListAlerts, lookoutmetrics:ListAnomalyDetectors, lookoutmetrics:ListMetricSets, lookoutmetrics:ListTagsForResource, lookoutvision:DescribeProject, lookoutvision:ListProjects, managedblockchain:GetMember, managedblockchain:GetNetwork, managedblockchain:GetNode, managedblockchain:ListInvitations, managedblockchain:ListMembers, managedblockchain:ListNodes, mediapackage-vod:DescribePackagingGroup, mediapackage-vod:ListPackagingGroups, mediapackage-vod:ListTagsForResource, mobiletargeting:GetInAppTemplate, mobiletargeting:ListTemplates, mq:DescribeBroker, mq:ListBrokers, nimble:GetLaunchProfile, nimble:GetLaunchProfileDetails, nimble:GetStreamingImage, nimble:GetStudio, nimble:GetStudioComponent, nimble:ListLaunchProfiles, nimble:ListStreamingImages, nimble:ListStudioComponents, nimble:ListStudios, profile:GetDomain, profile:GetIntegration, profile:GetProfileObjectType, profile:ListDomains, profile:ListIntegrations, profile:ListProfileObjectTypes, profile:ListTagsForResource, quicksight:DescribeAnalysis, quicksight:DescribeAnalysisPermissions, quicksight:DescribeDataSet, quicksight:DescribeDataSetPermissions, quicksight:DescribeTheme, quicksight:DescribeThemePermissions, quicksight:ListAnalyses, quicksight:ListDataSets, quicksight:ListThemes, resiliencehub:DescribeApp, resiliencehub:DescribeAppVersionTemplate, resiliencehub:DescribeResiliencyPolicy, resiliencehub:ListApps, resiliencehub:ListAppVersionResourceMappings, resiliencehub:ListResiliencyPolicies, route53-recovery-readiness:GetCell, route53-recovery-readiness:GetReadinessCheck, route53-recovery-readiness:GetRecoveryGroup, route53-recovery-readiness:GetResourceSet, route53-recovery-readiness:ListCells, route53-recovery-readiness:ListReadinessChecks, route53-recovery-readiness:ListRecoveryGroups, route53-recovery-readiness:ListResourceSets, route53resolver:GetFirewallDomainList, route53resolver:GetFirewallRuleGroup, route53resolver:GetFirewallRuleGroupAssociation, route53resolver:GetResolverQueryLogConfig, route53resolver:ListFirewallDomainLists, route53resolver:ListFirewallDomains, route53resolver:ListFirewallRuleGroupAssociations, route53resolver:ListFirewallRuleGroups, route53resolver:ListFirewallRules, route53resolver:ListResolverQueryLogConfigs, rum:GetAppMonitor, rum:GetAppMonitorData, rum:ListAppMonitors, rum:ListTagsForResource, s3-outposts:GetAccessPoint, s3-outposts:GetAccessPointPolicy, s3-outposts:GetBucket, s3-outposts:GetBucketPolicy, s3-outposts:GetBucketTagging, s3-outposts:GetLifecycleConfiguration, s3-outposts:ListAccessPoints, s3-outposts:ListEndpoints, s3-outposts:ListRegionalBuckets, schemas:DescribeDiscoverer, schemas:DescribeRegistry, schemas:DescribeSchema, schemas:ListDiscoverers, schemas:ListRegistries, schemas:ListSchemas, sdb:GetAttributes, sdb:ListDomains, ses:ListEmailTemplates, ses:ListReceiptFilters, ses:ListReceiptRuleSets, ses:ListTemplates, signer:GetSigningProfile, signer:ListProfilePermissions, signer:ListSigningProfiles, synthetics:DescribeCanaries, synthetics:DescribeCanariesLastRun, synthetics:DescribeRuntimeVersions, synthetics:GetCanary, synthetics:GetCanaryRuns, synthetics:ListTagsForResource, timestream:DescribeDatabase, timestream:DescribeTable, timestream:ListDatabases, timestream:ListTables, timestream:ListTagsForResource, transfer:DescribeServer, transfer:DescribeUser, transfer:DescribeWorkflow, transfer:ListServers, transfer:ListUsers, transfer:ListWorkflows, voiceid:DescribeDomain, and voiceid:ListTagsForResource | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon AppFlow, Amazon, Amazon CloudWatch RUM CloudWatch, Amazon CloudWatch Synthetics, Amazon Connect-Kundenprofile, Amazon Connect Voice ID, Amazon DevOps Guru, Amazon Elastic Compute Cloud (Amazon EC2), Amazon EC2 Auto Scaling, Amazon EMR, Amazon, Amazon EventBridge Schemas EventBridge, Amazon Fraud Detector, Amazon GameLift Servers Amazon FinSpace, Amazon Interactive Video Service (Amazon IVS), Amazon Managed Service für Apache Flink, EC2 Image Builder, Amazon Lex, Amazon Lightsail, Amazon Location Service , Amazon Lookout for Equipment, Amazon Lookout for Metrics, Amazon Lookout for Vision, Amazon Managed Blockchain, Amazon MQ, Amazon Nimble StudioAmazon Pinpoint, Amazon Quick, Amazon Application Recovery Controller (ARC) Amazon Route 53 Resolver,, Amazon Simple Storage Service (Amazon S3), Amazon SimpleDB, Amazon Simple Email Service (Amazon SES), Amazon Timestream AWS AppConfig AWS AppSync, AWS Auto Scaling,, AWS Backup, AWS Budgets, AWS Cost Explorer, AWS Cloud9, AWS Directory Service AWS DataSync AWS Elemental MediaPackage AWS Glue AWS IoT AWS IoT Analytics AWS IoT Events AWS IoT SiteWise AWS IoT TwinMaker AWS Lake Formation,,,, und AWS License Manager AWS Resilience Hub AWS Signer AWS Transfer Family | 7. September 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: airflow:ListTagsForResource, iot:ListCustomMetrics, iot:DescribeCustomMetric, appstream:DescribeDirectoryConfigs, appstream:ListTagsForResource, codeguru-reviewer:DescribeRepositoryAssociation, codeguru-reviewer:ListRepositoryAssociations, healthlake:ListFHIRDatastores, healthlake:DescribeFHIRDatastore, healthlake:ListTagsForResource, kinesisvideo:DescribeStream, kinesisvideo:ListStreams, kinesisvideo:ListTagsForStream, kinesisvideo:DescribeSignalingChannel, kinesisvideo:ListTagsForResource, kinesisvideo:ListSignalingChannels, route53-recovery-control-config:DescribeCluster, route53-recovery-control-config:DescribeRoutingControl, route53-recovery-control-config:DescribeSafetyRule, route53-recovery-control-config:ListClusters, route53-recovery-control-config:ListRoutingControls, route53-recovery-control-config:ListSafetyRules, devicefarm:GetTestGridProject, devicefarm:ListTestGridProjects, ec2:DescribeCapacityReservationFleets, ec2:DescribeIpamPools, ec2:DescribeIpams, ec2:GetInstanceTypesFromInstanceRequirement, mobiletargeting:GetApplicationSettings, mobiletargeting:ListTagsForResource, ecr:BatchGetRepositoryScanningConfiguration, iam:ListServerCertificates, guardduty:ListPublishingDestinations, guardduty:DescribePublishingDestination, logs:GetLogDelivery, and logs:ListLogDeliveries | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon Managed Workflows for Apache Airflow AWS IoT, Amazon WorkSpaces Applications, Amazon CodeGuru Reviewer AWS HealthLake, Amazon Kinesis Video Streams, Amazon Application Recovery Controller (ARC) AWS Device Farm, Amazon Elastic Compute Cloud (Amazon EC2), Amazon Pinpoint AWS Identity and Access Management (IAM), Amazon und Amazon GuardDuty Logs. CloudWatch | 1. Februar 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: airflow:ListTagsForResource, iot:ListCustomMetrics, iot:DescribeCustomMetric, appstream:DescribeDirectoryConfigs, appstream:ListTagsForResource, codeguru-reviewer:DescribeRepositoryAssociation, codeguru-reviewer:ListRepositoryAssociations, healthlake:ListFHIRDatastores, healthlake:DescribeFHIRDatastore, healthlake:ListTagsForResource, kinesisvideo:DescribeStream, kinesisvideo:ListStreams, kinesisvideo:ListTagsForStream, kinesisvideo:DescribeSignalingChannel, kinesisvideo:ListTagsForResource, kinesisvideo:ListSignalingChannels, route53-recovery-control-config:DescribeCluster, route53-recovery-control-config:DescribeRoutingControl, route53-recovery-control-config:DescribeSafetyRule, route53-recovery-control-config:ListClusters, route53-recovery-control-config:ListRoutingControls, route53-recovery-control-config:ListSafetyRules, devicefarm:GetTestGridProject, devicefarm:ListTestGridProjects, ec2:DescribeCapacityReservationFleets, ec2:DescribeIpamPools, ec2:DescribeIpams, ec2:GetInstanceTypesFromInstanceRequirement, mobiletargeting:GetApplicationSettings, mobiletargeting:ListTagsForResource, ecr:BatchGetRepositoryScanningConfiguration, iam:ListServerCertificates, guardduty:ListPublishingDestinations, guardduty:DescribePublishingDestination, logs:GetLogDelivery, and logs:ListLogDeliveries | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon Managed Workflows for Apache Airflow AWS IoT, Amazon WorkSpaces Applications, Amazon CodeGuru Reviewer AWS HealthLake, Amazon Kinesis Video Streams, Amazon Application Recovery Controller (ARC) AWS Device Farm, Amazon Elastic Compute Cloud (Amazon EC2), Amazon Pinpoint AWS Identity and Access Management (IAM), Amazon und Amazon GuardDuty Logs. CloudWatch | 1. Februar 2023 |
| [ConfigConformsServiceRolePolicy](#security-iam-awsmanpol-ConfigConformsServiceRolePolicy) – Aktualisierung: config:DescribeConfigRules | Als bewährte Sicherheitsmethode entfernt diese Richtlinie nun umfassende Berechtigungen auf Ressourcenebene für `config:DescribeConfigRules`. | 12. Januar 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: APS:DescribeRuleGroupsNamespace, APS:DescribeWorkspace, APS:ListWorkspaces, auditmanager:GetAssessment, auditmanager:ListAssessments, devicefarm:GetNetworkProfile, AWS Transfer Family devicefarm:GetProject, devicefarm:ListNetworkProfiles, devicefarm:ListTagsForResource, dms:DescribeEndpoints, ds:ListTagsForResource, ec2:DescribeTags, ec2:DescribeTrafficMirrorSessions, ec2:DescribeTrafficMirrorTargets, ec2:GetIpamPoolAllocations, ec2:GetIpamPoolCidrs, glue:GetMLTransform, glue:GetMLTransforms, glue:ListMLTransforms, iot:DescribeScheduledAudit, iot:ListScheduledAudits, ivs:GetChannel, lightsail:GetRelationalDatabases, mediapackage-vod:DescribePackagingConfiguration, mediapackage-vod:ListPackagingConfigurations, networkmanager:DescribeGlobalNetworks, networkmanager:GetTransitGatewayRegistrations, networkmanager:ListTagsForResource, quicksight:DescribeDashboard, quicksight:DescribeDashboardPermissions, quicksight:DescribeTemplate, quicksight:DescribeTemplatePermissions, quicksight:ListDashboards, quicksight:ListTemplates, ram:ListResources, route53-recovery-control-config:DescribeControlPanel, route53-recovery-control-config:ListControlPanels, route53-recovery-control-config:ListTagsForResource, route53resolver:GetResolverQueryLogConfigAssociation, route53resolver:ListResolverQueryLogConfigAssociations, s3:GetAccessPointForObjectLambda, s3:GetAccessPointPolicyForObjectLambda, s3:GetAccessPointPolicyStatusForObjectLambda, s3:GetMultiRegionAccessPoint, s3:ListAccessPointsForObjectLambda, s3:ListMultiRegionAccessPoints, timestream:DescribeEndpoints, transfer:DescribeConnector, transfer:ListConnectors, and transfer:ListTagsForResource | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon Managed Service for Prometheus,, AWS Audit Manager, AWS Database Migration Service (AWS DMS) AWS Device Farm AWS Directory Service, Amazon Elastic Compute Cloud (Amazon EC2),,, Amazon Lightsail AWS Glue AWS IoT,,, Amazon Quick AWS Elemental MediaPackage, AWS Network Manager, Amazon Application Recovery Controller (ARC) AWS Resource Access Manager, Amazon Simple Storage Service (Amazon S3) und Amazon Timestream. | 15. Dezember 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: APS:DescribeRuleGroupsNamespace, APS:DescribeWorkspace, APS:ListWorkspaces, auditmanager:GetAssessment, auditmanager:ListAssessments, devicefarm:GetNetworkProfile, devicefarm:GetProject, devicefarm:ListNetworkProfiles, devicefarm:ListTagsForResource, dms:DescribeEndpoints, ds:ListTagsForResource, ec2:DescribeTags, ec2:DescribeTrafficMirrorSessions, ec2:DescribeTrafficMirrorTargets, ec2:GetIpamPoolAllocations, ec2:GetIpamPoolCidrs, glue:GetMLTransform, glue:GetMLTransforms, glue:ListMLTransforms, iot:DescribeScheduledAudit, iot:ListScheduledAudits, ivs:GetChannel, lightsail:GetRelationalDatabases, mediapackage-vod:DescribePackagingConfiguration, mediapackage-vod:ListPackagingConfigurations, networkmanager:DescribeGlobalNetworks, networkmanager:GetTransitGatewayRegistrations, networkmanager:ListTagsForResource, quicksight:DescribeDashboard, quicksight:DescribeDashboardPermissions, quicksight:DescribeTemplate, quicksight:DescribeTemplatePermissions, quicksight:ListDashboards, quicksight:ListTemplates, ram:ListResources, route53-recovery-control-config:DescribeControlPanel, route53-recovery-control-config:ListControlPanels, route53-recovery-control-config:ListTagsForResource, route53resolver:GetResolverQueryLogConfigAssociation, route53resolver:ListResolverQueryLogConfigAssociations, s3:GetAccessPointForObjectLambda, s3:GetAccessPointPolicyForObjectLambda, s3:GetAccessPointPolicyStatusForObjectLambda, s3:GetMultiRegionAccessPoint, s3:ListAccessPointsForObjectLambda, s3:ListMultiRegionAccessPoints, timestream:DescribeEndpoints, transfer:DescribeConnector, transfer:ListConnectors, and transfer:ListTagsForResource | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon Managed Service for Prometheus,, AWS Audit Manager, AWS Database Migration Service (AWS DMS) AWS Device Farm AWS Directory Service, Amazon Elastic Compute Cloud (Amazon EC2),,, Amazon Lightsail AWS Glue AWS IoT,,, Amazon Quick AWS Elemental MediaPackage, AWS Network Manager, Amazon Application Recovery Controller (ARC) AWS Resource Access Manager, Amazon Simple Storage Service (Amazon S3) und Amazon Timestream. | 15. Dezember 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: cloudformation:ListStackResources and cloudformation:ListStacks | Diese Richtlinie gewährt nun die Erlaubnis, Beschreibungen aller Ressourcen eines angegebenen AWS CloudFormation Stacks und die zusammenfassenden Informationen für Stacks zurückzugeben, deren Status dem angegebenen entsprichtStackStatusFilter. | 7. November 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: cloudformation:ListStackResources and cloudformation:ListStacks | Diese Richtlinie gewährt nun die Erlaubnis, Beschreibungen aller Ressourcen eines angegebenen AWS CloudFormation Stacks und die zusammenfassenden Informationen für Stapel zurückzugeben, deren Status dem angegebenen entspricht. StackStatusFilter | 7. November 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: acm-pca:GetCertificateAuthorityCsr, acm-pca:ListCertificateAuthorities, acm-pca:ListTags, airflow:GetEnvironment, airflow:ListEnvironments, amplifyuibuilder:ListThemes, appconfig:ListConfigurationProfiles, appconfig:ListDeployments, appconfig:ListDeploymentStrategies, appconfig:ListEnvironments, appconfig:ListHostedConfigurationVersions, cassandra:Select, cloudwatch:DescribeAnomalyDetectors, cloudwatch:GetDashboard, cloudwatch:ListDashboards, connect:DescribePhoneNumber, connect:ListPhoneNumbers, connect:ListPhoneNumbersV2, connect:SearchAvailablePhoneNumbers, databrew:DescribeDataset, databrew:DescribeJob, databrew:DescribeProject, databrew:DescribeRecipe, databrew:DescribeRuleset, databrew:DescribeSchedule, databrew:ListDatasets, databrew:ListJobs, databrew:ListProjects, databrew:ListRecipes, databrew:ListRecipeVersions, databrew:ListRulesets, databrew:ListSchedules, ec2:DescribeRouteTables, eks:DescribeAddon, eks:DescribeIdentityProviderConfig, eks:ListAddons, eks:ListIdentityProviderConfigs, events:DescribeConnection, events:ListApiDestinations, events:ListConnections, fis:GetExperimentTemplate, fis:ListExperimentTemplates, frauddetector:GetRules, fsx:DescribeBackups, fsx:DescribeSnapshots, fsx:DescribeStorageVirtualMachines, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeVpcPeeringConnections, geo:ListGeofenceCollections, geo:ListPlaceIndexes, geo:ListRouteCalculators, geo:ListTrackers, iot:DescribeAccountAuditConfiguration, iot:DescribeAuthorizer, iot:DescribeDomainConfiguration, iot:DescribeMitigationAction, iot:ListAuthorizers, iot:ListDomainConfigurations, iot:ListMitigationActions, iotsitewise:DescribeAssetModel, iotsitewise:DescribeDashboard, iotsitewise:DescribeGateway, iotsitewise:DescribePortal, iotsitewise:DescribeProject, iotsitewise:ListAssetModels, iotsitewise:ListDashboards, iotsitewise:ListGateways, iotsitewise:ListPortals, iotsitewise:ListProjectAssets, iotsitewise:ListProjects, iotsitewise:ListTagsForResource, iotwireless:GetServiceProfile, iotwireless:GetWirelessDevice, iotwireless:GetWirelessGatewayTaskDefinition, iotwireless:ListServiceProfiles, iotwireless:ListTagsForResource, iotwireless:ListWirelessDevices, iotwireless:ListWirelessGatewayTaskDefinitions, lex:DescribeBotVersion, lex:ListBotVersions, lightsail:GetContainerServices, lightsail:GetDistributions, lightsail:GetRelationalDatabase, lightsail:GetRelationalDatabaseParameters, mobiletargeting:GetApps, mobiletargeting:GetCampaign, mobiletargeting:GetSegment, mobiletargeting:GetSegments, opsworks:DescribeInstances, opsworks:DescribeTimeBasedAutoScaling, opsworks:DescribeVolumes, panorama:DescribeApplicationInstance, panorama:DescribeApplicationInstanceDetails, panorama:DescribePackage, panorama:DescribePackageVersion, panorama:ListApplicationInstances, panorama:ListPackages, quicksight:ListDataSources, ram:ListResourceSharePermissions, rds:DescribeDBProxies, rds:DescribeGlobalClusters, rekognition:ListStreamProcessors, resource-groups:GetGroup, resource-groups:GetGroupConfiguration, resource-groups:GetGroupQuery, resource-groups:GetTags, resource-groups:ListGroupResources, resource-groups:ListGroups, robomaker:ListRobotApplications, robomaker:ListSimulationApplications, route53resolver:GetResolverDnssecConfig, route53resolver:ListResolverDnssecConfigs, s3:ListStorageLensConfigurations, schemas:GetResourcePolicy, servicediscovery:ListInstances, sts:GetCallerIdentity, synthetics:GetGroup, synthetics:ListAssociatedGroups, synthetics:ListGroupResources, and synthetics:ListGroups | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für AWS Certificate Manager Amazon Managed Workflows for Apache Airflow,, AWS Amplify, Amazon Keyspaces AWS AppConfig, Amazon, Amazon Connect CloudWatch, Amazon Elastic Compute Cloud (Amazon EC2) AWS Glue DataBrew, Amazon Elastic Kubernetes Service (Amazon EKS), Amazon,, Amazon Fraud Detector EventBridge, Amazon AWS Fault Injection Service, Amazon GameLift Servers, Amazon Location Service FSx,, Amazon Lex, Amazon Lightsail AWS IoT, Amazon Pinpoint,,,, Amazon Quick, Amazon Relational Database Service (Amazon) OpsWorks AWS Panorama AWS Resource Access Manager RDS), Amazon Rekognition, AWS RoboMaker, AWS -Ressourcengruppen, Amazon Route 53, Amazon Simple Storage Service (Amazon S3) AWS Cloud Map, und. AWS -Security-Token-Service | 19. Oktober 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: acm-pca:GetCertificateAuthorityCsr, acm-pca:ListCertificateAuthorities, acm-pca:ListTags, airflow:GetEnvironment, airflow:ListEnvironments, amplifyuibuilder:ListThemes, appconfig:ListConfigurationProfiles, appconfig:ListDeployments, appconfig:ListDeploymentStrategies, appconfig:ListEnvironments, appconfig:ListHostedConfigurationVersions, cassandra:Select, cloudwatch:DescribeAnomalyDetectors, cloudwatch:GetDashboard, cloudwatch:ListDashboards, connect:DescribePhoneNumber, connect:ListPhoneNumbers, connect:ListPhoneNumbersV2, connect:SearchAvailablePhoneNumbers, databrew:DescribeDataset, databrew:DescribeJob, databrew:DescribeProject, databrew:DescribeRecipe, databrew:DescribeRuleset, databrew:DescribeSchedule, databrew:ListDatasets, databrew:ListJobs, databrew:ListProjects, databrew:ListRecipes, databrew:ListRecipeVersions, databrew:ListRulesets, databrew:ListSchedules, ec2:DescribeRouteTables, eks:DescribeAddon, eks:DescribeIdentityProviderConfig, eks:ListAddons, eks:ListIdentityProviderConfigs, events:DescribeConnection, events:ListApiDestinations, events:ListConnections, fis:GetExperimentTemplate, fis:ListExperimentTemplates, frauddetector:GetRules, fsx:DescribeBackups, fsx:DescribeSnapshots, fsx:DescribeStorageVirtualMachines, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeVpcPeeringConnections, geo:ListGeofenceCollections, geo:ListPlaceIndexes, geo:ListRouteCalculators, geo:ListTrackers, iot:DescribeAccountAuditConfiguration, iot:DescribeAuthorizer, iot:DescribeDomainConfiguration, iot:DescribeMitigationAction, iot:ListAuthorizers, iot:ListDomainConfigurations, iot:ListMitigationActions, iotsitewise:DescribeAssetModel, iotsitewise:DescribeDashboard, iotsitewise:DescribeGateway, iotsitewise:DescribePortal, iotsitewise:DescribeProject, iotsitewise:ListAssetModels, iotsitewise:ListDashboards, iotsitewise:ListGateways, iotsitewise:ListPortals, iotsitewise:ListProjectAssets, iotsitewise:ListProjects, iotsitewise:ListTagsForResource, iotwireless:GetServiceProfile, iotwireless:GetWirelessDevice, iotwireless:GetWirelessGatewayTaskDefinition, iotwireless:ListServiceProfiles, iotwireless:ListTagsForResource, iotwireless:ListWirelessDevices, iotwireless:ListWirelessGatewayTaskDefinitions, lex:DescribeBotVersion, lex:ListBotVersions, lightsail:GetContainerServices, lightsail:GetDistributions, lightsail:GetRelationalDatabase, lightsail:GetRelationalDatabaseParameters, mobiletargeting:GetApps, mobiletargeting:GetCampaign, mobiletargeting:GetSegment, mobiletargeting:GetSegments, opsworks:DescribeInstances, opsworks:DescribeTimeBasedAutoScaling, opsworks:DescribeVolumes, panorama:DescribeApplicationInstance, panorama:DescribeApplicationInstanceDetails, panorama:DescribePackage, panorama:DescribePackageVersion, panorama:ListApplicationInstances, panorama:ListPackages, quicksight:ListDataSources, ram:ListResourceSharePermissions, rds:DescribeDBProxies, rds:DescribeGlobalClusters, rekognition:ListStreamProcessors, resource-groups:GetGroup, resource-groups:GetGroupConfiguration, resource-groups:GetGroupQuery, resource-groups:GetTags, resource-groups:ListGroupResources, resource-groups:ListGroups, robomaker:ListRobotApplications, robomaker:ListSimulationApplications, route53resolver:GetResolverDnssecConfig, route53resolver:ListResolverDnssecConfigs, s3:ListStorageLensConfigurations, schemas:GetResourcePolicy, servicediscovery:ListInstances, sts:GetCallerIdentity, synthetics:GetGroup, synthetics:ListAssociatedGroups, synthetics:ListGroupResources, and synthetics:ListGroups | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für AWS Certificate Manager Amazon Managed Workflows for Apache Airflow,, AWS Amplify, Amazon Keyspaces AWS AppConfig, Amazon, Amazon Connect CloudWatch, Amazon Elastic Compute Cloud (Amazon EC2) AWS Glue DataBrew, Amazon Elastic Kubernetes Service (Amazon EKS), Amazon,, Amazon Fraud Detector EventBridge, Amazon AWS Fault Injection Service, Amazon GameLift Servers, Amazon Location Service FSx,, Amazon Lex, Amazon Lightsail AWS IoT, Amazon Pinpoint,,,, Amazon Quick, Amazon Relational Database Service (Amazon) OpsWorks AWS Panorama AWS Resource Access Manager RDS), Amazon Rekognition, AWS RoboMaker, AWS -Ressourcengruppen, Amazon Route 53, Amazon Simple Storage Service (Amazon S3) AWS Cloud Map, und. AWS -Security-Token-Service | 19. Oktober 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: Glue::GetTable | Diese Richtlinie gewährt jetzt die Berechtigung zum Abrufen der AWS Glue Tabellendefinition in einem Datenkatalog für eine angegebene Tabelle. | 14. September 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: Glue::GetTable | Diese Richtlinie gewährt jetzt die Berechtigung zum Abrufen der AWS Glue Tabellendefinition in einem Datenkatalog für eine angegebene Tabelle. | 14. September 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: appconfig:ListApplications, appflow:DescribeConnectorProfiles, appsync:GetApiCache, autoscaling-plans:DescribeScalingPlanResources, autoscaling-plans:DescribeScalingPlans, autoscaling-plans:GetScalingPlanResourceForecastData, autoscaling:DescribeWarmPool, backup:DescribeFramework, backup:DescribeReportPlan, backup:ListFrameworks, backup:ListReportPlans, budgets:DescribeBudgetAction, budgets:DescribeBudgetActionsForAccount, budgets:DescribeBudgetActionsForBudget, budgets:ViewBudget, ce:GetAnomalyMonitors, ce:GetAnomalySubscriptions, cloud9:DescribeEnvironmentMemberships, cloud9:DescribeEnvironments, cloud9:ListEnvironments, cloud9:ListTagsForResource, cloudwatch:GetMetricStream, cloudwatch:ListMetricStreams, datasync:DescribeLocationFsxWindows, devops-guru:GetResourceCollection, ds:DescribeDirectories, ec2:DescribeTrafficMirrorFilters, ec2:DescribeTrafficMirrorTargets, ec2:GetNetworkInsightsAccessScopeAnalysisFindings, ec2:GetNetworkInsightsAccessScopeContent, elasticmapreduce:DescribeStudio, elasticmapreduce:GetStudioSessionMapping, elasticmapreduce:ListStudios, elasticmapreduce:ListStudioSessionMappings, events:DescribeEndpoint, events:DescribeEventBus, events:DescribeRule, events:ListArchives, events:ListEndpoints, events:ListEventBuses, events:ListRules, events:ListTagsForResource, events:ListTargetsByRule, finspace:GetEnvironment, finspace:ListEnvironments, frauddetector:GetDetectors, frauddetector:GetDetectorVersion, frauddetector:GetEntityTypes, frauddetector:GetEventTypes, frauddetector:GetExternalModels, frauddetector:GetLabels, frauddetector:GetModels, frauddetector:GetOutcomes, frauddetector:GetVariables, frauddetector:ListTagsForResource, gamelift:DescribeAlias, gamelift:DescribeBuild, gamelift:DescribeFleetAttributes, gamelift:DescribeFleetCapacity, gamelift:DescribeFleetLocationAttributes, gamelift:DescribeFleetLocationCapacity, gamelift:DescribeFleetPortSettings, gamelift:DescribeGameServerGroup, gamelift:DescribeGameSessionQueues, gamelift:DescribeMatchmakingConfigurations, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeRuntimeConfiguration, gamelift:DescribeScript, gamelift:DescribeVpcPeeringAuthorizations, gamelift:ListAliases, gamelift:ListBuilds, gamelift:ListFleets, gamelift:ListGameServerGroups, gamelift:ListScripts, gamelift:ListTagsForResource, geo:ListMaps, glue:GetClassifier, glue:GetClassifiers, imagebuilder:GetContainerRecipe, imagebuilder:GetImage, imagebuilder:GetImagePipeline, imagebuilder:GetImageRecipe, imagebuilder:ListContainerRecipes, imagebuilder:ListImageBuildVersions, imagebuilder:ListImagePipelines, imagebuilder:ListImageRecipes, imagebuilder:ListImages, iot:DescribeCertificate, iot:DescribeDimension, iot:DescribeRoleAlias, iot:DescribeSecurityProfile, iot:GetPolicy, iot:GetTopicRule, iot:GetTopicRuleDestination, iot:ListCertificates, iot:ListDimensions, iot:ListPolicies, iot:ListRoleAliases, iot:ListSecurityProfiles, iot:ListSecurityProfilesForTarget, iot:ListTagsForResource, iot:ListTargetsForSecurityProfile, iot:ListTopicRuleDestinations, iot:ListTopicRules, iot:ListV2LoggingLevels, iot:ValidateSecurityProfileBehaviors, iotanalytics:DescribeChannel, iotanalytics:DescribeDataset, iotanalytics:DescribeDatastore, iotanalytics:DescribePipeline, iotanalytics:ListChannels, iotanalytics:ListDatasets, iotanalytics:ListDatastores, iotanalytics:ListPipelines, iotanalytics:ListTagsForResource, iotevents:DescribeAlarmModel, iotevents:DescribeDetectorModel, iotevents:DescribeInput, iotevents:ListAlarmModels, iotevents:ListDetectorModels, iotevents:ListInputs, iotevents:ListTagsForResource, iotsitewise:DescribeAccessPolicy, iotsitewise:DescribeAsset, iotsitewise:ListAccessPolicies, iotsitewise:ListAssets, iottwinmaker:GetEntity, iottwinmaker:GetScene, iottwinmaker:GetWorkspace, iottwinmaker:ListEntities, iottwinmaker:ListScenes, iottwinmaker:ListTagsForResource, iottwinmaker:ListWorkspaces, ivs:GetPlaybackKeyPair, ivs:GetRecordingConfiguration, ivs:GetStreamKey, ivs:ListChannels, ivs:ListPlaybackKeyPairs, ivs:ListRecordingConfigurations, ivs:ListStreamKeys, ivs:ListTagsForResource, kinesisanalytics:ListApplications, lakeformation:DescribeResource, lakeformation:GetDataLakeSettings, lakeformation:ListPermissions, lakeformation:ListResources, lex:DescribeBot, lex:DescribeBotAlias, lex:DescribeResourcePolicy, lex:ListBotAliases, lex:ListBotLocales, lex:ListBots, lex:ListTagsForResource, license-manager:GetGrant, license-manager:GetLicense, license-manager:ListDistributedGrants, license-manager:ListLicenses, license-manager:ListReceivedGrants, lightsail:GetAlarms, lightsail:GetBuckets, lightsail:GetCertificates, lightsail:GetDisk, lightsail:GetDisks, lightsail:GetInstance, lightsail:GetInstances, lightsail:GetKeyPair, lightsail:GetLoadBalancer, lightsail:GetLoadBalancers, lightsail:GetLoadBalancerTlsCertificates, lightsail:GetStaticIp, lightsail:GetStaticIps, lookoutequipment:DescribeInferenceScheduler, lookoutequipment:ListTagsForResource, lookoutmetrics:DescribeAlert, lookoutmetrics:DescribeAnomalyDetector, lookoutmetrics:ListAlerts, lookoutmetrics:ListAnomalyDetectors, lookoutmetrics:ListMetricSets, lookoutmetrics:ListTagsForResource, lookoutvision:DescribeProject, lookoutvision:ListProjects, managedblockchain:GetMember, managedblockchain:GetNetwork, managedblockchain:GetNode, managedblockchain:ListInvitations, managedblockchain:ListMembers, managedblockchain:ListNodes, mediapackage-vod:DescribePackagingGroup, mediapackage-vod:ListPackagingGroups, mediapackage-vod:ListTagsForResource, mobiletargeting:GetInAppTemplate, mobiletargeting:ListTemplates, mq:DescribeBroker, mq:ListBrokers, nimble:GetLaunchProfile, nimble:GetLaunchProfileDetails, nimble:GetStreamingImage, nimble:GetStudio, nimble:GetStudioComponent, nimble:ListLaunchProfiles, nimble:ListStreamingImages, nimble:ListStudioComponents, nimble:ListStudios, profile:GetDomain, profile:GetIntegration, profile:GetProfileObjectType, profile:ListDomains, profile:ListIntegrations, profile:ListProfileObjectTypes, profile:ListTagsForResource, quicksight:DescribeAnalysis, quicksight:DescribeAnalysisPermissions, quicksight:DescribeDataSet, quicksight:DescribeDataSetPermissions, quicksight:DescribeTheme, quicksight:DescribeThemePermissions, quicksight:ListAnalyses, quicksight:ListDataSets, quicksight:ListThemes, resiliencehub:DescribeApp, resiliencehub:DescribeAppVersionTemplate, resiliencehub:DescribeResiliencyPolicy, resiliencehub:ListApps, resiliencehub:ListAppVersionResourceMappings, resiliencehub:ListResiliencyPolicies, route53-recovery-readiness:GetCell, route53-recovery-readiness:GetReadinessCheck, route53-recovery-readiness:GetRecoveryGroup, route53-recovery-readiness:GetResourceSet, route53-recovery-readiness:ListCells, route53-recovery-readiness:ListReadinessChecks, route53-recovery-readiness:ListRecoveryGroups, route53-recovery-readiness:ListResourceSets, route53resolver:GetFirewallDomainList, route53resolver:GetFirewallRuleGroup, route53resolver:GetFirewallRuleGroupAssociation, route53resolver:GetResolverQueryLogConfig, route53resolver:ListFirewallDomainLists, route53resolver:ListFirewallDomains, route53resolver:ListFirewallRuleGroupAssociations, route53resolver:ListFirewallRuleGroups, route53resolver:ListFirewallRules, route53resolver:ListResolverQueryLogConfigs, rum:GetAppMonitor, rum:GetAppMonitorData, rum:ListAppMonitors, rum:ListTagsForResource, s3-outposts:GetAccessPoint, s3-outposts:GetAccessPointPolicy, s3-outposts:GetBucket, s3-outposts:GetBucketPolicy, s3-outposts:GetBucketTagging, s3-outposts:GetLifecycleConfiguration, s3-outposts:ListAccessPoints, s3-outposts:ListEndpoints, s3-outposts:ListRegionalBuckets, schemas:DescribeDiscoverer, schemas:DescribeRegistry, schemas:DescribeSchema, schemas:ListDiscoverers, schemas:ListRegistries, schemas:ListSchemas, sdb:GetAttributes, sdb:ListDomains, ses:ListEmailTemplates, ses:ListReceiptFilters, ses:ListReceiptRuleSets, ses:ListTemplates, signer:GetSigningProfile, signer:ListProfilePermissions, signer:ListSigningProfiles, synthetics:DescribeCanaries, synthetics:DescribeCanariesLastRun, synthetics:DescribeRuntimeVersions, synthetics:GetCanary, synthetics:GetCanaryRuns, synthetics:ListTagsForResource, timestream:DescribeDatabase, timestream:DescribeTable, timestream:ListDatabases, timestream:ListTables, timestream:ListTagsForResource, transfer:DescribeServer, transfer:DescribeUser, transfer:DescribeWorkflow, transfer:ListServers, transfer:ListUsers, transfer:ListWorkflows, voiceid:DescribeDomain, and voiceid:ListTagsForResource | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon AppFlow, Amazon, Amazon CloudWatch RUM CloudWatch, Amazon CloudWatch Synthetics, Amazon Connect-Kundenprofile, Amazon Connect Voice ID, Amazon DevOps Guru, Amazon Elastic Compute Cloud (Amazon EC2), Amazon EC2 Auto Scaling, Amazon EMR, Amazon, Amazon EventBridge Schemas EventBridge, Amazon Fraud Detector, Amazon GameLift Servers Amazon FinSpace, Amazon Interactive Video Service (Amazon IVS), Amazon Managed Service für Apache Flink, EC2 Image Builder, Amazon Lex, Amazon Lightsail, Amazon Location Service , Amazon Lookout for Equipment, Amazon Lookout for Metrics, Amazon Lookout for Vision, Amazon Managed Blockchain, Amazon MQ, Amazon Nimble StudioAmazon Pinpoint, Amazon Quick, Amazon Application Recovery Controller (ARC) Amazon Route 53 Resolver,, Amazon Simple Storage Service (Amazon S3), Amazon SimpleDB, Amazon Simple Email Service (Amazon SES), Amazon Timestream AWS AppConfig AWS AppSync, AWS Auto Scaling,, AWS Backup, AWS Budgets, AWS Cost Explorer, AWS Cloud9, AWS Directory Service AWS DataSync AWS Elemental MediaPackage AWS Glue AWS IoT AWS IoT Analytics AWS IoT Events AWS IoT SiteWise AWS IoT TwinMaker AWS Lake Formation,,,, und. AWS License Manager AWS Resilience Hub AWS Signer AWS Transfer Family | 7. September 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: appconfig:ListApplications, appflow:DescribeConnectorProfiles, appsync:GetApiCache, autoscaling-plans:DescribeScalingPlanResources, autoscaling-plans:DescribeScalingPlans, autoscaling-plans:GetScalingPlanResourceForecastData, autoscaling:DescribeWarmPool, backup:DescribeFramework, backup:DescribeReportPlan, backup:ListFrameworks, backup:ListReportPlans, budgets:DescribeBudgetAction, budgets:DescribeBudgetActionsForAccount, budgets:DescribeBudgetActionsForBudget, budgets:ViewBudget, ce:GetAnomalyMonitors, ce:GetAnomalySubscriptions, cloud9:DescribeEnvironmentMemberships, cloud9:DescribeEnvironments, cloud9:ListEnvironments, cloud9:ListTagsForResource, cloudwatch:GetMetricStream, cloudwatch:ListMetricStreams, datasync:DescribeLocationFsxWindows, devops-guru:GetResourceCollection, ds:DescribeDirectories, ec2:DescribeTrafficMirrorTargets, ec2:GetNetworkInsightsAccessScopeAnalysisFindings, ec2:GetNetworkInsightsAccessScopeContent, elasticmapreduce:DescribeStudio, elasticmapreduce:GetStudioSessionMapping, elasticmapreduce:ListStudios, elasticmapreduce:ListStudioSessionMappings, events:DescribeEndpoint, events:DescribeEventBus, events:DescribeRule, events:ListArchives, events:ListEndpoints, events:ListEventBuses, events:ListRules, events:ListTagsForResource, events:ListTargetsByRule, finspace:GetEnvironment, finspace:ListEnvironments, frauddetector:GetDetectors, frauddetector:GetDetectorVersion, frauddetector:GetEntityTypes, frauddetector:GetEventTypes, frauddetector:GetExternalModels, frauddetector:GetLabels, frauddetector:GetModels, frauddetector:GetOutcomes, frauddetector:GetVariables, frauddetector:ListTagsForResource, gamelift:DescribeAlias, gamelift:DescribeBuild, gamelift:DescribeFleetAttributes, gamelift:DescribeFleetCapacity, gamelift:DescribeFleetLocationAttributes, gamelift:DescribeFleetLocationCapacity, gamelift:DescribeFleetPortSettings, gamelift:DescribeGameServerGroup, gamelift:DescribeGameSessionQueues, gamelift:DescribeMatchmakingConfigurations, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeRuntimeConfiguration, gamelift:DescribeScript, gamelift:DescribeVpcPeeringAuthorizations, gamelift:ListAliases, gamelift:ListBuilds, gamelift:ListFleets, gamelift:ListGameServerGroups, gamelift:ListScripts, gamelift:ListTagsForResource, geo:ListMaps, glue:GetClassifier, glue:GetClassifiers, imagebuilder:GetContainerRecipe, imagebuilder:GetImage, imagebuilder:GetImagePipeline, imagebuilder:GetImageRecipe, imagebuilder:ListContainerRecipes, imagebuilder:ListImageBuildVersions, imagebuilder:ListImagePipelines, imagebuilder:ListImageRecipes, imagebuilder:ListImages, iot:DescribeCertificate, iot:DescribeDimension, iot:DescribeRoleAlias, iot:DescribeSecurityProfile, iot:GetPolicy, iot:GetTopicRule, iot:GetTopicRuleDestination, iot:ListCertificates, iot:ListDimensions, iot:ListPolicies, iot:ListRoleAliases, iot:ListSecurityProfiles, iot:ListSecurityProfilesForTarget, iot:ListTagsForResource, iot:ListTargetsForSecurityProfile, iot:ListTopicRuleDestinations, iot:ListTopicRules, iot:ListV2LoggingLevels, iot:ValidateSecurityProfileBehaviors, iotanalytics:DescribeChannel, iotanalytics:DescribeDataset, iotanalytics:DescribeDatastore, iotanalytics:DescribePipeline, iotanalytics:ListChannels, iotanalytics:ListDatasets, iotanalytics:ListDatastores, iotanalytics:ListPipelines, iotanalytics:ListTagsForResource, iotevents:DescribeAlarmModel, iotevents:DescribeDetectorModel, iotevents:DescribeInput, iotevents:ListAlarmModels, iotevents:ListDetectorModels, iotevents:ListInputs, iotevents:ListTagsForResource, iotsitewise:DescribeAccessPolicy, iotsitewise:DescribeAsset, iotsitewise:ListAccessPolicies, iotsitewise:ListAssets, iottwinmaker:GetEntity, iottwinmaker:GetScene, iottwinmaker:GetWorkspace, iottwinmaker:ListEntities, iottwinmaker:ListScenes, iottwinmaker:ListTagsForResource, iottwinmaker:ListWorkspaces, ivs:GetPlaybackKeyPair, ivs:GetRecordingConfiguration, ivs:GetStreamKey, ivs:ListChannels, ivs:ListPlaybackKeyPairs, ivs:ListRecordingConfigurations, ivs:ListStreamKeys, ivs:ListTagsForResource, kinesisanalytics:ListApplications, lakeformation:DescribeResource, lakeformation:GetDataLakeSettings, lakeformation:ListPermissions, lakeformation:ListResources, lex:DescribeBot, lex:DescribeBotAlias, lex:DescribeResourcePolicy, lex:ListBotAliases, lex:ListBotLocales, lex:ListBots, lex:ListTagsForResource, license-manager:GetGrant, license-manager:GetLicense, license-manager:ListDistributedGrants, license-manager:ListLicenses, license-manager:ListReceivedGrants, lightsail:GetAlarms, lightsail:GetBuckets, lightsail:GetCertificates, lightsail:GetDisk, lightsail:GetDisks, lightsail:GetInstance, lightsail:GetInstances, lightsail:GetKeyPair, lightsail:GetLoadBalancer, lightsail:GetLoadBalancers, lightsail:GetLoadBalancerTlsCertificates, lightsail:GetStaticIp, lightsail:GetStaticIps, lookoutequipment:DescribeInferenceScheduler, lookoutequipment:ListTagsForResource, lookoutmetrics:DescribeAlert, lookoutmetrics:DescribeAnomalyDetector, lookoutmetrics:ListAlerts, lookoutmetrics:ListAnomalyDetectors, lookoutmetrics:ListMetricSets, lookoutmetrics:ListTagsForResource, lookoutvision:DescribeProject, lookoutvision:ListProjects, managedblockchain:GetMember, managedblockchain:GetNetwork, managedblockchain:GetNode, managedblockchain:ListInvitations, managedblockchain:ListMembers, managedblockchain:ListNodes, mediapackage-vod:DescribePackagingGroup, mediapackage-vod:ListPackagingGroups, mediapackage-vod:ListTagsForResource, mobiletargeting:GetInAppTemplate, mobiletargeting:ListTemplates, mq:DescribeBroker, mq:ListBrokers, nimble:GetLaunchProfile, nimble:GetLaunchProfileDetails, nimble:GetStreamingImage, nimble:GetStudio, nimble:GetStudioComponent, nimble:ListLaunchProfiles, nimble:ListStreamingImages, nimble:ListStudioComponents, nimble:ListStudios, profile:GetDomain, profile:GetIntegration, profile:GetProfileObjectType, profile:ListDomains, profile:ListIntegrations, profile:ListProfileObjectTypes, profile:ListTagsForResource, quicksight:DescribeAnalysis, quicksight:DescribeAnalysisPermissions, quicksight:DescribeDataSet, quicksight:DescribeDataSetPermissions, quicksight:DescribeTheme, quicksight:DescribeThemePermissions, quicksight:ListAnalyses, quicksight:ListDataSets, quicksight:ListThemes, resiliencehub:DescribeApp, resiliencehub:DescribeAppVersionTemplate, resiliencehub:DescribeResiliencyPolicy, resiliencehub:ListApps, resiliencehub:ListAppVersionResourceMappings, resiliencehub:ListResiliencyPolicies, route53-recovery-readiness:GetCell, route53-recovery-readiness:GetReadinessCheck, route53-recovery-readiness:GetRecoveryGroup, route53-recovery-readiness:GetResourceSet, route53-recovery-readiness:ListCells, route53-recovery-readiness:ListReadinessChecks, route53-recovery-readiness:ListRecoveryGroups, route53-recovery-readiness:ListResourceSets, route53resolver:GetFirewallDomainList, route53resolver:GetFirewallRuleGroup, route53resolver:GetFirewallRuleGroupAssociation, route53resolver:GetResolverQueryLogConfig, route53resolver:ListFirewallDomainLists, route53resolver:ListFirewallDomains, route53resolver:ListFirewallRuleGroupAssociations, route53resolver:ListFirewallRuleGroups, route53resolver:ListFirewallRules, route53resolver:ListResolverQueryLogConfigs, rum:GetAppMonitor, rum:GetAppMonitorData, rum:ListAppMonitors, rum:ListTagsForResource, s3-outposts:GetAccessPoint, s3-outposts:GetAccessPointPolicy, s3-outposts:GetBucket, s3-outposts:GetBucketPolicy, s3-outposts:GetBucketTagging, s3-outposts:GetLifecycleConfiguration, s3-outposts:ListAccessPoints, s3-outposts:ListEndpoints, s3-outposts:ListRegionalBuckets, schemas:DescribeDiscoverer, schemas:DescribeRegistry, schemas:DescribeSchema, schemas:ListDiscoverers, schemas:ListRegistries, schemas:ListSchemas, sdb:GetAttributes, sdb:ListDomains, ses:ListEmailTemplates, ses:ListReceiptFilters, ses:ListReceiptRuleSets, ses:ListTemplates, signer:GetSigningProfile, signer:ListProfilePermissions, signer:ListSigningProfiles, synthetics:DescribeCanaries, synthetics:DescribeCanariesLastRun, synthetics:DescribeRuntimeVersions, synthetics:GetCanary, synthetics:GetCanaryRuns, synthetics:ListTagsForResource, timestream:DescribeDatabase, timestream:DescribeTable, timestream:ListDatabases, timestream:ListTables, timestream:ListTagsForResource, transfer:DescribeServer, transfer:DescribeUser, transfer:DescribeWorkflow, transfer:ListServers, transfer:ListUsers, transfer:ListWorkflows, voiceid:DescribeDomain, and voiceid:ListTagsForResource | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon AppFlow, Amazon, Amazon CloudWatch RUM CloudWatch, Amazon CloudWatch Synthetics, Amazon Connect-Kundenprofile, Amazon Connect Voice ID, Amazon DevOps Guru, Amazon Elastic Compute Cloud (Amazon EC2), Amazon EC2 Auto Scaling, Amazon EMR, Amazon, Amazon EventBridge Schemas EventBridge, Amazon Fraud Detector, Amazon GameLift Servers Amazon FinSpace, Amazon Interactive Video Service (Amazon IVS), Amazon Managed Service für Apache Flink, EC2 Image Builder, Amazon Lex, Amazon Lightsail, Amazon Location Service , Amazon Lookout for Equipment, Amazon Lookout for Metrics, Amazon Lookout for Vision, Amazon Managed Blockchain, Amazon MQ, Amazon Nimble StudioAmazon Pinpoint, Amazon Quick, Amazon Application Recovery Controller (ARC) Amazon Route 53 Resolver,, Amazon Simple Storage Service (Amazon S3), Amazon SimpleDB, Amazon Simple Email Service (Amazon SES), Amazon Timestream AWS AppConfig AWS AppSync, AWS Auto Scaling,, AWS Backup, AWS Budgets, AWS Cost Explorer, AWS Cloud9, AWS Directory Service AWS DataSync AWS Elemental MediaPackage AWS Glue AWS IoT AWS IoT Analytics AWS IoT Events AWS IoT SiteWise AWS IoT TwinMaker AWS Lake Formation,,,, und AWS License Manager AWS Resilience Hub AWS Signer AWS Transfer Family | 7. September 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: datasync:ListAgents, datasync:ListLocations, datasync:ListTasks, servicediscovery:ListNamespaces, servicediscovery:ListServices, and ses:ListContactLists | Diese Richtlinie gewährt nun die Erlaubnis, eine Liste von AWS DataSync Agenten, DataSync Quell- und Zielstandorten und DataSync Aufgaben in einer AWS-Konto Liste zurückzugeben, zusammenfassende Informationen über die AWS Cloud Map Namespaces und Dienste aufzulisten, die mit einem oder mehreren angegebenen Namespaces in einem verknüpft sind AWS-Konto, und alle Kontaktlisten von Amazon Simple Email Service (Amazon SES) aufzulisten, die in verfügbar sind. AWS-Konto | 22. August 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: datasync:ListAgents, datasync:ListLocations, datasync:ListTasks, servicediscovery:ListNamespaces, servicediscovery:ListServices, and ses:ListContactLists | Diese Richtlinie gewährt nun die Erlaubnis, eine Liste von AWS DataSync Agenten, DataSync Quell- und Zielstandorten und DataSync Aufgaben in einer AWS-Konto Liste zurückzugeben, zusammenfassende Informationen über die AWS Cloud Map Namespaces und Dienste aufzulisten, die mit einem oder mehreren angegebenen Namespaces in einem verknüpft sind AWS-Konto, und alle Kontaktlisten von Amazon Simple Email Service (Amazon SES) aufzulisten, die in verfügbar sind. AWS-Konto | 22. August 2022 |
| [ConfigConformsServiceRolePolicy](#security-iam-awsmanpol-ConfigConformsServiceRolePolicy) – Addition: cloudwatch:PutMetricData | Diese Richtlinie gewährt nun die Erlaubnis, metrische Datenpunkte auf Amazon zu veröffentlichen CloudWatch. | 25. Juli 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: amplifyuibuilder:ExportThemes, amplifyuibuilder:GetTheme, appconfig:GetApplication, appconfig:GetApplication, appconfig:GetConfigurationProfile, appconfig:GetConfigurationProfile, appconfig:GetDeployment, appconfig:GetDeploymentStrategy, appconfig:GetEnvironment, appconfig:GetHostedConfigurationVersion, appconfig:ListTagsForResource, appsync:GetGraphqlApi, appsync:ListGraphqlApis, billingconductor: ListPricingRulesAssociatedToPricingPlan, billingconductor:ListAccountAssociations, billingconductor:ListBillingGroups, billingconductor:ListCustomLineItems, billingconductor:ListPricingPlans, billingconductor:ListPricingRules, billingconductor:ListTagsForResource, datasync:DescribeAgent, datasync:DescribeLocationEfs, datasync:DescribeLocationFsxLustre, datasync:DescribeLocationHdfs, datasync:DescribeLocationNfs, datasync:DescribeLocationObjectStorage, datasync:DescribeLocationS3, datasync:DescribeLocationSmb, datasync:DescribeTask, datasync:ListTagsForResource, ecr:DescribePullThroughCacheRules, ecr:DescribeRegistry, ecr:GetRegistryPolicy, elasticache:DescribeCacheParameters, elasticloadbalancing:DescribeListenerCertificates, elasticloadbalancing:DescribeTargetGroupAttributes, elasticloadbalancing:DescribeTargetGroups, elasticloadbalancing:DescribeTargetHealth, events:DescribeApiDestination, events:DescribeArchive, fms:GetNotificationChannel, fms:GetPolicy, fms:ListPolicies, fms:ListTagsForResource, fsx:DescribeVolumes, geo:DescribeGeofenceCollection, geo:DescribeMap, geo:DescribePlaceIndex, geo:DescribeRouteCalculator, geo:DescribeTracker, geo:ListTrackerConsumers, glue:BatchGetJobs, glue:BatchGetWorkflows, glue:GetCrawler, glue:GetCrawlers, glue:GetJob, glue:GetJobs, glue:GetWorkflow, imagebuilder: GetComponent, imagebuilder: ListComponentBuildVersions, imagebuilder: ListComponents, imagebuilder:GetDistributionConfiguration, imagebuilder:GetInfrastructureConfiguration, imagebuilder:ListDistributionConfigurations, imagebuilder:ListInfrastructureConfigurations, kafka:DescribeClusterV2, kafka:ListClustersV2, kinesisanalytics:DescribeApplication, kinesisanalytics:ListTagsForResource, quicksight:DescribeDataSource, quicksight:DescribeDataSourcePermissions, quicksight:ListTagsForResource, rekognition:DescribeStreamProcessor, rekognition:ListTagsForResource, robomaker:DescribeRobotApplication, robomaker:DescribeSimulationApplication, s3:GetStorageLensConfiguration, s3:GetStorageLensConfigurationTagging, servicediscovery:GetInstance, servicediscovery:GetNamespace, servicediscovery:GetService, servicediscovery:ListTagsForResource, ses:DescribeReceiptRule, ses:DescribeReceiptRuleSet, ses:GetContactList, ses:GetEmailTemplate, ses:GetTemplate, and sso:GetInlinePolicyForPermissionSet | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon Elastic Container Service (Amazon ECS), Amazon, Amazon ElastiCache EventBridge FSx, Amazon Managed Service für Apache Flink, Amazon Location Service, Amazon Managed Streaming for Apache Kafka, Amazon Quick, Amazon Rekognition, AWS RoboMaker, Amazon Simple Storage Service (Amazon S3), Amazon Simple Email Service (Amazon SES),,,,, AWS Amplify AWS AppConfig AWS AppSync AWS Billing Conductor, AWS IAM Identity Center (IAM Identity Center) AWS DataSync AWS Firewall Manager AWS Glue, EC2 Image Builder und Elastic Load Balancing. | 15. Juli 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: amplifyuibuilder:ExportThemes, amplifyuibuilder:GetTheme, appconfig:GetApplication, appconfig:GetApplication, appconfig:GetConfigurationProfile, appconfig:GetConfigurationProfile, appconfig:GetDeployment, appconfig:GetDeploymentStrategy, appconfig:GetEnvironment, appconfig:GetHostedConfigurationVersion, appconfig:ListTagsForResource, appsync:GetGraphqlApi, appsync:ListGraphqlApis, billingconductor: ListPricingRulesAssociatedToPricingPlan, billingconductor:ListAccountAssociations, billingconductor:ListBillingGroups, billingconductor:ListCustomLineItems, billingconductor:ListPricingPlans, billingconductor:ListPricingRules, billingconductor:ListTagsForResource, datasync:DescribeAgent, datasync:DescribeLocationEfs, datasync:DescribeLocationFsxLustre, datasync:DescribeLocationHdfs, datasync:DescribeLocationNfs, datasync:DescribeLocationObjectStorage, datasync:DescribeLocationS3, datasync:DescribeLocationSmb, datasync:DescribeTask, datasync:ListTagsForResource, ecr:DescribePullThroughCacheRules, ecr:DescribeRegistry, ecr:GetRegistryPolicy, elasticache:DescribeCacheParameters, elasticloadbalancing:DescribeListenerCertificates, elasticloadbalancing:DescribeTargetGroupAttributes, elasticloadbalancing:DescribeTargetGroups, elasticloadbalancing:DescribeTargetHealth, events:DescribeApiDestination, events:DescribeArchive, fms:GetNotificationChannel, fms:GetPolicy, fms:ListPolicies, fms:ListTagsForResource, fsx:DescribeVolumes, geo:DescribeGeofenceCollection, geo:DescribeMap, geo:DescribePlaceIndex, geo:DescribeRouteCalculator, geo:DescribeTracker, geo:ListTrackerConsumers, glue:BatchGetJobs, glue:BatchGetWorkflows, glue:GetCrawler, glue:GetCrawlers, glue:GetJob, glue:GetJobs, glue:GetWorkflow, imagebuilder: GetComponent, imagebuilder: ListComponentBuildVersions, imagebuilder: ListComponents, imagebuilder:GetDistributionConfiguration, imagebuilder:GetInfrastructureConfiguration, imagebuilder:ListDistributionConfigurations, imagebuilder:ListInfrastructureConfigurations, kafka:DescribeClusterV2, kafka:ListClustersV2, kinesisanalytics:DescribeApplication, kinesisanalytics:ListTagsForResource, quicksight:DescribeDataSource, quicksight:DescribeDataSourcePermissions, quicksight:ListTagsForResource, rekognition:DescribeStreamProcessor, rekognition:ListTagsForResource, robomaker:DescribeRobotApplication, robomaker:DescribeSimulationApplication, s3:GetStorageLensConfiguration, s3:GetStorageLensConfigurationTagging, servicediscovery:GetInstance, servicediscovery:GetNamespace, servicediscovery:GetService, servicediscovery:ListTagsForResource, ses:DescribeReceiptRule, ses:DescribeReceiptRuleSet, ses:GetContactList, ses:GetEmailTemplate, ses:GetTemplate, and sso:GetInlinePolicyForPermissionSet | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für Amazon Elastic Container Service (Amazon ECS), Amazon, Amazon ElastiCache EventBridge FSx, Amazon Managed Service für Apache Flink, Amazon Location Service, Amazon Managed Streaming for Apache Kafka, Amazon Quick, Amazon Rekognition, AWS RoboMaker, Amazon Simple Storage Service (Amazon S3), Amazon Simple Email Service (Amazon SES),,,,, AWS Amplify AWS AppConfig AWS AppSync AWS Billing Conductor, AWS IAM Identity Center (IAM Identity Center) AWS DataSync AWS Firewall Manager AWS Glue, EC2 Image Builder und Elastic Load Balancing. | 15. Juli 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: athena:GetDataCatalog, athena:ListDataCatalogs, athena:ListTagsForResource, detective:ListGraphs, detective:ListTagsForResource, glue:BatchGetDevEndpoints, glue:GetDevEndpoint, glue:GetDevEndpoints, glue:GetSecurityConfiguration, glue:GetSecurityConfigurations, glue:GetTags glue:GetWorkGroup, glue:ListCrawlers, glue:ListDevEndpoints, glue:ListJobs, glue:ListMembers, glue:ListWorkflows, glue:ListWorkGroups, guardduty:GetFilter, guardduty:GetIPSet, guardduty:GetThreatIntelSet, guardduty:GetMembers, guardduty:ListFilters, guardduty:ListIPSets, guardduty:ListTagsForResource, guardduty:ListThreatIntelSets, macie:GetMacieSession, ram:GetResourceShareAssociations, ram:GetResourceShares, ses:GetConfigurationSet, ses:GetConfigurationSetEventDestinations, ses:ListConfigurationSets, sso:DescribeInstanceAccessControlAttributeConfiguration, sso:DescribePermissionSet, sso:ListManagedPoliciesInPermissionSet, sso:ListPermissionSets, and sso:ListTagsForResource | Diese Richtlinie gewährt nun die Erlaubnis, einen bestimmten Amazon Athena Athena-Datenkatalog abzurufen, die Athena-Datenkataloge in einem aufzulisten und Tags aufzulisten AWS-Konto, die mit einer Athena-Arbeitsgruppe oder Datenkatalogressource verknüpft sind; um eine Liste von Amazon Detective-Verhaltensdiagrammen und Listen-Tags für ein Detective-Verhaltensdiagramm abzurufen; eine Liste von Ressourcenmetadaten für eine bestimmte Liste von AWS Glue Entwicklungsendpunktnamen abzurufen, Informationen über einen bestimmten AWS Glue Entwicklungsendpunkt abzurufen, alle AWS Glue Entwicklungsendpunkte in einem, abzurufen AWS-Konto AWS Glue Konfiguration, alle AWS Glue Sicherheitskonfigurationen abrufen, eine Liste der mit einer AWS Glue Ressource verknüpften Tags abrufen, Informationen über eine AWS Glue Arbeitsgruppe mit dem angegebenen Namen abrufen, die Namen aller AWS Glue Crawler-Ressourcen in einem AWS Konto abrufen, die Namen aller AWS Glue `DevEndpoint` Ressourcen in einem abrufen AWS-Konto, die Namen aller AWS Glue Jobressourcen in einem auflisten AWS-Konto, Details zu AWS Glue Mitgliedskonten abrufen, Namen von AWS Glue Workflows auflisten, in einem Konto erstellte Workflows auflisten und verfügbare AWS Glue Arbeitsgruppen für ein Konto auflisten; um Details zu einem GuardDuty Amazon-Filter abzurufen, einen abzurufen GuardDuty IPSet, einen abzurufen GuardDutyThreatIntelSet, GuardDuty Mitgliedskonten abzurufen, eine Filterliste abzurufen, den IPSets GuardDuty Service abzurufen, Tags für den GuardDuty Service abzurufen und den ThreatIntelSets des GuardDuty Service abzurufen; um den aktuellen Status und die Konfigurationseinstellungen für ein Amazon Macie-Konto abzurufen; um die Ressourcen- und Hauptzuordnungen für AWS Resource Access Manager (AWS RAM) Resource Shares abzurufen und Details AWS RAM zur Ressource abzurufen GuardDuty teilt; um Informationen über einen vorhandenen Konfigurationssatz von Amazon Simple Email Service (Amazon SES) abzurufen, eine Liste von Ereigniszielen abzurufen, die mit einem Amazon SES SES-Konfigurationssatz verknüpft sind, und um alle mit einem Amazon SES-Konto verknüpften Konfigurationssätze aufzurufen; und um eine Liste von Identity Center-Verzeichnisattributen abzurufen, die Details eines AWS IAM Identity Center Berechtigungssatzes abzurufen, die IAM-verwaltete Richtlinie abzurufen, die mit einem bestimmten IAM Identity Center-Berechtigungssatz verknüpft ist, den Berechtigungssatz für ein IAM abzurufen Identity Center-Instanz und Abrufen von Tags für IAM Identity Ressourcen des Zentrums. | 31. Mai 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: athena:GetDataCatalog, athena:ListDataCatalogs, athena:ListTagsForResource, detective:ListGraphs, detective:ListTagsForResource, glue:BatchGetDevEndpoints, glue:GetDevEndpoint, glue:GetDevEndpoints, glue:GetSecurityConfiguration, glue:GetSecurityConfigurations, glue:GetTags glue:GetWorkGroup, glue:ListCrawlers, glue:ListDevEndpoints, glue:ListJobs, glue:ListMembers, glue:ListWorkflows, glue:ListWorkGroups, guardduty:GetFilter, guardduty:GetIPSet, guardduty:GetThreatIntelSet, guardduty:GetMembers, guardduty:ListFilters, guardduty:ListIPSets, guardduty:ListTagsForResource, guardduty:ListThreatIntelSets, macie:GetMacieSession, ram:GetResourceShareAssociations, ram:GetResourceShares, ses:GetConfigurationSet, ses:GetConfigurationSetEventDestinations, ses:ListConfigurationSets, sso:DescribeInstanceAccessControlAttributeConfiguration, sso:DescribePermissionSet, sso:ListManagedPoliciesInPermissionSet, sso:ListPermissionSets, and sso:ListTagsForResource | Diese Richtlinie gewährt nun die Erlaubnis, einen bestimmten Amazon Athena Athena-Datenkatalog abzurufen, die Athena-Datenkataloge in einem aufzulisten und Tags aufzulisten AWS-Konto, die mit einer Athena-Arbeitsgruppe oder Datenkatalogressource verknüpft sind; um eine Liste von Amazon Detective-Verhaltensdiagrammen und Listen-Tags für ein Detective-Verhaltensdiagramm abzurufen; eine Liste von Ressourcenmetadaten für eine bestimmte Liste von AWS Glue Entwicklungsendpunktnamen abzurufen, Informationen über einen bestimmten AWS Glue Entwicklungsendpunkt abzurufen, alle AWS Glue Entwicklungsendpunkte in einem, abzurufen AWS-Konto AWS Glue Konfiguration, alle AWS Glue Sicherheitskonfigurationen abrufen, eine Liste der mit einer AWS Glue Ressource verknüpften Tags abrufen, Informationen über eine AWS Glue Arbeitsgruppe mit dem angegebenen Namen abrufen, die Namen aller AWS Glue Crawler-Ressourcen in einem AWS Konto abrufen, die Namen aller AWS Glue `DevEndpoint` Ressourcen in einem abrufen AWS-Konto, die Namen aller AWS Glue Jobressourcen in einem auflisten AWS-Konto, Details zu AWS Glue Mitgliedskonten abrufen, Namen von AWS Glue Workflows auflisten, in einem Konto erstellte Workflows auflisten und verfügbare AWS Glue Arbeitsgruppen für ein Konto auflisten; um Details zu einem GuardDuty Amazon-Filter abzurufen, einen abzurufen GuardDuty IPSet, einen abzurufen GuardDutyThreatIntelSet, GuardDuty Mitgliedskonten abzurufen, eine Filterliste abzurufen, den IPSets GuardDuty Service abzurufen, Tags für den GuardDuty Service abzurufen und den ThreatIntelSets des GuardDuty Service abzurufen; um den aktuellen Status und die Konfigurationseinstellungen für ein Amazon Macie-Konto abzurufen; um die Ressourcen- und Hauptzuordnungen für AWS Resource Access Manager (AWS RAM) Resource Shares abzurufen und Details AWS RAM zur Ressource abzurufen GuardDuty teilt; um Informationen über einen vorhandenen Konfigurationssatz von Amazon Simple Email Service (Amazon SES) abzurufen, eine Liste von Ereigniszielen abzurufen, die mit einem Amazon SES SES-Konfigurationssatz verknüpft sind, und um alle mit einem Amazon SES-Konto verknüpften Konfigurationssätze aufzurufen; und um eine Liste von Identity Center-Verzeichnisattributen abzurufen, die Details eines AWS IAM Identity Center Berechtigungssatzes abzurufen, die IAM-verwaltete Richtlinie abzurufen, die mit einem bestimmten IAM Identity Center-Berechtigungssatz verknüpft ist, den Berechtigungssatz für ein IAM abzurufen Identity Center-Instanz und Abrufen von Tags für IAM Identity Ressourcen des Zentrums. | 31. Mai 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: cloudformation:GetResource, cloudformation:ListResources, cloudtrail:GetEventDataStore, cloudtrail:ListEventDataStores, dax:DescribeParameterGroups, dax:DescribeParameters, dax:DescribeSubnetGroups, DMS:DescribeReplicationTasks, and organizations:ListPolicies | Diese Richtlinie gewährt nun die Berechtigung, Informationen über alle oder einen bestimmten AWS CloudTrail Event Data Store (EDS) abzurufen, Informationen über alle oder eine bestimmte AWS CloudFormation Ressource abzurufen, eine Liste einer DynamoDB Accelerator (DAX) -Parametergruppe oder Subnetzgruppe abzurufen, Informationen über AWS Database Migration Service (AWS DMS) Replikationsaufgaben für Ihr Konto in der aktuellen Region abzurufen, auf die zugegriffen wird, und eine Liste aller Richtlinien eines AWS Organizations bestimmten Typs abzurufen. | 7. April 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: cloudformation:GetResource, cloudformation:ListResources, cloudtrail:GetEventDataStore, cloudtrail:ListEventDataStores, dax:DescribeParameterGroups, dax:DescribeParameters, dax:DescribeSubnetGroups, DMS:DescribeReplicationTasks, and organizations:ListPolicies | Diese Richtlinie gewährt nun die Berechtigung, Informationen über alle oder einen bestimmten AWS CloudTrail Event Data Store (EDS) abzurufen, Informationen über alle oder eine bestimmte AWS CloudFormation Ressource abzurufen, eine Liste einer DynamoDB Accelerator (DAX) -Parametergruppe oder Subnetzgruppe abzurufen, Informationen über AWS Database Migration Service (AWS DMS) Replikationsaufgaben für Ihr Konto in der aktuellen Region abzurufen, auf die zugegriffen wird, und eine Liste aller Richtlinien eines AWS Organizations bestimmten Typs abzurufen. | 7. April 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: backup-gateway:ListTagsForResource, backup-gateway:ListVirtualMachines, batch:DescribeComputeEnvironments, batch:DescribeJobQueues, batch:ListTagsForResource, dax:ListTags, dms:DescribeCertificates, dynamodb:DescribeGlobalTable, dynamodb:DescribeGlobalTableSettings, ec2:DescribeClientVpnAuthorizationRules, ec2:DescribeClientVpnEndpoints, ec2:DescribeDhcpOptions, ec2:DescribeFleets, ec2:DescribeNetworkAcls, ec2:DescribePlacementGroups, ec2:DescribeSpotFleetRequests, ec2:DescribeVolumeAttribute, ec2:DescribeVolumes, eks:DescribeFargateProfile, eks:ListFargateProfiles, eks:ListTagsForResource, fsx:ListTagsForResource, guardduty:ListOrganizationAdminAccounts, kms:ListAliases, opsworks:DescribeLayers, opsworks:DescribeStacks, opsworks:ListTags, rds:DescribeDBClusterParameterGroups, rds:DescribeDBClusterParameters, states:DescribeActivity, states:ListActivities, wafv2:GetRuleGroup, wafv2:ListRuleGroups, wafv2:ListTagsForResource, workspaces:DescribeConnectionAliases, workspaces:DescribeTags, and workspaces:DescribeWorkspaces | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für AWS Backup, AWS Batch, DynamoDB Accelerator, AWS Database Migration Service, Amazon DynamoDB, Amazon Elastic Compute Cloud (Amazon EC2), Amazon Elastic Kubernetes Service, Amazon, Amazon,, FSx, Amazon Relational Database Service GuardDuty AWS Key Management Service AWS OpsWorks, V2 und Amazon. AWS WAF WorkSpaces | 14. März 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: backup-gateway:ListTagsForResource, backup-gateway:ListVirtualMachines, batch:DescribeComputeEnvironments, batch:DescribeJobQueues, batch:ListTagsForResource, dax:ListTags, dms:DescribeCertificates, dynamodb:DescribeGlobalTable, dynamodb:DescribeGlobalTableSettings, ec2:DescribeClientVpnAuthorizationRules, ec2:DescribeClientVpnEndpoints, ec2:DescribeDhcpOptions, ec2:DescribeFleets, ec2:DescribeNetworkAcls, ec2:DescribePlacementGroups, ec2:DescribeSpotFleetRequests, ec2:DescribeVolumeAttribute, ec2:DescribeVolumes, eks:DescribeFargateProfile, eks:ListFargateProfiles, eks:ListTagsForResource, fsx:ListTagsForResource, guardduty:ListOrganizationAdminAccounts, kms:ListAliases, opsworks:DescribeLayers, opsworks:DescribeStacks, opsworks:ListTags, rds:DescribeDBClusterParameterGroups, rds:DescribeDBClusterParameters, states:DescribeActivity, states:ListActivities, wafv2:GetRuleGroup, wafv2:ListRuleGroups, wafv2:ListTagsForResource, workspaces:DescribeConnectionAliases, workspaces:DescribeTags, and workspaces:DescribeWorkspaces | Diese Richtlinie unterstützt jetzt zusätzliche Berechtigungen für AWS Backup, AWS Batch, DynamoDB Accelerator, AWS Database Migration Service, Amazon DynamoDB, Amazon Elastic Compute Cloud (Amazon EC2), Amazon Elastic Kubernetes Service, Amazon, Amazon,, FSx, Amazon Relational Database Service GuardDuty AWS Key Management Service AWS OpsWorks, V2 und Amazon. AWS WAF WorkSpaces | 14. März 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: elasticbeanstalk:DescribeEnvironments, elasticbeanstalk:DescribeConfigurationSettings, account:GetAlternateContact, organizations:DescribePolicy, organizations:ListParents, organizations:ListPoliciesForTarget, es:GetCompatibleElasticsearchVersions, rds:DescribeOptionGroups, rds:DescribeOptionGroups, es:GetCompatibleVersions, codedeploy:GetDeploymentConfig, ecr-public:GetRepositoryPolicy, access-analyzer:GetArchiveRule, and ecs:ListTaskDefinitionFamilies | Diese Richtlinie gewährt nun die Erlaubnis, Details zu Elastic Beanstalk Beanstalk-Umgebungen und eine Beschreibung der Einstellungen für den angegebenen Elastic Beanstalk Beanstalk-Konfigurationssatz abzurufen, eine Übersicht der OpenSearch Elasticsearch-Versionen abzurufen, die verfügbaren Amazon RDS-Optionsgruppen für eine Datenbank zu beschreiben und Informationen über eine Bereitstellungskonfiguration abzurufen. CodeDeploy Diese Richtlinie gewährt jetzt auch die Erlaubnis, den angegebenen alternativen Kontakt abzurufen, der an eine angehängt ist AWS-Konto, Informationen über eine AWS Organizations Richtlinie abzurufen, eine Amazon ECR-Repository-Richtlinie abzurufen, Informationen über eine archivierte AWS Config Regel abzurufen, eine Liste von Amazon ECS-Aufgabendefinitionsfamilien abzurufen, die Stamm- oder übergeordneten Organisationseinheiten (OUs) der angegebenen untergeordneten Organisationseinheit oder des angegebenen untergeordneten Kontos aufzulisten und die Richtlinien aufzulisten, die dem angegebenen Zielstamm, der Organisationseinheit oder dem angegebenen Zielkonto zugeordnet sind. | 10. Februar 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: elasticbeanstalk:DescribeEnvironments, elasticbeanstalk:DescribeConfigurationSettings, account:GetAlternateContact, organizations:DescribePolicy, organizations:ListParents, organizations:ListPoliciesForTarget, es:GetCompatibleElasticsearchVersions, rds:DescribeOptionGroups, rds:DescribeOptionGroups, es:GetCompatibleVersions, codedeploy:GetDeploymentConfig, ecr-public:GetRepositoryPolicy, access-analyzer:GetArchiveRule, and ecs:ListTaskDefinitionFamilies | Diese Richtlinie gewährt nun die Erlaubnis, Details zu Elastic Beanstalk Beanstalk-Umgebungen und eine Beschreibung der Einstellungen für den angegebenen Elastic Beanstalk Beanstalk-Konfigurationssatz abzurufen, eine Übersicht der OpenSearch Elasticsearch-Versionen abzurufen, die verfügbaren Amazon RDS-Optionsgruppen für eine Datenbank zu beschreiben und Informationen über eine Bereitstellungskonfiguration abzurufen. CodeDeploy Diese Richtlinie gewährt jetzt auch die Erlaubnis, den angegebenen alternativen Kontakt abzurufen, der an eine angehängt ist AWS-Konto, Informationen über eine AWS Organizations Richtlinie abzurufen, eine Amazon ECR-Repository-Richtlinie abzurufen, Informationen über eine archivierte AWS Config Regel abzurufen, eine Liste von Amazon ECS-Aufgabendefinitionsfamilien abzurufen, die Stamm- oder übergeordneten Organisationseinheiten (OUs) der angegebenen untergeordneten Organisationseinheit oder des angegebenen untergeordneten Kontos aufzulisten und die Richtlinien aufzulisten, die dem angegebenen Zielstamm, der Organisationseinheit oder dem angegebenen Zielkonto zugeordnet sind. | 10. Februar 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: logs:CreateLogStream, logs:CreateLogGroup, and logs:PutLogEvent | Diese Richtlinie gewährt nun die Erlaubnis, CloudWatch Amazon-Protokollgruppen und -Streams zu erstellen und Protokolle in erstellte Protokollstreams zu schreiben. | 15. Dezember 2021 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: logs:CreateLogStream, logs:CreateLogGroup, and logs:PutLogEvent | Diese Richtlinie gewährt nun die Erlaubnis, CloudWatch Amazon-Protokollgruppen und -Streams zu erstellen und Protokolle in erstellte Protokollstreams zu schreiben. | 15. Dezember 2021 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Addition: es:DescribeDomain, es:DescribeDomains, rds:DescribeDBParameters, and, elasticache:DescribeSnapshots | Diese Richtlinie gewährt nun die Erlaubnis, Details zu einem Amazon OpenSearch Service (OpenSearch Service) domain/domains und eine detaillierte Parameterliste für eine bestimmte Amazon Relational Database Service (Amazon RDS) DB-Parametergruppe abzurufen. Diese Richtlinie gewährt auch die Erlaubnis, Details zu ElastiCache Amazon-Snapshots abzurufen. | 8. September 2021 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Addition: es:DescribeDomain, es:DescribeDomains, rds:DescribeDBParameters, and, elasticache:DescribeSnapshots | Diese Richtlinie gewährt nun die Erlaubnis, Details zu einem Amazon OpenSearch Service (OpenSearch Service) domain/domains und eine detaillierte Parameterliste für eine bestimmte Amazon Relational Database Service (Amazon RDS) DB-Parametergruppe abzurufen. Diese Richtlinie gewährt auch die Erlaubnis, Details zu ElastiCache Amazon-Snapshots abzurufen. | 8. September 2021 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Zusätzliche Berechtigungen für AWS Ressourcentypen hinzufügen logs:ListTagsLogGroup, states:ListTagsForResource, states:ListStateMachines, states:DescribeStateMachine | Diese Richtlinie gewährt die Berechtigung, Tags für eine Protokollgruppe, Tags für eine Zustandsmaschine und alle Zustandsmaschinen aufzulisten. Diese Richtlinie gewährt die Berechtigung zum Abrufen von Details über eine Zustandsmaschine. Diese Richtlinie unterstützt jetzt auch zusätzliche Berechtigungen für Amazon EC2 Systems Manager (SSM), Amazon Elastic Container Registry, Amazon, Amazon Data Firehose FSx, Amazon Managed Streaming for Apache Kafka (Amazon MSK), Amazon Relational Database Service (Amazon RDS), Amazon Route 53, Amazon SageMaker AI, Amazon Simple Notification Service,, und. AWS Database Migration Service AWS Global Accelerator AWS Storage Gateway | 28. Juli 2021 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Fügen Sie l und zusätzliche Berechtigungen für ogs:ListTagsLogGroup, states:ListTagsForResource, states:ListStateMachines, states:DescribeStateMachine Ressourcentypen hinzu AWS | Diese Richtlinie gewährt die Berechtigung, Tags für eine Protokollgruppe, Tags für eine Zustandsmaschine und alle Zustandsmaschinen aufzulisten. Diese Richtlinie gewährt die Berechtigung zum Abrufen von Details über eine Zustandsmaschine. Diese Richtlinie unterstützt jetzt auch zusätzliche Berechtigungen für Amazon EC2 Systems Manager (SSM), Amazon Elastic Container Registry, Amazon, Amazon Data Firehose FSx, Amazon Managed Streaming for Apache Kafka (Amazon MSK), Amazon Relational Database Service (Amazon RDS), Amazon Route 53, Amazon SageMaker AI, Amazon Simple Notification Service,, und. AWS Database Migration Service AWS Global Accelerator AWS Storage Gateway | 28. Juli 2021 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Zusätzliche Berechtigungen für Ressourcentypen hinzufügen ssm:DescribeDocumentPermission AWS | Diese Richtlinie gewährt die Berechtigung, die Berechtigungen von AWS Systems Manager -Dokumenten und Informationen zu IAM Access Analyzer einzusehen. Diese Richtlinie unterstützt jetzt zusätzliche AWS Ressourcentypen für Amazon Kinesis, Amazon ElastiCache, Amazon EMR AWS Network Firewall, Amazon Route 53 und Amazon Relational Database Service (Amazon RDS). Diese Berechtigungsänderungen ermöglichen das Aufrufen des Nur-Lese-Modus AWS Config , der zur Unterstützung dieser Ressourcentypen APIs erforderlich ist. Diese Richtlinie unterstützt jetzt auch das Filtern von Lambda @Edge -Funktionen für die [lambda-inside-vpc](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html) AWS Config verwaltete Regel. | 8. Juni 2021 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Zusätzliche Berechtigungen für AWS Ressourcentypen hinzufügen ssm:DescribeDocumentPermission | Diese Richtlinie gewährt die Berechtigung, die Berechtigungen von AWS Systems Manager -Dokumenten und Informationen zu IAM Access Analyzer einzusehen. Diese Richtlinie unterstützt jetzt zusätzliche AWS Ressourcentypen für Amazon Kinesis, Amazon ElastiCache, Amazon EMR AWS Network Firewall, Amazon Route 53 und Amazon Relational Database Service (Amazon RDS). Diese Berechtigungsänderungen ermöglichen das Aufrufen des Nur-Lese-Modus AWS Config , der zur Unterstützung dieser Ressourcentypen APIs erforderlich ist. Diese Richtlinie unterstützt jetzt auch das Filtern von Lambda @Edge -Funktionen für die [lambda-inside-vpc](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html) AWS Config verwaltete Regel. | 8. Juni 2021 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Fügen Sie die apigateway:GET Erlaubnis hinzu, schreibgeschützte GET-Aufrufe an API Gateway zu tätigen, sowie die s3:GetAccessPointPolicy Erlaubnis und s3:GetAccessPointPolicyStatus Erlaubnis, Amazon S3 schreibgeschützt aufzurufen APIs | Diese Richtlinie gewährt nun Berechtigungen, die es AWS Config ermöglichen, schreibgeschützte GET-Aufrufe an API Gateway zu tätigen, um eine AWS Config Regel für API Gateway zu unterstützen. Die Richtlinie fügt außerdem Berechtigungen hinzu, die es AWS Config ermöglichen, Amazon Simple Storage Service (Amazon S3) schreibgeschützt aufzurufen APIs, die zur Unterstützung des neuen `AWS::S3::AccessPoint` Ressourcentyps erforderlich sind. | 10. Mai 2021 |
| [AWS\$1CconfigRole](#security-iam-awsmanpol-AWS_ConfigRole) — Fügen Sie die apigateway:GET Erlaubnis hinzu, schreibgeschützte GET-Aufrufe an API Gateway zu tätigen, sowie die s3:GetAccessPointPolicy Erlaubnis und s3:GetAccessPointPolicyStatus Erlaubnis, Amazon S3 schreibgeschützt aufzurufen APIs | Diese Richtlinie gewährt nun Berechtigungen, die es AWS Config ermöglichen, schreibgeschützte GET-Aufrufe an API Gateway zu senden, um ein AWS Config für API Gateway zu unterstützen. Die Richtlinie fügt außerdem Berechtigungen hinzu, die es AWS Config ermöglichen, Amazon Simple Storage Service (Amazon S3) schreibgeschützt aufzurufen APIs, die zur Unterstützung des neuen `AWS::S3::AccessPoint` Ressourcentyps erforderlich sind. | 10. Mai 2021 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Fügen Sie ssm:ListDocuments Berechtigungen und zusätzliche Berechtigungen für Ressourcentypen hinzu AWS | Diese Richtlinie gewährt die Berechtigung zum Anzeigen von Informationen zu AWS Systems Manager -spezifizierten Dokumenten. Diese Richtlinie unterstützt jetzt auch zusätzliche AWS Ressourcentypen für AWS Backup Amazon Elastic File System, Amazon ElastiCache, Amazon Simple Storage Service (Amazon S3), Amazon Elastic Compute Cloud (Amazon EC2), Amazon Kinesis, Amazon SageMaker AI und Amazon Route 53. AWS Database Migration Service Diese Berechtigungsänderungen ermöglichen das Aufrufen des Nur-Lese-Modus, der AWS Config zur Unterstützung dieser Ressourcentypen APIs erforderlich ist. | 1. April 2021 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Fügen Sie ssm:ListDocuments Berechtigungen und zusätzliche Berechtigungen für Ressourcentypen hinzu AWS | Diese Richtlinie gewährt die Berechtigung zum Anzeigen von Informationen zu AWS Systems Manager -spezifizierten Dokumenten. Diese Richtlinie unterstützt jetzt auch zusätzliche AWS Ressourcentypen für AWS Backup Amazon Elastic File System, Amazon ElastiCache, Amazon Simple Storage Service (Amazon S3), Amazon Elastic Compute Cloud (Amazon EC2), Amazon Kinesis, Amazon SageMaker AI und Amazon Route 53. AWS Database Migration Service Diese Berechtigungsänderungen ermöglichen das Aufrufen des Nur-Lese-Modus, der AWS Config zur Unterstützung dieser Ressourcentypen APIs erforderlich ist. | 1. April 2021 |
| `AWSConfigRole` wird nicht mehr unterstützt. | `AWSConfigRole` wird nicht mehr unterstützt. Die Ersatzrichtlinie lautet `AWS_ConfigRole`. | 1. April 2021 |
| AWS Config hat begonnen, Änderungen zu verfolgen | AWS Config hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen. | 1. April 2021 |
# Berechtigungen für die IAM-Rolle, die zugewiesen wurden AWS Config
Mit einer IAM-Rolle können Sie eine Reihe von Berechtigungen definieren. AWS Config übernimmt die Rolle, die Sie ihr zuweisen, um in Ihren S3-Bucket zu schreiben, in Ihrem SNS-Thema zu veröffentlichen und Anfragen `Describe` oder `List` API-Anfragen zu stellen, um Konfigurationsdetails für Ihre AWS Ressourcen abzurufen. Weitere Informationen zu IAM-Rollen finden Sie unter [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/WorkingWithRoles.html) im *IAM-Benutzerhandbuch*.
Wenn Sie die AWS Config Konsole verwenden, um eine IAM-Rolle zu erstellen oder zu aktualisieren, fügt sie AWS Config automatisch die erforderlichen Berechtigungen für Sie hinzu. Weitere Informationen finden Sie unter [Einrichtung AWS Config mit der Konsole](gs-console.md).
**Richtlinien und Compliance-Ergebnisse**
[IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) und [andere Richtlinien, die in verwaltet werden](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html), AWS Organizations können sich darauf auswirken, ob Sie AWS Config berechtigt sind, Konfigurationsänderungen für Ihre Ressourcen aufzuzeichnen. Darüber hinaus bewerten Regeln direkt die Konfiguration einer Ressource, und Regeln berücksichtigen diese Richtlinien bei der Durchführung von Evaluierungen nicht. Stellen Sie sicher, dass die geltenden Richtlinien mit der Art und Weise übereinstimmen, wie Sie sie verwenden möchten AWS Config.
**Contents**
+ [Erstellen von IAM-Rollenrichtlinien](#iam-role-policies)
+ [Hinzufügen einer IAM-Vertrauensrichtlinie für Ihre Rolle](#iam-trust-policy)
+ [IAM-Rollenrichtlinie für Ihren S3-Bucket](#iam-role-policies-S3-bucket)
+ [IAM-Rollenrichtlinie für KMS-Schlüssel](#iam-role-policies-S3-kms-key)
+ [IAM-Rollenrichtlinie für ein Amazon-SNS-Thema](#iam-role-policies-sns-topic)
+ [IAM-Rollenrichtlinie für den Abruf von Konfigurationsdetails](#iam-role-policies-describe-apis)
+ [Verwaltung von Berechtigungen für die S3-Bucket-Aufzeichnung](#troubleshooting-recording-s3-bucket-policy)
## Erstellen von IAM-Rollenrichtlinien
Wenn Sie die AWS Config Konsole verwenden, um eine IAM-Rolle zu erstellen, AWS Config werden der Rolle automatisch die erforderlichen Berechtigungen für Sie zugewiesen.
Wenn Sie die AWS CLI zum Einrichten AWS Config oder Aktualisieren einer vorhandenen IAM-Rolle verwenden, müssen Sie die Richtlinie manuell aktualisieren, damit AWS Config Sie auf Ihren S3-Bucket zugreifen, in Ihrem SNS-Thema veröffentlichen und Konfigurationsdetails zu Ihren Ressourcen abrufen können.
### Hinzufügen einer IAM-Vertrauensrichtlinie für Ihre Rolle
Sie können eine IAM-Vertrauensrichtlinie erstellen, die es Ihnen ermöglicht, eine Rolle anzunehmen und diese AWS Config zur Nachverfolgung Ihrer Ressourcen zu verwenden. Weitere Informationen zu Vertrauensrichtlinien finden Sie unter [Rollenbegriffe und -Konzepte](https://docs.aws.amazon.com/IAM/latest/UserGuide/d_roles_terms-and-concepts.html) im *IAM-Benutzerhandbuch*.
Im Folgenden finden Sie ein Beispiel für eine Vertrauensrichtlinie für AWS Config Rollen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "sourceAccountID"
}
}
}
]
}
```
------
Sie können die obige Bedingung `AWS:SourceAccount` in der IAM-Rollenvertrauensbeziehung verwenden, um den Config-Service-Prinzipal so zu beschränken, dass er nur mit der AWS -IAM-Rolle interagiert, wenn er Operationen für bestimmte Konten ausführt.
AWS Config unterstützt auch die `AWS:SourceArn` Bedingung, dass der Config-Dienstprinzipal nur dann die IAM-Rolle übernimmt, wenn er Operationen im Namen des Eigentümerkontos ausführt. Wenn Sie den AWS Config Service Principal verwenden, wird als `AWS:SourceArn` Eigenschaft immer festgelegt, `arn:aws:config:sourceRegion:sourceAccountID:*` wo sich die Region des vom Kunden verwalteten Konfigurationsrekorders `sourceRegion` befindet. Dabei `sourceAccountID` handelt es sich um die ID des Kontos, das den vom Kunden verwalteten Konfigurationsrekorder enthält.
Fügen Sie beispielsweise die folgende Bedingung hinzu, beschränken Sie den Config-Dienstprinzipal so, dass er die IAM-Rolle nur im Namen eines vom Kunden verwalteten Konfigurationsrekorders in der `us-east-1` Region des Kontos übernimmt`123456789012`:`"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}`.
### IAM-Rollenrichtlinie für Ihren S3-Bucket
Die folgende Beispielrichtlinie gewährt die AWS Config Erlaubnis, auf Ihren S3-Bucket zuzugreifen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource":[
"arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/myAccountID/*"
],
"Condition":{
"StringLike":{
"s3:x-amz-acl":"bucket-owner-full-control"
}
}
},
{
"Effect":"Allow",
"Action":[
"s3:GetBucketAcl"
],
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
}
]
}
```
------
### IAM-Rollenrichtlinie für KMS-Schlüssel
Die folgende Beispielrichtlinie erteilt die AWS Config Erlaubnis, KMS-basierte Verschlüsselung für neue Objekte für die S3-Bucket-Lieferung zu verwenden:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
}
]
}
```
------
### IAM-Rollenrichtlinie für ein Amazon-SNS-Thema
Die folgende Beispielrichtlinie gewährt die AWS Config Erlaubnis, auf Ihr SNS-Thema zuzugreifen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect":"Allow",
"Action":"sns:Publish",
"Resource":"arn:aws:sns:us-east-1:123456789012:MyTopic"
}
]
}
```
------
Wenn Ihr SNS-Thema verschlüsselt ist, finden Sie zusätzliche Anweisungen zur Einrichtung im Thema [Konfigurieren von AWS KMS -Berechtigungen](https://docs.aws.amazon.com/sns/latest/dg/sns-server-side-encryption.html#sns-what-permissions-for-sse) im *Entwicklerhandbuch für Amazon Simple Notification Service*.
### IAM-Rollenrichtlinie für den Abruf von Konfigurationsdetails
Es wird empfohlen, die AWS Config dienstverknüpfte Rolle zu verwenden:. `AWSServiceRoleForConfig` Dienstbezogene Rollen sind vordefiniert und enthalten alle Berechtigungen, die zum Aufrufen anderer Rollen AWS Config erforderlich sind. AWS-Services Die AWS Config dienstverknüpfte Rolle ist für dienstverknüpfte Konfigurationsrekorder erforderlich. Weitere Informationen finden Sie unter [Verwenden von Service-verknüpften Rollen für AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html).
Wenn Sie eine Rolle mit der Konsole erstellen oder aktualisieren, AWS Config hängt die für Sie an. **AWSServiceRoleForConfig**
Wenn Sie den verwenden AWS CLI, verwenden Sie den `attach-role-policy` Befehl und geben Sie den Amazon-Ressourcennamen (ARN) an für **AWSServiceRoleForConfig**:
```
$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/aws-service-role/AWSServiceRoleForConfig
```
### Verwaltung von Berechtigungen für die S3-Bucket-Aufzeichnung
AWS Config zeichnet Benachrichtigungen auf und sendet Benachrichtigungen, wenn ein S3-Bucket erstellt, aktualisiert oder gelöscht wird.
Es wird empfohlen, die AWS Config serviceverknüpfte Rolle zu verwenden:`AWSServiceRoleForConfig`. Dienstbezogene Rollen sind vordefiniert und enthalten alle Berechtigungen, die zum Aufrufen anderer Rollen AWS Config erforderlich sind. AWS-Services Die AWS Config dienstverknüpfte Rolle ist für dienstverknüpfte Konfigurationsrekorder erforderlich. Weitere Informationen finden Sie unter [Verwenden von Service-verknüpften Rollen für AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html).
# Aktualisierung der IAM-Rolle für den vom Kunden verwalteten Konfigurationsrekorder
Sie können die vom Kunden verwaltete Konfigurationsrekorder verwendete IAM-Rolle aktualisieren. Bevor Sie die IAM-Rolle; aktualisieren, stellen Sie sicher, dass Sie eine neue Rolle erstellt haben, um die alte zu ersetzen. Sie müssen der neuen Rolle Richtlinien hinzufügen, die Berechtigungen AWS Config zum Aufzeichnen von Konfigurationen und deren Bereitstellung an Ihren Bereitstellungskanal gewähren.
Weitere Informationen zum Erstellen einer IAM-Rolle und zum Anfügen der erforderlichen Richtlinien an die IAM-Rolle finden Sie unter [Schritt 3: Eine IAM-Rolle erstellen](gs-cli-prereq.md#gs-cli-create-iamrole).
**Anmerkung**
Den ARN einer vorhandenen IAM-Rolle finden Sie in der IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) Wählen Sie im Navigationsbereich **Roles (Rollen)** aus. Wählen Sie dann den Namen der gewünschten Rolle aus und suchen Sie den ARN oben auf der Seite **Summary (Übersicht)**.
## Aktualisieren der IAM-Rolle
Sie können Ihre IAM-Rolle mit dem oder dem AWS-Managementkonsole aktualisieren. AWS CLI
------
#### [ To update the IAM role (Console) ]
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS Config Konsole zu [https://console.aws.amazon.com/config/Hause](https://console.aws.amazon.com/config/home).
1. Wählen Sie im Navigationsbereich **Settings (Einstellungen)** aus.
1. Wählen Sie auf der Registerkarte **Vom Kunden verwalteter Rekorder** auf der Seite Einstellungen die Option **Bearbeiten** aus.
1. Wählen Sie im Abschnitt **Data Governance** die IAM-Rolle für AWS Config:
+ **Verwenden Sie eine vorhandene AWS Config serviceverknüpfte Rolle** — AWS Config erstellt eine Rolle, die über die erforderlichen Berechtigungen verfügt.
+ **Wählen Sie eine Rolle aus Ihrem Konto** — Wählen Sie für **bestehende Rollen** eine IAM-Rolle in Ihrem Konto aus.
1. Wählen Sie **Speichern**.
------
#### [ To update the IAM role (AWS CLI) ]
Verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html)-Befehl und geben Sie den Amazon-Ressourcennamen (ARN) der neuen Rolle an:
```
$ aws configservice put-configuration-recorder --configuration-recorder name=configRecorderName,roleARN=arn:aws:iam::012345678912:role/myConfigRole
```
------
# Berechtigungen für den Amazon S3 S3-Bucket für den AWS Config Lieferkanal
**Wichtig**
Auf dieser Seite geht es darum, den Amazon S3 S3-Bucket für den AWS Config Lieferkanal einzurichten. Auf dieser Seite geht es nicht um den `AWS::S3::Bucket` Ressourcentyp, den der AWS Config Konfigurationsrekorder aufzeichnen kann.
Amazon S3 S3-Buckets und -Objekte sind standardmäßig privat. Nur derjenige AWS-Konto , der den Bucket erstellt hat (der Eigentümer der Ressource), hat Zugriffsberechtigungen. Ressourcenbesitzer können anderen Ressourcen und Benutzern Zugriff gewähren, indem sie Zugriffsrichtlinien erstellen.
Wenn AWS Config automatisch ein S3-Bucket für Sie erstellt wird, werden die erforderlichen Berechtigungen hinzugefügt. Wenn Sie jedoch einen vorhandenen S3-Bucket angeben, müssen Sie diese Berechtigungen manuell hinzufügen.
**Topics**
+ [Bei Verwendung von IAM-Rollen](#required-permissions-in-another-account)
+ [Bei Verwendung von servicegebundenen Rollen](#required-permissions-using-servicelinkedrole)
+ [AWS Config Zugriff gewähren](#granting-access-in-another-account)
+ [Kontoübergreifende Bereitstellung](#required-permissions-cross-account)
## Erforderliche Berechtigungen für den Amazon-S3-Bucket bei Verwendung von IAM-Rollen
AWS Config verwendet die IAM-Rolle, die Sie dem Konfigurationsrekorder zugewiesen haben, um den Konfigurationsverlauf und Snapshots für S3-Buckets in Ihrem Konto bereitzustellen. Für die kontoübergreifende Bereitstellung wird AWS Config zunächst versucht, die zugewiesene IAM-Rolle zu verwenden. Wenn die Bucket-Richtlinie keinen `WRITE` Zugriff auf die IAM-Rolle gewährt, wird der AWS Config Dienstprinzipal verwendet. `config.amazonaws.com` Die Bucket-Richtlinie muss `WRITE` Zugriff auf gewähren, `config.amazonaws.com` um die Lieferung abzuschließen. Nach erfolgreicher Lieferung AWS Config behält es das Eigentum an allen Objekten, die es an den kontoübergreifenden S3-Bucket übermittelt.
AWS Config ruft die Amazon S3 [HeadBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_RESTBucketHEAD.html)S3-API mit der IAM-Rolle auf, die Sie dem Konfigurationsrekorder zugewiesen haben, um zu bestätigen, ob der S3-Bucket existiert und wo er sich befindet. Wenn Sie nicht über die erforderlichen Berechtigungen AWS Config zur Bestätigung verfügen, wird in Ihren AWS CloudTrail Protokollen ein `AccessDenied` Fehler angezeigt. AWS Config Kann jedoch weiterhin den Konfigurationsverlauf und Snapshots bereitstellen, auch wenn AWS Config es nicht über die erforderlichen Berechtigungen verfügt, um zu überprüfen, ob der S3-Bucket vorhanden ist und wo er sich befindet.
**Mindestberechtigungen**
Die Amazon S3 `HeadBucket` S3-API erfordert die `s3:ListBucket` Aktion.
## Erforderliche Berechtigungen für den Amazon-S3-Bucket bei Verwendung von servicegebundenen Rollen
Die AWS Config serviceverknüpfte Rolle ist nicht berechtigt, Objekte in Amazon S3 S3-Buckets abzulegen. Wenn Sie eine serviceverknüpfte Rolle einrichten AWS Config , AWS Config wird der `config.amazonaws.com` Service Principal zur Bereitstellung des Konfigurationsverlaufs und der Snapshots verwendet. Die S3-Bucket-Richtlinie in Ihrem Konto oder in kontoübergreifenden Zielen muss Berechtigungen für den AWS Config Dienstprinzipal zum Schreiben von Objekten enthalten.
## AWS Config Zugriff auf den Amazon S3 S3-Bucket gewähren
Führen Sie die folgenden Schritte aus AWS Config , um den Konfigurationsverlauf und die Snapshots an einen Amazon S3 S3-Bucket zu senden.
1. Melden Sie sich AWS-Managementkonsole mit dem Konto an, das über den S3-Bucket verfügt.
1. Öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie den Bucket aus, den Sie AWS Config für die Lieferung von Konfigurationselementen verwenden möchten, und wählen Sie dann **Eigenschaften**.
1. Wählen Sie **Berechtigungen**.
1. Wählen Sie **Edit Bucket Policy**.
1. Kopieren Sie die folgende Richtlinie in das Fenster **Bucket Policy Editor (Richtlinien-Editor für Buckets)**:
**Bewährte Methoden für die Gewährleistung der Sicherheit**
Es wird dringend empfohlen, den Zugriff in der Bucket-Richtlinie mit der folgenden `AWS:SourceAccount` Bedingung einzuschränken. Dadurch AWS Config wird sichergestellt, dass der Zugriff nur für die erwarteten Benutzer gewährt wird.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSConfigBucketPermissionsCheck",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "sourceAccountID"
}
}
},
{
"Sid": "AWSConfigBucketExistenceCheck",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "sourceAccountID"
}
}
},
{
"Sid": "AWSConfigBucketDelivery",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional] prefix/AWSLogs/sourceAccountID/Config/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"AWS:SourceAccount": "sourceAccountID"
}
}
}
]
}
```
------
1. Ersetzen Sie die folgenden Werte in der Bucket-Richtlinie:
+ *amzn-s3-demo-bucket*— Name des Amazon S3 S3-Buckets, der AWS Config den Konfigurationsverlauf und die Snapshots bereitstellt.
+ *[optional] prefix*— Eine optionale Ergänzung zum Amazon S3 S3-Objektschlüssel, mit deren Hilfe eine ordnerähnliche Organisation im Bucket erstellt werden kann.
+ *sourceAccountID*— ID des Kontos, über das der Konfigurationsverlauf und die Snapshots bereitgestellt AWS Config werden.
1. Wählen Sie **Save (Speichern)** und dann **Close (Schließen)** aus.
Die `AWS:SourceAccount` Bedingung schränkt die AWS Config Operationen auf die angegebenen Werte ein. AWS-Konten Verwenden Sie für Konfigurationen mit mehreren Konten innerhalb einer Organisation, die an einen einzelnen S3-Bucket liefert, IAM-Rollen mit AWS Organizations Bedingungsschlüsseln anstelle von serviceverknüpften Rollen. Beispiel, `AWS:PrincipalOrgID`. *Weitere Informationen finden Sie im Benutzerhandbuch unter [Verwaltung von Zugriffsberechtigungen für eine Organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_permissions_overview.html).AWS Organizations *
Die `AWS:SourceArn` Bedingung schränkt den AWS Config Betrieb auf bestimmte Lieferkanäle ein. Das `AWS:SourceArn` Format ist wie folgt:`arn:aws:config:sourceRegion:123456789012`.
Um beispielsweise den S3-Bucket-Zugriff auf einen Lieferkanal in der Region USA Ost (Nord-Virginia) für das Konto 123456789012 einzuschränken, fügen Sie die folgende Bedingung hinzu:
```
"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:"}
```
## Erforderliche Berechtigungen für den Amazon S3 S3-Bucket bei kontoübergreifender Lieferung
Wenn konfiguriert AWS Config ist, dass der Konfigurationsverlauf und Snapshots an einen Amazon S3 S3-Bucket in einem anderen Konto gesendet werden (kontoübergreifende Einrichtung), wobei sich der Konfigurationsrekorder und der für den Lieferkanal angegebene S3-Bucket unterscheiden AWS-Konten, sind die folgenden Berechtigungen erforderlich:
+ Die IAM-Rolle, die Sie dem Konfigurationsrekorder zuweisen, benötigt eine ausdrückliche Genehmigung, um den Vorgang auszuführen. `s3:ListBucket` Dies liegt daran, dass AWS Config die Amazon S3 [HeadBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_RESTBucketHEAD.html)S3-API mit dieser IAM-Rolle aufgerufen wird, um den Bucket-Standort zu ermitteln.
+ Die S3-Bucket-Richtlinie muss Berechtigungen für die dem Konfigurationsrekorder zugewiesene IAM-Rolle enthalten.
Im Folgenden finden Sie ein Beispiel für eine Bucket-Policy-Konfiguration:
```
{
"Sid": "AWSConfigBucketExistenceCheck",
"Effect": "Allow",
"Principal": {
"AWS": "IAM Role-Arn assigned to the configuration recorder"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
}
```
# Berechtigungen für den KMS-Schlüssel für den AWS Config Delivery Channel
Verwenden Sie die Informationen in diesem Thema, wenn Sie eine Richtlinie für einen AWS KMS Schlüssel für Ihren S3-Bucket erstellen möchten, mit der Sie KMS-basierte Verschlüsselung für Objekte verwenden können, die von AWS Config für die S3-Bucket-Zustellung bereitgestellt wurden.
**Contents**
+ [Erforderliche Berechtigungen für den KMS-Schlüssel bei Verwendung von IAM-Rollen (S3-Bucket-Übermittlung)](#required-permissions-s3-kms-key-using-iam-role)
+ [Erforderliche Berechtigungen für den AWS KMS Schlüssel bei der Verwendung von serviceverknüpften Rollen (S3 Bucket Delivery)](#required-permissions-s3-kms-key-using-servicelinkedrole)
+ [AWS Config Zugriff auf den AWS KMS Schlüssel gewähren](#granting-access-s3-kms-key)
## Erforderliche Berechtigungen für den KMS-Schlüssel bei Verwendung von IAM-Rollen (S3-Bucket-Übermittlung)
Wenn Sie die Einrichtung AWS Config mithilfe einer IAM-Rolle einrichten, können Sie die folgende Berechtigungsrichtlinie an den KMS-Schlüssel anhängen:
```
{
"Id": "Policy_ID",
"Statement": [
{
"Sid": "AWSConfigKMSPolicy",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Effect": "Allow",
"Resource": "*myKMSKeyARN*",
"Principal": {
"AWS": [
"account-id1",
"account-id2",
"account-id3"
]
}
}
]
}
```
**Anmerkung**
Wenn die IAM-Rolle, die Amazon S3 S3-Bucket-Richtlinie oder der AWS KMS Schlüssel keinen angemessenen Zugriff auf ermöglichen AWS Config, schlägt AWS Config der Versuch fehl, Konfigurationsinformationen an den Amazon S3 S3-Bucket zu senden. In diesem Fall AWS Config sendet er die Informationen erneut, diesmal als AWS Config Service Principal. In diesem Fall müssen Sie dem Schlüssel eine unten aufgeführte Berechtigungsrichtlinie beifügen, um AWS Config Zugriff auf die Verwendung des AWS KMS Schlüssels bei der Übermittlung von Informationen an den Amazon S3 S3-Bucket zu gewähren.
## Erforderliche Berechtigungen für den AWS KMS Schlüssel bei der Verwendung von serviceverknüpften Rollen (S3 Bucket Delivery)
Die AWS Config serviceverknüpfte Rolle ist nicht berechtigt, auf den AWS KMS Schlüssel zuzugreifen. Wenn Sie also eine dienstbezogene AWS Config Rolle einrichten, AWS Config werden Informationen stattdessen als AWS Config Dienstprinzipal gesendet. Sie müssen dem Schlüssel eine unten aufgeführte Zugriffsrichtlinie beifügen, um Zugriff AWS Config auf die Verwendung des AWS KMS Schlüssels bei der AWS KMS Übermittlung von Informationen an den Amazon S3 S3-Bucket zu gewähren.
## AWS Config Zugriff auf den AWS KMS Schlüssel gewähren
Diese Richtlinie ermöglicht AWS Config die Verwendung eines AWS KMS Schlüssels bei der Übermittlung von Informationen an einen Amazon S3 S3-Bucket
```
{
"Id": "Policy_ID",
"Statement": [
{
"Sid": "AWSConfigKMSPolicy",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "myKMSKeyARN",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "sourceAccountID"
}
}
}
]
}
```
Ersetzen Sie die folgenden Werte in der Schlüsselrichtlinie:
+ *myKMSKeyARN*— Der ARN des AWS KMS Schlüssels, der zur Verschlüsselung von Daten im Amazon S3 S3-Bucket verwendet AWS Config wird, an den Konfigurationselemente geliefert werden.
+ *sourceAccountID*— Die ID des Kontos, für das Konfigurationselemente geliefert AWS Config werden.
Sie können die `AWS:SourceAccount` Bedingung in der obigen AWS KMS Schlüsselrichtlinie verwenden, um den Config-Dienstprinzipal so zu beschränken, dass er nur mit dem AWS KMS Schlüssel interagiert, wenn er Operationen für bestimmte Konten ausführt.
AWS Config unterstützt auch die `AWS:SourceArn` Bedingung, dass der Config-Serviceprinzipal nur dann mit dem Amazon S3 S3-Bucket interagiert, wenn er Operationen im Namen bestimmter AWS Config Lieferkanäle ausführt. Wenn Sie den AWS Config Service Principal verwenden, wird als `AWS:SourceArn` Eigenschaft immer festgelegt, `arn:aws:config:sourceRegion:sourceAccountID:*` wo sich die Region des Lieferkanals `sourceRegion` befindet. Dabei `sourceAccountID` handelt es sich um die ID des Kontos, das den Lieferkanal enthält. Weitere Informationen zu AWS Config Lieferkanälen finden Sie unter [Verwaltung des Lieferkanals](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html). Fügen Sie beispielsweise die folgende Bedingung hinzu, um den Config-Service-Prinzipal so zu beschränken, dass er nur im Namen eines Übermittlungskanals in der Region `us-east-1` des Kontos `123456789012` mit Ihrem Amazon-S3-Bucket interagiert: `"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}`.
# Berechtigungen für das Amazon-SNS-Thema
**Verschlüsseltes Amazon SNS wird nicht unterstützt**
AWS Config unterstützt keine verschlüsselten Amazon SNS SNS-Themen.
In diesem Thema wird beschrieben, wie Sie die Bereitstellung von Amazon SNS SNS-Themen konfigurieren AWS Config , die einem anderen Konto gehören. AWS Config muss über die erforderlichen Berechtigungen verfügen, um Benachrichtigungen an ein Amazon SNS SNS-Thema zu senden.
Wenn die AWS Config Konsole ein neues Amazon SNS SNS-Thema für Sie erstellt, AWS Config gewährt sie die erforderlichen Berechtigungen. Wenn Sie ein vorhandenes Amazon SNS SNS-Thema wählen, stellen Sie sicher, dass das Amazon SNS SNS-Thema die erforderlichen Berechtigungen enthält und den bewährten Sicherheitsmethoden entspricht.
**Regionsübergreifende Amazon SNS SNS-Themen werden nicht unterstützt**
AWS Config unterstützt derzeit nur den Zugriff innerhalb desselben Kontos AWS-Region und kontenübergreifend.
**Contents**
+ [Erforderliche Berechtigungen für das Amazon-SNS-Thema bei Verwendung von IAM-Rollen](#required-permissions-snstopic-in-another-account)
+ [Erforderliche Berechtigungen für das Amazon-SNS-Thema bei Verwendung von servicegebundenen Rollen](#required-permissions-snstopic-using-servicelinkedrole)
+ [AWS Config Zugriff auf das Amazon SNS SNS-Thema gewähren](#granting-access-snstopic)
+ [Fehlerbehebung für das Amazon-SNS-Thema](#troubleshooting-for-snstopic-using-servicelinkedrole)
## Erforderliche Berechtigungen für das Amazon-SNS-Thema bei Verwendung von IAM-Rollen
Sie können eine Berechtigungsrichtlinie an das Amazon-SNS-Thema anfügen, das sich im Besitz eines anderen Kontos befindet. Falls Sie ein Amazon-SNS-Thema eines anderen Kontos verwenden möchten, achten Sie darauf, die folgende Richtlinie an das vorhandenes Amazon-SNS-Thema anzufügen.
```
{
"Id": "Policy_ID",
"Statement": [
{
"Sid": "AWSConfigSNSPolicy",
"Action": [
"sns:Publish"
],
"Effect": "Allow",
"Resource": "arn:aws:sns:region:account-id:myTopic",
"Principal": {
"AWS": [
"account-id1",
"account-id2",
"account-id3"
]
}
}
]
}
```
Für den `Resource` Schlüssel *account-id* steht die AWS Kontonummer des Themenbesitzers. Verwenden Sie für *account-id1**account-id2*, und den *account-id3* AWS-Konten , der Daten an ein Amazon SNS SNS-Thema sendet. Sie können *region* und *myTopic* durch entsprechende Werte ersetzen.
Wenn eine Benachrichtigung AWS Config an ein Amazon SNS SNS-Thema gesendet wird, wird zunächst versucht, die IAM-Rolle zu verwenden. Dieser Versuch schlägt jedoch fehl, wenn die Rolle AWS-Konto nicht berechtigt ist, für das Thema zu veröffentlichen. In diesem Fall AWS Config sendet die Benachrichtigung erneut, diesmal als AWS Config Service Principal Name (SPN). Bevor die Veröffentlichung erfolgreich durchgeführt werden kann, muss die Zugriffsrichtlinie für das Thema `sns:Publish`-Zugriff auf den Prinzipal-Namen von `config.amazonaws.com` erteilen. Sie müssen dem Amazon-SNS-Thema Zugriffsrichtlinie anfügen (siehe nächster Abschnitt), um AWS Config Zugriff auf das Amazon-SNS-Thema zu gewähren, falls die IAM-Rolle nicht berechtigt ist, an das Thema zu veröffentlichen.
## Erforderliche Berechtigungen für das Amazon-SNS-Thema bei Verwendung von servicegebundenen Rollen
Die AWS Config serviceverknüpfte Rolle ist nicht berechtigt, auf das Amazon SNS SNS-Thema zuzugreifen. Wenn Sie also eine Service-Linked AWS Config Role (SLR) einrichten, AWS Config werden Informationen stattdessen als Service Principal gesendet. AWS Config Sie müssen dem Amazon SNS SNS-Thema eine unten aufgeführte Zugriffsrichtlinie beifügen, um AWS Config Zugriff auf das Senden von Informationen zum Amazon SNS SNS-Thema zu gewähren.
Bei der Einrichtung im selben Konto müssen Sie den Service-Prinzipal-Namen von AWS Config nicht verwenden, wenn sich das Amazon-SNS-Thema und die SLR im selben Konto befinden und die Amazon-SNS-Richtlinie der SLR die Berechtigung `sns:Publish` erteilt. Die nachfolgende Berechtigungsrichtlinie und die Empfehlungen zu bewährten Methoden für optimale Sicherheit beziehen sich auf die kontoübergreifende Einrichtung.
## AWS Config Zugriff auf das Amazon SNS SNS-Thema gewähren
Diese Richtlinie ermöglicht AWS Config das Senden einer Benachrichtigung an ein Amazon SNS SNS-Thema. Um von einem anderen Konto aus AWS Config Zugriff auf das Amazon SNS SNS-Thema zu gewähren, müssen Sie die folgende Berechtigungsrichtlinie beifügen.
**Anmerkung**
Aus Sicherheitsgründen wird dringend empfohlen, sicherzustellen, dass der Zugriff auf Ressourcen nur im Namen der erwarteten Benutzer AWS Config erfolgt, indem der Zugriff auf die Konten beschränkt wird, die unter Bedingung aufgeführt sind. `AWS:SourceAccount`
```
{
"Id": "Policy_ID",
"Statement": [
{
"Sid": "AWSConfigSNSPolicy",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "sns:Publish",
"Resource": "arn:aws:sns:region:account-id:myTopic",
"Condition" : {
"StringEquals": {
"AWS:SourceAccount": [
"account-id1",
"account-id2",
"account-id3"
]
}
}
}
]
}
```
Für den `Resource` Schlüssel *account-id* gilt die AWS Kontonummer des Themenbesitzers. Verwenden Sie für *account-id1**account-id2*, und den *account-id3* AWS-Konten , der Daten an ein Amazon SNS SNS-Thema sendet. Sie können *region* und *myTopic* durch entsprechende Werte ersetzen.
Sie können die `AWS:SourceAccount` Bedingung in der vorherigen Amazon SNS SNS-Themenrichtlinie verwenden, um den AWS Config Service Principal Name (SPN) so zu beschränken, dass er nur mit dem Amazon SNS SNS-Thema interagiert, wenn Operationen für bestimmte Konten ausgeführt werden.
AWS Config unterstützt auch die `AWS:SourceArn` Bedingung, dass der AWS Config Service Principal Name (SPN) nur mit dem S3-Bucket interagiert, wenn Operationen im Namen bestimmter Lieferkanäle ausgeführt werden. AWS Config Wenn Sie den AWS Config Service Principal Name (SPN) verwenden, wird als `AWS:SourceArn` Eigenschaft immer festgelegt, `arn:aws:config:sourceRegion:sourceAccountID:*` wo sich die Region des Bereitstellungskanals `sourceRegion` befindet. Dabei `sourceAccountID` handelt es sich um die ID des Kontos, das den Bereitstellungskanal enthält. Weitere Informationen zu AWS Config Bereitstellungskanälen finden Sie unter [Verwaltung des Bereitstellungskanals](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html). Fügen Sie beispielsweise die folgende Bedingung hinzu, um den AWS Config Service Principal Name (SPN) so zu beschränken, dass er mit Ihrem S3-Bucket nur im Namen eines Lieferkanals in der `us-east-1` Region des Kontos interagiert`123456789012`:`"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}`.
## Fehlerbehebung für das Amazon-SNS-Thema
AWS Config muss berechtigt sein, Benachrichtigungen an ein Amazon SNS SNS-Thema zu senden. Wenn ein Amazon SNS SNS-Thema keine Benachrichtigungen erhalten kann, überprüfen Sie, ob die IAM-Rolle, die AWS Config Sie übernommen haben, über die erforderlichen `sns:Publish` Berechtigungen verfügt.
# Fehlerbehebung bei AWS Config Identität und Zugriff
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit AWS Config und IAM auftreten können.
**Topics**
+ [Ich bin nicht berechtigt, eine Aktion durchzuführen in AWS Config](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, iam auszuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine AWS Config Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht berechtigt, eine Aktion durchzuführen in AWS Config
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht zur Durchführung einer Aktion berechtigt sind, müssen Ihre Richtlinien aktualisiert werden, damit Sie die Aktion durchführen können.
Der folgende Beispielfehler tritt auf, wenn der `mateojackson` IAM-Benutzer versucht, die Konsole zum Anzeigen von Details zu einer fiktiven `my-example-widget`-Ressource zu verwenden, jedoch nicht über `config:GetWidget`-Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: config:GetWidget on resource: my-example-widget
```
In diesem Fall muss die Mateo-Richtlinie aktualisiert werden, damit er mit der `config:GetWidget`-Aktion auf die `my-example-widget`-Ressource zugreifen kann.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich bin nicht berechtigt, iam auszuführen: PassRole
Wenn Sie die Fehlermeldung erhalten, dass Sie nicht zum Durchführen der `iam:PassRole`-Aktion autorisiert sind, müssen Ihre Richtlinien aktualisiert werden, um eine Rolle an AWS Configübergeben zu können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in AWS Config auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine AWS Config Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob diese Funktionen AWS Config unterstützt werden, finden Sie unter. [Wie AWS Config funktioniert mit IAM](security_iam_service-with-iam.md)
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs auf einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# Verwenden von serviceverknüpften Rollen für AWS Config
AWS Config verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, mit der direkt verknüpft ist. AWS Config Mit Diensten verknüpfte Rollen sind vordefiniert AWS Config und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine dienstbezogene Rolle AWS Config erleichtert die Einrichtung, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS Config definiert die Berechtigungen ihrer dienstbezogenen Rollen und AWS Config kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Informationen zu anderen Services, die serviceverknüpften Rollen unterstützen, finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie nach den Services, für die **Ja** in der Spalte **Serviceverknüpfte Rolle** angegeben ist. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
## Berechtigungen für dienstverknüpfte Rollen für AWS Config
AWS Config verwendet die angegebene dienstverknüpfte Rolle **AwsServiceRoleForConfig**— AWS Config verwendet diese dienstverknüpfte Rolle, um andere AWS Dienste in Ihrem Namen aufzurufen. Die neuesten Updates finden Sie unter. [AWS Config Aktualisierungen der AWS verwalteten Richtlinien](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)
Die serviceverknüpfte Rolle **AwsServiceRoleForConfig** vertraut dem Service `config.amazonaws.com`, sodass dieser die Rolle annehmen kann.
Die Berechtigungsrichtlinie für die `AwsServiceRoleForConfig` Rolle umfasst nur Lese- und Schreibberechtigungen für Ressourcen und nur Leseberechtigungen für AWS Config Ressourcen in anderen Diensten, die dies unterstützen. AWS Config [Die verwaltete Richtlinie für finden Sie unter Verwaltete Richtlinien für **AwsServiceRoleForConfig**.AWSAWS Config](https://docs.aws.amazon.com/config/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWSConfigServiceRolePolicy)
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
Um eine serviceverknüpfte Rolle mit zu verwenden AWS Config, müssen Sie Berechtigungen für Ihren Amazon S3-Bucket und Ihr Amazon SNS SNS-Thema konfigurieren. Weitere Informationen finden Sie unter [Erforderliche Berechtigungen für den Amazon-S3-Bucket bei Verwendung von servicegebundenen RollenErforderliche Berechtigungen für den Amazon S3 S3-Bucket bei kontoübergreifender Lieferung](s3-bucket-policy.md#required-permissions-using-servicelinkedrole), [Erforderliche Berechtigungen für den AWS KMS Schlüssel bei der Verwendung von serviceverknüpften Rollen (S3 Bucket Delivery)](s3-kms-key-policy.md#required-permissions-s3-kms-key-using-servicelinkedrole) und [Erforderliche Berechtigungen für das Amazon-SNS-Thema bei Verwendung von servicegebundenen Rollen](sns-topic-policy.md#required-permissions-snstopic-using-servicelinkedrole).
## Erstellen einer serviceverknüpften Rolle für AWS Config
Erstellen Sie in der IAM-CLI oder der IAM-API eine serviceverknüpfte Rolle mit dem Servicenamen `config.amazonaws.com`. Weitere Informationen finden Sie unter [Erstellen einer serviceverknüpfte Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im *IAM-Leitfaden*. Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben Verfahren die Rolle erneut erstellen.
## Bearbeiten einer serviceverknüpften Rolle für AWS Config
AWS Config erlaubt es Ihnen nicht, die **AwsServiceRoleForConfig**dienstbezogene Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer serviceverknüpften Rolle für AWS Config
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
**Anmerkung**
Wenn der AWS Config Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**Um AWS Config Ressourcen zu löschen, die verwendet werden von **AwsServiceRoleForConfig****
Achten Sie darauf, dass `ConfigurationRecorders` nicht die serviceverknüpfte Rolle verwendet. Sie können die AWS Config Konsole verwenden, um den Konfigurationsrekorder zu beenden. Zum Beenden der Aufzeichnung wählen Sie unter **Recording is on (Aufnahme ist an)** die Option **Turn off (Ausschalten)** aus.
Sie können die `ConfigurationRecorder` verwendende AWS Config API löschen. Verwenden Sie zum Löschen den Befehl `delete-configuration-recorder`.
```
$ aws configservice delete-configuration-recorder --configuration-recorder-name default
```
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Sie können die IAM-Konsole, die IAM-CLI oder die IAM-API verwenden, um die AwsServiceRoleForConfig-serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Leitfaden*.