Zugriff auf Ressourcen verwalten - AWS Control Tower
Informationen zu identitätsbasierten Richtlinien (Richtlinien) IAMRessourcenbasierte Richtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zugriff auf Ressourcen verwalten

Eine Berechtigungsrichtlinie beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werden die verfügbaren Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.

Anmerkung

In diesem Abschnitt wird die Verwendung IAM im Kontext von AWS Control Tower beschrieben. Es enthält keine detaillierten Informationen über den IAM Dienst. Eine vollständige IAM Dokumentation finden Sie unter Was istIAM? im IAMBenutzerhandbuch. Informationen zur IAM Richtliniensyntax und zu Beschreibungen finden Sie unter AWS IAMRichtlinienreferenz im IAMBenutzerhandbuch.

Mit einer IAM Identität verknüpfte Richtlinien werden als identitätsbasierte Richtlinien (IAMRichtlinien) bezeichnet. An Ressourcen angehängte Richtlinien werden als ressourcenbasierte Richtlinien bezeichnet.

Anmerkung

AWSControl Tower unterstützt nur identitätsbasierte Richtlinien (IAMRichtlinien).

Themen

Informationen zu identitätsbasierten Richtlinien (Richtlinien) IAM

Sie können Richtlinien an Identitäten anhängen. IAM Sie können z. B. Folgendes tun:

  • Hängen Sie eine Berechtigungsrichtlinie an einen Benutzer oder eine Gruppe in Ihrem Konto an — Um einem Benutzer Berechtigungen zur Erstellung einer AWS Control Tower Tower-Ressource zu gewähren, z. B. das Einrichten einer landing zone, können Sie eine Berechtigungsrichtlinie an einen Benutzer oder eine Gruppe anhängen, zu der der Benutzer gehört.

  • Einer Rolle eine Berechtigungsrichtlinie zuordnen (kontoübergreifende Berechtigungen gewähren) — Sie können einer IAM Rolle eine identitätsbasierte Berechtigungsrichtlinie zuordnen, um kontoübergreifende Berechtigungen zu gewähren. Zum Beispiel ein Administrator für einen AWS Ein Konto (Konto A) kann eine Rolle erstellen, die einem anderen Benutzer kontoübergreifende Berechtigungen gewährt AWS Konto (Konto B), oder der Administrator kann eine Rolle erstellen, die einer anderen Person Berechtigungen gewährt AWS Dienst.

    1. Der Administrator für Konto A erstellt eine IAM Rolle und fügt der Rolle eine Berechtigungsrichtlinie hinzu, die Berechtigungen zur Verwaltung von Ressourcen in Konto A gewährt.

    2. Der Administrator für Konto A ordnet der Rolle eine Vertrauensrichtlinie zu. Die Richtlinie identifiziert Konto B als den Prinzipal, der die Rolle übernehmen kann.

    3. Als Principal kann der Administrator von Konto B jedem Benutzer in Konto B die Erlaubnis erteilen, die Rolle zu übernehmen. Durch die Übernahme der Rolle können Benutzer in Konto B Ressourcen in Konto A erstellen oder darauf zugreifen.

    4. Um eine zu gewähren AWS Um die Fähigkeit (Berechtigungen) zur Übernahme der Rolle bereitzustellen, kann es sich bei dem Principal, den Sie in der Vertrauensrichtlinie angeben, um einen AWS Dienst.

Ressourcenbasierte Richtlinien

Andere Services, z. B. Amazon S3, unterstützen auch ressourcenbasierte Berechtigungsrichtlinien. Beispielsweise können Sie einem S3 Bucket eine Richtlinie zuweisen, um die Zugriffsberechtigungen für diesen Bucket zu verwalten. AWSControl Tower unterstützt keine ressourcenbasierten Richtlinien.