Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Rollen erstellen und Berechtigungen zuweisen
Rollen und Berechtigungen geben dir Zugriff auf Ressourcen, im AWS Control Tower und in anderen AWS Dienste, einschließlich des programmatischen Zugriffs auf Ressourcen.
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
-
Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Folgen Sie den Anweisungen unter Einen Berechtigungssatz erstellen im AWS IAM Identity Center Benutzerleitfaden.
-
Benutzer, IAM die über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Folgen Sie den Anweisungen unter Erstellen einer Rolle für einen externen Identitätsanbieter (Federation) im IAMBenutzerhandbuch.
-
IAMBenutzer:
-
Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Folgen Sie den Anweisungen unter Eine Rolle für einen IAM Benutzer erstellen im IAMBenutzerhandbuch.
-
(Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Folgen Sie den Anweisungen unter Hinzufügen von Berechtigungen für einen Benutzer (Konsole) im IAMBenutzerhandbuch.
-
Weitere Informationen zur Verwendung IAM zum Delegieren von Berechtigungen finden Sie unter Zugriffsverwaltung im IAMBenutzerhandbuch.
Anmerkung
Wenn Sie eine AWS Control Tower Tower-Landezone einrichten, benötigen Sie einen Benutzer oder eine Rolle mit der AdministratorAccessverwalteten Richtlinie. (arn:aws:iam: :aws:policy/) AdministratorAccess
Um eine Rolle für ein zu erstellen AWS-Service (IAMKonsole)
Loggen Sie sich ein in AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/
. -
Wählen Sie im Navigationsbereich der IAM Konsole Rollen und anschließend Rolle erstellen aus.
-
Wählen Sie für Vertrauenswürdigen Entitätstyp AWS-Service.
-
Wählen Sie für Dienst oder Anwendungsfall einen Dienst und dann den Anwendungsfall aus. Anwendungsfälle werden durch den Service definiert, damit die für den Service erforderliche Vertrauensrichtlinie enthalten ist.
-
Wählen Sie Weiter.
-
Bei Berechtigungsrichtlinien hängen die Optionen vom ausgewählten Anwendungsfall ab:
-
Wenn der Dienst die Berechtigungen für die Rolle definiert, können Sie keine Berechtigungsrichtlinien auswählen.
-
Wählen Sie aus einer begrenzten Anzahl von Berechtigungsrichtlinien aus.
-
Wählen Sie aus allen Berechtigungsrichtlinien aus.
-
Wählen Sie keine Berechtigungsrichtlinien aus, erstellen Sie die Richtlinien, nachdem die Rolle erstellt wurde, und fügen Sie die Richtlinien dann der Rolle hinzu.
-
-
(Optional) Legen Sie eine Berechtigungsgrenze fest. Dies ist ein erweitertes Feature, das für Servicerollen verfügbar ist, aber nicht für servicegebundene Rollen.
-
Öffnen Sie den Abschnitt Berechtigungsgrenze festlegen und wählen Sie dann Eine Berechtigungsgrenze verwenden aus, um die maximalen Rollenberechtigungen zu steuern.
IAMenthält eine Liste der AWS verwaltete und vom Kunden verwaltete Richtlinien in Ihrem Konto.
Wählen Sie die Richtlinie aus, die für eine Berechtigungsgrenze verwendet werden soll.
-
-
Wählen Sie Weiter.
-
Die Optionen für den Rollennamen hängen vom Dienst ab:
-
Wenn der Dienst den Rollennamen definiert, können Sie den Rollennamen nicht bearbeiten.
-
Wenn der Dienst ein Präfix für den Rollennamen definiert, können Sie ein optionales Suffix eingeben.
-
Wenn der Dienst den Rollennamen nicht definiert, können Sie der Rolle einen Namen geben.
Wichtig
Beachten Sie beim Benennen einer Rolle Folgendes:
-
Rollennamen müssen innerhalb Ihres AWS-Konto, und kann nicht von Fall zu Fall eindeutig gemacht werden.
Erstellen Sie beispielsweise keine Rollen mit dem Namen
PRODROLEsowohl als auchprodrole. Wenn ein Rollenname in einer Richtlinie oder als Teil einer verwendet wirdARN, unterscheidet der Rollenname Groß- und Kleinschreibung. Wenn Kunden jedoch ein Rollenname in der Konsole angezeigt wird, z. B. während des Anmeldevorgangs, wird die Groß- und Kleinschreibung nicht berücksichtigt. -
Sie können den Namen der Rolle nicht bearbeiten, nachdem er erstellt wurde, da andere Entitäten möglicherweise auf die Rolle verweisen.
-
-
-
(Optional) Geben Sie unter Beschreibung eine Beschreibung für die Rolle ein.
-
(Optional) Um die Anwendungsfälle und Berechtigungen für die Rolle zu bearbeiten, wählen Sie in den Abschnitten Schritt 1: Vertrauenswürdige Entitäten auswählen oder Schritt 2: Berechtigungen hinzufügen die Option Bearbeiten aus.
-
(Optional) Fügen Sie Tags als Schlüssel-Wert-Paare hinzu, um die Rolle leichter zu identifizieren, zu organisieren oder nach ihr zu suchen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie im Benutzerhandbuch unter IAMRessourcen taggen. IAM
-
Prüfen Sie die Rolle und klicken Sie dann auf Create Role (Rolle erstellen).
So verwenden Sie den JSON Richtlinien-Editor, um eine Richtlinie zu erstellen
Melden Sie sich an bei AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/
. -
Wählen Sie im Navigationsbereich auf der linken Seite Policies (Richtlinien).
Wenn Sie zum ersten Mal Policies (Richtlinien) auswählen, erscheint die Seite Welcome to Managed Policies (Willkommen bei verwalteten Richtlinien). Wählen Sie Get Started.
-
Wählen Sie oben auf der Seite Create policy (Richtlinie erstellen) aus.
-
Wählen Sie im Bereich Policy-Editor die JSONOption aus.
-
Geben Sie ein JSON Richtliniendokument ein oder fügen Sie es ein. Einzelheiten zur Sprache der IAM Richtlinie finden Sie unter IAMJSONRichtlinienreferenz.
-
Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der Richtlinien-Validierung erzeugt wurden, und wählen Sie dann Weiter.
Anmerkung
Sie können jederzeit zwischen den Optionen Visual und JSONEditor wechseln. Wenn Sie jedoch Änderungen vornehmen oder im Visual Editor auf Weiter klicken, kann es IAM sein, dass Ihre Richtlinie neu strukturiert wird, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Neustrukturierung von Richtlinien.
-
(Optional) Wenn Sie eine Richtlinie erstellen oder bearbeiten in AWS Management Console, können Sie eine JSON oder eine YAML Richtlinienvorlage generieren, die Sie verwenden können in AWS CloudFormation Vorlagen.
Wählen Sie dazu im Policy-Editor Aktionen und anschließend CloudFormationVorlage generieren aus. Für weitere Informationen über AWS CloudFormation, siehe AWS Identity and Access Management Referenz zum Ressourcentyp in AWS CloudFormation Benutzerleitfaden.
-
Wenn Sie mit dem Hinzufügen von Berechtigungen zur Richtlinie fertig sind, wählen Sie Next (Weiter) aus.
-
Geben Sie auf der Seite Prüfen und erstellen unter Richtlinienname einen Namen und unter Beschreibung (optional) eine Beschreibung für die Richtlinie ein, die Sie erstellen. Überprüfen Sie Permissions defined in this policy (In dieser Richtlinie definierte Berechtigungen), um die Berechtigungen einzusehen, die von Ihrer Richtlinie gewährt werden.
-
(Optional) Fügen Sie der Richtlinie Metadaten hinzu, indem Sie Tags als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Tags finden Sie im IAM IAMBenutzerhandbuch unter IAM Ressourcen mit Tags versehen.
-
Wählen Sie Create policy (Richtlinie erstellen) aus, um Ihre neue Richtlinie zu speichern.
So verwenden Sie den visuellen Editor zum Erstellen einer Richtlinie
Melden Sie sich an bei AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/
. -
Wählen Sie im Navigationsbereich auf der linken Seite Policies (Richtlinien).
Wenn Sie zum ersten Mal Policies (Richtlinien) auswählen, erscheint die Seite Welcome to Managed Policies (Willkommen bei verwalteten Richtlinien). Wählen Sie Get Started.
-
Wählen Sie Create Policy (Richtlinie erstellen) aus.
-
Suchen Sie im Bereich Richtlinien-Editor nach dem Abschnitt Wählen Sie einen Dienst aus und wählen Sie dann einen AWS-Service. Sie können das Suchfeld oben verwenden, um die Ergebnisse in der Liste der Dienste einzuschränken. Sie können nur einen Service innerhalb eines Berechtigungsblocks des visuellen Editors auswählen. Um mehr als einem Service Zugriff zu gewähren, fügen Sie mehrere Berechtigungsblöcke hinzu, indem Sie Add more permissions (Weitere Berechtigungen hinzufügen) auswählen.
-
Wählen Sie unter Actions allowed (Zulässige Aktionen) die Aktionen aus, die der Richtlinie hinzugefügt werden sollen. Es gibt folgende Möglichkeiten, Aktionen auszuwählen:
-
Markieren Sie das Kontrollkästchen für alle Aktionen.
-
Wählen Sie Aktionen hinzufügen, um den Namen einer bestimmten Aktion einzugeben. Sie können ein Platzhalterzeichen (
*) verwenden, um mehrere Aktionen anzugeben. -
Wählen Sie eine der Access level ((Zugriffsebene)-Gruppen aus, um alle Aktionen für die Zugriffsebene auszuwählen (z. B. Read (Lesen), Write (Schreiben) oder List (Auflisten).
-
Erweitern Sie die einzelnen Gruppen Access level (Zugriffsebene), um einzelne Aktionen auszuwählen.
Standardmäßig lässt die Richtlinie, die Sie erstellen, die Aktionen zu, die Sie auswählen. Um die ausgewählten Aktionen stattdessen zu verweigern, wählen Sie Switch to deny permissions (Zu Berechtigungen verweigern wechseln). Da standardmäßig IAM verweigert wird, empfehlen wir aus Sicherheitsgründen, dass Sie Berechtigungen nur für die Aktionen und Ressourcen gewähren, die ein Benutzer benötigt. Erstellen Sie eine JSON Anweisung, um Berechtigungen nur dann zu verweigern, wenn Sie eine Berechtigung außer Kraft setzen möchten, die durch eine andere Anweisung oder Richtlinie separat zulässig ist. Wir empfehlen, die Anzahl der Verweigerungsberechtigungen auf ein Minimum zu beschränken, da diese die Fehlerbehebung bei Berechtigungen erschweren.
-
-
Wenn bei Resources (Ressourcen) der Service und die Aktionen, die Sie in den vorherigen Schritten ausgewählt haben, nicht die Auswahl bestimmter Ressourcen unterstützen, sind alle Ressourcen zulässig, und Sie können diesen Abschnitt nicht bearbeiten.
Wenn Sie eine oder mehrere Aktionen auswählen, die Berechtigungen auf Ressourcenebene unterstützen, dann listet der visuelle Editor diese Ressourcen auf. Sie können dann Resources (Ressourcen) erweitern, um die Ressourcen für Ihre Richtlinie anzugeben.
Sie können Ressourcen auf folgende Weise angeben:
-
Wählen Sie Hinzufügen ARNs, um Ressourcen anhand ihrer Amazon-Ressourcennamen (ARN) anzugeben. Sie können den visuellen ARN Editor oder die Liste ARNs manuell verwenden. Weitere Informationen zur ARN Syntax finden Sie unter Amazon Resource Names (ARNs) im IAMBenutzerhandbuch. Informationen zur Verwendung von
ResourceElementen ARNs in einer Richtlinie finden Sie unter IAMJSONRichtlinienelemente: Ressource im IAMBenutzerhandbuch. -
Wählen Sie Any in this account (Alle in diesem Konto) neben einer Ressource aus, um Berechtigungen für alle Ressourcen dieses Typs zu gewähren.
-
Wählen Sie All (Alle) aus, um alle Ressourcen für den Service auszuwählen.
-
-
(Optional) Wählen Sie Request conditions - optional (Anfragebedingungen - (optional)) aus, um der Richtlinie, die Sie erstellen, Bedingungen hinzuzufügen. Bedingungen schränken die Wirkung einer JSON Grundsatzerklärung ein. Sie können beispielsweise festlegen, dass einem Benutzer erlaubt wird, die Aktionen für die Ressourcen nur durchzuführen, wenn die Anforderung dieses Benutzers in einem bestimmten Zeitraum stattfindet. Sie können auch häufig verwendete Bedingungen verwenden, um einzuschränken, ob ein Benutzer mithilfe eines Geräts mit Multi-Faktor-Authentifizierung (MFA) authentifiziert werden muss. Oder Sie können festlegen, dass die Anforderung aus einem bestimmten IP-Adressbereich stammen muss. Eine Liste aller Kontextschlüssel, die Sie in einer Richtlinienbedingung verwenden können, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste in der Service Authorization Reference.
Sie haben folgende Möglichkeiten, Bedingungen auszuwählen:
-
Verwenden Sie Kontrollkästchen, um allgemein verwendete Bedingungen auszuwählen.
-
Wählen Sie Add another condition (Weitere Bedingung hinzufügen) aus, um andere Bedingungen anzugeben. Wählen Sie den Bedingungsschlüssel, den Qualifikator und den Operator für die Bedingung aus, und geben Sie dann einen Wert ein. Um mehr als einen Wert hinzuzufügen, wählen Sie Add (Hinzufügen) aus. Sie können davon ausgehen, dass die Werte durch einen logischen
OROperator miteinander verbunden sind. Wählen Sie danach Add condition (Bedingung hinzufügen) aus.
Um mehr als eine Bedingung hinzuzufügen, wählen Sie Add another condition (Weitere Bedingung hinzufügen) aus. Wiederholen Sie diesen Vorgang nach Bedarf. Jede Bedingung gilt nur für diesen einen Berechtigungsblock des visuellen Editors. Alle Bedingungen müssen wahr sein, damit der Berechtigungsblock ausgeführt werden kann. Mit anderen Worten, gehen Sie davon aus, dass die Bedingungen durch einen logischen
ANDOperator miteinander verbunden sind.Weitere Informationen zum Element „Bedingung“ finden Sie unter „IAMJSONRichtlinienelemente: Bedingung“ im IAMBenutzerhandbuch.
-
-
Um mehr Berechtigungsblöcke hinzuzufügen, wählen Sie Add more permissions (Weitere Berechtigungen hinzufügen) aus. Wiederholen Sie die Schritte 2 bis 5 für jeden Block.
Anmerkung
Sie können jederzeit zwischen den Optionen Visual und JSONEditor wechseln. Wenn Sie jedoch Änderungen vornehmen oder im Visual Editor auf Weiter klicken, kann es IAM sein, dass Ihre Richtlinie neu strukturiert wird, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Neustrukturierung von Richtlinien.
-
(Optional) Wenn Sie eine Richtlinie erstellen oder bearbeiten in AWS Management Console, können Sie eine JSON oder eine YAML Richtlinienvorlage generieren, die Sie verwenden können in AWS CloudFormation Vorlagen.
Wählen Sie dazu im Policy-Editor Aktionen und anschließend CloudFormationVorlage generieren aus. Für weitere Informationen über AWS CloudFormation, siehe AWS Identity and Access Management Referenz zum Ressourcentyp in AWS CloudFormation Benutzerleitfaden.
-
Wenn Sie mit dem Hinzufügen von Berechtigungen zur Richtlinie fertig sind, wählen Sie Next (Weiter) aus.
-
Geben Sie auf der Seite Prüfen und erstellen unter Richtlinienname einen Namen und unter Beschreibung (optional) eine Beschreibung für die Richtlinie ein, die Sie erstellen. Überprüfen Sie Permissions defined in this policy (In dieser Richtlinie definierte Berechtigungen), um sicherzustellen, dass Sie die beabsichtigten Berechtigungen erteilt haben.
-
(Optional) Fügen Sie der Richtlinie Metadaten hinzu, indem Sie Tags als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Tags finden Sie im IAM IAMBenutzerhandbuch unter IAM Ressourcen mit Tags versehen.
-
Wählen Sie Create policy (Richtlinie erstellen) aus, um Ihre neue Richtlinie zu speichern.
Um programmatischen Zugriff zu gewähren
Benutzer benötigen programmatischen Zugriff, wenn sie mit AWS außerhalb der AWS Management Console. Die Art und Weise, wie programmatischer Zugriff gewährt wird, hängt von der Art des Benutzers ab, der zugreift AWS.
Um Benutzern programmgesteuerten Zugriff zu gewähren, wählen Sie eine der folgenden Optionen.
| Welcher Benutzer benötigt programmgesteuerten Zugriff? | Bis | Von |
|---|---|---|
|
Mitarbeiteridentität (In IAM Identity Center verwaltete Benutzer) |
Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an das zu signieren AWS CLI, AWS SDKs, oder AWS APIs. |
Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten.
|
| IAM | Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an das zu signieren AWS CLI, AWS SDKs, oder AWS APIs. | Folgen Sie den Anweisungen unter Temporäre Anmeldeinformationen verwenden mit AWS Ressourcen im IAMBenutzerhandbuch. |
| IAM | (Nicht empfohlen) Verwenden Sie langfristige Anmeldeinformationen, um programmatische Anfragen an das zu signieren AWS CLI, AWS SDKs, oder AWS APIs. |
Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten.
|
Schützen Sie sich vor Angreifern
Weitere Informationen darüber, wie Sie sich vor Angreifern schützen können, wenn Sie anderen Personen Berechtigungen erteilen AWS Dienstprinzipale finden Sie unter Optionale Bedingungen für Ihre Rollenvertrauensbeziehungen. Indem Sie Ihren Richtlinien bestimmte Bedingungen hinzufügen, können Sie dazu beitragen, eine bestimmte Art von Angriff zu verhindern, der als Confused Deputy Attack bezeichnet wird. Dieser Angriff tritt auf, wenn eine Entität eine Entität mit mehr Rechten dazu zwingt, eine Aktion auszuführen, z. B. durch dienstübergreifenden Identitätswechsel. Allgemeine Informationen zu den Richtlinienbedingungen finden Sie auch unter. Angeben von Bedingungen in einer Richtlinie
Weitere Informationen zur Verwendung identitätsbasierter Richtlinien mit AWS Control Tower finden Sie unter. Verwendung identitätsbasierter Richtlinien (IAM-Richtlinien) für AWS Control Tower Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sie unter Identitäten (Benutzer, Gruppen und Rollen) im IAM Benutzerhandbuch.
