Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Identity and Access Management für Amazon DevOps Guru
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu AWS kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Guru-Ressourcen zu verwenden DevOps. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [DevOpsGuru-Updates zu AWS verwalteten Richtlinien und serviceverknüpften Rollen](#security-iam-awsmanpol-updates)
+ [So arbeitet Amazon DevOps Guru mit IAM](security_iam_service-with-iam.md)
+ [Identitätsbasierte Richtlinien für Amazon Guru DevOps](security_iam_id-based-policy-examples.md)
+ [Verwenden von dienstbezogenen Rollen für Guru DevOps](using-service-linked-roles.md)
+ [Referenz zu Amazon DevOps Guru-Berechtigungen](auth-and-access-control-permissions-reference.md)
+ [Berechtigungen für Amazon SNS SNS-Themen](sns-required-permissions.md)
+ [Berechtigungen für AWS KMS—verschlüsselte Amazon SNS SNS-Themen](sns-kms-permissions.md)
+ [Fehlerbehebung bei Identität und Zugriff auf Amazon DevOps Guru](security_iam_troubleshoot.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Fehlerbehebung bei Identität und Zugriff auf Amazon DevOps Guru](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [So arbeitet Amazon DevOps Guru mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Identitätsbasierte Richtlinien für Amazon Guru DevOps](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### Verbundidentität
Es hat sich bewährt, dass menschliche Benutzer für den Zugriff AWS-Services mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden müssen.
Eine *föderierte Identität* ist ein Benutzer aus Ihrem Unternehmensverzeichnis, Ihrem Directory Service Web-Identitätsanbieter oder der AWS-Services mithilfe von Anmeldeinformationen aus einer Identitätsquelle zugreift. Verbundene Identitäten übernehmen Rollen, die temporäre Anmeldeinformationen bereitstellen.
Für die zentrale Zugriffsverwaltung empfehlen wir AWS IAM Identity Center. Weitere Informationen finden Sie unter [Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) können.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
## DevOpsGuru-Updates zu AWS verwalteten Richtlinien und serviceverknüpften Rollen
Hier finden Sie Informationen zu Aktualisierungen der AWS verwalteten Richtlinien und der dienstbezogenen Rolle für DevOps Guru, seit dieser Dienst begonnen hat, diese Änderungen nachzuverfolgen. Abonnieren Sie den RSS-Feed auf DevOps Guru[Amazon DevOps Guru-Dokumentenverlauf](doc-history.md), um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [AmazonDevOpsGuruConsoleFullAccess](security_iam_id-based-policy-examples.md#managed-full-console-access) – Aktualisierung auf eine bestehende Richtlinie. | Die AmazonDevOpsGuruFullAccess verwaltete Richtlinie unterstützt jetzt Amazon SNS SNS-Abonnements. | 9. August 2023 |
| [AmazonDevOpsGuruReadOnlyAccess](security_iam_id-based-policy-examples.md#managed-read-only-access) – Aktualisierung auf eine bestehende Richtlinie | Die AmazonDevOpsGuruReadOnlyAccess verwaltete Richtlinie unterstützt jetzt den schreibgeschützten Zugriff auf Amazon SNS SNS-Abonnementlisten. | 9. August 2023 |
| [AmazonDevOpsGuruServiceRolePolicy](https://docs.aws.amazon.com/devops-guru/latest/userguide/using-service-linked-roles.html#slr-permissions) – Aktualisierung auf eine bestehende Richtlinie. | Die AWSServiceRoleForDevOpsGuru serviceverknüpfte Rolle unterstützt jetzt den Zugriff auf API Gateway GET-Aktionen auf REST APIs. | 11. Januar 2023 |
| [AmazonDevOpsGuruServiceRolePolicy](https://docs.aws.amazon.com/devops-guru/latest/userguide/using-service-linked-roles.html#slr-permissions) – Aktualisierung auf eine bestehende Richtlinie. | Die AWSServiceRoleForDevOpsGuru serviceverknüpfte Rolle unterstützt jetzt mehrere Amazon Simple Storage Service- und Service Quotas Quota-Aktionen. | 19. Oktober 2022 |
| [AmazonDevOpsGuruFullAccess](security_iam_id-based-policy-examples.md#managed-full-access) – Aktualisierung auf eine bestehende Richtlinie | Die von AmazonDevOpsGuruFullAccess verwaltete Richtlinie unterstützt jetzt den Zugriff auf die CloudWatch `FilterLogEvents` Aktion. | 30. August 2022 |
| [AmazonDevOpsGuruConsoleFullAccess](security_iam_id-based-policy-examples.md#managed-full-console-access) – Aktualisierung auf eine bestehende Richtlinie | Die `AmazonDevOpsGuruConsoleFullAccess` verwaltete Richtlinie unterstützt jetzt den Zugriff auf die CloudWatch `FilterLogEvents` Aktion. | 30. August 2022 |
| [AmazonDevOpsGuruReadOnlyAccess](security_iam_id-based-policy-examples.md#managed-read-only-access) – Aktualisierung auf eine bestehende Richtlinie | Die AmazonDevOpsGuruReadOnlyAccess verwaltete Richtlinie unterstützt jetzt den schreibgeschützten Zugriff auf die CloudWatch FilterLogEvents Aktion. | 30. August 2022 |
| [AmazonDevOpsGuruServiceRolePolicy](https://docs.aws.amazon.com/devops-guru/latest/userguide/using-service-linked-roles.html#slr-permissions) – Aktualisierung auf eine bestehende Richtlinie. | Die mit dem `AWSServiceRoleForDevOpsGuru` Dienst verknüpfte Rolle unterstützt jetzt die CloudWatch Protokollaktionen`FilterLogEvents`, und`DescribeLogGroups`. `DescribeLogStreams` | 12. Juli 2022 |
| [Identitätsbasierte Richtlinien für DevOps Guru](https://docs.aws.amazon.com/devops-guru/latest/userguide/security_iam_id-based-policy-examples.html#managed-full-access) — Neue verwaltete Richtlinie. | Die `AmazonDevOpsGuruConsoleFullAccess` Richtlinie wurde hinzugefügt. | 16. Dezember 2021 |
| [AmazonDevOpsGuruServiceRolePolicy](https://docs.aws.amazon.com/devops-guru/latest/userguide/using-service-linked-roles.html#slr-permissions) – Aktualisierung auf eine bestehende Richtlinie. | Die `AWSServiceRoleForDevOpsGuru` serviceverknüpfte Rolle unterstützt jetzt Performance Insights `DescribeMetricsKeys` - und Amazon `DescribeDBInstances` RDS-Aktionen. | 1. Dezember 2021 |
| [AmazonDevOpsGuruReadOnlyAccess](security_iam_id-based-policy-examples.md#managed-read-only-access) – Aktualisierung auf eine bestehende Richtlinie | Die `AmazonDevOpsGuruReadOnlyAccess` verwaltete Richtlinie unterstützt jetzt den schreibgeschützten Zugriff auf Amazon `DescribeDBInstances` RDS-Aktionen. | 1. Dezember 2021 |
| [AmazonDevOpsGuruFullAccess](security_iam_id-based-policy-examples.md#managed-full-access) – Aktualisierung auf eine bestehende Richtlinie | Die `AmazonDevOpsGuruFullAccess` verwaltete Richtlinie unterstützt jetzt den Zugriff auf Amazon `DescribeDBInstances` RDS-Aktionen. | 1. Dezember 2021 |
| [Identitätsbasierte Richtlinien für Amazon Guru DevOps](security_iam_id-based-policy-examples.md)— Neue Richtlinie hinzugefügt. | Die `AWSServiceRoleForDevOpsGuru` serviceverknüpfte Rolle unterstützt jetzt den Zugriff auf Amazon RDS `DescribeDBInstances` - und Performance Insights `GetResourceMetrics` Insights-Aktionen. Die `AmazonDevOpsGuruOrganizationsAccess` verwaltete Richtlinie ermöglicht den Zugriff auf DevOps Guru innerhalb einer Organisation. | 16. November 2021 |
| [AmazonDevOpsGuruServiceRolePolicy](https://docs.aws.amazon.com/devops-guru/latest/userguide/using-service-linked-roles.html#slr-permissions) – Aktualisierung auf eine bestehende Richtlinie. | Die `AWSServiceRoleForDevOpsGuru` serviceverknüpfte Rolle unterstützt jetzt AWS Organizations. | 4. November 2021 |
| [AmazonDevOpsGuruServiceRolePolicy](https://docs.aws.amazon.com/devops-guru/latest/userguide/using-service-linked-roles.html#slr-permissions) – Aktualisierung auf eine bestehende Richtlinie. | Die `AWSServiceRoleForDevOpsGuru` serviceverknüpfte Rolle enthält jetzt neue Bedingungen für die Aktionen `ssm:CreateOpsItem` und`ssm:AddTagsToResource`. | 11. Oktober 2021 |
| [Mit dem Dienst verknüpfte Rollenberechtigungen für Guru DevOps](using-service-linked-roles.md#slr-permissions) – Aktualisierung auf eine bestehende Richtlinie. | Die `AWSServiceRoleForDevOpsGuru` dienstbezogene Rolle enthält jetzt neue Bedingungen für die Aktionen `ssm:CreateOpsItem` und`ssm:AddTagsToResource`. | 14. Juni 2021 |
| [AmazonDevOpsGuruReadOnlyAccess](security_iam_id-based-policy-examples.md#managed-read-only-access) – Aktualisierung auf eine bestehende Richtlinie | Die `AmazonDevOpsGuruReadOnlyAccess` verwaltete Richtlinie ermöglicht jetzt schreibgeschützten Zugriff auf die Aktionen AWS Identity and Access Management `GetRole` und Guru. DevOps `DescribeFeedback` | 14. Juni 2021 |
| [AmazonDevOpsGuruReadOnlyAccess](security_iam_id-based-policy-examples.md#managed-read-only-access) – Aktualisierung auf eine bestehende Richtlinie | Die `AmazonDevOpsGuruReadOnlyAccess` verwaltete Richtlinie ermöglicht jetzt schreibgeschützten Zugriff auf den Guru und die DevOps Aktionen. `GetCostEstimation` `StartCostEstimation` | 27. April 2021 |
| [AmazonDevOpsGuruServiceRolePolicy](https://docs.aws.amazon.com/devops-guru/latest/userguide/using-service-linked-roles.html#slr-permissions) – Aktualisierung auf eine bestehende Richtlinie. | Die `AWSServiceRoleForDevOpsGuru` Rolle ermöglicht jetzt den Zugriff auf die `DescribeAutoScalingGroups` Aktionen AWS Systems Manager `AddTagsToResource` und Amazon EC2 Auto Scaling. | 27. April 2021 |
| DevOpsGuru begann, Änderungen zu verfolgen | DevOpsGuru begann, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen. | 10. Dezember 2020 |
# So arbeitet Amazon DevOps Guru mit IAM
Bevor Sie IAM verwenden, um den Zugriff auf DevOps Guru zu verwalten, sollten Sie sich darüber informieren, welche IAM-Funktionen für Guru verfügbar sind. DevOps
**IAM-Funktionen, die Sie mit Amazon DevOps Guru verwenden können**
| IAM-Feature | DevOpsGuru-Unterstützung |
| --- | --- |
| [Identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies) | Ja |
| [Ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies) | Nein |
| [Richtlinienaktionen](#security_iam_service-with-iam-id-based-policies-actions) | Ja |
| [Richtlinienressourcen](#security_iam_service-with-iam-id-based-policies-resources) | Ja |
| [Bedingungsschlüssel für die Richtlinie](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ja |
| [ACLs](#security_iam_service-with-iam-acls) | Nein |
| [ABAC (Tags in Richtlinien)](#security_iam_service-with-iam-tags) | Nein |
| [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-roles-tempcreds) | Ja |
| [Prinzipalberechtigungen](#security_iam_service-with-iam-principal-permissions) | Ja |
| [Servicerollen](#security_iam_service-with-iam-roles-service) | Nein |
| [Serviceverknüpfte Rollen](#security_iam_service-with-iam-roles-service-linked) | Ja |
Einen allgemeinen Überblick darüber, wie DevOps Guru und andere AWS Dienste mit den meisten IAM-Funktionen funktionieren, finden Sie im [IAM-Benutzerhandbuch unter AWS Dienste, die mit *IAM* funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
## Identitätsbasierte Richtlinien für Guru DevOps
**Unterstützt Richtlinien auf Identitätsbasis:** Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Beispiele für identitätsbasierte Richtlinien für Guru DevOps
Beispiele für identitätsbasierte Richtlinien von DevOps Guru finden Sie unter. [Identitätsbasierte Richtlinien für Amazon Guru DevOps](security_iam_id-based-policy-examples.md)
## Ressourcenbasierte Richtlinien innerhalb von Guru DevOps
**Unterstützt ressourcenbasierte Richtlinien:** Nein
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-*Rollen-Vertrauensrichtlinien* und Amazon-S3-*Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services
Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Politische Maßnahmen für Guru DevOps
**Unterstützt Richtlinienaktionen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Eine Liste der DevOps Guru-Aktionen finden Sie unter [Von Amazon DevOps Guru definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondevopsguru.html#amazondevopsguru-actions-as-permissions) in der *Service Authorization Reference*.
Richtlinienaktionen in DevOps Guru verwenden vor der Aktion das folgende Präfix:
```
aws
```
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:
```
"Action": [
"aws:action1",
"aws:action2"
]
```
Beispiele für identitätsbasierte Richtlinien von DevOps Guru finden Sie unter. [Identitätsbasierte Richtlinien für Amazon Guru DevOps](security_iam_id-based-policy-examples.md)
## Politische Ressourcen für Guru DevOps
**Unterstützt Richtlinienressourcen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Eine Liste der DevOps Guru-Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter [Von Amazon DevOps Guru definierte Ressourcen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondevopsguru.html#amazondevopsguru-resources-for-iam-policies) in der *Service Authorization Reference*. Informationen darüber, mit welchen Aktionen Sie den ARN jeder Ressource angeben können, finden Sie unter [Von Amazon DevOps Guru definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondevopsguru.html#amazondevopsguru-actions-as-permissions).
Beispiele für identitätsbasierte DevOps Guru-Richtlinien finden Sie unter. [Identitätsbasierte Richtlinien für Amazon Guru DevOps](security_iam_id-based-policy-examples.md)
## Bedingungsschlüssel für Richtlinien für Guru DevOps
**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Eine Liste der DevOps Guru-Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für Amazon DevOps Guru](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondevopsguru.html#amazondevopsguru-policy-keys) in der *Service Authorization Reference*. Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von Amazon DevOps Guru definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondevopsguru.html#amazondevopsguru-actions-as-permissions).
Beispiele für identitätsbasierte DevOps Guru-Richtlinien finden Sie unter. [Identitätsbasierte Richtlinien für Amazon Guru DevOps](security_iam_id-based-policy-examples.md)
## Zugriffskontrolllisten (ACLs) in Guru DevOps
**Unterstützt ACLs:** Nein
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
## Attributbasierte Zugriffskontrolle (ABAC) mit Guru DevOps
**Unterstützt ABAC (Tags in Richtlinien):** Nein
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, die Operationen zulassen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.
Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.
Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.
*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.
## Temporäre Anmeldeinformationen mit Guru verwenden DevOps
**Unterstützt temporäre Anmeldeinformationen:** Ja
Temporäre Anmeldeinformationen ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie den Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
## Serviceübergreifende Prinzipalberechtigungen für Guru DevOps
**Unterstützt Forward Access Sessions (FAS):** Ja
Forward Access Sessions (FAS) verwenden die Berechtigungen des Prinzipals, der einen aufruft AWS-Service, kombiniert mit der Anforderung, Anfragen an nachgelagerte Dienste AWS-Service zu stellen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Servicerollen für Guru DevOps
**Unterstützt Servicerollen:** Nein
Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
**Warnung**
Das Ändern der Berechtigungen für eine Servicerolle könnte die DevOps Guru-Funktionalität beeinträchtigen. Bearbeiten Sie Servicerollen nur, wenn DevOps Guru Sie dazu anleitet.
## Dienstbezogene Rollen für Guru DevOps
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine dienstbezogene Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Details zum Erstellen oder Verwalten von serviceverknüpften Rollen finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Tabelle nach einem Service mit einem `Yes` in der Spalte **Service-linked role** (Serviceverknüpfte Rolle). Wählen Sie den Link **Yes** (Ja) aus, um die Dokumentation für die serviceverknüpfte Rolle für diesen Service anzuzeigen.
# Identitätsbasierte Richtlinien für Amazon Guru DevOps
Standardmäßig sind Benutzer und Rollen nicht berechtigt, DevOps Guru-Ressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
Einzelheiten zu den von DevOps Guru definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon DevOps Guru](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html) in der *Service Authorization Reference*.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der Guru-Konsole DevOps](#security_iam_id-based-policy-examples-console)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Von AWS verwaltete (vordefinierte) Richtlinien für DevOps Guru](#managed-policies)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand DevOps Guru-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder diese löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn du identitätsbasierte Richtlinien erstellst oder bearbeitest, befolge diese Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der Guru-Konsole DevOps
Um auf die Amazon DevOps Guru-Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den DevOps Guru-Ressourcen in Ihrem aufzulisten und einzusehen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.
Um sicherzustellen, dass Benutzer und Rollen die DevOps Guru-Konsole weiterhin verwenden können, fügen Sie den Entitäten auch die DevOps Guru-Richtlinie `AmazonDevOpsGuruReadOnlyAccess` oder die `AmazonDevOpsGuruFullAccess` AWS verwaltete Richtlinie hinzu. Weitere Informationen finden Sie unter [Hinzufügen von Berechtigungen zu einem Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie beinhaltet die Erlaubnis, diese Aktion auf der Konsole oder programmgesteuert mithilfe der API AWS CLI oder AWS durchzuführen.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Von AWS verwaltete (vordefinierte) Richtlinien für DevOps Guru
AWS adressiert viele gängige Anwendungsfälle durch die Bereitstellung eigenständiger IAM-Richtlinien, die von erstellt und verwaltet AWS werden. Diese AWS verwalteten Richtlinien gewähren die erforderlichen Berechtigungen für allgemeine Anwendungsfälle, sodass Sie nicht erst untersuchen müssen, welche Berechtigungen benötigt werden. Weitere Informationen finden Sie unter [AWS-verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM Benutzerhandbuch*.
Um DevOps Guru-Dienstrollen zu erstellen und zu verwalten, müssen Sie auch die AWS-verwaltete Richtlinie mit dem Namen anhängen. `IAMFullAccess`
Sie können auch Ihre eigenen benutzerdefinierten IAM-Richtlinien erstellen, um Berechtigungen für DevOps Guru-Aktionen und -Ressourcen zu gewähren. Die benutzerdefinierten Richtlinien können Sie dann den -Benutzern oder -Gruppen zuweisen, die diese Berechtigungen benötigen.
Die folgenden AWS verwalteten Richtlinien, die du Benutzern in deinem Konto zuordnen kannst, gelten nur für Guru. DevOps
**Topics**
+ [AmazonDevOpsGuruFullAccess](#managed-full-access)
+ [AmazonDevOpsGuruConsoleFullAccess](#managed-full-console-access)
+ [AmazonDevOpsGuruReadOnlyAccess](#managed-read-only-access)
+ [AmazonDevOpsGuruOrganizationsAccess](#organizations-policy)
### AmazonDevOpsGuruFullAccess
`AmazonDevOpsGuruFullAccess`— Bietet vollen Zugriff auf DevOps Guru, einschließlich der Berechtigungen zum Erstellen von Amazon SNS SNS-Themen, zum Zugriff auf CloudWatch Amazon-Metriken und zum Zugreifen auf AWS CloudFormation Stacks. Wenden Sie dies nur auf Benutzer mit Administratorrechten an, denen Sie die volle Kontrolle über Guru gewähren möchten. DevOps
Die `AmazonDevOpsGuruFullAccess` Richtlinie enthält die folgende Erklärung.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DevOpsGuruFullAccess",
"Effect": "Allow",
"Action": [
"devops-guru:*"
],
"Resource": "*"
},
{
"Sid": "CloudFormationListStacksAccess",
"Effect": "Allow",
"Action": [
"cloudformation:DescribeStacks",
"cloudformation:ListStacks"
],
"Resource": "*"
},
{
"Sid": "CloudWatchGetMetricDataAccess",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData"
],
"Resource": "*"
},
{
"Sid": "SnsListTopicsAccess",
"Effect": "Allow",
"Action": [
"sns:ListTopics",
"sns:ListSubscriptionsByTopic"
],
"Resource": "*"
},
{
"Sid": "SnsTopicOperations",
"Effect": "Allow",
"Action": [
"sns:CreateTopic",
"sns:GetTopicAttributes",
"sns:SetTopicAttributes",
"sns:Subscribe",
"sns:Publish"
],
"Resource": "arn:aws:sns:*:*:DevOps-Guru-*"
},
{
"Sid": "DevOpsGuruSlrCreation",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/devops-guru.amazonaws.com/AWSServiceRoleForDevOpsGuru",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "devops-guru.amazonaws.com"
}
}
},
{
"Sid": "DevOpsGuruSlrDeletion",
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/devops-guru.amazonaws.com/AWSServiceRoleForDevOpsGuru"
},
{
"Sid": "RDSDescribeDBInstancesAccess",
"Effect": "Allow",
"Action": [
"rds:DescribeDBInstances"
],
"Resource": "*"
},
{
"Sid": "CloudWatchLogsFilterLogEventsAccess",
"Effect": "Allow",
"Action": [
"logs:FilterLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/DevOps-Guru-Analysis": "true"
}
}
}
]
}
```
------
### AmazonDevOpsGuruConsoleFullAccess
`AmazonDevOpsGuruConsoleFullAccess`— Bietet vollen Zugriff auf DevOps Guru, einschließlich der Berechtigungen zum Erstellen von Amazon SNS SNS-Themen, zum Zugriff auf CloudWatch Amazon-Metriken und zum Zugreifen auf AWS CloudFormation Stacks. Diese Richtlinie verfügt über zusätzliche Berechtigungen für Leistungseinblicke, sodass Sie detaillierte Analysen zu anomalen Amazon RDS Aurora-DB-Instances in der Konsole einsehen können. Wenden Sie dies nur auf Benutzer auf Administratorebene an, denen Sie die volle Kontrolle über Guru gewähren möchten. DevOps
Die `AmazonDevOpsGuruConsoleFullAccess` Richtlinie enthält die folgende Erklärung.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DevOpsGuruFullAccess",
"Effect": "Allow",
"Action": [
"devops-guru:*"
],
"Resource": "*"
},
{
"Sid": "CloudFormationListStacksAccess",
"Effect": "Allow",
"Action": [
"cloudformation:DescribeStacks",
"cloudformation:ListStacks"
],
"Resource": "*"
},
{
"Sid": "CloudWatchGetMetricDataAccess",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData"
],
"Resource": "*"
},
{
"Sid": "SnsListTopicsAccess",
"Effect": "Allow",
"Action": [
"sns:ListTopics",
"sns:ListSubscriptionsByTopic"
],
"Resource": "*"
},
{
"Sid": "SnsTopicOperations",
"Effect": "Allow",
"Action": [
"sns:CreateTopic",
"sns:GetTopicAttributes",
"sns:SetTopicAttributes",
"sns:Subscribe",
"sns:Publish"
],
"Resource": "arn:aws:sns:*:*:DevOps-Guru-*"
},
{
"Sid": "DevOpsGuruSlrCreation",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/devops-guru.amazonaws.com/AWSServiceRoleForDevOpsGuru",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "devops-guru.amazonaws.com"
}
}
},
{
"Sid": "DevOpsGuruSlrDeletion",
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/devops-guru.amazonaws.com/AWSServiceRoleForDevOpsGuru"
},
{
"Sid": "RDSDescribeDBInstancesAccess",
"Effect": "Allow",
"Action": [
"rds:DescribeDBInstances"
],
"Resource": "*"
},
{
"Sid": "PerformanceInsightsMetricsDataAccess",
"Effect": "Allow",
"Action": [
"pi:GetResourceMetrics",
"pi:DescribeDimensionKeys"
],
"Resource": "*"
},
{
"Sid": "CloudWatchLogsFilterLogEventsAccess",
"Effect": "Allow",
"Action": [
"logs:FilterLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/DevOps-Guru-Analysis": "true"
}
}
}
]
}
```
------
### AmazonDevOpsGuruReadOnlyAccess
`AmazonDevOpsGuruReadOnlyAccess`— Gewährt nur Lesezugriff auf DevOps Guru und verwandte Ressourcen in anderen AWS Diensten. Wenden Sie diese Richtlinie auf Benutzer an, denen Sie die Möglichkeit gewähren möchten, Einblicke einzusehen, aber keine Aktualisierungen an DevOps Gurus Analyseabdeckungsgrenzen, Amazon SNS SNS-Themen oder der Systems Manager OpsCenter Manager-Integration vorzunehmen.
Die `AmazonDevOpsGuruReadOnlyAccess` Richtlinie enthält die folgende Erklärung.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DevOpsGuruReadOnlyAccess",
"Effect": "Allow",
"Action": [
"devops-guru:DescribeAccountHealth",
"devops-guru:DescribeAccountOverview",
"devops-guru:DescribeAnomaly",
"devops-guru:DescribeEventSourcesConfig",
"devops-guru:DescribeFeedback",
"devops-guru:DescribeInsight",
"devops-guru:DescribeResourceCollectionHealth",
"devops-guru:DescribeServiceIntegration",
"devops-guru:GetCostEstimation",
"devops-guru:GetResourceCollection",
"devops-guru:ListAnomaliesForInsight",
"devops-guru:ListEvents",
"devops-guru:ListInsights",
"devops-guru:ListAnomalousLogGroups",
"devops-guru:ListMonitoredResources",
"devops-guru:ListNotificationChannels",
"devops-guru:ListRecommendations",
"devops-guru:SearchInsights",
"devops-guru:StartCostEstimation"
],
"Resource": "*"
},
{
"Sid": "CloudFormationListStacksAccess",
"Effect": "Allow",
"Action": [
"cloudformation:DescribeStacks",
"cloudformation:ListStacks"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/devops-guru.amazonaws.com/AWSServiceRoleForDevOpsGuru"
},
{
"Sid": "CloudWatchGetMetricDataAccess",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData"
],
"Resource": "*"
},
{
"Sid": "RDSDescribeDBInstancesAccess",
"Effect": "Allow",
"Action": [
"rds:DescribeDBInstances"
],
"Resource": "*"
},
{
"Sid": "SnsListTopicsAccess",
"Effect": "Allow",
"Action": [
"sns:ListTopics",
"sns:ListSubscriptionsByTopic"
],
"Resource": "*"
},
{
"Sid": "CloudWatchLogsFilterLogEventsAccess",
"Effect": "Allow",
"Action": [
"logs:FilterLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/DevOps-Guru-Analysis": "true"
}
}
}
]
}
```
------
### AmazonDevOpsGuruOrganizationsAccess
` AmazonDevOpsGuruOrganizationsAccess`— Bietet Organisationsadministratoren Zugriff auf die DevOps Guru-Ansicht für mehrere Konten innerhalb einer Organisation. Wenden Sie diese Richtlinie auf die Benutzer Ihrer Organisation auf Administratorebene an, denen Sie innerhalb einer Organisation vollen Zugriff auf DevOps Guru gewähren möchten. Sie können diese Richtlinie auf das Verwaltungskonto und das delegierte Administratorkonto Ihrer Organisation für Guru anwenden. DevOps Sie können diese Richtlinie `AmazonDevOpsGuruReadOnlyAccess` oder `AmazonDevOpsGuruFullAccess` zusätzlich zu dieser Richtlinie anwenden, um nur Lesezugriff oder vollen Zugriff auf Guru zu gewähren. DevOps
Die `AmazonDevOpsGuruOrganizationsAccess` Richtlinie enthält die folgende Erklärung.
# Verwenden von dienstbezogenen Rollen für Guru DevOps
Amazon DevOps Guru verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Guru verknüpft ist. DevOps Servicebezogene Rollen sind von DevOps Guru vordefiniert und beinhalten alle Berechtigungen, die der Service benötigt, um Amazon- AWS CloudTrail, CloudWatch AWS CodeDeploy AWS X-Ray, und AWS Organizations in Ihrem Namen aufzurufen.
Eine serviceverknüpfte Rolle erleichtert die Einrichtung von DevOps Guru, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. DevOpsGuru definiert die Berechtigungen seiner dienstbezogenen Rollen, und sofern nicht anders definiert, kann nur DevOps Guru seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und diese Berechtigungsrichtlinie kann keiner anderen juristischen Stelle von IAM zugeordnet werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Dadurch werden deine DevOps Guru-Ressourcen geschützt, da du die Zugriffsberechtigung für die Ressourcen nicht versehentlich entfernen kannst.
## Mit dem Dienst verknüpfte Rollenberechtigungen für Guru DevOps
DevOpsGuru verwendet die angegebene dienstbezogene Rolle. `AWSServiceRoleForDevOpsGuru` Dies ist eine AWS verwaltete Richtlinie mit eingeschränkten Berechtigungen, die DevOps Guru für die Ausführung in Ihrem Konto benötigt.
Die serviceverknüpfte Rolle `AWSServiceRoleForDevOpsGuru` vertraut darauf, dass der folgende Service die Rolle annimmt:
+ `devops-guru.amazonaws.com`
Die Richtlinie für Rollenberechtigungen `AmazonDevOpsGuruServiceRolePolicy` ermöglicht es DevOps Guru, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingGroups",
"cloudtrail:LookupEvents",
"cloudwatch:GetMetricData",
"cloudwatch:ListMetrics",
"cloudwatch:DescribeAnomalyDetectors",
"cloudwatch:DescribeAlarms",
"cloudwatch:ListDashboards",
"cloudwatch:GetDashboard",
"cloudformation:GetTemplate",
"cloudformation:ListStacks",
"cloudformation:ListStackResources",
"cloudformation:DescribeStacks",
"cloudformation:ListImports",
"codedeploy:BatchGetDeployments",
"codedeploy:GetDeploymentGroup",
"codedeploy:ListDeployments",
"config:DescribeConfigurationRecorderStatus",
"config:GetResourceConfigHistory",
"events:ListRuleNamesByTarget",
"xray:GetServiceGraph",
"organizations:ListRoots",
"organizations:ListChildren",
"organizations:ListDelegatedAdministrators",
"pi:GetResourceMetrics",
"tag:GetResources",
"lambda:GetFunction",
"lambda:GetFunctionConcurrency",
"lambda:GetAccountSettings",
"lambda:ListProvisionedConcurrencyConfigs",
"lambda:ListAliases",
"lambda:ListEventSourceMappings",
"lambda:GetPolicy",
"ec2:DescribeSubnets",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingPolicies",
"sqs:GetQueueAttributes",
"kinesis:DescribeStream",
"kinesis:DescribeLimits",
"dynamodb:DescribeTable",
"dynamodb:DescribeLimits",
"dynamodb:DescribeContinuousBackups",
"dynamodb:DescribeStream",
"dynamodb:ListStreams",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeLoadBalancerAttributes",
"rds:DescribeDBInstances",
"rds:DescribeDBClusters",
"rds:DescribeOptionGroups",
"rds:DescribeDBClusterParameters",
"rds:DescribeDBInstanceAutomatedBackups",
"rds:DescribeAccountAttributes",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"s3:GetBucketNotification",
"s3:GetBucketPolicy",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketTagging",
"s3:GetBucketWebsite",
"s3:GetIntelligentTieringConfiguration",
"s3:GetLifecycleConfiguration",
"s3:GetReplicationConfiguration",
"s3:ListAllMyBuckets",
"s3:ListStorageLensConfigurations",
"servicequotas:GetServiceQuota",
"servicequotas:ListRequestedServiceQuotaChangeHistory",
"servicequotas:ListServiceQuotas"
],
"Resource": "*"
},
{
"Sid": "AllowPutTargetsOnASpecificRule",
"Effect": "Allow",
"Action": [
"events:PutTargets",
"events:PutRule"
],
"Resource": "arn:aws:events:*:*:rule/DevOps-Guru-managed-*"
},
{
"Sid": "AllowCreateOpsItem",
"Effect": "Allow",
"Action": [
"ssm:CreateOpsItem"
],
"Resource": "*"
},
{
"Sid": "AllowAddTagsToOpsItem",
"Effect": "Allow",
"Action": [
"ssm:AddTagsToResource"
],
"Resource": "arn:aws:ssm:*:*:opsitem/*"
},
{
"Sid": "AllowAccessOpsItem",
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem",
"ssm:UpdateOpsItem"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/DevOps-GuruInsightSsmOpsItemRelated": "true"
}
}
},
{
"Sid": "AllowCreateManagedRule",
"Effect": "Allow",
"Action": "events:PutRule",
"Resource": "arn:aws:events:*:*:rule/DevOpsGuruManagedRule*"
},
{
"Sid": "AllowAccessManagedRule",
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:ListTargetsByRule"
],
"Resource": "arn:aws:events:*:*:rule/DevOpsGuruManagedRule*"
},
{
"Sid": "AllowOtherOperationsOnManagedRule",
"Effect": "Allow",
"Action": [
"events:DeleteRule",
"events:EnableRule",
"events:DisableRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": "arn:aws:events:*:*:rule/DevOpsGuruManagedRule*",
"Condition": {
"StringEquals": {
"events:ManagedBy": "devops-guru.amazonaws.com"
}
}
},
{
"Sid": "AllowTagBasedFilterLogEvents",
"Effect": "Allow",
"Action": [
"logs:FilterLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/DevOps-Guru-Analysis": "true"
}
}
},
{
"Sid": "AllowAPIGatewayGetIntegrations",
"Effect": "Allow",
"Action": "apigateway:GET",
"Resource": [
"arn:aws:apigateway:*::/restapis/??????????",
"arn:aws:apigateway:*::/restapis/*/resources",
"arn:aws:apigateway:*::/restapis/*/resources/*/methods/*/integration"
]
}
]
}
```
------
## Eine dienstbezogene Rolle für DevOps Guru erstellen
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn du einen Einblick in der AWS-Managementkonsole, der oder der AWS CLI AWS API erstellst, erstellt DevOps Guru die dienstbezogene Rolle für dich.
**Wichtig**
Diese dienstbezogene Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Dienst abgeschlossen haben, der die von dieser Rolle unterstützten Funktionen verwendet. Sie kann beispielsweise erscheinen, wenn Sie DevOps Guru zu einem Repository von hinzugefügt haben. AWS CodeCommit
## Eine dienstbezogene Rolle für Guru bearbeiten DevOps
DevOpsGuru erlaubt dir nicht, die `AWSServiceRoleForDevOpsGuru` dienstbezogene Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer dienstbezogenen Rolle für Guru DevOps
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Verbindung zu allen Repositorys trennen, bevor Sie sie manuell löschen können.
**Anmerkung**
Wenn der DevOps Guru-Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die `AWSServiceRoleForDevOpsGuru` dienstverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Leitfaden*.
# Referenz zu Amazon DevOps Guru-Berechtigungen
Sie können in Ihren DevOps Guru-Richtlinien allgemeine Bedingungsschlüssel verwenden AWS, um Bedingungen auszudrücken. Eine Liste finden Sie unter [IAM JSON Policy Elements Reference](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) im *IAM-Benutzerhandbuch*.
Sie geben die Aktionen im Feld `Action` der Richtlinie an. Um eine Aktion anzugeben, verwenden Sie das Präfix `devops-guru:` gefolgt vom Namen der API-Operation (z. B. `devops-guru:SearchInsights` und `devops-guru:ListAnomalies`). Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Komma (z. B. `"Action": [ "devops-guru:SearchInsights", "devops-guru:ListAnomalies" ]`).
**Verwenden von Platzhalterzeichen**
Sie geben einen Amazon-Ressourcennamen (ARN) mit oder ohne Platzhalterzeichen (\$1) als Ressourcenwert im `Resource` Feld der Richtlinie an. Sie können das Platzhalterzeichen verwenden, um mehrere Aktionen oder Ressourcen anzugeben. `devops-guru:*`Gibt beispielsweise alle DevOps Guru-Aktionen an und `devops-guru:List*` gibt alle DevOps Guru-Aktionen an, die mit dem Wort `List` beginnen. Das folgende Beispiel bezieht sich auf alle Erkenntnisse mit einer Universally Unique Identifier (UUID), die mit beginnt. `12345`
```
arn:aws:devops-guru:us-east-2:123456789012:insight:12345*
```
Sie können die folgende Tabelle als Referenz verwenden, wenn Sie Berechtigungsrichtlinien einrichten [Authentifizierung mit Identitäten](security-iam.md#security_iam_authentication) und schreiben, die Sie einer IAM-Identität zuordnen können (identitätsbasierte Richtlinien).
**DevOpsGuru-API-Operationen und erforderliche Berechtigungen für Aktionen**
| DevOpsGuru-API-Operationen | Erforderliche Berechtigungen (API-Aktionen) | Ressourcen |
| --- | --- | --- |
| AddNotificationChannel | `devops-guru:AddNotificationChannel` Erforderlich, um einen Benachrichtigungskanal von DevOps Guru hinzuzufügen. Ein Benachrichtigungskanal wird verwendet, um dich zu benachrichtigen, wenn DevOps Guru Erkenntnisse generiert, die Informationen darüber enthalten, wie du deine Abläufe verbessern kannst. | `*` |
| RemoveNotificationChannel | `devops-guru:RemoveNotificationChannel` Erforderlich, um einen Benachrichtigungskanal von DevOps Guru zu entfernen. Ein Benachrichtigungskanal wird verwendet, um dich zu benachrichtigen, wenn DevOps Guru Erkenntnisse generiert, die Informationen darüber enthalten, wie du deine Abläufe verbessern kannst. | `*` |
| ListNotificationChannels | `devops-guru:ListNotificationChannels` Erforderlich, um eine Liste der für DevOps Guru konfigurierten Benachrichtigungskanäle zurückzugeben. Jeder Benachrichtigungskanal wird verwendet, um Sie zu benachrichtigen, wenn DevOps Guru Erkenntnisse generiert, die Informationen darüber enthalten, wie Sie Ihre Abläufe verbessern können. Der einzige unterstützte Benachrichtigungstyp ist Amazon Simple Notification Service. | `*` |
| UpdateResourceCollectionFilter | `devops-guru:UpdateResourceCollectionFilter` Erforderlich, um die Liste der CloudFormation Stacks zu aktualisieren, mit denen angegeben wird, welche AWS Ressourcen in Ihrem Konto von DevOps Guru analysiert werden. Die Analyse generiert Erkenntnisse, die Empfehlungen, Betriebskennzahlen und betriebliche Ereignisse beinhalten, mit denen Sie die Leistung Ihrer Betriebsabläufe verbessern können. Mit dieser Methode werden auch die IAM-Rollen erstellt, die Sie verwenden CodeGuru OpsAdvisor müssen. | `*` |
| GetResourceCollectionFilter | `devops-guru:GetResourceCollectionFilter` Erforderlich, um die Liste der AWS CloudFormation Stacks zurückzugeben, anhand derer angegeben wird, welche AWS Ressourcen in Ihrem Konto von DevOps Guru analysiert werden. Die Analyse generiert Erkenntnisse, die Empfehlungen, Betriebskennzahlen und betriebliche Ereignisse beinhalten, mit denen Sie die Leistung Ihrer Betriebsabläufe verbessern können. | `*` |
| ListInsights | `devops-guru:ListInsights` Erforderlich, um eine Liste mit Erkenntnissen in Ihrem AWS Konto zurückzugeben. Sie können anhand ihrer Startzeit, ihres Status (`ongoing`oder`any`) und ihres Typs (`reactive`oder`predictive`) angeben, welche Erkenntnisse zurückgegeben werden. | `*` |
| DescribeInsight | `devops-guru:DescribeInsight` Erforderlich, um Details zu einem Einblick zurückzugeben, den Sie anhand seiner ID angeben. | `*` |
| SearchInsights | `devops-guru:SearchInsights` Erforderlich, um eine Liste mit Erkenntnissen in Ihrem AWS Konto zurückzugeben. Sie können anhand der Startzeit, der Filter und des Typs (`reactive`oder`predictive`) angeben, welche Erkenntnisse zurückgegeben werden. | `*` |
| ListAnomalies | `devops-guru:ListAnomalies` Erforderlich, um eine Liste der Anomalien zurückzugeben, die zu einem Insight gehören, den Sie anhand seiner ID angeben. | `*` |
| DescribeAnomaly | `devops-guru:DescribeAnomaly` Erforderlich, um Details zu einer Anomalie zurückzugeben, die Sie anhand ihrer ID angeben. | `*` |
| ListEvents | `devops-guru:ListEvents` Erforderlich, um eine Liste der Ereignisse zurückzugeben, die von den Ressourcen ausgelöst wurden und von DevOps Guru ausgewertet werden. Sie können Filter verwenden, um anzugeben, welche Ereignisse zurückgegeben werden. | `*` |
| `ListAnomalousLogs` | Devops-Guru: `ListAnomalousLogs` Erforderlich, um eine Liste von CloudWatch Amazon-Protokollgruppen zurückzugeben, die Protokollanomalien enthalten. Diese werden verwendet, um Erkenntnisse in DevOps Guru zu generieren. Administratoren sollten sicherstellen, dass nur Benutzer mit Berechtigungen zum Anzeigen von CloudWatch Protokollen berechtigt sind, ungewöhnliche Protokolle einzusehen. CloudWatch Wir empfehlen, dass Sie IAM-Richtlinien verwenden, um den Zugriff auf den Vorgang zuzulassen oder zu verweigern. `ListAnomalousLogs` | \$1 |
| ListRecommendations | `devops-guru:ListRecommendations` Erforderlich, um eine Liste der Empfehlungen eines bestimmten Insights zurückzugeben. Jede Empfehlung enthält eine Liste von Kennzahlen und eine Liste von Ereignissen, die sich auf die Empfehlungen beziehen. | `*` |
| DescribeAccountHealth | `devops-guru:DescribeAccountHealth` Erforderlich, um die Anzahl der offenen reaktiven Einblicke, die Anzahl der offenen proaktiven Einblicke und die Anzahl der in Ihrem AWS Konto analysierten Metriken zurückzugeben. Verwenden Sie diese Zahlen, um den Zustand der Abläufe in Ihrem AWS Konto einzuschätzen. | `*` |
| DescribeAccountOverview | `devops-guru:DescribeAccountOverview` Erforderlich, um Folgendes zurückzugeben, was in einem bestimmten Zeitraum passiert ist: die Anzahl der erstellten offenen reaktiven Erkenntnisse, die erstellt wurden, die Anzahl der erstellten offenen prädiktiven Erkenntnisse und die mittlere Wiederherstellungszeit (MTTR) für alle reaktiven Erkenntnisse, die geschlossen wurden. | `*` |
| DescribeResourceCollectionHealthOverview | `devops-guru:DescribeResourceCollectionHealthOverview` Erforderlich, um die Anzahl der offenen prädiktiven Erkenntnisse, der offenen reaktiven Erkenntnisse und der mittleren Wiederherstellungszeit (MTTR) für alle Erkenntnisse für jeden in Guru angegebenen Stack zurückzugeben. CloudFormation DevOps | `*` |
| DescribeIntegratedService | `devops-guru:DescribeIntegratedService` Erforderlich, um den Integrationsstatus von Diensten zurückzugeben, die in Guru integriert werden können. DevOps Der einzige Dienst, der in DevOps Guru integriert werden kann AWS Systems Manager, ist, der verwendet werden kann, um OpsItem für jeden generierten Einblick eine zu erstellen. | `*` |
| UpdateIntegratedServiceConfig | `devops-guru:UpdateIntegratedServiceConfig` Erforderlich, um die Integration mit einem Dienst zu aktivieren oder zu deaktivieren, der in DevOps Guru integriert werden kann. Der einzige Dienst, der in DevOps Guru integriert werden kann, ist Systems Manager, mit dem OpsItem für jeden generierten Einblick ein erstellt werden kann. | `*` |
# Berechtigungen für Amazon SNS SNS-Themen
Verwenden Sie die Informationen in diesem Thema nur, wenn Sie Amazon DevOps Guru so konfigurieren möchten, dass Benachrichtigungen an Amazon SNS SNS-Themen gesendet werden, die einem anderen AWS Konto gehören.
Damit DevOps Guru Benachrichtigungen an ein Amazon SNS SNS-Thema senden kann, das einem anderen Konto gehört, müssen Sie dem Amazon SNS SNS-Thema eine Richtlinie beifügen, die DevOps Guru die Erlaubnis erteilt, Benachrichtigungen an dieses Konto zu senden. Wenn Sie DevOps Guru so konfigurieren, dass Benachrichtigungen an Amazon SNS SNS-Themen gesendet werden, die demselben Konto gehören, das Sie für DevOps Guru verwenden, fügt DevOps Guru den Themen eine Richtlinie für Sie hinzu.
Nachdem Sie eine Richtlinie zur Konfiguration von Berechtigungen für ein Amazon SNS SNS-Thema in einem anderen Konto angehängt haben, können Sie das Amazon SNS SNS-Thema in DevOps Guru hinzufügen. Sie können Ihre Amazon SNS SNS-Richtlinie auch mit einem Benachrichtigungskanal aktualisieren, um sie sicherer zu machen.
**Anmerkung**
DevOpsGuru unterstützt derzeit nur kontoübergreifenden Zugriff in derselben Region.
**Topics**
+ [Berechtigungen für ein Amazon SNS SNS-Thema in einem anderen Konto konfigurieren](#sns-permissions-attach-policy)
+ [Hinzufügen eines Amazon SNS SNS-Themas von einem anderen Konto](#sns-permissions-add-sns-topic)
+ [Aktualisierung Ihrer Amazon SNS SNS-Richtlinie mit einem Benachrichtigungskanal (empfohlen)](#sns-permissions-policy-notification-channel)
## Berechtigungen für ein Amazon SNS SNS-Thema in einem anderen Konto konfigurieren
### Berechtigungen als IAM-Rolle hinzufügen
Um ein Amazon SNS SNS-Thema von einem anderen Konto aus zu verwenden, nachdem Sie sich mit einer IAM-Rolle angemeldet haben, müssen Sie eine Richtlinie an das Amazon SNS SNS-Thema anhängen, das Sie verwenden möchten. Um eine Richtlinie von einem anderen Konto an ein Amazon SNS SNS-Thema anzuhängen und gleichzeitig eine IAM-Rolle zu verwenden, benötigen Sie im Rahmen Ihrer IAM-Rolle die folgenden Berechtigungen für diese Kontoressource:
+ SNS: CreateTopic
+ sns: GetTopicAttributes
+ sns: SetTopicAttributes
+ sns:Publish
Hängen Sie die folgende Richtlinie an das Amazon SNS SNS-Thema an, das Sie verwenden möchten. Bei dem `Resource` Schlüssel *topic-owner-account-id* handelt es sich um die Konto-ID des Eigentümers des Themas, *topic-sender-account-id* um die Konto-ID des Benutzers, der DevOps Guru eingerichtet hat, und *devops-guru-role* um die IAM-Rolle des jeweiligen Benutzers. Sie müssen *region-id* (z. B.`us-west-2`) und *my-topic-name* durch entsprechende Werte ersetzen.
### Berechtigungen als IAM-Benutzer hinzufügen
Um ein Amazon SNS SNS-Thema von einem anderen Konto als IAM-Benutzer zu verwenden, fügen Sie dem Amazon SNS SNS-Thema, das Sie verwenden möchten, die folgende Richtlinie bei. Bei dem `Resource` Schlüssel *topic-owner-account-id* handelt es sich um die Konto-ID des Eigentümers des Themas, *topic-sender-account-id* um die Konto-ID des Benutzers, der DevOps Guru eingerichtet hat, und *devops-guru-user-name* um den betreffenden individuellen IAM-Benutzer. Sie müssen *region-id* (z. B.`us-west-2`) und *my-topic-name* durch entsprechende Werte ersetzen.
**Anmerkung**
Wenn möglich, empfehlen wir, temporäre Anmeldeinformationen zu verwenden, anstatt IAM-Benutzer zu erstellen, die langfristige Anmeldeinformationen wie Passwörter und Zugriffsschlüssel haben. Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Hinzufügen eines Amazon SNS SNS-Themas von einem anderen Konto
Nachdem Sie die Berechtigungen für ein Amazon SNS SNS-Thema in einem anderen Konto konfiguriert haben, können Sie dieses Amazon SNS SNS-Thema zu Ihren DevOps Guru-Benachrichtigungseinstellungen hinzufügen. Sie können das Amazon SNS SNS-Thema über die AWS CLI oder die DevOps Guru-Konsole hinzufügen.
+ Wenn Sie die Konsole verwenden, müssen Sie die Option **SNS-Themen-ARN verwenden auswählen, um ein vorhandenes Thema anzugeben, um ein Thema** aus einem anderen Konto verwenden zu können.
+ Wenn Sie die AWS CLI Operation verwenden [add-notification-channel](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/devops-guru/add-notification-channel.html), müssen Sie die `TopicArn` innerhalb des `NotificationChannelConfig` Objekts angeben.
**Fügen Sie mithilfe der Konsole ein Amazon SNS SNS-Thema von einem anderen Konto hinzu**
1. Öffnen Sie die Amazon DevOps Guru-Konsole unter [https://console.aws.amazon.com/devops-guru/](https://console.aws.amazon.com/devops-guru/).
1. Öffnen Sie den Navigationsbereich und wählen Sie dann **Einstellungen**.
1. Gehen Sie zum Abschnitt **Benachrichtigungen** und wählen Sie **Bearbeiten**.
1. Wählen Sie **SNS-Thema hinzufügen**.
1. Wählen Sie **SNS-Themen-ARN verwenden, um ein vorhandenes Thema anzugeben**.
1. Geben Sie den ARN des Amazon SNS SNS-Themas ein, das Sie verwenden möchten. Sie sollten bereits Berechtigungen für dieses Thema konfiguriert haben, indem Sie dem Thema eine Richtlinie beifügen.
1. (Optional) Wählen Sie „**Benachrichtigungskonfiguration**“, um die Einstellungen für die Benachrichtigungshäufigkeit zu bearbeiten.
1. Wählen Sie **Speichern**.
Nachdem Sie das Amazon SNS SNS-Thema zu Ihren Benachrichtigungseinstellungen hinzugefügt haben, verwendet DevOps Guru dieses Thema, um Sie über wichtige Ereignisse zu informieren, z. B. wenn ein neuer Einblick erstellt wird.
## Aktualisierung Ihrer Amazon SNS SNS-Richtlinie mit einem Benachrichtigungskanal (empfohlen)
Nachdem Sie ein Thema hinzugefügt haben, empfehlen wir Ihnen, Ihre Richtlinie sicherer zu gestalten, indem Sie Berechtigungen nur für den DevOps Guru-Benachrichtigungskanal angeben, der Ihr Thema enthält.
**Aktualisieren Sie Ihre Amazon SNS SNS-Themenrichtlinie mit einem Benachrichtigungskanal (empfohlen)**
1. Führen Sie den `list-notification-channels` DevOps AWS CLI Guru-Befehl in Ihrem Konto aus, von dem aus Sie Benachrichtigungen senden möchten.
```
aws devops-guru list-notification-channels
```
1. Notieren Sie sich in der `list-notification-channels` Antwort die Kanal-ID, die den ARN Ihres Amazon SNS SNS-Themas enthält. Die Kanal-ID ist eine GUID.
In der folgenden Antwort `arn:aws:sns:region-id:111122223333:topic-name` lautet die Kanal-ID für das Thema mit dem ARN beispielsweise `e89be5f7-989d-4c4c-b1fe-e7145037e531`
```
{
"Channels": [
{
"Id": "e89be5f7-989d-4c4c-b1fe-e7145037e531",
"Config": {
"Sns": {
"TopicArn": "arn:aws:sns:region-id:111122223333:topic-name"
},
"Filters": {
"MessageTypes": ["CLOSED_INSIGHT", "NEW_INSIGHT", "SEVERITY_UPGRADED"],
"Severities": ["HIGH", "MEDIUM"]
}
}
}
]
}
```
1. Gehen Sie zu der Richtlinie, die Sie in einem anderen Konto mit der Themen-Eigentümer-ID in erstellt haben[Berechtigungen für ein Amazon SNS SNS-Thema in einem anderen Konto konfigurieren](#sns-permissions-attach-policy). Fügen Sie in der `Condition` Erklärung der Richtlinie die Zeile hinzu, die den angibt`SourceArn`. Der ARN enthält Ihre Region-ID (z. B.`us-east-1`), die AWS Kontonummer des Absenders des Themas und die Kanal-ID, die Sie sich notiert haben.
Ihr aktualisierter `Condition` Kontoauszug sieht wie folgt aus.
```
"Condition" : {
"StringEquals" : {
"AWS:SourceArn": "arn:aws:devops-guru:us-east-1:111122223333:channel/e89be5f7-989d-4c4c-b1fe-e7145037e531",
"AWS:SourceAccount": "111122223333"
}
}
```
Wenn `AddNotificationChannel` Sie Ihr SNS-Thema nicht hinzufügen können, überprüfen Sie, ob Ihre IAM-Richtlinie über die folgenden Berechtigungen verfügt.
# Berechtigungen für AWS KMS—verschlüsselte Amazon SNS SNS-Themen
Das von Ihnen angegebene Amazon SNS SNS-Thema wurde möglicherweise von AWS Key Management Service verschlüsselt. Damit DevOps Guru mit verschlüsselten Themen arbeiten kann, müssen Sie zuerst eine Anweisung erstellen AWS KMS key und dann die folgende Anweisung zur Richtlinie für den KMS-Schlüssel hinzufügen. Weitere Informationen finden Sie unter [Verschlüsselung von auf Amazon SNS veröffentlichten Nachrichten mit AWS KMS](https://aws.amazon.com/blogs/compute/encrypting-messages-published-to-amazon-sns-with-aws-kms/), [Schlüsselkennungen (KeyId)](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id) im *AWS KMS Benutzerhandbuch und [Datenverschlüsselung](https://docs.aws.amazon.com/sns/latest/dg/sns-data-encryption.html) im *Amazon Simple Notification Service* Developer Guide*.
**Anmerkung**
DevOpsGuru unterstützt derzeit verschlüsselte Themen für die Verwendung innerhalb eines einzigen Kontos. Die Verwendung eines verschlüsselten Themas für mehrere Konten wird derzeit nicht unterstützt.
# Fehlerbehebung bei Identität und Zugriff auf Amazon DevOps Guru
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit DevOps Guru und IAM auftreten können.
**Topics**
+ [Ich bin nicht berechtigt, eine Aktion in DevOps Guru durchzuführen](#security_iam_troubleshoot-no-permissions)
+ [Ich möchte Benutzern programmatischen Zugriff gewähren](#security_iam_troubleshoot-keys)
+ [Ich bin nicht berechtigt, iam auszuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine DevOps Guru-Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht berechtigt, eine Aktion in DevOps Guru durchzuführen
Wenn dir AWS-Managementkonsole mitgeteilt wird, dass du nicht berechtigt bist, eine Aktion durchzuführen, musst du dich an deinen Administrator wenden, um Unterstützung zu erhalten.
Der folgende Beispielfehler tritt auf, wenn der Benutzer `mateojackson` versucht, die Konsole zu verwenden, um Details zu einer fiktiven `my-example-widget` Ressource anzuzeigen, aber nicht über die fiktiven `aws:GetWidget` Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: aws:GetWidget on resource: my-example-widget
```
In diesem Fall bittet Mateo seinen Administrator um die Aktualisierung seiner Richtlinien, um unter Verwendung der Aktion `my-example-widget` auf die Ressource `aws:GetWidget` zugreifen zu können.
## Ich möchte Benutzern programmatischen Zugriff gewähren
Benutzer benötigen programmatischen Zugriff, wenn sie mit AWS außerhalb des interagieren möchten. AWS-Managementkonsole Die Art und Weise, wie programmatischer Zugriff gewährt wird, hängt vom Benutzertyp ab, der zugreift. AWS
Um Benutzern programmgesteuerten Zugriff zu gewähren, wählen Sie eine der folgenden Optionen.
****
| Welcher Benutzer benötigt programmgesteuerten Zugriff? | Bis | Von |
| --- | --- | --- |
| IAM | (Empfohlen) Verwenden Sie Konsolenanmeldeinformationen als temporäre Anmeldeinformationen, um programmatische Anfragen an AWS CLI AWS SDKs, oder zu signieren. AWS APIs | Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/devops-guru/latest/userguide/security_iam_troubleshoot.html) |
| Mitarbeiteridentität (Benutzer, die in IAM Identity Center verwaltet werden) | Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder AWS APIs zu signieren. | Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/devops-guru/latest/userguide/security_iam_troubleshoot.html) |
| IAM | Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder zu signieren. AWS APIs | Folgen Sie den Anweisungen unter [Verwenden temporärer Anmeldeinformationen mit AWS Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) im IAM-Benutzerhandbuch. |
| IAM | (Nicht empfohlen)Verwenden Sie langfristige Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder zu signieren. AWS APIs | Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/devops-guru/latest/userguide/security_iam_troubleshoot.html) |
## Ich bin nicht berechtigt, iam auszuführen: PassRole
Wenn du die Fehlermeldung erhältst, dass du nicht autorisiert bist, die `iam:PassRole` Aktion durchzuführen, müssen deine Richtlinien aktualisiert werden, damit du eine Rolle an DevOps Guru übergeben kannst.
Einige AWS-Services ermöglichen es dir, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in DevOps Guru auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine DevOps Guru-Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob DevOps Guru diese Funktionen unterstützt, finden Sie unter. [So arbeitet Amazon DevOps Guru mit IAM](security_iam_service-with-iam.md)
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs auf einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.