Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verwaltung der Zugriffsberechtigungen für Ihre Amazon DocumentDB DocumentDB-Ressourcen
<a name="UsingWithRDS.IAM.AccessControl.Overview"></a>

Jede AWS Ressource gehört einem AWS-Konto, und die Berechtigungen zum Erstellen oder Zugreifen auf die Ressourcen werden durch Berechtigungsrichtlinien geregelt. Ein Kontoadministrator kann IAM-Identitäten (d. h. Benutzern, Gruppen und Rollen) Berechtigungsrichtlinien zuordnen, und einige Dienste (z. B. AWS Lambda) unterstützen auch das Anhängen von Berechtigungsrichtlinien an Ressourcen.

**Anmerkung**  
Ein *Kontoadministrator* (oder Administratorbenutzer) ist ein Benutzer mit Administratorberechtigungen. Weitere Informationen finden Sie unter [Bewährte Methoden für IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.

**Topics**
+ [Ressourcen und Abläufe von Amazon DocumentDB](#CreatingIAMPolicies-RDS)
+ [Grundlegendes zum Eigentum an Ressourcen](#UsingWithRDS.IAM.AccessControl.ResourceOwner)
+ [Verwaltung des Zugriffs auf -Ressourcen](#UsingWithRDS.IAM.AccessControl.ManagingAccess)
+ [Spezifizierung von Richtlinienelementen: Aktionen, Auswirkungen, Ressourcen und Prinzipien](#SpecifyingIAMPolicyActions-RDS)
+ [Angeben von Bedingungen in einer Richtlinie](#SpecifyingIAMPolicyConditions-RDS)

## Ressourcen und Abläufe von Amazon DocumentDB
<a name="CreatingIAMPolicies-RDS"></a>

In Amazon DocumentDB ist die primäre Ressource ein *Cluster*. Amazon DocumentDB unterstützt andere Ressourcen, die mit der primären Ressource verwendet werden können, wie *Instances*, *Parametergruppen* und *Event-Abonnements*. Diese Ressourcen werden als *Unterressourcen* bezeichnet. 

Diesen Ressourcen und Unterressourcen sind eindeutige Amazon-Ressourcennamen (ARNs) zugeordnet, wie in der folgenden Tabelle dargestellt.


| **Ressourcentyp**  |  **ARN-Format**  | 
| --- | --- | 
| Cluster | `arn:aws:rds:region:account-id:cluster:db-cluster-name` | 
| Cluster-Parametergruppe | `arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name` | 
| Cluster-Snapshot | `arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name` | 
| Instance | `arn:aws:rds:region:account-id:db:db-instance-name` | 
| Sicherheitsgruppe | `arn:aws:rds:region:account-id:secgrp:security-group-name` | 
| Subnetzgruppe | `arn:aws:rds:region:account-id:subgrp:subnet-group-name` | 

Amazon DocumentDB bietet eine Reihe von Vorgängen für die Arbeit mit den Amazon DocumentDB DocumentDB-Ressourcen. Eine Liste der verfügbaren Operationen finden Sie unter [Aktionen](https://docs.aws.amazon.com/documentdb/latest/developerguide/API_Operations.html). 

## Grundlegendes zum Eigentum an Ressourcen
<a name="UsingWithRDS.IAM.AccessControl.ResourceOwner"></a>

Ein *Ressourcenbesitzer ist derjenige* AWS-Konto , der eine Ressource erstellt hat. Das heißt, der Ressourcenbesitzer ist derjenige AWS-Konto der *Hauptentität* (das Root-Konto, ein IAM-Benutzer oder eine IAM-Rolle), die die Anfrage authentifiziert, mit der die Ressource erstellt wird. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:
+ Wenn Sie Ihre Root-Kontoanmeldedaten verwenden, AWS-Konto um eine Amazon DocumentDB DocumentDB-Ressource, z. B. eine Instance, zu erstellen, sind Sie AWS-Konto der Eigentümer der Amazon DocumentDB DocumentDB-Ressource.
+ Wenn Sie in Ihrem einen IAM-Benutzer erstellen AWS-Konto und diesem Benutzer Berechtigungen zum Erstellen von Amazon DocumentDB DocumentDB-Ressourcen erteilen, kann der Benutzer Amazon DocumentDB DocumentDB-Ressourcen erstellen. Ihr, dem der Benutzer angehört AWS-Konto, besitzt jedoch die Amazon DocumentDB DocumentDB-Ressourcen.
+ Wenn Sie in Ihrem Unternehmen eine IAM-Rolle AWS-Konto mit den Berechtigungen zum Erstellen von Amazon DocumentDB DocumentDB-Ressourcen erstellen, kann jeder, der diese Rolle übernehmen kann, Amazon DocumentDB DocumentDB-Ressourcen erstellen. Ihr AWS-Konto, zu dem die Rolle gehört, besitzt die Amazon DocumentDB DocumentDB-Ressourcen. 

## Verwaltung des Zugriffs auf -Ressourcen
<a name="UsingWithRDS.IAM.AccessControl.ManagingAccess"></a>

Eine *Berechtigungsrichtlinie* beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werden die verfügbaren Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.

**Anmerkung**  
In diesem Abschnitt wird die Verwendung von IAM im Kontext von Amazon DocumentDB beschrieben. Er enthält keine detaillierten Informationen über den IAM-Service. Eine umfassende IAM-Dokumentation finden Sie unter [Was ist IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) im *IAM-Benutzerhandbuch*. Informationen zur Syntax und Beschreibungen der IAM-Richtlinien finden Sie unter [AWSIAM Policy Reference](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) im *IAM-Benutzerhandbuch*.

An eine IAM-Identität angefügte Richtlinien werden als *identitätsbasierte* Richtlinien (IAM-Richtlinien) bezeichnet. An Ressourcen angehängte Richtlinien werden als *ressourcenbasierte Richtlinien* bezeichnet. Amazon DocumentDB unterstützt nur identitätsbasierte Richtlinien (IAM-Richtlinien).

**Topics**
+ [Identitätsbasierte Richtlinien (IAM-Richtlinien)](#UsingWithRDS.IAM.AccessControl.ManagingAccess.IdentityBased)
+ [Ressourcenbasierte Richtlinien](#UsingWithRDS.IAM.AccessControl.ManagingAccess.ResourceBased)

### Identitätsbasierte Richtlinien (IAM-Richtlinien)
<a name="UsingWithRDS.IAM.AccessControl.ManagingAccess.IdentityBased"></a>

Richtlinien können IAM-Identitäten angefügt werden. Sie können z. B. Folgendes tun: 
+ **Hängen Sie eine Berechtigungsrichtlinie an einen Benutzer oder eine Gruppe in Ihrem Konto** an — Ein Kontoadministrator kann eine Berechtigungsrichtlinie verwenden, die einem bestimmten Benutzer zugeordnet ist, um diesem Benutzer Berechtigungen zum Erstellen einer Amazon DocumentDB DocumentDB-Ressource, z. B. einer Instance, zu erteilen. 
+ **Einer Rolle eine Berechtigungsrichtlinie zuweisen (kontoübergreifende Berechtigungen gewähren)** – Sie können einer IAM-Rolle eine identitätsbasierte Berechtigungsrichtlinie zuweisen, um kontoübergreifende Berechtigungen zu erteilen. Ein Administrator kann beispielsweise wie folgt eine Rolle erstellen, um einem anderen AWS-Konto oder einem AWS Dienst kontoübergreifende Berechtigungen zu gewähren:

  1. Der Administrator von Konto A erstellt eine IAM-Rolle und fügt ihr eine Berechtigungsrichtlinie an, die Berechtigungen für Ressourcen in Konto A erteilt.

  1. Der Administrator von Konto A weist der Rolle eine Vertrauensrichtlinie zu, die Konto B als den Prinzipal identifiziert, der die Rolle übernehmen kann. 

  1. Der Administrator von Konto B kann dann die Berechtigungen zur Übernahme der Rolle an alle Benutzer in Konto B delegieren. Auf diese Weise können die Benutzer in Konto B Ressourcen in Konto A erstellen oder darauf zugreifen. Der Principal in der Vertrauensrichtlinie kann auch ein AWS Dienstprinzipal sein, wenn Sie einem AWS Dienst die Erlaubnis erteilen möchten, diese Rolle zu übernehmen.

   Weitere Informationen zum Delegieren von Berechtigungen mithilfe von IAM finden Sie unter [Zugriffsverwaltung](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) im *IAM-Benutzerhandbuch*. 

Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die es dem Benutzer mit der ID ermöglicht, Instanzen für Sie `123456789012` AWS-Konto zu erstellen. Die neue Instance muss eine Optionsgruppe und eine Parametergruppe verwenden, die mit `default` beginnt, und sie muss die Subnetzgruppe `default` verwenden.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCreateDBInstanceOnly",
            "Effect": "Allow",
            "Action": [
                "rds:CreateDBInstance"
            ],
            "Resource": [
                "arn:aws:rds:*:123456789012:db:test*",
                "arn:aws:rds:*:123456789012:pg:cluster-pg:default*",
                "arn:aws:rds:*:123456789012:subgrp:default"
            ]
        }
    ]
}
```

------

Weitere Informationen zur Verwendung identitätsbasierter Richtlinien mit Amazon DocumentDB finden Sie unter. [Verwendung identitätsbasierter Richtlinien (IAM-Richtlinien) für Amazon DocumentDB](UsingWithRDS.IAM.AccessControl.IdentityBased.md) Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sie im Thema [Identitäten (Benutzer, Gruppen und Rollen)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) im *IAM-Benutzerhandbuch*. 

### Ressourcenbasierte Richtlinien
<a name="UsingWithRDS.IAM.AccessControl.ManagingAccess.ResourceBased"></a>

Andere Dienste, wie Amazon Simple Storage Service (Amazon S3), unterstützen ebenfalls ressourcenbasierte Berechtigungsrichtlinien. Beispielsweise können Sie einem Amazon S3-Bucket eine Richtlinie zuweisen, um die Zugriffsberechtigungen für diesen Bucket zu verwalten. Amazon DocumentDB unterstützt keine ressourcenbasierten Richtlinien.

## Spezifizierung von Richtlinienelementen: Aktionen, Auswirkungen, Ressourcen und Prinzipien
<a name="SpecifyingIAMPolicyActions-RDS"></a>

Für jede Amazon DocumentDB DocumentDB-Ressource (siehe[Ressourcen und Abläufe von Amazon DocumentDB](#CreatingIAMPolicies-RDS)) definiert der Service eine Reihe von API-Vorgängen. Weitere Informationen finden Sie unter [Aktionen](https://docs.aws.amazon.com/redshift/latest/APIReference/API_Operations.html). Um Berechtigungen für diese API-Operationen zu gewähren, definiert Amazon DocumentDB eine Reihe von Aktionen, die Sie in einer Richtlinie angeben können. Für das Durchführen einer API-Operation können Berechtigungen für mehrere Aktionen erforderlich sein. 

Grundlegende Richtlinienelemente:
+ **Ressource** – In einer Richtlinie wird der Amazon-Ressourcenname (ARN) zur Identifizierung der Ressource verwendet, für die die Richtlinie gilt. 
+ **Aktion** – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten. Die `rds:DescribeDBInstances`-Berechtigung erteilt dem Benutzer zum Beispiel Berechtigungen zum Ausführen der `DescribeDBInstances`-Operation. 
+ **Auswirkung** – Die von Ihnen festgelegte Auswirkung, wenn der Benutzer die jeweilige Aktion anfordert – entweder „allow“ (Zugriffserlaubnis) oder „deny“ (Zugriffsverweigerung). Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten ("Allow"), wird er automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.
+ **Prinzipal** – In identitätsbasierten Richtlinien (IAM-Richtlinien) ist der Benutzer, dem die Richtlinie zugewiesen ist, automatisch der Prinzipal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer, das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll (gilt nur für ressourcenbasierte Richtlinien). Amazon DocumentDB unterstützt keine ressourcenbasierten Richtlinien.

Weitere Informationen zur Syntax und zu Beschreibungen von IAM-Richtlinien finden Sie in der [AWS -IAM-Richtlinienreferenz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) im *IAM-Benutzerhandbuch*.

Eine Tabelle mit allen Amazon DocumentDB DocumentDB-API-Aktionen und den Ressourcen, für die sie gelten, finden Sie unter[Amazon DocumentDB DocumentDB-API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen](UsingWithRDS.IAM.ResourcePermissions.md). 

## Angeben von Bedingungen in einer Richtlinie
<a name="SpecifyingIAMPolicyConditions-RDS"></a>

Beim Erteilen von Berechtigungen können Sie mithilfe der IAM-Richtliniensyntax die Bedingungen angeben, unter denen die Richtlinie wirksam werden soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zum Angeben von Bedingungen in einer Richtliniensyntax finden Sie im Thema [Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) im *IAM Benutzerhandbuch*.

Bedingungen werden mithilfe vordefinierter Bedingungsschlüssel formuliert. Amazon DocumentDB hat keine dienstspezifischen Kontextschlüssel, die in einer IAM-Richtlinie verwendet werden können. Eine Liste der globalen Kontextschlüssel für Bedingungen, die für alle Services verfügbar sind, finden Sie unter [Verfügbare Schlüssel für Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) im *IAM-Benutzerhandbuch*.