Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Identitäts- und Zugriffsmanagement für Amazon Elastic VMware Service
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf AWS Ressourcen sicher zu kontrollieren. IAM Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Amazon Elastic VMware Service (Amazon EVS) -Ressourcen zu nutzen. IAM ist eine AWS-Service , die Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Zielgruppe](#security-iam-audience)
+ [Authentifizierung mit Identitäten](#security-iam-authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security-iam-access-manage)
+ [So funktioniert Amazon EVS mit IAM](security_iam_service-with-iam.md)
+ [Beispiele für identitätsbasierte Amazon EVS-Richtlinien](security-iam-id-based-policy-examples.md)
+ [Fehlerbehebung bei Amazon EVS-Identität und -Zugriff](security-iam-troubleshoot.md)
+ [AWS verwaltete Richtlinien für Amazon EVS](security-iam-awsmanpol.md)
+ [Verwenden von serviceverknüpften Rollen für Amazon EVS](using-service-linked-roles.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt davon ab, welche Arbeit Sie in Amazon EVS ausführen.
**Servicebenutzer** — Wenn Sie den Amazon EVS-Service für Ihre Arbeit verwenden, stellt Ihnen Ihr Administrator die Anmeldeinformationen und Berechtigungen zur Verfügung, die Sie benötigen. Da Sie für Ihre Arbeit mehr Amazon EVS-Funktionen verwenden, benötigen Sie möglicherweise zusätzliche Berechtigungen. Wenn Sie die Funktionsweise der Zugriffskontrolle nachvollziehen, wissen Sie bereits, welche Berechtigungen Sie von Ihrem Administrator anfordern müssen.
Wenn Sie auf eine Funktion in Amazon EVS nicht zugreifen können, finden Sie weitere Informationen unter[Fehlerbehebung bei Amazon EVS-Identität und -Zugriff](security-iam-troubleshoot.md).
**Service-Administrator** — Wenn Sie in Ihrem Unternehmen für die Amazon EVS-Ressourcen verantwortlich sind, haben Sie wahrscheinlich vollen Zugriff auf Amazon EVS. Es ist Ihre Aufgabe, zu bestimmen, auf welche Amazon EVS-Funktionen und -Ressourcen Ihre Servicebenutzer zugreifen sollen. Anschließend müssen Sie Anfragen an Ihren IAM Administrator senden, um die Berechtigungen Ihrer Servicebenutzer zu ändern. Lesen Sie die Informationen auf dieser Seite, um die grundlegenden Konzepte von zu verstehen IAM. Weitere Informationen darüber, wie Ihr Unternehmen Amazon EVS nutzen IAM kann, finden Sie unter[So funktioniert Amazon EVS mit IAM](security_iam_service-with-iam.md).
** IAM Administrator** — Wenn Sie ein IAM Administrator sind, möchten Sie vielleicht mehr darüber erfahren, wie Sie Richtlinien schreiben können, um den Zugriff auf Amazon EVS zu verwalten. Beispiele für identitätsbasierte Amazon EVS-Richtlinien, die Sie in IAM verwenden können, finden Sie unter. [Beispiele für identitätsbasierte Amazon EVS-Richtlinien](security-iam-id-based-policy-examples.md)
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen als Root-Benutzer des AWS Kontos *authentifiziert* (angemeldet AWS) sein IAM-Benutzer, oder indem Sie eine IAM Rolle übernehmen.
Sie können sich AWS als föderierte Identität anmelden, indem Sie Anmeldeinformationen verwenden, die über eine Identitätsquelle bereitgestellt wurden. AWS IAM Identity Center (IAM Identity Center) Nutzer, die Single-Sign-On-Authentifizierung Ihres Unternehmens und Ihre Google- oder Facebook-Anmeldeinformationen sind Beispiele für föderierte Identitäten. Wenn Sie sich als föderierte Identität anmelden, hat Ihr Administrator zuvor einen Identitätsverbund mithilfe von Rollen eingerichtet. IAM Wenn Sie AWS mithilfe eines Verbunds darauf zugreifen, übernehmen Sie indirekt eine Rolle.
Je nachdem, welcher Benutzertyp Sie sind, können Sie sich beim AWS-Managementkonsole oder beim AWS Zugangsportal anmelden. Weitere Informationen zur Anmeldung finden Sie unter [So melden Sie sich bei Ihrem an AWS-Konto](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im * AWS Anmelde-Benutzerhandbuch*. AWS
Wenn Sie AWS programmgesteuert zugreifen, AWS stellt es ein Software Development Kit (SDK) und eine Befehlszeilenschnittstelle (CLI) bereit, um Ihre Anfragen mit Ihren Anmeldeinformationen kryptografisch zu signieren. Wenn Sie keine AWS Tools verwenden, müssen Sie Anfragen selbst signieren. Weitere Informationen zur Verwendung der empfohlenen Methode, um Anfragen selbst zu signieren, finden Sie unter [Signaturvorgang für Signature Version 4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) in der * AWS Allgemeinen Referenz*.
Unabhängig von der verwendeten Authentifizierungsmethode müssen Sie möglicherweise auch zusätzliche Sicherheitsinformationen angeben. AWS Empfiehlt beispielsweise, die Multi-Faktor-Authentifizierung (MFA) zu verwenden, um die Sicherheit Ihres Kontos zu erhöhen. *Weitere Informationen finden Sie unter [Multi-Factor Authentication](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-mfa.html) im * AWS IAM Identity Center (Nachfolger von AWS Single Sign-On) User Guide* und [Using Multi-Factor Authentication (MFA) AWS im](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) IAM-Benutzerhandbuch.*
### AWS Konto (Root-Benutzer)
Wenn Sie zum ersten Mal einen erstellen AWS-Konto, beginnen Sie mit einer einzigen Anmeldeidentität, die vollständigen Zugriff auf alle AWS-Services Ressourcen im Konto hat. Diese Identität wird als Root-Benutzer des AWS Kontos bezeichnet. Der Zugriff erfolgt, indem Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, mit denen Sie das Konto erstellt haben. Wir raten ausdrücklich davon ab, den Root-Benutzer für alltägliche Aufgaben zu verwenden. Schützen Sie Ihre Root-Benutzer-Anmeldeinformationen und verwenden Sie diese, um Aufgaben auszuführen, die nur der Root-Benutzer ausführen kann. Eine vollständige Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie im *Referenzhandbuch zur Kontoverwaltung* unter [Aufgaben, für die Root-Benutzeranmeldedaten erforderlich](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html) sind.
### Verbundidentität
Es hat sich bewährt, menschlichen Benutzern, einschließlich Benutzern, die Administratorzugriff benötigen, vorzuschreiben, den Verbund mit einem Identitätsanbieter zu verwenden, um AWS-Services mithilfe temporärer Anmeldeinformationen darauf zugreifen zu können.
Eine föderierte Identität ist ein Benutzer aus Ihrem Unternehmensbenutzerverzeichnis, einem Web-Identitätsanbieter AWS Directory Service, dem Identity Center-Verzeichnis oder einem beliebigen Benutzer, der mithilfe AWS-Services von Anmeldeinformationen zugreift, die über eine Identitätsquelle bereitgestellt wurden. Wenn föderierte Identitäten darauf zugreifen AWS-Konten, übernehmen sie Rollen, und die Rollen stellen temporäre Anmeldeinformationen bereit.
Für die zentrale Zugriffsverwaltung empfehlen wir Ihnen, AWS IAM Identity Center zu verwenden. Sie können Benutzer und Gruppen in IAM Identity Center erstellen, oder Sie können eine Verbindung zu einer Gruppe von Benutzern und Gruppen in Ihrer eigenen Identitätsquelle herstellen und diese synchronisieren, um sie in all Ihren AWS-Konten Anwendungen zu verwenden. Informationen zu IAM Identity Center finden Sie unter [Was ist IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) Identity Center? im * AWS IAM Identity Center (Nachfolger von AWS Single Sign-On*) -Benutzerhandbuch.
### IAM-Benutzer und Gruppen
Eine *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*ist eine Identität innerhalb von Ihnen AWS-Konto , die über spezifische Berechtigungen für eine einzelne Person oder Anwendung verfügt. Wir empfehlen, sich nach Möglichkeit auf temporäre Zugangsdaten zu verlassen IAM-Benutzer , anstatt solche mit langfristigen Zugangsdaten wie Passwörtern und Zugangsschlüsseln zu erstellen. Wenn Sie jedoch spezielle Anwendungsfälle haben, für die langfristige Anmeldeinformationen erforderlich sind, empfehlen wir IAM-Benutzer, dass Sie die Zugriffsschlüssel rotieren. Weitere Informationen finden Sie unter [Regelmäßiges Rotieren von Zugriffsschlüsseln für Anwendungsfälle, die langfristige Anmeldeinformationen erfordern](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials) im *IAM-Benutzerhandbuch*.
Eine [IAM Gruppe](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) ist eine Identität, die eine Sammlung von angibt IAM-Benutzer. Sie können sich nicht als Gruppe anmelden. Mithilfe von Gruppen können Sie Berechtigungen für mehrere Benutzer gleichzeitig angeben. Gruppen erleichtern die Verwaltung von Berechtigungen für große Benutzergruppen. Sie könnten beispielsweise einer Gruppe einen Namen geben *IAMAdmins*und dieser Gruppe Berechtigungen zur Verwaltung von IAM Ressourcen erteilen.
Benutzer sind nicht dasselbe wie Rollen. Ein Benutzer ist einer einzigen Person oder Anwendung eindeutig zugeordnet. Eine Rolle kann von allen Personen angenommen werden, die sie benötigen. Benutzer besitzen dauerhafte Anmeldeinformationen. Rollen stellen temporäre Anmeldeinformationen bereit. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Wann sollte eine Rolle IAM-Benutzer (statt einer Rolle) erstellt](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose) werden?
### IAM Rollen
Eine *[IAM Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität innerhalb von Ihnen AWS-Konto , für die bestimmte Berechtigungen gelten. Sie ähnelt einer IAM-Benutzer, ist aber keiner bestimmten Person zugeordnet. Sie können vorübergehend eine IAM Rolle in der übernehmen, AWS-Managementkonsole indem Sie die [Rollen wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html). Sie können eine Rolle übernehmen, indem Sie eine AWS CLI oder AWS API-Operation aufrufen oder eine benutzerdefinierte URL verwenden. Weitere Informationen zu Methoden zur Verwendung von Rollen finden Sie [unter IAM Rollen verwenden](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html) im *IAM-Benutzerhandbuch*.
IAM Rollen mit temporären Anmeldeinformationen sind in den folgenden Situationen nützlich:
+ **Verbundbenutzerzugriff** – Um einer Verbundidentität Berechtigungen zuzuweisen, erstellen Sie eine Rolle und definieren Berechtigungen für die Rolle. Wird eine Verbundidentität authentifiziert, so wird die Identität der Rolle zugeordnet und erhält die von der Rolle definierten Berechtigungen. Informationen zu Rollen für den Verbund finden Sie unter [Erstellen von Rollen für externe Identitätsanbieter](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) im *IAM-Benutzerhandbuch*. Wenn Sie IAM Identity Center verwenden, konfigurieren Sie einen Berechtigungssatz. Um zu steuern, worauf Ihre Identitäten nach der Authentifizierung zugreifen können, korreliert IAM Identity Center den Berechtigungssatz mit einer Rolle in IAM. Informationen zu Berechtigungssätzen finden Sie unter [Berechtigungssätze](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) im * AWS IAM Identity Center (Nachfolger von AWS Single Sign-On) -Benutzerhandbuch*.
+ **Temporäre IAM-Benutzer Berechtigungen** — Ein Benutzer IAM-Benutzer kann eine IAM Rolle übernehmen, um vorübergehend verschiedene Berechtigungen für eine bestimmte Aufgabe zu übernehmen.
+ **Kontoübergreifender Zugriff** — Sie können eine IAM Rolle verwenden, um jemandem (einem vertrauenswürdigen Principal) in einem anderen Konto den Zugriff auf Ressourcen in Ihrem Konto zu ermöglichen. Rollen stellen die primäre Möglichkeit dar, um kontoübergreifendem Zugriff zu gewähren. Bei einigen können Sie AWS-Services jedoch eine Richtlinie direkt an eine Ressource anhängen (anstatt eine Rolle als Proxy zu verwenden). *Informationen zum Unterschied zwischen Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie im [IAM-Benutzerhandbuch unter Unterschiede zwischen IAM Rollen und ressourcenbasierten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html).*
+ **Serviceübergreifender Zugriff** — Einige verwenden Funktionen in anderen. AWS-Services AWS-Services Wenn Sie beispielsweise in einem Dienst einen Anruf tätigen, ist es üblich, dass dieser Dienst Anwendungen ausführt Amazon EC2 oder Objekte darin Amazon S3 speichert. Ein Service kann dies mithilfe der Berechtigungen des aufrufenden Prinzipals, einer Servicerolle oder einer serviceverknüpften Rolle tun.
+ **Hauptberechtigungen** — Wenn Sie eine IAM-Benutzer OR-Rolle verwenden, um Aktionen in auszuführen AWS, gelten Sie als Principal. Richtlinien erteilen einem Prinzipal-Berechtigungen. Bei einigen Services könnte es Aktionen geben, die dann eine andere Aktion in einem anderen Service auslösen. In diesem Fall müssen Sie über Berechtigungen zum Ausführen beider Aktionen verfügen.
+ **Servicerolle** — Eine Servicerolle ist eine IAM Rolle, die ein Dienst übernimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM Administrator kann eine Servicerolle von innen heraus erstellen, ändern und löschen IAM. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
+ **Dienstbezogene Rolle** — Eine dienstverknüpfte Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Servicebezogene Rollen erscheinen in Ihrem Dienst AWS-Konto und gehören dem Dienst. Ein IAM Administrator kann die Berechtigungen für dienstbezogene Rollen anzeigen, aber nicht bearbeiten.
+ **Anwendungen, die auf einer Instanz ausgeführt** werden Amazon EC2 — Sie können eine IAM Rolle verwenden, um temporäre Anmeldeinformationen für Anwendungen zu verwalten, die auf einer Amazon EC2 Instanz ausgeführt werden und AWS API-Anfragen stellen AWS CLI . Dies ist dem Speichern von Zugriffsschlüsseln innerhalb der Amazon EC2 Instanz vorzuziehen. Um einer Amazon EC2 Instanz eine AWS Rolle zuzuweisen und sie allen ihren Anwendungen zur Verfügung zu stellen, erstellen Sie ein Instanzprofil, das an die Instanz angehängt ist. Ein Instanzprofil enthält die Rolle und ermöglicht Programmen, die auf der Amazon EC2 Instanz ausgeführt werden, temporäre Anmeldeinformationen abzurufen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* [unter Verwenden einer IAM Rolle zum Erteilen von Berechtigungen für Anwendungen, die auf Amazon EC2 Instances ausgeführt](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) werden.
Informationen zur Verwendung von IAM Rollen finden Sie im *IAM-Benutzerhandbuch* unter [Wann IAM sollte eine Rolle (anstelle eines Benutzers) erstellt](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role) werden?.
## Verwalten des Zugriffs mit Richtlinien
Sie steuern den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie ist ein Objekt, AWS das, wenn es einer Identität oder Ressource zugeordnet ist, deren Berechtigungen definiert. AWS wertet diese Richtlinien aus, wenn ein Prinzipal (Benutzer, Root-Benutzer oder Rollensitzung) eine Anfrage stellt. Die Berechtigungen in den Richtlinien legen fest, ob eine Anforderung zugelassen oder abgelehnt wird. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu Struktur und Inhalten von JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Jede IAM Entität (Benutzer oder Rolle) beginnt ohne Berechtigungen. Standardmäßig können Benutzer nichts tun, nicht einmal ihr eigenes Passwort ändern. Um einem Benutzer die Berechtigung für eine Aktion zu erteilen, muss ein Administrator einem Benutzer eine Berechtigungsrichtlinie zuweisen. Alternativ kann der Administrator den Benutzer zu einer Gruppe hinzufügen, die über die gewünschten Berechtigungen verfügt. Wenn ein Administrator einer Gruppe Berechtigungen erteilt, erhalten alle Benutzer in dieser Gruppe diese Berechtigungen.
IAM Richtlinien definieren Berechtigungen für eine Aktion, unabhängig von der Methode, mit der Sie den Vorgang ausführen. Angenommen, es gibt eine Richtlinie, die Berechtigungen für die `iam:GetRole`-Aktion erteilt. Ein Benutzer mit dieser Richtlinie kann Rolleninformationen von der AWS-Managementkonsole AWS CLI, der oder der AWS API abrufen.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind Richtliniendokumente für JSON-Berechtigungen, die Sie an eine Identität, z. B. eine Rolle oder Gruppe IAM-Benutzer, anhängen können. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. *Informationen zum Erstellen einer identitätsbasierten Richtlinie finden Sie unter [Erstellen von IAM Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im IAM-Benutzerhandbuch.*
Identitätsbasierte Richtlinien können weiter als *Inline-Richtlinien* oder *verwaltete Richtlinien* kategorisiert werden. Eingebundene Richtlinien sind direkt in einen einzelnen Benutzer, eine einzelne Gruppe oder eine einzelne Rolle eingebettet. Verwaltete Richtlinien sind eigenständige Richtlinien, die Sie mehreren Benutzern, Gruppen und Rollen in Ihrem System zuordnen können. AWS-Konto Zu den verwalteten Richtlinien gehören AWS verwaltete Richtlinien und vom Kunden verwaltete Richtlinien. Informationen dazu, wie Sie zwischen einer verwalteten Richtlinie und einer eingebundenen Richtlinie wählen, finden Sie unter [Auswahl zwischen verwalteten und eingebundenen Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource wie einen Amazon S3 Bucket anhängen. Serviceadministratoren können mit diesen Richtlinien festlegen, welche Aktionen ein angegebener Prinzipal (Kontomitglied, Benutzer oder Rolle) für diese Ressource durchführen kann, und unter welchen Bedingungen dies möglich ist. Ressourcenbasierte Richtlinien sind Inline-Richtlinien. Es gibt keine verwalteten ressourcenbasierten Richtlinien.
### Zugriffskontrolllisten () ACLs
Zugriffskontrolllisten (ACLs) sind eine Art von Richtlinie, mit der gesteuert wird, welche Prinzipale (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat. Amazon S3 AWS WAF, und Amazon VPC sind Beispiele für Dienste, die Unterstützung bieten. ACLs Weitere Informationen finden Sie in der [Übersicht über ACLs die Access Control List (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/dev/acl-overview.html) im *Amazon Simple Storage Service Developer Guide*.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche, weniger verbreitete Richtlinientypen. Mit diesen Richtlinientypen können Sie die maximalen Berechtigungen festlegen, die Ihnen durch die gängigeren Richtlinientypen gewährt werden.
+ **Berechtigungsgrenzen** — Eine Berechtigungsgrenze ist eine erweiterte Funktion, mit der Sie die maximalen Berechtigungen festlegen, die eine identitätsbasierte Richtlinie einer IAM Entität (IAM-Benutzer oder Rolle) gewähren kann. Sie können eine Berechtigungsgrenze für eine Entität festlegen. Die resultierenden Berechtigungen sind die Schnittmenge der identitätsbasierten Richtlinien der Entität und ihrer Berechtigungsgrenzen. Ressourcenbasierte Richtlinien, die den Benutzer oder die Rolle im Feld `Principal` angeben, werden nicht durch Berechtigungsgrenzen eingeschränkt. Eine explizite Zugriffsverweigerung in einer dieser Richtlinien setzt eine Zugriffserlaubnis außer Kraft. Weitere Informationen zu Berechtigungsgrenzen finden Sie unter [Berechtigungsgrenzen für IAM Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *IAM-Benutzerhandbuch*.
+ **Dienststeuerungsrichtlinien (SCPs)** — SCPs sind JSON-Richtlinien, die die maximalen Berechtigungen für eine Organisation oder Organisationseinheit (OU) in AWS Organizations festlegen. AWS Organizations ist ein Dienst zur Gruppierung und zentralen Verwaltung mehrerer Objekte AWS-Konten , die Ihrem Unternehmen gehören. Wenn Sie alle Funktionen in einer Organisation aktivieren, können Sie Richtlinien zur Servicesteuerung (SCPs) auf einige oder alle Ihre Konten anwenden. Das SCP schränkt die Berechtigungen für Entitäten in Mitgliedskonten ein, einschließlich der einzelnen AWS Root-Benutzer. Weitere Informationen zu Organizations und SCPs finden Sie unter [How SCPs Work](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html) im * AWS Organizations User Guide*.
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die Sie als Parameter übergeben, wenn Sie eine temporäre Sitzung für eine Rolle oder einen verbundenen Benutzer programmgesteuert erstellen. Die resultierenden Sitzungsberechtigungen sind die Schnittmenge der identitätsbasierten Richtlinien des Benutzers oder der Rolle und der Sitzungsrichtlinien. Berechtigungen können auch aus einer ressourcenbasierten Richtlinie stammen. Eine explizite Zugriffsverweigerung in einer dieser Richtlinien setzt eine Zugriffserlaubnis außer Kraft. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die sich daraus ergebenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# So funktioniert Amazon EVS mit IAM
Informieren Sie sich vor der Nutzung IAM zur Verwaltung des Zugriffs auf Amazon EVS darüber, welche IAM Funktionen für Amazon EVS verfügbar sind.
| IAM Funktion | Amazon EVS-Unterstützung |
| --- | --- |
| [Identitätsbasierte Richtlinien für Amazon EVS](#security_iam_service-with-iam-id-based-policies) | Ja |
| [Ressourcenbasierte Richtlinien innerhalb von Amazon EVS](#security_iam_service-with-iam-resource-based-policies) | Nein |
| [Politische Maßnahmen für Amazon EVS](#security_iam_service-with-iam-id-based-policies-actions) | Ja |
| [Richtlinienressourcen für Amazon EVS](#security_iam_service-with-iam-id-based-policies-resources) | Teilweise |
| [Schlüssel für Richtlinienbedingungen für Amazon EVS](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ja |
| [Zugriffskontrolllisten (ACLs) in Amazon EVS](#security_iam_service-with-iam-acls) | Nein |
| [Attributbasierte Zugriffskontrolle (ABAC) mit Amazon EVS](#security_iam_service-with-iam-tags) | Ja |
| [Temporäre Anmeldeinformationen mit Amazon EVS verwenden](#security_iam_service-with-iam-roles-tempcreds) | Ja |
| [Zugriffssitzungen für Amazon EVS weiterleiten](#security_iam_service-with-iam-principal-permissions) | Ja |
| [Servicerollen für Amazon EVS](#security_iam_service-with-iam-roles-service) | Nein |
| [Servicebezogene Rollen für Amazon EVS](#security_iam_service-with-iam-roles-service-linked) | Ja |
Einen umfassenden Überblick darüber, wie Amazon EVS und andere AWS-Services Unternehmen [AWS-Services damit arbeiten IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html), finden Sie IAM im *IAM-Benutzerhandbuch*.
## Identitätsbasierte Richtlinien für Amazon EVS
**Unterstützt Richtlinien auf Identitätsbasis:** Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Mit IAM identitätsbasierten Richtlinien können Sie zulässige oder verweigerte Aktionen und Ressourcen sowie die Bedingungen angeben, unter denen Aktionen zugelassen oder verweigert werden. Sie können den Prinzipal nicht in einer identitätsbasierten Richtlinie angeben, da er für den Benutzer oder die Rolle gilt, der er zugeordnet ist. Weitere Informationen zu allen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie im *IAM-Benutzerhandbuch* unter [Referenz zu IAM JSON-Richtlinienelementen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html).
### Beispiele für identitätsbasierte Richtlinien für Amazon EVS
Beispiele für identitätsbasierte Amazon EVS-Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Amazon EVS-Richtlinien](security-iam-id-based-policy-examples.md)
### Ressourcenbasierte Richtlinien innerhalb von Amazon EVS
**Unterstützt ressourcenbasierte Richtlinien:** Nein
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-Rollen-Vertrauensrichtlinien und Amazon-S3-Bucket-Richtlinien. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services
Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben. Durch das Hinzufügen eines kontoübergreifenden Auftraggebers zu einer ressourcenbasierten Richtlinie ist nur die halbe Vertrauensbeziehung eingerichtet. Wenn sich der Prinzipal und die Ressource unterscheiden AWS-Konten, muss ein IAM-Administrator des vertrauenswürdigen Kontos auch der Prinzipalentität (Benutzer oder Rolle) die Berechtigung zum Zugriff auf die Ressource erteilen. Sie erteilen Berechtigungen, indem Sie der juristischen Stelle eine identitätsbasierte Richtlinie anfügen. Wenn jedoch eine ressourcenbasierte Richtlinie Zugriff auf einen Prinzipal in demselben Konto gewährt, ist keine zusätzliche identitätsbasierte Richtlinie erforderlich. Weitere Informationen finden Sie unter [Kontenübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im IAM-Benutzerhandbuch.
### Politische Maßnahmen für Amazon EVS
**Unterstützt Aktionen Ja**
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das `Action` Element einer IAM identitätsbasierten Richtlinie beschreibt die spezifischen Aktionen, die durch die Richtlinie zugelassen oder verweigert werden. Richtlinienaktionen haben normalerweise denselben Namen wie der zugehörige AWS API-Vorgang. Die Aktion wird in einer Richtlinie verwendet, um Berechtigungen zur Durchführung der zugehörigen Aktion zu gewähren.
Richtlinienaktionen in Amazon EVS verwenden das folgende Präfix vor der Aktion:`evs:`. Um beispielsweise jemandem die Erlaubnis zu erteilen, eine Umgebung mit dem Amazon `CreateEnvironment` EVS-API-Vorgang zu erstellen, nehmen Sie die `evs:CreateEnvironment` Aktion in seine Richtlinie auf. Richtlinienanweisungen müssen entweder ein – `Action`oder ein `NotAction`-Element enthalten. Amazon EVS definiert eigene Aktionen, die Aufgaben beschreiben, die Sie mit diesem Service ausführen können.
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:
```
"Action": [
"evs:action1",
"evs:action2"
```
Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `List` beginnen, einschließlich der folgenden Aktion:
```
"Action": "evs:List*"
```
Eine Liste der Amazon EVS-Aktionen finden Sie unter [Von Amazon EVS definierte Aktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonelasticvmwareservice.html#amazonelasticvmwareservice-actions-as-permissions) in der *Service Authorization* Reference.
### Richtlinienressourcen für Amazon EVS
**Unterstützt Richtlinienressourcen:** teilweise
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Anweisungen müssen entweder ein – `Resource`oder ein `NotResource`-Element enthalten. Als bewährte Methode geben Sie eine Ressource mit dem zugehörigen Amazon-Ressourcennamen (ARN) an. Sie können dies für Aktionen tun, die einen bestimmten Ressourcentyp unterstützen, der als *Berechtigungen auf Ressourcenebene* bezeichnet wird.
Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, z. B. Auflistungsoperationen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Eine Liste der Amazon EVS-Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter [Von Amazon Elastic VMware Service definierte Ressourcen in der Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticvmwareservice.html#amazonelasticvmwareservice-resources-for-iam-policies) *Authorization Reference.* Informationen darüber, mit welchen Aktionen Sie den ARN jeder Ressource angeben können, finden Sie unter [Von Amazon Elastic VMware Service definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticvwareservice.html#amazonelasticvmwareservice-actions-as-permissions).
Einige Amazon EVS-API-Aktionen unterstützen mehrere Ressourcen. Beispielsweise können beim Aufrufen der `ListEnvironments` API-Aktion mehrere Umgebungen referenziert werden. Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie sie ARNs durch Kommas.
```
"Resource": [
"EXAMPLE-RESOURCE-1",
"EXAMPLE-RESOURCE-2"
```
Die Amazon EVS-Umgebungsressource hat beispielsweise den folgenden ARN:
```
arn:${Partition}:evs:${Region}:${Account}:environment/${EnvironmentId}
```
Verwenden Sie das folgende Beispiel ARNs, um die Umgebungen `my-environment-1` und `my-environment-2` in Ihrem Statement zu spezifizieren:
```
"Resource": [
"arn:aws:evs:us-east-1:123456789012:environment/my-environment-1",
"arn:aws:evs:us-east-1:123456789012:environment/my-environment-2"
```
Um alle Umgebungen anzugeben, die zu einem bestimmten Konto gehören, verwenden Sie den Platzhalter (\$1):
```
"Resource": "arn:aws:evs:us-east-1:123456789012:environment/*"
```
### Schlüssel für Richtlinienbedingungen für Amazon EVS
**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** kann **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen.
Mit dem `Condition` Element (oder `Condition` Block) können Sie die Bedingungen angeben, unter denen eine Aussage gültig ist. Das Element `Condition` ist optional. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt.
Wenn Sie mehrere `Condition`-Elemente in einer Anweisung oder mehrere Schlüssel in einem einzelnen `Condition`-Element angeben, wertet AWS diese mittels einer logischen `AND`-Operation aus. Wenn Sie mehrere Werte für einen einzelnen Bedingungsschlüssel angeben, AWS wertet die Bedingung mithilfe einer logischen `OR` Operation aus. Alle Bedingungen müssen erfüllt sein, bevor die Berechtigungen für die Anweisung erteilt werden.
Sie können bei der Angabe von Bedingungen auch Platzhaltervariablen verwenden. Sie können beispielsweise nur dann eine IAM-Benutzer Zugriffsberechtigung für eine Ressource erteilen, wenn sie mit ihrem IAM-Benutzer Namen gekennzeichnet ist. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [IAM Richtlinienelemente: Variablen und Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html).
Amazon EVS definiert seinen eigenen Satz von Bedingungsschlüsseln und unterstützt auch die Verwendung einiger globaler Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontext-Schlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Alle Amazon EC2 Aktionen unterstützen die `ec2:Region` Bedingungstasten `aws:RequestedRegion` und. Weitere Informationen finden Sie unter [Beispiel: Beschränken des Zugriffs auf eine bestimmte Region](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region).
Eine Liste der Amazon EVS-Bedingungsschlüssel finden Sie unter Condition [Keys for Amazon EVS](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonelasticvmwareservice.html#amazonelasticvmwareservice-policy-keys) in der *Service Authorization* Reference. Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von Amazon EVS definierte Aktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonelasticvmwareservice.html#amazonelasticvmwareservice-actions-as-permissions).
## Zugriffskontrolllisten (ACLs) in Amazon EVS
**Unterstützt ACLs: Nein**
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
## Attributbasierte Zugriffskontrolle (ABAC) mit Amazon EVS
**Unterstützt ABAC (Tags in Richtlinien):** Ja
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen definiert werden. In werden diese AWS Attribute als Tags bezeichnet. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und an viele AWS Ressourcen anhängen. Das Markieren von Entitäten und Ressourcen ist der erste Schritt von ABAC. Anschließend entwerfen Sie ABAC-Richtlinien, um Operationen zuzulassen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt, auf die er zugreifen möchte.
ABAC ist in Umgebungen hilfreich, die schnell wachsen, und unterstützt Sie in Situationen, in denen die Richtlinienverwaltung mühsam wird.
Sie können Tags an Amazon EVS-Ressourcen anhängen oder Tags in einer Anfrage an Amazon EVS übergeben. Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/`, `aws:RequestTag/`, oder Bedingung `aws:TagKeys` verwenden. Weitere Informationen darüber, mit welchen Aktionen Sie Tags in Bedingungsschlüsseln verwenden können, finden Sie unter [Von Amazon EVS definierte Aktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonelasticvmwareservice.html#amazonelasticvmwareservice-actions-as-permissions) in der *Service Authorization Reference.*
## Temporäre Anmeldeinformationen mit Amazon EVS verwenden
**Unterstützt temporäre Anmeldeinformationen:** Ja
Einige funktionieren AWS-Services nicht, wenn Sie sich mit temporären Anmeldeinformationen anmelden. Weitere Informationen, einschließlich Informationen, die mit temporären Anmeldeinformationen AWS-Services [funktionieren AWS-Services , finden Sie im IAM-Benutzerhandbuch unter Diese Option funktioniert mit](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *IAM*.
Sie verwenden temporäre Anmeldeinformationen, wenn Sie sich mit einer anderen AWS-Managementkonsole Methode als einem Benutzernamen und einem Passwort anmelden. Wenn Sie beispielsweise AWS über den Single Sign-On-Link (SSO) Ihres Unternehmens darauf zugreifen, werden bei diesem Vorgang automatisch temporäre Anmeldeinformationen erstellt. Sie erstellen auch automatisch temporäre Anmeldeinformationen, wenn Sie sich als Benutzer bei der Konsole anmelden und dann die Rollen wechseln. Weitere Informationen zum Wechseln von Rollen finden Sie unter [Wechseln von einer Benutzerrolle zu einer IAM-Rolle (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) im *IAM-Benutzerhandbuch*.
Mithilfe der AWS API AWS CLI oder können Sie temporäre Anmeldeinformationen manuell erstellen. Sie können diese temporären Anmeldeinformationen dann für den Zugriff verwenden AWS. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Sicherheitsanmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html).
## Zugriffssitzungen für Amazon EVS weiterleiten
**Unterstützt Forward Access Sessions (FAS):** Ja
Wenn Sie einen IAM-Benutzer oder eine IAM-Rolle verwenden, um Aktionen auszuführen AWS, gelten Sie als Principal. Bei einigen Services könnte es Aktionen geben, die dann eine andere Aktion in einem anderen Service initiieren. FAS verwendet die Berechtigungen des Prinzipals, der einen aufruft AWS-Service, kombiniert mit der Anforderung, Anfragen an nachgelagerte Dienste AWS-Service zu stellen. FAS-Anfragen werden nur gestellt, wenn ein Dienst eine Anfrage erhält, für deren Abschluss Interaktionen mit anderen AWS-Services oder Ressourcen erforderlich sind. In diesem Fall müssen Sie über Berechtigungen zum Ausführen beider Aktionen verfügen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Servicerollen für Amazon EVS
**Unterstützt Servicerollen:** Nein
Eine Servicerolle ist eine IAM-Rolle, die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
## Servicebezogene Rollen für Amazon EVS
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine serviceverknüpfte Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Einzelheiten zum Erstellen oder Verwalten von serviceverknüpften Amazon EVS-Rollen finden Sie unter. [Verwenden von serviceverknüpften Rollen für Amazon EVS](using-service-linked-roles.md)
# Beispiele für identitätsbasierte Amazon EVS-Richtlinien
Standardmäßig sind Rollen nicht berechtigt, IAM-Benutzer Amazon EVS-Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben mit der AWS-Managementkonsole AWS CLI, oder AWS API ausführen. Ein IAM Administrator muss IAM Richtlinien erstellen, die Benutzern und Rollen die Erlaubnis gewähren, bestimmte API-Operationen mit den angegebenen Ressourcen auszuführen, die sie benötigen. Der Administrator muss diese Richtlinien dann den Gruppen IAM-Benutzer oder Gruppen zuordnen, für die diese Berechtigungen erforderlich sind.
Informationen zum Erstellen einer identitätsbasierten IAM-Richtlinie mithilfe dieser Beispieldokumente zu JSON-Richtlinien finden Sie unter [Erstellen von Richtlinien mit dem JSON-Editor](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der Amazon EVS-Konsole](#security-iam-id-based-policy-examples-console)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security-iam-id-based-policy-examples-view-own-permissions)
+ [Erstellen und verwalten Sie eine Amazon EVS-Umgebung](#security-iam-id-based-policy-examples-create-env)
+ [Abrufen und Auflisten von Amazon EVS-Umgebungen, Hosts und VLANs](#security-iam-id-based-policy-examples-list-env)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand Amazon EVS-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder diese löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn Sie identitätsbasierte Richtlinien erstellen oder bearbeiten, befolgen Sie diese Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die AWS verwalteten Richtlinien, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ Berechtigungen mit **den geringsten Rechten anwenden — Wenn Sie Berechtigungen** mit IAM Richtlinien festlegen, gewähren Sie nur die Berechtigungen, die für die Ausführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung IAM zum Anwenden von Berechtigungen finden Sie unter [Richtlinien und Berechtigungen IAM im](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) *IAM-Benutzerhandbuch*.
+ **Verwenden Sie Bedingungen in IAM Richtlinien, um den Zugriff weiter einzuschränken** — Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen einzuschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese im Rahmen einer bestimmten Aktion verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Wird verwendet IAM Access Analyzer , um Ihre IAM Richtlinien zu validieren, um sichere und funktionale Berechtigungen zu gewährleisten** — IAM Access Analyzer validiert neue und bestehende Richtlinien, sodass die Richtlinien der IAM Richtliniensprache (JSON) und den IAM Best Practices entsprechen. IAM Access Analyzer bietet mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen, um Sie bei der Erstellung sicherer und funktionaler Richtlinien zu unterstützen. Weitere Informationen finden Sie unter [IAM Access Analyzer Richtlinienvalidierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das Root-Benutzer in Ihrem Konto erfordert IAM-Benutzer , aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Konfigurieren eines MFA-geschützten API-Zugriffs](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
## Verwenden der Amazon EVS-Konsole
Um auf die Amazon EVS-Konsole zugreifen zu können, muss ein IAM-Principal über Mindestberechtigungen verfügen. Diese Berechtigungen müssen es dem Principal ermöglichen, Details zu den Amazon EVS-Ressourcen in Ihrem AWS-Konto aufzulisten und anzuzeigen. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die restriktiver als die mindestens erforderlichen Berechtigungen ist, funktioniert die Konsole für Prinzipals, denen diese Richtlinie zugewiesen ist, nicht wie vorgesehen.
Um sicherzustellen, dass Ihre IAM-Prinzipale die Amazon EVS-Konsole weiterhin verwenden können, erstellen Sie eine Richtlinie mit Ihrem eigenen eindeutigen Namen, z. B. `AmazonEVSAdminPolicy` Hängen Sie die Richtlinie an die Prinzipale an. Weitere Informationen finden Sie unter [Hinzufügen von Berechtigungen zu einem Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im*IAM-Benutzerhandbuch*:
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"evs:*"
],
"Resource": "*"
},
{
"Sid": "EVSServiceLinkedRole",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/evs.amazonaws.com/AWSServiceRoleForEVS",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "evs.amazonaws.com"
}
}
}
]
}
```
Sie müssen Benutzern, die nur die API AWS CLI oder die API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. AWS Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die Sie ausführen möchten.
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
Dieses Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die es IAM-Benutzer ermöglicht, die internen und verwalteten Richtlinien anzuzeigen, die mit ihrer Benutzeridentität verknüpft sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API AWS CLI oder AWS .
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Erstellen und verwalten Sie eine Amazon EVS-Umgebung
Diese Beispielrichtlinie umfasst die Berechtigungen, die erforderlich sind, um eine Amazon EVS-Umgebung zu erstellen und zu löschen und Hosts hinzuzufügen oder zu löschen, nachdem die Umgebung erstellt wurde.
Sie können die durch die AWS-Region ersetzen AWS-Region , in der Sie eine Umgebung erstellen möchten. Wenn Ihr Konto bereits über die `AWSServiceRoleForAmazonEVS`-Rolle verfügt, können Sie die `iam:CreateServiceLinkedRole`-Aktion aus der Richtlinie entfernen. Wenn Sie jemals eine Amazon EVS-Umgebung in Ihrem Konto erstellt haben, ist eine Rolle mit diesen Berechtigungen bereits vorhanden, sofern Sie sie nicht gelöscht haben.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadOnlyDescribeActions",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeInstanceStatus",
"ec2:DescribeHosts",
"ec2:DescribeDhcpOptions",
"ec2:DescribeAddresses",
"ec2:DescribeKeyPairs",
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeInstances",
"ec2:DescribeRouteServers",
"ec2:DescribeRouteServerEndpoints",
"ec2:DescribeRouteServerPeers",
"ec2:DescribePlacementGroups",
"ec2:DescribeVolumes",
"ec2:DescribeSecurityGroups",
"support:DescribeServices",
"support:DescribeSupportLevel",
"servicequotas:GetServiceQuota",
"servicequotas:ListServiceQuotas"
],
"Resource": "*"
},
{
"Sid": "ModifyNetworkInterfaceStatement",
"Effect": "Allow",
"Action": [
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DeleteNetworkInterface"
],
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"Null": {
"aws:ResourceTag/AmazonEVSManaged": "false"
}
}
},
{
"Sid": "ModifyNetworkInterfaceStatementForSubnetAssociation",
"Effect": "Allow",
"Action": [
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "arn:aws:ec2:*:*:subnet/*",
"Condition": {
"Null": {
"aws:ResourceTag/AmazonEVSManaged": "false"
}
}
},
{
"Sid": "CreateNetworkInterfaceWithTag",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"Null": {
"aws:RequestTag/AmazonEVSManaged": "false"
}
}
},
{
"Sid": "CreateNetworkInterfaceAdditionalResources",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:security-group/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/AmazonEVSManaged": "false"
}
}
},
{
"Sid": "TagOnCreateEC2Resources",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*:*:subnet/*"
],
"Condition": {
"StringEquals": {
"ec2:CreateAction": [
"CreateNetworkInterface",
"RunInstances",
"CreateSubnet",
"CreateVolume"
]
},
"Null": {
"aws:RequestTag/AmazonEVSManaged": "false"
}
}
},
{
"Sid": "DetachNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:DetachNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/AmazonEVSManaged": "false"
}
}
},
{
"Sid": "RunInstancesWithTag",
"Effect": "Allow",
"Action": [
"ec2:RunInstances"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*"
],
"Condition": {
"Null": {
"aws:RequestTag/AmazonEVSManaged": "false"
}
}
},
{
"Sid": "RunInstancesWithTagResource",
"Effect": "Allow",
"Action": [
"ec2:RunInstances"
],
"Resource": [
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/AmazonEVSManaged": "false"
}
}
},
{
"Sid": "RunInstancesWithoutTag",
"Effect": "Allow",
"Action": [
"ec2:RunInstances"
],
"Resource": [
"arn:aws:ec2:*:*:image/*",
"arn:aws:ec2:*:*:security-group/*",
"arn:aws:ec2:*:*:key-pair/*",
"arn:aws:ec2:*:*:placement-group/*"
]
},
{
"Sid": "TerminateInstancesWithTag",
"Effect": "Allow",
"Action": [
"ec2:TerminateInstances",
"ec2:ModifyInstanceAttribute"
],
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"Null": {
"aws:ResourceTag/AmazonEVSManaged": "false"
}
}
},
{
"Sid": "CreateSubnetWithTag",
"Effect": "Allow",
"Action": [
"ec2:CreateSubnet"
],
"Resource": [
"arn:aws:ec2:*:*:subnet/*"
],
"Condition": {
"Null": {
"aws:RequestTag/AmazonEVSManaged": "false"
}
}
},
{
"Sid": "CreateSubnetWithoutTagForExistingVPC",
"Effect": "Allow",
"Action": [
"ec2:CreateSubnet"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*"
]
},
{
"Sid": "DeleteSubnetWithTag",
"Effect": "Allow",
"Action": [
"ec2:DeleteSubnet"
],
"Resource": "arn:aws:ec2:*:*:subnet/*",
"Condition": {
"Null": {
"aws:ResourceTag/AmazonEVSManaged": "false"
}
}
},
{
"Sid": "VolumeDeletion",
"Effect": "Allow",
"Action": [
"ec2:DeleteVolume"
],
"Resource": "arn:aws:ec2:*:*:volume/*",
"Condition": {
"Null": {
"aws:ResourceTag/AmazonEVSManaged": "false"
}
}
},
{
"Sid": "VolumeDetachment",
"Effect": "Allow",
"Action": [
"ec2:DetachVolume"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/AmazonEVSManaged": "false"
}
}
},
{
"Sid": "RouteServerAccess",
"Effect": "Allow",
"Action": [
"ec2:GetRouteServerAssociations"
],
"Resource": "arn:aws:ec2:*:*:route-server/*"
},
{
"Sid": "EVSServiceLinkedRole",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/evs.amazonaws.com/AWSServiceRoleForEVS",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "evs.amazonaws.com"
}
}
},
{
"Sid": "SecretsManagerCreateWithTag",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:*",
"Condition": {
"StringEquals": {
"aws:RequestTag/AmazonEVSManaged": "true"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"AmazonEVSManaged"
]
}
}
},
{
"Sid": "SecretsManagerTagging",
"Effect": "Allow",
"Action": [
"secretsmanager:TagResource"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:*",
"Condition": {
"StringEquals": {
"aws:RequestTag/AmazonEVSManaged": "true",
"aws:ResourceTag/AmazonEVSManaged": "true"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"AmazonEVSManaged"
]
}
}
},
{
"Sid": "SecretsManagerOps",
"Effect": "Allow",
"Action": [
"secretsmanager:DeleteSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:UpdateSecret"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:*",
"Condition": {
"Null": {
"aws:ResourceTag/AmazonEVSManaged": "false"
}
}
},
{
"Sid": "SecretsManagerRandomPassword",
"Effect": "Allow",
"Action": [
"secretsmanager:GetRandomPassword"
],
"Resource": "*"
},
{
"Sid": "EVSPermissions",
"Effect": "Allow",
"Action": [
"evs:*"
],
"Resource": "*"
},
{
"Sid": "KMSKeyAccessInConsole",
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:*:*:key/*"
},
{
"Sid": "KMSKeyAliasAccess",
"Effect": "Allow",
"Action": [
"kms:ListAliases"
],
"Resource": "*"
}
]
}
```
## Abrufen und Auflisten von Amazon EVS-Umgebungen, Hosts und VLANs
Diese Beispielrichtlinie umfasst die Mindestberechtigungen, die ein Administrator zum Abrufen und Auflisten aller Amazon EVS-Umgebungen, Hosts und VLANs innerhalb eines bestimmten Kontos in den AWS-Region us-east-2.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"evs:Get*",
"evs:List*"
],
"Resource": "*"
}
]
}
```
# Fehlerbehebung bei Amazon EVS-Identität und -Zugriff
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit Amazon EVS und IAM auftreten können.
**Topics**
+ [AccessDeniedException](#security-iam-troubleshoot-access-denied)
+ [Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Amazon EVS-Ressourcen ermöglichen](#security-iam-troubleshoot-cross-account-access)
## AccessDeniedException
Wenn Sie `AccessDeniedException` beim Aufrufen einer AWS API-Operation eine Meldung erhalten, verfügen die von Ihnen verwendeten IAM-Prinzipalanmeldedaten nicht über die erforderlichen Berechtigungen, um diesen Aufruf durchzuführen.
```
An error occurred (AccessDeniedException) when calling the CreateEnvironment operation:
User: arn:aws:iam::111122223333:user/user_name is not authorized to perform:
evs:CreateEnvironment on resource: arn:aws:evs:region:111122223333:environment/my-env
```
In der vorherigen Beispielnachricht hat der Benutzer keine Berechtigungen, den Amazon `CreateEnvironment` EVS-API-Vorgang aufzurufen. Informationen zum Erteilen von Amazon EVS-Administratorberechtigungen für einen IAM-Prinzipal finden Sie unter. [Beispiele für identitätsbasierte Amazon EVS-Richtlinien](security-iam-id-based-policy-examples.md)
Weitere allgemeine Informationen zu IAM finden Sie unter [Steuern des Zugriffs auf AWS Ressourcen mithilfe von Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html) im *IAM-Benutzerhandbuch*.
## Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Amazon EVS-Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob Amazon EVS diese Funktionen unterstützt, finden Sie unter[So funktioniert Amazon EVS mit IAM](security_iam_service-with-iam.md).
+ Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie [IAM-Benutzer im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs auf eine andere Ressource AWS-Konto , die Ihnen gehört](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie im *IAM-Benutzerhandbuch* unter [Gewähren des Zugriffs auf Ressourcen, die AWS-Konten Eigentum Dritter](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) sind.
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ *Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie im [IAM-Benutzerhandbuch unter Unterschiede zwischen IAM Rollen und ressourcenbasierten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html).*
# AWS verwaltete Richtlinien für Amazon EVS
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet AWS wird. AWS Verwaltete Richtlinien dienen dazu, Berechtigungen für viele gängige Anwendungsfälle bereitzustellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden. Weitere Informationen finden Sie im * IAM Benutzerhandbuch* unter [AWS Verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies).
## AWS verwaltete Richtlinie: Amazon EVSService RolePolicy
Sie können `AmazonEVSServiceRolePolicy` nicht an Ihre IAM-Entitäten anfügen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es Amazon EVS ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter [Verwenden von serviceverknüpften Rollen für Amazon EVS](using-service-linked-roles.md). Wenn Sie eine Umgebung mit einem IAM-Prinzipal erstellen, der über die `iam:CreateServiceLinkedRole` entsprechende Berechtigung verfügt, wird die `AWSServiceRoleforAmazonEVS` serviceverknüpfte Rolle automatisch für Sie erstellt, wobei diese Richtlinie an sie angehängt ist.
Diese Richtlinie ermöglicht es der `AWSServiceRoleForAmazonEVS` serviceverknüpften Rolle, in Ihrem Namen Anrufe AWS-Services zu tätigen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen, die es Amazon EVS ermöglichen, die folgenden Aufgaben auszuführen.
+ `ec2`- Entdecken Sie VPC-Netzwerkkomponenten, einschließlich Subnetze und. VPCs Erstellen, ändern, kennzeichnen und löschen Sie elastische Netzwerkschnittstellen, die zum Herstellen einer dauerhaften Verbindung zwischen Amazon EVS und der VMware Virtual Cloud Foundation (VCF) SDDC Manager-Appliance in Ihrem VPC-Subnetz verwendet werden. Diese Konnektivität ist erforderlich, damit Amazon EVS die VCF-Bereitstellung bereitstellen, verwalten und überwachen kann.
+ `ec2`- Löschen Sie EC2-Instances, die Amazon EVS erstellt, wenn Sie eine Anfrage zum Löschen eines EVS-Hosts stellen. Beschreiben und ändern Sie die EC2-Instance-Attribute, sodass der standardmäßige Schutz vor Kündigung und Stopp von EC2-Instances bei Bedarf deaktiviert werden kann, um das Löschen von EVS-Hosts zu unterstützen.
+ `ec2`- Verwalten Sie EBS-Volumes für die Installation und Bereinigung von Cloud Builder. Während der Umgebungserstellung wird Cloud Builder auf einem der von Amazon EVS bereitgestellten Hosts installiert, um VCF-Konfigurationsänderungen vorzunehmen. Nach Abschluss entfernt Amazon EVS Cloud Builder, indem das EC2-Volume, auf dem es gespeichert ist, getrennt und gelöscht wird.
+ `ec2`- Löschen Sie EVS-VLAN-Subnetze in Ihrem Namen, wenn Sie das Löschen der Umgebung beantragen.
+ `secretsmanager`- Löschen Sie VCF-Passwörter, die Amazon EVS während der Umgebungserstellung im AWS Secrets Manager erstellt und speichert. Amazon EVS löscht alle Geheimnisse, die der Service in Ihrem Konto erstellt, wenn die Erstellung der Umgebung fehlschlägt oder wenn Sie das Löschen der Umgebung beantragen. Rufen Sie vCenter-Anmeldeinformationen von AWS Secrets Manager ab, wenn Sie einen vCenter-Connector konfigurieren, indem Sie einen geheimen ARN angeben. Die Berechtigung ist mit einer Ressourcen-Tag-Bedingung verknüpft, `EvsAccess=true` um sicherzustellen, dass Amazon EVS nur auf Geheimnisse zugreift, die explizit für den Zugriff auf Amazon EVS vCenter gekennzeichnet sind.
+ `kms`- Entschlüsseln Sie Geheimnisse und beschreiben Sie KMS-Schlüssel, wenn die in Secrets Manager gespeicherten vCenter-Anmeldeinformationen mit KMS-Schlüsseln verschlüsselt werden. Die Berechtigung ist mit einer Ressourcen-Tag-Bedingung verknüpft, `EvsAccess=true` um sicherzustellen, dass Amazon EVS nur auf KMS-Schlüssel zugreift, die explizit für den vCenter-Zugriff gekennzeichnet sind.
+ `cloudwatch`— Veröffentlichen Sie AWS Nutzungsmetriken CloudWatch für Amazon EVS-Ressourcen, für die Kontingente gelten.
Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [Amazon EVSService RolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEVSServiceRolePolicy.html) im * AWS Managed Policy Reference Guide*.
## Amazon EVS-Updates für AWS verwaltete Richtlinien
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon EVS an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen. Um automatische Warnungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der [Dokumentenverlauf für das Amazon Elastic VMware Service User Guide](doc-history.md)-Seite.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| Amazon EVSService RolePolicy — Richtlinie aktualisiert | Amazon EVS hat die Richtlinie aktualisiert, sodass der Service vCenter-Anmeldeinformationen von AWS Secrets Manager abrufen und mit KMS-Schlüsseln verschlüsselte Geheimnisse entschlüsseln kann. Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: Amazon EVSService RolePolicy](#security-iam-awsmanpol-amazonevsservicerolepolicy). | 23. März 2026 |
| Amazon EVSService RolePolicy — Richtlinie aktualisiert | Amazon EVS hat die Richtlinie aktualisiert, um umfassende Ressourcenverwaltungsfunktionen wie EC2-Instance-Management, EBS-Volumenoperationen und AWS Secrets Manager Manager-Integration hinzuzufügen. Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: Amazon EVSService RolePolicy](#security-iam-awsmanpol-amazonevsservicerolepolicy). | 14. August 2025 |
| Amazon EVSService RolePolicy — Richtlinie aktualisiert | Amazon EVS hat die Richtlinie aktualisiert, sodass der Service EVS-VLAN-Subnetze löschen und Amazon EVS-Nutzungsmetriken veröffentlichen kann. CloudWatch Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: Amazon EVSService RolePolicy](#security-iam-awsmanpol-amazonevsservicerolepolicy). | 14. Juli 2025 |
| Amazon EVSService RolePolicy — Neue Richtlinie hinzugefügt | Amazon EVS hat eine neue Richtlinie hinzugefügt, die es dem Service ermöglicht, eine Verbindung zu einem VPC-Subnetz im Kundenkonto herzustellen. Diese Verbindung ist für die Servicefunktionalität erforderlich. Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: Amazon EVSService RolePolicy](#security-iam-awsmanpol-amazonevsservicerolepolicy). | 09. Juni 2025 |
| Amazon EVS hat mit der Nachverfolgung von Änderungen begonnen | Amazon EVS hat damit begonnen, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen. | 09. Juni 2025 |
# Verwenden von serviceverknüpften Rollen für Amazon EVS
Amazon Elastic VMware Service verwendet [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-service-linked-role) Rollen für AWS Identity and Access Management (IAM). Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Amazon EVS verknüpft ist. Servicebezogene Rollen sind von Amazon EVS vordefiniert und beinhalten alle Berechtigungen, die der Service benötigt, um andere AWS Services in Ihrem Namen aufzurufen.
Eine serviceverknüpfte Rolle erleichtert die Einrichtung von Amazon EVS, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Amazon EVS definiert die Berechtigungen seiner serviceverknüpften Rollen, und sofern nicht anders definiert, kann nur Amazon EVS seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dadurch werden Ihre Amazon EVS-Ressourcen geschützt, da Sie die Zugriffsberechtigung für die Ressourcen nicht versehentlich entziehen können.
Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie nach den Services, für die **Ja** in der Spalte **Serviceverknüpfte Rolle** angegeben ist. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
## Servicebezogene Rollenberechtigungen für Amazon EVS
Amazon EVS verwendet die mit dem Service verknüpfte Rolle mit dem Namen. `AWSServiceRoleForAmazonEVS` Diese Rolle ermöglicht es Amazon EVS, Umgebungen in Ihrem Konto zu verwalten. Die beigefügte Richtlinie ermöglicht es der Rolle, die folgenden Ressourcen zu verwalten: elastische EVS-Netzwerkschnittstellen, EVS-VLAN-Subnetze, EVS-Hosts und Metriken. VPCs CloudWatch
Die serviceverknüpfte Rolle `AWSServiceRoleForAmazonEVS` vertraut darauf, dass die folgenden Services die Rolle annehmen:
+ `evs.amazonaws.com`
Die Rollenberechtigungsrichtlinie ermöglicht es Amazon EVS, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:
+ [AmazonEVSServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEVSServiceRolePolicy.html)
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Eine serviceverknüpfte Rolle für Amazon EVS erstellen
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie eine Umgebung in der AWS-Managementkonsole, der AWS CLI oder der AWS API erstellen, erstellt Amazon EVS die serviceverknüpfte Rolle für Sie.
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie eine Umgebung erstellen, erstellt Amazon EVS die serviceverknüpfte Rolle erneut für Sie.
## Bearbeiten einer serviceverknüpften Rolle für Amazon EVS
Amazon EVS erlaubt Ihnen nicht, die `AWSServiceRoleForAmazonEVS` serviceverknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer serviceverknüpften Rolle für Amazon EVS
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
### Bereinigen einer serviceverknüpften Rolle
Bevor mit IAM eine serviceverknüpfte Rolle löschen können, müssen Sie zunächst alle von der Rolle verwendeten Ressourcen löschen. Schritte zum Löschen einer Amazon EVS-Umgebung mit Hosts finden Sie unter[Löschen Sie die Amazon EVS-Hosts und die Umgebung](getting-started.md#getting-started-cleanup-env-hosts).
**Anmerkung**
Wenn der Amazon EVS-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
### Manuelles Löschen der -serviceverknüpften Rolle
Verwenden Sie die IAM-Konsole, die AWS CLI oder die AWS API, um die `AWSServiceRoleForAmazonEVS` serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Unterstützte Regionen für Amazon EVS-Rollen, die mit dem Service verknüpft sind
Amazon EVS unterstützt die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter [Amazon Elastic VMware Service Endpoints and Quotas](https://docs.aws.amazon.com/general/latest/gr/evs.html) im * AWS General Reference Guide.*