Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS Health Beispiele für identitätsbasierte Richtlinien
Standardmäßig sind IAM Benutzer und Rollen nicht berechtigt, Ressourcen zu erstellen oder zu ändern AWS Health . Sie können auch keine Aufgaben mit dem AWS Management Console AWS CLI, oder ausführen AWS API. Ein IAM Administrator muss IAM Richtlinien erstellen, die Benutzern und Rollen die Berechtigung gewähren, bestimmte API Operationen mit den angegebenen Ressourcen auszuführen, die sie benötigen. Der Administrator muss diese Richtlinien dann den IAM Benutzern oder Gruppen zuordnen, für die diese Berechtigungen erforderlich sind.
Informationen zum Erstellen einer IAM identitätsbasierten Richtlinie anhand dieser JSON Beispieldokumente finden Sie unter Richtlinien auf der JSON Registerkarte erstellen im IAMBenutzerhandbuch.
Themen
Bewährte Methoden für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand AWS Health Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Befolgen Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Anleitungen und Empfehlungen:
-
Beginnen Sie mit AWS verwalteten Richtlinien und wechseln Sie zu Berechtigungen mit den geringsten Rechten — Verwenden Sie die AWS verwalteten Richtlinien, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um Ihren Benutzern und Workloads zunächst Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie AWS im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien oder Verwaltete Richtlinien für Jobfunktionen.
-
Berechtigungen mit den geringsten Rechten anwenden — Wenn Sie Berechtigungen mit IAM Richtlinien festlegen, gewähren Sie nur die Berechtigungen, die für die Ausführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als die geringsten Berechtigungen. Weitere Informationen zur Verwendung IAM zum Anwenden von Berechtigungen finden Sie IAMim Benutzerhandbuch unter Richtlinien und Berechtigungen. IAM
-
Verwenden Sie Bedingungen in IAM Richtlinien, um den Zugriff weiter einzuschränken — Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen einzuschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um anzugeben, dass alle Anfragen mit gesendet werden müssenSSL. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese über einen bestimmten Zweck verwendet werden AWS-Service, z. AWS CloudFormation B. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter IAMJSONRichtlinienelemente: Bedingung.
-
Verwenden Sie IAM Access Analyzer, um Ihre IAM Richtlinien zu validieren, um sichere und funktionale Berechtigungen zu gewährleisten. IAM Access Analyzer validiert neue und bestehende Richtlinien, sodass die Richtlinien der IAM Richtliniensprache (JSON) und den IAM bewährten Methoden entsprechen. IAMAccess Analyzer bietet mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen, um Sie bei der Erstellung sicherer und funktionaler Richtlinien zu unterstützen. Weitere Informationen finden Sie unter IAMAccess Analyzer-Richtlinienvalidierung im IAMBenutzerhandbuch.
-
Multi-Faktor-Authentifizierung erforderlich (MFA) — Wenn Sie ein Szenario haben, in dem IAM Benutzer oder ein Root-Benutzer erforderlich sind AWS-Konto, aktivieren Sie die Option MFA für zusätzliche Sicherheit. Um festzulegen, MFA wann API Operationen aufgerufen werden, fügen Sie MFA Bedingungen zu Ihren Richtlinien hinzu. Weitere Informationen finden Sie unter Konfiguration des MFA -geschützten API Zugriffs im IAMBenutzerhandbuch.
Weitere Informationen zu bewährten Methoden finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch. IAM
Verwenden der AWS Health -Konsole
Um auf die AWS Health Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Informationen zu den AWS Health Ressourcen in Ihrem AWS Konto aufzulisten und einzusehen. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die restriktiver ist als die erforderlichen Mindestberechtigungen, funktioniert die Konsole für Entitäten (IAMBenutzer oder Rollen) mit dieser Richtlinie nicht wie vorgesehen.
Um sicherzustellen, dass diese Entitäten die AWS Health Konsole weiterhin verwenden können, können Sie die folgende AWS verwaltete Richtlinie anhängen: AWSHealthFullAccess
Die AWSHealthFullAccess Richtlinie gewährt einer Entität vollen Zugriff auf Folgendes:
-
Aktiviert oder deaktiviert die Funktion zur Ansicht der AWS Health Organisation für alle Konten in einer AWS Organisation
-
Das AWS Health Dashboard in der AWS Health Konsole
-
AWS Health APIOperationen und Benachrichtigungen
-
Informationen zu Konten anzeigen, die Teil Ihrer AWS Organisation sind
-
Zeigen Sie die Organisationseinheiten (OU) des Verwaltungskontos an
Beispiel : AWSHealthFullAccess
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "health:*", "organizations:DescribeAccount", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListParents" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "health.amazonaws.com" } } } ] }
Anmerkung
Sie können auch die Health_OrganizationsServiceRolePolicy AWS
verwaltete Richtlinie verwenden, AWS Health um Ereignisse für andere Konten in Ihrer Organisation anzuzeigen. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für AWS Health.
Sie müssen Benutzern, die nur Anrufe an AWS CLI oder den tätigen, keine Mindestberechtigungen für die Konsole gewähren AWS API. Erlauben Sie stattdessen nur den Zugriff auf die Aktionen, die dem API Vorgang entsprechen, den Sie ausführen möchten.
Weitere Informationen finden Sie im Benutzerhandbuch unter Hinzufügen von Berechtigungen für einen IAM Benutzer.
Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
Dieses Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die es IAM Benutzern ermöglicht, die internen und verwalteten Richtlinien einzusehen, die mit ihrer Benutzeridentität verknüpft sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe von oder. AWS CLI AWS API
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Zugreifen auf die und die AWS Health DashboardAWS Health API
Das AWS Health Dashboard ist für alle AWS Konten verfügbar. Das AWS Health API ist nur für Konten mit einem Business-, Enterprise On-Ramp- oder Enterprise Support-Plan verfügbar. Weitere Informationen finden Sie unter AWS Support
Sie können IAM damit Entitäten (Benutzer, Gruppen oder Rollen) erstellen und diesen Entitäten dann Zugriffsberechtigungen für die AWS Health Dashboard und die AWS Health API erteilen.
Standardmäßig haben IAM Benutzer keinen Zugriff auf die AWS Health Dashboard oder die AWS Health API. Sie gewähren Benutzern Zugriff auf die AWS Health Informationen Ihres Kontos, indem Sie IAM Richtlinien einem einzelnen Benutzer, einer Benutzergruppe oder einer Rolle zuordnen. Weitere Informationen finden Sie unter Identitäten (Benutzer, Gruppen und Rollen) und Überblick IAM über Richtlinien.
Nachdem Sie IAM Benutzer erstellt haben, können Sie diesen Benutzern individuelle Passwörter geben. Anschließend können sie sich über eine kontospezifische Anmeldeseite bei Ihrem Konto anmelden und AWS Health Informationen einsehen. Weitere Informationen finden Sie unter Wie sich Benutzer bei Ihrem Konto anmelden.
Anmerkung
Ein IAM Benutzer mit Anzeigeberechtigungen AWS Health Dashboard hat nur Lesezugriff auf Gesundheitsinformationen für alle AWS Dienste auf dem Konto. Dies kann AWS Ressourcen IDs wie EC2 Amazon-Instances, Instance-IP-Adressen und allgemeine Sicherheitsbenachrichtigungen beinhaltenIDs, EC2 ist aber nicht darauf beschränkt.
Wenn eine IAM Richtlinie beispielsweise nur Zugriff auf AWS Health Dashboard und die gewährt, kann der Benutzer oder die Rolle AWS Health API, für die die Richtlinie gilt, auf alle Informationen zugreifen, die über AWS Dienste und zugehörige Ressourcen gepostet wurden, auch wenn andere IAM Richtlinien diesen Zugriff nicht zulassen.
Sie können zwei Gruppen von APIs für verwenden AWS Health.
-
Individuelle Konten — Sie können die Funktionen DescribeEventsund verwenden DescribeEventDetails, um Informationen über AWS Health Ereignisse für Ihr Konto abzurufen.
-
Organisationskonto — Sie können Vorgänge wie DescribeEventsForOrganizationund verwenden DescribeEventDetailsForOrganization, um Informationen über AWS Health Ereignisse für Konten abzurufen, die Teil Ihrer Organisation sind.
Weitere Informationen zu den verfügbaren API Vorgängen finden Sie in der AWS Health APIReferenz.
Individuelle Aktionen
Sie können das Action Element einer IAM Richtlinie auf festlegenhealth:Describe*. Dies ermöglicht den Zugriff auf AWS Health Dashboard und AWS Health. AWS Health unterstützt die Zugriffskontrolle für Ereignisse auf der Grundlage des eventTypeCode AND-Dienstes.
Zugriffsbeschreibung
Diese Grundsatzerklärung gewährt Zugriff auf AWS Health Dashboard und alle Operationen. Describe* AWS Health API Beispielsweise kann ein IAM Benutzer mit dieser Richtlinie auf den AWS Health Dashboard in der zugreifen AWS Management Console und den AWS Health
DescribeEvents API Vorgang aufrufen.
Beispiel : Zugriffsbeschreibung
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "health:Describe*" ], "Resource": "*" }] }
Zugriffsverweigerung
Diese Grundsatzerklärung verweigert den Zugriff auf AWS Health Dashboard und die AWS Health API. Ein IAM Benutzer mit dieser Richtlinie kann die AWS Health Dashboard in der nicht einsehen AWS Management Console und keine der AWS Health API Operationen aufrufen.
Beispiel : Zugriffsverweigerung
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "health:*" ], "Resource": "*" }] }
Organisationsansicht
Wenn Sie die organisatorische Ansicht für aktivieren möchten AWS Health, müssen Sie den Zugriff auf die AWS Organizations Aktionen AWS Health und zulassen.
Das Action Element einer IAM Richtlinie muss die folgenden Berechtigungen enthalten:
-
iam:CreateServiceLinkedRole -
organizations:EnableAWSServiceAccess -
organizations:DescribeAccount -
organizations:DisableAWSServiceAccess -
organizations:ListAccounts -
organizations:ListDelegatedAdministrators -
organizations:ListParents
Informationen zu den jeweils APIs erforderlichen Berechtigungen finden Sie unter Aktionen definiert von AWS Health APIs und Benachrichtigungen im IAMBenutzerhandbuch.
Anmerkung
Sie müssen die Anmeldeinformationen des Verwaltungskontos einer Organisation verwenden, um auf das AWS Health APIs für zugreifen zu können AWS Organizations. Weitere Informationen finden Sie unter AWS Health Ereignisse kontenübergreifend aggregieren.
Erlaube den Zugriff auf die AWS Health Organisationsansicht
Diese Richtlinienerklärung gewährt Zugriff auf alle AWS Health AWS Organizations Aktionen, die Sie für die Funktion „Organisationsansicht“ benötigen.
Beispiel : Erlaubt den Zugriff auf die AWS Health Organisationsansicht
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "health:*", "organizations:DescribeAccount", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListParents" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*" } ] }
Zugriff auf die AWS Health Organisationsansicht verweigern
Diese Grundsatzerklärung verweigert den Zugriff auf die AWS Organizations Aktionen, gewährt jedoch den Zugriff auf die AWS Health Aktionen für ein einzelnes Konto.
Beispiel : Verweigern Sie den Zugriff auf die AWS Health Organisationsansicht
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "health:*" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } } }, { "Effect": "Deny", "Action": [ "organizations:DescribeAccount", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListParents" ], "Resource": "*" }, { "Effect": "Deny", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*" } ] }
Anmerkung
Wenn der Benutzer oder die Gruppe, dem/der Sie Berechtigungen erteilen möchten, bereits über eine IAM Richtlinie verfügt, können Sie die AWS Health-spezifische Richtlinienanweisung zu dieser Richtlinie hinzufügen.
Ressourcen- und aktionsbasierte Bedingungen
AWS Health unterstützt IAMBedingungen für die DescribeEventDetailsAPIOperationen DescribeAffectedEntitiesund. Sie können ressourcen- und aktionsbasierte Bedingungen verwenden, um Ereignisse einzuschränken, die AWS Health API an einen Benutzer, eine Gruppe oder eine Rolle gesendet werden.
Aktualisieren Sie dazu den Condition Block der IAM Richtlinie oder legen Sie das Resource Element fest. Sie können String-Bedingungen verwenden, um den Zugriff auf der Grundlage bestimmter AWS Health Ereignisfelder einzuschränken.
Sie können die folgenden Felder verwenden, wenn Sie ein AWS Health Ereignis in Ihrer Richtlinie angeben:
-
eventTypeCode -
service
Hinweise
-
Die DescribeEventDetailsAPIOperationen DescribeAffectedEntitiesund unterstützen Berechtigungen auf Ressourcenebene. Sie können beispielsweise eine Richtlinie erstellen, um bestimmte AWS Health Ereignisse zuzulassen oder abzulehnen.
-
Die DescribeEventDetailsForOrganizationAPIOperationen DescribeAffectedEntitiesForOrganizationund unterstützen keine Berechtigungen auf Ressourcenebene.
-
Weitere Informationen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Health APIs und Benachrichtigungen in der Serviceautorisierungsreferenz.
Beispiel : Aktionsbasierte Bedingung
Diese Grundsatzerklärung gewährt Zugriff auf AWS Health Dashboard und den AWS Health
Describe* API Betrieb, verweigert jedoch den Zugriff auf AWS Health Ereignisse, die Amazon EC2 betreffen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "health:Describe*", "Resource": "*" }, { "Effect": "Deny", "Action": [ "health:DescribeAffectedEntities", "health:DescribeEventDetails" ], "Resource": "*", "Condition": { "StringEquals": { "health:service": "EC2" } } } ] }
Beispiel : Ressourcenbasierte Bedingung
Die folgende Richtlinie hat den gleichen Effekt, verwendet aber stattdessen das Element Resource.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "health:Describe*" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "health:DescribeEventDetails", "health:DescribeAffectedEntities" ], "Resource": "arn:aws:health:*::event/EC2/*/*" }] }
Beispiel : Zustand eventTypeCode
Diese Grundsatzerklärung gewährt Zugang zu AWS Health Dashboard und zu den AWS Health
Describe* API Vorgängen, verweigert jedoch den Zugriff auf alle AWS Health EreignisseeventTypeCode, die den Bedingungen entsprechenAWS_EC2_*.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "health:Describe*", "Resource": "*" }, { "Effect": "Deny", "Action": [ "health:DescribeAffectedEntities", "health:DescribeEventDetails" ], "Resource": "*", "Condition": { "StringLike": { "health:eventTypeCode": "AWS_EC2_*" } } } ] }
Wichtig
Wenn Sie die DescribeEventDetailsOperationen DescribeAffectedEntitiesund aufrufen und nicht berechtigt sind, auf das AWS Health Ereignis zuzugreifen, wird der AccessDeniedException Fehler angezeigt. Weitere Informationen finden Sie unter Problembehandlung bei AWS Health Identität und Zugriff.
