Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS Health Beispiele für identitätsbasierte Richtlinien
IAM-Benutzer besitzen keine Berechtigungen zum Erstellen oder Ändern von AWS Health -Ressourcen. Sie können auch keine Aufgaben mit der AWS Management Console AWS CLI, oder AWS API ausführen. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern und Rollen die Berechtigung zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcen gewähren, die diese benötigen. Der Administrator muss diese Richtlinien anschließend den IAM-Benutzern oder -Gruppen anfügen, die diese Berechtigungen benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter Erstellen von Richtlinien auf der JSON-Registerkarte im IAM-Benutzerhandbuch.
Themen
Bewährte Methoden für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand AWS Health Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Befolgen Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Anleitungen und Empfehlungen:
-
Beginnen Sie mit AWS verwalteten Richtlinien und wechseln Sie zu Berechtigungen mit den geringsten Rechten — Verwenden Sie die AWS verwalteten Richtlinien, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um Ihren Benutzern und Workloads zunächst Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter AWS -verwaltete Richtlinien oder AWS -verwaltete Richtlinien für Auftrags-Funktionen im IAM-Benutzerhandbuch.
-
Anwendung von Berechtigungen mit den geringsten Rechten – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als die geringsten Berechtigungen. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter Richtlinien und Berechtigungen in IAM im IAM-Benutzerhandbuch.
-
Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. AWS CloudFormation B. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Bedingung im IAM-Benutzerhandbuch.
-
Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter Richtlinienvalidierung mit IAM Access Analyzer im IAM-Benutzerhandbuch.
-
Multi-Faktor-Authentifizierung (MFA) erforderlich — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter Sicherer API-Zugriff mit MFA im IAM-Benutzerhandbuch.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.
Verwenden der AWS Health -Konsole
Um auf die AWS Health Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Informationen zu den AWS Health Ressourcen in Ihrem AWS Konto aufzulisten und einzusehen. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (IAM-Benutzer oder -Rollen) mit dieser Richtlinie.
Um sicherzustellen, dass diese Entitäten die AWS Health Konsole weiterhin verwenden können, können Sie die folgende AWS verwaltete Richtlinie anhängen: AWSHealthFullAccess
Die AWSHealthFullAccess Richtlinie gewährt einer Entität vollen Zugriff auf Folgendes:
-
Aktiviert oder deaktiviert die Funktion zur Ansicht der AWS Health Organisation für alle Konten in einer AWS Organisation
-
Das AWS Health Dashboard in der AWS Health Konsole
-
AWS Health API-Operationen und Benachrichtigungen
-
Informationen zu Konten anzeigen, die Teil Ihrer AWS Organisation sind
-
Zeigen Sie die Organisationseinheiten (OU) des Verwaltungskontos an
Beispiel : AWSHealthFullAccess
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "health:*", "organizations:DescribeAccount", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListParents" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "health.amazonaws.com" } } } ] }
Anmerkung
Sie können auch die Health_OrganizationsServiceRolePolicy AWS
verwaltete Richtlinie verwenden, AWS Health um Ereignisse für andere Konten in Ihrer Organisation anzuzeigen. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für AWS Health.
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die Sie ausführen möchten.
Weitere Informationen finden Sie unter Hinzufügen von Berechtigungen zu einem Benutzer im IAM-Benutzerhandbuch.
Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API AWS CLI oder AWS .
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Zugriff auf die AWS Health Dashboard und die API AWS Health
Das AWS Health Dashboard ist für alle AWS Konten verfügbar. Die AWS Health API ist nur für Konten mit einem Business-, Enterprise On-Ramp- oder Enterprise Support-Plan verfügbar. Weitere Informationen finden Sie unter Support
Sie können IAM verwenden, um Entitäten (Benutzer, Gruppen oder Rollen) zu erstellen und diesen Entitäten dann Zugriffsberechtigungen für die API AWS Health Dashboard und die AWS Health API zu erteilen.
Standardmäßig haben IAM-Benutzer keinen Zugriff auf die AWS Health Dashboard oder die AWS Health API. Sie gewähren Benutzern Zugriff auf die AWS Health Informationen Ihres Kontos, indem Sie IAM-Richtlinien einem einzelnen Benutzer, einer Benutzergruppe oder einer Rolle zuordnen. Weitere Informationen finden Sie unter Identitäten (Benutzer, Gruppen und Rollen) und Übersicht über IAM-Richtlinien.
Nachdem Sie die IAM-Benutzer erstellt haben, können Sie diesen individuelle Passwörter zuordnen. Anschließend können sie sich über eine kontospezifische Anmeldeseite bei Ihrem Konto anmelden und AWS Health Informationen einsehen. Weitere Informationen finden Sie unter Wie sich Benutzer bei Ihrem Konto anmelden.
Anmerkung
Ein IAM-Benutzer mit Anzeigeberechtigungen AWS Health Dashboard hat nur Lesezugriff auf Gesundheitsinformationen für alle AWS Dienste auf dem Konto. Dies kann AWS Ressourcen IDs wie EC2 Amazon-Instances, Instance-IP-Adressen und allgemeine Sicherheitsbenachrichtigungen beinhalten IDs, EC2 ist aber nicht darauf beschränkt.
Wenn eine IAM-Richtlinie beispielsweise nur Zugriff auf AWS Health Dashboard und die AWS Health API gewährt, kann der Benutzer oder die Rolle, für die die Richtlinie gilt, auf alle Informationen zugreifen, die über AWS Dienste und zugehörige Ressourcen gepostet wurden, auch wenn andere IAM-Richtlinien diesen Zugriff nicht zulassen.
Sie können zwei Gruppen von APIs für verwenden. AWS Health
-
Individuelle Konten — Sie können die Funktionen DescribeEventsund verwenden DescribeEventDetails, um Informationen über AWS Health Ereignisse für Ihr Konto abzurufen.
-
Organisationskonto — Sie können Vorgänge wie DescribeEventsForOrganizationund verwenden DescribeEventDetailsForOrganization, um Informationen über AWS Health Ereignisse für Konten abzurufen, die Teil Ihrer Organisation sind.
Weitere Informationen zu den verfügbaren API-Vorgängen finden Sie in der AWS Health API-Referenz.
Individuelle Aktionen
Sie können das Action Element einer IAM-Richtlinie auf health:Describe* festlegen. Dies ermöglicht den Zugriff auf AWS Health Dashboard und AWS Health. AWS Health unterstützt die Zugriffskontrolle für Ereignisse auf der Grundlage des eventTypeCode AND-Dienstes.
Zugriffsbeschreibung
Diese Grundsatzerklärung gewährt Zugriff auf AWS Health Dashboard und alle Describe* AWS Health API-Operationen. Beispielsweise kann ein IAM-Benutzer mit dieser Richtlinie auf den Vorgang AWS Health Dashboard in der zugreifen AWS Management Console und den AWS Health
DescribeEvents API-Vorgang aufrufen.
Beispiel : Zugriffsbeschreibung
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "health:Describe*" ], "Resource": "*" }] }
Zugriffsverweigerung
Diese Richtlinienerklärung verweigert den Zugriff auf AWS Health Dashboard und die AWS Health API. Ein IAM-Benutzer mit dieser Richtlinie kann die AWS Health Dashboard API-Operationen nicht einsehen AWS Management Console und keine der AWS Health API-Operationen aufrufen.
Beispiel : Zugriffsverweigerung
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "health:*" ], "Resource": "*" }] }
Organisationsansicht
Wenn Sie die organisatorische Ansicht für aktivieren möchten AWS Health, müssen Sie den Zugriff auf die AWS Organizations Aktionen AWS Health und zulassen.
Das Action Element einer IAM-Richtlinie muss die folgenden Berechtigungen enthalten:
-
iam:CreateServiceLinkedRole -
organizations:EnableAWSServiceAccess -
organizations:DescribeAccount -
organizations:DisableAWSServiceAccess -
organizations:ListAccounts -
organizations:ListDelegatedAdministrators -
organizations:ListParents
Informationen zu den jeweils APIs erforderlichen Berechtigungen finden Sie unter Definierte Aktionen AWS Health APIs und Benachrichtigungen im IAM-Benutzerhandbuch.
Anmerkung
Sie müssen die Anmeldeinformationen des Verwaltungskontos einer Organisation verwenden, um auf das AWS Health APIs für AWS Organizations zugreifen zu können. Weitere Informationen finden Sie unter AWS Health Ereignisse kontenübergreifend aggregieren.
Erlaube den Zugriff auf die AWS Health Organisationsansicht
Diese Richtlinienerklärung gewährt Zugriff auf alle AWS Health AWS Organizations Aktionen, die Sie für die Funktion „Organisationsansicht“ benötigen.
Beispiel : Erlaubt den Zugriff auf die AWS Health Organisationsansicht
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "health:*", "organizations:DescribeAccount", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListParents" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*" } ] }
Zugriff auf die AWS Health Organisationsansicht verweigern
In dieser Grundsatzerklärung wird der Zugriff auf die AWS Organizations Aktionen verweigert, der Zugriff auf die AWS Health Aktionen jedoch für ein einzelnes Konto gewährt.
Beispiel : Verweigern Sie den Zugriff auf die AWS Health Organisationsansicht
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "health:*" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } } }, { "Effect": "Deny", "Action": [ "organizations:DescribeAccount", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListParents" ], "Resource": "*" }, { "Effect": "Deny", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*" } ] }
Anmerkung
Wenn der Benutzer oder die Gruppe, dem/der Sie Berechtigungen erteilen möchten, bereits über eine IAM-Richtlinie verfügt, können Sie die AWS Health-spezifische Richtlinienanweisung zu dieser Richtlinie hinzufügen.
Ressourcen- und aktionsbasierte Bedingungen
AWS Health unterstützt IAM-Bedingungen für die DescribeAffectedEntitiesund DescribeEventDetailsAPI-Operationen. Sie können ressourcen- und aktionsbasierte Bedingungen verwenden, um Ereignisse einzuschränken, die die AWS Health API an einen Benutzer, eine Gruppe oder eine Rolle sendet.
Aktualisieren Sie dazu den Condition Block der IAM-Richtlinie oder legen Sie das Resource Element fest. Sie können String-Bedingungen verwenden, um den Zugriff auf der Grundlage bestimmter AWS Health Ereignisfelder einzuschränken.
Sie können die folgenden Felder verwenden, wenn Sie ein AWS Health Ereignis in Ihrer Richtlinie angeben:
-
eventTypeCode -
service
Hinweise
-
Die Operationen DescribeAffectedEntitiesund die DescribeEventDetailsAPI unterstützen Berechtigungen auf Ressourcenebene. Sie können beispielsweise eine Richtlinie erstellen, um bestimmte AWS Health Ereignisse zuzulassen oder abzulehnen.
-
Die DescribeEventDetailsForOrganizationAPI-Operationen DescribeAffectedEntitiesForOrganizationund unterstützen keine Berechtigungen auf Ressourcenebene.
-
Weitere Informationen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Health APIs und Benachrichtigungen in der Serviceautorisierungsreferenz.
Beispiel : Aktionsbasierte Bedingung
Diese Grundsatzerklärung gewährt Zugriff auf AWS Health Dashboard und die AWS Health
Describe* API-Operationen, verweigert jedoch den Zugriff auf AWS Health Ereignisse, die Amazon EC2 betreffen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "health:Describe*", "Resource": "*" }, { "Effect": "Deny", "Action": [ "health:DescribeAffectedEntities", "health:DescribeEventDetails" ], "Resource": "*", "Condition": { "StringEquals": { "health:service": "EC2" } } } ] }
Beispiel : Ressourcenbasierte Bedingung
Die folgende Richtlinie hat den gleichen Effekt, verwendet aber stattdessen das Element Resource.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "health:Describe*" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "health:DescribeEventDetails", "health:DescribeAffectedEntities" ], "Resource": "arn:aws:health:*::event/EC2/*/*" }] }
Beispiel : Zustand eventTypeCode
Diese Grundsatzerklärung gewährt Zugriff auf AWS Health Dashboard und die AWS Health
Describe* API-Operationen, verweigert jedoch den Zugriff auf alle AWS Health Ereignisse, eventTypeCode die den entsprechenden Bedingungen entsprechenAWS_EC2_*.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "health:Describe*", "Resource": "*" }, { "Effect": "Deny", "Action": [ "health:DescribeAffectedEntities", "health:DescribeEventDetails" ], "Resource": "*", "Condition": { "StringLike": { "health:eventTypeCode": "AWS_EC2_*" } } } ] }
Wichtig
Wenn Sie die DescribeEventDetailsOperationen DescribeAffectedEntitiesund aufrufen und nicht berechtigt sind, auf das AWS Health Ereignis zuzugreifen, wird der AccessDeniedException Fehler angezeigt. Weitere Informationen finden Sie unter Problembehebung bei AWS Health Identität und Zugriff.
