Ressourcen und Operationen Grundlegendes zum Eigentum an Ressourcen Verwalten des Zugriffs auf Ressourcen Festlegen der Richtlinienelemente: Aktionen, Effekte und Prinzipale Angeben von Bedingungen in einer Richtlinie

Für neue Projekte empfehlen wir, den neuen Managed Service für Apache Flink Studio anstelle von Kinesis Data Analytics for SQL Applications zu verwenden. Der Managed Service für Apache Flink Studio kombiniert Benutzerfreundlichkeit mit fortschrittlichen Analysefunktionen, sodass Sie in wenigen Minuten anspruchsvolle Anwendungen zur Stream-Verarbeitung erstellen können.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Übersicht über die Verwaltung von Zugriffsberechtigungen für Ihre -Ressourcen

Warnung

Für neue Projekte empfehlen wir, den neuen Managed Service für Apache Flink Studio statt für SQL Applications zu verwenden. Der Managed Service für Apache Flink Studio kombiniert Benutzerfreundlichkeit mit fortschrittlichen Analysefunktionen, sodass Sie in wenigen Minuten anspruchsvolle Anwendungen zur Stream-Verarbeitung erstellen können.

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

Benutzer und Gruppen in AWS IAM Identity Center:

Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center -Benutzerhandbuch.
Benutzer, IAM die über einen Identitätsanbieter verwaltet werden:

Erstellen Sie eine Rolle für den Identitätsverbund. Folgen Sie den Anweisungen unter Erstellen einer Rolle für einen externen Identitätsanbieter (Federation) im IAMBenutzerhandbuch.
IAMBenutzer:
- Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Folgen Sie den Anweisungen unter Eine Rolle für einen IAM Benutzer erstellen im IAMBenutzerhandbuch.
- (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Folgen Sie den Anweisungen unter Hinzufügen von Berechtigungen für einen Benutzer (Konsole) im IAMBenutzerhandbuch.

Anmerkung

Ein Kontoadministrator (oder Administratorbenutzer) ist ein Benutzer mit Administratorrechten. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter IAMBewährte Methoden.

Themen

Ressourcen und Operationen
Grundlegendes zum Eigentum an Ressourcen
Verwalten des Zugriffs auf Ressourcen
Festlegen der Richtlinienelemente: Aktionen, Effekte und Prinzipale
Angeben von Bedingungen in einer Richtlinie

Ressourcen und Operationen

Die primäre Ressource ist eine Anwendung. In einer Richtlinie verwenden Sie einen Amazon-Ressourcennamen (ARN), um die Ressource zu identifizieren, für die die Richtlinie gilt.

Diesen Ressourcen sind eindeutige Amazon-Ressourcennamen (ARNs) zugeordnet, wie in der folgenden Tabelle dargestellt.

Ressourcentyp	ARNFormat
Anwendung	`arn:aws:kinesisanalytics:region:account-id:application/application-name`

bietet eine Reihe von Operationen für die Arbeit mit Ressourcen. Eine Liste der verfügbaren Operationen finden Sie unter Aktionen.

Grundlegendes zum Eigentum an Ressourcen

Der AWS-Konto besitzt die Ressourcen, die im Konto erstellt wurden, unabhängig davon, wer die Ressourcen erstellt hat. Insbesondere ist der Ressourcenbesitzer derjenige AWS-Konto der Prinzipalentität (d. h. das Root-Konto, ein Benutzer oder eine IAM Rolle), die die Anfrage zur Ressourcenerstellung authentifiziert. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:

Wenn Sie Ihre Root-Kontoanmeldedaten verwenden, AWS-Konto um eine Anwendung zu erstellen, AWS-Konto sind Sie der Eigentümer der Ressource. (In stellt die Ressource eine Anwendung dar.)
Wenn Sie in Ihrem einen Benutzer erstellen AWS-Konto und diesem Benutzer die Berechtigung zum Erstellen einer Anwendung erteilen, kann der Benutzer eine Anwendung erstellen. Ihre AWS-Konto, zu der der Benutzer gehört, besitzt jedoch die Anwendungsressource. Es wird dringend empfohlen, Rollen und nicht Benutzern Berechtigungen zu erteilen.
Wenn Sie in Ihrem System eine IAM Rolle AWS-Konto mit den Berechtigungen zum Erstellen einer Anwendung erstellen, kann jeder, der die Rolle übernehmen kann, eine Anwendung erstellen. Ihre AWS-Konto, zu der der Benutzer gehört, besitzt die Anwendungsressource.

Verwalten des Zugriffs auf Ressourcen

Eine Berechtigungsrichtlinie beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werden die verfügbaren Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.

Anmerkung

In diesem Abschnitt wird die Verwendung IAM im Kontext von beschrieben. Es enthält keine detaillierten Informationen über den IAM Dienst. Eine vollständige IAM Dokumentation finden Sie unter Was istIAM? im IAMBenutzerhandbuch. Informationen zur IAM Richtliniensyntax und zu Beschreibungen finden Sie unter IAMJSONPolicy Reference im IAMBenutzerhandbuch.

Richtlinien, die mit einer IAM Identität verknüpft sind, werden als identitätsbasierte Richtlinien (IAMRichtlinien) bezeichnet. Richtlinien, die mit einer Ressource verknüpft sind, werden als ressourcenbasierte Richtlinien bezeichnet. Unterstützt nur identitätsbasierte Richtlinien (Richtlinien). IAM

Themen

Identitätsbasierte Richtlinien (Richtlinien) IAM
Ressourcenbasierte Richtlinien

Identitätsbasierte Richtlinien (Richtlinien) IAM

Sie können Richtlinien an Identitäten anhängen. IAM Sie können z. B. Folgendes tun:

Eine Berechtigungsrichtlinie einem Benutzer oder einer Gruppe in Ihrem Konto anfügen – Um einem Benutzer die Berechtigung zum Erstellen einer -Ressource wie z. B. einer Anwendung zu erteilen, können Sie einem Benutzer oder einer Gruppe, der der Benutzer angehört, eine Berechtigungsrichtlinie anfügen.
Einer Rolle eine Berechtigungsrichtlinie zuordnen (kontoübergreifende Berechtigungen gewähren) — Sie können einer IAM Rolle eine identitätsbasierte Berechtigungsrichtlinie zuordnen, um kontoübergreifende Berechtigungen zu gewähren. Der Administrator in Konto A kann beispielsweise wie folgt eine Rolle erstellen, um einem anderen AWS-Konto (z. B. Konto B) oder einem Amazon-Service kontoübergreifende Berechtigungen zu gewähren:
1. Der Administrator von Konto A erstellt eine IAM Rolle und fügt der Rolle, die Berechtigungen für Ressourcen in Konto A gewährt, eine Berechtigungsrichtlinie hinzu.
2. Der Administrator von Konto A weist der Rolle eine Vertrauensrichtlinie zu, die Konto B als den Prinzipal identifiziert, der die Rolle übernehmen kann.
3. Der Administrator von Konto B kann nun Berechtigungen zur Übernahme der Rolle an alle Benutzer in Konto B delegieren. Daraufhin können die Benutzer in Konto B auf Ressourcen in Konto A oder diese erstellen. Der Prinzipal in der Vertrauensrichtlinie kann auch ein Amazon-Service-Prinzipal sein. Somit können Sie auch einem Amazon-Service die Berechtigungen zur Übernahme der Rolle erteilen.
Weitere Informationen zur Verwendung IAM zum Delegieren von Berechtigungen finden Sie unter Zugriffsverwaltung im IAMBenutzerhandbuch.

Es folgt ein Beispiel für eine Richtlinie, die der kinesisanalytics:CreateApplication -Aktion die Berechtigung erteilt, die zum Erstellen einer Anwendung benötigt wird.

Anmerkung

Die Richtlinie in diesem Beispiel dient nur der Veranschaulichung. Wenn Sie die Richtlinie an den Benutzer anhängen, kann der Benutzer mithilfe des AWS CLI oder AWS SDK eine Anwendung erstellen. Aber der Benutzer benötigt weitere Berechtigungen, um Ein- und Ausgabe zu konfigurieren. Außerdem benötigt der Benutzer weitere Berechtigungen zum Arbeiten mit der Konsole. Weitere Informationen finden Sie in anderen Abschnitten weiter unten.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1473028104000",
            "Effect": "Allow",
            "Action": [
                "kinesisanalytics:CreateApplication"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Weitere Informationen zur Verwendung von identitätsbasierten Richtlinien mit kontenübergreifendem Zugang finden Sie unter Verwenden identitätsbasierter Richtlinien (Richtlinien) IAM für . Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sie im Benutzerhandbuch unter Identitäten (Benutzer, Gruppen und Rollen). IAM

Ressourcenbasierte Richtlinien

Andere Services, z. B. Amazon-S3, unterstützen auch ressourcenbasierte Berechtigungsrichtlinien. Beispielsweise können Sie einem S3-Bucket eine ressourcenbasierte Richtlinie zuweisen, um die Zugriffsberechtigungen für diesen Bucket zu verwalten. bietet keine Unterstützung für ressourcenbasierte Richtlinien.

Festlegen der Richtlinienelemente: Aktionen, Effekte und Prinzipale

Für jede Ressource definiert der Dienst eine Reihe von API Vorgängen. Definiert eine Reihe von API Aktionen, die Sie in einer Richtlinie angeben können, um Berechtigungen für diese Operationen zu gewähren. Bei einigen API Vorgängen können Berechtigungen für mehr als eine Aktion erforderlich sein, um den API Vorgang auszuführen. Weitere Informationen zu Ressourcen und API Vorgängen finden Sie unter Ressourcen und Operationen undAktionen.

Grundlegende Richtlinienelemente:

Ressource — Sie verwenden einen Amazon-Ressourcennamen (ARN), um die Ressource zu identifizieren, für die die Richtlinie gilt. Weitere Informationen finden Sie unter Ressourcen und Operationen.
Aktion – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten. Sie können beispielsweise create verwenden, um Benutzern zu erlauben, eine Anwendung zu erstellen.
Effekt – Die von Ihnen festgelegte Auswirkung (entweder Zugriffserlaubnis oder Zugriffsverweigerung), wenn ein Benutzer die jeweilige Aktion anfordert. Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten („Allow“), wird er automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.
Principal — In identitätsbasierten Richtlinien (IAMRichtlinien) ist der Benutzer, dem die Richtlinie zugeordnet ist, der implizite Prinzipal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer, das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll (gilt nur für ressourcenbasierte Richtlinien). bietet keine Unterstützung für ressourcenbasierte Richtlinien.

Weitere Informationen zur IAM Richtliniensyntax und zu deren Beschreibung finden Sie unter IAMJSONRichtlinienreferenz im IAM Benutzerhandbuch.

Eine tabellarische mit allen API Vorgängen und den Ressourcen, für die sie gelten, finden Sie unter APIBerechtigungen: Referenz zu Aktionen, Berechtigungen und Ressourcen.

Angeben von Bedingungen in einer Richtlinie

Beim Erteilen von Berechtigungen können Sie mithilfe der Sprache der Zugriffsrichtlinie die Bedingungen angeben, wann die Richtlinie wirksam werden soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zur Angabe von Bedingungen in einer Richtliniensprache finden Sie unter Bedingung im IAMBenutzerhandbuch.

Bedingungen werden mithilfe vordefinierter Bedingungsschlüssel formuliert. Für gibt es keine speziellen Bedingungsschlüssel. Es gibt jedoch Bedingungsschlüssel für AWS alle Bereiche, die Sie je nach Bedarf verwenden können. Eine vollständige Liste der AWS-weiten Schlüssel finden Sie im IAMBenutzerhandbuch unter Verfügbare Schlüssel für Bedingungen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Authentifizierung und Zugriffskontrolle

Verwenden von identitätsbasierten Richtlinien (IAM-Richtlinien)