Display a map

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Authentifizieren Sie sich mit Amazon Location Service Um Amazon Location Service nutzen zu können, muss einem Benutzer Zugriff auf die Ressourcen gewährt werden APIs , aus denen Amazon Location besteht. Es gibt drei Strategien, mit denen Sie Zugriff auf Ihre Ressourcen gewähren können. + **API-Schlüssel verwenden** — Um nicht authentifizierten Benutzern Zugriff zu gewähren, können Sie API-Schlüssel erstellen, die nur Lesezugriff auf Ihre Ressourcen und Aktionen von Amazon Location Service gewähren. Dies ist nützlich, wenn Sie nicht jeden Benutzer authentifizieren möchten. Zum Beispiel eine Webanwendung. Weitere Hinweise zu API-Schlüsseln finden Sie unter[Verwenden Sie API-Schlüssel zur Authentifizierung](using-apikeys.md). + **Amazon Cognito verwenden** — Eine Alternative zu API-Schlüsseln besteht darin, Amazon Cognito zu verwenden, um anonymen Zugriff zu gewähren. Amazon Cognito ermöglicht es Ihnen, eine umfassendere Autorisierung mit Richtlinien zu erstellen, um zu definieren, was von den nicht authentifizierten Benutzern ausgeführt werden kann. Weitere Informationen zur Verwendung von Amazon Cognito finden Sie unter[Verwenden Sie Amazon Cognito zur Authentifizierung](authenticating-using-cognito.md). + **Verwenden AWS Identity and Access Management (IAM)** — Um Benutzern, die mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) authentifiziert sind, Zugriff zu gewähren, erstellen Sie eine IAM-Richtlinie, die den Zugriff auf die gewünschten Ressourcen ermöglicht. Weitere Informationen zu IAM und Amazon Location finden Sie unter[AWS Identity and Access Management Zur Authentifizierung verwenden](security-iam.md). # Wählen Sie eine Authentifizierungsmethode API-Schlüssel und Amazon Cognito werden auf ähnliche Weise für ähnliche Szenarien verwendet. Warum sollten Sie also einen anstelle des anderen wählen? In der folgenden Liste werden einige der Unterschiede zwischen den beiden hervorgehoben. + **Leistung:** + **API-Schlüssel:** Relativ schneller + **Amazon Cognito:** Relativ langsamer + **Verfügbarkeit:** + **API-Schlüssel:** Amazon Location APIs für Karten, Orte und Routen + **Amazon Cognito: Alles** APIs + **Kombiniert mit einer anderen Authentifizierungsmethode?** + **API-Schlüssel:** Nein + **Amazon Cognito: Ja** **Vergleich** + API-Schlüssel sind nur für Aktionen mit Karten, Orten und Routen verfügbar. Amazon Cognito kann verwendet werden, um den Zugriff auf die meisten Amazon Location Service zu authentifizieren. APIs + Die Leistung von Kartenanfragen mit API-Schlüsseln ist in der Regel schneller als bei ähnlichen Szenarien mit Amazon Cognito. Eine einfachere Authentifizierung bedeutet weniger Roundtrips zum Service und weniger zwischengespeicherte Anfragen, wenn dieselbe Kartenkachel in kurzer Zeit erneut abgerufen wird. + Mit Amazon Cognito können Sie Ihren eigenen Authentifizierungsprozess verwenden oder mithilfe von Amazon Cognito Federated Identities mehrere Authentifizierungsmethoden kombinieren. Weitere Informationen finden Sie unter [Getting Started with Federated Identities](https://docs.aws.amazon.com/cognito/latest/developerguide/getting-started-with-identity-pools.html) im Amazon Cognito Developer Guide. # Verwenden Sie API-Schlüssel zur Authentifizierung **Anmerkung** **API-Schlüssel können nur mit Karten-, **Orts** - und **Routenressourcen** verwendet werden, und Sie können diese Ressourcen nicht ändern oder erstellen.** Wenn Ihre Anwendung Zugriff auf andere Ressourcen oder Aktionen für nicht authentifizierte Benutzer benötigt, können Sie Amazon Cognito verwenden, um den Zugriff zusammen mit oder anstelle von API-Schlüsseln bereitzustellen. Weitere Informationen finden Sie unter [Verwenden Sie Amazon Cognito zur Authentifizierung](authenticating-using-cognito.md). *API-Schlüssel* sind Schlüsselwerte, die bestimmten Amazon Location Service Service-Ressourcen oder APIs in Ihren Ressourcen zugeordnet sind AWS-Konto, sowie bestimmten Aktionen, die Sie mit diesen Ressourcen ausführen können. Sie können einen API-Schlüssel in Ihrer Anwendung verwenden, um nicht authentifizierte Aufrufe an den Amazon-Standort APIs für diese Ressourcen zu tätigen. Wenn Sie beispielsweise einer Ressource, and/or der API, einen `GetPlace*` API-Schlüssel zuordnen, kann eine Anwendung, die diesen API-Schlüssel verwendet, bestimmte aufrufen. APIs Derselbe API-Schlüssel würde keine Berechtigungen zum Ändern oder Aktualisieren von Ressourcen oder Aufrufen gewähren, mit APIs denen er nicht verknüpft ist. Wenn Sie Amazon Location Service APIs in Ihren Anwendungen aufrufen, tätigen Sie diesen Aufruf in der Regel als *authentifizierter Benutzer*, der berechtigt ist, die API-Aufrufe zu tätigen. Es gibt jedoch einige Fälle, in denen Sie nicht jeden Benutzer Ihrer Anwendung authentifizieren möchten. Beispielsweise möchten Sie möglicherweise, dass eine Webanwendung, die Ihren Unternehmensstandort anzeigt, für alle Benutzer der Website verfügbar ist, unabhängig davon, ob sie angemeldet sind oder nicht. In diesem Fall besteht eine Alternative darin, API-Schlüssel für die API-Aufrufe zu verwenden. [Die wichtigsten bewährten Methoden für die API](#api-keys-best-practices)Weitere Informationen darüber, wann API-Schlüssel verwendet werden sollten, finden Sie unter. Weitere Informationen zur Arbeit mit Schlüsseln mithilfe der Amazon Location Service API finden Sie in den folgenden Themen in der *Amazon Location Service API-Referenz*: + [CreateKey](https://docs.aws.amazon.com/location/latest/APIReference/API_geotags_CreateKey.html) + [DeleteKey](https://docs.aws.amazon.com/location/latest/APIReference/API_geotags_DeleteKey.html) + [DescribeKey](https://docs.aws.amazon.com/location/latest/APIReference/API_geotags_DescribeKey.html) + [ListKeys](https://docs.aws.amazon.com/location/latest/APIReference/API_geotags_ListKeys.html) ## Erstellen Sie einen API-Schlüssel für Amazon Location Service Sie können einen API-Schlüssel über die Amazon Location Service Service-Konsole oder die Amazon Location API erstellen. AWS CLI Fahren Sie mit den unten angegebenen Verfahren fort. ------ #### [ Amazon Location console ] **Um einen API-Schlüssel mit der Amazon Location Service Service-Konsole zu erstellen** 1. Wählen Sie in der [https://console.aws.amazon.com/location](https://console.aws.amazon.com/location) im linken Menü **API-Schlüssel** aus. 1. Wählen Sie auf der Seite mit den **API-Schlüsseln** die Option **API-Schlüssel erstellen** aus. 1. Geben Sie auf der Seite **API-Schlüssel erstellen** die folgenden Informationen ein: + **Name** — Ein Name für Ihren API-Schlüssel, z. `ExampleKey` B. + **Beschreibung** — Eine optionale Beschreibung für Ihren API-Schlüssel. + **Ressourcen** — Wählen Sie in der Dropdownliste die Amazon-Standortressourcen aus, auf die Sie mit diesem API-Schlüssel zugreifen möchten. Sie können mehr als eine Ressource hinzufügen, indem **Sie Ressource hinzufügen** wählen. + **Aktionen** — Geben Sie die Aktionen an, die Sie mit diesem API-Schlüssel autorisieren möchten. Sie müssen mindestens eine Aktion auswählen, die zu jedem ausgewählten Ressourcentyp passt. Wenn Sie beispielsweise eine Ortsressource ausgewählt haben, müssen Sie mindestens eine der Optionen unter **Places-Aktionen** auswählen. + **Ablaufzeit** — Fügen Sie optional ein Ablaufdatum und eine Ablaufzeit für Ihren API-Schlüssel hinzu. Weitere Informationen finden Sie unter [Die wichtigsten bewährten Methoden für die API](#api-keys-best-practices). + **Client-Einschränkungen** — Fügen Sie optional eine oder mehrere Webdomänen oder eine oder mehrere Android- oder Apple-Apps hinzu, in denen Sie den API-Schlüssel verwenden können. Wenn der API-Schlüssel beispielsweise die Ausführung einer Anwendung auf der Website ermöglichen soll`example.com`, können Sie ihn `*.example.com/` als zulässigen Referrer angeben. + **Tags** — Fügen Sie optional Tags zum API-Schlüssel hinzu. 1. Wählen Sie **API-Schlüssel erstellen**, um den API-Schlüssel zu erstellen. 1. Auf der Detailseite für den API-Schlüssel finden Sie Informationen zu dem API-Schlüssel, den Sie erstellt haben. Wählen Sie **API-Schlüssel anzeigen**, um den Schlüsselwert zu sehen, den Sie beim Aufrufen von Amazon Location verwenden APIs. Der Schlüsselwert wird das Format haben`v1.public.a1b2c3d4...`. ------ #### [ AWS CLI ] 1. Verwenden Sie den Befehl [create-key](https://docs.aws.amazon.com/cli/latest/reference/location/create-key.html). Im folgenden Beispiel wird ein API-Schlüssel ohne Ablaufdatum und `ExampleKey` ohne Zugriff auf eine einzelne Kartenressource aufgerufen. ``` aws location \ create-key \ --key-name ExampleKey \ --restrictions '{"AllowActions":["geo-maps:*"],"AllowResources":["arn:aws:geo-maps:region::provider/default"]}' \ --no-expiry ``` 1. Die Antwort enthält den API-Schlüsselwert, der beim Zugriff auf Ressourcen in Ihren Anwendungen verwendet werden soll. Der Schlüsselwert wird das Format haben`v1.public.a1b2c3d4...`. Weitere Informationen zur Verwendung des API-Schlüssels zum Rendern von Karten finden Sie unter[Verwenden Sie einen API-Schlüssel, um eine Amazon Location API aufzurufen](#using-apikeys-in-api). Die Antwort auf create-key sieht wie folgt aus: ``` { "Key": "v1.public.a1b2c3d4...", "KeyArn": "arn:aws:geo:region:accountId:api-key/ExampleKey", "KeyName": "ExampleKey", "CreateTime": "2023-02-06T22:33:15.693Z" } ``` 1. Sie können ihn auch verwenden`describe-key`, um den Schlüsselwert zu einem späteren Zeitpunkt zu finden. Das folgende Beispiel zeigt, wie Sie einen API-Schlüssel mit dem Namen aufrufen `describe-key``ExampleKey`. ``` aws location describe-key \ --key-name ExampleKey ``` ------ #### [ Amazon Location API ] Verwenden Sie den [CreateKey](https://docs.aws.amazon.com/location/latest/APIReference/API_geotags_CreateKey.html)Vorgang vom Amazon-Standort aus APIs. Das folgende Beispiel ist eine API-Anfrage zur Erstellung eines API-Schlüssels `ExampleKey` ohne Ablaufdatum und ohne Zugriff auf eine einzelne Kartenressource. ``` POST /metadata/v0/keys HTTP/1.1 Content-type: application/json { "KeyName": "ExampleKey", "NoExpiry": true, "Restrictions": { "AllowActions": [ "geo-places:*", "geo-routes:*", "geo-maps:*" ], "AllowResources": [ "arn:aws:geo-places:Region::provider/default", "arn:aws:geo-routes:Region::provider/default", "arn:aws:geo-maps:Region::provider/default" ] } } ``` Die Antwort enthält den API-Schlüsselwert, der beim Zugriff auf Ressourcen in Ihren Anwendungen verwendet werden soll. Der Schlüsselwert wird das Format `v1.public.a1b2c3d4...` haben. Sie können die [DescribeKey](https://docs.aws.amazon.com/location/latest/APIReference/API_geotags_DescribeKey.html)API auch verwenden, um den Schlüsselwert für einen Schlüssel zu einem späteren Zeitpunkt zu ermitteln. ------ ## Verwenden Sie einen API-Schlüssel, um eine Amazon Location API aufzurufen Nachdem Sie einen API-Schlüssel erstellt haben, können Sie den Schlüsselwert verwenden, um Amazon Location APIs in Ihrer Anwendung aufzurufen. ------ #### [ API ] Diejenigen APIs , die API-Schlüssel unterstützen, haben einen zusätzlichen Parameter, der den API-Schlüsselwert annimmt. Wenn Sie beispielsweise die `GetPlace` API aufrufen, können Sie den [Schlüsselparameter](https://docs.aws.amazon.com/location/latest/APIReference/API_geoplaces_GetPlace.html) wie folgt eingeben ``` curl --request GET —url 'https://places.geo.eu-central-1.amazonaws.com/v2/place/{PLACEID}?key={APIKEY}&language=jp' ``` ------ #### [ AWS CLI ] Wenn Sie den `--key` Parameter verwenden, sollten Sie auch den `--no-sign-request` Parameter verwenden, um zu vermeiden, dass Sie mit Sig v4 signieren. ``` aws geo-places get-place --place-id $PLACEID --language jp --key $APIKEY ``` ------ #### [ SDK (web) ] Verwenden Sie folgenden Code: ``` Display a map

``` ------ #### [ SDK (iOS, Swift) ] Verwenden Sie folgenden Code: ``` import UIKit import MapLibre class ViewController: UIViewController { let apiKey = "Enter your API key" // The previously-created API Key to use let regionName = "Enter your region name" // The service region - us-east-1, ap-south-1, etc var mapView: MLNMapView! override func viewDidLoad() { super.viewDidLoad() loadMap() } func loadMap() { let styleName = "Standard" // The map style - Standard, Monochrome, Hybrid, Satellite let colorName = "Light" // The color scheme - Light, Dark // The Amazon Location Service map style URL that MapLibre will use to render the maps. let styleURL = URL(string: "https://maps.geo.\(regionName).amazonaws.com/v2/styles/\(styleName)/descriptor?key=\(apiKey)&color-scheme=\(colorName)") // Initialize MapLibre mapView = MLNMapView(frame: view.bounds) mapView.styleURL = styleURL mapView.autoresizingMask = [.flexibleWidth, .flexibleHeight] // Set the starting camera position and zoom level for the map mapView.setCenter(CLLocationCoordinate2D(latitude: 49.246559, longitude: -123.063554), zoomLevel: 10, animated: false) view.addSubview(mapView!) } } ``` ------ #### [ SDK (Android, Kotlin) ] Verwenden Sie folgenden Code: ``` class MapActivity : Activity(), OnMapReadyCallback { private lateinit var mBinding: ActivityMapBinding override fun onCreate(savedInstanceState: Bundle?) { super.onCreate(savedInstanceState) initializeMap(savedInstanceState) } private fun initializeMap(savedInstanceState: Bundle?) { // Init MapLibre // See the MapLibre Getting Started Guide for more details // https://maplibre.org/maplibre-native/docs/book/android/getting-started-guide.html MapLibre.getInstance(this@MapActivity) mBinding = ActivityMapBinding.inflate(layoutInflater) setContentView(mBinding.root) mBinding.mapView.onCreate(savedInstanceState) mBinding.mapView.getMapAsync(this) } override fun onMapReady(mapLibreMap: MapLibreMap) { mapLibreMap.setStyle(Style.Builder().fromUri(getMapUrl())) { // Set the starting camera position mapLibreMap.cameraPosition = CameraPosition.Builder().target(LatLng(49.246559, -123.063554)).zoom(10.0).build() mapLibreMap.uiSettings.isLogoEnabled = false mapLibreMap.uiSettings.attributionGravity = Gravity.BOTTOM or Gravity.END mapLibreMap.uiSettings.setAttributionDialogManager(AttributionDialogManager(this, mapLibreMap)) } } // Return the Amazon Location Service map style URL // MapLibre will use this to render the maps. // awsRegion: The service region - us-east-1, ap-south-1, etc // mapStyle: The map style - Standard, Monochrome, Hybrid, Satellite // API_KEY: The previously-created API Key to use // colorName: The color scheme to use - Light, Dark private fun getMapUrl() = "https://maps.geo.${getString(R.string.awsRegion)}.amazonaws.com/v2/styles/${getString(R.string.mapStyle)}/descriptor?key=${BuildConfig.API_KEY}&color-scheme=${getString(R.string.colorName)}" override fun onStart() { super.onStart() mBinding.mapView.onStart() } override fun onResume() { super.onResume() mBinding.mapView.onResume() } override fun onPause() { super.onPause() mBinding.mapView.onPause() } override fun onStop() { super.onStop() mBinding.mapView.onStop() } override fun onSaveInstanceState(outState: Bundle) { super.onSaveInstanceState(outState) mBinding.mapView.onSaveInstanceState(outState) } override fun onLowMemory() { super.onLowMemory() mBinding.mapView.onLowMemory() } override fun onDestroy() { super.onDestroy() mBinding.mapView.onDestroy() } } ``` ------ ## Beschränken Sie die Verwendung von API-Schlüsseln je nach Herkunft der Anfrage Sie können API-Schlüssel mit Client-Einschränkungen konfigurieren, die den Zugriff auf bestimmte Domains oder mobile Anwendungen einschränken. Bei der Einschränkung nach Domänen werden Anfragen nur autorisiert, wenn der HTTP-Referer-Header mit dem von Ihnen angegebenen Wert übereinstimmt. Bei der Einschränkung durch eine Android- oder Apple-Anwendung werden Anfragen nur autorisiert, wenn die HTTP-Header-Felder der Anwendungs-ID mit den von Ihnen angegebenen Werten übereinstimmen. Weitere Informationen finden Sie [ApiKeyRestrictions](https://docs.aws.amazon.com/location/latest/APIReference/API_geotags_ApiKeyRestrictions.html)in der *Amazon Location Service API-Referenz*. **Identifikatoren für Android-Anwendungen:** + `X-Android-Package`: Eine eindeutige Kennung für Android-Anwendungen, die in der `build.gradle` App-Datei definiert ist und in der Regel einem umgekehrten Domain-Format folgt. Beispiel: `com.mydomain.appname` + `X-Android-Cert`: Der SHA-1-Hash des Signaturzertifikats, das zum Signieren der Android-APK verwendet wurde. Beispiel: `BB:0D:AC:74:D3:21:E1:43:67:71:9B:62:91:AF:A1:66:6E:44:5D:75` **Apple-Anwendungskennungen:** + `X-Apple-Bundle-Id `: Eine eindeutige Kennung für Apple-Anwendungen (iOS, macOS usw.), die in den Apps definiert ist `Info.plist` und in der Regel einem Reverse-Domain-Format folgt. Beispiel: `com.mydomain.appname` ## Die wichtigsten bewährten Methoden für die API API-Schlüssel enthalten einen *Klartextwert*, der den Zugriff auf eine oder mehrere Ressourcen oder APIs auf Ihre ermöglicht AWS-Konto. Wenn jemand Ihren API-Schlüssel kopiert, kann er auf dieselben Ressourcen zugreifen und APIs. Lesen Sie sich die folgenden bewährten Methoden durch, um die potenziellen Auswirkungen zu minimieren: + **Beschränken Sie den API-Schlüssel** Um die oben genannte Situation zu vermeiden, ist es am besten, Ihren API-Schlüssel einzuschränken. Wenn Sie den Schlüssel erstellen, können Sie die Domain, Android-App oder Apple-App angeben, in der der Schlüssel verwendet werden kann. + **Gültigkeitsdauer von API-Schlüsseln verwalten** Sie können API-Schlüssel erstellen, die unbegrenzt funktionieren. Wenn Sie jedoch einen temporären API-Schlüssel erstellen, API-Schlüssel regelmäßig rotieren oder einen vorhandenen API-Schlüssel widerrufen möchten, können Sie den *Ablauf des API-Schlüssels* verwenden. + Sie können die Ablaufzeit für einen API-Schlüssel festlegen, wenn Sie ihn erstellen oder aktualisieren. + Wenn ein API-Schlüssel seine Ablaufzeit erreicht, wird der Schlüssel automatisch deaktiviert. Inaktive Schlüssel können nicht mehr für Anfragen verwendet werden. + Sie können einen temporären Schlüssel in einen permanenten Schlüssel ändern, indem Sie die Ablaufzeit entfernen. + Sie können einen API-Schlüssel 90 Tage nach seiner Deaktivierung löschen. + Wenn Sie versuchen, einen API-Schlüssel zu deaktivieren, der in den letzten sieben Tagen verwendet wurde, werden Sie aufgefordert, zu bestätigen, dass Sie die Änderung vornehmen möchten. Wenn Sie die Amazon Location Service API oder die verwenden AWS CLI, setzen Sie den `ForceUpdate` Parameter auf`true`, andernfalls erhalten Sie eine Fehlermeldung. # Verwenden Sie Amazon Cognito zur Authentifizierung Sie können die Amazon Cognito Cognito-Authentifizierung als Alternative zur direkten Verwendung von AWS Identity and Access Management (IAM-) Benutzern mit Frontend-SDK-Anfragen verwenden. Amazon Cognito bietet Authentifizierung, Autorisierung und Benutzerverwaltung für Web- und mobile Apps. Sie können Amazon Cognito Cognito-Identitätspools für nicht authentifizierte Identitäten mit Amazon Location verwenden, um Anwendungen temporäre, begrenzte Anmeldeinformationen abzurufen. AWS Weitere Informationen finden Sie unter [Erste Schritte mit Benutzerpools](https://docs.aws.amazon.com/cognito/latest/developerguide/getting-started-user-pools.html) im *Amazon Cognito Developer Guide*. Möglicherweise möchten Sie diese Form der Authentifizierung aus den folgenden Gründen verwenden: + **Nicht authentifizierte Benutzer** — Wenn Sie eine Website mit anonymen Benutzern haben, können Sie Amazon Cognito Cognito-Identitätspools verwenden. Weitere Informationen finden Sie im Abschnitt über. [Verwenden Sie Amazon Cognito zur Authentifizierung](#authenticating-using-cognito) + **Ihre eigene Authentifizierung** — Wenn Sie Ihren eigenen Authentifizierungsprozess verwenden oder mehrere Authentifizierungsmethoden kombinieren möchten, können Sie Amazon Cognito Federated Identities verwenden. Weitere Informationen finden Sie unter [Getting Started with Federated Identities](https://docs.aws.amazon.com/cognito/latest/developerguide/getting-started-with-identity-pools.html) im *Amazon Cognito* Developer Guide. ## Verwenden Sie Amazon Cognito und Amazon Location Service Sie können AWS Identity and Access Management (IAM) -Richtlinien für Rollen mit nicht authentifizierten Identitäten für die folgenden Aktionen verwenden: ------ #### [ Maps ] Liste der Kartenaktionen + `geo-maps:GetStaticMap` + `geo-maps:GetTile` **Anmerkung** Die Ressourcennamen für die oben genannten Aktionen lauten: ``` arn:aws:geo-maps:region::provider/default ``` ------ #### [ Places ] Liste der Ortsaktionen: + `geo-places:Geocode` + `geo-places:ReverseGeocode` + `geo-places:SearchNearby` + `geo-places:SearchText` + `geo-places:Autocomplete` + `geo-places:Suggest` + `geo-places:GetPlace` **Anmerkung** Die Ressourcennamen für die oben genannten Aktionen lauten: ``` arn:aws:geo-places:region::provider/default ``` ------ #### [ Routes ] Liste der Routenaktionen: + `geo-routes:CalculateRoutes` + `geo-routes:CalculateRouteMatrix` + `geo-routes:CalculateIsolines` + `geo-routes:OptimizeWaypoints` + `geo-routes:SnapToRoads` **Anmerkung** Die Ressourcennamen für die oben genannten Aktionen lauten: ``` arn:aws:geo-routes:region::provider/default ``` ------ #### [ Geofences and Trackers ] Liste der Geofences- und Tracker-Aktionen + `geo:GetGeofence` + `geo:ListGeofences` + `geo:PutGeofence` + `geo:BatchDeleteGeofence` + `geo:BatchPutGeofence` + `geo:BatchEvaluateGeofences` + `geo:GetDevicePosition*` + `geo:ListDevicePositions` + `geo:BatchDeleteDevicePositionHistory` + `geo:BatchGetDevicePosition` + `geo:BatchUpdateDevicePosition` **Anmerkung** Die Ressourcennamen für die oben genannten Aktionen lauten: ``` arn:aws:geo:region:accountID:tracker/ExampleTracker ``` ------ #### [ Previous version ] Liste der Aktionen früherer Versionen: + `geo:GetMap*` + `geo:SearchPlaceIndexForText` + `geo:SearchPlaceIndexForPosition` + `geo:GetPlace` + `geo:CalculateRoute` + `geo:CalculateRouteMatrix` **Anmerkung** Die Ressourcennamen für die oben genannten Aktionen lauten: **Landkarten** ``` arn:aws:geo:region:accountID:map/ExampleMap ``` **Orte** ``` arn:aws:geo:region:accountID:place-index/ExamplePlaceIndex ``` **Strecken** ``` arn:aws:geo:region:accountID:route-calculator/ExampleCalculator ``` ------ ## Amazon-Cognito-Identitätspool erstellen Sie können Amazon Cognito-Identitätspools erstellen, um nicht authentifizierten Gastzugriff auf Ihre Anwendung über die Amazon Cognito Cognito-Konsole AWS CLI, die oder Amazon Cognito zu ermöglichen. APIs **Wichtig** Der Pool, den Sie erstellen, muss sich in derselben AWS-Konto AWS Region befinden wie die Amazon Location Service Service-Ressourcen, die Sie verwenden. ------ #### [ Console ] **So erstellen Sie einen Identitätspool mit der Amazon Cognito Cognito-Konsole** 1. Melden Sie sich bei der [Amazon-Cognito-Konsole](https://console.aws.amazon.com/cognito/home) an. 1. Klicken Sie auf **Manage Identity Pools (Identitäten-Pools verwalten)**. 1. Wählen Sie **Neuen Identitätspool erstellen** und geben Sie dann einen Namen für Ihren Identitätspool ein. 1. Wählen Sie im ausklappbaren Bereich **Nicht authentifizierte Identitäten** die Option **Zugriff auf nicht authentifizierte Identitäten aktivieren** aus. 1. Wählen Sie **Pool erstellen**. 1. Wählen Sie aus, welche IAM-Rollen Sie mit Ihrem Identitätspool verwenden möchten. 1. Erweitern Sie „**Details anzeigen**“. 1. Geben Sie unter **Nicht authentifizierte Identitäten** einen Rollennamen ein. 1. Erweitern Sie den Abschnitt **Richtliniendokument anzeigen** und wählen Sie dann **Bearbeiten aus, um Ihre** Richtlinie hinzuzufügen. 1. Fügen Sie Ihre Richtlinie hinzu, um Zugriff auf Ihre Ressourcen zu gewähren. **Anmerkung** Im obigen [Verwenden Sie Amazon Cognito und Amazon Location Service](#cognito-and-location) Abschnitt finden Sie eine Liste der Aktionen. ``` { "Version": "2012-10-17", "Statement": [ { Sid": "RoutesReadOnly", Effect": "Allow", Action": [ // add comma separated value from the previous section ], Resource": "value from previous section" } ] } ``` 1. Wählen Sie **Zulassen**, um Ihre Identitätspools zu erstellen. ------ ## Verwenden Sie den Amazon Cognito Cognito-Identitätspool im Internet Im folgenden Beispiel wird der nicht authentifizierte Identitätspool, den Sie erstellt haben, gegen Anmeldeinformationen ausgetauscht, die dann für Anrufe verwendet werden. `CalculateIsolines` Um diese Arbeit zu vereinfachen, verwendet das Beispiel die Amazon [So verwenden Sie Authentifizierungshelfer](how-to-auth-helper.md) Location-Verfahren. Dies ersetzt sowohl das Abrufen als auch das Aktualisieren der Anmeldeinformationen. In diesem Beispiel wird das AWS SDK für JavaScript Version 3 verwendet. ``` import { GeoRoutesClient, CalculateIsolinesCommand , } from "@aws-sdk/client-geo-routes"; // ES Modules import import { withIdentityPoolId } from "@aws/amazon-location-utilities-auth-helper"; const identityPoolId = ""; // for example, us-east-1:1sample4-5678-90ef-aaaa-1234abcd56ef const authHelper = await withIdentityPoolId(identityPoolId); const client = new GeoRoutesClient({ ...authHelper.getClientConfig(), region: "", // The region containing the identity pool }); const input = { DepartNow: true, TravelMode: "Car", Origin: [-123.12327, 49.27531], Thresholds: { Time: [5, 10, 30], }, }; const command = new CalculateIsolinesCommand(input); const response = await client.send(command); console.log(JSON.stringify(response, null, 2)) ``` # AWS Identity and Access Management Zur Authentifizierung verwenden AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu AWS kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Amazon-Standortressourcen zu verwenden. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können. **Topics** + [Zielgruppe](#security_iam_audience) + [Authentifizierung mit Identitäten](#security_iam_authentication) + [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage) + [So funktioniert Amazon Location Service mit IAM](#security_iam_service-with-iam) + [So funktioniert Amazon Location Service mit nicht authentifizierten Benutzern](#security_iam_unauthenticated-users) + [Beispiele für identitätsbasierte Richtlinien für Amazon Location Service](#security_iam_id-based-policy-examples) + [Fehlerbehebung bei Identität und Zugriff auf Amazon Location Service](#security_iam_troubleshoot) ## Zielgruppe Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab: + **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Fehlerbehebung bei Identität und Zugriff auf Amazon Location Service](#security_iam_troubleshoot)). + **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [So funktioniert Amazon Location Service mit IAM](#security_iam_service-with-iam)). + **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Beispiele für identitätsbasierte Richtlinien für Amazon Location Service](#security_iam_id-based-policy-examples)). ## Authentifizierung mit Identitäten Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *. AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*. ### AWS-Konto Root-Benutzer Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*. ### Verbundidentität Es hat sich bewährt, dass menschliche Benutzer für den Zugriff AWS-Services mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden müssen. Eine *föderierte Identität* ist ein Benutzer aus Ihrem Unternehmensverzeichnis, Ihrem Directory Service Web-Identitätsanbieter oder der AWS-Services mithilfe von Anmeldeinformationen aus einer Identitätsquelle zugreift. Verbundene Identitäten übernehmen Rollen, die temporäre Anmeldeinformationen bereitstellen. Für die zentrale Zugriffsverwaltung empfehlen wir AWS IAM Identity Center. Weitere Informationen finden Sie unter [Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*. ### IAM-Benutzer und -Gruppen Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) können. Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*. ### IAM-Rollen Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*. IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*. ## Verwalten des Zugriffs mit Richtlinien Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*. Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf. Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird. ### Identitätsbasierte Richtlinien Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*. Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*. ### Ressourcenbasierte Richtlinien Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden. ### Weitere Richtlinientypen AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden: + **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*. + **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*. + **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html). + **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*. ### Mehrere Richtlinientypen Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*. ## So funktioniert Amazon Location Service mit IAM Bevor Sie IAM verwenden, um den Zugriff auf Amazon Location zu verwalten, sollten Sie sich darüber informieren, welche IAM-Funktionen für Amazon Location verfügbar sind. **IAM-Funktionen, die Sie mit Amazon Location Service verwenden können** | IAM-Feature | Unterstützung Amazon Amazon-Standorte | | --- | --- | | [Identitätsbasierte Richtlinien für Amazon Location](#security_iam_service-with-iam-id-based-policies) | Ja | | [Ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies) | Nein | | [Richtlinienaktionen](#security_iam_service-with-iam-id-based-policies-actions) | Ja | | [Richtlinienressourcen](#security_iam_service-with-iam-id-based-policies-resources) | Ja | | [Richtlinienbedingungsschlüssel (servicespezifisch)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ja | | [ACLs](#security_iam_service-with-iam-acls) | Nein | | [ABAC (Tags in Richtlinien)](#security_iam_service-with-iam-tags) | Ja | | [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-roles-tempcreds) | Ja | | [Hauptberechtigungen](#security_iam_service-with-iam-principal-permissions) | Nein | | [Servicerollen](#security_iam_service-with-iam-roles-service) | Nein | | [Serviceverknüpfte Rollen](#security_iam_service-with-iam-roles-service-linked) | Nein | Einen allgemeinen Überblick darüber, wie Amazon Location und andere AWS Dienste mit den meisten IAM-Funktionen funktionieren, finden Sie im [IAM-Benutzerhandbuch unter AWS Dienste, die mit *IAM* funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). ### Identitätsbasierte Richtlinien für Amazon Location **Unterstützt Richtlinien auf Identitätsbasis:** Ja Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*. Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*. #### Beispiele für identitätsbasierte Richtlinien für Amazon Location Beispiele für identitätsbasierte Richtlinien von Amazon Location finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Amazon Location Service](#security_iam_id-based-policy-examples) ### Ressourcenbasierte Richtlinien innerhalb von Amazon Location **Unterstützt ressourcenbasierte Richtlinien:** Nein Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-*Rollen-Vertrauensrichtlinien* und Amazon-S3-*Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*. ### Politische Maßnahmen für Amazon Location **Unterstützt Richtlinienaktionen:** Ja Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann. Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen. Eine Liste der Amazon-Standortaktionen finden Sie unter [Von Amazon Location Service definierte Aktionen in der Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlocation.html#amazonlocation-actions-as-permissions) *Authorization Reference*. Richtlinienaktionen in Amazon Location verwenden das folgende Präfix vor der Aktion: ``` geo ``` Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata: ``` "Action": [ "geo:action1", "geo:action2" ] ``` Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Get` beginnen, einschließlich der folgenden Aktion: ``` "Action": "geo:Get*" ``` Beispiele für identitätsbasierte Richtlinien von Amazon Location finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Amazon Location Service](#security_iam_id-based-policy-examples) ### Richtlinienressourcen für Amazon Location **Unterstützt Richtlinienressourcen:** Ja Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann. Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt. ``` "Resource": "*" ``` Eine Liste der Ressourcentypen von Amazon Location und deren ARNs Eigenschaften finden Sie unter [Von Amazon Location Service definierte Ressourcen in der Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlocation.html#amazonlocation-resources-for-iam-policies) *Authorization Reference*. Informationen darüber, mit welchen Aktionen Sie den ARN jeder Ressource angeben können, finden Sie unter [Von Amazon Location Service definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlocation.html#amazonlocation-actions-as-permissions). Beispiele für identitätsbasierte Richtlinien von Amazon Location finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Amazon Location Service](#security_iam_id-based-policy-examples) ### Schlüssel zu den Richtlinienbedingungen für Amazon Location **Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann. Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*. Eine Liste der Amazon Location-Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für Amazon Location Service in der Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlocation.html#amazonlocation-policy-keys) *Authorization Reference*. Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von Amazon Location Service definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlocation.html#amazonlocation-actions-as-permissions). Amazon Location unterstützt Bedingungsschlüssel, mit denen Sie in Ihren Richtlinienerklärungen den Zugriff auf bestimmte Geofences oder Geräte zulassen oder verweigern können. Die folgenden Bedingungsschlüssel sind verfügbar: + `geo:GeofenceIds`zur Verwendung mit Geofence-Aktionen. Der Typ ist. `ArrayOfString` + `geo:DeviceIds`zur Verwendung mit Tracker-Aktionen. Der Typ ist`ArrayOfString`. Die folgenden Aktionen können zusammen mit `geo:GeofenceIds` Ihrer IAM-Richtlinie verwendet werden: + `BatchDeleteGeofences` + `BatchPutGeofences` + `GetGeofence` + `PutGeofence` Die folgenden Aktionen können zusammen mit Ihrer `geo:DeviceIds` IAM-Richtlinie verwendet werden: + `BatchDeleteDevicePositionHistory` + `BatchGetDevicePosition` + `BatchUpdateDevicePosition` + `GetDevicePosition` + `GetDevicePositionHistory` **Anmerkung** Sie können diese Bedingungsschlüssel nicht mit den `ListDevicePosition` Aktionen `BatchEvaluateGeofences``ListGeofences`, oder verwenden. Beispiele für identitätsbasierte Richtlinien von Amazon Location finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Amazon Location Service](#security_iam_id-based-policy-examples) ### ACLs am Amazon-Standort **Unterstützt ACLs:** Nein Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat. ### ABAC mit Amazon-Standort **Unterstützt ABAC (Tags in Richtlinien):** Ja Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, um Operationen zu ermöglichen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt. Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden. Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**. *Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*. Weitere Informationen zum Taggen von Amazon-Standortressourcen finden Sie unter[Wie benutzt man Tags](manage-resources.md#manage-resources_how-to). Ein Beispiel für eine identitätsbasierte Richtlinie zur Einschränkung des Zugriffs auf eine Ressource auf der Grundlage der Markierungen dieser Ressource finden Sie unter [Steuern Sie den Ressourcenzugriff anhand von Tags](#security_iam_tag-based-policy-example). ### Temporäre Anmeldeinformationen mit Amazon Location verwenden **Unterstützt temporäre Anmeldeinformationen:** Ja Temporäre Anmeldeinformationen ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie den Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*. ### Serviceübergreifende Hauptberechtigungen für Amazon Location **Unterstützt Forward Access Sessions (FAS):** Nein Forward Access Sessions (FAS) verwenden die Berechtigungen des Prinzipals, der einen aufruft AWS-Service, in Kombination mit der Anfrage, Anfragen an nachgelagerte Dienste AWS-Service zu stellen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). ### Servicerollen für Amazon Location **Unterstützt Servicerollen:** Nein Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*. **Warnung** Das Ändern der Berechtigungen für eine Servicerolle kann die Funktionalität von Amazon Location beeinträchtigen. Bearbeiten Sie Servicerollen nur, wenn Amazon Location Sie dazu anleitet. ### Servicebezogene Rollen für Amazon Location **Unterstützt serviceverknüpfte Rollen:** Ja Eine serviceverknüpfte Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten. Details zum Erstellen oder Verwalten von serviceverknüpften Rollen finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Tabelle nach einem Service mit einem `Yes` in der Spalte **Service-linked role** (Serviceverknüpfte Rolle). Wählen Sie den Link **Yes** (Ja) aus, um die Dokumentation für die serviceverknüpfte Rolle für diesen Service anzuzeigen. ## So funktioniert Amazon Location Service mit nicht authentifizierten Benutzern Viele Szenarien für die Nutzung von Amazon Location Service, einschließlich der Anzeige von Karten im Internet oder in einer mobilen Anwendung, erfordern, dass Benutzern, die sich nicht mit IAM angemeldet haben, Zugriff gewährt wird. Für diese nicht authentifizierten Szenarien haben Sie zwei Optionen. + **API-Schlüssel verwenden** — Um nicht authentifizierten Benutzern Zugriff zu gewähren, können Sie API-Schlüssel erstellen, die nur Lesezugriff auf Ihre Amazon Location Service Service-Ressourcen gewähren. Dies ist nützlich, wenn Sie nicht jeden Benutzer authentifizieren möchten. Zum Beispiel eine Webanwendung. Weitere Hinweise zu API-Schlüsseln finden Sie unter[Verwenden Sie API-Schlüssel zur Authentifizierung](using-apikeys.md). + **Amazon Cognito verwenden** — Eine Alternative zu API-Schlüsseln besteht darin, Amazon Cognito zu verwenden, um anonymen Zugriff zu gewähren. Amazon Cognito ermöglicht es Ihnen, eine umfassendere Autorisierung mit IAM-Richtlinie zu erstellen, um zu definieren, was die nicht authentifizierten Benutzer tun können. Weitere Informationen zur Verwendung von Amazon Cognito finden Sie unter[Verwenden Sie den Amazon Cognito Cognito-Identitätspool im Internet](authenticating-using-cognito.md#identity-pool-js). Eine Übersicht über die Bereitstellung des Zugriffs für nicht authentifizierte Benutzer finden Sie unter. [Authentifizieren Sie sich mit Amazon Location Service](access.md) ## Beispiele für identitätsbasierte Richtlinien für Amazon Location Service Standardmäßig sind Benutzer und Rollen nicht berechtigt, Amazon-Standortressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen. Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*. Einzelheiten zu den von Amazon Location definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Zustandsschlüssel für Amazon Location Service in der Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlocation.html) *Authorization Reference*. **Topics** + [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices) + [Verwenden der Amazon Location-Konsole](#security_iam_id-based-policy-examples-console) + [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions) + [Verwendung von Amazon Location Service Service-Ressourcen in der Richtlinie](#security_iam_id-based-policy-examples-using-resources) + [Berechtigungen für die Aktualisierung der Gerätepositionen](#security_iam_id-based-policy-examples-update-device-positions) + [Schreibgeschützte Richtlinie für Tracker-Ressourcen](#security_iam_id-based-policy-examples-read-only-trackers) + [Richtlinie für die Erstellung von Geofences](#security_iam_id-based-policy-examples-create-geofences) + [Schreibgeschützte Richtlinie für Geofences](#security_iam_id-based-policy-examples-read-only-geofences) + [Berechtigungen für das Rendern einer Kartenressource](#security_iam_id-based-policy-examples-get-map-tiles) + [Berechtigungen zum Zulassen von Suchvorgängen](#security_iam_id-based-policy-examples-search-for-place) + [Schreibgeschützte Richtlinie für Routenrechner](#security_iam_id-based-policy-examples-calculate-route) + [Steuert den Ressourcenzugriff auf der Grundlage von Bedingungsschlüsseln](#security_iam_condition-key-example) + [Steuern Sie den Ressourcenzugriff anhand von Tags](#security_iam_tag-based-policy-example) ### Best Practices für Richtlinien Identitätsbasierte Richtlinien legen fest, ob jemand Amazon-Standortressourcen in Ihrem Konto erstellen, darauf zugreifen oder diese löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn Sie identitätsbasierte Richtlinien erstellen oder bearbeiten, befolgen Sie diese Richtlinien und Empfehlungen: + **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*. + **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*. + **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*. + **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*. + **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*. Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*. ### Verwenden der Amazon Location-Konsole Um auf die Amazon Location Service Service-Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den Amazon-Standortressourcen in Ihrem aufzulisten und anzuzeigen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie. Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten. Um sicherzustellen, dass Benutzer und Rollen die Amazon Location-Konsole verwenden können, fügen Sie den Entitäten die folgende Richtlinie bei. Weitere Informationen finden Sie unter [Hinzufügen von Berechtigungen zu einem Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*. Die folgende Richtlinie gewährt Zugriff auf die Amazon Location Service Service-Konsole, sodass Sie Details zu Amazon Location-Ressourcen in Ihrem AWS Konto erstellen, löschen, auflisten und anzeigen können. ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "GeoPowerUser", "Effect": "Allow", "Action": [ "geo:*", "geo-maps:*", "geo-places:*", "geo-routes:*" ], "Resource": "*" } ] } ``` Alternativ können Sie nur Leseberechtigungen gewähren, um den Nur-Lese-Zugriff zu ermöglichen. Bei schreibgeschützten Berechtigungen wird eine Fehlermeldung angezeigt, wenn der Benutzer versucht, Schreibaktionen wie das Erstellen oder Löschen von Ressourcen durchzuführen. Ein Beispiel finden Sie unter [Schreibgeschützte Richtlinie für Tracker-Ressourcen](#security_iam_id-based-policy-examples-read-only-trackers) ### Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API AWS CLI oder AWS . ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] } ``` ### Verwendung von Amazon Location Service Service-Ressourcen in der Richtlinie Amazon Location Service verwendet die folgenden Präfixe für Ressourcen: **Ressourcenpräfix für Amazon-Standorte** | Ressource | Ressourcenpräfix | | --- | --- | | Ressourcen zuordnen | map | | Ressourcen platzieren | place-index | | Ressourcen weiterleiten | route-calculator | | Ressourcen nachverfolgen | tracker | | Ressourcen für die Geofence-Sammlung | geofence-collection | Verwenden Sie die folgende ARN-Syntax: ``` arn:Partition:geo:Region:Account:ResourcePrefix/ResourceName ``` Weitere Informationen zum Format von ARNs finden Sie unter [Amazon Resource Names (ARNs) und AWS Service Namespaces](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). **Beispiele** + Verwenden Sie den folgenden ARN, um den Zugriff auf eine angegebene Kartenressource zu ermöglichen. ``` "Resource": "arn:aws:geo:us-west-2:account-id:map/map-resource-name" ``` + Um den Zugriff auf alle `map` Ressourcen anzugeben, die zu einem bestimmten Konto gehören, verwenden Sie den Platzhalter (\$1): ``` "Resource": "arn:aws:geo:us-west-2:account-id:map/*" ``` + Einige Amazon-Standortaktionen, z. B. zum Erstellen von Ressourcen, können nicht für eine bestimmte Ressource ausgeführt werden. In diesen Fällen müssen Sie den Platzhalter (\$1) verwenden. ``` "Resource": "*" ``` Eine Liste der Ressourcentypen von Amazon Location und deren ARNs Eigenschaften finden Sie unter [Von Amazon Location Service definierte Ressourcen in der Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlocation.html#amazonlocation-resources-for-iam-policies) *Authorization Reference*. Informationen darüber, mit welchen Aktionen Sie den ARN jeder Ressource angeben können, finden Sie unter [Von Amazon Location Service definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlocation.html#amazonlocation-actions-as-permissions). ### Berechtigungen für die Aktualisierung der Gerätepositionen Um die Gerätepositionen für mehrere Tracker zu aktualisieren, sollten Sie einem Benutzer Zugriff auf eine oder mehrere Ihrer Tracker-Ressourcen gewähren. Sie sollten dem Benutzer auch ermöglichen, eine Reihe von Gerätepositionen zu aktualisieren. In diesem Beispiel gewährt die folgende Richtlinie nicht nur Zugriff auf die *Tracker2* Ressourcen *Tracker1* und, sondern gewährt auch die Erlaubnis, die `geo:BatchUpdateDevicePosition` Aktion gegen die *Tracker2* Ressourcen *Tracker1* und zu verwenden. ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "UpdateDevicePositions", "Effect": "Allow", "Action": [ "geo:BatchUpdateDevicePosition" ], "Resource": [ "arn:aws:geo:us-west-2:account-id:tracker/Tracker1", "arn:aws:geo:us-west-2:account-id:tracker/Tracker2" ] } ] } ``` Wenn Sie den Benutzer darauf beschränken möchten, nur Gerätepositionen für ein bestimmtes Gerät zu aktualisieren, können Sie einen Bedingungsschlüssel für diese Geräte-ID hinzufügen. ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "UpdateDevicePositions", "Effect": "Allow", "Action": [ "geo:BatchUpdateDevicePosition" ], "Resource": [ "arn:aws:geo:us-west-2:account-id:tracker/Tracker1", "arn:aws:geo:us-west-2:account-id:tracker/Tracker2" ], "Condition":{ "ForAllValues:StringLike":{ "geo:DeviceIds":[ "deviceId" ] } } } ] } ``` ### Schreibgeschützte Richtlinie für Tracker-Ressourcen Um eine Richtlinie mit Lesezugriff für alle Tracker-Ressourcen in Ihrem AWS Konto zu erstellen, müssen Sie Zugriff auf alle Tracker-Ressourcen gewähren. Sie sollten einem Benutzer auch Zugriff auf Aktionen gewähren, mit denen er die Geräteposition für mehrere Geräte abrufen, die Geräteposition von einem einzelnen Gerät abrufen und den Positionsverlauf abrufen kann. In diesem Beispiel gewährt die folgende Richtlinie die Erlaubnis für die folgenden Aktionen: + `geo:BatchGetDevicePosition`um die Position mehrerer Geräte abzurufen. + `geo:GetDevicePosition`um die Position eines einzelnen Geräts abzurufen. + `geo:GetDevicePositionHistory`um den Positionshistorie eines Geräts abzurufen. ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "GetDevicePositions", "Effect": "Allow", "Action": [ "geo:BatchGetDevicePosition", "geo:GetDevicePosition", "geo:GetDevicePositionHistory" ], "Resource": "arn:aws:geo:us-west-2:account-id:tracker/*" } ] } ``` ### Richtlinie für die Erstellung von Geofences Um eine Richtlinie zu erstellen, die es einem Benutzer ermöglicht, Geofences zu erstellen, müssen Sie Zugriff auf bestimmte Aktionen gewähren, mit denen Benutzer einen oder mehrere Geofences in einer Geofence-Sammlung erstellen können. Die unten stehende Richtlinie gewährt die Genehmigung für die folgenden Aktionen auf: *Collection* + `geo:BatchPutGeofence`um mehrere Geofences zu erstellen. + `geo:PutGeofence`um einen einzigen Geofence zu erstellen. ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "CreateGeofences", "Effect": "Allow", "Action": [ "geo:BatchPutGeofence", "geo:PutGeofence" ], "Resource": "arn:aws:geo:us-west-2:account-id:geofence-collection/Collection" } ] } ``` ### Schreibgeschützte Richtlinie für Geofences Um eine schreibgeschützte Richtlinie für Geofences zu erstellen, die in einer Geofence-Sammlung in Ihrem AWS Konto gespeichert sind, müssen Sie Zugriff auf Aktionen gewähren, die aus der Geofence-Sammlung lesen, in der die Geofences gespeichert sind. Die unten stehende Richtlinie gewährt die Genehmigung für die folgenden Aktionen auf: *Collection* + `geo:ListGeofences`um Geofences in der angegebenen Geofence-Sammlung aufzulisten. + `geo:GetGeofence`um einen Geofence aus der Geofence-Sammlung abzurufen. ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "GetGeofences", "Effect": "Allow", "Action": [ "geo:ListGeofences", "geo:GetGeofence" ], "Resource": "arn:aws:geo:us-west-2:account-id:geofence-collection/Collection" } ] } ``` ### Berechtigungen für das Rendern einer Kartenressource Um ausreichende Berechtigungen zum Rendern von Karten zu gewähren, müssen Sie Zugriff auf Kartenkacheln, Sprites, Glyphen und den Style-Deskriptor gewähren: + `geo:GetMapTile`ruft Kartenkacheln ab, die zum selektiven Rendern von Features auf einer Karte verwendet werden. + `geo:GetMapSprites`ruft das PNG-Spritesheet und das entsprechende JSON-Dokument ab, das die darin enthaltenen Offsets beschreibt. + `geo:GetMapGlyphs`ruft die Glyphen ab, die für die Anzeige von Text verwendet werden. + `geo:GetMapStyleDescriptor`ruft den Stildeskriptor der Map ab, der die Renderregeln enthält. ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "GetTiles", "Effect": "Allow", "Action": [ "geo:GetMapTile", "geo:GetMapSprites", "geo:GetMapGlyphs", "geo:GetMapStyleDescriptor" ], "Resource": "arn:aws:geo:us-west-2:account-id:map/Map" } ] } ``` ### Berechtigungen zum Zulassen von Suchvorgängen Um eine Richtlinie zu erstellen, die Suchvorgänge zulässt, müssen Sie zunächst Zugriff auf die Ortsindex-Ressource in Ihrem AWS Konto gewähren. Sie sollten auch Zugriff auf Aktionen gewähren, mit denen der Benutzer mithilfe von Text durch Geokodierung und mithilfe einer Position durch umgekehrte Geokodierung suchen kann. In diesem Beispiel gewährt die folgende Richtlinie nicht nur Zugriff auf*PlaceIndex*, sondern gewährt auch Berechtigungen für die folgenden Aktionen: + `geo:SearchPlaceIndexForPosition`ermöglicht es Ihnen, nach Orten oder Sehenswürdigkeiten in der Nähe einer bestimmten Position zu suchen. + `geo:SearchPlaceIndexForText`ermöglicht es Ihnen, mithilfe von Freiformtext nach einer Adresse, einem Namen, einer Stadt oder einer Region zu suchen. ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "Search", "Effect": "Allow", "Action": [ "geo:SearchPlaceIndexForPosition", "geo:SearchPlaceIndexForText" ], "Resource": "arn:aws:geo:us-west-2:account-id:place-index/PlaceIndex" } ] } ``` ### Schreibgeschützte Richtlinie für Routenrechner Sie können eine schreibgeschützte Richtlinie erstellen, um einem Benutzer Zugriff auf eine Routenberechnungsressource zu gewähren, um eine Route zu berechnen. In diesem Beispiel gewährt die folgende Richtlinie nicht nur Zugriff auf*ExampleCalculator*, sondern gewährt auch die Erlaubnis für den folgenden Vorgang: + `geo:CalculateRoute`berechnet eine Route anhand einer Startposition, einer Zielposition und einer Liste von Wegpunktpositionen. ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "RoutesReadOnly", "Effect": "Allow", "Action": [ "geo:CalculateRoute" ], "Resource": "arn:aws:geo:us-west-2:accountID:route-calculator/ExampleCalculator" } ] } ``` ### Steuert den Ressourcenzugriff auf der Grundlage von Bedingungsschlüsseln Wenn Sie eine IAM-Richtlinie erstellen, um Zugriff auf die Nutzung von Geofences oder Gerätepositionen zu gewähren, können Sie [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, um genauer zu steuern, auf welche Geofences oder Geräte ein Benutzer zugreifen kann. Sie können dies tun, indem Sie die Geofence-ID oder die Geräte-ID in das Element Ihrer Richtlinie aufnehmen. `Condition` Die folgende Beispielrichtlinie zeigt, wie Sie eine Richtlinie erstellen können, die es einem Benutzer ermöglicht, Gerätepositionen für ein bestimmtes Gerät zu aktualisieren. ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "UpdateDevicePositions", "Effect": "Allow", "Action": [ "geo:BatchUpdateDevicePosition" ], "Resource": [ "arn:aws:geo:us-west-2:account-id:tracker/Tracker" ], "Condition":{ "ForAllValues:StringLike":{ "geo:DeviceIds":[ "deviceId" ] } } } ] } ``` ### Steuern Sie den Ressourcenzugriff anhand von Tags Wenn Sie eine IAM-Richtlinie erstellen, um Zugriff auf die Nutzung Ihrer Amazon-Standortressourcen zu gewähren, können Sie die [attributbasierte Zugriffskontrolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) verwenden, um besser kontrollieren zu können, welche Ressourcen ein Benutzer ändern, verwenden oder löschen kann. [Sie können dies tun, indem Sie Tag-Informationen in das `Condition` Element Ihrer Richtlinie aufnehmen, um den Zugriff anhand Ihrer Ressourcen-Tags zu kontrollieren.](manage-resources.md#manage-resources_how-to) Die folgende Beispielrichtlinie zeigt, wie Sie eine Richtlinie erstellen können, die es einem Benutzer ermöglicht, Geofences zu erstellen. Dadurch wird die Berechtigung für die folgenden Aktionen zum Erstellen eines oder mehrerer Geofences in einer Geofence-Sammlung mit dem Namen erteilt: *Collection* + `geo:BatchPutGeofence`um mehrere Geofences zu erstellen. + `geo:PutGeofence`um einen einzigen Geofence zu erstellen. Diese Richtlinie verwendet das `Condition` Element jedoch nur dann, um die Berechtigung zu erteilen, wenn das *Collection* Tag,`Owner`, den Wert des Benutzernamens dieses Benutzers hat. + Wenn beispielsweise ein Benutzer mit dem Namen `richard-roe` versucht, einen Amazon-Standort aufzurufen*Collection*, *Collection* muss er mit `Owner=richard-roe` oder gekennzeichnet werden`owner=richard-roe`. Andernfalls wird dem Benutzer der Zugriff verweigert. **Anmerkung** Der Tag-Schlüssel `Owner` der Bedingung stimmt sowohl mit `Owner` als auch mit `owner` überein, da die Namen von Bedingungsschlüsseln nicht zwischen Groß- und Kleinschreibung unterscheiden. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*. ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "CreateGeofencesIfOwner", "Effect": "Allow", "Action": [ "geo:BatchPutGeofence", "geo:PutGeofence" ], "Resource": "arn:aws:geo:us-west-2:account-id:geofence-collection/Collection", "Condition": { "StringEquals": {"geo:ResourceTag/Owner": "${aws:username}"} } } ] } ``` Ein [Tutorial zur Definition von Berechtigungen für den Zugriff auf AWS-Ressourcen auf der Grundlage von Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) finden Sie im *AWS Identity and Access Management Benutzerhandbuch*. ## Fehlerbehebung bei Identität und Zugriff auf Amazon Location Service Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit Amazon Location und IAM auftreten können. **Topics** + [Ich bin nicht berechtigt, eine Aktion in Amazon Location durchzuführen](#security_iam_troubleshoot-no-permissions) + [Ich bin nicht berechtigt, iam auszuführen: PassRole](#security_iam_troubleshoot-passrole) + [Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Amazon-Standortressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access) ### Ich bin nicht berechtigt, eine Aktion in Amazon Location durchzuführen Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht zur Durchführung einer Aktion berechtigt sind, müssen Ihre Richtlinien aktualisiert werden, damit Sie die Aktion durchführen können. Der folgende Beispielfehler tritt auf, wenn der IAM-Benutzer `mateojackson` versucht, über die Konsole Details zu einer fiktiven `my-example-widget`-Ressource anzuzeigen, jedoch nicht über `geo:GetWidget`-Berechtigungen verfügt. ``` User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: geo:GetWidget on resource: my-example-widget ``` In diesem Fall muss die Richtlinie für den Benutzer `mateojackson` aktualisiert werden, damit er mit der `geo:GetWidget`-Aktion auf die `my-example-widget`-Ressource zugreifen kann. Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt. ### Ich bin nicht berechtigt, iam auszuführen: PassRole Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht berechtigt sind, die `iam:PassRole` Aktion durchzuführen, müssen Ihre Richtlinien aktualisiert werden, damit Sie eine Rolle an Amazon Location übergeben können. Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Service zu übergeben, anstatt eine neue Servicerolle oder eine dienstbezogene Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst. Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in Amazon Location auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst. ``` User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole ``` In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können. Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt. ### Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Amazon-Standortressourcen ermöglichen Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren. Weitere Informationen dazu finden Sie hier: + Informationen darüber, ob Amazon Location diese Funktionen unterstützt, finden Sie unter[So funktioniert Amazon Location Service mit IAM](#security_iam_service-with-iam). + *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs auf einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).* + Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html). + Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*. + Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.