Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Beschränken Sie Berechtigungen mit IAM-Rollenrichtlinienerklärungen AMS verwendet eine IAM-Rolle, um Benutzerberechtigungen über Ihren Verbunddienst festzulegen. **Einzelkonto Landing Zone AMS**: Siehe [SALZ: Standard-IAM-Benutzerrollen](https://docs.aws.amazon.com/managedservices/latest/userguide/defaults-user-role.html#json-default-role). **Landing Zone AMS mit mehreren Konten**: Siehe [MALZ: Standard-IAM-Benutzerrollen](https://docs.aws.amazon.com/managedservices/latest/userguide/defaults-user-role.html#json-default-role-malz). Eine IAM-Rolle ist eine IAM-Entität, die eine Reihe von Berechtigungen für das Stellen von Serviceanfragen definiert. AWS IAM-Rollen sind keinem bestimmten Benutzer oder keiner bestimmten Gruppe zugeordnet. Stattdessen übernehmen vertrauenswürdige Entitäten Rollen wie IAM-Benutzer, Anwendungen oder AWS Dienste wie Amazon EC2. Weitere Informationen finden Sie unter [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html). Sie können die gewünschte Richtlinie für einen Benutzer, der die AMS-IAM-Benutzerrolle annimmt, mithilfe des API-Vorgangs AWS Security Token Service (STS) einschränken, [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)indem Sie im Anforderungsfeld eine restriktivere IAM-Richtlinie angeben. `Policy` Im Folgenden finden Sie Beispiele für Richtlinienerklärungen, mit denen Sie den CT-Zugriff einschränken können. Mithilfe Ihrer konfigurierten Active Directory (AD) -Gruppen und der API-Operation [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)AWS Security Token Service (STS) können Sie Berechtigungen für bestimmte Benutzer oder Gruppen festlegen, einschließlich der Beschränkung des Zugriffs auf bestimmte Änderungstypen (CTs). Sie können die unten aufgeführten Richtlinienerklärungen verwenden, um den CT-Zugriff auf verschiedene Arten einzuschränken. AMS-Änderungstyp-Anweisung im Standard-IAM-Instanzprofil, die den Zugriff auf alle AMS-API-Aufrufe (amscm und amsskms) und alle Änderungstypen ermöglicht: ``` { "Sid": "AWSManagedServicesFullAccess", "Effect": "Allow", "Action": [ "amscm:*", "amsskms:*" ], "Resource": [ "*" ] } ``` 1. Anweisung zur Genehmigung des Zugriffs und aller Aktionen für nur zwei angegebene Benutzer CTs, wobei „Aktion“ für die AMS-API-Operationen (entweder `amscm` oder`amsskms`) und „Resource“ für den vorhandenen Änderungstyp und die Versionsnummer steht: IDs ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "amscm:*", "Resource": [ "arn:aws:amscm:*:*:changetype/ct-ID1:1.0", "arn:aws:amscm:*:*:changetype/ct-ID2:1.0" ] } ] } ``` ------ 1. Anweisung zur Gewährung des Zugriffs für CreateRfc UpdateRfc, und SubmitRfc nur für zwei angegebene CTs: 1. Anweisung, um den Zugriff für CreateRfc UpdateRfc, und SubmitRfc auf alle verfügbaren Daten zu gewähren CTs: 1. Erklärung zur Verweigerung des Zugriffs für alle Aktionen auf eingeschränktem CT und zur Zulassung aller anderen CTs: