Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Berechtigungen in AMS mit IAM-Rollen und -Profilen einrichten
AMS verwendet AWS Identity and Access Management (IAM) zur Verwaltung von Benutzern, Sicherheitsanmeldedaten wie Zugriffsschlüsseln und Berechtigungen, mit denen gesteuert wird, auf welche AWS Ressourcen Benutzer und Anwendungen zugreifen können. AMS bietet eine Standard-IAM-Benutzerrolle und ein standardmäßiges Amazon EC2 EC2-Instance-Profil (das eine Anweisung enthält, die den Ressourcenzugriff auf die Standard-IAM-Benutzerrolle ermöglicht).
## Eine neue IAM-Benutzerrolle oder ein neues Instance-Profil anfordern
AMS verwendet eine IAM-Rolle, um Benutzerberechtigungen über Ihren Verbunddienst festzulegen, und ein IAM-Instanzprofil als Container für diese IAM-Rolle.
Sie können eine benutzerdefinierte IAM-Rolle mit dem Änderungstyp Deployment \$1 Advanced Stack Components \$1 Identity and Access Management (IAM) \$1 Entität oder Richtlinie erstellen (verwaltete Automatisierung) (ct-3dpd8mdd9jn1r) oder ein IAM-Instanzprofil mit dem Änderungstyp Management \$1 Anwendungen \$1 IAM-Instanzprofil erstellen \$1 Änderungstyp (verwaltete Automatisierung) erstellen (ct-0ixp4ch2tiu04) anfordern). Sehen Sie sich die jeweiligen Beschreibungen in diesem Abschnitt an.
**Anmerkung**
AMS hat eine IAM-Richtlinie, `customer_deny_policy` die gefährliche Namespaces und Aktionen blockiert. Diese Richtlinie ist standardmäßig allen AMS-Kundenrollen zugeordnet und stellt für Benutzer selten ein Problem dar. Ihre IAM-Benutzer- und Rollenanfragen enthalten diese Richtlinie nicht, aber die automatische Aufnahme der `customer_deny_policy` In-Anfragen für IAM-Rollen hilft AMS, neue IAM-Instanzprofile schneller bereitzustellen. Sie können den Ausschluss der Richtlinie beantragen. `customer_deny_policy` Diese Anfrage wird jedoch einer eingehenden Sicherheitsüberprüfung unterzogen und wird wahrscheinlich aus Sicherheitsgründen abgelehnt.
# Beschränken Sie Berechtigungen mit IAM-Rollenrichtlinienerklärungen
AMS verwendet eine IAM-Rolle, um Benutzerberechtigungen über Ihren Verbunddienst festzulegen.
**Einzelkonto Landing Zone AMS**: Siehe [SALZ: Standard-IAM-Benutzerrollen](https://docs.aws.amazon.com/managedservices/latest/userguide/defaults-user-role.html#json-default-role).
**Landing Zone AMS mit mehreren Konten**: Siehe [MALZ: Standard-IAM-Benutzerrollen](https://docs.aws.amazon.com/managedservices/latest/userguide/defaults-user-role.html#json-default-role-malz).
Eine IAM-Rolle ist eine IAM-Entität, die eine Reihe von Berechtigungen für das Stellen von Serviceanfragen definiert. AWS IAM-Rollen sind keinem bestimmten Benutzer oder keiner bestimmten Gruppe zugeordnet. Stattdessen übernehmen vertrauenswürdige Entitäten Rollen wie IAM-Benutzer, Anwendungen oder AWS Dienste wie Amazon EC2. Weitere Informationen finden Sie unter [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).
Sie können die gewünschte Richtlinie für einen Benutzer, der die AMS-IAM-Benutzerrolle annimmt, mithilfe des API-Vorgangs AWS Security Token Service (STS) einschränken, [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)indem Sie im Anforderungsfeld eine restriktivere IAM-Richtlinie angeben. `Policy`
Im Folgenden finden Sie Beispiele für Richtlinienerklärungen, mit denen Sie den CT-Zugriff einschränken können.
Mithilfe Ihrer konfigurierten Active Directory (AD) -Gruppen und der API-Operation [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)AWS Security Token Service (STS) können Sie Berechtigungen für bestimmte Benutzer oder Gruppen festlegen, einschließlich der Beschränkung des Zugriffs auf bestimmte Änderungstypen (CTs). Sie können die unten aufgeführten Richtlinienerklärungen verwenden, um den CT-Zugriff auf verschiedene Arten einzuschränken.
AMS-Änderungstyp-Anweisung im Standard-IAM-Instanzprofil, die den Zugriff auf alle AMS-API-Aufrufe (amscm und amsskms) und alle Änderungstypen ermöglicht:
```
{
"Sid": "AWSManagedServicesFullAccess",
"Effect": "Allow",
"Action": [
"amscm:*",
"amsskms:*"
],
"Resource": [
"*"
]
}
```
1. Anweisung zur Genehmigung des Zugriffs und aller Aktionen für nur zwei angegebene Benutzer CTs, wobei „Aktion“ für die AMS-API-Operationen (entweder `amscm` oder`amsskms`) und „Resource“ für den vorhandenen Änderungstyp und die Versionsnummer steht: IDs
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "amscm:*",
"Resource": [
"arn:aws:amscm:*:*:changetype/ct-ID1:1.0",
"arn:aws:amscm:*:*:changetype/ct-ID2:1.0"
]
}
]
}
```
------
1. Anweisung zur Gewährung des Zugriffs für CreateRfc UpdateRfc, und SubmitRfc nur für zwei angegebene CTs:
1. Anweisung, um den Zugriff für CreateRfc UpdateRfc, und SubmitRfc auf alle verfügbaren Daten zu gewähren CTs:
1. Erklärung zur Verweigerung des Zugriffs für alle Aktionen auf eingeschränktem CT und zur Zulassung aller anderen CTs:
# Beschränken Sie Berechtigungen mit Amazon EC2 IAM-Instanzprofilen
Ein IAM-Instance-Profil ist ein Container für eine IAM-Rolle, den Sie verwenden können, um Rolleninformationen an eine EC2 Amazon-Instance zu übergeben, wenn die Instance gestartet wird.
Derzeit gibt es ein Standard-Instance-Profil für AWS Managed Services (AMS)`customer-mc-ec2-instance-profile`, das Berechtigungen für die Anwendungen gewährt, die auf der Instance ausgeführt werden, nicht für Benutzer, die sich bei der Instance anmelden. Möglicherweise möchten Sie das Standard-Instance-Profil ändern oder ein neues erstellen, wenn Sie einer Instance Zugriff auf etwas gewähren möchten, ohne anderen Instances ebenfalls Zugriff zu gewähren. Sie können mit dem Änderungstyp Verwaltung \$1 Anwendungen \$1 IAM-Instanzprofil \$1 Änderungstyp erstellen (ct-0ixp4ch2tiu04) ein neues IAM-Instanzprofil anfordern. Wenn Sie den RFC einreichen, können Sie Ihr eigenes Instanzprofil erstellen und dieses als das angeben, oder Sie können AMS einfach (über dasselbe Feld) darüber informieren InstanceProfileDescription, welche Änderungen Sie wünschen. Da es sich um ein manuelles CT handelt, muss AMS die Änderung genehmigen und wird sich diesbezüglich mit Ihnen in Verbindung setzen.
Wenn Sie mit den Amazon IAM-Richtlinien nicht vertraut sind, finden Sie wichtige Informationen unter [Überblick über die IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html). Es gibt auch einen guten Blogbeitrag, [Demystifying Amazon EC2 ](https://aws.amazon.com/blogs/security/demystifying-ec2-resource-level-permissions/) Resource-Level Permissions. [Beachten Sie, dass AMS derzeit keine ressourcenbasierte Zugriffskontrolle unterstützt, aber Kontrollen auf Ressourcenebene mithilfe von IAM-Rollenrichtlinien unterstützt (eine Erläuterung des Unterschieds finden Sie unter Services, die mit IAM funktionieren).AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)
**Landing Zone AMS** für ein Konto:
Eine Tabelle der Berechtigungen, die das standardmäßige AMS IAM-Instance-Profil gewährt, finden Sie unter [EC2 IAM-Instanzprofil](https://docs.aws.amazon.com/managedservices/latest/userguide/defaults-user-role.html).