Begriffe und Konzepte fürAWS RAM - AWS Resource Access Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Begriffe und Konzepte fürAWS RAM

Die folgenden Konzepte erklären, wie Sie Folgendes verwenden können:AWS Resource Access Manager(AWS RAM) um Ihre Ressourcen zu teilen.

Ressourcenfreigabe

Sie teilen Ressourcen mitAWS RAMdurch Erstellen einesgemeinsam genutzte Ressourcen. Ein Ressourcenanteil besteht aus den folgenden drei Elementen:

  • Eine Liste mit einem oder mehrerenAWSRessourcen, die gemeinsam genutzt werden sollen.

  • Eine Liste mit einem oder mehrerenPrinzipaledenen der Zugang zu den Ressourcen gewährt wird.

  • EINverwaltete Erlaubnisfür jeden Ressourcentyp, den Sie in den Share aufnehmen. Jede verwaltete Berechtigung gilt für alle Ressourcen dieses Typs in dieser Ressourcenfreigabe.

Nach der VerwendungAWS RAMUm eine Ressourcenfreigabe zu erstellen, kann den in der Ressourcenfreigabe angegebenen Prinzipalen Zugriff auf die Ressourcen der Freigabe gewährt werden.

  • Wenn du einschaltestAWS RAMteilen mitAWS Organizations, und Ihre Prinzipale, für die Sie etwas teilen, gehören derselben Organisation an wie das Sharing-Konto. Diese Prinzipale können Zugriff erhalten, sobald ihr Kontoadministrator ihnen die Erlaubnis erteilt, die Ressourcen mithilfe einesAWS Identity and Access Management(IAM) -Berechtigungsrichtlinie.

  • Wenn Sie nicht einschaltenAWS RAMWenn Sie Ressourcen mit Organizations teilen, können Sie weiterhin Ressourcen mit Einzelpersonen teilenAWS-Kontendie in Ihrer Organisation vorhanden sind. Der Administrator des Benutzerkontos erhält eine Einladung, der Resource Share beizutreten. Er muss die Einladung annehmen, bevor die in der Resource Share angegebenen Principals auf die gemeinsam genutzten Ressourcen zugreifen können.

  • Sie können die Daten auch an Konten außerhalb Ihrer Organisation anfügen können, sofern der Ressourcentyp dies unterstützt. Der Administrator des Benutzerkontos erhält eine Einladung zur Teilnahme an der Ressourcenfreigabe. Er muss die Einladung annehmen, bevor die in der Ressourcenfreigabe angegebenen Prinzipale auf die gemeinsam genutzten Ressourcen zugreifen können. Informationen darüber, welche Ressourcentypen diese Art der gemeinsamen Nutzung unterstützen, finden Sie unterGemeinsam nutzbare Ressourcen AWSund schauen Sie sich den anKann mit Konten außerhalb seiner Organisation teilenSpalte.

Konto teilen

DasKonto teilenenthält die Ressource, die gemeinsam genutzt wird und in derAWS RAMAdministrator erstellt denAWSgemeinsame Nutzung von Ressourcen mithilfe vonAWS RAM.

EinAWS RAMAdministrator ist ein IAM-Principal, der über die Rechte zum Erstellen und Konfigurieren von Ressourcenfreigaben in derAWS-Konto. WeilAWS RAMfunktioniert, indem es an die Ressourcen in einer Ressourcenfreigabe anfügen kann, dieAWS RAMDer Administrator muss auch über Berechtigungen zum Aufrufen von verfügenPutResourcePolicyBetrieb inAWS-Servicefür jeden Ressourcentyp, der in einer Ressourcenfreigabe enthalten ist.

Principals konsumieren

Dasverbrauchendes Kontoist derAWS-Kontofür die eine Ressource gemeinsam genutzt wird. Bei der Ressourcenfreigabe kann ein ganzes Konto als Hauptkonto oder für einige Ressourcentypen einzelne Rollen oder Benutzer im Konto angegeben werden. Informationen darüber, welche Ressourcentypen diese Art der gemeinsamen Nutzung unterstützen, finden Sie unterGemeinsam nutzbare Ressourcen AWSund schauen Sie sich den anKann Rollen und Benutzer mit IAM teilenSpalte.

AWS RAMunterstützt auch Service Principals als Nutzer von Resource Shares. Informationen darüber, welche Ressourcentypen diese Art der gemeinsamen Nutzung unterstützen, finden Sie unterGemeinsam nutzbare Ressourcen AWSund schauen Sie sich den anKann mit Service Principals teilenSpalte.

Die Hauptbenutzer des Benutzerkontos können nur die Aktionen ausführen, die vonbeidesder folgenden Berechtigungen:

  • Die verwalteten Berechtigungen, die mit der Ressourcenfreigabe verknüpft sind. Diese spezifizierenmaximalBerechtigungen, die den Hauptbenutzern des Benutzerkontos erteilt werden können.

  • Die identitätsbasierten IAM-Richtlinien, die vom IAM-Administrator im Nutzerkonto einzelnen Rollen oder Benutzern zugewiesen wurden. Diese Richtlinien müssen Folgendes gewährenAllowZugriff auf bestimmte Aktionen und aufAmazon-Ressourcenname (ARN)einer Ressource im Sharing-Konto.

AWS RAMunterstützt die folgenden IAM-Prinzipaltypen als Nutzer von gemeinsam genutzten Ressourcen:

  • Ein weitererAWS-Konto— Die gemeinsame Nutzung von Ressourcen stellt die im Sharing-Konto enthaltenen Ressourcen dem nutzenden Konto zur Verfügung.

  • Einzelne IAM-Rollen oder Benutzer in einem anderen Konto— Einige Ressourcentypen unterstützen die direkte gemeinsame Nutzung mit einzelnen IAM-Rollen oder -Benutzern. Geben Sie diesen Prinzipaltyp anhand seines ARN an.

    • IAM-Rollearn:aws:iam::123456789012:role/rolename

    • IAM-Benutzerarn:aws:iam::123456789012:user/username

  • Leiter des Dienstes— Teilen Sie eine Ressource mit einemAWSDienst, um dem Dienst Zugriff auf eine gemeinsame Ressource zu gewähren. Die gemeinsame Nutzung von Service Principal ermöglicht eineAWSService, der in Ihrem Namen Maßnahmen zur Verringerung der betrieblichen Belastung ergreift.

    Um die gemeinsame Nutzung mit einem Dienstprinzipal zu ermöglichen, wählen Sie aus, ob Sie die gemeinsame Nutzung für alle zulassen möchten, und klicken Sie dann unterWählen Sie den Haupttyp, wählenLeiter des Dienstesaus der Drop-down-Liste. Geben Sie den Namen des Dienstprinzipals im folgenden Format an:

    • service-id.amazonaws.com

    Um das Risiko zu verringern, dass der Stellvertreter verwirrt wird, zeigt die Ressourcenrichtlinie die Konto-ID des Ressourcenbesitzers imaws:SourceAccountBedingungsschlüssel.

  • Konten in einer Organisation— Wenn das Sharing-Konto verwaltet wird vonAWS Organizations, dann kann im Resource Share die ID der Organisation angegeben werden, die mit allen Konten in der Organisation geteilt werden soll. Die Ressourcenfreigabe kann alternativ eine Organisationseinheit-ID (OU) angeben, die von allen Konten in dieser Organisationseinheit gemeinsam genutzt werden soll. Ein Sharing-Konto kann nur mit der eigenen Organisation oder mit OU-IDs innerhalb der eigenen Organisation geteilt werden. Geben Sie Konten in einer Organisation anhand des ARN der Organisation oder der Organisationseinheit an.

    • Alle Konten in einer Organisation— Es folgt ein Beispiel für einen ARN einer Organisation inAWS Organizations:

      arn:aws:organizations::123456789012:organization/o-<orgid>

    • Alle Konten in einer Organisationseinheit— Im Folgenden finden Sie ein Beispiel für einen ARN einer OU-ID:

      arn:aws:organizations::123456789012:organization/o-<orgid>/ou-<rootid>-<ouid>

    Wichtig

    Wenn Sie Daten für eine Organisation oder eine Organisationseinheit freigeben und dieser Bereich auch das Konto umfasst, dem die Ressourcenfreigabe gehört, erhalten alle Prinzipale im Freigabekonto automatisch Zugriff auf die Ressourcen in der Freigabe. Der gewährte Zugriff wird durch die verwalteten Berechtigungen definiert, die mit der Freigabe verknüpft sind. Dies liegt daran, dass die ressourcenbasierte RichtlinieAWS RAMwird an jede Ressource angehängt, die von der Share verwendet wird"Principal": "*". Weitere Informationen finden Sie unter Auswirkungen der Verwendung"Principal": "*"in einer ressourcenbasierten Politik.

    Die Principals der anderen Konten, die die Aktie konsumieren, erhalten nicht sofort Zugriff auf die Ressourcen der Aktie. Die Administratoren der anderen Konten müssen zunächst identitätsbasierte Berechtigungsrichtlinien an die entsprechenden Principals anhängen. Diese Richtlinien müssen Folgendes gewährenAllowZugriff auf die ARNs einzelner Ressourcen im Resource Share. Die Berechtigungen in diesen Richtlinien dürfen die in der verwalteten Berechtigung für die Ressourcenfreigabe angegebenen Berechtigungen nicht überschreiten.

Ressourcenbasierte Richtlinie

Ressourcenbasierte Richtlinien sind JSON-Textdokumente, die IAM-Richtliniensprache implementieren. Im Gegensatz zu identitätsbasierten Richtlinien, die Sie an den Prinzipal anfügen können, wie z. B. IAM-Gruppen oder -Gruppen, fügen Sie ressourcenbasierte Richtlinien an die Ressource an.AWS RAMerstellt in Ihrem Namen ressourcenbasierte Richtlinien auf der Grundlage der Informationen, die Sie für Ihren Resource Share angeben. Sie müssen angeben:PrincipalRichtlinienelement, das bestimmt, wer auf die Ressource zugreifen kann. Weitere Informationen finden Sie unterIdentitätsbasierte Richtlinien und ressourcenbasierte Richtlinienin derIAM User Guide.

Die ressourcenbasierten Richtlinien werden generiert vonAWS RAMwerden zusammen mit allen anderen IAM-Richtlinientypen bewertet. Dazu gehören alle identitätsbasierten IAM-Richtlinien, die den Prinzipalen zugewiesen sind, die versuchen, auf die Ressource zuzugreifen, sowie Service Control Policies (SCPs) fürAWS Organizationsdas könnte gelten fürAWS-Konto. Ressourcenbasierte Richtlinien generiert vonAWS RAMunterliegen derselben Richtlinienbewertungslogik wie alle anderen IAM-Richtlinien. Vollständige Informationen zur Richtlinienbewertung und zur Bestimmung der daraus resultierenden Berechtigungen finden Sie unterAuswertungslogik für Richtlinienin derIAM User Guide.

AWS RAMbietet ein einfaches und sicheres Erlebnis beim Teilen von Ressourcen, indem easy-to-use ressourcenbasierte abstraktionsbasierte Richtlinien.

Für die Ressourcentypen, die ressourcenbasierte Richtlinien unterstützen,AWS RAMerstellt und verwaltet automatisch die ressourcenbasierten Richtlinien für Sie. Für eine bestimmte RessourceAWS RAMerstellt die ressourcenbasierte Richtlinie, indem die Informationen aus allen Ressourcenfreigaben kombiniert werden, zu denen diese Ressource gehört. Stellen Sie sich zum Beispiel einen Amazon vor SageMaker Pipeline, die Sie gemeinsam nutzenAWS RAMund in zwei verschiedene Ressourcenfreigaben einbeziehen. Sie könnten eine Ressourcenfreigabe verwenden, um Ihrer gesamten Organisation schreibgeschützten Zugriff zu gewähren. Sie könnten dann die andere Ressourcenfreigabe verwenden, um nur zu gewähren SageMaker Ausführungsberechtigungen für ein einzelnes Konto.AWS RAMkombiniert diese beiden unterschiedlichen Berechtigungssätze automatisch zu einer einzigen Ressourcenrichtlinie mit mehreren Anweisungen. Anschließend fügt es die kombinierte ressourcenbasierte Richtlinie an die Pipeline-Ressource an. Sie können sich diese zugrunde liegende Ressourcenrichtlinie ansehen, indem SieGetResourcePolicyBetrieb.AWS-Servicesverwenden Sie dann diese ressourcenbasierte Richtlinie, um jeden Prinzipal zu autorisieren, der versucht, eine Aktion mit der gemeinsam genutzten Ressource auszuführen.

Sie können die ressourcenbasierten Richtlinien zwar manuell erstellen und sie Ihren Ressourcen zuordnen, indem Sie Folgendes aufrufenPutResourcePolicy, wir empfehlen Ihnen zu verwendenAWS RAMweil es folgende Vorteile bietet:

  • Auffindbarkeit für Aktienverbraucher— Wenn Sie Ressourcen teilen, indem SieAWS RAM, können Benutzer alle Ressourcen, die mit ihnen geteilt wurden, direkt in der Konsole und in den API-Vorgängen des Dienstes, der die Ressourcen besitzt, sehen, als ob sich diese Ressourcen direkt im Konto des Benutzers befinden würden. Wenn Sie beispielsweise eine teilenAWS CodeBuildEin Projekt mit einem anderen Konto können Benutzer des Benutzerkontos das Projekt in der CodeBuild Konsole und in den Ergebnissen von CodeBuild API-Operationen wurden ausgeführt. Ressourcen, die durch direktes Anhängen einer ressourcenbasierten Richtlinie gemeinsam genutzt werden, sind auf diese Weise nicht sichtbar. Stattdessen müssen Sie die Ressource anhand ihres ARN ermitteln und explizit darauf verweisen.

  • Verwaltbarkeit für Inhaber von Anteilen— Wenn Sie Ressourcen gemeinsam nutzenAWS RAM, können Ressourcenbesitzer im Sharing-Konto zentral sehen, welche anderen Konten Zugriff auf ihre Ressourcen haben. Wenn Sie eine Ressource mithilfe einer ressourcenbasierten Richtlinie gemeinsam nutzen, können Sie die Konten, die sie verbrauchen, nur sehen, wenn Sie die Richtlinie für einzelne Ressourcen in der entsprechenden Servicekonsole oder API überprüfen.

  • Effizienz— Wenn Sie Ressourcen teilen, indem SieAWS RAM, Sie können mehrere Ressourcen gemeinsam nutzen und sie als Einheit verwalten. Ressourcen, die nur mithilfe von ressourcenbasierten Richtlinien gemeinsam genutzt werden, erfordern individuelle Richtlinien, die an jede Ressource angehängt werden, die Sie gemeinsam nutzen.

  • Einfachheit— MitAWS RAM, Sie müssen die JSON-basierte IAM-Richtliniensprache nicht verstehen können.AWS RAMbietet ready-to-use AWSverwaltete Berechtigungen, aus denen Sie wählen können, um sie an Ihre Ressourcenfreigaben anzuhängen.

Durch die Verwendung vonAWS RAM, können Sie sogar einige Ressourcentypen gemeinsam nutzen, die noch keine ressourcenbasierten Richtlinien unterstützen. Für solche RessourcentypenAWS RAMgeneriert automatisch eine ressourcenbasierte Richtlinie als Darstellung der tatsächlichen Berechtigungen. Benutzer können sich diese Darstellung ansehen, indem sie anrufenGetResourcePolicy. Dazu gehören folgende Ressourcentypen:

  • Amazon Aurora — DB-Cluster

  • Amazon EC2 — Kapazitätsreservierungen und dedizierte Hosts

  • AWS License Manager— Lizenzkonfigurationen

  • AWS Outposts— Routentabellen, Außenposten und Standorte für lokale Gateways

  • Amazon Route 53 — Speditionsregeln

  • Amazon Virtual Private Cloud — Kundeneigene IPv4-Adressen, Präfixlisten, Subnetze, Traffic Mirror-Ziele, Transit-Gateways und Transit-Gateway-Multicast-Domänen

Beispiele fürAWS RAMgenerierte ressourcenbasierte Richtlinien

Wenn Sie eine EC2 Image Builder Builder-Image-Ressource mit einer Einzelperson teilenKonto,AWS RAMgeneriert eine Richtlinie, die wie das folgende Beispiel aussieht, und hängt sie an alle Bildressourcen an, die in der Ressourcenfreigabe enthalten sind.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:root"}, "Action": [ "imagebuilder:GetImage", "imagebuilder:ListImages", ], "Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44" } ] }

Wenn Sie eine EC2 Image Builder Builder-Image-Ressource gemeinsam mit einemIAM-Rolle oder -Benutzerin einem anderenAWS-Konto,AWS RAMgeneriert eine Richtlinie, die wie das folgende Beispiel aussieht, und hängt sie an alle Bildressourcen an, die in der Ressourcenfreigabe enthalten sind.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/MySampleRole" }, "Action": [ "imagebuilder:GetImage", "imagebuilder:ListImages", ], "Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44" } ] }

Wenn Sie eine EC2 Image Builder Builder-Image-Ressource mit allen Konten in einer Organisation oder mit den Konten einer Organisationseinheit gemeinsam nutzen,AWS RAMgeneriert eine Richtlinie, die wie das folgende Beispiel aussieht, und fügt sie allen Bildressourcen hinzu, die in der Ressourcenfreigabe enthalten sind.

Anmerkung

Diese Richtlinie verwendet"Principal": "*"und verwendet dann die"Condition"Element, um Berechtigungen auf Identitäten zu beschränken, die den angegebenen entsprechenPrincipalOrgID. Weitere Informationen finden Sie unter Auswirkungen der Verwendung"Principal": "*"in einer ressourcenbasierten Politik.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": [ "imagebuilder:GetImage", "imagebuilder:ListImages", ], "Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44" "Condition": { "StringEquals": { "aws:PrincipalOrgID": "o-123456789" } } } ] }

Auswirkungen der Verwendung"Principal": "*"in einer ressourcenbasierten Politik

Wenn Sie einschließen"Principal": "*"In einer ressourcenbasierten Richtlinie gewährt die Richtlinie Zugriff auf alle IAM-Prinzipale in dem Konto, das die Ressource enthält, vorbehaltlich aller Einschränkungen, die durch eineConditionElement, falls es existiert. ExplizitDenyAussagen in allen Richtlinien, die für den aufrufenden Principal gelten, haben Vorrang vor den durch diese Richtlinie gewährten Berechtigungen. Jedoch einimplizit Deny(was das Fehlen einesnicht jugendfrei Allow) in allen geltenden Identitäts-, Berechtigungsgrenzen- oder Sitzungsrichtliniennichtresultiert inDenyan die Schulleiter, die im Rahmen einer solchen ressourcenbasierten Richtlinie Zugriff auf eine Aktion erhalten haben.

Wenn dieses Verhalten für Ihr Szenario nicht wünschenswert ist, können Sie dieses Verhalten einschränken, indem Sie einnicht jugendfrei DenyErklärung zu einer Identitätsrichtlinie, einer Berechtigungsgrenze oder einer Sitzungsrichtlinie, die sich auf die entsprechenden Rollen und Benutzer auswirkt.

Verwaltete Berechtigungen

Verwaltete Berechtigungen definieren, welche Aktionen Prinzipale unter welchen Bedingungen für unterstützte Ressourcentypen in einer Ressourcenfreigabe ausführen können. Wenn Sie eine Ressourcenfreigabe erstellen, müssen Sie angeben können, welche verwalteten Berechtigungen Sie für die einzelnen in der Ressourcenfreigabe enthaltenen Ressourcentypen verwenden können. Eine verwaltete Berechtigung listet den Satz vonactionsundBedingungendass Principals mit der gemeinsam genutzten Ressource arbeiten könnenAWS RAM.

Sie können nur eine verwaltete Berechtigung für jeden Ressourcentyp in einer Ressourcenfreigabe anhängen. Sie können keine Ressourcenfreigabe erstellen, bei der einige Ressourcen eines bestimmten Typs eine verwaltete Berechtigung und andere Ressourcen desselben Typs eine andere verwaltete Berechtigung verwenden. Dazu müssten Sie zwei verschiedene Ressourcenfreigaben erstellen und die Ressourcen auf diese aufteilen, sodass jeder Gruppe unterschiedliche verwaltete Berechtigungen zugewiesen werden. Es gibt zwei verschiedene Arten von verwalteten Berechtigungen:

AWSverwaltete Berechtigungen

AWSverwaltete Berechtigungen werden erstellt und verwaltet vonAWSund gewähren Berechtigungen für gängige Kundenszenarien.AWS RAMdefiniert mindestens einenAWSverwaltete Berechtigungen für jeden unterstützten Ressourcentyp. Einige Ressourcentypen unterstützen mehr als einenAWSverwaltete Berechtigung, wobei eine verwaltete Berechtigung alsAWSStandard. DerStandardAWSverwaltete Berechtigungist verknüpft, sofern Sie nichts anderes angeben.

Vom Kunden verwaltete Berechtigungen

Kundenverwaltete Berechtigungen sind verwaltete Berechtigungen, die Sie erstellen und verwalten, indem Sie genau angeben, welche Aktionen unter welchen Bedingungen mit gemeinsam genutzten Ressourcen ausgeführt werden könnenAWS RAM. Sie möchten beispielsweise den Lesezugriff für Ihre Amazon VPC IP Address Manager (IPAM) -Pools einschränken, die Ihnen helfen, Ihre IP-Adressen in großem Umfang zu verwalten. Sie können kundenverwaltete Berechtigungen für Ihre Entwickler einrichten, um IP-Adressen zuzuweisen, aber nicht den IP-Adressbereich einsehen, den andere Entwicklerkonten zuweisen. Sie können die bewährte Methode der Methode der geringsten Rechte anwenden, indem Sie nur die Berechtigungen gewähren können, die für die Ausführung von Aufgaben an gemeinsam genutzten Ressourcen erforderlich sind.

Sie definieren Ihre eigenen Berechtigungen für einen Ressourcentyp in einer gemeinsam genutzten Ressource mit der Option, Bedingungen hinzuzufügen, wieGlobale Kontexttastenundservicespezifische Schlüsselum die Bedingungen festzulegen, unter denen Principals Zugriff auf die Ressource haben. Diese Berechtigungen können in einer oder mehreren verwendet werdenAWS RAMAktien. Kundenverwaltete Berechtigungen sind regionsspezifisch.

AWS RAMverwendet verwaltete Berechtigungen als Eingabe für die Erstellung desressourcenbasierte Richtlinienfür die Ressourcen, die Sie gemeinsam nutzen.

Version mit verwalteten Berechtigungen

Jede Änderung an einer verwalteten Berechtigung wird als neue Version dieser verwalteten Berechtigung dargestellt. Die neue Version ist die Standardversion für alle neuen Ressourcenfreigaben. Für jede verwaltete Berechtigung ist immer eine Version als Standardversion festgelegt. Wenn du oderAWSerstellt eine neue Version mit verwalteten Berechtigungen, müssen Sie die verwalteten Berechtigungen für jede vorhandene Ressourcenfreigabe explizit aktualisieren. In diesem Schritt können Sie die Änderungen auswerten, bevor Sie sie auf Ihre Ressourcenfreigabe anwenden. Für alle neuen Ressourcenfreigaben wird automatisch die neue Version der verwalteten Berechtigungen für den entsprechenden Ressourcentyp verwendet.

AWSVersionen mit verwalteten Berechtigungen

AWSverarbeitet alle Änderungen anAWSverwaltete Berechtigungen. Solche Änderungen betreffen neue Funktionen oder beheben festgestellte Mängel. Sie können nur die Standardversion mit verwalteten Berechtigungen auf Ihre Ressourcenfreigaben anwenden.

Versionen mit vom Kunden verwalteten Berechtigungen

Sie kümmern sich um alle Änderungen an den vom Kunden verwalteten Berechtigungen. Sie können eine neue Standardversion erstellen, eine ältere Version als Standardversion festlegen oder Versionen löschen, die keinen Ressourcenfreigaben mehr zugeordnet sind. Jede vom Kunden verwaltete Berechtigung kann bis zu fünf Versionen haben.

Wenn Sie eine Ressourcenfreigabe erstellen oder aktualisieren, können Sie nur die Standardversion der angegebenen verwalteten Berechtigung anhängen. Weitere Informationen finden Sie unter AktualisierungAWS verwalteter Berechtigungen auf eine neuere Version.