Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Identitäts- und Zugriffsmanagement für AWS Resource Access Manager
AWS Identity and Access Management (IAM) ist ein AWS Dienst, der einem Administrator hilft, den Zugriff auf AWS Ressourcen sicher zu kontrollieren. Administratoren in IAM kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Ressourcen zu verwenden. AWS Mithilfe von IAM erstellen Sie Prinzipale wie Rollen, Benutzer und Gruppen in Ihrem. AWS-Konto Sie kontrollieren die Berechtigungen, die diese Prinzipale haben, um Aufgaben mithilfe von Ressourcen auszuführen. AWS Sie können IAM ohne zusätzliche Kosten nutzen. Weitere Informationen zur Verwaltung und Erstellung benutzerdefinierter IAM-Richtlinien finden Sie unter [Verwaltung von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Wie AWS RAM funktioniert mit IAM](security-iam-policies.md)
+ [AWS verwaltete Richtlinien für AWS Resource Access Manager](security-iam-awsmanpol.md)
+ [Verwenden von serviceverknüpften Rollen für AWS RAM](using-service-linked-roles.md)
+ [Beispiele für IAM-Richtlinien für AWS RAM](security-iam-policies-examples.md)
+ [Beispiele für Dienststeuerungsrichtlinien für AWS Organizations und AWS RAM](security-scp.md)
+ [Deaktivieren der gemeinsamen Nutzung von Ressourcen mit AWS Organizations](security-disable-sharing-with-orgs.md)
# Wie AWS RAM funktioniert mit IAM
Standardmäßig sind IAM-Prinzipale nicht berechtigt, Ressourcen zu erstellen oder zu ändern. AWS RAM Um es IAM-Prinzipalen zu ermöglichen, Ressourcen zu erstellen oder zu ändern und Aufgaben auszuführen, führen Sie einen der folgenden Schritte aus. Diese Aktionen gewähren die Erlaubnis, bestimmte Ressourcen und API-Aktionen zu verwenden.
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
+ Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter [Erstellen eines Berechtigungssatzes](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
+ Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter [Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) im *IAM-Benutzerhandbuch*.
+ IAM-Benutzer:
+ Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter [Eine Rolle für einen IAM-Benutzer erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) im *IAM-Benutzerhandbuch*.
+ (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter [Hinzufügen von Berechtigungen zu einem Benutzer (Konsole)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
AWS RAM bietet mehrere AWS verwaltete Richtlinien, die Sie verwenden können, um den Bedürfnissen vieler Benutzer gerecht zu werden. Weitere Informationen dazu finden Sie unter [AWS verwaltete Richtlinien für AWS Resource Access Manager](security-iam-awsmanpol.md).
Wenn Sie eine genauere Kontrolle über die Berechtigungen benötigen, die Sie Ihren Benutzern gewähren, können Sie in der IAM-Konsole Ihre eigenen Richtlinien erstellen. *Informationen zum Erstellen von Richtlinien und zum Anhängen dieser Richtlinien an Ihre IAM-Rollen und -Benutzer finden Sie im Benutzerhandbuch unter [Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html).AWS Identity and Access Management *
Die folgenden Abschnitte enthalten die AWS RAM spezifischen Details zum Erstellen einer IAM-Berechtigungsrichtlinie.
**Contents**
+ [Richtlinienstruktur](#structure)
+ [Auswirkung](#iam-policies-effect)
+ [Action](#iam-policies-action)
+ [Ressource](#iam-policies-resource)
+ [Bedingung](#iam-policies-condition)
## Richtlinienstruktur
Eine IAM-Berechtigungsrichtlinie ist ein JSON-Dokument, das die folgenden Aussagen enthält: Effect, Action, Resource und Condition. Eine IAM-Richtlinie hat in der Regel die folgende Form.
```
{
"Statement":[{
"Effect":"",
"Action":"",
"Resource":"",
"Condition":{
"":{
"":""
}
}
}]
}
```
### Auswirkung
Die *Effect-Anweisung* gibt an, ob die Richtlinie einem Hauptbenutzer die Erlaubnis zur Ausführung einer Aktion gewährt oder verweigert. Zu den möglichen Werten gehören: `Allow` und`Deny`.
### Action
Die *Action-Anweisung* gibt die AWS RAM API-Aktionen an, für die die Richtlinie die Genehmigung zulässt oder verweigert. Eine vollständige Liste der zulässigen Aktionen finden Sie AWS Resource Access Manager im *IAM-Benutzerhandbuch* unter [Definierte Aktionen von](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsresourceaccessmanager.html#awsresourceaccessmanager-actions-as-permissions).
### Ressource
In der *Ressourcenanweisung* werden die AWS RAM Ressourcen angegeben, die von der Richtlinie betroffen sind. Um eine Ressource in der Anweisung anzugeben, müssen Sie ihren eindeutigen Amazon-Ressourcennamen (ARN) verwenden. Eine vollständige Liste der zulässigen Ressourcen finden Sie unter [Resources defined by AWS Resource Access Manager](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsresourceaccessmanager.html#awsresourceaccessmanager-resources-for-iam-policies) im *IAM-Benutzerhandbuch*.
### Bedingung
*Zustandsanweisungen* sind optional. Sie können verwendet werden, um die Bedingungen, unter denen die Richtlinie gilt, weiter zu verfeinern. AWS RAM unterstützt die folgenden Bedingungsschlüssel:
+ `aws:RequestTag/${TagKey}`— Testet, ob die Serviceanfrage ein Tag mit dem angegebenen Tag-Schlüssel enthält, existiert und den angegebenen Wert hat.
+ `aws:ResourceTag/${TagKey}`— Testet, ob der Ressource, auf die die Serviceanfrage reagiert hat, ein Tag mit einem Tag-Schlüssel angehängt ist, den Sie in der Richtlinie angeben.
Mit der folgenden Beispielbedingung wird überprüft, ob der Ressource, auf die in der Serviceanfrage verwiesen wird, ein Tag mit dem Schlüsselnamen „Owner“ und dem Wert „Dev Team“ angehängt ist.
```
"Condition" : {
"StringEquals" : {
"aws:ResourceTag/Owner" : "Dev Team"
}
}
```
+ `aws:TagKeys`— Gibt die Tag-Schlüssel an, die verwendet werden müssen, um eine Ressourcenfreigabe zu erstellen oder zu kennzeichnen.
+ `ram:AllowsExternalPrincipals`— Testet, ob die Ressourcenfreigabe in der Serviceanfrage die gemeinsame Nutzung mit externen Prinzipalen ermöglicht. Bei AWS Organizations einem externen Principal handelt es sich um einen AWS-Konto externen Principal innerhalb Ihrer Organisation. Wenn das Ergebnis ergibt`False`, können Sie diese Ressourcenfreigabe nur mit Konten in derselben Organisation teilen.
+ `ram:PermissionArn`— Testet, ob der in der Serviceanfrage angegebene Berechtigungs-ARN mit einer ARN-Zeichenfolge übereinstimmt, die Sie in der Richtlinie angeben.
+ `ram:PermissionResourceType`— Testet, ob die in der Serviceanfrage angegebene Berechtigung für den Ressourcentyp gültig ist, den Sie in der Richtlinie angeben. Geben Sie Ressourcentypen in dem Format an, das in der Liste der [gemeinsam nutzbaren Ressourcentypen](shareable.md) angezeigt wird.
+ `ram:Principal`— Testet, ob der ARN des in der Serviceanfrage angegebenen Principals mit einer ARN-Zeichenfolge übereinstimmt, die Sie in der Richtlinie angeben.
+ `ram:RequestedAllowsExternalPrincipals`— Testet, ob die Serviceanfrage den `allowExternalPrincipals` Parameter enthält und ob sein Argument mit dem Wert übereinstimmt, den Sie in der Richtlinie angeben.
+ `ram:RequestedResourceType`— Testet, ob der Ressourcentyp der Ressource, auf die reagiert wird, mit einer Ressourcentyp-Zeichenfolge übereinstimmt, die Sie in der Richtlinie angeben. Geben Sie Ressourcentypen in dem Format an, das in der Liste der [gemeinsam nutzbaren Ressourcentypen](shareable.md) angezeigt wird.
+ `ram:ResourceArn`— Testet, ob der ARN der Ressource, auf die die Serviceanfrage reagiert, mit einem ARN übereinstimmt, den Sie in der Richtlinie angeben.
+ `ram:ResourceShareName`— Testet, ob der Name der Ressourcenfreigabe, auf die die Serviceanfrage reagiert, mit einer Zeichenfolge übereinstimmt, die Sie in der Richtlinie angeben.
+ `ram:ShareOwnerAccountId`— Prüft, ob die Konto-ID-Nummer der Ressourcenfreigabe, auf die die Serviceanfrage reagiert, mit einer Zeichenfolge übereinstimmt, die Sie in der Richtlinie angeben.
# AWS verwaltete Richtlinien für AWS Resource Access Manager
AWS Resource Access Manager bietet derzeit mehrere AWS RAM verwaltete Richtlinien, die in diesem Thema beschrieben werden.
**Topics**
+ [AWSResourceAccessManagerReadOnlyAccess](#security-iam-managed-policies-AWSResourceAccessManagerReadOnlyAccess)
+ [AWSResourceAccessManagerFullAccess](#security-iam-managed-policies-AWSResourceAccessManagerFullAccess)
+ [AWSResourceAccessManagerResourceShareParticipantAccess](#security-iam-managed-policies-AWSResourceAccessManagerResourceShareParticipantAccess)
+ [AWSResourceAccessManagerServiceRolePolicy](#security-iam-managed-policies-AWSResourceAccessManagerServiceRolePolicy)
+ [Richtlinienaktualisierungen](#security-iam-awsmanpol-updates)
In der obigen Liste können Sie die ersten drei Richtlinien Ihren IAM-Rollen, -Gruppen und -Benutzern zuordnen, um Berechtigungen zu gewähren. Die letzte Richtlinie in der Liste ist für die dienstbezogene Rolle des AWS RAM Dienstes reserviert.
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet AWS wird. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
## AWS verwaltete Richtlinie: AWSResource AccessManagerReadOnlyAccess
Sie können die `AWSResourceAccessManagerReadOnlyAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt nur Leseberechtigungen für die Ressourcenfreigaben, deren Eigentümer Sie sind. AWS-Konto
Zu diesem Zweck wird die Berechtigung zum Ausführen aller OR-Operationen erteilt. `Get*` `List*` Es bietet keine Möglichkeit, eine Ressourcenfreigabe zu ändern.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `ram`— Ermöglicht Prinzipalen das Einsehen von Details zu den Ressourcenfreigaben, die dem Konto gehören.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ram:Get*",
"ram:List*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS verwaltete Richtlinie: AWSResource AccessManagerFullAccess
Sie können die `AWSResourceAccessManagerFullAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie bietet vollen Administratorzugriff zum Anzeigen oder Ändern der Ressourcenfreigaben, deren Eigentümer Sie sind AWS-Konto.
Zu diesem Zweck erteilt sie die Erlaubnis, alle `ram` Operationen auszuführen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `ram`— Ermöglicht es Prinzipalen, alle Informationen über die Ressourcenfreigaben anzuzeigen oder zu ändern, die Eigentum von sind. AWS-Konto
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ram:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS verwaltete Richtlinie: AWSResource AccessManagerResourceShareParticipantAccess
Sie können die `AWSResourceAccessManagerResourceShareParticipantAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie bietet Principals die Möglichkeit, gemeinsam genutzte Ressourcenfreigaben zu akzeptieren oder abzulehnen und Details zu diesen Ressourcenfreigaben einzusehen. AWS-Konto Sie bietet keine Möglichkeit, diese Ressourcenfreigaben zu ändern.
Dazu wird die Erlaubnis erteilt, einige `ram` Operationen auszuführen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `ram`— Ermöglicht Prinzipalen, Einladungen zur gemeinsamen Nutzung von Ressourcen anzunehmen oder abzulehnen und Details zu den gemeinsam genutzten Ressourcen für das Konto einzusehen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ram:AcceptResourceShareInvitation",
"ram:GetResourcePolicies",
"ram:GetResourceShareInvitations",
"ram:GetResourceShares",
"ram:ListPendingInvitationResources",
"ram:ListPrincipals",
"ram:ListResources",
"ram:RejectResourceShareInvitation"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS verwaltete Richtlinie: AWSResource AccessManagerServiceRolePolicy
Die AWS verwaltete Richtlinie `AWSResourceAccessManagerServiceRolePolicy` kann nur mit der serviceverknüpften Rolle für AWS RAM verwendet werden. Sie können diese Richtlinie nicht anhängen, trennen, ändern oder löschen.
Diese Richtlinie AWS RAM bietet nur Lesezugriff auf die Struktur Ihrer Organisation. Wenn Sie die Integration zwischen AWS RAM und aktivieren AWS Organizations, AWS RAM wird automatisch eine dienstbezogene Rolle mit dem Namen erstellt [AWSServiceRoleForResourceAccessManager](https://console.aws.amazon.com/iam/home#/roles/AWSServiceRoleForResourceAccessManager), die der Dienst annimmt, wenn er Informationen über Ihre Organisation und deren Konten nachschlagen muss, z. B. wenn Sie die Struktur der Organisation in der Konsole anzeigen. AWS RAM
Zu diesem Zweck wird nur Lesezugriff für die Ausführung der `organizations:List` Vorgänge `organizations:Describe` und gewährt, die Einzelheiten zur Struktur und zu den Konten der Organisation bereitstellen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `organizations`— Ermöglicht es den Schulleitern, Informationen über die Struktur der Organisation, einschließlich der Organisationseinheiten und der AWS-Konten darin enthaltenen Informationen, einzusehen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListChildren",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListRoots"
],
"Resource": "*"
},
{
"Sid": "AllowDeletionOfServiceLinkedRoleForResourceAccessManager",
"Effect": "Allow",
"Action": [
"iam:DeleteRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/ram.amazonaws.com/*"
]
}
]
}
```
------
## AWS RAM Aktualisierungen der AWS verwalteten Richtlinien
Hier finden Sie Informationen zu Aktualisierungen AWS verwalteter Richtlinien, die AWS RAM seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst vorgenommen wurden. Abonnieren Sie den RSS-Feed auf der Seite AWS RAM Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| AWS Resource Access Manager hat begonnen, Änderungen zu verfolgen | AWS RAM dokumentierte die bestehenden verwalteten Richtlinien und begann, Änderungen nachzuverfolgen. | 16. September 2021 |
# Verwenden von serviceverknüpften Rollen für AWS RAM
AWS Resource Access Manager verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, die direkt mit dem Dienst verknüpft ist. AWS RAM Mit Diensten verknüpfte Rollen sind vordefiniert AWS und enthalten alle Berechtigungen, die erforderlich sind, AWS RAM um in Ihrem Namen andere AWS Dienste aufzurufen.
Eine dienstverknüpfte Rolle AWS RAM erleichtert die Konfiguration, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS RAM definiert die Berechtigungen ihrer dienstbezogenen Rollen und AWS RAM kann, sofern nicht anders definiert, nur ihre dienstbezogenen Rollen übernehmen. Die definierten Berechtigungen umfassen sowohl eine Vertrauensrichtlinie als auch eine Berechtigungsrichtlinie, und diese Berechtigungsrichtlinie kann keiner anderen IAM-Entität zugeordnet werden.
Informationen zu anderen Services, die serviceverknüpften Rollen unterstützen, finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie nach den Services, für die **Ja** in der Spalte **Serviceverknüpfte Rolle** angegeben ist. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
## Mit dem Dienst verknüpfte Rollenberechtigungen für AWS RAM
AWS RAM verwendet die dienstverknüpfte Rolle, die benannt wird`AWSServiceRoleForResourceAccessManager`, wenn Sie das Teilen mit aktivieren. AWS Organizations Diese Rolle gewährt dem AWS RAM Dienst die Berechtigung, Organisationsdetails einzusehen, z. B. die Liste der Mitgliedskonten und die Organisationseinheiten, in denen sich die einzelnen Konten befinden.
Diese dienstbezogene Rolle vertraut darauf, dass der folgende Dienst die Rolle übernimmt:
+ `ram.amazonaws.com`
Die genannte Richtlinie für Rollenberechtigungen AWSResource AccessManagerServiceRolePolicy ist an diese dienstbezogene Rolle angehängt und ermöglicht AWS RAM die Ausführung der folgenden Aktionen für die angegebenen Ressourcen:
+ Aktionen: schreibgeschützte Aktionen, mit denen Details zur Struktur Ihrer Organisation abgerufen werden. Die vollständige Liste der Aktionen finden Sie in der Richtlinie in der IAM-Konsole:. [AWSResourceAccessManagerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceAccessManagerServiceRolePolicy$jsonEditor)
Damit ein Principal die AWS RAM gemeinsame Nutzung innerhalb Ihrer Organisation aktivieren kann, muss dieser Principal (eine IAM-Entität wie ein Benutzer, eine Gruppe oder eine Rolle) über die Berechtigung verfügen, eine dienstbezogene Rolle zu erstellen. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Erstellen einer dienstbezogenen Rolle für AWS RAM
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie das AWS RAM Teilen innerhalb Ihrer Organisation in der AWS-Managementkonsole aktivieren oder [EnableSharingWithAwsOrganization](https://docs.aws.amazon.com/ram/latest/APIReference/API_EnableSharingWithAwsOrganization.html)in Ihrem Konto mithilfe der AWS CLI oder einer AWS API ausführen, AWS RAM wird die dienstbezogene Rolle für Sie erstellt.
Rufen Sie an`enable-sharing-with-aws-organizations`, um die serviceverknüpfte Rolle in Ihrem Konto zu erstellen.
Wenn Sie diese dienstbezogene Rolle löschen, ist sie nicht AWS RAM mehr berechtigt, die Details der Struktur Ihrer Organisation einzusehen.
## Bearbeitung einer dienstbezogenen Rolle für AWS RAM
AWS RAM erlaubt es Ihnen nicht, die AWSResource AccessManagerServiceRolePolicy dienstbezogene Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer serviceverknüpften Rolle für AWS RAM
Sie können die IAM-Konsole, die AWS CLI oder die AWS API verwenden, um die serviceverknüpfte Rolle manuell zu löschen.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die serviceverknüpfte Rolle zu löschen. `AWSResourceAccessManagerServiceRolePolicy` Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Leitfaden*.
## Unterstützte Regionen für serviceverknüpfte Rollen AWS RAM
AWS RAM unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Dienst verfügbar ist. Weitere Informationen finden Sie unter [AWS Regionen und Endpunkte](https://docs.aws.amazon.com/general/latest/gr/rande.html) in der *Allgemeine Amazon Web Services-Referenz*.
# Beispiele für IAM-Richtlinien für AWS RAM
Dieses Thema enthält Beispiele für IAM-Richtlinien AWS RAM , die die gemeinsame Nutzung bestimmter Ressourcen und Ressourcentypen sowie die Einschränkung der gemeinsamen Nutzung veranschaulichen.
**Topics**
+ [Erlauben Sie die gemeinsame Nutzung bestimmter Ressourcen](#owner-share-specific-resources)
+ [Erlauben Sie die gemeinsame Nutzung bestimmter Ressourcentypen](#owner-share-resource-types)
+ [Beschränken Sie das Teilen mit externen AWS-Konten](#control-access-owner-external)
## Beispiel 1: Erlauben Sie die gemeinsame Nutzung bestimmter Ressourcen
Sie können eine IAM-Berechtigungsrichtlinie verwenden, um Prinzipale darauf zu beschränken, nur bestimmte Ressourcen Ressourcenfreigaben zuzuordnen.
Die folgende Richtlinie beschränkt beispielsweise Principals darauf, nur die Resolver-Regel mit dem angegebenen Amazon-Ressourcennamen (ARN) zu teilen. Der Operator `StringEqualsIfExists` lässt eine Anfrage zu, wenn entweder die Anfrage keinen `ResourceArn` Parameter enthält oder wenn sie diesen Parameter enthält, wenn sein Wert genau dem angegebenen ARN entspricht.
Weitere Informationen darüber, wann und warum `...IfExists` Operatoren verwendet werden sollten, finden Sie unter[... IfExists Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists) im *IAM-Benutzerhandbuch*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"ram:ResourceArn": "arn:aws:route53resolver:us-west-2:123456789012:resolver-rule/rslvr-rr-5328a0899aexample"
}
}
}]
}
```
------
## Beispiel 2: Erlauben Sie die gemeinsame Nutzung bestimmter Ressourcentypen
Sie können eine IAM-Richtlinie verwenden, um Prinzipale darauf zu beschränken, Ressourcenfreigaben nur bestimmte Ressourcentypen zuzuordnen.
Die Aktionen `AssociateResourceShare` und `CreateResourceShare` können Prinzipale und `resourceArns` als unabhängige Eingabeparameter akzeptieren. AWS RAM Autorisiert daher jeden Prinzipal und jede Ressource unabhängig voneinander, sodass es mehrere [Anforderungskontexte](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic_policy-eval-reqcontext.html) geben kann. Das heißt, wenn ein Prinzipal einer AWS RAM Ressourcenfreigabe zugeordnet wird, ist der `ram:RequestedResourceType` Bedingungsschlüssel im Anforderungskontext nicht vorhanden. In ähnlicher Weise ist der `ram:Principal` Bedingungsschlüssel im Anforderungskontext nicht vorhanden, wenn eine AWS RAM Ressource einer Ressourcenfreigabe zugeordnet wird. Daher können Sie den `AssociateResourceShare` [`Null`Bedingungsoperator `CreateResourceShare`](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_Null) verwenden, um der Ressourcenfreigabe Prinzipale zuzuweisen und sie der AWS RAM Ressourcenfreigabe zuzuordnen.
Die folgende Richtlinie beschränkt beispielsweise Principals darauf, nur Amazon Route 53-Resolver-Regeln gemeinsam zu nutzen, und ermöglicht es ihnen, dieser Freigabe jeden Prinzipal zuzuordnen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowOnlySpecificResourceType",
"Effect": "Allow",
"Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
"Resource": "*",
"Condition": {
"StringEquals": {
"ram:RequestedResourceType": "route53resolver:ResolverRule"
}
}
},
{
"Sid": "AllowAssociatingPrincipals",
"Effect": "Allow",
"Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
"Resource": "*",
"Condition": {
"Null": {
"ram:Principal": "false"
}
}
}
]
}
```
------
## Beispiel 3: Beschränken Sie die gemeinsame Nutzung mit externen AWS-Konten
Sie können eine IAM-Richtlinie verwenden, um zu verhindern, dass Prinzipale Ressourcen mit Personen teilen AWS-Konten , die sich außerhalb ihrer AWS Organisation befinden.
Die folgende IAM-Richtlinie verhindert beispielsweise, dass Prinzipale externe AWS-Konten Ressourcen gemeinsam nutzen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ram:CreateResourceShare",
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "false"
}
}
}]
}
```
------
# Beispiele für Dienststeuerungsrichtlinien für AWS Organizations und AWS RAM
AWS RAM unterstützt Richtlinien zur Dienststeuerung (SCPs). SCPs sind Richtlinien, die Sie an Elemente in einer Organisation anhängen, um Berechtigungen innerhalb dieser Organisation zu verwalten. Ein SCP gilt für alle AWS-Konten [Unterkategorien des Elements, an das Sie den SCP anhängen](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_inheritance_auth.html). SCPs bieten eine zentrale Kontrolle über die maximal verfügbaren Berechtigungen für alle Konten in Ihrer Organisation. Sie können Ihnen dabei helfen, sicherzustellen, dass Sie die Richtlinien Ihrer Organisation für die Zugriffskontrolle einhalten. AWS-Konten Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html) im *AWS Organizations -Benutzerhandbuch*.
## Voraussetzungen
Um sie verwenden zu können SCPs, müssen Sie zunächst wie folgt vorgehen:
+ Aktivieren aller Funktionen in der Organisation. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Alle Funktionen in Ihrer Organisation aktivieren](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)
+ SCPs Für die Verwendung in Ihrer Organisation aktivieren. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinientypen aktivieren und deaktivieren](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html)
+ Erstellen Sie das SCPs , was Sie benötigen. Weitere Informationen zum Erstellen SCPs finden Sie unter [Erstellen und Aktualisieren SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scp-create.html) im *AWS Organizations Benutzerhandbuch*.
## Beispiel für Service-Kontrollrichtlinien
**Contents**
+ [Beispiel 1: Externes Teilen verhindern](#example-one)
+ [Beispiel 2: Verhindern Sie, dass Benutzer Einladungen zur gemeinsamen Nutzung von Ressourcen von externen Konten außerhalb Ihrer Organisation annehmen](#example-two)
+ [Beispiel 3: Erlauben Sie bestimmten Konten, bestimmte Ressourcentypen gemeinsam zu nutzen](#example-three)
+ [Beispiel 4: Verhindern Sie die gemeinsame Nutzung mit der gesamten Organisation oder mit Organisationseinheiten](#example-four)
+ [Beispiel 5: Erlaube die gemeinsame Nutzung nur mit bestimmten Principals](#example-five)
+ [Beispiel 6: Verhindern Sie gemeinsame Nutzung von Ressourcen, wenn diese Option aktiviert RetainSharingOnAccountLeaveOrganization ist](#example-six)
In den folgenden Beispielen wird veranschaulicht, wie Sie verschiedene Aspekte der Ressourcenfreigabe in einer Organisation steuern können.
### Beispiel 1: Externes Teilen verhindern
Das folgende SCP verhindert, dass Benutzer Ressourcenfreigaben erstellen, die die gemeinsame Nutzung mit Prinzipalen ermöglichen, die sich außerhalb der Organisation des gemeinsam genutzten Benutzers befinden.
AWS RAM autorisiert APIs separat für jeden Prinzipal und jede Ressource, die im Anruf aufgeführt sind.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:UpdateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "true"
}
}
}
]
}
```
------
### Beispiel 2: Verhindern Sie, dass Benutzer Einladungen zur gemeinsamen Nutzung von Ressourcen von externen Konten außerhalb Ihrer Organisation annehmen
Der folgende SCP verhindert, dass alle Benutzer in einem betroffenen Konto eine Einladung zur Nutzung eines Resource Shares annehmen. Ressourcenfreigaben, die für andere Konten in derselben Organisation wie das Sharing-Konto gemeinsam genutzt werden, generieren keine Einladungen und sind daher von diesem SCP nicht betroffen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ram:AcceptResourceShareInvitation",
"Resource": "*"
}
]
}
```
------
### Beispiel 3: Erlauben Sie bestimmten Konten, bestimmte Ressourcentypen gemeinsam zu nutzen
Das folgende SCP erlaubt *nur* Konten `111111111111` und `222222222222` das Erstellen neuer Ressourcenfreigaben, die Amazon EC2-Präfixlisten gemeinsam nutzen, oder das Zuordnen von Präfixlisten zu bestehenden Ressourcenfreigaben.
AWS RAM autorisiert APIs separat für jeden Prinzipal und jede Ressource, die im Call aufgeführt sind.
Der Operator `StringEqualsIfExists` lässt eine Anfrage zu, wenn entweder die Anforderung keinen Ressourcentypparameter enthält oder wenn sie diesen Parameter enthält, wenn sein Wert genau dem angegebenen Ressourcentyp entspricht. Wenn Sie einen Schulleiter einbeziehen, müssen Sie ihn haben`...IfExists`.
Weitere Informationen darüber, wann und warum `...IfExists` Operatoren verwendet werden sollten, finden Sie unter[... IfExists Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists) im *IAM-Benutzerhandbuch*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [
"111111111111",
"222222222222"
]
},
"StringEqualsIfExists": {
"ram:RequestedResourceType": "ec2:PrefixList"
}
}
}
]
}
```
------
### Beispiel 4: Verhindern Sie die gemeinsame Nutzung mit der gesamten Organisation oder mit Organisationseinheiten
Das folgende SCP verhindert, dass Benutzer Ressourcenfreigaben erstellen, die Ressourcen mit einer gesamten Organisation oder mit beliebigen Organisationseinheiten gemeinsam nutzen. Benutzer *können Daten* mit einzelnen Personen AWS-Konten in der Organisation oder mit IAM-Rollen oder -Benutzern teilen.
AWS RAM autorisiert APIs separat für jeden Prinzipal und jede Ressource, die im Call aufgeführt sind.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ram:Principal": [
"arn:aws:organizations::*:organization/*",
"arn:aws:organizations::*:ou/*"
]
}
}
}
]
}
```
------
### Beispiel 5: Erlaube die gemeinsame Nutzung nur mit bestimmten Principals
Das folgende Beispiel mit SCP ermöglicht es Benutzern, Ressourcen *nur* mit der `o-12345abcdef,` Organisationseinheit `ou-98765fedcba` der Organisation und gemeinsam zu nutzen. AWS-Konto `111111111111`
Wenn Sie beispielsweise `StringNotEqualsIfExists` ein `"Effect": "Deny"` Element mit einem negierten Bedingungsoperator verwenden, wird die Anfrage auch dann abgelehnt, wenn der Bedingungsschlüssel nicht vorhanden ist. Verwenden Sie einen Bedingungsoperator `Null`, um zu prüfen, ob ein Bedingungsschlüssel zum Zeitpunkt der Autorisierung abwesend ist.
AWS RAM autorisiert APIs separat für jeden Prinzipal und jede Ressource, die im Call aufgeführt sind.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"ram:Principal": [
"arn:aws:organizations::123456789012:organization/o-12345abcdef",
"arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
"111111111111"
]
},
"Null": {
"ram:Principal": "false"
}
}
}
]
}
```
------
### Beispiel 6: Verhindern Sie gemeinsame Nutzung von Ressourcen, wenn diese Option aktiviert RetainSharingOnAccountLeaveOrganization ist
Der folgende SCP verhindert, dass Benutzer Ressourcenfreigaben erstellen oder ändern, wenn der `ram:RetainSharingOnAccountLeaveOrganization` Bedingungsschlüssel auf `true` gesetzt ist.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare",
"ram:DisassociateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RetainSharingOnAccountLeaveOrganization": "true"
}
}
}
]
}
```
# Deaktivieren der gemeinsamen Nutzung von Ressourcen mit AWS Organizations
Wenn Sie zuvor das Teilen mit aktiviert haben AWS Organizations und Sie Ressourcen nicht mehr mit Ihrer gesamten Organisation oder Ihren Organisationseinheiten teilen müssen (OUs), können Sie das Teilen deaktivieren. Wenn Sie die gemeinsame Nutzung für deaktivieren AWS Organizations, OUs werden alle Organisationen oder Organisationen aus den von Ihnen erstellten Ressourcenfreigaben entfernt und sie verlieren den Zugriff auf die gemeinsam genutzten Ressourcen. Externe Konten (Konten, die per Einladung zur Resource Share hinzugefügt wurden) sind davon nicht betroffen und werden weiterhin mit der Resource Share verknüpft.
**Um das Teilen mit zu deaktivieren AWS Organizations**
1. Deaktivieren Sie den vertrauenswürdigen Zugriff auf die AWS Organizations Verwendung des AWS Organizations [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) AWS CLI Befehls.
```
$ aws organizations disable-aws-service-access --service-principal ram.amazonaws.com
```
**Wichtig**
Wenn Sie den vertrauenswürdigen Zugriff auf deaktivieren AWS Organizations, werden Prinzipale in Ihren Organisationen aus allen gemeinsam genutzten Ressourcen entfernt und verlieren den Zugriff auf diese gemeinsam genutzten Ressourcen.
1. Verwenden Sie die IAM-Konsole, die oder die IAM-API-Operationen AWS CLI, um die dienstverknüpfte Rolle zu löschen. **AWSServiceRoleForResourceAccessManager** Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.