Verwaltung von Berechtigungen in AWS RAM - AWS Resource Access Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwaltung von Berechtigungen in AWS RAM

In AWS RAM gibt es zwei Arten von verwalteten Berechtigungen: AWS verwaltete Berechtigungen und vom Kunden verwaltete Berechtigungen.

Verwaltete Berechtigungen definieren, wie ein Verbraucher auf die Ressourcen in einer gemeinsam genutzten Ressource reagieren kann. Wenn Sie eine Ressourcenfreigabe erstellen, müssen Sie angeben, welche verwalteten Berechtigungen für jeden in der Ressourcenfreigabe enthaltenen Ressourcentyp verwendet werden sollen. Die Richtlinienvorlage in der verwalteten Berechtigung enthält alles, was für eine ressourcenbasierte Richtlinie erforderlich ist, mit Ausnahme des Prinzipals und der Ressource. Der Amazon-Ressourcenname (ARN) der Ressource und der ARN der Principals, die der Ressourcenfreigabe zugeordnet sind, vervollständigen die Elemente einer ressourcenbasierten Richtlinie. AWS RAM verfasst dann die ressourcenbasierte Richtlinie, die allen Ressourcen in dieser Ressourcenfreigabe zugewiesen wird.

Jede verwaltete Berechtigung kann eine oder mehrere Versionen haben. Eine Version wird als Standardversion für diese verwaltete Berechtigung festgelegt. Gelegentlich AWS aktualisiert eine AWS verwaltete Berechtigung für einen Ressourcentyp, indem eine neue Version erstellt und diese neue Version als Standardversion festgelegt wird. Sie können Ihre vom Kunden verwalteten Berechtigungen auch aktualisieren, indem Sie neue Versionen erstellen. Verwaltete Berechtigungen, die bereits mit einer Ressourcenfreigabe verknüpft sind, werden nicht automatisch aktualisiert. Die AWS RAM Konsole zeigt an, wann eine neue Standardversion verfügbar ist, und Sie können die Änderungen in der neuen Standardversion im Vergleich zur vorherigen überprüfen.

Anmerkung

Wir empfehlen, so bald wie möglich auf die neue Version der AWS verwalteten Berechtigung zu aktualisieren. Diese Updates bieten in der Regel Unterstützung für neue oder aktualisierte Ressourcentypen, mit AWS-Services denen weitere Ressourcentypen gemeinsam genutzt werden können AWS RAM. Eine neue Standardversion kann auch Sicherheitslücken beheben und korrigieren.

Wichtig

Sie können nur die Standardversion der verwalteten Berechtigung an eine neue Ressourcenfreigabe anhängen.

Sie können die Liste der verfügbaren verwalteten Berechtigungen jederzeit abrufen. Weitere Informationen finden Sie unter Verwaltete Berechtigungen anzeigen.

Wie funktionieren verwaltete Berechtigungen

Sehen Sie sich für einen schnellen Überblick das folgende Video an, das zeigt, wie Sie mit verwalteten Berechtigungen die bewährte Methode des Zugriffs mit den geringsten Rechten auf Ihre AWS Ressourcen anwenden können.

In diesem Video wird gezeigt, wie vom Kunden verwaltete Berechtigungen nach der bewährten Methode der geringsten Rechte erstellt und verknüpft werden. Weitere Informationen finden Sie unter Erstellen und Verwenden von kundenverwalteten Berechtigungen in AWS RAM.

Wenn Sie eine Ressourcenfreigabe erstellen, ordnen Sie jedem Ressourcentyp, den Sie teilen möchten, eine AWS verwaltete Berechtigung zu. Wenn die verwaltete Berechtigung mehrere Versionen hat, verwendet die neue Ressourcenfreigabe immer die Version, die als Standard festgelegt wurde.

Nachdem Sie die Ressourcenfreigabe erstellt haben, AWS RAM verwendet die verwaltete Berechtigung, um eine ressourcenbasierte Richtlinie zu generieren, die jeder gemeinsam genutzten Ressource zugewiesen wird.

Die Richtlinienvorlage in einer verwalteten Berechtigung gibt Folgendes an:

Auswirkung

Gibt an, ob Allow oder ob Deny die Hauptberechtigung zur Ausführung eines Vorgangs auf einer gemeinsam genutzten Ressource besteht. Bei einer verwalteten Berechtigung gilt die Wirkung immerAllow. Weitere Informationen finden Sie unter Effekt im IAM-Benutzerhandbuch.

Aktion

Die Liste der Vorgänge, zu deren Ausführung der Principal berechtigt ist. Dies kann eine Aktion in der AWS Management Console oder eine Operation in der AWS Command Line Interface (AWS CLI) oder AWS API sein. Die Aktionen werden durch die AWS Berechtigung definiert. Weitere Informationen finden Sie unter Aktion im IAM-Benutzerhandbuch.

Bedingung

Wann und wie ein Principal mit einer Ressource in einer Resource Share interagieren kann. Bedingungen fügen Ihren gemeinsam genutzten Ressourcen eine zusätzliche Sicherheitsebene hinzu. Verwenden Sie sie, um den Zugriff für sensible Aktionen auf Ihre gemeinsam genutzten Ressourcen zu beschränken. Sie können beispielsweise Bedingungen angeben, nach denen die Aktionen aus einem bestimmten IP-Adressbereich des Unternehmens stammen müssen oder dass die Aktionen von Benutzern ausgeführt werden müssen, die mit Multi-Faktor-Authentifizierung authentifiziert wurden. Weitere Informationen zu Bedingungen finden Sie unter Kontextschlüssel für AWS globale Bedingungen im IAM-Benutzerhandbuch. Weitere Informationen zu dienstspezifischen Bedingungen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste in der Service Authorization Reference.

Anmerkung

Bedingungen sind für vom Kunden verwaltete Berechtigungen und unterstützte Ressourcentypen für AWS verwaltete Berechtigungen verfügbar.

Informationen zu Bedingungen, die von der Verwendung mit vom Kunden verwalteten Berechtigungen ausgeschlossen sind, finden Sie unterÜberlegungen zur Verwendung von vom Kunden verwalteten Berechtigungen in AWS RAM.

Arten von verwalteten Berechtigungen

Wenn Sie eine Ressourcenfreigabe erstellen, wählen Sie eine verwaltete Berechtigung aus, um sie jedem Ressourcentyp zuzuordnen, den Sie in die Ressourcenfreigabe aufnehmen. AWS verwaltete Berechtigungen werden vom Dienst definiert, der die AWS Ressource besitzt, und verwaltet von. AWS RAM Sie erstellen und verwalten Ihre eigenen vom Kunden verwalteten Berechtigungen.

  • AWS verwaltete Berechtigung — Für jeden AWS RAM unterstützten Ressourcentyp ist eine verwaltete Standardberechtigung verfügbar. Die verwaltete Standardberechtigung wird für einen Ressourcentyp verwendet, sofern Sie nicht ausdrücklich eine der zusätzlichen verwalteten Berechtigungen auswählen. Die standardmäßige verwaltete Berechtigung soll die gängigsten Kundenszenarien für die gemeinsame Nutzung von Ressourcen des angegebenen Typs unterstützen. Mit der standardmäßigen verwalteten Berechtigung können Principals bestimmte Aktionen ausführen, die vom Dienst für den Ressourcentyp definiert werden. Für den ec2:Subnet Ressourcentyp Amazon VPC können Principals mit der standardmäßigen verwalteten Berechtigung beispielsweise die folgenden Aktionen ausführen:

    • ec2:RunInstances

    • ec2:CreateNetworkInterface

    • ec2:DescribeSubnets

    Die Namen der AWS verwalteten Standardberechtigungen verwenden das folgende Format:. AWSRAMDefaultPermissionShareableResourceType Für den ec2:Subnet Ressourcentyp lautet der Name der standardmäßigen AWS verwalteten Berechtigung beispielsweiseAWSRAMDefaultPermissionSubnet.

    Anmerkung

    Die verwaltete Standardberechtigung unterscheidet sich von der Standardversion einer verwalteten Berechtigung. Alle verwalteten Berechtigungen, unabhängig davon, ob es sich um Standardberechtigungen oder um eine der zusätzlichen verwalteten Berechtigungen handelt, die von einigen Ressourcentypen unterstützt werden, sind separate, vollständige Berechtigungen mit unterschiedlichen Auswirkungen und Aktionen, die unterschiedliche Freigabeszenarien unterstützen, z. B. Lese-/Schreibzugriff oder Nur-Lese-Zugriff. Jede verwaltete Berechtigung, unabhängig davon, ob sie vom Kunden verwaltet AWS oder vom Kunden verwaltet wird, kann mehrere Versionen haben, von denen eine die Standardversion für diese Berechtigung ist.

    Wenn Sie beispielsweise einen Ressourcentyp gemeinsam nutzen, der sowohl eine verwaltete Read Vollzugriffsberechtigung Write als auch eine verwaltete Leseberechtigung unterstützt, können Sie eine Ressourcenfreigabe für den Administrator mit der verwalteten Vollzugriffsberechtigung erstellen. Sie können dann eine separate Ressourcenfreigabe für andere Entwickler erstellen, indem Sie die verwaltete Leseberechtigung verwenden, um der Praxis der Gewährung der geringsten Rechte zu folgen.

    Anmerkung

    Alle AWS Dienste, die mit funktionieren, AWS RAM unterstützen mindestens eine verwaltete Standardberechtigung. Sie können die verfügbaren Berechtigungen für die einzelnen Berechtigungen AWS-Service auf der Bibliotheksseite für verwaltete Berechtigungen einsehen. Auf dieser Seite finden Sie Einzelheiten zu allen verfügbaren verwalteten Berechtigungen, einschließlich aller Ressourcenfreigaben, die derzeit mit der Berechtigung verknüpft sind, und gegebenenfalls, ob die gemeinsame Nutzung mit externen Prinzipalen zulässig ist. Weitere Informationen finden Sie unter Verwaltete Berechtigungen anzeigen.

    Bei Diensten, die keine zusätzlichen verwalteten Berechtigungen unterstützen, wird beim Erstellen einer Ressourcenfreigabe AWS RAM automatisch die Standardberechtigung angewendet, die für den von Ihnen ausgewählten Ressourcentyp definiert ist. Falls unterstützt, haben Sie auch die Möglichkeit, auf der Seite Verwaltete Berechtigungen zuordnen die Option Vom Kunden verwaltete Berechtigungen erstellen auszuwählen.

  • Vom Kunden verwaltete Berechtigungen — Kundenverwaltete Berechtigungen sind verwaltete Berechtigungen, die Sie erstellen und verwalten, indem Sie genau angeben, welche Aktionen unter welchen Bedingungen mit Ressourcen ausgeführt werden können, die gemeinsam genutzt werden AWS RAM. Sie möchten beispielsweise den Lesezugriff für Ihre Amazon VPC IP Address Manager (IPAM) -Pools einschränken, die Ihnen helfen, Ihre IP-Adressen in großem Umfang zu verwalten. Sie können kundenverwaltete Berechtigungen für Ihre Entwickler einrichten, um IP-Adressen zuzuweisen, aber nicht den IP-Adressbereich einsehen, den andere Entwicklerkonten zuweisen. Sie können sich an die bewährte Methode der geringsten Rechte halten und nur die Berechtigungen gewähren, die für die Ausführung von Aufgaben auf gemeinsam genutzten Ressourcen erforderlich sind.