Verwaltung von Berechtigungen inAWS RAM - AWS Resource Access Manager
So funktionieren verwaltete BerechtigungenArten von verwalteten Berechtigungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwaltung von Berechtigungen inAWS RAM

InAWS RAM gibt es zwei Arten von verwalteten Berechtigungen:AWS verwaltete Berechtigungen und vom Kunden verwaltete Berechtigungen.

Verwaltete Berechtigungen definieren, wie ein Verbraucher auf die Ressourcen in einer Ressourcenfreigabe reagieren kann. Wenn Sie eine Ressourcenfreigabe erstellen, müssen Sie angeben, welche verwaltete Berechtigung für jeden Ressourcentyp verwendet werden soll, der in der Ressourcenfreigabe enthalten ist. Die Richtlinienvorlage in der verwalteten Berechtigung enthält alles, was für eine ressourcenbasierte Richtlinie benötigt wird, außer dem Principal und der Ressource. Der Amazon-Ressourcenname (ARN) der Ressourcenname (ARN) der Ressourcenname (ARN) der Ressourcenname (ARN) der Ressourcenname (ARN) der Ressourcenname (ARN) der Ressourcen. AWS RAMerstellt dann die ressourcenbasierte Richtlinie, die allen Ressourcen in diesem Ressourcenanteil zugewiesen wird.

Jede verwaltete Berechtigung kann über eine oder mehrere Versionen verfügen. Eine Version wird als Standardversion für diese verwaltete Berechtigung festgelegt. AWSAktualisiert gelegentlich eineAWS verwaltete Berechtigung für einen Ressourcentyp, indem eine neue Version erstellt und diese neue Version als Standardversion festgelegt wird. Sie können Ihre vom Kunden verwalteten Berechtigungen auch aktualisieren, indem Sie neue Versionen erstellen. Verwaltete Berechtigungen, die bereits an eine Ressourcenfreigabe angehängt sind, werden nicht automatisch aktualisiert. DieAWS RAM Konsole zeigt an, wann eine neue Standardversion verfügbar ist, und Sie können die Änderungen in der neuen Standardversion im Vergleich zur vorherigen überprüfen.

Anmerkung

Wir empfehlen Ihnen, so bald wie möglich auf die neue Version derAWS verwalteten Berechtigung zu aktualisieren. Mit diesen Updates wird in der Regel Unterstützung für neue oder aktualisierte Ressourcen hinzugefügt, mitAWS-Services denen zusätzliche Ressourcentypen gemeinsam genutzt werden könnenAWS RAM. Eine neue Standardversion kann auch Sicherheitslücken beheben und korrigieren.

Wichtig

Sie können nur die Standardversion der verwalteten Berechtigung an eine neue Ressourcenfreigabe anhängen.

Sie können die Liste der verfügbaren verwalteten Berechtigungen jederzeit abrufen. Weitere Informationen finden Sie unter Verwaltete Berechtigungen anzeigen.

Themen

So funktionieren verwaltete Berechtigungen

Einen kurzen Überblick erhalten Sie im folgenden Video, in dem gezeigt wird, wie Sie mithilfe verwalteter Berechtigungen die bewährte Methode des Zugriffs mit geringsten Rechten auf IhreAWS Ressourcen anwenden können.

In diesem Video wird gezeigt, wie Sie vom Kunden verwaltete Berechtigungen erstellen und verknüpfen, die bewährten Methoden der geringsten Rechte befolgen. Weitere Informationen finden Sie unter Vom Kunden verwaltete Berechtigungen erstellen und verwenden inAWS RAM.

Wenn Sie eine Ressourcenfreigabe erstellen, ordnen Sie jedem Ressourcentyp, den Sie teilen möchten, eineAWS verwaltete Berechtigung zu. Wenn die verwaltete Berechtigung mehr als eine Version hat, verwendet die neue Resource Share immer die Version, die als Standard festgelegt ist.

Nachdem Sie die Ressourcenfreigabe erstellt haben,AWS RAM verwendet die verwaltete Berechtigung, um eine ressourcenbasierte Richtlinie zu generieren, die an jede gemeinsam genutzte Ressource angehängt wird.

Die Richtlinienvorlage in einer verwalteten Berechtigung legt Folgendes fest:

Auswirkung

Gibt an, obAllow oder obDeny der Prinzipal berechtigt ist, einen Vorgang an einer gemeinsam genutzten Ressource auszuführen. Bei einer verwalteten Berechtigung ist die Wirkung immerAllow. Weitere Informationen finden Sie unter Effekt im IAM-Benutzerhandbuch.

Action

Die Liste der Operationen, zu deren Ausführung der Principal berechtigt ist. Dies kann eine Aktion in derAWS Management Console oder eine Operation in derAWS Command Line Interface (AWS CLI) oderAWS API sein. Die Aktionen werden durch dieAWS Berechtigung definiert. Weitere Informationen finden Sie unter Aktion im IAM-Benutzerhandbuch.

Bedingung

Wann und wie ein Principal mit einer Ressource in einem Resource Share interagieren kann. Bedingungen sorgen für eine zusätzliche Sicherheitsebene für Ihre gemeinsam genutzten Ressourcen. Verwenden Sie sie, um den Zugriff für sensible Aktionen auf Ihre gemeinsam genutzten Ressourcen zu beschränken. Sie können beispielsweise Bedingungen angeben, nach denen die Aktionen aus einem bestimmten Unternehmens-IP-Adressbereich stammen müssen oder dass die Aktionen von Benutzern ausgeführt werden müssen, die mit der Multi-Faktor-Authentifizierung authentifiziert wurden. Weitere Informationen zu Bedingungen finden Sie unter AWSGlobale Bedingungskontextschlüssel Principal -Schlüssel. Weitere Informationen zu dienstspezifischen Bedingungen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel fürAWS Dienste in der Service Authorization-Referenz.

Anmerkung

Bedingungen sind für vom Kunden verwaltete Berechtigungen und unterstützte Ressourcentypen fürAWS verwaltete Berechtigungen verfügbar.

Informationen zu Bedingungen, die von der Verwendung mit vom Kunden verwalteten Berechtigungen ausgeschlossen sind, finden Sie unterÜberlegungen zur Verwendung von vom Kunden verwalteten Berechtigungen inAWS RAM.

Arten von verwalteten Berechtigungen

Wenn Sie eine Ressourcenfreigabe erstellen, wählen Sie eine verwaltete Berechtigung, um sie jedem Ressourcentyp zuzuordnen, den Sie in die Ressourcenfreigabe aufnehmen. AWSverwaltete Berechtigungen werden vomAWS ressourceneigenen Dienst definiert und von verwaltetAWS RAM. Sie erstellen und verwalten Ihre eigenen, vom Kunden verwalteten Berechtigungen.

  • AWSverwaltete Berechtigung — Für jedenAWS RAM unterstützten Ressourcentyp ist eine verwaltete Standardberechtigung verfügbar. Die verwaltete Standardberechtigung wird für einen Ressourcentyp verwendet, sofern Sie nicht ausdrücklich eine der zusätzlichen verwalteten Berechtigungen auswählen. Die standardmäßige verwaltete Berechtigung soll die gängigsten Kundenszenarien für die gemeinsame Nutzung von Ressourcen des angegebenen Typs unterstützen. Mit der standardmäßigen verwalteten Berechtigung können Prinzipale bestimmte Aktionen ausführen, die vom Dienst für den Ressourcentyp definiert sind. Für den Amazonec2:Subnet VPC-Ressourcentyp ermöglicht die verwaltete Standardberechtigung den Prinzipalen beispielsweise, die folgenden Aktionen auszuführen:

    • ec2:RunInstances

    • ec2:CreateNetworkInterface

    • ec2:DescribeSubnets

    Die Namen derAWS verwalteten Standardberechtigungen verwenden das folgende Format:AWSRAMDefaultPermissionShareableResourceType. Für denec2:Subnet Ressourcentyp lautet der Name der standardmäßigenAWS verwalteten Berechtigung beispielsweiseAWSRAMDefaultPermissionSubnet.

    Anmerkung

    Die standardmäßige verwaltete Berechtigung ist von der Standardversion einer verwalteten Berechtigung getrennt. Bei allen verwalteten Berechtigungen, ob Standardberechtigungen oder eine der zusätzlichen verwalteten Berechtigungen, die von einigen Ressourcentypen unterstützt werden, handelt es sich um separate, vollständige Berechtigungen mit unterschiedlichen Auswirkungen und Aktionen, die unterschiedliche Freigabeszenarien unterstützen, z. B. Lese-/Schreib- oder Nur-Lesezugriff. Jede verwaltete Berechtigung, unabhängig davon,AWS ob sie vom Kunden verwaltet wird, kann mehrere Versionen haben, von denen eine die Standardversion für diese Berechtigung ist.

    Wenn Sie beispielsweise einen Ressourcentyp gemeinsam nutzen, der sowohl eine verwaltete Vollzugriffsberechtigung (ReadundWrite) als auch eine verwaltete Leseberechtigung unterstützt, können Sie eine Ressourcenfreigabe für den Administrator mit der verwalteten Vollzugriffsberechtigung erstellen. Sie können dann eine separate Ressourcennutzung für andere Entwickler erstellen, indem Sie die verwaltete Leseberechtigung verwenden, um der Praxis zu folgen, bei der die geringsten Rechte vergeben werden.

    Anmerkung

    AlleAWS Dienste, die damit arbeiten,AWS RAM unterstützen mindestens eine verwaltete Standardberechtigung. Sie können die jeweils verfügbaren BerechtigungenAWS-Service auf der Seite Bibliothek für verwaltete Berechtigungen einsehen. Auf dieser Seite finden Sie Informationen zu jeder verfügbaren verwalteten Berechtigung, einschließlich aller Ressourcenfreigaben, die derzeit mit der Berechtigung verknüpft sind, und gegebenenfalls, ob die gemeinsame Nutzung mit externen Prinzipalen zulässig ist. Weitere Informationen finden Sie unter Verwaltete Berechtigungen anzeigen.

    Bei Diensten, die keine zusätzlichen verwalteten Berechtigungen unterstützen, wird beim Erstellen einer RessourcenfreigabeAWS RAM automatisch die Standardberechtigung angewendet, die für den ausgewählten Ressourcentyp definiert ist. Falls unterstützt, haben Sie auch die Möglichkeit, auf der Seite Verwaltete Berechtigungen zuordnen die Option Kundenverwaltete Berechtigung erstellen auszuwählen.

  • Vom Kunden verwaltete Berechtigungen — Kundenverwaltete Berechtigungen sind verwaltete Berechtigungen, die Sie erstellen und verwalten, indem Sie genau angeben, welche Aktionen unter welchen Bedingungen mit gemeinsam genutzten Ressourcen ausgeführt werden könnenAWS RAM. Sie möchten beispielsweise den Lesezugriff für Ihre Amazon VPC IP Address Manager (IPAM) -Pools einschränken, die Ihnen helfen, Ihre IP-Adressen in großem Umfang zu verwalten. Sie können vom Kunden verwaltete Berechtigungen für Ihre Entwickler erstellen, um IP-Adressen zuzuweisen, aber nicht den IP-Adressbereich einsehen, den andere Entwicklerkonten zugewiesen haben. Sie können die bewährten Methoden der geringsten Rechte befolgen, d. h. es werden nur die Berechtigungen erteilt, die zum Durchführen von Aufgaben auf freigabe erforderlich sind.