Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwaltung von Berechtigungen in AWS RAM
In AWS RAM gibt es [zwei Arten von verwalteten Berechtigungen:AWS verwaltete](getting-started-terms-and-concepts.md#term-managed-permission-version) Berechtigungen und vom Kunden verwaltete Berechtigungen.
Verwaltete Berechtigungen definieren, wie ein Verbraucher auf die Ressourcen in einer gemeinsam genutzten Ressource reagieren kann. Wenn Sie eine Ressourcenfreigabe erstellen, müssen Sie angeben, welche verwalteten Berechtigungen für jeden in der Ressourcenfreigabe enthaltenen Ressourcentyp verwendet werden sollen. Die Richtlinienvorlage in der verwalteten Berechtigung enthält alles, was für eine ressourcenbasierte Richtlinie erforderlich ist, mit Ausnahme des Prinzipals und der Ressource. Der Amazon-Ressourcenname (ARN) der Ressource und der ARN der Principals, die der Ressourcenfreigabe zugeordnet sind, vervollständigen die Elemente einer ressourcenbasierten Richtlinie.AWS RAM verfasst dann die ressourcenbasierte Richtlinie, die allen Ressourcen in dieser Ressourcenfreigabe zugewiesen wird.
Jede verwaltete Berechtigung kann eine oder mehrere Versionen haben. Eine Version wird als *Standardversion* für diese verwaltete Berechtigung festgelegt. Gelegentlich AWS aktualisiert eine AWS verwaltete Berechtigung für einen Ressourcentyp, indem eine neue Version erstellt und diese neue Version als Standardversion festgelegt wird. Sie können Ihre vom Kunden verwalteten Berechtigungen auch aktualisieren, indem Sie neue Versionen erstellen. Verwaltete Berechtigungen, die bereits mit einer Ressourcenfreigabe verknüpft sind, werden ***nicht*** automatisch aktualisiert. Die AWS RAM Konsole zeigt an, wann eine neue Standardversion verfügbar ist, und Sie können die Änderungen in der neuen Standardversion im Vergleich zur vorherigen überprüfen.
**Anmerkung**
Wir empfehlen, so bald wie möglich auf die neue Version der AWS verwalteten Berechtigung zu aktualisieren. Diese Updates bieten in der Regel Unterstützung für neue oder aktualisierte Ressourcentypen, mit AWS-Services denen weitere Ressourcentypen gemeinsam genutzt werden können AWS RAM. Eine neue Standardversion kann auch Sicherheitslücken beheben und korrigieren.
**Wichtig**
Sie können nur die Standardversion der verwalteten Berechtigung an eine neue Ressourcenfreigabe anhängen.
Sie können die Liste der verfügbaren verwalteten Berechtigungen jederzeit abrufen. Weitere Informationen finden Sie unter [Verwaltete Berechtigungen anzeigen](working-with-sharing-view-permissions.md).
**Topics**
+ [Verwaltete Berechtigungen anzeigen](working-with-sharing-view-permissions.md)
+ [Erstellen und Verwenden von kundenverwalteten Berechtigungen in AWS RAM](create-customer-managed-permissions.md)
+ [Aktualisierung AWS verwalteter Berechtigungen auf eine neuere Version](working-with-sharing-update-permissions.md)
+ [Überlegungen zur Verwendung von vom Kunden verwalteten Berechtigungen in AWS RAM](managed-permission-considerations.md)
+ [Wie funktionieren verwaltete Berechtigungen](#permissions-work)
+ [Arten von verwalteten Berechtigungen](#permissions-types)
## Wie funktionieren verwaltete Berechtigungen
Sehen Sie sich für einen schnellen Überblick das folgende Video an, das zeigt, wie Sie mit verwalteten Berechtigungen die bewährte Methode des Zugriffs mit den geringsten Rechten auf Ihre AWS Ressourcen anwenden können.
In diesem Video wird gezeigt, wie vom Kunden verwaltete Berechtigungen nach der bewährten Methode der geringsten Rechte erstellt und verknüpft werden. Weitere Informationen finden Sie unter [Erstellen und Verwenden von kundenverwalteten Berechtigungen in AWS RAM](create-customer-managed-permissions.md).
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/SQoJOuIDLKM)
Wenn Sie eine Ressourcenfreigabe erstellen, ordnen Sie jedem Ressourcentyp, den Sie teilen möchten, eine AWS verwaltete Berechtigung zu. Wenn es für die verwaltete Berechtigung mehrere Versionen gibt, verwendet die neue Ressourcenfreigabe immer die Version, die als Standard festgelegt wurde.
Nachdem Sie die Ressourcenfreigabe erstellt haben,AWS RAM verwendet die verwaltete Berechtigung, um eine ressourcenbasierte Richtlinie zu generieren, die jeder gemeinsam genutzten Ressource zugewiesen wird.
Die Richtlinienvorlage in einer verwalteten Berechtigung gibt Folgendes an:
**Auswirkung**
Gibt an, ob `Allow` oder ob `Deny` die Hauptberechtigung zur Ausführung eines Vorgangs auf einer gemeinsam genutzten Ressource besteht. Bei einer verwalteten Berechtigung gilt die Wirkung immer`Allow`. Weitere Informationen finden Sie unter [Effekt](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html) im *IAM-Benutzerhandbuch*.
**Action**
Die Liste der Vorgänge, zu deren Ausführung der Principal berechtigt ist. Dies kann eine Aktion in der AWS-Managementkonsole oder eine Operation in der AWS Command Line Interface(AWS CLI) oder AWS API sein. Die Aktionen werden durch die AWS Berechtigung definiert. Weitere Informationen finden Sie unter [Aktion](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html) im *IAM-Benutzerhandbuch*.
**Bedingung**
Wann und wie ein Principal mit einer Ressource in einer Resource Share interagieren kann. Bedingungen fügen Ihren gemeinsam genutzten Ressourcen eine zusätzliche Sicherheitsebene hinzu. Verwenden Sie sie, um den Zugriff für vertrauliche Aktionen auf Ihre gemeinsam genutzten Ressourcen zu beschränken. Sie können beispielsweise Bedingungen angeben, nach denen die Aktionen aus einem bestimmten IP-Adressbereich des Unternehmens stammen müssen oder dass die Aktionen von Benutzern ausgeführt werden müssen, die mit Multi-Faktor-Authentifizierung authentifiziert wurden. Weitere Informationen zu Bedingungen finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*. Weitere Informationen zu dienstspezifischen Bedingungen finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) in der *Service Authorization* Reference.
Bedingungen sind für vom Kunden verwaltete Berechtigungen und unterstützte Ressourcentypen für AWS verwaltete Berechtigungen verfügbar.
Informationen zu Bedingungen, die von der Verwendung mit vom Kunden verwalteten Berechtigungen ausgeschlossen sind, finden Sie unter[Überlegungen zur Verwendung von vom Kunden verwalteten Berechtigungen in AWS RAM](managed-permission-considerations.md).
## Arten von verwalteten Berechtigungen
Wenn Sie eine Ressourcenfreigabe erstellen, wählen Sie eine verwaltete Berechtigung aus, um sie jedem Ressourcentyp zuzuordnen, den Sie in die Ressourcenfreigabe aufnehmen.AWS verwaltete Berechtigungen werden vom Dienst definiert, der die AWS Ressource besitzt, und sie werden von verwaltet.AWS RAM Sie erstellen und verwalten Ihre eigenen, vom Kunden verwalteten Berechtigungen.
+ **AWS verwaltete Berechtigung** — Für jeden Ressourcentyp, der diese Funktion AWS RAM unterstützt, ist eine verwaltete Standardberechtigung verfügbar. Die verwaltete Standardberechtigung ist diejenige, die für einen Ressourcentyp verwendet wird, sofern Sie nicht ausdrücklich eine der zusätzlichen verwalteten Berechtigungen auswählen. Die standardmäßige verwaltete Berechtigung soll die gängigsten Kundenszenarien für die gemeinsame Nutzung von Ressourcen des angegebenen Typs unterstützen. Die standardmäßige verwaltete Berechtigung ermöglicht es Prinzipalen, bestimmte Aktionen auszuführen, die vom Dienst für den Ressourcentyp definiert werden. Für den `ec2:Subnet` Ressourcentyp Amazon VPC können Principals mit der standardmäßigen verwalteten Berechtigung beispielsweise die folgenden Aktionen ausführen:
+ `ec2:RunInstances`
+ `ec2:CreateNetworkInterface`
+ `ec2:DescribeSubnets`
Die Namen der AWS verwalteten Standardberechtigungen verwenden das folgende Format:. `AWSRAMDefaultPermissionShareableResourceType` Für den `ec2:Subnet` Ressourcentyp lautet der Name der standardmäßigen AWS verwalteten Berechtigung beispielsweise`AWSRAMDefaultPermissionSubnet`.
**Anmerkung**
Die verwaltete Standardberechtigung unterscheidet sich von der [*Standardversion*](getting-started-terms-and-concepts.md#term-managed-permission-version) einer verwalteten Berechtigung. Alle verwalteten Berechtigungen, unabhängig davon, ob es sich um Standardberechtigungen oder um eine der zusätzlichen verwalteten Berechtigungen handelt, die von einigen Ressourcentypen unterstützt werden, sind separate, vollständige Berechtigungen mit unterschiedlichen Auswirkungen und Aktionen, die unterschiedliche Freigabeszenarien unterstützen, z. B. Lese-/Schreibzugriff oder Nur-Lese-Zugriff. Jede verwaltete Berechtigung, unabhängig davon, ob sie vom Kunden verwaltet AWS oder vom Kunden verwaltet wird, kann mehrere Versionen haben, von denen eine die Standardversion für diese Berechtigung ist.
Wenn Sie beispielsweise einen Ressourcentyp gemeinsam nutzen, der sowohl eine verwaltete `Read` Vollzugriffsberechtigung `Write` als auch eine verwaltete Leseberechtigung unterstützt, können Sie eine Ressourcenfreigabe für den Administrator mit der verwalteten Vollzugriffsberechtigung erstellen. Sie können dann eine separate Ressourcenfreigabe für andere Entwickler erstellen, indem Sie die verwaltete Leseberechtigung verwenden, um der [Praxis](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#grant-least-privilege) der Gewährung der geringsten Rechte zu folgen.
**Anmerkung**
Alle AWS Dienste, die mit funktionieren,AWS RAM unterstützen mindestens eine verwaltete Standardberechtigung. Sie können die verfügbaren Berechtigungen für die einzelnen Berechtigungen AWS-Service auf der **[Bibliotheksseite für verwaltete Berechtigungen](https://console.aws.amazon.com/ram/home#Permissions:)** einsehen. Auf dieser Seite finden Sie Einzelheiten zu allen verfügbaren verwalteten Berechtigungen, einschließlich aller Ressourcenfreigaben, die derzeit mit der Berechtigung verknüpft sind, und gegebenenfalls, ob die gemeinsame Nutzung mit externen Prinzipalen zulässig ist. Weitere Informationen finden Sie unter [Verwaltete Berechtigungen anzeigen](working-with-sharing-view-permissions.md).
Bei Diensten, die keine zusätzlichen verwalteten Berechtigungen unterstützen, wird beim Erstellen einer Ressourcenfreigabe AWS RAM automatisch die Standardberechtigung angewendet, die für den von Ihnen ausgewählten Ressourcentyp definiert ist. Falls unterstützt, haben Sie auch die Möglichkeit, auf der Seite Verwaltete **Berechtigungen **zuordnen die Option Vom Kunden verwaltete Berechtigungen** erstellen** auszuwählen.
+ **Vom Kunden verwaltete Berechtigungen** — Kundenverwaltete Berechtigungen sind verwaltete Berechtigungen, die Sie erstellen und verwalten, indem Sie genau angeben, welche Aktionen unter welchen Bedingungen mit Ressourcen ausgeführt werden können, die gemeinsam genutzt werden AWS RAM. Sie möchten beispielsweise den Lesezugriff für Ihre Amazon VPC IP Address Manager (IPAM) -Pools einschränken, die Ihnen helfen, Ihre IP-Adressen in großem Umfang zu verwalten. Sie können kundenverwaltete Berechtigungen für Ihre Entwickler einrichten, um IP-Adressen zuzuweisen, aber nicht den IP-Adressbereich einsehen, den andere Entwicklerkonten zuweisen. Sie können sich an die bewährte Methode der geringsten Rechte halten und nur die Berechtigungen gewähren, die für die Ausführung von Aufgaben auf gemeinsam genutzten Ressourcen erforderlich sind.