Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in AWS Resource Access Manager
Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, auf der AWS Dienste in der ausgeführt AWS Cloud werden. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Auditoren von Drittanbietern testen und überprüfen die Effektivität unserer Sicherheitsmaßnahmen im Rahmen der [AWS -Compliance-Programme](https://aws.amazon.com/compliance/programs/) regelmäßig. Informationen zu den Compliance-Programmen, die für AWS Resource Access Manager (AWS RAM) gelten, finden Sie unter [Vom Compliance-Programm abgedeckte AWS -Services](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Dienst, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Nutzung anwenden können AWS RAM. In den folgenden Themen erfahren Sie, wie Sie die Konfiguration vornehmen AWS RAM , um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie erfahren auch, wie Sie andere AWS Dienste nutzen können, die Sie bei der Überwachung und Sicherung Ihrer AWS RAM Ressourcen unterstützen.
**Topics**
+ [Datenschutz in AWS Resource Access Manager](data-protection.md)
+ [Identitäts- und Zugriffsmanagement für AWS Resource Access Manager](security-iam.md)
+ [Einloggen und Überwachen AWS RAM](security-monitoring.md)
+ [Konformitätsvalidierung für AWS Resource Access Manager](compliance-validation.md)
+ [Resilienz in AWS Resource Access Manager](disaster-recovery-resiliency.md)
+ [Infrastruktursicherheit in AWS Resource Access Manager](infrastructure-security.md)
+ [Zugriff AWS Resource Access Manager über einen Schnittstellenendpunkt (AWS PrivateLink)](vpc-interface-endpoints.md)
# Datenschutz in AWS Resource Access Manager
Das [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) und geteilter Verantwortung gilt für den Datenschutz in AWS Resource Access Manager. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit der Konsole, der AWS RAM API oder auf andere AWS-Services Weise arbeiten oder diese verwenden. AWS CLI AWS SDKs Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
# Identitäts- und Zugriffsmanagement für AWS Resource Access Manager
AWS Identity and Access Management (IAM) ist ein AWS Dienst, der einem Administrator hilft, den Zugriff auf AWS Ressourcen sicher zu kontrollieren. Administratoren in IAM kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Ressourcen zu verwenden. AWS Mithilfe von IAM erstellen Sie Prinzipale wie Rollen, Benutzer und Gruppen in Ihrem. AWS-Konto Sie kontrollieren die Berechtigungen, die diese Prinzipale haben, um Aufgaben mithilfe von Ressourcen auszuführen. AWS Sie können IAM ohne zusätzliche Kosten nutzen. Weitere Informationen zur Verwaltung und Erstellung benutzerdefinierter IAM-Richtlinien finden Sie unter [Verwaltung von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Wie AWS RAM funktioniert mit IAM](security-iam-policies.md)
+ [AWS verwaltete Richtlinien für AWS Resource Access Manager](security-iam-awsmanpol.md)
+ [Verwenden von serviceverknüpften Rollen für AWS RAM](using-service-linked-roles.md)
+ [Beispiele für IAM-Richtlinien für AWS RAM](security-iam-policies-examples.md)
+ [Beispiele für Dienststeuerungsrichtlinien für AWS Organizations und AWS RAM](security-scp.md)
+ [Deaktivieren der gemeinsamen Nutzung von Ressourcen mit AWS Organizations](security-disable-sharing-with-orgs.md)
# Wie AWS RAM funktioniert mit IAM
Standardmäßig sind IAM-Prinzipale nicht berechtigt, Ressourcen zu erstellen oder zu ändern. AWS RAM Um es IAM-Prinzipalen zu ermöglichen, Ressourcen zu erstellen oder zu ändern und Aufgaben auszuführen, führen Sie einen der folgenden Schritte aus. Diese Aktionen gewähren die Erlaubnis, bestimmte Ressourcen und API-Aktionen zu verwenden.
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
+ Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter [Erstellen eines Berechtigungssatzes](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
+ Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter [Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) im *IAM-Benutzerhandbuch*.
+ IAM-Benutzer:
+ Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter [Eine Rolle für einen IAM-Benutzer erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) im *IAM-Benutzerhandbuch*.
+ (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter [Hinzufügen von Berechtigungen zu einem Benutzer (Konsole)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
AWS RAM bietet mehrere AWS verwaltete Richtlinien, die Sie verwenden können, um den Bedürfnissen vieler Benutzer gerecht zu werden. Weitere Informationen dazu finden Sie unter [AWS verwaltete Richtlinien für AWS Resource Access Manager](security-iam-awsmanpol.md).
Wenn Sie eine genauere Kontrolle über die Berechtigungen benötigen, die Sie Ihren Benutzern gewähren, können Sie in der IAM-Konsole Ihre eigenen Richtlinien erstellen. *Informationen zum Erstellen von Richtlinien und zum Anhängen dieser Richtlinien an Ihre IAM-Rollen und -Benutzer finden Sie im Benutzerhandbuch unter [Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html).AWS Identity and Access Management *
Die folgenden Abschnitte enthalten die AWS RAM spezifischen Details zum Erstellen einer IAM-Berechtigungsrichtlinie.
**Contents**
+ [Richtlinienstruktur](#structure)
+ [Auswirkung](#iam-policies-effect)
+ [Action](#iam-policies-action)
+ [Ressource](#iam-policies-resource)
+ [Bedingung](#iam-policies-condition)
## Richtlinienstruktur
Eine IAM-Berechtigungsrichtlinie ist ein JSON-Dokument, das die folgenden Aussagen enthält: Effect, Action, Resource und Condition. Eine IAM-Richtlinie hat in der Regel die folgende Form.
```
{
"Statement":[{
"Effect":"",
"Action":"",
"Resource":"",
"Condition":{
"":{
"":""
}
}
}]
}
```
### Auswirkung
Die *Effect-Anweisung* gibt an, ob die Richtlinie einem Hauptbenutzer die Erlaubnis zur Ausführung einer Aktion gewährt oder verweigert. Zu den möglichen Werten gehören: `Allow` und`Deny`.
### Action
Die *Action-Anweisung* gibt die AWS RAM API-Aktionen an, für die die Richtlinie die Genehmigung zulässt oder verweigert. Eine vollständige Liste der zulässigen Aktionen finden Sie AWS Resource Access Manager im *IAM-Benutzerhandbuch* unter [Definierte Aktionen von](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsresourceaccessmanager.html#awsresourceaccessmanager-actions-as-permissions).
### Ressource
In der *Ressourcenanweisung* werden die AWS RAM Ressourcen angegeben, die von der Richtlinie betroffen sind. Um eine Ressource in der Anweisung anzugeben, müssen Sie ihren eindeutigen Amazon-Ressourcennamen (ARN) verwenden. Eine vollständige Liste der zulässigen Ressourcen finden Sie unter [Resources defined by AWS Resource Access Manager](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsresourceaccessmanager.html#awsresourceaccessmanager-resources-for-iam-policies) im *IAM-Benutzerhandbuch*.
### Bedingung
*Zustandsanweisungen* sind optional. Sie können verwendet werden, um die Bedingungen, unter denen die Richtlinie gilt, weiter zu verfeinern. AWS RAM unterstützt die folgenden Bedingungsschlüssel:
+ `aws:RequestTag/${TagKey}`— Testet, ob die Serviceanfrage ein Tag mit dem angegebenen Tag-Schlüssel enthält, existiert und den angegebenen Wert hat.
+ `aws:ResourceTag/${TagKey}`— Testet, ob der Ressource, auf die die Serviceanfrage reagiert hat, ein Tag mit einem Tag-Schlüssel angehängt ist, den Sie in der Richtlinie angeben.
Mit der folgenden Beispielbedingung wird überprüft, ob der Ressource, auf die in der Serviceanfrage verwiesen wird, ein Tag mit dem Schlüsselnamen „Owner“ und dem Wert „Dev Team“ angehängt ist.
```
"Condition" : {
"StringEquals" : {
"aws:ResourceTag/Owner" : "Dev Team"
}
}
```
+ `aws:TagKeys`— Gibt die Tag-Schlüssel an, die verwendet werden müssen, um eine Ressourcenfreigabe zu erstellen oder zu kennzeichnen.
+ `ram:AllowsExternalPrincipals`— Testet, ob die Ressourcenfreigabe in der Serviceanfrage die gemeinsame Nutzung mit externen Prinzipalen ermöglicht. Bei AWS Organizations einem externen Principal handelt es sich um einen AWS-Konto externen Principal innerhalb Ihrer Organisation. Wenn das Ergebnis ergibt`False`, können Sie diese Ressourcenfreigabe nur mit Konten in derselben Organisation teilen.
+ `ram:PermissionArn`— Testet, ob der in der Serviceanfrage angegebene Berechtigungs-ARN mit einer ARN-Zeichenfolge übereinstimmt, die Sie in der Richtlinie angeben.
+ `ram:PermissionResourceType`— Testet, ob die in der Serviceanfrage angegebene Berechtigung für den Ressourcentyp gültig ist, den Sie in der Richtlinie angeben. Geben Sie Ressourcentypen in dem Format an, das in der Liste der [gemeinsam nutzbaren Ressourcentypen](shareable.md) angezeigt wird.
+ `ram:Principal`— Testet, ob der ARN des in der Serviceanfrage angegebenen Principals mit einer ARN-Zeichenfolge übereinstimmt, die Sie in der Richtlinie angeben.
+ `ram:RequestedAllowsExternalPrincipals`— Testet, ob die Serviceanfrage den `allowExternalPrincipals` Parameter enthält und ob sein Argument mit dem Wert übereinstimmt, den Sie in der Richtlinie angeben.
+ `ram:RequestedResourceType`— Testet, ob der Ressourcentyp der Ressource, auf die reagiert wird, mit einer Ressourcentyp-Zeichenfolge übereinstimmt, die Sie in der Richtlinie angeben. Geben Sie Ressourcentypen in dem Format an, das in der Liste der [gemeinsam nutzbaren Ressourcentypen](shareable.md) angezeigt wird.
+ `ram:ResourceArn`— Testet, ob der ARN der Ressource, auf die die Serviceanfrage reagiert, mit einem ARN übereinstimmt, den Sie in der Richtlinie angeben.
+ `ram:ResourceShareName`— Testet, ob der Name der Ressourcenfreigabe, auf die die Serviceanfrage reagiert, mit einer Zeichenfolge übereinstimmt, die Sie in der Richtlinie angeben.
+ `ram:ShareOwnerAccountId`— Prüft, ob die Konto-ID-Nummer der Ressourcenfreigabe, auf die die Serviceanfrage reagiert, mit einer Zeichenfolge übereinstimmt, die Sie in der Richtlinie angeben.
# AWS verwaltete Richtlinien für AWS Resource Access Manager
AWS Resource Access Manager bietet derzeit mehrere AWS RAM verwaltete Richtlinien, die in diesem Thema beschrieben werden.
**Topics**
+ [AWSResourceAccessManagerReadOnlyAccess](#security-iam-managed-policies-AWSResourceAccessManagerReadOnlyAccess)
+ [AWSResourceAccessManagerFullAccess](#security-iam-managed-policies-AWSResourceAccessManagerFullAccess)
+ [AWSResourceAccessManagerResourceShareParticipantAccess](#security-iam-managed-policies-AWSResourceAccessManagerResourceShareParticipantAccess)
+ [AWSResourceAccessManagerServiceRolePolicy](#security-iam-managed-policies-AWSResourceAccessManagerServiceRolePolicy)
+ [Richtlinienaktualisierungen](#security-iam-awsmanpol-updates)
In der obigen Liste können Sie die ersten drei Richtlinien Ihren IAM-Rollen, -Gruppen und -Benutzern zuordnen, um Berechtigungen zu gewähren. Die letzte Richtlinie in der Liste ist für die dienstbezogene Rolle des AWS RAM Dienstes reserviert.
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet AWS wird. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
## AWS verwaltete Richtlinie: AWSResource AccessManagerReadOnlyAccess
Sie können die `AWSResourceAccessManagerReadOnlyAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt nur Leseberechtigungen für die Ressourcenfreigaben, deren Eigentümer Sie sind. AWS-Konto
Zu diesem Zweck wird die Berechtigung zum Ausführen aller OR-Operationen erteilt. `Get*` `List*` Es bietet keine Möglichkeit, eine Ressourcenfreigabe zu ändern.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `ram`— Ermöglicht Prinzipalen das Einsehen von Details zu den Ressourcenfreigaben, die dem Konto gehören.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ram:Get*",
"ram:List*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS verwaltete Richtlinie: AWSResource AccessManagerFullAccess
Sie können die `AWSResourceAccessManagerFullAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie bietet vollen Administratorzugriff zum Anzeigen oder Ändern der Ressourcenfreigaben, deren Eigentümer Sie sind AWS-Konto.
Zu diesem Zweck erteilt sie die Erlaubnis, alle `ram` Operationen auszuführen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `ram`— Ermöglicht es Prinzipalen, alle Informationen über die Ressourcenfreigaben anzuzeigen oder zu ändern, die Eigentum von sind. AWS-Konto
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ram:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS verwaltete Richtlinie: AWSResource AccessManagerResourceShareParticipantAccess
Sie können die `AWSResourceAccessManagerResourceShareParticipantAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie bietet Principals die Möglichkeit, gemeinsam genutzte Ressourcenfreigaben zu akzeptieren oder abzulehnen und Details zu diesen Ressourcenfreigaben einzusehen. AWS-Konto Sie bietet keine Möglichkeit, diese Ressourcenfreigaben zu ändern.
Dazu wird die Erlaubnis erteilt, einige `ram` Operationen auszuführen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `ram`— Ermöglicht Prinzipalen, Einladungen zur gemeinsamen Nutzung von Ressourcen anzunehmen oder abzulehnen und Details zu den gemeinsam genutzten Ressourcen für das Konto einzusehen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ram:AcceptResourceShareInvitation",
"ram:GetResourcePolicies",
"ram:GetResourceShareInvitations",
"ram:GetResourceShares",
"ram:ListPendingInvitationResources",
"ram:ListPrincipals",
"ram:ListResources",
"ram:RejectResourceShareInvitation"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS verwaltete Richtlinie: AWSResource AccessManagerServiceRolePolicy
Die AWS verwaltete Richtlinie `AWSResourceAccessManagerServiceRolePolicy` kann nur mit der serviceverknüpften Rolle für AWS RAM verwendet werden. Sie können diese Richtlinie nicht anhängen, trennen, ändern oder löschen.
Diese Richtlinie AWS RAM bietet nur Lesezugriff auf die Struktur Ihrer Organisation. Wenn Sie die Integration zwischen AWS RAM und aktivieren AWS Organizations, AWS RAM wird automatisch eine dienstbezogene Rolle mit dem Namen erstellt [AWSServiceRoleForResourceAccessManager](https://console.aws.amazon.com/iam/home#/roles/AWSServiceRoleForResourceAccessManager), die der Dienst annimmt, wenn er Informationen über Ihre Organisation und deren Konten nachschlagen muss, z. B. wenn Sie die Struktur der Organisation in der Konsole anzeigen. AWS RAM
Zu diesem Zweck wird nur Lesezugriff für die Ausführung der `organizations:List` Vorgänge `organizations:Describe` und gewährt, die Einzelheiten zur Struktur und zu den Konten der Organisation bereitstellen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `organizations`— Ermöglicht es den Schulleitern, Informationen über die Struktur der Organisation, einschließlich der Organisationseinheiten und der AWS-Konten darin enthaltenen Informationen, einzusehen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListChildren",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListRoots"
],
"Resource": "*"
},
{
"Sid": "AllowDeletionOfServiceLinkedRoleForResourceAccessManager",
"Effect": "Allow",
"Action": [
"iam:DeleteRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/ram.amazonaws.com/*"
]
}
]
}
```
------
## AWS RAM Aktualisierungen der AWS verwalteten Richtlinien
Hier finden Sie Informationen zu Aktualisierungen AWS verwalteter Richtlinien, die AWS RAM seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst vorgenommen wurden. Abonnieren Sie den RSS-Feed auf der Seite AWS RAM Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| AWS Resource Access Manager hat begonnen, Änderungen zu verfolgen | AWS RAM dokumentierte die bestehenden verwalteten Richtlinien und begann, Änderungen nachzuverfolgen. | 16. September 2021 |
# Verwenden von serviceverknüpften Rollen für AWS RAM
AWS Resource Access Manager verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, die direkt mit dem Dienst verknüpft ist. AWS RAM Mit Diensten verknüpfte Rollen sind vordefiniert AWS und enthalten alle Berechtigungen, die erforderlich sind, AWS RAM um in Ihrem Namen andere AWS Dienste aufzurufen.
Eine dienstverknüpfte Rolle AWS RAM erleichtert die Konfiguration, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS RAM definiert die Berechtigungen ihrer dienstbezogenen Rollen und AWS RAM kann, sofern nicht anders definiert, nur ihre dienstbezogenen Rollen übernehmen. Die definierten Berechtigungen umfassen sowohl eine Vertrauensrichtlinie als auch eine Berechtigungsrichtlinie, und diese Berechtigungsrichtlinie kann keiner anderen IAM-Entität zugeordnet werden.
Informationen zu anderen Services, die serviceverknüpften Rollen unterstützen, finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie nach den Services, für die **Ja** in der Spalte **Serviceverknüpfte Rolle** angegeben ist. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
## Mit dem Dienst verknüpfte Rollenberechtigungen für AWS RAM
AWS RAM verwendet die dienstverknüpfte Rolle, die benannt wird`AWSServiceRoleForResourceAccessManager`, wenn Sie das Teilen mit aktivieren. AWS Organizations Diese Rolle gewährt dem AWS RAM Dienst die Berechtigung, Organisationsdetails einzusehen, z. B. die Liste der Mitgliedskonten und die Organisationseinheiten, in denen sich die einzelnen Konten befinden.
Diese dienstbezogene Rolle vertraut darauf, dass der folgende Dienst die Rolle übernimmt:
+ `ram.amazonaws.com`
Die genannte Richtlinie für Rollenberechtigungen AWSResource AccessManagerServiceRolePolicy ist an diese dienstbezogene Rolle angehängt und ermöglicht AWS RAM die Ausführung der folgenden Aktionen für die angegebenen Ressourcen:
+ Aktionen: schreibgeschützte Aktionen, mit denen Details zur Struktur Ihrer Organisation abgerufen werden. Die vollständige Liste der Aktionen finden Sie in der Richtlinie in der IAM-Konsole:. [AWSResourceAccessManagerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceAccessManagerServiceRolePolicy$jsonEditor)
Damit ein Principal die AWS RAM gemeinsame Nutzung innerhalb Ihrer Organisation aktivieren kann, muss dieser Principal (eine IAM-Entität wie ein Benutzer, eine Gruppe oder eine Rolle) über die Berechtigung verfügen, eine dienstbezogene Rolle zu erstellen. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Erstellen einer dienstbezogenen Rolle für AWS RAM
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie das AWS RAM Teilen innerhalb Ihrer Organisation in der AWS-Managementkonsole aktivieren oder [EnableSharingWithAwsOrganization](https://docs.aws.amazon.com/ram/latest/APIReference/API_EnableSharingWithAwsOrganization.html)in Ihrem Konto mithilfe der AWS CLI oder einer AWS API ausführen, AWS RAM wird die dienstbezogene Rolle für Sie erstellt.
Rufen Sie an`enable-sharing-with-aws-organizations`, um die serviceverknüpfte Rolle in Ihrem Konto zu erstellen.
Wenn Sie diese dienstbezogene Rolle löschen, ist sie nicht AWS RAM mehr berechtigt, die Details der Struktur Ihrer Organisation einzusehen.
## Bearbeitung einer dienstbezogenen Rolle für AWS RAM
AWS RAM erlaubt es Ihnen nicht, die AWSResource AccessManagerServiceRolePolicy dienstbezogene Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer serviceverknüpften Rolle für AWS RAM
Sie können die IAM-Konsole, die AWS CLI oder die AWS API verwenden, um die serviceverknüpfte Rolle manuell zu löschen.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die serviceverknüpfte Rolle zu löschen. `AWSResourceAccessManagerServiceRolePolicy` Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Leitfaden*.
## Unterstützte Regionen für serviceverknüpfte Rollen AWS RAM
AWS RAM unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Dienst verfügbar ist. Weitere Informationen finden Sie unter [AWS Regionen und Endpunkte](https://docs.aws.amazon.com/general/latest/gr/rande.html) in der *Allgemeine Amazon Web Services-Referenz*.
# Beispiele für IAM-Richtlinien für AWS RAM
Dieses Thema enthält Beispiele für IAM-Richtlinien AWS RAM , die die gemeinsame Nutzung bestimmter Ressourcen und Ressourcentypen sowie die Einschränkung der gemeinsamen Nutzung veranschaulichen.
**Topics**
+ [Erlauben Sie die gemeinsame Nutzung bestimmter Ressourcen](#owner-share-specific-resources)
+ [Erlauben Sie die gemeinsame Nutzung bestimmter Ressourcentypen](#owner-share-resource-types)
+ [Beschränken Sie das Teilen mit externen AWS-Konten](#control-access-owner-external)
## Beispiel 1: Erlauben Sie die gemeinsame Nutzung bestimmter Ressourcen
Sie können eine IAM-Berechtigungsrichtlinie verwenden, um Prinzipale darauf zu beschränken, nur bestimmte Ressourcen Ressourcenfreigaben zuzuordnen.
Die folgende Richtlinie beschränkt beispielsweise Principals darauf, nur die Resolver-Regel mit dem angegebenen Amazon-Ressourcennamen (ARN) zu teilen. Der Operator `StringEqualsIfExists` lässt eine Anfrage zu, wenn entweder die Anfrage keinen `ResourceArn` Parameter enthält oder wenn sie diesen Parameter enthält, wenn sein Wert genau dem angegebenen ARN entspricht.
Weitere Informationen darüber, wann und warum `...IfExists` Operatoren verwendet werden sollten, finden Sie unter[... IfExists Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists) im *IAM-Benutzerhandbuch*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"ram:ResourceArn": "arn:aws:route53resolver:us-west-2:123456789012:resolver-rule/rslvr-rr-5328a0899aexample"
}
}
}]
}
```
------
## Beispiel 2: Erlauben Sie die gemeinsame Nutzung bestimmter Ressourcentypen
Sie können eine IAM-Richtlinie verwenden, um Prinzipale darauf zu beschränken, Ressourcenfreigaben nur bestimmte Ressourcentypen zuzuordnen.
Die Aktionen `AssociateResourceShare` und `CreateResourceShare` können Prinzipale und `resourceArns` als unabhängige Eingabeparameter akzeptieren. AWS RAM Autorisiert daher jeden Prinzipal und jede Ressource unabhängig voneinander, sodass es mehrere [Anforderungskontexte](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic_policy-eval-reqcontext.html) geben kann. Das heißt, wenn ein Prinzipal einer AWS RAM Ressourcenfreigabe zugeordnet wird, ist der `ram:RequestedResourceType` Bedingungsschlüssel im Anforderungskontext nicht vorhanden. In ähnlicher Weise ist der `ram:Principal` Bedingungsschlüssel im Anforderungskontext nicht vorhanden, wenn eine AWS RAM Ressource einer Ressourcenfreigabe zugeordnet wird. Daher können Sie den `AssociateResourceShare` [`Null`Bedingungsoperator `CreateResourceShare`](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_Null) verwenden, um der Ressourcenfreigabe Prinzipale zuzuweisen und sie der AWS RAM Ressourcenfreigabe zuzuordnen.
Die folgende Richtlinie beschränkt beispielsweise Principals darauf, nur Amazon Route 53-Resolver-Regeln gemeinsam zu nutzen, und ermöglicht es ihnen, dieser Freigabe jeden Prinzipal zuzuordnen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowOnlySpecificResourceType",
"Effect": "Allow",
"Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
"Resource": "*",
"Condition": {
"StringEquals": {
"ram:RequestedResourceType": "route53resolver:ResolverRule"
}
}
},
{
"Sid": "AllowAssociatingPrincipals",
"Effect": "Allow",
"Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
"Resource": "*",
"Condition": {
"Null": {
"ram:Principal": "false"
}
}
}
]
}
```
------
## Beispiel 3: Beschränken Sie die gemeinsame Nutzung mit externen AWS-Konten
Sie können eine IAM-Richtlinie verwenden, um zu verhindern, dass Prinzipale Ressourcen mit Personen teilen AWS-Konten , die sich außerhalb ihrer AWS Organisation befinden.
Die folgende IAM-Richtlinie verhindert beispielsweise, dass Prinzipale externe AWS-Konten Ressourcen gemeinsam nutzen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ram:CreateResourceShare",
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "false"
}
}
}]
}
```
------
# Beispiele für Dienststeuerungsrichtlinien für AWS Organizations und AWS RAM
AWS RAM unterstützt Richtlinien zur Dienststeuerung (SCPs). SCPs sind Richtlinien, die Sie an Elemente in einer Organisation anhängen, um Berechtigungen innerhalb dieser Organisation zu verwalten. Ein SCP gilt für alle AWS-Konten [Unterkategorien des Elements, an das Sie den SCP anhängen](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_inheritance_auth.html). SCPs bieten eine zentrale Kontrolle über die maximal verfügbaren Berechtigungen für alle Konten in Ihrer Organisation. Sie können Ihnen dabei helfen, sicherzustellen, dass Sie die Richtlinien Ihrer Organisation für die Zugriffskontrolle einhalten. AWS-Konten Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html) im *AWS Organizations -Benutzerhandbuch*.
## Voraussetzungen
Um sie verwenden zu können SCPs, müssen Sie zunächst wie folgt vorgehen:
+ Aktivieren aller Funktionen in der Organisation. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Alle Funktionen in Ihrer Organisation aktivieren](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)
+ SCPs Für die Verwendung in Ihrer Organisation aktivieren. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinientypen aktivieren und deaktivieren](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html)
+ Erstellen Sie das SCPs , was Sie benötigen. Weitere Informationen zum Erstellen SCPs finden Sie unter [Erstellen und Aktualisieren SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scp-create.html) im *AWS Organizations Benutzerhandbuch*.
## Beispiel für Service-Kontrollrichtlinien
**Contents**
+ [Beispiel 1: Externes Teilen verhindern](#example-one)
+ [Beispiel 2: Verhindern Sie, dass Benutzer Einladungen zur gemeinsamen Nutzung von Ressourcen von externen Konten außerhalb Ihrer Organisation annehmen](#example-two)
+ [Beispiel 3: Erlauben Sie bestimmten Konten, bestimmte Ressourcentypen gemeinsam zu nutzen](#example-three)
+ [Beispiel 4: Verhindern Sie die gemeinsame Nutzung mit der gesamten Organisation oder mit Organisationseinheiten](#example-four)
+ [Beispiel 5: Erlaube die gemeinsame Nutzung nur mit bestimmten Principals](#example-five)
+ [Beispiel 6: Verhindern Sie gemeinsame Nutzung von Ressourcen, wenn diese Option aktiviert RetainSharingOnAccountLeaveOrganization ist](#example-six)
In den folgenden Beispielen wird veranschaulicht, wie Sie verschiedene Aspekte der Ressourcenfreigabe in einer Organisation steuern können.
### Beispiel 1: Externes Teilen verhindern
Das folgende SCP verhindert, dass Benutzer Ressourcenfreigaben erstellen, die die gemeinsame Nutzung mit Prinzipalen ermöglichen, die sich außerhalb der Organisation des gemeinsam genutzten Benutzers befinden.
AWS RAM autorisiert APIs separat für jeden Prinzipal und jede Ressource, die im Anruf aufgeführt sind.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:UpdateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "true"
}
}
}
]
}
```
------
### Beispiel 2: Verhindern Sie, dass Benutzer Einladungen zur gemeinsamen Nutzung von Ressourcen von externen Konten außerhalb Ihrer Organisation annehmen
Der folgende SCP verhindert, dass alle Benutzer in einem betroffenen Konto eine Einladung zur Nutzung eines Resource Shares annehmen. Ressourcenfreigaben, die für andere Konten in derselben Organisation wie das Sharing-Konto gemeinsam genutzt werden, generieren keine Einladungen und sind daher von diesem SCP nicht betroffen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ram:AcceptResourceShareInvitation",
"Resource": "*"
}
]
}
```
------
### Beispiel 3: Erlauben Sie bestimmten Konten, bestimmte Ressourcentypen gemeinsam zu nutzen
Das folgende SCP erlaubt *nur* Konten `111111111111` und `222222222222` das Erstellen neuer Ressourcenfreigaben, die Amazon EC2-Präfixlisten gemeinsam nutzen, oder das Zuordnen von Präfixlisten zu bestehenden Ressourcenfreigaben.
AWS RAM autorisiert APIs separat für jeden Prinzipal und jede Ressource, die im Call aufgeführt sind.
Der Operator `StringEqualsIfExists` lässt eine Anfrage zu, wenn entweder die Anforderung keinen Ressourcentypparameter enthält oder wenn sie diesen Parameter enthält, wenn sein Wert genau dem angegebenen Ressourcentyp entspricht. Wenn Sie einen Schulleiter einbeziehen, müssen Sie ihn haben`...IfExists`.
Weitere Informationen darüber, wann und warum `...IfExists` Operatoren verwendet werden sollten, finden Sie unter[... IfExists Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists) im *IAM-Benutzerhandbuch*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [
"111111111111",
"222222222222"
]
},
"StringEqualsIfExists": {
"ram:RequestedResourceType": "ec2:PrefixList"
}
}
}
]
}
```
------
### Beispiel 4: Verhindern Sie die gemeinsame Nutzung mit der gesamten Organisation oder mit Organisationseinheiten
Das folgende SCP verhindert, dass Benutzer Ressourcenfreigaben erstellen, die Ressourcen mit einer gesamten Organisation oder mit beliebigen Organisationseinheiten gemeinsam nutzen. Benutzer *können Daten* mit einzelnen Personen AWS-Konten in der Organisation oder mit IAM-Rollen oder -Benutzern teilen.
AWS RAM autorisiert APIs separat für jeden Prinzipal und jede Ressource, die im Call aufgeführt sind.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ram:Principal": [
"arn:aws:organizations::*:organization/*",
"arn:aws:organizations::*:ou/*"
]
}
}
}
]
}
```
------
### Beispiel 5: Erlaube die gemeinsame Nutzung nur mit bestimmten Principals
Das folgende Beispiel mit SCP ermöglicht es Benutzern, Ressourcen *nur* mit der `o-12345abcdef,` Organisationseinheit `ou-98765fedcba` der Organisation und gemeinsam zu nutzen. AWS-Konto `111111111111`
Wenn Sie beispielsweise `StringNotEqualsIfExists` ein `"Effect": "Deny"` Element mit einem negierten Bedingungsoperator verwenden, wird die Anfrage auch dann abgelehnt, wenn der Bedingungsschlüssel nicht vorhanden ist. Verwenden Sie einen Bedingungsoperator `Null`, um zu prüfen, ob ein Bedingungsschlüssel zum Zeitpunkt der Autorisierung abwesend ist.
AWS RAM autorisiert APIs separat für jeden Prinzipal und jede Ressource, die im Call aufgeführt sind.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"ram:Principal": [
"arn:aws:organizations::123456789012:organization/o-12345abcdef",
"arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
"111111111111"
]
},
"Null": {
"ram:Principal": "false"
}
}
}
]
}
```
------
### Beispiel 6: Verhindern Sie gemeinsame Nutzung von Ressourcen, wenn diese Option aktiviert RetainSharingOnAccountLeaveOrganization ist
Der folgende SCP verhindert, dass Benutzer Ressourcenfreigaben erstellen oder ändern, wenn der `ram:RetainSharingOnAccountLeaveOrganization` Bedingungsschlüssel auf `true` gesetzt ist.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare",
"ram:DisassociateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RetainSharingOnAccountLeaveOrganization": "true"
}
}
}
]
}
```
# Deaktivieren der gemeinsamen Nutzung von Ressourcen mit AWS Organizations
Wenn Sie zuvor das Teilen mit aktiviert haben AWS Organizations und Sie Ressourcen nicht mehr mit Ihrer gesamten Organisation oder Ihren Organisationseinheiten teilen müssen (OUs), können Sie das Teilen deaktivieren. Wenn Sie die gemeinsame Nutzung für deaktivieren AWS Organizations, OUs werden alle Organisationen oder Organisationen aus den von Ihnen erstellten Ressourcenfreigaben entfernt und sie verlieren den Zugriff auf die gemeinsam genutzten Ressourcen. Externe Konten (Konten, die per Einladung zur Resource Share hinzugefügt wurden) sind davon nicht betroffen und werden weiterhin mit der Resource Share verknüpft.
**Um das Teilen mit zu deaktivieren AWS Organizations**
1. Deaktivieren Sie den vertrauenswürdigen Zugriff auf die AWS Organizations Verwendung des AWS Organizations [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) AWS CLI Befehls.
```
$ aws organizations disable-aws-service-access --service-principal ram.amazonaws.com
```
**Wichtig**
Wenn Sie den vertrauenswürdigen Zugriff auf deaktivieren AWS Organizations, werden Prinzipale in Ihren Organisationen aus allen gemeinsam genutzten Ressourcen entfernt und verlieren den Zugriff auf diese gemeinsam genutzten Ressourcen.
1. Verwenden Sie die IAM-Konsole, die oder die IAM-API-Operationen AWS CLI, um die dienstverknüpfte Rolle zu löschen. **AWSServiceRoleForResourceAccessManager** Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
# Einloggen und Überwachen AWS RAM
Die Überwachung ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Verfügbarkeit AWS RAM und Leistung Ihrer AWS Lösungen. Sie sollten Überwachungsdaten aus allen Teilen Ihrer AWS Lösung sammeln, damit Sie einen etwaigen Ausfall an mehreren Stellen leichter debuggen können. AWS bietet mehrere Tools zur Überwachung Ihrer AWS RAM Ressourcen und zur Reaktion auf potenzielle Vorfälle:
**Amazon EventBridge**
Liefert eine near-real-time Reihe von Systemereignissen, die Änderungen an AWS Ressourcen beschreiben. EventBridge ermöglicht automatisiertes ereignisgesteuertes Computing, da Sie Regeln schreiben können, die auf bestimmte Ereignisse achten und automatische Aktionen in anderen AWS Diensten auslösen können, wenn diese Ereignisse eintreten. Weitere Informationen finden Sie unter [Überwachung AWS RAM mit EventBridge](using-eventbridge.md).
**AWS CloudTrail**
Erfasst API-Aufrufe und zugehörige Ereignisse, die von Ihnen oder in Ihrem Namen getätigt wurden, AWS-Konto und übermittelt die Protokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Aufrufe erfolgten. Weitere Informationen finden Sie unter [AWS RAM API-Aufrufe protokollieren mit AWS CloudTrail](cloudtrail-logging.md).
# Überwachung AWS RAM mit EventBridge
Mit Amazon EventBridge können Sie automatische Benachrichtigungen für bestimmte Ereignisse in einrichten AWS RAM. Ereignisse von AWS RAM werden nahezu EventBridge in Echtzeit zugestellt. Sie können so konfigurieren EventBridge , dass Ereignisse überwacht und Ziele als Reaktion auf Ereignisse aufgerufen werden, die auf Änderungen an Ihren Ressourcenfreigaben hinweisen. Änderungen an einer Ressourcenfreigabe lösen Ereignisse sowohl für den Eigentümer der Ressourcenfreigabe als auch für die Prinzipale aus, denen Zugriff auf die Ressourcenfreigabe gewährt wurde.
Wenn Sie ein Ereignismuster erstellen, ist `aws.ram` die Quelle.
**Anmerkung**
Achten Sie darauf, Code zu schreiben, der von diesen Ereignissen abhängt. Diese Ereignisse sind nicht garantiert, werden aber nach bestem Wissen und Gewissen ausgegeben. Wenn beim AWS RAM Versuch, ein Ereignis auszulösen, ein Fehler auftritt, versucht der Dienst es noch mehrmals. Es kann jedoch zu einem Timeout kommen und zum Verlust dieses bestimmten Ereignisses führen.
Weitere Informationen finden Sie im EventBridge Amazon-Benutzerhandbuch.
## Beispiel: Warnung bei Ausfällen bei der gemeinsamen Nutzung von Ressourcen
Stellen Sie sich das Szenario vor, in dem Sie Amazon EC2 EC2-Kapazitätsreservierungen mit anderen Konten in Ihrer Organisation teilen möchten. Dies ist eine gute Möglichkeit, Ihre Kosten zu senken.
Wenn Sie jedoch nicht alle [Voraussetzungen für die gemeinsame Nutzung einer Kapazitätsreservierung](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/capacity-reservation-sharing.html#sharing-cr-prereq) erfüllen, kann es sein, dass die asynchrone Ausführung der Aufgaben, die mit der gemeinsamen Nutzung von Ressourcen verbunden sind, stillschweigend fehlschlägt. Wenn der Share-Vorgang fehlschlägt und Ihre Benutzer in anderen Konten versuchen, Instances mit einer dieser Kapazitätsreservierungen zu starten, verhält sich Amazon EC2 so, als ob die Kapazitätsreservierung voll wäre, und startet die Instance stattdessen als On-Demand-Instance. Dies kann zu höheren Kosten als erwartet führen.
Um Fehler bei der gemeinsamen Nutzung von Ressourcen zu überwachen, richten Sie eine EventBridge Amazon-Regel ein, die Sie benachrichtigt, wenn eine gemeinsame AWS RAM Nutzung einer Ressource ausfällt. Das folgende Tutorial-Verfahren verwendet ein Amazon Simple Notification Service (SNS) -Thema, um alle Abonnenten des Themas zu benachrichtigen, wenn ein Fehler bei der gemeinsamen Nutzung von Ressourcen EventBridge entdeckt wird. Weitere Informationen zu Amazon SNS finden Sie im [Amazon-Simple-Notification-Service-Entwicklerhandbuch](https://docs.aws.amazon.com/sns/latest/dg/).
**Um eine Regel zu erstellen, die Sie benachrichtigt, wenn die gemeinsame Nutzung von Ressourcen fehlschlägt**
1. Öffnen Sie die [ EventBridge Amazon-Konsole](https://console.aws.amazon.com/events).
1. Wählen Sie im Navigationsbereich **Regeln** und dann in der Liste **Regeln** die Option **Regel erstellen** aus.
1. Geben Sie einen Namen und optional eine Beschreibung für Ihre Regel ein und wählen Sie dann **Weiter** aus.
1. Scrollen Sie nach unten zum Feld **Ereignismuster** und wählen Sie **Benutzerdefinierte Muster (JSON-Editor)** aus.
1. Kopieren Sie das folgende Ereignismuster und fügen Sie es ein:
```
{
"source": ["aws.ram"],
"detail-type": ["Resource Sharing State Change"],
"detail": {
"event": ["Resource Share Association"],
"status": ["failed"]
}
}
```
1. Wählen Sie **Weiter** aus.
1. Wählen Sie für **Ziel 1** unter **Zieltyp** die Option **AWS-Service**.
1. **Wählen Sie unter Ziel auswählen die Option **SNS-Thema**** aus.
1. Wählen Sie **unter Thema** das SNS-Thema aus, zu dem Sie die Benachrichtigung veröffentlichen möchten. Dieses Thema muss bereits existieren.
1. Wählen Sie **Weiter** und klicken Sie dann erneut auf **Weiter**, um Ihre Konfiguration zu überprüfen.
1. Wenn Sie mit Ihren Optionen zufrieden sind, wählen Sie **Regel erstellen** aus.
1. Vergewissern Sie sich, dass Ihre neue Regel wieder auf der Seite **Regeln** als **Aktiviert** markiert ist. Wählen Sie bei Bedarf das Optionsfeld neben Ihrem Regelnamen und wählen Sie dann **Aktivieren** aus.
Solange diese Regel aktiviert ist, generiert jede AWS RAM fehlgeschlagene Ressourcenfreigabe eine SNS-Warnung an die Empfänger des Themas, für das Sie das Thema veröffentlicht haben.
Sie können auch überprüfen, ob Reservierungen für gemeinsame Kapazitäten für die Konten zugänglich sind, mit denen Sie sie geteilt haben, indem Sie versuchen, [sie von diesen Konten aus in der Amazon EC2 EC2-Konsole anzuzeigen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/capacity-reservation-sharing.html#identifying-shared-cr).
# AWS RAM API-Aufrufe protokollieren mit AWS CloudTrail
AWS RAM ist in einen Dienst integriert AWS CloudTrail, der eine Aufzeichnung der Aktionen bereitstellt, die von einem Benutzer, einer Rolle oder einem AWS Dienst in ausgeführt wurden AWS RAM. CloudTrail erfasst alle API-Aufrufe AWS RAM als Ereignisse. Zu den erfassten Aufrufen gehören Aufrufe von der AWS RAM Konsole und Codeaufrufen für die AWS RAM API-Operationen. Wenn Sie einen Trail erstellen, können Sie die kontinuierliche Übermittlung von CloudTrail Ereignissen an einen von Ihnen angegebenen Amazon S3 S3-Bucket aktivieren, einschließlich Ereignissen für AWS RAM. Wenn Sie keinen Trail konfigurieren, können Sie die neuesten Ereignisse trotzdem in der CloudTrail Konsole im **Ereignisverlauf** anzeigen. Ermitteln Sie anhand der von CloudTrail gesammelten Informationen die Anfrage AWS RAM, die anfragende IP-Adresse, den Anfragenden, den Zeitpunkt der Anfrage und weitere Informationen.
Weitere Informationen zu CloudTrail finden Sie im [AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## AWS RAM Informationen in CloudTrail
CloudTrail ist auf Ihrem aktiviert AWS-Konto , wenn Sie das Konto erstellen. Wenn eine Aktivität in stattfindet AWS RAM, wird diese Aktivität zusammen mit anderen CloudTrail AWS Serviceereignissen im **Ereignisverlauf in einem Ereignis** aufgezeichnet. Sie können aktuelle Ereignisse in Ihrem anzeigen, suchen und herunterladen AWS-Konto. Weitere Informationen finden Sie unter [Ereignisse mit CloudTrail Ereignisverlauf anzeigen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Zur kontinuierlichen Aufzeichnung von Ereignissen in Ihrem AWS-Konto, einschließlich Ereignissen für AWS RAM, erstellen Sie einen Trail. Ein *Trail* ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Wenn Sie einen Trail in der Konsole erstellen, gilt der Trail standardmäßig für alle AWS Regionen. Der Trail protokolliert Ereignisse aus allen Regionen in der AWS -Partition und stellt die Protokolldateien in dem von Ihnen angegebenen Amazon-S3-Bucket bereit. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie hier:
+ [Erstellen Sie einen Trail für Ihren AWS-Konto](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [AWS-Service Integrationen mit Protokollen CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Konfiguration von Amazon SNS SNS-Benachrichtigungen für CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Empfangen von CloudTrail Protokolldateien aus mehreren Regionen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) und [Empfangen von CloudTrail Protokolldateien von mehreren Konten](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Alle AWS RAM Aktionen werden von der [AWS RAM API-Referenz](https://docs.aws.amazon.com/ram/latest/APIReference/) protokolliert CloudTrail und sind in dieser dokumentiert. Zum Beispiel werden durch Aufrufe der `CreateResourceShare`-, `AssociateResourceShare`- und `EnableSharingWithAwsOrganization`-Aktionen Einträge in den CloudTrail-Protokolldateien generiert.
Jeder Ereignis- oder Protokolleintrag enthält Informationen, anhand derer Sie feststellen können, wer die Anfrage gestellt hat.
+ AWS-Konto Root-Anmeldeinformationen
+ Temporäre Sicherheitsanmeldedaten von einer AWS Identity and Access Management (IAM-) Rolle oder einem Verbundbenutzer.
+ Langfristige Sicherheits-Anmeldeinformation eines IAM-Benutzers.
+ Ein weiterer Dienst AWS .
Weitere Informationen finden Sie unter [CloudTrail -Element userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## AWS RAM Logdateieinträge verstehen
Ein Trail ist eine Konfiguration, die die Übertragung von Ereignissen als Protokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket ermöglicht. CloudTrail Protokolldateien enthalten einen oder mehrere Protokolleinträge. Ein Ereignis stellt eine einzelne Anforderung aus einer beliebigen Quelle dar und enthält Informationen über die angeforderte Aktion, Datum und Uhrzeit der Aktion, Anforderungsparameter usw. CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API-Aufrufe, sodass sie nicht in einer bestimmten Reihenfolge angezeigt werden.
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für die `CreateResourceShare` Aktion.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "NOPIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:user/admin",
"accountId": "111122223333",
"accessKeyId": "BCDIOSFODNN7EXAMPLE",
"userName": "admin"
},
"eventTime": "2018-11-03T04:23:19Z",
"eventSource": "ram.amazonaws.com",
"eventName": "CreateResourceShare",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.1.0",
"userAgent": "aws-cli/1.16.2 Python/2.7.10 Darwin/16.7.0 botocore/1.11.2",
"requestParameters": {
"name": "foo"
},
"responseElements": {
"resourceShare": {
"allowExternalPrincipals": true,
"name": "foo",
"owningAccountId": "111122223333",
"resourceShareArn": "arn:aws:ram:us-east-1:111122223333:resource-share/EXAMPLE0-1234-abcd-1212-987656789098",
"status": "ACTIVE"
}
},
"requestID": "EXAMPLE0-abcd-1234-mnop-987654567876",
"eventID": "EXAMPLE0-1234-abcd-hijk-543234565434",
"readOnly": false,
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# Konformitätsvalidierung für AWS Resource Access Manager
Informationen darüber, ob AWS-Service ein [AWS-Services in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter Umfang nach Compliance-Programm AWS-Services unter](https://aws.amazon.com/compliance/services-in-scope/) . Wählen Sie dort das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).
# Resilienz in AWS Resource Access Manager
Die AWS globale Infrastruktur basiert auf Availability AWS-Regionen Zones. AWS-Regionen bieten mehrere physisch getrennte und isolierte Availability Zones, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Availability Zones ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser hoch verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
Weitere Informationen zu Availability Zones AWS-Regionen und Availability Zones finden Sie unter [AWS Globale](https://aws.amazon.com/about-aws/global-infrastructure/) Infrastruktur.
# Infrastruktursicherheit in AWS Resource Access Manager
Als verwalteter Dienst AWS Resource Access Manager ist er durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe für den Zugriff AWS RAM über das Netzwerk. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
# Zugriff AWS Resource Access Manager über einen Schnittstellenendpunkt (AWS PrivateLink)
Sie können AWS PrivateLink damit eine private Verbindung zwischen Ihrer VPC und AWS Resource Access Manager herstellen. Sie können darauf zugreifen, AWS RAM als ob es in Ihrer VPC wäre, ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder Direct Connect eine Verbindung zu verwenden. Instances in Ihrer VPC benötigen für den Zugriff AWS RAM keine öffentlichen IP-Adressen.
Sie stellen diese private Verbindung her, indem Sie einen *Schnittstellen-Endpunkt* erstellen, der von AWS PrivateLink unterstützt wird. Wir erstellen eine Endpunkt-Netzwerkschnittstelle in jedem Subnetz, das Sie für den Schnittstellen-Endpunkt aktivieren. Hierbei handelt es sich um vom Anforderer verwaltete Netzwerkschnittstellen, die als Eingangspunkt für den Datenverkehr dienen, der für AWS RAM bestimmt ist.
Weitere Informationen finden Sie unter [Zugriff auf AWS-Services über AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) im *AWS PrivateLink -Leitfaden*.
## Überlegungen zu AWS RAM
Bevor Sie einen Schnittstellen-Endpunkt für einrichten AWS RAM, lesen Sie die [Überlegungen](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) im *AWS PrivateLink Handbuch*.
AWS RAM unterstützt Aufrufe aller API-Aktionen über den Schnittstellenendpunkt.
VPC-Endpunktrichtlinien werden unterstützt für AWS RAM. Standardmäßig AWS RAM ist der vollständige Zugriff auf über den Schnittstellenendpunkt zulässig.
## Erstellen Sie einen Schnittstellenendpunkt für AWS RAM
Sie können einen Schnittstellenendpunkt für die AWS RAM Verwendung entweder der Amazon VPC-Konsole oder der AWS Command Line Interface (AWS CLI) erstellen. Weitere Informationen finden Sie unter [Erstellen eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) im *AWS PrivateLink -Leitfaden*.
Erstellen Sie einen Schnittstellenendpunkt für die AWS RAM Verwendung des folgenden Servicenamens:
```
com.amazonaws.region.ram
```
Wenn Sie privates DNS für den Schnittstellenendpunkt aktivieren, können Sie API-Anfragen an die AWS RAM Verwendung des standardmäßigen regionalen DNS-Namens stellen. Beispiel, `ram.us-east-1.amazonaws.com`.
## Erstellen einer Endpunktrichtlinie für Ihren Schnittstellen-Endpunkt
Eine Endpunktrichtlinie ist eine IAM-Ressource, die Sie an einen Schnittstellen-Endpunkt anfügen können. Die standardmäßige Endpunktrichtlinie ermöglicht den vollen Zugriff AWS RAM über den Schnittstellenendpunkt. Um den Zugriff AWS RAM von Ihrer VPC aus zu kontrollieren, fügen Sie dem Schnittstellenendpunkt eine benutzerdefinierte Endpunktrichtlinie hinzu.
Eine Endpunktrichtlinie gibt die folgenden Informationen an:
+ Die Prinzipale, die Aktionen ausführen können (AWS-Konten, IAM-Benutzer und IAM-Rollen).
+ Aktionen, die ausgeführt werden können
+ Die Ressourcen, auf denen die Aktionen ausgeführt werden können.
Weitere Informationen finden Sie unter [Steuern des Zugriffs auf Services mit Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) im *AWS PrivateLink -Leitfaden*.
**Beispiel: VPC-Endpunktrichtlinie für Aktionen AWS RAM**
Im Folgenden finden Sie ein Beispiel für eine benutzerdefinierte Endpunktrichtlinie. Wenn Sie diese Richtlinie an Ihren Schnittstellenendpunkt anhängen, gewährt sie allen Prinzipalen auf allen Ressourcen Zugriff auf die aufgelisteten AWS RAM Aktionen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"ram:CreateResourceShare"
],
"Resource": "*"
}
]
}
```
------