Zugriff auf Resource Explorer-Ansichten für die Suche gewähren - AWS Ressourcen Explorer
Mit Tag-basierter Autorisierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zugriff auf Resource Explorer-Ansichten für die Suche gewähren

Bevor Benutzer mit einer neuen AnsichtAWS Ressourcen Explorer Verwenden Sie dazu eine identitätsbasierte Berechtigungsrichtlinie für dieAWS Identity and Access Management (IAM) -Prinzipale, die mit der Ansicht suchen müssen.

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

Sie haben die Wahl zwischen den folgenden Methoden:

  • Verwenden Sie eine bestehendeAWS verwaltete Richtlinie. Resource Explorer bietet mehrere vordefinierteAWS verwaltete Richtlinien für Ihre Verwendung. Einzelheiten zu allen verfügbarenAWS verwalteten Richtlinien finden Sie unterAWS verwaltete Richtlinien für AWS Ressourcen Explorer.

    Sie könnten dieAWSResourceExplorerReadOnlyAccess Richtlinie beispielsweise verwenden, um Suchberechtigungen für alle Ansichten im Konto zu gewähren.

  • Erstellen Sie Ihre eigene Berechtigungsrichtlinie und weisen Sie sie den Schulleitern zu. Wenn Sie Ihre eigene Richtlinie erstellen, können Sie den Zugriff auf eine einzelne Ansicht oder eine Teilmenge der verfügbaren Ansichten einschränken, indem Sie den Amazon-Ressourcennamen (ARN) jeder Ansicht imResource Element der Richtlinienerklärung angeben. Sie können beispielsweise die folgende Beispielrichtlinie verwenden, um diesem Principal die Möglichkeit zu geben, nur mit dieser einen Ansicht zu suchen.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "resource-explorer-2:Search",
                "resource-explorer-2:GetView"
            ],
            "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/MyTestView/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
        }
    ]
}

    Verwenden Sie die IAM-Konsole, um die Berechtigungsrichtlinien zu erstellen und sie mit den Prinzipalen zu verwenden, die diese Berechtigungen benötigen. Weitere Informationen zu IAM-Berechtigungsrichtlinien finden Sie in den folgenden Themen:

Mit Tag-basierter Autorisierung

Wenn Sie mehrere Ansichten mit Filtern erstellen möchten, die nur Ergebnisse mit bestimmten Ressourcen zurückgeben, möchten Sie möglicherweise auch den Zugriff auf diese Ansichten auf die Hauptbenutzer beschränken, die diese Ressourcen sehen müssen. Sie können diese Art von Sicherheit für die Ansichten in Ihrem Konto bereitstellen, indem Sie eine Strategie zur attributbasierten Zugriffskontrolle (ABAC) verwenden. Die von ABAC verwendeten Attribute sind die Tags, die sowohl den Principalen, die versuchen, Operationen auszuführen, als auch den Ressourcen, auf die sie zugreifen möchten, zugeordnet sind.AWS

ABAC verwendet standardmäßige IAM-Berechtigungsrichtlinien, die den Principals beigefügt sind. Die Richtlinien verwendenCondition Elemente in den Richtlinienerklärungen, um den Zugriff nur dann zu ermöglichen, wenn sowohl die an den anfragenden Principal angehängten Tags als auch die an die betroffene Ressource angehängten Tags den Anforderungen der Richtlinie entsprechen.

Sie könnten beispielsweise allenAWS Ressourcen, die die Produktionsanwendung Ihres Unternehmens unterstützen, ein Tag"Environment" = "Production" zuordnen. Um sicherzustellen, dass nur Prinzipale, die für den Zugriff auf die Produktionsumgebung autorisiert sind, diese Ressourcen sehen können, erstellen Sie eine Resource Explorer-Ansicht, die dieses Tag als Filter verwendet. Um dann den Zugriff auf die Ansicht nur auf die entsprechenden Prinzipale zu beschränken, gewähren Sie Berechtigungen mithilfe einer Richtlinie, die eine ähnliche Bedingung wie die folgenden Beispielelemente hat.

{
    "Effect": "Allow",
    "Action": [ "service:Action1", "service:Action2" ],
    "Resource": "arn:aws:arn-of-a-resource",
    "Condition": { "StringEquals": {"aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}"} }
}

ConditionIm vorherigen Beispiel wird festgelegt, dass die Anforderung nur zulässig ist, wenn dasEnvironment Tag, das an den die Anfrage stellenden Principal angehängt ist, mit demEnvironment Tag übereinstimmt, das an die in der Anfrage angegebene Ressource angehängt ist. Wenn diese beiden Tags nicht genau übereinstimmen oder wenn eines der Tags fehlt, lehnt der Resource Explorer die Anfrage ab.

Wichtig

Um ABAC erfolgreich für den sicheren Zugriff auf Ihre Ressourcen zu verwenden, müssen Sie den Zugriff zunächst auf die Möglichkeit beschränken, die an Ihre Prinzipale und Ressourcen angehängten Tags hinzuzufügen oder zu ändern. Wenn ein Benutzer die mit einemAWS Principal oder einer Ressource verknüpften Tags hinzufügen oder ändern kann, kann dieser Benutzer die durch diese Tags gesteuerten Berechtigungen beeinflussen. In einer sicheren ABAC-Umgebung sind nur zugelassene Sicherheitsadministratoren berechtigt, die an Prinzipale angehängten Tags hinzuzufügen oder zu ändern, und nur Sicherheitsadministratoren und Ressourcenbesitzer können die an Ressourcen angehängten Tags hinzufügen oder ändern.

Weitere Informationen über die erfolgreiche Implementierung einer ABAC-Strategie finden Sie in den folgenden Themen im IAM-Benutzerhandbuch:

Nachdem Sie die erforderliche ABAC-Infrastruktur eingerichtet haben, können Sie mit start using tags festlegen, wer mithilfe der Resource Explorer-Ansichten in Ihrem Konto suchen darf. Ein Beispiel für das Prinzip von Berechtigungen finden Sie in den folgenden Beispielberechtigungsrichtlinien: