Bewährte Methoden für Richtlinien Verwenden der Konsole Gewähren des Zugriffs auf eine Ansicht anhand von Stichwörtern Zugriff gewähren, um eine Ansicht auf der Grundlage von Tags zu erstellen Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen

AWS Ressourcen ExplorerBeispiele für identitätsbasierte -Richtlinien

AWS Identity and Access ManagementIAM-Prinzipale wie Rollen, Gruppen und Benutzer verfügen nicht über die Berechtigung zum Erstellen oder Ändern von Resource Explorer-Ressourcen. Sie können auch keine Aufgaben mit derAWS Management Console,AWS Command Line Interface (AWS CLI) oderAWS API ausführen. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die den Prinzipals die Berechtigung zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcen gewähren, die diese benötigen. Anschließend muss der Administrator diese Richtlinien den IAM-Prinzipalen zuweisen, die diese Berechtigungen benötigen.

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

Benutzer und Gruppen in AWS IAM Identity Center:

Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center-Benutzerhandbuch.
Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:

Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anweisungen unter Erstellen einer Rolle für einen externen Identitätsanbieter (Verbund) im IAM-Benutzerhandbuch.
IAM-Benutzer:
- Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Folgen Sie den Anweisungen unter Erstellen einer Rolle für einen IAM-Benutzer im IAM-Benutzerhandbuch.
- (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter Hinzufügen von Berechtigungen zu einem Benutzer (Konsole) im IAM-Benutzerhandbuch.

Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter Erstellen von Richtlinien auf der JSON-Registerkarte im IAM-Benutzerhandbuch.

Themen

Bewährte Methoden für Richtlinien
Verwenden der Resource Explorer-Konsole
Gewähren des Zugriffs auf eine Ansicht anhand von Stichwörtern
Zugriff gewähren, um eine Ansicht auf der Grundlage von Tags zu erstellen
Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen

Bewährte Methoden für Richtlinien

Identitätsbasierte Richtlinien können festlegen, ob jemand Resource Explorer-Ressourcen in Ihrem Konto erstellen, zugreifen oder löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Befolgen Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Anleitungen und Empfehlungen:

Erste Schritte mit AWS-verwaltete Richtlinien und Umstellung auf Berechtigungen mit den geringsten Berechtigungen – Um Ihren Benutzern und Workloads Berechtigungen zu gewähren, verwenden Sie die AWS-verwaltete Richtlinien die Berechtigungen für viele allgemeine Anwendungsfälle gewähren. Sie sind in Ihrem AWS-Konto verfügbar. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie AWS-kundenverwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter AWS-verwaltete Richtlinien oder AWS-verwaltete Richtlinien für Auftragsfunktionen im IAM-Benutzerhandbuch.
Anwendung von Berechtigungen mit den geringsten Rechten – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als die geringsten Berechtigungen. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter Richtlinien und Berechtigungen in IAM im IAM-Benutzerhandbuch.
Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Service-Aktionen zu gewähren, wenn diese durch ein bestimmtes AWS-Service, wie beispielsweise AWS CloudFormation, verwendet werden. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Bedingung im IAM-Benutzerhandbuch.
Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter Richtlinienvalidierung zum IAM Access Analyzer im IAM-Benutzerhandbuch.
Bedarf einer Multi-Faktor-Authentifizierung (MFA) – Wenn Sie ein Szenario haben, das IAM-Benutzer oder Root-Benutzer in Ihrem AWS-Konto erfordert, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter Konfigurieren eines MFA-geschützten API-Zugriffs im IAM-Benutzerhandbuch.

Weitere Informationen zu bewährten Methoden in IAM finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.

Verwenden der Resource Explorer-Konsole

Damit Principals in derAWS Ressourcen Explorer Konsole suchen können, müssen sie über einen Mindestsatz von Berechtigungen verfügen. Wenn Sie keine identitätsbasierte Richtlinie mit den mindestens erforderlichen Berechtigungen erstellen, funktioniert die Resource Explorer-Konsole nicht wie vorgesehen für die Hauptbenutzer im Konto.

Sie können die benannteAWS verwaltete Richtlinie verwendenAWSResourceExplorerReadOnlyAccess, um die Möglichkeit zu gewähren, die Resource Explorer-Konsole für die Suche in einer beliebigen Ansicht im Konto zu verwenden. Informationen zum Erteilen von Suchberechtigungen für nur eine einzige Ansicht finden Sie unterZugriff auf Resource Explorer-Ansichten für die Suche gewähren und in den Beispielen in den folgenden beiden Abschnitten.

Für Prinzipale, die nur Aufrufe an die AWS CLI oder AWS-API durchführen, müssen Sie keine Mindestberechtigungen in der Konsole erteilen. Stattdessen können Sie festlegen, dass nur den Aktionen Zugriff gewährt wird, die den API-Vorgängen entsprechen, die die Prinzipale ausführen müssen.

Gewähren des Zugriffs auf eine Ansicht anhand von Stichwörtern

In diesem Beispiel möchten Sie Zugriff auf eine Resource Explorer-Ansicht inAWS-Konto Ihren beiden Hauptverwaltern des Kontos gewähren. Dazu weisen Sie den Prinzipalen, nach denen Sie im Resource Explorer suchen können möchten, identitätsbasierte IAM-Richtlinien zu. Die folgende IAM-Beispielrichtlinie gewährt Zugriff auf jede Anfrage, bei der das an den aufrufenden Principal angehängteSearch-Group Tag genau mit dem Wert für dasselbe Tag übereinstimmt, das an die in der Anforderung verwendete View angehängt ist.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "resource-explorer-2:GetView",
                "resource-explorer-2:Search"
            ],
            "Resource": "arn:aws:resource-explorer-2:*:*:view/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/Search-Group": "${aws:PrincipalTag/Search-Group}"}
            }
        }
    ]
}

Sie können diese Richtlinie den IAM-Prinzipalen in Ihrem Konto zuweisen. Wenn ein Principal mit dem TagSearch-Group=A versucht, in einer Resource Explorer-Ansicht zu suchen, muss die Ansicht ebenfalls mit einem Tag versehen werdenSearch-Group=A. Ist dies nicht der Fall, wird dem Principal der Zugriff verweigert. Der Tag-Schlüssel Search-Group der Bedingung stimmt sowohl mit Search-group als auch mit search-group überein, da die Namen von Bedingungsschlüsseln nicht zwischen Groß- und Kleinschreibung unterscheiden. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Bedingung im IAM-Benutzerhandbuch.

Wichtig

Um Ihre Ressourcen in vereinheitlichten Suchergebnissen in der anzuzeigenAWS Management Console, müssen die PrinzipaleGetView sowohl über als auch überSearch Berechtigungen für die Standardansicht in derAWS-Region Ansicht verfügen, die den Aggregatorindex enthält. Die einfachste Methode, diese Berechtigungen zu gewähren, besteht darin, die standardmäßige ressourcenbasierte Berechtigung beizubehalten, die an die Ansicht angehängt war, als Sie den Resource Explorer mithilfe der Schnelleinstellungen oder Erweitert aktiviert haben.

Für dieses Szenario könnten Sie erwägen, die Standardansicht so einzurichten, dass vertrauliche Ressourcen herausgefiltert werden, und dann zusätzliche Ansichten einzurichten, für die Sie tagbasierten Zugriff gewähren, wie im vorherigen Beispiel beschrieben.

Zugriff gewähren, um eine Ansicht auf der Grundlage von Tags zu erstellen

In diesem Beispiel möchten Sie zulassen, dass nur Prinzipale, die mit demselben Tag wie der Index gekennzeichnet sind, Ansichten in dem erstellen könnenAWS-Region, der den Index enthält. Erstellen Sie dazu identitätsbasierte Berechtigungen, damit die Prinzipale mithilfe von Ansichten suchen können.

Jetzt können Sie Berechtigungen zum Erstellen einer Ansicht gewähren. Sie können die Anweisungen in diesem Beispiel zu derselben Berechtigungsrichtlinie hinzufügen, die Sie verwenden, um den entsprechenden PrinzipalenSearch Berechtigungen zu gewähren. Die Aktionen werden auf der Grundlage der an die Prinzipale angehängten Tags zugelassen oder verweigert, die die Operationen und den Index aufrufen, mit denen die Ansicht verknüpft werden soll. Die folgende IAM-Beispielrichtlinie lehnt jede Anforderung zur Erstellung einer Ansicht ab, wenn der Wert des an den Principal des Aufrufers angefügtenAllow-Create-View Tags nicht genau mit dem Wert für dasselbe Tag übereinstimmt, das an den Index in der Region angehängt ist, in der die Ansicht erstellt wurde.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "resource-explorer-2:CreateView",
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {"aws:ResourceTag/Allow-Create-View": "${aws:PrincipalTag/Allow-Create-View}"}
            }
        }
    ]
}

Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen

In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie enthält Berechtigungen für die Ausführung dieser Aktion auf der Konsole oder für die programmgesteuerte Ausführung über die AWS CLI oder die AWS-API.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Resource Explorer und IAM

Beispiel-SCPs