Authentifizierung und Zugriffskontrolle für AWS RoboMaker - AWS RoboMaker
Einführung in die Autorisierung und ZugriffskontrolleErforderliche BerechtigungenWie AWS RoboMaker funktioniert mit IAMProblembehandlung bei Authentifizierung und Zugriffskontrolle

Ende des Supporthinweises: Am 10. September 2025 AWS wird der Support für AWS RoboMaker eingestellt. Nach dem 10. September 2025 können Sie nicht mehr auf die AWS RoboMaker Konsole oder die AWS RoboMaker Ressourcen zugreifen. Weitere Informationen AWS Batch zur Umstellung auf containerisierte Simulationen finden Sie in diesem Blogbeitrag.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Authentifizierung und Zugriffskontrolle für AWS RoboMaker

AWS Identity and Access Management (IAM) ist ein AWS Dienst, der einem Administrator hilft, den Zugriff auf AWS RoboMaker Ressourcen sicher zu kontrollieren. Administratoren kontrollieren IAM damit, wer authentifiziert (angemeldet) und autorisiert ist (über Berechtigungen verfügt), um AWS RoboMaker Ressourcen zu verwenden. IAMist eine Funktion Ihres AWS Kontos, die ohne zusätzliche Kosten angeboten wird.

Wichtig

Um schnell loszulegen, lesen Sie die einführenden Informationen auf dieser Seite und lesen Sie dannErste Schritte mit IAM, undWas sind Richtlinien?.

Topics

Einführung in die Autorisierung und Zugriffskontrolle

AWS RoboMaker ist in AWS Identity and Access Management (IAM) integriert, das eine Vielzahl von Funktionen bietet:

  • Erstellen Sie Benutzer und Gruppen in Ihrem AWS-Konto.

  • Teilen Sie Ihre AWS Ressourcen ganz einfach zwischen den Benutzern in Ihrem AWS-Konto.

  • Weisen Sie jedem Benutzer eindeutige Sicherheitsanmeldedaten zu.

  • Kontrollieren Sie den Zugriff jedes Benutzers auf Dienste und Ressourcen.

  • Holen Sie sich eine einzige Rechnung für alle Benutzer in Ihrem AWS-Konto.

Weitere Informationen zu IAM finden Sie im Folgenden:

Erforderliche Berechtigungen

Um Autorisierung und Zugriffskontrolle für sich selbst oder andere zu verwenden AWS RoboMaker oder zu verwalten, benötigen Sie die richtigen Berechtigungen.

Erforderliche Berechtigungen für die Verwendung der AWS RoboMaker -Konsole

Um auf die AWS RoboMaker Konsole zugreifen zu können, müssen Sie über Mindestberechtigungen verfügen, die es Ihnen ermöglichen, die AWS RoboMaker Ressourcen in Ihrem AWS Konto aufzulisten und Details zu ihnen anzuzeigen. Wenn Sie eine identitätsbasierte Berechtigungsrichtlinie erstellen, die restriktiver als die mindestens erforderlichen Berechtigungen ist, funktioniert die Konsole für Entitäten mit dieser Richtlinie nicht wie vorgesehen.

Verwenden Sie für den schreibgeschützten Zugriff auf die AWS RoboMaker Konsole die AWSRoboMakerReadOnlyAccessRichtlinie.

Wenn ein IAM Benutzer einen Simulationsjob erstellen möchte, müssen Sie diesem Benutzer die iam:PassRole entsprechende Berechtigung erteilen. Weitere Informationen zum Übergeben einer Rolle finden Sie unter Einem Benutzer Berechtigungen zur Übergabe einer Rolle an einen AWS Dienst erteilen.

Sie können z. B. die folgende Richtlinie einem Benutzer zuweisen. Sie bietet die Berechtigung zum Erstellen eines Simulationsauftrags:


 {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::123456789012:role/S3AndCloudWatchAccess"
        }
    ]
}

Sie müssen Benutzern, die nur den AWS CLI oder den aufrufen, keine Mindestberechtigungen für die Konsole gewähren AWS API. Stattdessen benötigen Sie nur die Berechtigungen, die dem API Vorgang entsprechen, den Sie ausführen möchten.

Zum Anzeigen von Welten AWS RoboMaker in der Konsole sind Berechtigungen erforderlich

Du kannst die zum Ansehen von AWS RoboMaker Welten erforderlichen Berechtigungen in der AWS RoboMaker Konsole gewähren, indem du einem Benutzer die folgende Richtlinie anhängst: 


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "robomaker: DescribeWorld"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

Für die Verwendung der AWS RoboMaker Simulationstools sind die erforderlichen Berechtigungen erforderlich

Der IAM Benutzer oder die Rolle, mit der die Simulation erstellt wurde, erhält automatisch die Berechtigung, auf die Simulationstools zuzugreifen. Wenn es sich um einen anderen Benutzer oder eine andere Rolle handelt, sollte dieser/diese über die robomaker:CreateSimulationJob-Berechtigung verfügen.

Erforderliche Berechtigungen für die Authentifizierungsverwaltung

Um Ihre eigenen Anmeldeinformationen wie Ihr Passwort, Ihre Zugangsschlüssel und Geräte mit Multi-Faktor-Authentifizierung (MFA) verwalten zu können, muss Ihr Administrator Ihnen die erforderlichen Berechtigungen erteilen. Die Richtlinie mit diesen Berechtigungen finden Sie unter Erlauben Sie Benutzern, ihre Anmeldeinformationen selbst zu verwalten.

Als AWS Administrator benötigen Sie vollen Zugriff auf, IAM damit Sie Benutzer, Gruppen, Rollen und Richtlinien in IAM erstellen und verwalten können. Sie sollten die AdministratorAccess AWS verwaltete Richtlinie verwenden, die vollen Zugriff auf alle umfasst AWS. Diese Richtlinie gewährt keinen Zugriff auf die AWS Billing and Cost Management Konsole und erlaubt auch keine Aufgaben, für die Root-Benutzeranmeldedaten erforderlich sind. Weitere Informationen finden Sie unter AWS Aufgaben, für die AWS-Konto Root-Benutzeranmeldedaten erforderlich sind in der Allgemeine AWS-Referenz.

Warnung

Nur ein Administratorbenutzer sollte vollen Zugriff auf haben AWS. Jeder, für den diese Richtlinie gilt, hat die Berechtigung, die Authentifizierung und die Zugriffskontrolle vollständig zu verwalten, zusätzlich zur Änderung aller Ressourcen in AWS. Informationen zum Erstellen dieses Benutzers finden Sie unter Erstellen Sie Ihren IAM Admin-Benutzer.

Für die Zugriffskontrolle sind Berechtigungen erforderlich

Wenn Ihr Administrator Ihnen IAM Benutzeranmeldedaten zur Verfügung gestellt hat, hat er Ihrem IAM Benutzer Richtlinien angehängt, um zu kontrollieren, auf welche Ressourcen Sie zugreifen können. Um die Ihrem Benutzer zugewiesenen Richtlinien in der einsehen zu können AWS Management Console, benötigen Sie die folgenden Berechtigungen:


   {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": [
                "arn:aws:iam::*:user/${aws:username}"
            ]
        },
        {
            "Sid": "ListUsersViewGroupsAndPolicies",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Wenn Sie zusätzliche Berechtigungen benötigen, bitten Sie Ihren Administrator, Ihre Richtlinien zu aktualisieren, damit Sie auf die von Ihnen benötigten Aktionen zugreifen können.

Für einen Simulationsjob sind Berechtigungen erforderlich

Wenn Sie einen Simulationsjob erstellen, muss er über eine IAM Rolle mit den folgenden Berechtigungen verfügen.

  • Ersetzen Sie amzn-s3-demo-source-bucket durch den Namen des Buckets mit den Roboter- und Simulationsanwendungspaketen.

  • Ersetzen Sieamzn-s3-demo-destination-bucket, um auf den Bucket zu zeigen, in den die Ausgabedateien geschrieben AWS RoboMaker werden sollen.

  • Ersetzen Sie account# mit Ihrer Kontonummer.

Öffentliche ECR Jobs erfordern separate Berechtigungen, wie z. B. ecr-public:GetAuthorizationTokensts:GetServiceBearerToken, und alle anderen Berechtigungen, die für Ihre endgültige Implementierung erforderlich sind. Weitere Informationen finden Sie unter Richtlinien für öffentliche Repositorien im ECRAmazon-Benutzerhandbuch.

Jobs with Private ECR images

  {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "s3:ListBucket",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-source-bucket"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": "s3:Put*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:PutLogEvents",
                "logs:DescribeLogStreams"
            ],
            "Resource": [
                "arn:aws:logs:*:account#:log-group:/aws/robomaker/SimulationJobs*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "ecr:BatchGetImage",
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer"
            ],
            "Resource": "arn:partition:ecr:region:account#:repository/repository_name",
            "Effect": "Allow"
        }
    ]
}
Jobs with Public ECR images

  {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "s3:ListBucket",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-source-bucket"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": "s3:Put*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:PutLogEvents",
                "logs:DescribeLogStreams"
            ],
            "Resource": [
                "arn:aws:logs:*:account#:log-group:/aws/robomaker/SimulationJobs*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "ecr-public:GetAuthorizationToken",
                "sts:GetServiceBearerToken"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

Die Richtlinie muss einer Rolle mit der folgenden Vertrauensrichtlinie zugeordnet werden.


{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": { "Service": "robomaker.amazonaws.com" },
        "Action": "sts:AssumeRole",
        "Condition": {
            "StringEquals": {
                "aws:SourceAccount": "account#" // Account where the simulation job resource is created
            },
            "StringEquals": {
                "aws:SourceArn": "arn:aws:robomaker:region:account#:simulation-job/*"
            }
        }
    }
}

Bedingungsschlüssel verhindern, dass ein AWS Dienst bei Transaktionen zwischen Diensten als verwirrter Stellvertreter verwendet wird. Weitere Informationen SourceAccountSourceArnzu Bedingungsschlüsseln finden Sie unter und.

Für die Verwendung von Tags in einer ROS Anwendung oder ROS Befehlszeile sind Berechtigungen erforderlich

Sie können Tags in Ihrem Simulationsjob über die ROS Befehlszeile oder während der Ausführung in Ihrer ROS Anwendung taggen, entfernen und auflisten. Sie müssen über eine IAM Rolle mit den unten aufgeführten Berechtigungen verfügen. Ersetzen Sie account# mit Ihrer Kontonummer. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "robomaker:TagResource",
                "robomaker:UntagResource",
                "robomaker:ListTagsForResource",
            ],
            "Resource": [
                "arn:aws:robomaker:*:account#:simulation-job*"
            ],
            "Effect": "Allow"
        }
    ]
}

Die Richtlinie muss einer Rolle mit der folgenden Vertrauensrichtlinie angefügt werden:


{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": { "Service": "robomaker.amazonaws.com" },
        "Action": "sts:AssumeRole",
        "Condition": {
            "StringEquals": {
                "aws:SourceAccount": "account#" // Account where the simulation job resource is created
            },
            "StringEquals": {
                "aws:SourceArn": "arn:aws:robomaker:region:account#:simulation-job/*"
            }
        }
    }
}

Bedingungsschlüssel verhindern, dass ein AWS Dienst bei Transaktionen zwischen Diensten als verwirrter Stellvertreter verwendet wird. Weitere Informationen SourceAccountSourceArnzu Bedingungsschlüsseln finden Sie unter und.

Verstehen, wie AWS RoboMaker funktioniert mit IAM

Dienste können auf verschiedene IAM Arten verwendet werden:

  • Aktionen — AWS RoboMaker unterstützt die Verwendung von Aktionen in einer Richtlinie. Dadurch kann ein Administrator steuern, ob eine Entity eine Operation in AWS RoboMaker durchführen kann. Damit eine Entität beispielsweise eine Richtlinie anzeigen kann, indem sie den GetPolicy AWS API Vorgang ausführt, muss ein Administrator eine Richtlinie anhängen, die die iam:GetPolicy Aktion zulässt.

  • Berechtigungen auf Ressourcenebene — unterstützt AWS RoboMaker keine Berechtigungen auf Ressourcenebene. Mit Berechtigungen auf Ressourcenebene können Sie einzelne Ressourcen in der ARNsRichtlinie angeben. Da diese Funktion AWS RoboMaker nicht unterstützt wird, müssen Sie im visuellen Editor für Richtlinien die Option Alle Ressourcen auswählen. In einem JSON Richtliniendokument müssen Sie das Resource Element verwenden*.

  • Autorisierung auf Basis von Tags — AWS RoboMaker unterstützt autorisierungsbasierte Tags. Mit dieser Funktion können Sie Ressourcen-Tags in der Bedingung einer Richtlinie verwenden.

  • Temporäre Anmeldeinformationen — AWS RoboMaker unterstützt temporäre Anmeldeinformationen. Mit dieser Funktion können Sie sich bei einem Verband anmelden, eine IAM Rolle übernehmen oder eine kontoübergreifende Rolle übernehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API Operationen wie AssumeRoleoder GetFederationTokenaufrufen.

  • Dienstbezogene Rollen — AWS RoboMaker unterstützt Servicerollen. Diese Funktion ermöglicht einem Service das Annehmen einer serviceverknüpften Rolle in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Mit Diensten verknüpfte Rollen werden in Ihrem IAM Konto angezeigt und gehören dem Dienst. Ein IAM Administrator kann die Berechtigungen für dienstbezogene Rollen einsehen, aber nicht bearbeiten.

  • Servicerollen — AWS RoboMaker unterstützt Servicerollen. Dieses Feature ermöglicht einem Service das Annehmen einer Servicerolle in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem IAM Konto angezeigt und gehören dem Konto. Das bedeutet, dass ein IAM Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Services beeinträchtigen.

Problembehandlung bei Authentifizierung und Zugriffskontrolle

Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit auftreten könnenIAM.

Ich bin nicht berechtigt, eine Aktion durchzuführen in AWS RoboMaker

Wenn Sie eine Fehlermeldung erhalten AWS Management Console , die Ihnen mitteilt, dass Sie nicht berechtigt sind, eine Aktion auszuführen, müssen Sie sich an den Administrator wenden, der Ihnen Ihren Benutzernamen und Ihr Passwort zur Verfügung gestellt hat.

Der folgende Beispielfehler tritt auf, wenn ein IAM Benutzer mit dem Namen my-user-name versucht, die CreateRobotApplication Aktion über die Konsole auszuführen, aber nicht über die erforderlichen Berechtigungen verfügt.

User: arn:aws:iam::123456789012:user/my-user-name is not authorized to perform: aws-robomaker:CreateRobotApplication on resource: my-example-robot-application

Bitten Sie in diesem Beispiel Ihren Administrator, Ihre Richtlinien zu aktualisieren, damit Sie über die Aktion aws-robomaker:CreateRobotApplication auf die Ressource my-example-robot-application zugreifen können.

Ich bin Administrator und möchte anderen Zugriff gewähren AWS RoboMaker

Um anderen den Zugriff zu ermöglichen, müssen AWS RoboMaker Sie eine IAM Entität (Benutzer oder Rolle) für die Person oder Anwendung erstellen, die Zugriff benötigt. Sie werden die Anmeldeinformationen für diese Einrichtung verwenden, um auf AWS zuzugreifen. Anschließend müssen Sie der Entität eine Richtlinie anfügen, die dieser die korrekten Berechtigungen in AWS RoboMaker gewährt.

Informationen zu den ersten Schritten finden Sie unter Erste Schritte mit IAM.