Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aktionen, Ressourcen und Bedingungsschlüssel für AWS Identity and Access Management (IAM)
AWS Identity and Access Management (IAM) (Dienstpräfix:iam) stellt die folgenden dienstspezifischen Ressourcen, Aktionen und Bedingungskontextschlüssel zur Verwendung in IAM-Berechtigungsrichtlinien bereit.
Referenzen:
-
Erfahren Sie, wie Sie diesen Service konfigurieren.
-
Zeigen Sie eine Liste der API-Operationen an, die für diesen Service verfügbar sind.
-
Erfahren Sie, wie Sie diesen Service und seine Ressourcen mithilfe von IAM-Berechtigungsrichtlinien schützen.
Themen
Von AWS Identity and Access Management (IAM) definierte Aktionen
Sie können die folgenden Aktionen im Element Action einer IAM-Richtlinienanweisung angeben. Verwenden Sie Richtlinien, um Berechtigungen zum Ausführen einer Operation in AWS zu erteilen. Wenn Sie eine Aktion in einer Richtlinie verwenden, erlauben oder verweigern Sie in der Regel den Zugriff auf die API-Operation oder den CLI-Befehl mit demselben Namen. Dabei kann es mitunter vorkommen, dass eine einzige Aktion den Zugriff auf mehr als eine Operation steuert. Alternativ erfordern einige Vorgänge mehrere verschiedene Aktionen.
Die Spalte Resource types (Ressourcentypen) der Aktionstabelle gibt an, ob die Aktion Berechtigungen auf Ressourcenebene unterstützt. Wenn es keinen Wert für diese Spalte gibt, müssen Sie alle Ressourcen ("*") im Element Resource Ihrer Richtlinienanweisung angeben. Wenn die Spalte einen Ressourcentyp enthält, können Sie einen ARN dieses Typs in einer Anweisung mit dieser Aktion angeben. Wenn für die Aktion eine oder mehrere Ressourcen erforderlich sind, muss der Aufrufer die Erlaubnis haben, die Aktion mit diesen Ressourcen zu verwenden. Erforderliche Ressourcen sind in der Tabelle mit einem Sternchen (*) gekennzeichnet. Wenn Sie den Ressourcenzugriff mit dem Element Resource in einer IAM-Richtlinie einschränken, müssen Sie für jeden erforderlichen Ressourcentyp einen ARN oder ein Muster angeben. Einige Aktionen unterstützen mehrere Ressourcentypen. Wenn der Ressourcentyp optional ist (nicht als erforderlich angegeben), können Sie sich für einen der optionalen Ressourcentypen entscheiden.
Die Spalte Bedingungsschlüssel der Tabelle der Aktionen enthält Schlüssel, die Sie im Element Condition einer Richtlinienanweisung angeben können. Weitere Informationen zu den Bedingungsschlüsseln, die den Ressourcen für den Service zugeordnet sind, finden Sie in der Spalte Bedingungsschlüssel der Tabelle der Ressourcentypen.
Anmerkung
Die Ressourcenbedingungsschlüssel sind in der Tabelle Ressourcentypen enthalten. Sie finden einen Link zu dem Ressourcentyp, der für eine Aktion gilt, in der Spalte Ressourcentypen (*erforderlich) der Tabelle „Aktionen“. Der Ressourcentyp in der Tabelle „Ressourcentypen“ enthält die Spalte Bedingungsschlüssel. Das sind die Ressourcenbedingungsschlüssel, die für eine Aktion in der Tabelle „Aktionen“ gelten.
Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Aktionen
| Aktionen | Beschreibung | Zugriffsebene | Ressourcentypen (*erforderlich) | Bedingungsschlüssel | Abhängige Aktionen |
|---|---|---|---|---|---|
| AddClientIDToOpenIDConnectProvider | Erteilt die Berechtigung, der Liste der registrierten IDs für die angegebene IAM OpenID Connect (OIDC) -Anbieterressource eine neue Client-ID (Audience) hinzuzufügen | Schreiben | |||
| AddRoleToInstanceProfile | Gewährt die Berechtigung zum Hinzufügen einer IAM-Rolle zum angegebenen Instance-Profil. | Write |
iam:PassRole |
||
| AddUserToGroup | Gewährt die Berechtigung zum Hinzufügen eines IAM-Benutzers zur angegebenen IAM-Gruppe. | Write | |||
| AttachGroupPolicy | Gewährt die Berechtigung zum Anfügen einer verwalteten Richtlinie an die angegebene IAM-Gruppe. | Berechtigungsverwaltung | |||
| AttachRolePolicy | Gewährt die Berechtigung zum Anfügen einer verwalteten Richtlinie zur angegebenen IAM-Rolle. | Berechtigungsverwaltung | |||
| AttachUserPolicy | Gewährt die Berechtigung zum Anfügen einer verwalteten Richtlinie an den angegebenen IAM-Benutzer. | Berechtigungsverwaltung | |||
| ChangePassword | Gewährt einem IAM-Benutzer die Berechtigung, sein eigenes Passwort zu ändern | Schreiben | |||
| CreateAccessKey | Gewährt die Berechtigung zum Erstellen eines Zugriffsschlüssels und eines geheimen Zugriffsschlüssels für den angegebenen IAM-Benutzer. | Schreiben | |||
| CreateAccountAlias | Erteilt die Erlaubnis, einen Alias für Ihr zu erstellen AWS-Konto | Schreiben | |||
| CreateGroup | Gewährt die Berechtigung zum Erstellen einer neuen Gruppe. | Write | |||
| CreateInstanceProfile | Gewährt die Berechtigung zum Erstellen eines neuen Instance-Profils. | Write | |||
| CreateLoginProfile | Gewährt die Berechtigung zum Erstellen eines Passworts für den angegebenen IAM-Benutzer. | Write | |||
| CreateOpenIDConnectProvider | Gewährt die Berechtigung zum Erstellen einer IAM-Ressource, die einen Identitätsanbieter (IdP) beschreibt, der OpenID Connect (OIDC) unterstützt. | Write | |||
| CreatePolicy | Gewährt die Berechtigung zum Erstellen einer neuen verwalteten Richtlinie. | Berechtigungsverwaltung | |||
| CreatePolicyVersion | Gewährt die Berechtigung zum Erstellen einer neuen Version der angegebenen verwalteten Richtlinie. | Berechtigungsverwaltung | |||
| CreateRole | Gewährt die Berechtigung zum Erstellen einer neuen Rolle. | Write | |||
| CreateSAMLProvider | Gewährt die Berechtigung zum Erstellen einer IAM-Ressource, die einen Identitätsanbieter (IdP) beschreibt, der SAML 2.0 unterstützt. | Schreiben | |||
| CreateServiceLinkedRole | Erteilt die Berechtigung, eine IAM-Rolle zu erstellen, die es einem AWS Dienst ermöglicht, Aktionen in Ihrem Namen durchzuführen | Schreiben | |||
| CreateServiceSpecificCredential | Gewährt die Berechtigung zum Erstellen neuer servicespezifischer Anmeldedaten für einen IAM-Benutzer. | Write | |||
| CreateUser | Gewährt die Berechtigung zum Erstellen eines neuen IAM-Benutzers. | Write | |||
| CreateVirtualMFADevice | Gewährt die Berechtigung zum Erstellen eines neuen virtuellen MFA-Geräts. | Write | |||
| DeactivateMFADevice | Gewährt die Berechtigung zum Deaktivieren des angegebenen MFA-Geräts und zum Entfernen der Mapping zu dem IAM-Benutzer, für den sie ursprünglich aktiviert wurde. | Write | |||
| DeleteAccessKey | Gewährt die Berechtigung zum Löschen des Zugriffsschlüsselpaars, das dem angegebenen IAM-Benutzer zugeordnet ist. | Schreiben | |||
| DeleteAccountAlias | Erteilt die Berechtigung zum Löschen des angegebenen Alias AWS-Konto | Schreiben | |||
| DeleteAccountPasswordPolicy | Erteilt die Berechtigung zum Löschen der Kennwortrichtlinie für AWS-Konto | Berechtigungsverwaltung | |||
| DeleteCloudFrontPublicKey | Erteilt die Berechtigung zum Löschen eines vorhandenen CloudFront öffentlichen Schlüssels | Schreiben | |||
| DeleteGroup | Gewährt die Berechtigung zum Löschen der angegebenen IAM-Gruppe. | Write | |||
| DeleteGroupPolicy | Gewährt die Berechtigung zum Löschen der angegebenen eingebundenen Richtlinie aus der Gruppe. | Berechtigungsverwaltung | |||
| DeleteInstanceProfile | Gewährt die Berechtigung zum Löschen des angegebenen Instance-Profils. | Write | |||
| DeleteLoginProfile | Gewährt die Berechtigung zum Löschen des Passworts für den angegebenen IAM-Benutzer. | Write | |||
| DeleteOpenIDConnectProvider | Gewährt die Berechtigung zum Löschen eines Ressourcenobjekts eines OpenID Connect-Identitätsanbieters (IdP) in IAM. | Write | |||
| DeletePolicy | Gewährt die Berechtigung zum Löschen und Entfernen der angegebenen verwalteten Richtlinie aus allen IAM-Entitys (Benutzer, Gruppen oder Rollen), denen sie angefügt ist. | Berechtigungsverwaltung | |||
| DeletePolicyVersion | Gewährt die Berechtigung zum Löschen einer Version der angegebenen verwalteten Richtlinie. | Berechtigungsverwaltung | |||
| DeleteRole | Gewährt die Berechtigung zum Löschen der angegebenen Rolle. | Write | |||
| DeleteRolePermissionsBoundary | Gewährt die Berechtigung zum Entfernen der Berechtigungsgrenze aus einer Rolle. | Berechtigungsverwaltung | |||
| DeleteRolePolicy | Gewährt die Berechtigung zum Löschen der angegebenen eingebundenen Richtlinie aus der angegebenen Rolle. | Berechtigungsverwaltung | |||
| DeleteSAMLProvider | Gewährt die Berechtigung zum Löschen einer SAML-Anbieterressource in IAM. | Write | |||
| DeleteSSHPublicKey | Gewährt die Berechtigung zum Löschen des angegebenen öffentlichen SSH-Schlüssels. | Write | |||
| DeleteServerCertificate | Gewährt die Berechtigung zum Löschen des angegebenen Serverzertifikats. | Schreiben | |||
| DeleteServiceLinkedRole | Erteilt die Berechtigung zum Löschen einer IAM-Rolle, die mit einem bestimmten AWS Dienst verknüpft ist, wenn der Dienst sie nicht mehr verwendet | Schreiben | |||
| DeleteServiceSpecificCredential | Gewährt die Berechtigung zum Löschen der angegebenen servicespezifischen Anmeldedaten für einen IAM-Benutzer. | Write | |||
| DeleteSigningCertificate | Gewährt die Berechtigung zum Löschen eines Signaturzertifikats, das dem angegebenen IAM-Benutzer zugeordnet ist. | Write | |||
| DeleteUser | Gewährt die Berechtigung zum Löschen des angegebenen IAM-Benutzers. | Write | |||
| DeleteUserPermissionsBoundary | Gewährt die Berechtigung zum Entfernen der Berechtigungsgrenze des angegebenen IAM-Benutzers. | Berechtigungsverwaltung | |||
| DeleteUserPolicy | Gewährt die Berechtigung zum Löschen der angegebenen eingebundenen Richtlinie eines IAM-Benutzers. | Berechtigungsverwaltung | |||
| DeleteVirtualMFADevice | Gewährt die Berechtigung zum Löschen eines virtuellen MFA-Geräts. | Write | |||
| DetachGroupPolicy | Gewährt die Berechtigung zum Trennen einer verwalteten Richtlinie von der angegebenen IAM-Gruppe. | Berechtigungsverwaltung | |||
| DetachRolePolicy | Gewährt die Berechtigung zum Trennen einer verwalteten Richtlinie von der angegebenen Rolle. | Berechtigungsverwaltung | |||
| DetachUserPolicy | Gewährt die Berechtigung zum Trennen einer verwaltete Richtlinie vom angegebenen IAM-Benutzer. | Berechtigungsverwaltung | |||
| DisableOrganizationsRootCredentialsManagement | Erteilt die Berechtigung, die Verwaltung der Root-Benutzeranmeldeinformationen eines Mitgliedskontos für eine Organisation zu deaktivieren, die unter dem aktuellen Konto verwaltet wird | Schreiben | |||
| DisableOrganizationsRootSessions | Erteilt die Berechtigung, privilegierte Root-Aktionen in Mitgliedskonten einer Organisation zu deaktivieren, die unter dem aktuellen Konto verwaltet wird | Schreiben | |||
| EnableMFADevice | Gewährt die Berechtigung zum Aktivieren eines MFA-Geräts und zum Zuordnen des Geräts zum angegebenen IAM-Benutzer. | Schreiben | |||
|
iam:FIDO-FIPS-140-2-certification |
|||||
| EnableOrganizationsRootCredentialsManagement | Erteilt die Berechtigung, die Verwaltung der Root-Benutzeranmeldeinformationen eines Mitgliedskontos für eine Organisation zu aktivieren, die unter dem Girokonto verwaltet wird | Schreiben | |||
| EnableOrganizationsRootSessions | Erteilt die Berechtigung, privilegierte Root-Aktionen in Mitgliedskonten einer Organisation zu aktivieren, die unter dem aktuellen Konto verwaltet wird | Schreiben | |||
| GenerateCredentialReport | Erteilt die Berechtigung zum Generieren eines Berichts über Anmeldeinformationen für AWS-Konto | Lesen | |||
| GenerateOrganizationsAccessReport | Erteilt die Berechtigung zum Generieren eines Zugriffsberichts für eine AWS Organisationseinheit | Lesen |
organizations:DescribePolicy organizations:ListChildren organizations:ListParents organizations:ListPoliciesForTarget organizations:ListRoots organizations:ListTargetsForPolicy |
||
| GenerateServiceLastAccessedDetails | Gewährt die Berechtigung zum Generieren eines Berichts zum letzten Service-Zugriffsdatums für eine IAM-Ressource. | Read | |||
| GetAccessKeyLastUsed | Gewährt die Berechtigung zum Abrufen von Informationen über den letzten Verwendungszeitpunkt des angegebenen Zugriffsschlüssels. | Lesen | |||
| GetAccountAuthorizationDetails | Erteilt die Berechtigung zum Abrufen von Informationen über alle IAM-Benutzer, -Gruppen, -Rollen und -Richtlinien in Ihrer Datenbank AWS-Konto, einschließlich ihrer Beziehungen zueinander | Lesen | |||
| GetAccountEmailAddress | Gewährt die Berechtigung, die E-Mail-Adresse, die mit dem Konto verknüpft ist, abzurufen | Lesen | |||
| GetAccountName | Gewährt die Berechtigung, den Kontonamen, der mit dem Konto verknüpft ist, abzurufen | Lesen | |||
| GetAccountPasswordPolicy | Erteilt die Berechtigung zum Abrufen der Kennwortrichtlinie für AWS-Konto | Lesen | |||
| GetAccountSummary | Erteilt die Berechtigung zum Abrufen von Informationen über die Nutzung der IAM-Entität und die IAM-Kontingente in AWS-Konto | Auflisten | |||
| GetCloudFrontPublicKey | Erteilt die Berechtigung zum Abrufen von Informationen über den angegebenen öffentlichen Schlüssel CloudFront | Lesen | |||
| GetContextKeysForCustomPolicy | Gewährt die Berechtigung zum Abrufen einer Liste aller Kontextschlüssel, auf die in der angegebenen Richtlinie Bezug genommen wird. | Read | |||
| GetContextKeysForPrincipalPolicy | Gewährt die Berechtigung zum Abrufen einer Liste aller Kontextschlüssel, auf die in allen IAM-Richtlinien, die der angegebenen IAM-Identität (Benutzer, Gruppe oder Rolle) angefügt sind, Bezug genommen wird. | Lesen | |||
| GetCredentialReport | Erteilt die Berechtigung zum Abrufen eines Anmeldeinformationsberichts für AWS-Konto | Lesen | |||
| GetGroup | Gewährt die Berechtigung zum Abrufen einer Liste von IAM-Benutzern in der angegebenen IAM-Gruppe. | Read | |||
| GetGroupPolicy | Gewährt die Berechtigung zum Abrufen eines eingebundenen Richtliniendokuments, das in der angegebenen IAM-Gruppe eingebettet ist. | Read | |||
| GetInstanceProfile | Gewährt die Berechtigung zum Abrufen von Informationen zum angegebenen Instance-Profil, einschließlich Pfad, GUID, ARN und Rolle des Instance-Profils. | Read | |||
| GetLoginProfile | Gewährt die Berechtigung zum Abrufen des Erstellungsdatums des Benutzernamens und Passworts für den angegebenen IAM-Benutzer. | Auflisten | |||
| GetMFADevice | Gewährt dem angegebenen Benutzer die Berechtigung, Informationen zu einem MFA-Gerät abzurufen | Lesen | |||
| GetOpenIDConnectProvider | Gewährt die Berechtigung zum Abrufen von Informationen zur angegebenen OpenID Connect (OIDC)-Anbieterressource in IAM. | Lesen | |||
| GetOrganizationsAccessReport | Erteilt die Berechtigung zum Abrufen eines AWS Organisationszugriffsberichts | Lesen | |||
| GetPolicy | Gewährt die Berechtigung zum Abrufen von Informationen zur angegebenen verwalteten Richtlinie, einschließlich Standardversion der Richtlinie und Gesamtzahl der Identitäten, denen die Richtlinie angefügt ist. | Read | |||
| GetPolicyVersion | Gewährt die Berechtigung zum Abrufen von Informationen über eine Version der angegebenen verwalteten Richtlinie, einschließlich Richtliniendokument. | Read | |||
| GetRole | Gewährt die Berechtigung zum Abrufen von Informationen zur angegebenen Rolle, einschließlich Pfad, GUID, ARN und Vertrauensrichtlinie der Rolle. | Read | |||
| GetRolePolicy | Gewährt die Berechtigung zum Abrufen eines eingebundenen Richtliniendokuments, das in der angegebenen IAM-Rolle eingebettet ist. | Read | |||
| GetSAMLProvider | Gewährt die Berechtigung zum Abrufen des SAML-Anbieter-Metadokuments, das beim Erstellen oder Aktualisieren der IAM-SAML-Anbieterressource hochgeladen wurde. | Read | |||
| GetSSHPublicKey | Gewährt die Berechtigung zum Abrufen des angegebenen öffentlichen SSH-Schlüssels, einschließlich Metadaten über den Schlüssel. | Read | |||
| GetServerCertificate | Gewährt die Berechtigung zum Abrufen von Informationen zum angegebenen Serverzertifikat, das in IAM gespeichert ist. | Read | |||
| GetServiceLastAccessedDetails | Gewährt die Berechtigung zum Abrufen von Informationen über den Bericht zum letzten Service-Zugriffsdatum. | Read | |||
| GetServiceLastAccessedDetailsWithEntities | Gewährt die Berechtigung zum Abrufen von Informationen über die Entitys aus dem Bericht zum letzten Service-Zugriffsdatum. | Read | |||
| GetServiceLinkedRoleDeletionStatus | Gewährt die Berechtigung zum Abrufen des Löschstatus einer mit dem IAM-Service verknüpften Rolle. | Read | |||
| GetUser | Gewährt die Berechtigung zum Abrufen von Informationen zum angegebenen IAM-Benutzer, einschließlich Erstellungsdatum, Pfad, eindeutiger ID und ARN des Benutzers. | Read | |||
| GetUserPolicy | Gewährt die Berechtigung zum Abrufen eines eingebundenen Richtliniendokuments, das für den angegebenen IAM-Benutzer eingebettet ist. | Lesen | |||
| ListAccessKeys | Erteilt die Berechtigung, Informationen über den Zugriffsschlüssel aufzulisten IDs , die dem angegebenen IAM-Benutzer zugeordnet sind | Auflisten | |||
| ListAccountAliases | Erteilt die Berechtigung, den Kontoalias aufzulisten, der dem zugeordnet ist AWS-Konto | Auflisten | |||
| ListAttachedGroupPolicies | Gewährt die Berechtigung zum Auflisten aller verwalteten Richtlinien, die der angegebenen IAM-Gruppe zugeordnet sind. | List | |||
| ListAttachedRolePolicies | Gewährt die Berechtigung zum Auflisten aller verwalteten Richtlinien, die der angegebenen IAM-Rolle zugeordnet sind. | List | |||
| ListAttachedUserPolicies | Gewährt die Berechtigung zum Auflisten aller verwalteten Richtlinien, die dem angegebenen IAM-Benutzer zugeordnet sind. | Auflisten | |||
| ListCloudFrontPublicKeys | Erteilt die Berechtigung, alle aktuellen CloudFront öffentlichen Schlüssel für das Konto aufzulisten | Auflisten | |||
| ListEntitiesForPolicy | Gewährt die Berechtigung zum Auflisten aller IAM-Identitäten, denen die angegebene verwaltete Richtlinie angefügt ist. | List | |||
| ListGroupPolicies | Gewährt die Berechtigung zum Auflisten der Namen der eingebundenen Richtlinien, die in der angegebenen IAM-Gruppe eingebettet sind. | List | |||
| ListGroups | Gewährt die Berechtigung zum Auflisten der IAM-Gruppen, die das angegebene Pfadpräfix enthalten. | List | |||
| ListGroupsForUser | Gewährt die Berechtigung zum Auflisten der IAM-Gruppen, denen der angegebene IAM-Benutzer angehört. | List | |||
| ListInstanceProfileTags | Gewährt die Berechtigung zum Auflisten der Tags, die an das angegebene Instanceprofil angehängt sind | List | |||
| ListInstanceProfiles | Gewährt die Berechtigung zum Auflisten der Instance-Profile, die über das angegebene Pfadpräfix verfügen. | List | |||
| ListInstanceProfilesForRole | Gewährt die Berechtigung zum Auflisten der Instance-Profile, denen die angegebene IAM-Rolle zugeordnet ist. | List | |||
| ListMFADeviceTags | Gewährt die Berechtigung zum Auflisten der Tags, die an das angegebene virtuelle mfa-Gerät angehängt sind | List | |||
| ListMFADevices | Gewährt die Berechtigung zum Auflisten der MFA-Geräte für einen IAM-Benutzer. | List | |||
| ListOpenIDConnectProviderTags | Gewährt die Berechtigung zum Auflisten der Tags, die an den angegebenen OpenID Connect-Anbieter angehängt sind | Auflisten | |||
| ListOpenIDConnectProviders | Erteilt die Berechtigung, Informationen über die IAM OpenID Connect (OIDC) -Anbieterressourcenobjekte aufzulisten, die definiert sind in AWS-Konto | Auflisten | |||
| ListOrganizationsFeatures | Erteilt die Berechtigung, die zentralen Root-Zugriffsfunktionen aufzulisten, die für Ihre Organisation aktiviert sind | Auflisten | |||
| ListPolicies | Gewährt die Berechtigung zum Auflisten aller verwalteten Richtlinien. | List | |||
| ListPoliciesGrantingServiceAccess | Gewährt die Berechtigung zum Aufführen von Informationen zu Richtlinien, die einer Entity Zugriff auf einen bestimmten Service gewähren. | List | |||
| ListPolicyTags | Gewährt die Berechtigung zum Auflisten der Tags, die an die angegebene verwaltete Richtlinie angehängt sind | List | |||
| ListPolicyVersions | Gewährt die Berechtigung zum Auflisten von Informationen zu den Versionen der angegebenen verwalteten Richtlinie, einschließlich der Version, die derzeit die Standardversion der Richtlinie ist. | List | |||
| ListRolePolicies | Gewährt die Berechtigung zum Auflisten der Namen der eingebundenen Richtlinien, die in die angegebene IAM-Rolle eingebettet sind. | List | |||
| ListRoleTags | Gewährt die Berechtigung zum Auflisten der Tags, die der angegebenen IAM-Rolle zugeordnet sind. | List | |||
| ListRoles | Gewährt die Berechtigung zum Auflisten der IAM-Rollen, die über das angegebene Pfadpräfix verfügen. | List | |||
| ListSAMLProviderTags | Gewährt die Berechtigung zum Auflisten der Tags, die an den angegebenen SAML-Anbieter angehängt sind | List | |||
| ListSAMLProviders | Gewährt die Berechtigung zum Auflisten der SAML-Anbieterressourcen in IAM. | List | |||
| ListSSHPublicKeys | Gewährt die Berechtigung zum Auflisten von Informationen zu den öffentlichen SSH-Schlüsseln, die dem angegebenen IAM-Benutzer zugeordnet sind. | Auflisten | |||
| ListSTSRegionalEndpointsStatus | Gewährt die Berechtigung zum Auflisten des Status aller aktiven regionalen STS-Endpunkte | Auflisten | |||
| ListServerCertificateTags | Gewährt die Berechtigung zum Auflisten der Tags, die an das angegebene Serverzertifikat angehängt sind | List | |||
| ListServerCertificates | Gewährt die Berechtigung zum Auflisten der Server-Zertifikate, die über das angegebene Pfadpräfix verfügen. | List | |||
| ListServiceSpecificCredentials | Gewährt die Berechtigung zum Auflisten der servicespezifischen Anmeldedaten, die dem angegebenen IAM-Benutzer zugeordnet sind. | List | |||
| ListSigningCertificates | Gewährt die Berechtigung zum Auflisten von Informationen zu den Signaturzertifikaten, die dem angegebenen IAM-Benutzer zugeordnet sind. | List | |||
| ListUserPolicies | Gewährt die Berechtigung zum Auflisten der Namen der eingebundenen Richtlinien, die für den angegebenen IAM-Benutzer eingebettet sind. | List | |||
| ListUserTags | Gewährt die Berechtigung zum Auflisten der Tags, die dem angegebenen IAM-Benutzer angefügt sind. | List | |||
| ListUsers | Gewährt die Berechtigung zum Auflisten der IAM-Benutzer, die über das angegebene Pfadpräfix verfügen. | List | |||
| ListVirtualMFADevices | Gewährt die Berechtigung zum Auflisten von virtuellen MFA-Geräten nach Mappingsstatus. | List | |||
| PassRole [nur Berechtigung] | Gewährt die Berechtigung zum Übergeben einer Rolle an einen Service. | Write | |||
| PutGroupPolicy | Gewährt die Berechtigung zum Erstellen oder Aktualisieren eines eingebundenen Richtliniendokuments, das in die angegebene IAM-Gruppe eingebettet ist. | Berechtigungsverwaltung | |||
| PutRolePermissionsBoundary | Gewährt die Berechtigung zum Festlegen einer verwalteten Richtlinie als Berechtigungsgrenze für eine Rolle. | Berechtigungsverwaltung | |||
| PutRolePolicy | Gewährt die Berechtigung zum Erstellen oder Aktualisieren eines eingebundenen Richtliniendokuments, das in der angegebenen IAM-Rolle eingebettet ist. | Berechtigungsverwaltung | |||
| PutUserPermissionsBoundary | Gewährt die Berechtigung zum Festlegen einer verwalteten Richtlinie als Berechtigungsgrenze für einen IAM-Benutzer. | Berechtigungsverwaltung | |||
| PutUserPolicy | Gewährt die Berechtigung zum Erstellen oder Aktualisieren eines eingebundenen Richtliniendokuments, das für den angegebenen IAM-Benutzer eingebettet ist. | Berechtigungsverwaltung | |||
| RemoveClientIDFromOpenIDConnectProvider | Erteilt die Berechtigung, die Client-ID (Audience) aus der Client-Liste IDs in der angegebenen IAM OpenID Connect (OIDC) -Anbieterressource zu entfernen | Schreiben | |||
| RemoveRoleFromInstanceProfile | Erteilt die Berechtigung, eine IAM-Rolle aus dem angegebenen Instanzprofil zu entfernen EC2 | Schreiben | |||
| RemoveUserFromGroup | Gewährt die Berechtigung zum Entfernen eines IAM-Benutzers aus der angegebenen Gruppe. | Write | |||
| ResetServiceSpecificCredential | Gewährt die Berechtigung zum Zurücksetzen des Passworts für vorhandene servicespezifische Anmeldedaten für einen IAM-Benutzer. | Write | |||
| ResyncMFADevice | Gewährt die Berechtigung zum Synchronisieren des angegebenen MFA-Geräts mit der IAM-Entity (Benutzer oder Rolle). | Write | |||
| SetDefaultPolicyVersion | Gewährt die Berechtigung zum Festlegen der Version der angegebenen Richtlinie als Standardversion der Richtlinie. | Berechtigungsverwaltung | |||
| SetSTSRegionalEndpointStatus | Gewährt die Berechtigung zum Aktivieren oder Deaktivieren eines regionalen STS-Endpunkts | Schreiben | |||
| SetSecurityTokenServicePreferences | Gewährt die Berechtigung zum Festlegen der Tokenversion des globalen Endpunkts. | Write | |||
| SimulateCustomPolicy | Gewährt die Berechtigung zum Simulieren, ob eine identitätsbasierte oder ressourcenbasierte Richtlinie Berechtigungen für bestimmte API-Produktionen und Ressourcen bereitstellt. | Read | |||
| SimulatePrincipalPolicy | Gewährt die Berechtigung zum Simulieren, ob eine identitätsbasierte Richtlinie, die einer bestimmten IAM-Entity (Benutzer oder Rolle) Berechtigungen für bestimmte API-Produktionen und Ressourcen bereitstellt. | Read | |||
| TagInstanceProfile | Gewährt die Berechtigung zum Hinzufügen von Tags zu einem Instanceprofil | Markieren | |||
| TagMFADevice | Gewährt die Berechtigung zum Hinzufügen von Tags zu einem virtuellen mfa-Gerät | Markieren | |||
| TagOpenIDConnectProvider | Gewährt die Berechtigung zum Hinzufügen von Tags zu einem OpenID Connect-Anbieter | Markieren | |||
| TagPolicy | Gewährt die Berechtigung zum Hinzufügen von Tags zu einer verwalteten Richtlinie | Markieren | |||
| TagRole | Gewährt die Berechtigung zum Hinzufügen von Tags zu einer IAM-Rolle. | Markieren | |||
| TagSAMLProvider | Gewährt die Berechtigung zum Hinzufügen von Tags zu einem SAML-Anbieter | Markieren | |||
| TagServerCertificate | Gewährt die Berechtigung zum Hinzufügen von Tags zu einem Serverzertifikat | Markieren | |||
| TagUser | Gewährt die Berechtigung zum Hinzufügen von Tags zu einem IAM-Benutzer. | Markieren | |||
| UntagInstanceProfile | Gewährt die Berechtigung, die angegebenen Tags aus dem Instanceprofil zu entfernen | Markieren | |||
| UntagMFADevice | Gewährt die Berechtigung, die angegebenen Tags vom virtuellen mfa-Gerät zu entfernen | Markieren | |||
| UntagOpenIDConnectProvider | Gewährt die Berechtigung, die angegebenen Tags vom OpenID Connect-Anbieter zu entfernen | Markieren | |||
| UntagPolicy | Gewährt die Berechtigung zum Entfernen der angegebenen Tags aus der verwalteten Richtlinie. | Markieren | |||
| UntagRole | Gewährt die Berechtigung zum Entfernen der angegebenen Tags aus der Rolle. | Markieren | |||
| UntagSAMLProvider | Gewährt die Berechtigung, die angegebenen Tags vom SAML-Anbieter zu entfernen | Markieren | |||
| UntagServerCertificate | Gewährt die Berechtigung, die angegebenen Tags aus dem Serverzertifikat zu entfernen | Markieren | |||
| UntagUser | Gewährt die Berechtigung zum Entfernen der angegebenen Tags aus dem Benutzerkonto. | Markieren | |||
| UpdateAccessKey | Gewährt die Berechtigung zum Aktualisieren des Status des angegebenen Zugriffsschlüssels als „aktiv“ oder „inaktiv“. | Schreiben | |||
| UpdateAccountEmailAddress | Gewährt die Berechtigung, die E-Mail-Adresse, die mit dem Konto verknüpft ist, zu aktualisieren | Schreiben | |||
| UpdateAccountName | Gewährt die Berechtigung, den Kontonamen, der mit dem Konto verknüpft ist, zu aktualisieren | Schreiben | |||
| UpdateAccountPasswordPolicy | Erteilt die Berechtigung zur Aktualisierung der Passwortrichtlinieneinstellungen für AWS-Konto | Schreiben | |||
| UpdateAssumeRolePolicy | Gewährt die Berechtigung zum Aktualisieren der Richtlinie, die einer IAM-Entity die Berechtigung zum Annehmen einer Rolle gewährt. | Berechtigungsverwaltung | |||
| UpdateCloudFrontPublicKey | Erteilt die Erlaubnis, einen vorhandenen CloudFront öffentlichen Schlüssel zu aktualisieren | Schreiben | |||
| UpdateGroup | Gewährt die Berechtigung zum Aktualisieren des Namens oder Pfads der angegebenen IAM-Gruppe. | Write | |||
| UpdateLoginProfile | Gewährt die Berechtigung zum Ändern des Passworts für den angegebenen IAM-Benutzer. | Write | |||
| UpdateOpenIDConnectProviderThumbprint | Gewährt die Berechtigung zum Aktualisieren der gesamten Liste der Serverzertifikat-Thumbprints, die einer OpenID Connect (OIDC)-Anbieterressource zugeordnet sind. | Write | |||
| UpdateRole | Gewährt die Berechtigung zum Aktualisieren der Beschreibung oder der Einstellung für die maximale Sitzungsdauer einer Rolle. | Write | |||
| UpdateRoleDescription | Gewährt die Berechtigung zum Aktualisieren nur der Beschreibung einer Rolle. | Write | |||
| UpdateSAMLProvider | Gewährt die Berechtigung zum Aktualisieren des Metadatendokuments für eine vorhandene SAML-Anbieterressource. | Write | |||
| UpdateSSHPublicKey | Gewährt die Berechtigung zum Aktualisieren des Status eines öffentlichen SSH-Schlüssels eines IAM-Benutzers auf „Aktiv“ oder „Inaktiv“. | Write | |||
| UpdateServerCertificate | Gewährt die Berechtigung zum Aktualisieren des Namens oder Pfads des angegebenen Serverzertifikats, das in IAM gespeichert ist. | Write | |||
| UpdateServiceSpecificCredential | Gewährt die Berechtigung zum Aktualisieren von servicespezifischen Anmeldedaten für einen IAM-Benutzer auf „Aktiv“ oder „Inaktiv“. | Write | |||
| UpdateSigningCertificate | Gewährt die Berechtigung zum Aktualisieren des Status des Signaturzertifikats des angegebenen Benutzers auf „Aktiv“ oder „Inaktiv“. | Write | |||
| UpdateUser | Gewährt die Berechtigung zum Aktualisieren des Namens oder Pfads des angegebenen IAM-Benutzers. | Schreiben | |||
| UploadCloudFrontPublicKey | Erteilt die Erlaubnis zum Hochladen eines CloudFront öffentlichen Schlüssels | Schreiben | |||
| UploadSSHPublicKey | Gewährt die Berechtigung zum Upload eines öffentlichen SSH-Schlüssels und zum Zuordnen des Schlüssels zum angegebenen IAM-Benutzer. | Schreiben | |||
| UploadServerCertificate | Erteilt die Berechtigung zum Hochladen einer Serverzertifikatseinheit für AWS-Konto | Schreiben | |||
| UploadSigningCertificate | Gewährt die Berechtigung zum Upload eines X.509-Signaturzertifikats und zum Zuordnen des Zertifikats zum angegebenen IAM-Benutzer. | Schreiben |
Von AWS Identity and Access Management (IAM) definierte Ressourcentypen
Die folgenden Ressourcentypen werden von diesem Service definiert und können im Element Resource von IAM-Berechtigungsrichtlinienanweisungen verwendet werden. Jede Aktion in der Tabelle Aktionen identifiziert die Ressourcentypen, die mit der Aktion angegeben werden können. Ein Ressourcentyp kann auch definieren, welche Bedingungsschlüssel Sie in einer Richtlinie einschließen können. Diese Schlüssel werden in der letzten Spalte der Tabelle der Ressourcentypen angezeigt. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Resource types.
| Ressourcentypen | ARN | Bedingungsschlüssel |
|---|---|---|
| access-report |
arn:${Partition}:iam::${Account}:access-report/${EntityPath}
|
|
| assumed-role |
arn:${Partition}:iam::${Account}:assumed-role/${RoleName}/${RoleSessionName}
|
|
| federated-user |
arn:${Partition}:iam::${Account}:federated-user/${UserName}
|
|
| group |
arn:${Partition}:iam::${Account}:group/${GroupNameWithPath}
|
|
| instance-profile |
arn:${Partition}:iam::${Account}:instance-profile/${InstanceProfileNameWithPath}
|
|
| mfa |
arn:${Partition}:iam::${Account}:mfa/${MfaTokenIdWithPath}
|
|
| oidc-provider |
arn:${Partition}:iam::${Account}:oidc-provider/${OidcProviderName}
|
|
| policy |
arn:${Partition}:iam::${Account}:policy/${PolicyNameWithPath}
|
|
| role |
arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}
|
|
| saml-provider |
arn:${Partition}:iam::${Account}:saml-provider/${SamlProviderName}
|
|
| server-certificate |
arn:${Partition}:iam::${Account}:server-certificate/${CertificateNameWithPath}
|
|
| sms-mfa |
arn:${Partition}:iam::${Account}:sms-mfa/${MfaTokenIdWithPath}
|
|
| user |
arn:${Partition}:iam::${Account}:user/${UserNameWithPath}
|
Bedingungsschlüssel für AWS Identity and Access Management (IAM)
AWS Identity and Access Management (IAM) definiert die folgenden Bedingungsschlüssel, die im Condition Element einer IAM-Richtlinie verwendet werden können. Diese Schlüssel können Sie verwenden, um die Bedingungen zu verfeinern, unter denen die Richtlinienanweisung angewendet wird. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Condition keys (Bedingungsschlüssel).
Eine Liste der globalen Bedingungsschlüssel, die für alle Services verfügbar sind, finden Sie unter Verfügbare globale Bedingungsschlüssel.
| Bedingungsschlüssel | Beschreibung | Typ |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtert den Zugriff basierend auf den Tags, die in der Anfrage übergeben werden | Zeichenfolge |
| aws:ResourceTag/${TagKey} | Filtert den Zugriff basierend auf den Tags, die der Ressource zugeordnet sind. | Zeichenfolge |
| aws:TagKeys | Filtert den Zugriff basierend auf den Tag-Schlüsseln, die in der Anforderung übergeben werden. | ArrayOfString |
| iam:AWSServiceName | Filtert den Zugriff nach dem AWS Dienst, dem diese Rolle zugewiesen ist | String |
| iam:AssociatedResourceArn | Filtert den Zugriff nach der Ressource, in deren Auftrag die Rolle verwendet wird | ARN |
| iam:FIDO-FIPS-140-2-certification | Filtert den Zugriff nach der FIPS-140-2-Validierungsstufe des MFA-Geräts zum Zeitpunkt der Registrierung eines FIDO-Sicherheitsschlüssels | String |
| iam:FIDO-FIPS-140-3-certification | Filtert den Zugriff nach der FIPS-140-3-Validierungsstufe des MFA-Geräts zum Zeitpunkt der Registrierung eines FIDO-Sicherheitsschlüssels | String |
| iam:FIDO-certification | Filtert den Zugriff nach der FIDO-Zertifizierungsstufe des MFA-Geräts zum Zeitpunkt der Registrierung eines FIDO-Sicherheitsschlüssels | String |
| iam:OrganizationsPolicyId | Filtert den Zugriff nach der ID einer AWS Organisationsrichtlinie | String |
| iam:PassedToService | Filtert den Zugriff nach dem AWS Dienst, an den diese Rolle übergeben wurde | String |
| iam:PermissionsBoundary | Filtert den Zugriff, wenn die angegebene Richtlinie für die IAM-Entity (Benutzer oder Rolle) als Berechtigungsgrenze festgelegt ist. | ARN |
| iam:PolicyARN | Filtert den Zugriff anhand des ARNs einer IAM-Richtlinie. | ARN |
| iam:RegisterSecurityKey | Filtert den Zugriff nach dem aktuellen Status der MFA-Geräteaktivierung | String |
| iam:ResourceTag/${TagKey} | Filtert den Zugriff anhand der Tags, die einer IAM-Entity (Benutzer oder Rolle) angefügt sind. | String |
