Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre IAM Identity Center-Ressourcen
Jede AWS Ressource gehört einem AWS-Konto, und die Berechtigungen zum Erstellen oder Zugreifen auf die Ressourcen werden durch Berechtigungsrichtlinien geregelt. Um Zugriff zu gewähren, kann ein Kontoadministrator IAM Identitäten (d. h. Benutzern, Gruppen und Rollen) Berechtigungen hinzufügen. Einige Dienste (z. B. AWS Lambda) unterstützen auch das Hinzufügen von Berechtigungen zu Ressourcen.
Anmerkung
Ein Kontoadministrator (oder Administratorbenutzer) ist ein Benutzer mit Administratorrechten. Weitere Informationen finden Sie unter IAMBest Practices im IAMBenutzerhandbuch.
Themen
IAMRessourcen und Abläufe von Identity Center
In IAM Identity Center sind die primären Ressourcen Anwendungsinstanzen, Profile und Berechtigungssätze.
Grundlegendes zum Eigentum an Ressourcen
Ein Ressourcenbesitzer ist derjenige AWS-Konto , der eine Ressource erstellt hat. Das heißt, der Ressourcenbesitzer ist derjenige AWS-Konto der Hauptentität (das Konto, ein Benutzer oder eine IAM Rolle), die die Anfrage authentifiziert, mit der die Ressource erstellt wird. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:
-
Wenn der eine IAM Identity Center-Ressource Root-Benutzer des AWS-Kontos erstellt, z. B. eine Anwendungsinstanz oder einen Berechtigungssatz, AWS-Konto sind Sie der Eigentümer dieser Ressource.
-
Wenn Sie in Ihrem AWS Konto einen Benutzer erstellen und diesem Benutzer Berechtigungen zum Erstellen von IAM Identity Center-Ressourcen gewähren, kann der Benutzer dann IAM Identity Center-Ressourcen erstellen. Ihr AWS Konto, zu dem der Benutzer gehört, besitzt jedoch die Ressourcen.
-
Wenn Sie in Ihrem AWS Konto eine IAM Rolle mit Berechtigungen zum Erstellen von IAM Identity Center-Ressourcen erstellen, kann jeder, der diese Rolle übernehmen kann, IAM Identity Center-Ressourcen erstellen. Ihre AWS-Konto, zu der die Rolle gehört, besitzt die IAM Identity Center-Ressourcen.
Verwalten des Zugriffs auf Ressourcen
Eine Berechtigungsrichtlinie beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werden die verfügbaren Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.
Anmerkung
In diesem Abschnitt wird die Verwendung IAM im Kontext von IAM Identity Center beschrieben. Es enthält keine detaillierten Informationen über den IAM Dienst. Eine vollständige IAM Dokumentation finden Sie unter Was istIAM? im IAMBenutzerhandbuch. Informationen zur IAM Richtliniensyntax und zu Beschreibungen finden Sie in der AWS IAMRichtlinienreferenz im IAMBenutzerhandbuch.
Richtlinien, die mit einer IAM Identität verknüpft sind, werden als identitätsbasierte Richtlinien (IAMRichtlinien) bezeichnet. An Ressourcen angehängte Richtlinien werden als ressourcenbasierte Richtlinien bezeichnet. IAMIdentity Center unterstützt nur identitätsbasierte Richtlinien (Richtlinien). IAM
Identitätsbasierte Richtlinien (Richtlinien) IAM
Sie können Identitäten Berechtigungen hinzufügenIAM. Sie können z. B. Folgendes tun:
-
Ordnen Sie einem Benutzer oder einer Gruppe in Ihrer Gruppe eine Berechtigungsrichtlinie zu AWS-Konto — Ein Kontoadministrator kann eine einem bestimmten Benutzer zugeordnete Berechtigungsrichtlinie verwenden, um diesem Benutzer die Erlaubnis zu erteilen, eine IAM Identity Center-Ressource, z. B. eine neue Anwendung, hinzuzufügen.
-
Einer Rolle eine Berechtigungsrichtlinie zuordnen (kontoübergreifende Berechtigungen gewähren) — Sie können einer IAM Rolle eine identitätsbasierte Berechtigungsrichtlinie zuordnen, um kontoübergreifende Berechtigungen zu gewähren.
Weitere Informationen zur Verwendung IAM zum Delegieren von Berechtigungen finden Sie unter Zugriffsverwaltung im Benutzerhandbuch. IAM
Die folgende Berechtigungsrichtlinie gewährt Berechtigungen für einen Benutzer, alle Aktionen auszuführen, die mit beginne List. Diese Aktionen zeigen Informationen über eine IAM Identity Center-Ressource, z. B. eine Anwendungsinstanz oder einen Berechtigungssatz. Beachten Sie, dass das Platzhalterzeichen (*) im Resource Element angibt, dass die Aktionen für alle IAM Identity Center-Ressourcen zulässig sind, die dem Konto gehören.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"sso:List*", "Resource":"*" } ] }
Weitere Informationen zur Verwendung identitätsbasierter Richtlinien mit IAM Identity Center finden Sie unter. Beispiele für identitätsbasierte Richtlinien für IAM Identity Center Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sie unter Identitäten (Benutzer, Gruppen und Rollen) im IAM Benutzerhandbuch.
Ressourcenbasierte Richtlinien
Andere Services, z. B. Amazon S3, unterstützen auch ressourcenbasierte Berechtigungsrichtlinien. Beispielsweise können Sie einem S3 Bucket eine Richtlinie zuweisen, um die Zugriffsberechtigungen für diesen Bucket zu verwalten. IAMIdentity Center unterstützt keine ressourcenbasierten Richtlinien.
Spezifizierung von Richtlinienelementen: Aktionen, Auswirkungen, Ressourcen und Prinzipien
Für jede IAM Identity Center-Ressource (sieheIAMRessourcen und Abläufe von Identity Center) definiert der Dienst eine Reihe von API Vorgängen. Um Berechtigungen für diese API Operationen zu gewähren, definiert IAM Identity Center eine Reihe von Aktionen, die Sie in einer Richtlinie angeben können. Beachten Sie, dass für die Ausführung eines API Vorgangs Berechtigungen für mehr als eine Aktion erforderlich sein können.
Grundlegende Richtlinienelemente:
-
Ressource — In einer Richtlinie verwenden Sie einen Amazon-Ressourcennamen (ARN), um die Ressource zu identifizieren, für die die Richtlinie gilt.
-
Aktion – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten. Die Berechtigung gewährt dem Benutzer beispielsweise die
sso:DescribePermissionsPoliciesErlaubnis, den IAM IdentityDescribePermissionsPoliciesCenter-Vorgang auszuführen. -
Auswirkung – Die von Ihnen festgelegte Auswirkung, wenn der Benutzer die jeweilige Aktion anfordert – entweder „allow“ (Zugriffserlaubnis) oder „deny“ (Zugriffsverweigerung). Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten ("Allow"), wird er automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.
-
Principal — In identitätsbasierten Richtlinien (IAMRichtlinien) ist der Benutzer, dem die Richtlinie zugeordnet ist, der implizite Prinzipal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer, das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll (gilt nur für ressourcenbasierte Richtlinien). IAMIdentity Center unterstützt keine ressourcenbasierten Richtlinien.
Weitere Informationen zur IAM Richtliniensyntax und zu deren Beschreibung finden Sie in der AWS IAMRichtlinienreferenz im IAMBenutzerhandbuch.
Angeben von Bedingungen in einer Richtlinie
Beim Erteilen von Berechtigungen können Sie mithilfe der Sprache der Zugriffsrichtlinie die Bedingungen angeben, die erfüllt werden müssen, damit die Richtlinie in Kraft tritt. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zur Angabe von Bedingungen in einer Richtliniensprache finden Sie unter Bedingung im IAMBenutzerhandbuch.
Bedingungen werden mithilfe vordefinierter Bedingungsschlüssel formuliert. Es gibt keine spezifischen Bedingungsschlüssel für IAM Identity Center. Es gibt jedoch AWS Bedingungsschlüssel, die Sie je nach Bedarf verwenden können. Eine vollständige Liste der AWS Schlüssel finden Sie unter Verfügbare globale Bedingungsschlüssel im IAMBenutzerhandbuch.
