Benutzerdefinierte Berechtigungen für AWS verwaltete und vom Kunden verwaltete Richtlinien - AWS IAM Identity Center

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Benutzerdefinierte Berechtigungen für AWS verwaltete und vom Kunden verwaltete Richtlinien

Sie können einen Berechtigungssatz mit benutzerdefinierten Berechtigungen erstellen und dabei alle AWS verwalteten und kundenverwalteten Richtlinien, die Sie in AWS Identity and Access Management (IAM) haben, mit Inline-Richtlinien kombinieren. Sie können auch eine Berechtigungsgrenze angeben und so die maximal möglichen Berechtigungen festlegen, die andere Richtlinien Benutzern Ihres Berechtigungssatzes gewähren können.

Anweisungen zum Erstellen eines Berechtigungssatzes finden Sie unterBerechtigungssätze erstellen, verwalten und löschen.

Richtlinientypen, die Sie Ihrem Berechtigungssatz hinzufügen können

Eingebundene Richtlinien

Sie können eine Inline-Richtlinie an einen Berechtigungssatz anhängen. Eine Inline-Richtlinie ist ein Textblock, der als IAM Richtlinie formatiert ist und den Sie direkt zu Ihrem Berechtigungssatz hinzufügen. Sie können eine Richtlinie einfügen oder mit dem Tool zur Richtlinienerstellung in der IAM Identity Center-Konsole eine neue erstellen, wenn Sie einen neuen Berechtigungssatz erstellen. Sie können IAM Richtlinien auch mit dem AWS Policy Generator erstellen.

Wenn Sie einen Berechtigungssatz mit einer Inline-Richtlinie bereitstellen, erstellt IAM Identity Center dort, AWS-Konten wo Sie Ihren Berechtigungssatz zuweisen, eine IAM Richtlinie. IAM Identity Center erstellt die Richtlinie, wenn Sie dem Konto den Berechtigungssatz zuweisen. Die Richtlinie wird dann an die IAM Rolle angehängt AWS-Konto , die Ihr Benutzer in Ihrem System einnimmt.

Wenn Sie eine Inline-Richtlinie erstellen und Ihren Berechtigungssatz zuweisen, konfiguriert IAM Identity Center die Richtlinien AWS-Konten für Sie. Wenn Sie Ihren Berechtigungssatz mit erstellenKundenverwaltete Richtlinien, müssen Sie die Richtlinien AWS-Konten selbst erstellen, bevor Sie den Berechtigungssatz zuweisen.

AWS verwaltete Richtlinien

Sie können AWS verwaltete Richtlinien an Ihren Berechtigungssatz anhängen. AWS Bei verwalteten Richtlinien handelt es sich um IAM Richtlinien, die AWS beibehalten werden. Im Gegensatz dazu Kundenverwaltete Richtlinien sind es IAM Richtlinien in Ihrem Konto, die Sie erstellen und verwalten. AWS Verwaltete Richtlinien befassen sich mit den häufigsten Anwendungsfällen mit den geringsten Rechten in Ihrem AWS-Konto. Sie können eine AWS verwaltete Richtlinie als Berechtigungen für die Rolle, die IAM Identity Center erstellt, oder als Rechtegrenze zuweisen.

AWS verwaltet AWS verwaltete Richtlinien für Jobfunktionen, die Ihren AWS Ressourcen auftragsspezifische Zugriffsberechtigungen zuweisen. Sie können eine Richtlinie für bestimmte Funktionen hinzufügen, wenn Sie vordefinierte Berechtigungen mit Ihrem Berechtigungssatz verwenden möchten. Wenn Sie Benutzerdefinierte Berechtigungen wählen, können Sie mehr als eine Richtlinie für berufliche Funktionen hinzufügen.

Ihre enthält AWS-Konto auch eine große Anzahl AWS verwalteter IAM Richtlinien für bestimmte Richtlinien AWS-Services und Kombinationen von. AWS-Services Wenn Sie einen Berechtigungssatz mit benutzerdefinierten Berechtigungen erstellen, können Sie aus vielen zusätzlichen AWS verwalteten Richtlinien wählen, die Sie Ihrem Berechtigungssatz zuweisen möchten.

AWS füllt jede AWS-Konto mit AWS verwalteten Richtlinien auf. Um einen Berechtigungssatz mit AWS verwalteten Richtlinien bereitzustellen, müssen Sie nicht zuerst eine Richtlinie in Ihrem AWS-Konten erstellen. Wenn Sie Ihren Berechtigungssatz mit erstellenKundenverwaltete Richtlinien, müssen Sie die Richtlinien AWS-Konten selbst erstellen, bevor Sie den Berechtigungssatz zuweisen.

Weitere Informationen zu AWS verwalteten Richtlinien finden Sie im IAM Benutzerhandbuch unter AWS Verwaltete Richtlinien.

Kundenverwaltete Richtlinien

Sie können Ihrem Berechtigungssatz vom Kunden verwaltete Richtlinien hinzufügen. Kundenverwaltete Richtlinien sind IAM Richtlinien in Ihrem Konto, die Sie erstellen und verwalten. Im Gegensatz dazu AWS verwaltete Richtlinien sind es IAM Richtlinien in Ihrem Konto, die AWS verwaltet werden. Sie können eine vom Kunden verwaltete Richtlinie als Berechtigungen für die Rolle, die IAM Identity Center erstellt, oder als Rechtegrenze zuweisen.

Wenn Sie einen Berechtigungssatz mit einer vom Kunden verwalteten Richtlinie erstellen, müssen Sie in allen Bereichen, AWS-Konto denen IAM Identity Center Ihren Berechtigungssatz zuweist, eine IAM Richtlinie mit demselben Namen und Pfad erstellen. Wenn Sie einen benutzerdefinierten Pfad angeben, stellen Sie sicher, dass Sie in jedem AWS-Konto Pfad denselben Pfad angeben. Weitere Informationen finden Sie unter Benutzerfreundliche Namen und Pfade im IAMBenutzerhandbuch. IAM Identity Center ordnet die IAM Richtlinie der IAM Rolle zu, die es in Ihrem AWS-Konto erstellt. Es hat sich bewährt, in jedem Konto, dem Sie den Berechtigungssatz zuweisen, dieselben Berechtigungen auf die Richtlinie anzuwenden. Weitere Informationen finden Sie unter Verwenden Sie IAM Richtlinien in Berechtigungssätzen.

Weitere Informationen finden Sie im IAM Benutzerhandbuch unter Vom Kunden verwaltete Richtlinien.

Berechtigungsgrenzen

Sie können Ihrem Berechtigungssatz eine Berechtigungsgrenze hinzufügen. Eine Berechtigungsgrenze ist eine AWS verwaltete oder vom Kunden verwaltete IAM Richtlinie, die die maximalen Berechtigungen festlegt, die eine identitätsbasierte Richtlinie einem IAM Prinzipal gewähren kann. Wenn Sie eine Berechtigungsgrenze anwenden, AWS verwaltete Richtlinien können Ihre Eingebundene RichtlinienKundenverwaltete Richtlinien, und keine Berechtigungen gewähren, die die durch Ihre Berechtigungsgrenze gewährten Berechtigungen überschreiten. Eine Berechtigungsgrenze gewährt keine Berechtigungen, sondern macht sie so, dass alle Berechtigungen, die sich außerhalb der Grenze befinden, IAM ignoriert werden.

Wenn Sie einen Berechtigungssatz mit einer vom Kunden verwalteten Richtlinie als Berechtigungsgrenze erstellen, müssen Sie in allen Bereichen, AWS-Konto denen IAM Identity Center Ihren Berechtigungssatz zuweist, eine IAM Richtlinie mit demselben Namen erstellen. IAM Identity Center fügt die IAM Richtlinie als Berechtigungsgrenze an die IAM Rolle an, die es in Ihrem AWS-Konto erstellt.

Weitere Informationen finden Sie im IAM Benutzerhandbuch unter Berechtigungsgrenzen für IAM Entitäten.