Für ähnliche Funktionen wie Amazon Timestream für sollten Sie Amazon Timestream for LiveAnalytics InfluxDB in Betracht ziehen. Es bietet eine vereinfachte Datenaufnahme und Antwortzeiten im einstelligen Millisekundenbereich für Analysen in Echtzeit. [Erfahren](https://docs.aws.amazon.com//timestream/latest/developerguide/timestream-for-influxdb.html) Sie hier mehr.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Identitäts- und Zugriffsmanagement für Amazon Timestream für LiveAnalytics
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu kontrollieren. AWS IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), Timestream für Ressourcen zu verwenden. LiveAnalytics IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [So LiveAnalytics funktioniert Amazon Timestream for mit IAM](security_iam_service-with-iam.md)
+ [AWS verwaltete Richtlinien für Amazon Timestream Live Analytics](security-iam-awsmanpol.md)
+ [Amazon Timestream für Beispiele für LiveAnalytics identitätsbasierte Richtlinien](security_iam_id-based-policy-examples.md)
+ [Fehlerbehebung bei Amazon Timestream für LiveAnalytics Identität und Zugriff](security_iam_troubleshoot.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Fehlerbehebung bei Amazon Timestream für LiveAnalytics Identität und Zugriff](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [So LiveAnalytics funktioniert Amazon Timestream for mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Amazon Timestream für Beispiele für LiveAnalytics identitätsbasierte Richtlinien](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im [*IAM-Benutzerhandbuch* unter Erfordern, dass menschliche Benutzer für den Zugriff AWS mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) verwenden müssen.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) oder indem Sie eine AWS Oder-API-Operation AWS CLI aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Zugriffskontrolllisten () ACLs
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
Amazon S3 und Amazon VPC sind Beispiele für Dienste, die Unterstützung ACLs bieten. AWS WAF Weitere Informationen finden Sie unter [Übersicht über ACLs die Zugriffskontrollliste (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) im *Amazon Simple Storage Service Developer Guide*.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# So LiveAnalytics funktioniert Amazon Timestream for mit IAM
Bevor Sie IAM verwenden, um den Zugriff auf Timestream für zu verwalten, sollten Sie wissen LiveAnalytics, für welche IAM-Funktionen Sie mit Timestream verwenden können. LiveAnalytics *Einen allgemeinen Überblick darüber, wie Timestream for LiveAnalytics und andere AWS Dienste mit IAM funktionieren, finden Sie im IAM-Benutzerhandbuch unter [AWS Services That Work with IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
**Topics**
+ [Timestream für identitätsbasierte Richtlinien LiveAnalytics](#security_iam_service-with-iam-id-based-policies)
+ [Timestream für ressourcenbasierte Richtlinien LiveAnalytics](#security_iam_service-with-iam-resource-based-policies)
+ [Autorisierung basiert auf Timestream für Tags LiveAnalytics](#security_iam_service-with-iam-tags)
+ [Timestream für IAM-Rollen LiveAnalytics](#security_iam_service-with-iam-roles)
## Timestream für identitätsbasierte Richtlinien LiveAnalytics
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Timestream for LiveAnalytics unterstützt bestimmte Aktionen und Ressourcen sowie Bedingungsschlüssel. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Aktionen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Sie können die folgenden Aktionen im Action-Element einer IAM-Richtlinienerklärung angeben. Verwenden Sie Richtlinien, um Berechtigungen zum Ausführen einer Operation in AWS zu erteilen. Wenn Sie eine Aktion in einer Richtlinie verwenden, erlauben oder verweigern Sie normalerweise den Zugriff auf den API-Vorgang, den CLI-Befehl oder den SQL-Befehl mit demselben Namen.
In einigen Fällen steuert eine einzelne Aktion den Zugriff auf eine API-Operation sowie auf einen SQL-Befehl. Alternativ erfordern einige Vorgänge mehrere verschiedene Aktionen.
Eine Liste der unterstützten Timestream-Formulare LiveAnalytics `Action` finden Sie in der folgenden Tabelle:
**Anmerkung**
Für alle datenbankspezifischen Daten können Sie einen Datenbank-ARN angeben`Actions`, um die Aktion auf eine bestimmte Datenbank zu beschränken.
| Aktionen | Beschreibung | Zugriffsebene | Ressourcentypen (\$1erforderlich) |
| --- | --- | --- | --- |
| DescribeEndpoints | Gibt den Timestream-Endpunkt zurück, an den nachfolgende Anfragen gestellt werden müssen. | Alle | \$1 |
| Select | Führt Abfragen für Timestream aus, die Daten aus einer oder mehreren Tabellen auswählen. [Eine ausführliche Erklärung finden Sie in diesem Hinweis](#security_iam_service-with-iam-id-based-policies-actions.select-vs-selectvalues) | Lesen | Tabelle\$1 |
| CancelQuery | Stornieren Sie eine Abfrage. | Lesen | \$1 |
| ListTables | Ruft die Liste der Tabellen ab. | Auflisten | Datenbank\$1 |
| ListDatabases | Holen Sie sich die Liste der Datenbanken. | Auflisten | \$1 |
| ListMeasures | Holen Sie sich die Liste der Maßnahmen. | Lesen | Tabelle\$1 |
| DescribeTable | Holen Sie sich die Beschreibung der Tabelle. | Lesen | Tabelle\$1 |
| DescribeDatabase | Holen Sie sich die Datenbankbeschreibung. | Lesen | Datenbank\$1 |
| SelectValues | Führen Sie Abfragen aus, für die keine bestimmte Ressource angegeben werden muss. [Eine ausführliche Erklärung finden Sie in diesem Hinweis](#security_iam_service-with-iam-id-based-policies-actions.select-vs-selectvalues). | Lesen | \$1 |
| WriteRecords | Fügen Sie Daten in Timestream ein. | Schreiben | Tabelle\$1 |
| CreateTable | Erstellen Sie eine -Tabelle. | Schreiben | Datenbank\$1 |
| CreateDatabase | Erstellen Sie eine Datenbank. | Schreiben | \$1 |
| DeleteDatabase | Löscht eine Datenbank. | Schreiben | \$1 |
| UpdateDatabase | Eine Datenbank aktualisieren. | Schreiben | \$1 |
| DeleteTable | Löscht eine Tabelle. | Schreiben | Datenbank\$1 |
| UpdateTable | Aktualisieren Sie eine Tabelle. | Schreiben | Datenbank\$1 |
#### SelectValues im Vergleich zu wählen:
`SelectValues`ist ein`Action`, das für Abfragen verwendet wird, die *keine* Ressource benötigen. Ein Beispiel für eine Abfrage, die keine Ressource benötigt, lautet wie folgt:
```
SELECT 1
```
Beachten Sie, dass sich diese Abfrage nicht auf einen bestimmten Timestream für eine LiveAnalytics Ressource bezieht. Betrachten Sie ein anderes Beispiel:
```
SELECT now()
```
Diese Abfrage gibt mithilfe der `now()` Funktion den aktuellen Zeitstempel zurück, erfordert jedoch keine Angabe einer Ressource. `SelectValues`wird häufig zum Testen verwendet, sodass Timestream for Abfragen ohne LiveAnalytics Ressourcen ausführen kann. Stellen Sie sich nun eine `Select` Abfrage vor:
```
SELECT * FROM database.table
```
Für diesen Abfragetyp ist eine Ressource erforderlich, insbesondere ein Timestream für LiveAnalytics `table`, damit die angegebenen Daten aus der Tabelle abgerufen werden können.
### Ressourcen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
In Timestream können LiveAnalytics Datenbanken und Tabellen im `Resource` Element IAM-Berechtigungen verwendet werden.
Der Timestream für die LiveAnalytics Datenbankressource hat den folgenden ARN:
```
arn:${Partition}:timestream:${Region}:${Account}:database/${DatabaseName}
```
Der Timestream für die LiveAnalytics Tabellenressource hat den folgenden ARN:
```
arn:${Partition}:timestream:${Region}:${Account}:database/${DatabaseName}/table/${TableName}
```
Weitere Informationen zum Format von ARNs finden Sie unter [Amazon Resource Names (ARNs) und AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Um beispielsweise den `database` Schlüsselraum in Ihrer Anweisung anzugeben, verwenden Sie den folgenden ARN:
```
"Resource": "arn:aws:timestream:us-east-1:123456789012:database/mydatabase"
```
Um alle Datenbanken anzugeben, die zu einem bestimmten Konto gehören, verwenden Sie den Platzhalter (\$1):
```
"Resource": "arn:aws:timestream:us-east-1:123456789012:database/*"
```
Manche LiveAnalytics Timestream-Aktionen, z. B. solche zum Erstellen von Ressourcen, können für eine bestimmte Ressource nicht ausgeführt werden. In diesen Fällen müssen Sie den Platzhalter (\$1) verwenden.
```
"Resource": "*"
```
### Bedingungsschlüssel
Timestream for LiveAnalytics stellt keine dienstspezifischen Bedingungsschlüssel bereit, unterstützt jedoch die Verwendung einiger globaler Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [AWS Globale Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
### Beispiele
Beispiele für Timestream für LiveAnalytics identitätsbasierte Richtlinien finden Sie unter. [Amazon Timestream für Beispiele für LiveAnalytics identitätsbasierte Richtlinien](security_iam_id-based-policy-examples.md)
## Timestream für ressourcenbasierte Richtlinien LiveAnalytics
Timestream for unterstützt LiveAnalytics keine ressourcenbasierten Richtlinien. Ein Beispiel für eine detaillierte Seite zu ressourcenbasierten Richtlinien finden Sie unter [https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html).
## Autorisierung basiert auf Timestream für Tags LiveAnalytics
Sie können den Zugriff auf Ihren Timestream für LiveAnalytics Ressourcen mithilfe von Tags verwalten. Um den Ressourcenzugriff auf der Grundlage von Tags zu verwalten, geben Sie Tag-Informationen im [Bedingungselement](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) einer Richtlinie mithilfe der `aws:TagKeys` Bedingungsschlüssel `timestream:ResourceTag/key-name``aws:RequestTag/key-name`, oder ein. Weitere Informationen zum Taggen von Timestream für LiveAnalytics Ressourcen finden Sie unter. [Hinzufügen von Tags und Etiketten zu Ressourcen](tagging-keyspaces.md)
Ein Beispiel für eine identitätsbasierte Richtlinie zur Einschränkung des Zugriffs auf eine Ressource auf der Grundlage der Markierungen dieser Ressource finden Sie unter [Timestream für den LiveAnalytics Ressourcenzugriff auf der Grundlage von Tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags).
## Timestream für IAM-Rollen LiveAnalytics
Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine Entität in Ihrem AWS Konto, die über bestimmte Berechtigungen verfügt.
### Verwenden temporärer Anmeldeinformationen mit Timestream für LiveAnalytics
Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)oder [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)aufrufen.
### Service-verknüpfte Rollen
Timestream for unterstützt LiveAnalytics keine dienstbezogenen Rollen.
### Servicerollen
Timestream for unterstützt LiveAnalytics keine Servicerollen.
# AWS verwaltete Richtlinien für Amazon Timestream Live Analytics
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet AWS wird. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
**Topics**
+ [AmazonTimestreamInfluxDBFullZugriff](#security-iam-awsmanpol-AmazonTimestreamInfluxDBFullAccess)
+ [AmazonTimestreamReadOnlyAccess](#security-iam-awsmanpol-AmazonTimestreamReadOnlyAccess)
+ [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess)
+ [AmazonTimestreamFullAccess](#security-iam-awsmanpol-AmazonTimestreamFullAccess)
+ [Richtlinienaktualisierungen](#security-iam-awsmanpol-updates)
## AWS verwaltete Richtlinie: AmazonTimestreamInflux DBFull Zugriff
Sie können `AmazonTimestreamInfluxDBFullAccess` an Ihre Benutzer, Gruppen und Rollen anfügen. Der Richtlinienzugriff zum Erstellen, Aktualisieren, Löschen und Auflisten von Amazon Timestream InfluxDB-Instances.
**Berechtigungsdetails**
Diese Richtlinie umfasst die folgende Berechtigung:
+ `Amazon Timestream`— Bietet vollen Administratorzugriff zum Erstellen, Aktualisieren, Löschen und Auflisten von Amazon Timestream InfluxDB-Instances sowie zum Erstellen und Auflisten von Parametergruppen.
[Informationen zu dieser Richtlinie im JSON-Format finden Sie unter Access. AmazonTimestreamInflux DBFull](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamInfluxDBFullAccess.html)
## AWS verwaltete Richtlinie: AmazonTimestreamReadOnlyAccess
Sie können `AmazonTimestreamReadOnlyAccess` an Ihre Benutzer, Gruppen und Rollen anfügen. Die Richtlinie bietet nur Lesezugriff auf Amazon Timestream.
**Berechtigungsdetails**
Diese Richtlinie umfasst die folgende Berechtigung:
+ `Amazon Timestream`— Bietet schreibgeschützten Zugriff auf Amazon Timestream. Diese Richtlinie gewährt auch die Erlaubnis, alle laufenden Abfragen abzubrechen.
Informationen zu dieser Richtlinie im JSON-Format finden Sie unter [AmazonTimestreamReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamReadOnlyAccess.html).
## AWS verwaltete Richtlinie: AmazonTimestreamConsoleFullAccess
Sie können `AmazonTimestreamConsoleFullAccess` an Ihre Benutzer, Gruppen und Rollen anfügen.
Die Richtlinie bietet vollen Zugriff auf die Verwaltung von Amazon Timestream mithilfe von. AWS-Managementkonsole Diese Richtlinie gewährt auch Berechtigungen für bestimmte AWS KMS Operationen und Operationen zur Verwaltung Ihrer gespeicherten Abfragen.
**Berechtigungsdetails**
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `Amazon Timestream`— Gewährt Schulleitern vollen Zugriff auf Amazon Timestream.
+ `AWS KMS`— Ermöglicht Prinzipalen, Aliase aufzulisten und Schlüssel zu beschreiben.
+ `Amazon S3`— Ermöglicht Principals, alle Amazon S3 S3-Buckets aufzulisten.
+ `Amazon SNS`— Ermöglicht Principals, Amazon SNS SNS-Themen aufzulisten.
+ `IAM`— Ermöglicht Prinzipalen das Auflisten von IAM-Rollen.
+ `DBQMS` – Ermöglicht es Prinzipalen, auf Abfragen zuzugreifen, Abfragen zu erstellen, zu löschen, zu beschreiben und zu aktualisieren. Der Database Query Metadata Service (dbqms) ist ein reiner interner Dienst. Es stellt Ihre letzten und gespeicherten Abfragen für den Abfrage-Editor AWS-Managementkonsole für mehrere AWS-Services, einschließlich Amazon Timestream, bereit.
+ `Pricing`— Ermöglicht Prinzipalen den Zugriff auf die Preisschätzung für die InfluxDB-Ressourcenkonfiguration während der Erstellung.
+ `Marketplace`— Ermöglicht Prinzipalen den Zugriff auf Marketplace-Ressourcen und die Erstellung von Vereinbarungen für den InfluxDB-Cluster mit der Erstellung von Read Replicas.
Informationen zu dieser Richtlinie im JSON-Format finden Sie unter. [AmazonTimestreamConsoleFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamConsoleFullAccess.html)
## AWS verwaltete Richtlinie: AmazonTimestreamFullAccess
Sie können `AmazonTimestreamFullAccess` an Ihre Benutzer, Gruppen und Rollen anfügen.
Die Richtlinie bietet vollen Zugriff auf Amazon Timestream. Diese Richtlinie gewährt auch Genehmigungen für bestimmte AWS KMS Operationen.
**Berechtigungsdetails**
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `Amazon Timestream`— Gewährt Schulleitern vollen Zugriff auf Amazon Timestream.
+ `AWS KMS`— Ermöglicht Prinzipalen, Aliase aufzulisten und Schlüssel zu beschreiben.
+ `Amazon S3`— Ermöglicht Principals, alle Amazon S3 S3-Buckets aufzulisten.
Informationen zu dieser Richtlinie im JSON-Format finden Sie unter. [AmazonTimestreamFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamFullAccess.html)
## Timestream Live Analytics aktualisiert AWS verwaltete Richtlinien
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Timestream Live Analytics an, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen. Um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der [Timestream Live Analytics-Dokumentverlaufsseite](doc-history.md).
| Änderungen | Beschreibung | Datum |
| --- | --- | --- |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess) – Aktualisierung auf eine bestehende Richtlinie | Timestream for InfluxDB hat der bestehenden `AmazonTimestreamInfluxDBFullAccess` verwalteten Richtlinie die Influx Enterprise Marketplace-Produkt-ID hinzugefügt, um das Abonnement von Marketplace-Angeboten für Unternehmen zu unterstützen. Diese Berechtigungen sind durch eine Bedingung, die den Zugriff auf bestimmte AWS Marketplace-Produkte beschränkt, auf bestimmte Marketplace-Produkte beschränkt`ProductIds`. Siehe [AmazonTimestreamInfluxDBFullZugriff](https://docs.aws.amazon.com/timestream/latest/developerguide/security-iam-awsmanpol-influxdb.html#iam.identitybasedpolicies.predefinedpolicies). | 17. Oktober 2025 |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess) – Aktualisierung auf eine bestehende Richtlinie | Die AWS Marketplace-Berechtigungen wurden der bestehenden `AmazonTimestreamConsoleFullAccess` verwalteten Richtlinie hinzugefügt, um auf Marketplace-Ressourcen zuzugreifen und Vereinbarungen für den InfluxDB-Cluster mit der Erstellung von Read Replicas zu erstellen. Timestream Live Analytics hat diese verwaltete Richtlinie ebenfalls aktualisiert, indem ein Feld hinzugefügt wurde. `Sid` Die Aktualisierung der Richtlinie hat keine Auswirkungen auf die Verwendung der `AmazonTimestreamConsoleFullAccess` verwalteten Richtlinie. | 20. August 2025 |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess) – Aktualisierung auf eine bestehende Richtlinie | Die `pricing:GetProducts` Aktion wurde der bestehenden `AmazonTimestreamConsoleFullAccess` verwalteten Richtlinie hinzugefügt, um Preisschätzungen für InfluxDB-Ressourcenkonfigurationen während der Erstellung bereitzustellen. Die Aktualisierung der Richtlinie hat keine Auswirkungen auf die Verwendung der `AmazonTimestreamConsoleFullAccess` verwalteten Richtlinie. | 10. Juni 2025 |
| [AmazonTimestreamReadOnlyAccess](#security-iam-awsmanpol-AmazonTimestreamReadOnlyAccess) – Aktualisierung auf eine bestehende Richtlinie | Die `timestream:DescribeAccountSettings` Aktion wurde der bestehenden `AmazonTimestreamReadOnlyAccess` verwalteten Richtlinie hinzugefügt. Diese Aktion wird zur Beschreibung von AWS-Konto Einstellungen verwendet. Timestream Live Analytics hat diese verwaltete Richtlinie ebenfalls aktualisiert, indem ein `Sid` Feld hinzugefügt wurde. Die Aktualisierung der Richtlinie hat keine Auswirkungen auf die Verwendung der `AmazonTimestreamReadOnlyAccess` verwalteten Richtlinie. | 03. Juni 2024 |
| [AmazonTimestreamReadOnlyAccess](#security-iam-awsmanpol-AmazonTimestreamReadOnlyAccess) – Aktualisierung auf eine bestehende Richtlinie | Die `timestream:ListBatchLoadTasks` Aktionen `timestream:DescribeBatchLoadTask` und wurden zur vorhandenen `AmazonTimestreamReadOnlyAccess` verwalteten Richtlinie hinzugefügt. Diese Aktionen werden beim Auflisten und Beschreiben von Batch-Load-Aufgaben verwendet. Die Aktualisierung der Richtlinie hat keine Auswirkungen auf die Verwendung der `AmazonTimestreamReadOnlyAccess` verwalteten Richtlinie. | 24. Februar 2023 |
| [AmazonTimestreamReadOnlyAccess](#security-iam-awsmanpol-AmazonTimestreamReadOnlyAccess) – Aktualisierung auf eine bestehende Richtlinie | Die `timestream:ListScheduledQueries` Aktionen `timestream:DescribeScheduledQuery` und wurden zur vorhandenen `AmazonTimestreamReadOnlyAccess` verwalteten Richtlinie hinzugefügt. Diese Aktionen werden verwendet, um bestehende geplante Abfragen aufzulisten und zu beschreiben. Die Aktualisierung der Richtlinie hat keine Auswirkungen auf die Verwendung der `AmazonTimestreamReadOnlyAccess` verwalteten Richtlinie. | 29. November 2021 |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess) – Aktualisierung auf eine bestehende Richtlinie | Die `s3:ListAllMyBuckets` Aktion wurde der vorhandenen `AmazonTimestreamConsoleFullAccess` verwalteten Richtlinie hinzugefügt. Diese Aktion wird verwendet, wenn Sie einen Amazon S3 S3-Bucket für Timestream angeben, um Magnetspeicher-Schreibfehler zu protokollieren. Die Aktualisierung der Richtlinie hat keine Auswirkungen auf die Verwendung der `AmazonTimestreamConsoleFullAccess` verwalteten Richtlinie. | 29. November 2021 |
| [AmazonTimestreamFullAccess](#security-iam-awsmanpol-AmazonTimestreamFullAccess) – Aktualisierung auf eine bestehende Richtlinie | Die `s3:ListAllMyBuckets` Aktion wurde der vorhandenen `AmazonTimestreamFullAccess` verwalteten Richtlinie hinzugefügt. Diese Aktion wird verwendet, wenn Sie einen Amazon S3 S3-Bucket für Timestream angeben, um Magnetspeicher-Schreibfehler zu protokollieren. Die Aktualisierung der Richtlinie hat keine Auswirkungen auf die Verwendung der `AmazonTimestreamFullAccess` verwalteten Richtlinie. | 29. November 2021 |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess) – Aktualisierung auf eine bestehende Richtlinie | Redundante Aktionen wurden aus der vorhandenen `AmazonTimestreamConsoleFullAccess` verwalteten Richtlinie entfernt. Bisher umfasste diese Richtlinie eine redundante Aktion`dbqms:DescribeQueryHistory`. Die aktualisierte Richtlinie entfernt die redundante Aktion. Die Aktualisierung der Richtlinie hat keine Auswirkungen auf die Verwendung der `AmazonTimestreamConsoleFullAccess` verwalteten Richtlinie. | 23. April 2021 |
| Timestream Live Analytics hat mit der Nachverfolgung von Änderungen begonnen | Timestream Live Analytics begann, Änderungen an den AWS verwalteten Richtlinien nachzuverfolgen. | 21. April 2021 |
# Amazon Timestream für Beispiele für LiveAnalytics identitätsbasierte Richtlinien
Standardmäßig sind IAM-Benutzer und -Rollen nicht berechtigt, Timestream für Ressourcen zu erstellen oder zu ändern. LiveAnalytics Sie können auch keine Aufgaben mithilfe von CQLSH oder API ausführen. AWS-Managementkonsole AWS CLI AWS Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern und Rollen die Berechtigung zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcen gewähren, die diese benötigen. Der Administrator muss diese Richtlinien anschließend den IAM-Benutzern oder -Gruppen anfügen, die diese Berechtigungen benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von Richtlinien auf der JSON-Registerkarte](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Timestream für die Konsole verwenden LiveAnalytics](#security_iam_id-based-policy-examples-console)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Allgemeine Operationen in Timestream für LiveAnalytics](#security_iam_id-based-policy-examples-common-operations)
+ [Timestream für den LiveAnalytics Ressourcenzugriff auf der Grundlage von Tags](#security_iam_id-based-policy-examples-tags)
+ [Geplante Abfragen](#security_iam_id-based-policy-examples-sheduledqueries)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand Timestream für LiveAnalytics Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Timestream für die Konsole verwenden LiveAnalytics
Timestream for benötigt LiveAnalytics keine speziellen Berechtigungen für den Zugriff auf die Amazon Timestream for LiveAnalytics Console. Sie benötigen mindestens Leseberechtigungen, um den Timestream für LiveAnalytics Ressourcen in Ihrem Konto aufzulisten und einzusehen. AWS Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (IAM-Benutzer oder -Rollen) mit dieser Richtlinie.
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der OR-API. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Allgemeine Operationen in Timestream für LiveAnalytics
Im Folgenden finden Sie Beispiele für IAM-Richtlinien, die allgemeine Operationen im Timestream for Service ermöglichen. LiveAnalytics
**Topics**
+ [Zulassen aller Operationen](#security_iam_id-based-policy-examples-common-operations.all)
+ [SELECT-Operationen zulassen](#security_iam_id-based-policy-examples-common-operations.select)
+ [SELECT-Operationen auf mehreren Ressourcen zulassen](#security_iam_id-based-policy-examples-common-operations.select-multiple-resources)
+ [Metadaten-Operationen zulassen](#security_iam_id-based-policy-examples-common-operations.metadata)
+ [INSERT-Operationen zulassen](#security_iam_id-based-policy-examples-common-operations.insert)
+ [CRUD-Operationen zulassen](#security_iam_id-based-policy-examples-common-operations.crud)
+ [Stornieren Sie Abfragen und wählen Sie Daten aus, ohne Ressourcen anzugeben](#security_iam_id-based-policy-examples-common-operations.cancel-selectvalues)
+ [Eine Datenbank erstellen, beschreiben, löschen und beschreiben](#security_iam_id-based-policy-examples-common-operations.cddd)
+ [Beschränken Sie die aufgelisteten Datenbanken nach Tag `{"Owner": "${username}"}`](#security_iam_id-based-policy-examples-common-operations.list-by-tag)
+ [Alle Tabellen in einer Datenbank auflisten](#security_iam_id-based-policy-examples-common-operations.list-all-tables)
+ [Eine Tabelle erstellen, beschreiben, löschen, aktualisieren und auswählen](#security_iam_id-based-policy-examples-common-operations.cddus-table)
+ [Beschränken Sie eine Abfrage nach einer Tabelle](#security_iam_id-based-policy-examples-common-operations.limit-query-table)
### Zulassen aller Operationen
Im Folgenden finden Sie eine Beispielrichtlinie, die alle Operationen in Timestream für LiveAnalytics zulässt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:*"
],
"Resource": "*"
}
]
}
```
------
### SELECT-Operationen zulassen
Die folgende Beispielrichtlinie erlaubt Abfragen `SELECT` im -stil für eine bestimmte Ressource.
**Anmerkung**
``Ersetzen Sie es durch Ihre Amazon-Konto-ID.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:Select",
"timestream:DescribeTable",
"timestream:ListMeasures"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps"
},
{
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:SelectValues",
"timestream:CancelQuery"
],
"Resource": "*"
}
]
}
```
------
### SELECT-Operationen auf mehreren Ressourcen zulassen
Die folgende Beispielrichtlinie ermöglicht Abfragen `SELECT` im -stil für mehrere Ressourcen.
**Anmerkung**
``Ersetzen Sie es durch Ihre Amazon-Konto-ID.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:Select",
"timestream:DescribeTable",
"timestream:ListMeasures"
],
"Resource": [
"arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps",
"arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps1",
"arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps2"
]
},
{
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:SelectValues",
"timestream:CancelQuery"
],
"Resource": "*"
}
]
}
```
------
### Metadaten-Operationen zulassen
Die folgende Beispielrichtlinie ermöglicht es dem Benutzer, Metadatenabfragen durchzuführen, erlaubt dem Benutzer jedoch nicht, Vorgänge auszuführen, bei denen tatsächliche Daten in Timestream für LiveAnalytics gelesen oder geschrieben werden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:DescribeTable",
"timestream:ListMeasures",
"timestream:SelectValues",
"timestream:ListTables",
"timestream:ListDatabases",
"timestream:CancelQuery"
],
"Resource": "*"
}
]
}
```
------
### INSERT-Operationen zulassen
Die folgende Beispielrichtlinie ermöglicht es einem Benutzer, einen `INSERT` Vorgang mit `database/sampleDB/table/DevOps` einem eigenen Konto auszuführen``.
**Anmerkung**
``Ersetzen Sie es durch Ihre Amazon-Konto-ID.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"timestream:WriteRecords"
],
"Resource": [
"arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps"
],
"Effect": "Allow"
},
{
"Action": [
"timestream:DescribeEndpoints"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
### CRUD-Operationen zulassen
Die folgende Beispielrichtlinie ermöglicht es einem Benutzer, CRUD-Operationen in Timestream für auszuführen. LiveAnalytics
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:CreateTable",
"timestream:DescribeTable",
"timestream:CreateDatabase",
"timestream:DescribeDatabase",
"timestream:ListTables",
"timestream:ListDatabases",
"timestream:DeleteTable",
"timestream:DeleteDatabase",
"timestream:UpdateTable",
"timestream:UpdateDatabase"
],
"Resource": "*"
}
]
}
```
------
### Stornieren Sie Abfragen und wählen Sie Daten aus, ohne Ressourcen anzugeben
Die folgende Beispielrichtlinie ermöglicht es einem Benutzer, Abfragen abzubrechen und Abfragen für Daten durchzuführen`Select`, für die keine Ressourcenspezifikation erforderlich ist:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:SelectValues",
"timestream:CancelQuery"
],
"Resource": "*"
}
]
}
```
------
### Eine Datenbank erstellen, beschreiben, löschen und beschreiben
Die folgende Beispielrichtlinie ermöglicht es einem Benutzer, eine Datenbank zu erstellen, zu beschreiben, zu löschen und zu beschreiben`sampleDB`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:CreateDatabase",
"timestream:DescribeDatabase",
"timestream:DeleteDatabase",
"timestream:UpdateDatabase"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB"
}
]
}
```
------
### Beschränken Sie die aufgelisteten Datenbanken nach Tag `{"Owner": "${username}"}`
Die folgende Beispielrichtlinie ermöglicht es einem Benutzer, alle Datenbanken aufzulisten, die mit einem Schlüssel-Wert-Paar gekennzeichnet sind`{"Owner": "${username}"}`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:ListDatabases"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
### Alle Tabellen in einer Datenbank auflisten
Die folgende Beispielrichtlinie zum Auflisten aller Tabellen in der Datenbank`sampleDB`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:ListTables"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/"
}
]
}
```
------
### Eine Tabelle erstellen, beschreiben, löschen, aktualisieren und auswählen
Die folgende Beispielrichtlinie ermöglicht es einem Benutzer, Tabellen zu erstellen, Tabellen zu beschreiben, Tabellen zu löschen, Tabellen zu aktualisieren und `Select` Abfragen für Tabellen `DevOps` in der Datenbank durchzuführen`sampleDB`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:CreateTable",
"timestream:DescribeTable",
"timestream:DeleteTable",
"timestream:UpdateTable",
"timestream:Select"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps"
}
]
}
```
------
### Beschränken Sie eine Abfrage nach einer Tabelle
Die folgende Beispielrichtlinie ermöglicht es einem Benutzer, alle Tabellen außer `DevOps` in der Datenbank abzufragen`sampleDB`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:Select"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/*"
},
{
"Effect": "Deny",
"Action": [
"timestream:Select"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps"
}
]
}
```
------
## Timestream für den LiveAnalytics Ressourcenzugriff auf der Grundlage von Tags
Sie können Bedingungen in Ihrer identitätsbasierten Richtlinie verwenden, um den Zugriff auf Timestream für LiveAnalytics Ressourcen auf der Grundlage von Tags zu steuern. In diesem Abschnitt finden Sie einige Beispiele.
Das folgende Beispiel zeigt, wie Sie eine Richtlinie erstellen können, die einem Benutzer Berechtigungen zum Anzeigen einer Tabelle gewährt, wenn die Tabelle den Wert des Benutzernamens dieses Benutzers `Owner` enthält.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadOnlyAccessTaggedTables",
"Effect": "Allow",
"Action": "timestream:Select",
"Resource": "arn:aws:timestream:us-east-2:111122223333:database/mydatabase/table/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
Sie können diese Richtlinie den IAM-Benutzern in Ihrem Konto anfügen. Wenn ein benannter Benutzer `richard-roe` versucht, einen Timestream für eine LiveAnalytics Tabelle anzuzeigen, muss die Tabelle mit `Owner=richard-roe` oder `owner=richard-roe` gekennzeichnet werden. Andernfalls wird der Zugriff abgelehnt. Der Tag-Schlüssel `Owner` der Bedingung stimmt sowohl mit `Owner` als auch mit `owner` überein, da die Namen von Bedingungsschlüsseln nicht zwischen Groß- und Kleinschreibung unterscheiden. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
Die folgende Richtlinie gewährt einem Benutzer die Erlaubnis, Tabellen mit Tags zu erstellen, wenn das in der Anfrage übergebene Tag einen Schlüssel `Owner` und einen Wert `username` hat:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateTagTableUser",
"Effect": "Allow",
"Action": [
"timestream:CreateTable",
"timestream:TagResource"
],
"Resource": "arn:aws:timestream:us-east-2:111122223333:database/mydatabase/table/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:RequestTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
Die folgende Richtlinie ermöglicht die Verwendung der `DescribeDatabase` API in jeder Datenbank, deren `env` Tag entweder auf `dev` oder gesetzt ist`test`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribe",
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:DescribeDatabase"
],
"Resource": "*"
},
{
"Sid": "AllowTagAccessForDevResources",
"Effect": "Allow",
"Action": [
"timestream:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/env": [
"test",
"dev"
]
}
}
}
]
}
```
------
Diese Richtlinie verwendet einen `Condition` Schlüssel, um zu ermöglichen, dass ein Tag, das den Schlüssel `env` und den Wert `test``qa`, oder enthält, `dev` zu einer Ressource hinzugefügt werden kann.
## Geplante Abfragen
### Auflisten, Löschen, Aktualisieren, Ausführen ScheduledQuery
Die folgende Beispielrichtlinie ermöglicht es einem Benutzer, geplante Abfragen aufzulisten, zu löschen, zu aktualisieren und auszuführen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:DeleteScheduledQuery",
"timestream:ExecuteScheduledQuery",
"timestream:UpdateScheduledQuery",
"timestream:ListScheduledQueries",
"timestream:DescribeEndpoints"
],
"Resource": "*"
}
]
}
```
------
### CreateScheduledQuery mithilfe eines vom Kunden verwalteten KMS-Schlüssels
Die folgende Beispielrichtlinie ermöglicht es einem Benutzer, eine geplante Abfrage zu erstellen, die mit einem vom Kunden verwalteten KMS-Schlüssel verschlüsselt wird;**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::123456789012:role/ScheduledQueryExecutionRole"
],
"Effect": "Allow"
},
{
"Action": [
"timestream:CreateScheduledQuery",
"timestream:DescribeEndpoints"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/",
"Effect": "Allow"
}
]
}
```
------
### DescribeScheduledQuery mithilfe eines vom Kunden verwalteten KMS-Schlüssels
Die folgende Beispielrichtlinie ermöglicht es einem Benutzer, eine geplante Abfrage zu beschreiben, die mit einem vom Kunden verwalteten KMS-Schlüssel erstellt wurde;**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"timestream:DescribeScheduledQuery",
"timestream:DescribeEndpoints"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/",
"Effect": "Allow"
}
]
}
```
------
### Berechtigungen für Ausführungsrollen (unter Verwendung eines vom Kunden verwalteten KMS-Schlüssels für geplante Abfragen und SSE-KMS für Fehlerberichte)
Hängen Sie die folgende Beispielrichtlinie an die im `ScheduledQueryExecutionRoleArn` Parameter angegebene IAM-Rolle der `CreateScheduledQuery` API an, die den vom Kunden verwalteten KMS-Schlüssel für die Verschlüsselung von geplanten Abfragen und `SSE-KMS` für Fehlerberichte verwendet.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/",
"Effect": "Allow"
},
{
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-west-2:123456789012:key/",
"arn:aws:kms:us-west-2:123456789012:key/",
"arn:aws:kms:us-west-2:123456789012:key/"
],
"Effect": "Allow"
},
{
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:us-west-2:123456789012:scheduled-query-notification-topic-*"
],
"Effect": "Allow"
},
{
"Action": [
"timestream:Select",
"timestream:SelectValues",
"timestream:WriteRecords"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"s3:PutObject",
"s3:GetBucketAcl"
],
"Resource": [
"arn:aws:s3:::scheduled-query-error-bucket",
"arn:aws:s3:::scheduled-query-error-bucket/*"
],
"Effect": "Allow"
}
]
}
```
------
### Vertrauensverhältnis zwischen der Ausführungsrolle
Im Folgenden finden Sie die Vertrauensbeziehung für die IAM-Rolle, die im `ScheduledQueryExecutionRoleArn` `CreateScheduledQuery` API-Parameter angegeben ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"timestream.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
### Erlaubt den Zugriff auf alle geplanten Abfragen, die in einem Konto erstellt wurden
Hängen Sie die folgende Beispielrichtlinie an die im `ScheduledQueryExecutionRoleArn` `CreateScheduledQuery` API-Parameter angegebene IAM-Rolle an, um den Zugriff auf alle geplanten Abfragen zu ermöglichen, die innerhalb eines Kontos *Account\$1ID* erstellt wurden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "timestream.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "Account_ID"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:timestream:us-west-2:111122223333:scheduled-query/*"
}
}
}
]
}
```
------
### Erlaubt den Zugriff auf alle geplanten Abfragen mit einem bestimmten Namen
Hängen Sie die folgende Beispielrichtlinie an die im `ScheduledQueryExecutionRoleArn` `CreateScheduledQuery` API-Parameter angegebene IAM-Rolle an, um den Zugriff auf alle geplanten Abfragen zu ermöglichen, deren Name mit*Scheduled\$1Query\$1Name*, innerhalb des Kontos *Account\$1ID* beginnt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "timestream.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "Account_ID"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:timestream:us-west-2:111122223333:scheduled-query/Scheduled_Query_Name*"
}
}
}
]
}
```
------
# Fehlerbehebung bei Amazon Timestream für LiveAnalytics Identität und Zugriff
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit Timestream for LiveAnalytics und IAM auftreten können.
**Topics**
+ [Ich bin nicht berechtigt, eine Aktion in Timestream durchzuführen für LiveAnalytics](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, IAM auszuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meinen Timestream für LiveAnalytics Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht berechtigt, eine Aktion in Timestream durchzuführen für LiveAnalytics
Wenn Ihnen AWS-Managementkonsole mitgeteilt wird, dass Sie nicht berechtigt sind, eine Aktion auszuführen, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
Der folgende Beispielfehler tritt auf, wenn der `mateojackson` IAM-Benutzer versucht, die Konsole zu verwenden, um Details zu einer Tabelle anzuzeigen, *table* aber keine `timestream:Select` Berechtigungen für die Tabelle besitzt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: timestream:Select on resource: mytable
```
In diesem Fall bittet Mateo seinen Administrator um die Aktualisierung seiner Richtlinien, um unter Verwendung der Aktion `mytable` auf die Ressource `timestream:Select` zugreifen zu können.
## Ich bin nicht berechtigt, IAM auszuführen: PassRole
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht berechtigt sind, die `iam:PassRole` Aktion durchzuführen, müssen Ihre Richtlinien aktualisiert werden, damit Sie eine Rolle an Timestream übergeben können. LiveAnalytics
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in Timestream for auszuführen. LiveAnalytics Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meinen Timestream für LiveAnalytics Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob Timestream for diese Funktionen LiveAnalytics unterstützt, finden Sie unter. [So LiveAnalytics funktioniert Amazon Timestream for mit IAM](security_iam_service-with-iam.md)
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs für einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.