Erforderliche Berechtigungen für den Zugriff auf IAM-Ressourcen - AWS Identitäts- und Zugriffsverwaltung
Berechtigungen für die Verwaltung von IAM-IdentitätenBerechtigungen für die Arbeit in der AWS Management ConsoleGewähren Sie Berechtigungen für alle AWS KontenService-Berechtigungen für den Zugriff auf einen anderen ServiceErforderliche Aktionen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erforderliche Berechtigungen für den Zugriff auf IAM-Ressourcen

Ressourcen sind Objekte innerhalb eines Services. IAMZu den Ressourcen gehören Gruppen, Benutzer, Rollen und Richtlinien. Wenn Sie angemeldet sind mit Root-Benutzer des AWS-Kontos Anmeldeinformationen: Sie haben keine Einschränkungen bei der Verwaltung von IAM Anmeldeinformationen oder IAM Ressourcen. IAMBenutzern müssen jedoch ausdrücklich Berechtigungen zur Verwaltung von Anmeldeinformationen oder IAM Ressourcen erteilt werden. Sie können dies durch das Zuweisen einer identitätsbasierten Richtlinie zum Benutzer erledigen.

Anmerkung

Während der AWS In der Dokumentation meinen wir, wenn wir uns auf eine IAM Richtlinie beziehen, ohne eine der spezifischen Kategorien zu erwähnen, eine identitätsbasierte, vom Kunden verwaltete Richtlinie. Details zu den Richtlinienkategorien finden Sie unter Richtlinien und Berechtigungen in AWS Identity and Access Management.

Berechtigungen für die Verwaltung von IAM-Identitäten

Die Berechtigungen, die für die Verwaltung von IAM Gruppen, Benutzern, Rollen und Anmeldeinformationen erforderlich sind, entsprechen in der Regel den API Aktionen für die jeweilige Aufgabe. Um beispielsweise IAM Benutzer zu erstellen, müssen Sie über die entsprechende iam:CreateUser Berechtigung verfügenAPI: CreateUser. Um einem IAM Benutzer das Erstellen anderer IAM Benutzer zu ermöglichen, könnten Sie diesem Benutzer eine IAM Richtlinie wie die folgende hinzufügen: 

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "iam:CreateUser",
    "Resource": "*"
  }
}

In einer Richtlinie ist der Wert des Elements Resource von der Aktion abhängig und auf welche Ressourcen diese Aktion Einfluss nimmt. Im vorherigen Beispiel erteilt die Richtlinie dem Benutzer die Berechtigung, alle möglichen Benutzer zu erstellen (* ist ein Platzhalter, der mit allen Zeichenfolgen übereinstimmt). Im Gegensatz dazu enthält eine Richtlinie, die es Benutzern ermöglicht, nur ihre eigenen Zugriffstasten (APIAktionen CreateAccessKeyund UpdateAccessKey) zu ändern, normalerweise ein Resource Element. In diesem Fall ARN beinhaltet das eine Variable (${aws:username}), die in den Namen des aktuellen Benutzers aufgelöst wird, wie im folgenden Beispiel: 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListUsersForConsole",
            "Effect": "Allow",
            "Action": "iam:ListUsers",
            "Resource": "arn:aws:iam::*:*"
        },
        {
            "Sid": "ViewAndUpdateAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:UpdateAccessKey",
                "iam:CreateAccessKey",
                "iam:ListAccessKeys"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}

Im vorherigen Beispiel ist ${aws:username} eine Variable, die den Benutzernamen auf den aktuellen Benutzer auflöst. Weitere Informationen zu Richtlinienvariablen finden Sie unter IAM-Richtlinienelemente: Variablen und Tags.

Mit einem Platzhalterzeichen (*) im Aktionsnamen können Sie oft das Erteilen von Berechtigungen für alle Aktionen einer bestimmten Aufgabe einfacher gestalten. Um Benutzern beispielsweise die Ausführung beliebiger IAM Aktionen zu ermöglichen, können Sie iam:* für die Aktion verwenden. Um den Benutzern zu erlauben, die Aktionen auszuführen, die sich nur auf die Berechtigung zur Durchführung von Zugriffsschlüsseln beziehen, können Sie iam:*AccessKey* im Element Action in einer Richtlinienanweisung verwenden. So erhält der Benutzer die Berechtigung zum Ausführen der Aktionen CreateAccessKey, DeleteAccessKey, GetAccessKeyLastUsed,ListAccessKeys und UpdateAccessKey. (Wenn IAM in future eine Aktion hinzugefügt wird, deren Name "AccessKey" enthält, erteilt die Verwendung iam:*AccessKey* für das Action Element dem Benutzer auch die Berechtigung für diese neue Aktion.) Das folgende Beispiel zeigt eine Richtlinie, die es Benutzern ermöglicht, alle Aktionen auszuführen, die sich auf ihre eigenen Zugriffsschlüssel beziehen (account-idersetzen Sie sie durch Ihre AWS-Konto ID): 

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "iam:*AccessKey*",
    "Resource": "arn:aws:iam::account-id:user/${aws:username}"
  }
}

Für einige Aufgaben, wie z. B. das Löschen einer Gruppe, sind mehrere Aktionen erforderlich: Sie müssen zunächst die Benutzer aus der Gruppe entfernen, dann die Gruppenrichtlinien trennen oder löschen und schließlich die Gruppe löschen. Wenn Sie einem Benutzer die Berechtigung zum Löschen einer Gruppe erteilen möchten, müssen Sie sicherstellen, dass Sie ihm alle Berechtigung zur Ausführung der damit zusammenhängenden Aktionen erteilen.

Berechtigungen für die Arbeit in der AWS Management Console

Die vorherigen Beispiele zeigen Richtlinien, die es einem Benutzer ermöglichen, die Aktionen mit dem AWS CLIoder das AWS SDKs.

Wenn Benutzer mit der Konsole arbeiten, sendet die Konsole Anfragen, IAM um Gruppen, Benutzer, Rollen und Richtlinien aufzulisten und die Richtlinien abzurufen, die einer Gruppe, einem Benutzer oder einer Rolle zugeordnet sind. Die Konsole sendet auch Anfragen nach AWS-Konto Informationen und Informationen über den Schulleiter. Der Auftraggeber ist der Benutzer, der in der Konsole Anforderungen stellt.

Im Allgemeinen müssen Sie für die Ausführung einer Aktion nur die passende Aktion in einer Richtlinie haben. Um einen Benutzer anzulegen, benötigen Sie die Berechtigung zum Aufrufen der Aktion CreateUser. Wenn Sie die Konsole verwenden, um eine Aktion auszuführen, müssen Sie über die Berechtigung zum Anzeigen, Auflisten, Abrufen oder anderweitigen Anzeigen einer Ressource in der Konsole verfügen. Dies ist notwendig, damit Sie durch die Konsole navigieren können, um die angegebene Aktion auszuführen. Wenn der Benutzer Jorge beispielsweise die Konsole verwenden möchte, um seine eigenen Zugriffstasten zu ändern, geht er zur IAM Konsole und wählt Benutzer aus. Diese Aktion bewirkt, dass die Konsole eine ListUsers-Anforderung stellt. Wenn Jorge nicht über die Berechtigung für die Aktion iam:ListUsers verfügt, verweigert die Konsole den Zugriff beim Versuch, die Benutzer aufzulisten. Daher kann Jorge nicht seinen eigenen Namen und Zugriffsschlüssel ermitteln, selbst wenn er Berechtigungen für die Aktionen CreateAccessKey und UpdateAccessKey hat.

Wenn Sie Benutzern Berechtigungen zur Verwaltung von Gruppen, Benutzern, Rollen, Richtlinien und Anmeldeinformationen mit dem AWS Management Console, müssen Sie Berechtigungen für die Aktionen angeben, die die Konsole ausführt. Beispiele für Richtlinien, die Sie verwenden können, um einem Benutzer diese Berechtigungen zu erteilen, finden Sie unter Beispielrichtlinien für die Verwaltung von IAM-Ressourcen.

Gewähren Sie Berechtigungen für alle AWS Konten

Sie können IAM Benutzern in Ihrem eigenen Konto direkt Zugriff auf Ihre Ressourcen gewähren. Wenn Benutzer aus einem anderen Konto Zugriff auf Ihre Ressourcen benötigen, können Sie eine IAM Rolle erstellen. Dabei handelt es sich um eine Entität, die zwar Berechtigungen enthält, aber keinem bestimmten Benutzer zugeordnet ist. Benutzer von anderen Konten können dann die Rolle verwenden und entsprechend den Berechtigungen, die Sie der Rolle zugeordnet haben, auf Ressourcen zugreifen. Weitere Informationen finden Sie unter Zugriff für einen IAM Benutzer in einem anderen AWS-Konto , den Sie besitzen.

Anmerkung

Einige Dienste unterstützen ressourcenbasierte Richtlinien, wie unter beschrieben Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien (z. B. Amazon S3SNS, Amazon und AmazonSQS). Für diese Services besteht eine Alternative zur Verwendung von Rollen darin, eine Richtlinie an die Ressource (Bucket, Thema oder Warteschlange) anzuhängen, die Sie freigeben möchten. Die ressourcenbasierte Richtlinie kann Folgendes spezifizieren AWS Konto, das über Berechtigungen für den Zugriff auf die Ressource verfügt.

Service-Berechtigungen für den Zugriff auf einen anderen Service

Viele AWS Dienste greifen auf andere zu AWS Dienstleistungen. Zum Beispiel mehrere AWS Services — darunter AmazonEMR, Elastic Load Balancing und Amazon EC2 Auto Scaling — verwalten Amazon-Instances. EC2 Sonstige AWS Dienste verwenden Amazon S3 S3-Buckets, SNS Amazon-Themen, SQS Amazon-Warteschlangen usw.

Das Szenario für das Verwalten von Berechtigungen in diesen Fällen variiert je nach Service. Hier finden Sie einige Beispiele für die Art und Weise, wie Berechtigungen für verschiedene Services verarbeitet werden:

  • In Amazon EC2 Auto Scaling müssen Benutzer über die Erlaubnis verfügen, Auto Scaling zu verwenden, aber ihnen muss nicht ausdrücklich die Erlaubnis erteilt werden, EC2 Amazon-Instances zu verwalten.

  • In AWS Data Pipeline, eine IAM Rolle bestimmt, was eine Pipeline tun kann. Benutzer benötigen eine entsprechende Genehmigung, um die Rolle zu übernehmen. (Einzelheiten finden Sie unter Berechtigungen für Pipelines gewähren mit IAM in der AWS Data Pipeline Entwicklerhandbuch.)

Für Einzelheiten darüber, wie Sie Berechtigungen richtig konfigurieren, sodass ein AWS Der Dienst kann die von Ihnen beabsichtigten Aufgaben ausführen. Weitere Informationen finden Sie in der Dokumentation des Dienstes, den Sie aufrufen. Wie Sie eine Rolle für einen Service anlegen, erfahren Sie in Erstellen Sie eine Rolle, um Berechtigungen an einen AWS Dienst zu delegieren.

Konfiguration eines Dienstes mit einer IAM Rolle, die in Ihrem Namen arbeitet

Wenn Sie ein konfigurieren möchten AWS Ein Dienst, der in Ihrem Namen arbeitet, geben Sie in der Regel ARN für eine IAM Rolle an, die definiert, was der Dienst tun darf. AWS überprüft, ob Sie berechtigt sind, eine Rolle an einen Dienst zu übergeben. Weitere Informationen finden Sie unter Erteilen Sie einem Benutzer die Erlaubnis, eine Rolle an einen AWS Dienst zu übergeben.

Erforderliche Aktionen

Aktionen stellen die Dinge dar, die Sie mit einer Ressource machen können (z. B. Anzeigen, Anlegen, Bearbeiten und Löschen der Ressource). Aktionen werden von jedem definiert AWS Dienst.

Damit ein jemand eine Aktion ausführen kann, müssen Sie die erforderlichen Aktionen in eine Richtlinie aufnehmen, die für die aufrufende Identität oder die betroffene Ressource gilt. Im Allgemeinen müssen Sie, um die für die Ausführung einer Aktion erforderliche Berechtigung zu erteilen, diese Aktion in Ihre Richtlinie aufnehmen. Um beispielsweise einen Benutzer zu erstellen, müssen Sie die CreateUser Aktion zu Ihrer Richtlinie hinzufügen.

In einigen Fällen kann die eine Aktion erfordern, dass Sie zusätzliche Aktionen in Ihre Richtlinie aufnehmen. Zum Beispiel, um jemandem die Erlaubnis zu geben, ein Verzeichnis zu erstellen in AWS Directory Service Wenn Sie den ds:CreateDirectory Vorgang verwenden, müssen Sie die folgenden Aktionen in ihre Richtlinie aufnehmen:

  • ds:CreateDirectory

  • ec2:DescribeSubnets

  • ec2:DescribeVpcs

  • ec2:CreateSecurityGroup

  • ec2:CreateNetworkInterface

  • ec2:DescribeNetworkInterfaces

  • ec2:AuthorizeSecurityGroupIngress

  • ec2:AuthorizeSecurityGroupEgress

Wenn Sie eine Richtlinie mit dem visuellen Editor erstellen oder bearbeiten, erhalten Sie Warnungen und Aufforderungen, die Sie bei der Auswahl aller erforderlichen Aktionen für Ihre Richtlinie unterstützen.

Weitere Informationen zu den Berechtigungen, die zum Erstellen eines Verzeichnisses erforderlich sind, finden Sie in AWS Directory Service, siehe Beispiel 2: Einem Benutzer erlauben, ein Verzeichnis zu erstellen.