Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erforderliche Berechtigungen für den Zugriff auf IAM-Ressourcen
Ressourcen sind Objekte innerhalb eines Services. IAMZu den Ressourcen gehören Gruppen, Benutzer, Rollen und Richtlinien. Wenn Sie mit Root-Benutzer des AWS-Kontos Anmeldeinformationen angemeldet sind, gelten keine Einschränkungen bei der Verwaltung von IAM Anmeldeinformationen oder IAM Ressourcen. IAMBenutzern müssen jedoch ausdrücklich Berechtigungen zur Verwaltung von Anmeldeinformationen oder IAM Ressourcen erteilt werden. Sie können dies durch das Zuweisen einer identitätsbasierten Richtlinie zum Benutzer erledigen.
Anmerkung
Wenn wir in der gesamten AWS Dokumentation von einer IAM Richtlinie sprechen, ohne eine der spezifischen Kategorien zu erwähnen, meinen wir damit eine identitätsbasierte, vom Kunden verwaltete Richtlinie. Details zu den Richtlinienkategorien finden Sie unter Richtlinien und Berechtigungen in AWS Identity and Access Management.
Berechtigungen für die Verwaltung von IAM-Identitäten
Die Berechtigungen, die für die Verwaltung von IAM Gruppen, Benutzern, Rollen und Anmeldeinformationen erforderlich sind, entsprechen in der Regel den API Aktionen für die jeweilige Aufgabe. Um beispielsweise IAM Benutzer zu erstellen, benötigen Sie die iam:CreateUser
Berechtigung, die über den entsprechenden API Befehl verfügt: CreateUser
. Um einem IAM Benutzer das Erstellen anderer IAM Benutzer zu ermöglichen, könnten Sie diesem Benutzer eine IAM Richtlinie wie die folgende hinzufügen:
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "iam:CreateUser", "Resource": "*" } }
In einer Richtlinie ist der Wert des Elements Resource
von der Aktion abhängig und auf welche Ressourcen diese Aktion Einfluss nimmt. Im vorherigen Beispiel erteilt die Richtlinie dem Benutzer die Berechtigung, alle möglichen Benutzer zu erstellen (*
ist ein Platzhalter, der mit allen Zeichenfolgen übereinstimmt). Im Gegensatz dazu enthält eine Richtlinie, die es Benutzern ermöglicht, nur ihre eigenen Zugriffstasten (APIAktionen CreateAccessKey
und UpdateAccessKey
) zu ändern, in der Regel ein Resource
Element. In diesem Fall ARN beinhaltet das eine Variable (${aws:username}
), die in den Namen des aktuellen Benutzers aufgelöst wird, wie im folgenden Beispiel:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListUsersForConsole", "Effect": "Allow", "Action": "iam:ListUsers", "Resource": "arn:aws:iam::*:*" }, { "Sid": "ViewAndUpdateAccessKeys", "Effect": "Allow", "Action": [ "iam:UpdateAccessKey", "iam:CreateAccessKey", "iam:ListAccessKeys" ], "Resource": "arn:aws:iam::*:user/${aws:username}" } ] }
Im vorherigen Beispiel ist ${aws:username}
eine Variable, die den Benutzernamen auf den aktuellen Benutzer auflöst. Weitere Informationen zu Richtlinienvariablen finden Sie unter IAM-Richtlinienelemente: Variablen und Tags.
Mit einem Platzhalterzeichen (*
) im Aktionsnamen können Sie oft das Erteilen von Berechtigungen für alle Aktionen einer bestimmten Aufgabe einfacher gestalten. Um Benutzern beispielsweise die Ausführung beliebiger IAM Aktionen zu ermöglichen, können Sie iam:*
für die Aktion verwenden. Um den Benutzern zu erlauben, die Aktionen auszuführen, die sich nur auf die Berechtigung zur Durchführung von Zugriffsschlüsseln beziehen, können Sie iam:*AccessKey*
im Element Action
in einer Richtlinienanweisung verwenden. So erhält der Benutzer die Berechtigung zum Ausführen der Aktionen CreateAccessKey
, DeleteAccessKey
, GetAccessKeyLastUsed
,ListAccessKeys
und UpdateAccessKey
. (Wenn IAM in future eine Aktion hinzugefügt wird, deren Name "AccessKey" enthält, erteilt die Verwendung iam:*AccessKey*
für das Action
Element dem Benutzer auch die Berechtigung für diese neue Aktion.) Das folgende Beispiel zeigt eine Richtlinie, die es Benutzern ermöglicht, alle Aktionen auszuführen, die sich auf ihre eigenen Zugriffsschlüssel beziehen (
ersetzen Sie sie durch Ihre AWS-Konto ID): account-id
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "iam:*AccessKey*", "Resource": "arn:aws:iam::
account-id
:user/${aws:username}" } }
Für einige Aufgaben, wie z. B. das Löschen einer Gruppe, sind mehrere Aktionen erforderlich: Sie müssen zunächst die Benutzer aus der Gruppe entfernen, dann die Gruppenrichtlinien trennen oder löschen und schließlich die Gruppe löschen. Wenn Sie einem Benutzer die Berechtigung zum Löschen einer Gruppe erteilen möchten, müssen Sie sicherstellen, dass Sie ihm alle Berechtigung zur Ausführung der damit zusammenhängenden Aktionen erteilen.
Berechtigungen zum Arbeiten in der AWS Management Console
Die vorherigen Beispiele zeigen Richtlinien, die es einem Benutzer ermöglichen, die Aktionen mit dem AWS CLI
Wenn Benutzer mit der Konsole arbeiten, sendet die Konsole Anfragen, Gruppen, Benutzer, Rollen und Richtlinien IAM aufzulisten und die Richtlinien abzurufen, die einer Gruppe, einem Benutzer oder einer Rolle zugeordnet sind. Die Konsole gibt auch Anfragen zum Abrufen von AWS-Konto Informationen und Informationen über den Principal aus. Der Auftraggeber ist der Benutzer, der in der Konsole Anforderungen stellt.
Im Allgemeinen müssen Sie für die Ausführung einer Aktion nur die passende Aktion in einer Richtlinie haben. Um einen Benutzer anzulegen, benötigen Sie die Berechtigung zum Aufrufen der Aktion CreateUser
. Wenn Sie die Konsole verwenden, um eine Aktion auszuführen, müssen Sie über die Berechtigung zum Anzeigen, Auflisten, Abrufen oder anderweitigen Anzeigen einer Ressource in der Konsole verfügen. Dies ist notwendig, damit Sie durch die Konsole navigieren können, um die angegebene Aktion auszuführen. Wenn der Benutzer Jorge beispielsweise die Konsole verwenden möchte, um seine eigenen Zugriffsschlüssel zu ändern, geht er zur IAM Konsole und wählt Benutzer aus. Diese Aktion bewirkt, dass die Konsole eine ListUsers
-Anforderung stellt. Wenn Jorge nicht über die Berechtigung für die Aktion iam:ListUsers
verfügt, verweigert die Konsole den Zugriff beim Versuch, die Benutzer aufzulisten. Daher kann Jorge nicht seinen eigenen Namen und Zugriffsschlüssel ermitteln, selbst wenn er Berechtigungen für die Aktionen CreateAccessKey
und UpdateAccessKey
hat.
Wenn Sie Benutzern Berechtigungen zur Verwaltung von Gruppen, Benutzern, Rollen, Richtlinien und Anmeldeinformationen mit der erteilen möchten AWS Management Console, müssen Sie Berechtigungen für die Aktionen angeben, die die Konsole ausführt. Beispiele für Richtlinien, die Sie verwenden können, um einem Benutzer diese Berechtigungen zu erteilen, finden Sie unter Beispielrichtlinien für die Verwaltung von IAM-Ressourcen.
Gewähren von Berechtigungen über AWS -Konten hinweg
Sie können IAM Benutzern in Ihrem eigenen Konto direkt Zugriff auf Ihre Ressourcen gewähren. Wenn Benutzer aus einem anderen Konto Zugriff auf Ihre Ressourcen benötigen, können Sie eine IAM Rolle erstellen. Dabei handelt es sich um eine Entität, die zwar Berechtigungen enthält, aber keinem bestimmten Benutzer zugeordnet ist. Benutzer von anderen Konten können dann die Rolle verwenden und entsprechend den Berechtigungen, die Sie der Rolle zugeordnet haben, auf Ressourcen zugreifen. Weitere Informationen finden Sie unter Zugriff für einen IAM Benutzer in einem anderen AWS-Konto , den Sie besitzen.
Anmerkung
Einige Dienste unterstützen ressourcenbasierte Richtlinien, wie unter beschrieben Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien (z. B. Amazon S3SNS, Amazon und AmazonSQS). Für diese Services besteht eine Alternative zur Verwendung von Rollen darin, eine Richtlinie an die Ressource (Bucket, Thema oder Warteschlange) anzuhängen, die Sie freigeben möchten. In der ressourcenbasierten Richtlinie kann das AWS Konto angegeben werden, das über Berechtigungen für den Zugriff auf die Ressource verfügt.
Service-Berechtigungen für den Zugriff auf einen anderen Service
Viele AWS Dienste greifen auf andere AWS Dienste zu. Beispielsweise verwalten mehrere AWS Dienste — darunter AmazonEMR, Elastic Load Balancing und Amazon EC2 Auto Scaling — Amazon-Instances. EC2 Andere AWS Dienste verwenden Amazon S3 S3-Buckets, SNS Amazon-Themen, SQS Amazon-Warteschlangen usw.
Das Szenario für das Verwalten von Berechtigungen in diesen Fällen variiert je nach Service. Hier finden Sie einige Beispiele für die Art und Weise, wie Berechtigungen für verschiedene Services verarbeitet werden:
-
In Amazon EC2 Auto Scaling müssen Benutzer über die Erlaubnis verfügen, Auto Scaling zu verwenden, aber ihnen muss nicht ausdrücklich die Erlaubnis erteilt werden, EC2 Amazon-Instances zu verwalten.
-
In legt eine IAM Rolle fest AWS Data Pipeline, was eine Pipeline tun kann. Benutzer benötigen eine entsprechende Genehmigung, um die Rolle übernehmen zu können. (Einzelheiten finden Sie unter Berechtigungen für Pipelines gewähren mit IAM im AWS Data Pipeline Entwicklerhandbuch.)
Einzelheiten zur ordnungsgemäßen Konfiguration von Berechtigungen, sodass ein AWS Dienst die von Ihnen beabsichtigten Aufgaben ausführen kann, finden Sie in der Dokumentation für den Dienst, den Sie aufrufen. Wie Sie eine Rolle für einen Service anlegen, erfahren Sie in Erstellen Sie eine Rolle, um Berechtigungen an einen AWS Dienst zu delegieren.
Konfiguration eines Dienstes mit einer IAM Rolle, die in Ihrem Namen arbeitet
Wenn Sie einen AWS Dienst so konfigurieren möchten, dass er in Ihrem Namen funktioniert, geben Sie in der Regel die Rolle ARN für eine IAM Rolle an, die definiert, was der Dienst tun darf. AWS überprüft, ob Sie berechtigt sind, eine Rolle an einen Dienst zu übergeben. Weitere Informationen finden Sie unter Erteilen Sie einem Benutzer die Erlaubnis, eine Rolle an einen AWS Dienst zu übergeben.
Erforderliche Aktionen
Aktionen stellen die Dinge dar, die Sie mit einer Ressource machen können (z. B. Anzeigen, Anlegen, Bearbeiten und Löschen der Ressource). Aktionen werden von jedem AWS Dienst definiert.
Damit ein jemand eine Aktion ausführen kann, müssen Sie die erforderlichen Aktionen in eine Richtlinie aufnehmen, die für die aufrufende Identität oder die betroffene Ressource gilt. Im Allgemeinen müssen Sie, um die für die Ausführung einer Aktion erforderliche Berechtigung zu erteilen, diese Aktion in Ihre Richtlinie aufnehmen. Um beispielsweise einen Benutzer zu erstellen, müssen Sie die CreateUser Aktion zu Ihrer Richtlinie hinzufügen.
In einigen Fällen kann die eine Aktion erfordern, dass Sie zusätzliche Aktionen in Ihre Richtlinie aufnehmen. Um z. B. jemandem die Berechtigung zu geben, ein Verzeichnis in AWS Directory Service
mit der ds:CreateDirectory
-Operation zu erstellen, müssen Sie die folgenden Aktionen in ihre Richtlinie aufnehmen:
-
ds:CreateDirectory
-
ec2:DescribeSubnets
-
ec2:DescribeVpcs
-
ec2:CreateSecurityGroup
-
ec2:CreateNetworkInterface
-
ec2:DescribeNetworkInterfaces
-
ec2:AuthorizeSecurityGroupIngress
-
ec2:AuthorizeSecurityGroupEgress
Wenn Sie eine Richtlinie mit dem visuellen Editor erstellen oder bearbeiten, erhalten Sie Warnungen und Aufforderungen, die Sie bei der Auswahl aller erforderlichen Aktionen für Ihre Richtlinie unterstützen.
Weitere Informationen zu den Berechtigungen, die zum Erstellen eines Verzeichnisses erforderlich sind AWS Directory Service, finden Sie unter Beispiel 2: Erlauben Sie einem Benutzer, ein Verzeichnis zu erstellen.